Hänvisningar till dokumentet Karolinska Riktlinjer för informationssäkerhet

Storlek: px
Starta visningen från sidan:

Download "Hänvisningar till dokumentet Karolinska Riktlinjer för informationssäkerhet"

Transkript

1 Hänvisningar till dokumentet Karolinska Riktlinjer för informationssäkerhet Aktuella avsnitt Avsnitt 1 Avsnitt 2 Avsnitt 3 Avsnitt 4 Avsnitt 6 Avsnitt 7 Avsnitt 8 Avsnitt 12 Introduktion till informationssäkerhet Informationssäkerhetsorganisation Riskhantering Hantering av tillgångar Fysisk säkerhet Styrning av kommunikation och drift Styrning av åtkomst till information Efterlevnad Aktuella bilagor Bilaga 7 Bilaga 9 Bilaga 13 Bilaga 14 Bilaga 15 Bilaga 16 Bilaga 17 Bilaga 18 Bilaga 19 Bilaga 21 Genomförande av riskanalys Hantering av patientuppgifter Kravställning av driftsäkerhet Kravställning av kommunikations- och nätverkssäkerhet Kravställning vid drift utanför landstinget Åtkomstadministration Granskning av åtkomsträttigheter Loggning och loggranskning Kravställning vid anskaffning och utveckling av system Hantering och rapportering av informationssäkerhetsincidenter

2 Styrande dokument 1 (17) Riktlinjer för informationssäkerhet Karolinska Universitetssjukhuset Handläggare: Gunnar Hamber, Johan Bratt, Stina Fransson Sellgren Dokumentnr: STAB0507 Fastställare: Ann-Britt Bolin Wiechel Version: 1 Organisation: Kvalitet och patientsäkerhet Giltig fr o m: Utskriftsdatum:

3 Styrande dokument 2 (17) Innehåll 1 Introduktion till informationssäkerhet Informationssäkerhetsorganisation Riskhantering Hantering av tillgångar Personalresurser och informationssäkerhet Fysisk säkerhet Styrning av kommunikation och drift Styrning av åtkomst till information Anskaffning, utveckling och underhåll av system Hantering av informationssäkerhetsincidenter Kontinuitetsplanering Efterlevnad Versionshistorik Varje dokument bör innehålla en historik som för varje version talar om vad som ändrats, vem som gjort ändringen och när ändringen gjordes. Version Datum Förändring och kommentar Ansvarig Fastställt genom beslut Kshd 19/2012 Sjukhusdirektör, Birgir Jakobsson Handläggare: Gunnar Hamber, Johan Bratt, Stina Fransson Sellgren Dokumentnr: STAB0507 Fastställare: Ann-Britt Bolin Wiechel Version: 1 Organisation: Kvalitet och patientsäkerhet Giltig fr o m: Utskriftsdatum:

4 Styrande dokument 3 (17) 1 Introduktion till informationssäkerhet Dessa riktlinjer för informationssäkerhet utgör Karolinska Universitetssjukhusets (Karolinskas) övergripande regelverk för hantering av information. Riktlinjerna baseras på gällande lagar och föreskrifter, ISO-standarden för informationssäkerhet (SS-ISO/IEC 27002: 2005) samt Stockholms läns landstings (SLL) överordnade informationssäkerhetspolicy. Riktlinjerna, som beskriver vad som ska göras, syftar bland annat till att konkretisera och precisera SLLs regler gällande informationssäkerhet för Karolinskas verksamhet. Till ett antal av de områden som beskrivs i riktlinjerna finns det ytterligare en detaljeringsnivå som beskrivs i riktlinjernas bilagor. Dessa avser att ge en mer detaljerad beskrivning av hur olika informationssäkerhetsrelaterade aktiviteter bör utföras. Lokal informationssäkerhetspolicy Sjukhusets verksamhet är till stor del beroende av information i olika former. Vårt arbete är grundat på principer om öppenhet liksom personlig integritet och respekt för individen. Patienterna ska kunna få insyn i sjukhusets verksamhet. De ska kunna förlita sig på den information som vi lämnar och vara förvissade om att information som hanteras om dem får ett tillräckligt skydd. Patientsäkerhetens påverkan på vår hantering av information har högsta prioritet! Med anledning av ovanstående ska vi inom sjukhuset arbeta aktivt och effektivt med informationssäkerhet. Dessa riktlinjer omfattar hela sjukhuset dvs. personal, lokaler, utrustning, system och information. Säkerhetsarbetet ska avse all typ av information, oberoende av om informationen är i digitalform, på papper eller om den är muntlig. Det innebär att våra säkerhetslösningar och tillhörande arbetssätt ska baseras på hur pass kritisk och känslig informationen i fråga är. Genom detta tillvägagångssätt uppnår vi en effektiv informationssäkerhet, där skyddsnivån för informationen är anpassad till risken. Målet med Karolinskas informationssäkerhetsarbete och etablerad skyddsnivå är att säkerställa: att känslig information endast är åtkomlig för behöriga medarbetare (Sekretess) att information är tillförlitlig, korrekt och fullständig (Riktighet) att information är tillgänglig utifrån verksamhetens behov (Tillgänglighet) En annan viktig aspekt som ska beaktas vid hantering av sjukhusets information är spårbarhet dvs att det går att säkerställa vem som haft åtkomst till och potentiellt ändrat information. Dessutom ska vi säkerställa att vi efterlever gällande lagar och förordningar som berör vår verksamhet. Allt detta är viktiga förutsättningar som bidrar till att säkerställa förtroendet för den verksamhet som bedrivs i sjukhusets regi. För att upprätthålla en tillräcklig skyddsnivå för information och systemmiljö måste vi arbeta gemensamt och kontinuerligt. Dessa riktlinjer ska tillämpas och efterlevas av samtliga medarbetare, tillfälligt anställda, uppdragstagare och konsulter i verksamheten. Informationssäkerhet baseras huvudsakligen på sunt förnuft och gott omdöme, där varje medarbetares kunskap och agerande är avgörande. Sammantaget är detta viktiga förutsättningar som bidrar till att upprätthålla förtroendet för vår verksamhet och säkerställa våra patienters säkerhet. Handläggare: Gunnar Hamber, Johan Bratt, Stina Fransson Sellgren Dokumentnr: STAB0507 Fastställare: Ann-Britt Bolin Wiechel Version: 1 Organisation: Kvalitet och patientsäkerhet Giltig fr o m: Utskriftsdatum:

5 Styrande dokument 4 (17) 2 Informationssäkerhetsorganisation Informationssäkerheten är en del av patientsäkerheten och ska på samma sätt vara en naturlig del av vårt dagliga arbete. Därför är det viktigt att vi i varje situation vet hur vi ska agera eller vart vi ska vända oss för att få stöd och svar på våra frågor om hanteringen av information. En tydlig organisation för ansvar över och arbete med informationssäkerhet är en förutsättning för att vi ska lyckas i detta arbete. Grundläggande säkerhet Karolinska Universitetssjukhuset ägs av Stockholms läns landsting och ska därför följa den informationssäkerhetspolicy som landstingsfullmäktige fastställer. Landstingsstyrelsen är ansvarig för att utforma och uppdatera landstingets informationssäkerhetspolicy med tillhörande riktlinjer samt att samordna informationssäkerhetsarbetet inom landstinget. Landstingsdirektören har, på uppdrag av landstingsstyrelsen, till uppgift att säkerställa att informationssäkerhetsarbetet bedrivs så effektivt som möjligt samt att utse landstingets Informationssäkerhetssamordnare. Informationssäkerhetssamordnaren verkställer samordningen av informationssäkerhetsarbetet inom landstinget samt förvaltar landstingets policy och riktlinjer för informationssäkerhet. Inom Karolinska har sjukhusdirektören huvudansvaret för informationssäkerheten. Det praktiska och sammanhållande arbetet med informationssäkerhet är däremot delegerat till sjukhusets Informationssäkerhetssamordnare. Informationssäkerhetssamordnaren ansvarar bland annat för att bedriva det sjukhusövergripande arbetet med informationssäkerhet, säkerställa att riktlinjerna och dess bilagor avseende sjukhusets informationssäkerhetsarbete uppdateras och kommuniceras samt att efterlevnaden på sjukhusnivå följs upp regelbundet och rapporteras till sjukhusdirektören. Verksamhetschefer inom Karolinska ansvarar för informationssäkerheten inom sitt ansvarsområde som en del i det delegerade verksamhetsansvaret. Chefer och ansvariga på alla nivåer ska säkerställa att deras medarbetare får tillräcklig utbildning, håller sig till fastställda säkerhetsregler och agerar därefter. Verksamhetschefen ska regelbundet följa upp och rapportera efterlevnaden inom sitt ansvarsområde till sjukhusets Informationssäkerhetssamordnare. Alla anställda på Karolinska, inklusive konsulter, tillfälligt anställda och uppdragstagare, är ansvariga för att skydda sjukhusets information i sitt dagliga arbete. Därför är det viktigt att alla känner till och följer dessa riktlinjer och underliggande bilagor avseende informationssäkerhet. För mer information kring de anställdas ansvar, se Bilaga 12 Informationssäkerhet en presentation för Karolinskas medarbetare. Inom Karolinska finns flera roller med ett utpekat ansvar relaterat till sjukhusets informationssäkerhetsarbete. Förutom de roller som beskrivits ovan så har även informationsägare, systemägare/objektägare och CITO ett utpekat ansvar kopplat till sjukhusets informationssäkerhet. För mer information kring roller och ansvar inom informationssäkerhetsområdet på Karolinska, se ansvarsbeskrivning för respektive roll. Handläggare: Gunnar Hamber, Johan Bratt, Stina Fransson Sellgren Dokumentnr: STAB0507 Fastställare: Ann-Britt Bolin Wiechel Version: 1 Organisation: Kvalitet och patientsäkerhet Giltig fr o m: Utskriftsdatum:

6 Styrande dokument 5 (17) Inom Karolinska ska det även finnas ett personuppgiftsombud med ansvar för att säkerställa att personuppgifter behandlas i enlighet med Personuppgiftslagen. Handläggare: Gunnar Hamber, Johan Bratt, Stina Fransson Sellgren Dokumentnr: STAB0507 Fastställare: Ann-Britt Bolin Wiechel Version: 1 Organisation: Kvalitet och patientsäkerhet Giltig fr o m: Utskriftsdatum:

7 Styrande dokument 6 (17) 3 Riskhantering Den information och de system som vi arbetar med inom sjukhuset är viktiga för att bedriva vår verksamhet och vi måste därför skydda dem på lämpliga sätt. För att komma fram till hur vi ska skydda vår information och våra system på rätt sätt så måste relaterade risker identifieras och analyseras. Riskanalyser ska vara en naturlig del av sjukhusets arbetssätt och bidra till att vi kan ge våra patienter en bättre och säkrare vård. Grundläggande säkerhet För att säkerställa att information hanteras på ett säkert sätt ska risker relaterade till informationen kontinuerligt identifieras, analyseras och hanteras med lämpliga skyddsåtgärder. För att komma fram till vilka skyddsåtgärder som är lämpliga för respektive informationstillgång ska riskanalyser genomföras kontinuerligt. Riskanalyser gör det möjligt för roller med ansvar för information att identifiera huvudsakliga risker. Riskerna bedöms sedan utifrån hur stor sannolikheten är att hoten realiseras samt dess potentiella konsekvens. Analysen ger underlag för att avgöra vilka skyddsåtgärder som krävs för att säkerställa att riskerna hanteras och minimeras på lämpligt sätt. Alla skyddsåtgärder ska dokumenteras på ett sådant sätt att det är möjligt att kontrollera efterlevnaden. Riskanalysen ska utgå ifrån sekretess-, riktighets- och tillgänglighetsaspekter för information och det finns olika metoder för genomförandet av riskanalyser. Inom hälso- och sjukvårdsområdet rekommenderas Risk och händelseanalys handbok för patientsäkerhetsarbete, framtagen av bland andra Socialstyrelsen och Sveriges kommuner och landsting (SKL). I informationssäkerhetsarbetet kan det finnas anledning att genomföra riskanalyser för mer avgränsade områden där ovan angivna handbok kan vara för omfattande. För dessa ändamål finns Bilaga 7 Genomförande av riskanalys som ger vägledning i de viktigaste stegen i en riskanalys Inom Karolinska ska riskanalyser vara en naturlig del av hanteringen av information och genomföras på flera olika nivåer; på övergripande sjukhusnivå, på verksamhetsnivå, avseende specifika system eller informationstillgångar etc. Riskanalyser ska genomföras i samband med förändringar i verksamheterna, processerna och informationssystemen. För alla verksamhetskritiska system ska riskanalyser genomföras årligen. I samband med detta ska det även analyseras om det finns nya interna eller juridiska krav som påverkar systemet. Till alla identifierade risker ska det utses en ägare som ansvar för att säkerställa att risken hanteras på ett lämpligt sätt. Uppföljning ska ske av att identifierade risker åtgärdas alternativt hanteras inom en rimlig tid. Resultatet från genomförda riskanalyser ska rapporteras till Informationssäkerhetssamordnaren. Handläggare: Gunnar Hamber, Johan Bratt, Stina Fransson Sellgren Dokumentnr: STAB0507 Fastställare: Ann-Britt Bolin Wiechel Version: 1 Organisation: Kvalitet och patientsäkerhet Giltig fr o m: Utskriftsdatum:

8 Styrande dokument 7 (17) 4 Hantering av tillgångar På sjukhuset finns många viktiga tillgångar som är nödvändiga för den vård vi bedriver, t.ex. vårdsystem och patientinformation. Dessa tillgångar måste på olika sätt skyddas så att vi kan vara säkra på att de finns tillgängliga då de behövs i vården av våra patienter. Grundläggande säkerhet En förteckning över alla viktiga informationstillgångar ska finnas inom Karolinska och ägare ska utses för alla informationstillgångar. Alla viktiga informationstillgångar inom sjukhuset ska informationsklassificeras och märkas för att kartlägga hur betydande tillgången är för verksamheten. Det ska finnas dokumenterade instruktioner och ett strukturerat arbetssätt för hur klassificeringen ska genomföras. Klassificeringen måste omprövas regelbundet, som en naturlig del i det kontinuerliga säkerhetsarbetet. Stockholms läns landsting har arbetat fram en klassificeringsmodell som ska användas inom landstinget. En anpassning av denna modell har tagits fram för sjukhuset, se Bilaga 8 Informationsklassificering. Informationstillgångar inom sjukhuset ska märkas enligt klassificeringssystemet. Detta gäller för information i såväl fysisk som elektronisk form. Hantering av olika typer av information ska ske enligt följande: Patientuppgifter Patientuppgifter ska hanteras enligt Patientdatalagen (2008:355) samt Socialstyrelsens föreskrifter (2008:14). Mer information finns i Bilaga 9 Hantering av patientuppgifter. Personuppgifter Hantering av personuppgifter ska ske i enlighet med Personuppgiftslagen (1998:204) och Patientdatalagen (2008:355) i de fall då personuppgifterna även är patientuppgifter. Vid insamlandet av personuppgifter ska den enskilde informeras om sina rättigheter. Skyddade personuppgifter Utlämnande av information Skyddade personuppgifter ska hanteras enligt kapitel 22 i Offentlighetsoch sekretesslagen (2009:400). Mer information om detta finns i Bilaga 10 Hantering av skyddade personuppgifter. Det ska finnas instruktioner för utlämnande av information där det ska framgå vem eller vilka som har rätt att fatta beslut kring utlämnande. Före utlämnande ska en sekretessprövning göras. Extern informationshantering Extern åtkomst till information Då sjukhusets information hanteras av tredjepart (t.ex. externa leverantörer) ska kraven avseende informationssäkerhet specificeras i avtal mellan leverantören och Karolinska. För mer information se, Bilaga 15 Kravställning vid drift utanför landstinget. Vid tillgång till Karolinskas information från miljöer utanför sjukhusets och landstingets kontroll ska specifika krav ställas på autentisering och kryptering. Handläggare: Gunnar Hamber, Johan Bratt, Stina Fransson Sellgren Dokumentnr: STAB0507 Fastställare: Ann-Britt Bolin Wiechel Version: 1 Organisation: Kvalitet och patientsäkerhet Giltig fr o m: Utskriftsdatum:

9 Styrande dokument 8 (17) 5 Personalresurser och informationssäkerhet Alla som på något sätt arbetar i vår verksamhet måste förstå sitt ansvar för, och bidra till, att skydda våra patienter och deras uppgifter. Därför behöver alla berörda inom vår verksamhet få löpande information och utbildning gällande detta. På så sätt kan vi bibehålla en informationssäkerhetsnivå där våra patienters integritet skyddas. Grundläggande säkerhet Hanteringen av information om Karolinskas anställda ska tydliggöras genom instruktioner och checklistor. Det ska även säkerställas att alla anställda och uppdragstagare (fast anställda, uppdragstagare, studenter, frivilliga, konsulter etc.) förstår sitt ansvar avseende informationssäkerheten inom sjukhuset. Syftet är att se till att all information hanteras enligt gällande regler, både avseende sjukhusets information och den anställde. Säkerhetsansvaret ska tydliggöras vid anställning, i anställningsavtal samt genom en rollbeskrivning. För mer information kring de specifika informationssäkerhetskrav som finns avseende hantering av personal, se Bilaga 11 Informationshantering vid rekrytering, anställning och avslut av anställning. Informationssäkerhetsansvaret på sjukhuset ska vara tydligt definierat. I kapitel 2 beskrivs ansvarsfördelningen mellan Stockholms läns landsting och Karolinska Universitetssjukhuset. Det detaljerade informationssäkerhetsansvaret inom sjukhuset finns beskrivet i respektive ansvarsbeskrivning. Personalen ska göras medvetna om sitt ansvar avseende informationssäkerheten inom sjukhuset, delvis beskrivs detta i Bilaga 12 Informationssäkerhet en presentation för Karolinskas medarbetare. Samtliga anställda och uppdragstagare inom sjukhuset ska få den utbildning i informationssäkerhet som krävs för att de ska kunna utföra sina arbetsuppgifter i enlighet med fastställd policy, riktlinjer och dess bilagor. Utbildningens omfattning ska vara anpassad till det ansvar och de befogenheter som gäller för befattningen. Alla som tilldelas åtkomst till sjukhusets information ska ha genomgått en grundläggande informationssäkerhetsutbildning. Ansvaret för detta ligger på respektive chef. Utbildning och fortbildning inom informationssäkerhet ska vara en kontinuerlig process inom sjukhuset. Handläggare: Gunnar Hamber, Johan Bratt, Stina Fransson Sellgren Dokumentnr: STAB0507 Fastställare: Ann-Britt Bolin Wiechel Version: 1 Organisation: Kvalitet och patientsäkerhet Giltig fr o m: Utskriftsdatum:

10 Styrande dokument 9 (17) 6 Fysisk säkerhet All information som hanteras i sjukhusets regi måste skyddas fysiskt, oavsett om det finns lagrat som data eller om det finns på papper. För att värna om våra patienters integritet måste informationen skyddas, oavsett om den hanteras i våra egna eller i andras lokaler. Enbart de personer som har behov av tillträde till våra lokaler ska få det. Grundläggande säkerhet Nivån på det fysiska skyddet ska baseras på genomförda riskanalyser och stå i proportion till de identifierade riskerna. Grundregeln ska vara att känslig information aldrig ska lämnas oskyddad. Utrustning som är känslig eller behandlar känslig information ska placeras så att möjligheten till tillträde minimeras och utformning av lämpliga skyddsåtgärder underlättas. Karolinskas verksamhetskritiska system och informationstillgångar ska inrymmas i säkra utrymmen med lämpliga tillträdeskontroller dit endast behörig personal ges tillträde. Med säkra utrymmen avses utrymmen som är speciellt utformade för att uppfylla högre krav på skal- och brandskydd samt tillgång till kontinuerlig försörjning av el och kyla. För säkra utrymmen ska följande säkerhetsåtgärder vara uppfyllda: Tillträdeskontroller ska innefatta larm, bemannade receptioner och/eller datoriserade passagekontrollsystem med individuella passerkort och koder. Brandskydd så som brandlarm och anpassad släckutrustning ska finnas. Brännbart material får inte förvaras i de säkra utrymmena. Klimatanläggning ska finnas för att kompensera för den överskottsvärme som utrustningen alstrar. Elektronisk utrustning ska skyddas mot elavbrott och andra störningar. Strömförsörjning av verksamhetskritisk utrustning och system ska vara avbrottsfri och ansluten till reservkraft. Tester ska regelbundet genomföras för att säkerställa att övergången till reservkraft fungerar. Skydd av lagringsmedia Det ska finnas regler och skyddsåtgärder för att motverka risker i samband med hantering av information utanför Karolinskas lokaler. Detta innefattar bland annat bärbara datorer, mobiltelefoner, USB-minnen, pappersdokument etcetera. Mer information kring hantering av bärbar media finns i Bilaga 12 Informationssäkerhet en presentation för Karolinskas medarbetare. Lagringsmedia som innehåller känslig information eller licensierade program ska fysiskt förstöras eller skrivas över på ett säkert sätt i samband med avveckling eller återanvändning. Det är inte tillräckligt att använda standardfunktioner för att radera data. Handläggare: Gunnar Hamber, Johan Bratt, Stina Fransson Sellgren Dokumentnr: STAB0507 Fastställare: Ann-Britt Bolin Wiechel Version: 1 Organisation: Kvalitet och patientsäkerhet Giltig fr o m: Utskriftsdatum:

11 Styrande dokument 10 (17) 7 Styrning av kommunikation och drift Inom sjukhusets verksamhet finns beroenden till system och den informationen som hanteras där. Därför är det av stor vikt att dessa system är tillgängliga för att vi ska ha tillgång till information och kunna ge våra patienter god och säker vård. Samtidigt måste informationen som kommuniceras och överförs i våra nätverk skyddas så att vi kan garantera våra patienter den integritet de har rätt till. Grundläggande säkerhet Kommunikation När information överförs genom data- eller telekommunikation, uppstår risker för avlyssning och förändring av den överförda informationen. Respektive systemägare/objektägare ansvarar för att analysera behovet av nödvändiga skyddsåtgärder relaterat till riskerna samt att dokumentera dessa på ett lämpligt sätt. Systemägaren/objektägaren kommunicerar sina behov till sjukhusets CITO som ansvarar för kravställning avseende nätverk. Mer information finns i Bilaga 14 Kravställning av kommunikations- och nätverkssäkerhet. Nätverken inom Stockholms läns landsting, och Karolinska Universitetssjukhuset, ska vara logiskt separerade. Varje nätverk ska utformas så att det finns definierade gränssnitt, såväl fysiskt som logiskt, mot andra nätverk. Sammankoppling av nätverk får endast ske efter att säkerhetsaspekterna analyserats och nödvändiga skyddsåtgärder vidtagits av respektive nätverks ägare. Patientinformation får aldrig överföras på ett sådant sätt att obehöriga kan ta del av informationen. Detta innebär att överföring via öppna nät i regel måste vara krypterade. Undantag kan dock göras mot denna regel avseende kallelser och påminnelser som inte innehåller känsliga patientuppgifter. För mer information kring detta undantag, se Bilaga 9 Hantering av patientuppgifter. All utrustning som kopplas till sjukhusets-och landstingets nät ska vara konfigurerade enligt definierad standard och det ska finnas instruktioner för hantering av sådan utrustning. Drift På Karolinska ska produktions-, utvecklings-, test-, och utbildningsmiljöer vara separerade. Säkerhetsreglerna för produktionsmiljöerna ska i relevanta delar även gälla för utvecklingsoch testmiljöerna. Systemägaren/objektägaren ansvarar för att kravställa avseende driftsäkerheten och följande områden omfattas: säkerhetsuppdateringar, förändringshantering, kapacitetsplanering, skydd mot skadlig kod, säkerhetskopiering och återläsning av data samt systemdokumentation. Mer information kring detta finns i Bilaga 13 Kravställning av driftsäkerhet. Då Karolinska köper tjänster eller förlägger drift av IT-system utanför landstingets verksamhet ska samma regler avseende informationssäkerhet gälla som när driften hanteras i sjukhusets- och landstingets egen regi. Kraven på informationssäkerhet ska definieras baserat Handläggare: Gunnar Hamber, Johan Bratt, Stina Fransson Sellgren Dokumentnr: STAB0507 Fastställare: Ann-Britt Bolin Wiechel Version: 1 Organisation: Kvalitet och patientsäkerhet Giltig fr o m: Utskriftsdatum:

12 Styrande dokument 11 (17) på en riskanalys och regleras i avtalet mellan parterna. Systemägaren/objektägaren ansvarar för kravställning och uppföljning avseende det specifika systemet men samordning bör ske då drift av flera system sker hos samma leverantör. Mer information finns i Bilaga 15 Kravställning vid drift utanför landstinget. Handläggare: Gunnar Hamber, Johan Bratt, Stina Fransson Sellgren Dokumentnr: STAB0507 Fastställare: Ann-Britt Bolin Wiechel Version: 1 Organisation: Kvalitet och patientsäkerhet Giltig fr o m: Utskriftsdatum:

13 Styrande dokument 12 (17) 8 Styrning av åtkomst till information Tillgång till information är en viktig del i vården av våra patienter. Däremot är det viktigt att informationen endast är möjlig att komma åt för de personer som har ett faktiskt behov för att kunna ge patienten god och säker vård. Vi måste därför se till att rätt personer har tillgång till rätt information vid rätt tidpunkt, utan att äventyra våra patienters integritet. Grundläggande säkerhet Karolinskas informationssystem kan användas av interna användare samt av IT-personal och till viss del leverantörer. Följaktligen måste det finnas metoder för att kontrollera åtkomsten till information, system, nätverk och tjänster. Vidare måste användare beakta informationssäkerheten och förstå sina personliga skyldigheter vid användandet av system och hanteringen av information. Åtkomst till information inom Karolinska ska kontrolleras genom nedanstående administrativa och tekniska skyddsåtgärder. Åtkomstadministration För att säkerställa att endast behöriga informationsanvändare har tillgång till viss information ska åtkomsträttigheten godkännas av behörig person innan den delas ut. Åtkomsten ska vid varje tillfälle avgränsas till användarens aktuella behov utifrån arbetsuppgifter och organisatorisk tillhörighet. Instruktioner ska fastställas för hur beställning, registrering, förändring och avregistrering av åtkomsträttigheter ska genomföras. Se Bilaga 16 Åtkomstadministration. Granskning av tilldelade åtkomsträttigheter ska genomföras regelbundet och åtgärder vidtas för att säkerställa att endast behöriga användare har åtkomst till respektive informationstillgång/system. För mer information, se Bilaga 17 Granskning av åtkomsträttigheter. Åtkomstkontroll Alla användare måste identifieras och verifieras genom användarnamn och lösenord innan de kan få åtkomst till informationssystem. All åtkomst till patientinformation ska kräva stark autentisering (s.k. två-faktors autentisering). Alla användare ska ha en unik identitet och alla konton ska vara spårbara till en fysisk person. Loggning och övervakning För att säkerställa att alla användaraktiviteter är spårbara ska loggning ske på alla verksamhetskritiska system samt system innehållande patientuppgifter. Instruktioner och arbetssätt ska fastställas för uppföljning av loggar och hur eventuella överträdelser ska hanteras. Se Bilaga 18 Loggning och loggranskning. Handläggare: Gunnar Hamber, Johan Bratt, Stina Fransson Sellgren Dokumentnr: STAB0507 Fastställare: Ann-Britt Bolin Wiechel Version: 1 Organisation: Kvalitet och patientsäkerhet Giltig fr o m: Utskriftsdatum:

14 Styrande dokument 13 (17) 9 Anskaffning, utveckling och underhåll av system Våra system och den information som vi hanterar där är av största vikt för vår verksamhet. För att säkerställa att patientuppgifter och annan känslig information hanteras på ett säkert sätt är det viktigt att systemen har de rätta tekniska förutsättningarna. Därför måste våra säkerhetskrav hanteras redan vid planeringen av inköp eller utveckling av system. Grundläggande säkerhet Att bygga in säkerhet i system samtidigt som de utvecklas är mer kostnadseffektivt och säkert än att tillföra säkerheten efteråt. I förberedelserna när system ska utvecklas eller upphandlas är det viktigt att säkerställa att informationssäkerhetens olika aspekter sekretess, riktighet, tillgänglighet och spårbarhet beaktas. Detta för att säkerheten ska bli en integrerad del av systemet. Det kräver ett strukturerat tillvägagångssätt och att kraven avseende informationssäkerhet är tydligt definierade. Därför ska en formell utvecklingsmetod eller ett formellt anskaffningssätt som tar hänsyn till detta användas. Fullständig kunskap om verksamhetens krav (inklusive krav för informationens sekretess, riktighet, tillgänglighet och spårbarhet) är väsentlig om system ska kunna uppfylla dess avsedda syfte. Därför ska verksamhetens säkerhetskrav och legala krav formellt fastställas och behandlas som en del av utvecklings- och anskaffningsprocessen. Samtliga projekt som innefattar systemutveckling eller anskaffning av system måste föregås av en riskanalys. Projekten måste vara godkända enligt gällande regelverk för delegation och beställning av IT 1 samt beakta följande principer: Förhöjd patientsäkerhet Driftstabila och beprövade lösningar Tvingande myndighetskrav En instruktion och väldefinierat arbetssätt och krävs när nya system eller utvecklade systemkomponenter implementeras från utvecklings- och testmiljön in i produktionsmiljön. Endast formellt accepterade och godkända system eller systemkomponenter ska implementeras i produktionsmiljön. För mer information, se Bilaga 19 Kravställning vid anskaffning och utveckling av system. För att upprätthålla en säker och tillförlitlig tillgång till information ska administration, drift och underhåll av IT-system ske på ett strukturerat och systematiskt sätt. Detta enligt en formaliserad och antagen modell för systemförvaltning. Systemägaren/objektägaren för respektive IT-system ansvarar för att kravställa avseende systemförvaltningen. För mer information, se Bilaga 20 Kravställning av systemförvaltning. 1 Med IT avses all informationsteknologi inom sjukhuset dvs. även system och utrustning för kommunikation samt för medicinteknik Handläggare: Gunnar Hamber, Johan Bratt, Stina Fransson Sellgren Dokumentnr: STAB0507 Fastställare: Ann-Britt Bolin Wiechel Version: 1 Organisation: Kvalitet och patientsäkerhet Giltig fr o m: Utskriftsdatum:

15 Styrande dokument 14 (17) 10 Hantering av informationssäkerhetsincidenter En incident är en händelse som kan få negativ påverkan på vår verksamhet. Informationssäkerhetsincidenter kan till exempel vara förlust av eller obehörig åtkomst till information, stöld av IT-utrustning, virusutbrott m.m. För att minska risken att våra patienter påverkas vid en incident är det viktigt att vi alla vet hur vi ska agera och vart vi ska vända oss för att rapportera avvikande händelser. Grundläggande säkerhet För att säkerställa att eventuella informationssäkerhetsincidenter (incidenter) får minimal påverkan på verksamheten ska det finnas en formaliserad process för rapportering och hantering av incidenter. Det ska genom denna process säkerställas att incidenter och svagheter relaterade till informationshantering blir rapporterade på ett sådant sätt att lämpliga åtgärder kan vidtas på kort och lång sikt. Informationssäkerhetsincidenter är händelser som påverkar eller kan komma att påverka säkerheten negativt för sjukhusets informationstillgångar. En incident kan antingen bero på ett avsiktligt eller ett oavsiktligt agerande men med den gemensamma nämnaren att informationssäkerheten hotas genom t.ex. brott mot sekretessen, felaktighet i information, driftavbrott eller brist på tillgång till information. Exempel på incidenter kan vara obehörig eller oetiskt användande av information, skadlig kod, dataintrång och skadlig programvara. Dessutom kan incidenter vara förlorad information i pappersform, förlust av dator eller lagringsmedia. Alla anställda ska veta vad som klassas som en incident samt var och hur dessa rapporteras. För detaljerad information om rapportering av incidenter, se Bilaga 21 Hantering och rapportering av informationssäkerhetsincidenter. Rapporterade incidenter ska klassas mot en definierad skala utifrån potentiell påverkan på information, patienter/individer och verksamheten. Incidenterna ska hanteras i prioritetsordning i relation till den klass som incidenten får. Alla inrapporterade incidenter ska analyseras efter hantering med avseende på orsak och verkan. Detta då det kan finnas ett samband mellan olika incidenter som inte är direkt synligt. Ett antal mindre incidenter kan tillsammans visa på omfattande säkerhetsbrister som är svåra att identifiera utan en genomgående analys. Identifierade säkerhetsbrister definieras som incidenter och ska rapporteras och hanteras enligt ovan. Vid incidenter som bedöms kunna få mycket stor påverkan på sjukhusets verksamhet ska säkerhetscentralen omedelbart informeras för att kunna aktivera plan för hantering av hot mot det Robusta sjukhuset. Handläggare: Gunnar Hamber, Johan Bratt, Stina Fransson Sellgren Dokumentnr: STAB0507 Fastställare: Ann-Britt Bolin Wiechel Version: 1 Organisation: Kvalitet och patientsäkerhet Giltig fr o m: Utskriftsdatum:

16 Styrande dokument 15 (17) 11 Kontinuitetsplanering Tillgången till informationen om våra patienter när vi behöver den kan vara skillnaden mellan liv och död. Därför måste vi se till att vi är förberedda om någonting skulle inträffa med våra system och vår information. Detta så att verksamheten trots allt kan fortsätta bedrivas enligt förutbestämda reservrutiner och att våra patienter kan fortsätta få god och säker vård. Grundläggande säkerhet Det huvudsakliga målet med kontinuitetsplanering för sjukhusets verksamhet är att säkerställa att eventuella avbrott i verksamhetsstödet inte får konsekvenser för liv och hälsa för enskilda individer. Det ska säkerställas att potentiella risker, avbrott och hot mot verksamhetens kontinuerliga drift har utvärderats och att lämpliga åtgärder har vidtagits. Dessa åtgärder ska vara tydligt strukturerade och organiserade för att verksamhetsstödet ska kunna återställas inom för verksamheten definierad kritisk tid. Alla berörda parter ska veta hur, när och vilka olika åtgärder som ska vidtas då en incident i form av ett avbrott inträffar. Fokus för denna del av kontinuitetsplaneringen ligger på hantering av information och system. De delar av kontinuitetsplaneringen som berör katastrof-och beredskapssituationer ska ingå i sjukhusets övriga katastrofplanering. Kontinuitet- och avbrottsplanering är inte bara en teknisk fråga. Alla medarbetare inom sjukhuset har en viktig roll. Sjukhusdirektören är ansvarig för den sjukhusövergripande kontinuitetsplaneringen. Verksamhetschefen har det övergripande ansvaret för att säkerställa att det genomförs analyser av verksamhetsprocessens viktiga delkomponenter samt att det skapas reservrutiner för att bedriva verksamheten vid en eventuell incident, vilket ska beskrivas i en kontinuitetsplan. Planen ska dessutom innehåll information om åtgärder för återgång till normal drift. Systemägaren/objektägaren är ansvarig för att säkerställa att det finns en etablerad riskutvärdering och riskhantering på plats för systemet och att en avbrottsplan utvecklas och underhålls för nödvändiga delar. CITO ansvarar för att kravställa att det upprättas avbrottsplaner avseende infrastrukturen och dess tjänster. Dessa ska möta verksamhetens definierade krav på återstartstider. Anställda ska vara medvetna om det ansvar de har i den befintliga kontinuitetsplaneringen inom sina respektive områden. Dessa ansvarsområden ska definieras och stämmas av tillsammans med verksamhetsansvarig och den anställdes närmaste chef. Nivån och omfattningen av kontinuitetsplaneringen ska bero på behovet och verksamhetens beroende av respektive verksamhetsprocess eller system för att upprätthålla den löpande verksamheten. Det är också viktigt att förstå graden av risk, hot och inverkan av ett avbrott på respektive avdelning, eller dess verksamhetsprocesser när kritisk återstartstid fastställs för processen eller systemet. Det är godtagbart att besluta om att vissa system inte täcks av någon plan och att resurser och insatser, i händelse av en akutsituation, fokuseras på mer känsliga aktiviteter och system. Under sådana omständigheter återställs dessa system efter det att mer kritiska system tagits om hand. Att fatta dessa beslut hjälper till avsevärt vid en eventuell krissituation. För att uppnå en god kontinuitet krävs en kombination av förebyggande aktiviteter och återställande skydd. Under arbetet med att ta fram kontinuitetsplaner identifieras ofta ett antal Handläggare: Gunnar Hamber, Johan Bratt, Stina Fransson Sellgren Dokumentnr: STAB0507 Fastställare: Ann-Britt Bolin Wiechel Version: 1 Organisation: Kvalitet och patientsäkerhet Giltig fr o m: Utskriftsdatum:

17 Styrande dokument 16 (17) åtgärder som minskar risken för att katastrofsituationer, störningar och oplanerade avbrott överhuvudtaget ska inträffa. I sjukhusets verksamheter som är mycket känsliga för avbrott bör stort fokus läggas på dessa förebyggande åtgärder. Mer information finns i Bilaga 22 Kontinuitetsplanering. Verksamhetens kontinuitets- och avbrottsplaner ska underhållas och testas regelbundet, minst årligen, för att säkerställa att de fungerar, är ändamålsenliga och fortfarande speglar verkligheten. Dessa test fungerar även som utbildnings- och kommunikationsinsats för berörda funktioner och roller. Handläggare: Gunnar Hamber, Johan Bratt, Stina Fransson Sellgren Dokumentnr: STAB0507 Fastställare: Ann-Britt Bolin Wiechel Version: 1 Organisation: Kvalitet och patientsäkerhet Giltig fr o m: Utskriftsdatum:

18 Styrande dokument 17 (17) 12 Efterlevnad Dessa riktlinjer och dess bilagor för informationssäkerhet utgör det ramverk som alla vi som anställda inom sjukhuset måste följa. Vår förmåga att förstå vikten av och efterleva dessa krav är helt avgörande för hur vi hanterar vår information och i slutändan, för våra patienters förtroende och deras säkerhet. Grundläggande säkerhet En korrekt förståelse av angivna krav och villkor för hela sjukhusets informationssäkerhet krävs av samtliga anställda för att hantera informationssäkerheten på ett bra och effektivt sätt. Säkerhetskrav och skydd behöver kontinuerligt utvärderas för att säkerställa att skyddsnivån över tiden är rätt i relation till identifierade risker. Vidare är det viktigt att säkerställa att fastställda säkerhetsprinciper efterlevs och uppfylls. Alla verksamhetschefer ansvarar för att säkerställa att verksamheten sköts i enlighet med dessa riktlinjer och dess bilagor samt att regelbundet rapportera om verksamhetens efterlevnad av informationssäkerhetskraven till Informationssäkerhetssamordnaren. Brott mot gällande säkerhetsregler kan medföra att anställda fråntas sin åtkomsträttighet till sjukhusets IT-system. Detta genom beslut av verksamhetschef i samråd med Informationssäkerhetssamordnaren. Allvarligare fall av missbruk eller andra liknande regelbrott ska anmälas till personalavdelningen. Misstankar om brottslig verksamhet polisanmäls. Informationssäkerheten gällande viktiga verksamhetsprocesser, system och IT-miljön bör regelbundet genomgå oberoende granskningar. Resultatet av dessa granskningar ska avrapporteras till sjukhusdirektören och sjukhusledningen. Det ska finnas en tydlig process för att hantera eventuella avvikelser. Utformningen, driften och användningen av informationssystem kan falla under lagstadgade, reglerande och avtalsenliga säkerhetskrav. Det åligger varje verksamhetsansvarig att säkerställa att gällande regler, föreskrifter och lagar efterlevs i verksamheten. Råd gällande specifika rättsliga krav ska sökas från sjukhusets rättsliga rådgivare eller lämpliga kvalificerade jurister. Sjukhusets Informationssäkerhetssamordnare är ansvarig för dessa riktlinjer. Årligen ska granskning och uppdateringar genomföras som en del av informationssäkerhetsprocessen. Detta för att säkerställa att riktlinjerna omfattar eventuella nya risker och hot som måste hanteras samt att föreslagna säkerhetslösningar fortfarande är tillräckliga och aktuella. Informationssäkerhetssamordnaren ska årligen sammanställa en rapport om arbetet med informationssäkerheten till sjukhusdirektören. Handläggare: Gunnar Hamber, Johan Bratt, Stina Fransson Sellgren Dokumentnr: STAB0507 Fastställare: Ann-Britt Bolin Wiechel Version: 1 Organisation: Kvalitet och patientsäkerhet Giltig fr o m: Utskriftsdatum:

19 Styrande dokument 1 (38) Bilagor till Riktlinjer för informationssäkerhet Innehåll Bilaga 1. Ansvarsbeskrivning för sjukhusdirektör... 2 Bilaga 2. Ansvarsbeskrivning för Informationssäkerhetssamordnare... 3 Bilaga 3. Ansvarsbeskrivning för chefer och verksamhetschefer... 4 Bilaga 4. Ansvarsbeskrivning för Chief Information and Technology Officer (CITO)... 5 Bilaga 5. Ansvarsbeskrivning för informationsägare... 6 Bilaga 6. Ansvarsbeskrivning för systemägare/objektägare... 7 Bilaga 7. Genomförande av riskanalys... 8 Bilaga 8. Informationsklassificering... 9 Bilaga 9. Hantering av patientuppgifter Bilaga 10. Hantering av skyddade personuppgifter Bilaga 11. Informationshantering vid rekrytering, anställning och avslut av anställning Bilaga 12 Informationssäkerhet en presentation för Karolinskas medarbetare Bilaga 13. Kravställning av driftsäkerhet Bilaga 14. Kravställning av kommunikations-och nätverkssäkerhet Bilaga 15. Kravställning vid drift utanför landstinget Bilaga 16. Åtkomstadministration Bilaga 17. Granskning av åtkomsträttigheter Bilaga 18. Loggning och loggranskning Bilaga 19. Kravställning vid anskaffning och utveckling av system Bilaga 20. Kravställning av systemförvaltning Bilaga 21. Hantering och rapportering av informationssäkerhetsincidenter Bilaga 22. Kontinuitetsplanering Versionshistorik Varje dokument bör innehålla en historik som för varje version talar om vad som ändrats, vem som gjort ändringen och när ändringen gjordes. Version Datum Förändring och kommentar Ansvarig Ny handläggare Ann-Britt Bolin- Wiechel Fastställt genom beslut Kshd 19/2012 Sjukhusdirektör, Birgir Jakobsson

20 Styrande dokument 2 (38) Bilaga 1. Ansvarsbeskrivning för sjukhusdirektör Nedan beskrivs ansvarsområdena för Karolinska Universitetssjukhusets (Karolinskas) sjukhusdirektör avseende informationssäkerhet: Ansvarar för informationssäkerhet på en sjukhusövergripande nivå samt är ytterst ansvarig för att det finns aktuella och kommunicerade riktlinjer avseende informationssäkerhetsarbetet på sjukhuset. Ansvarar för det sjukhusgemensamma arbetet med informationssäkerhet. Bland annat inom kontinuitetsplanering, riskhantering och incidenthantering. Ansvarar för att årligen rapportera kring sjukhusets informationssäkerhetsarbete till Karolinska Universitetssjukhusets styrelse.

21 Styrande dokument 3 (38) Bilaga 2. Ansvarsbeskrivning för Informationssäkerhetssamordnare Nedan beskrivs ansvarsområdena för Karolinska Universitetssjukhusets (Karolinskas) Informationssäkerhetssamordnare avseende informationssäkerhet: Ansvarar för att samordna och koordinera det sjukhusgemensamma arbetet med informationssäkerhet. Bland annat inom kontinuitetsplanering, riskhantering och incidenthantering. Ansvarar för att utforma handlingsplaner samt planera och koordinera informationssäkerhetsarbetet på sjukhuset i enlighet med informationssäkerhetsprocessen. Ansvarar för att förvalta sjukhusets ledningssystem för informationssäkerhet och säkerställa att riktlinjerna och dess bilagor hålls aktuella och uppdaterade. Ansvarar för att kravställa mot verksamheten avseende informationssäkerhet. Exempelvis avseende övergripande IT-säkerhet och fysisk säkerhet. Ansvarar för att årligen rapportera följande till Karolinskas sjukhusdirektör: Resultat av granskningar avseende skyddsåtgärder som gjorts i enlighet med landstingets policy och riktlinjer samt sjukhusets riktlinjer och dess bilagor. Riskanalyser som utförts avseende informationssäkerheten inom sjukhuset. Förbättringsåtgärder som vidtagits avseende informationssäkerheten. Summering och analys av de informationssäkerhetsincidenter som inträffat under året. Efterlevnaden av landstingets policy och riktlinjer samt sjukhusets riktlinjer och dess bilagor. Ansvarar för att representera Karolinska Universitetssjukhuset i Stockholms läns landstings informationssäkerhetsråd samt vara sjukhusets kontaktperson gentemot landstingets informationssäkerhetschef.

22 Styrande dokument 4 (38) Bilaga 3. Ansvarsbeskrivning för chefer och verksamhetschefer Chefer inom Karolinska Universitetssjukhuset (Karolinska) ansvarar för nedanstående områden avseende informationssäkerheten inom sitt respektive ansvarsområde: Ansvarar för att säkerställa att alla anställda inom ansvarsområdet får tillräcklig utbildning i informationssäkerhet och att de följer fastställda informationssäkerhetsregler. Ansvarar för att de anställda har korrekta åtkomsträttigheter i relation till sin roll/uppgift. Detta genom att följa befintliga instruktioner för tilldelning av åtkomsträttigheter samt att aktivt delta i regelbundna granskningar av åtkomsträttigheter. För mer information, se Bilaga 16 Åtkomstadministration och Bilaga 17 Granskning av åtkomsträttigheter. Ansvarar för att beakta informationssäkerheten vid rekrytering, anställning och uppsägning. För mer information, se Bilaga 11 Informationshantering vid rekrytering, anställning och avslut av anställning. Verksamhetschefer inom Karolinska ansvarar, utöver punkterna ovan, även för nedanstående områden avseende för informationssäkerheten inom sin verksamhet: Ansvarar för informationssäkerheten inom respektive verksamhet samt för att regelbundet följa upp och rapportera efterlevnaden av informationssäkerhetskrav inom verksamheten till sjukhusets informationssäkerhetschef. Ansvarar för, och är informationsägare av, den patientinformation som genereras av den egna verksamheten. För mer information kring ansvarsområden kopplat till rollen som informationsägare, se Bilaga 5 Ansvarsbeskrivning för informationsägare. Ansvarar för att informationssäkerheten beaktas inom processerna för rekrytering, anställning och uppsägning inom verksamheten. För mer information, se Bilaga 11 Informationshantering vid rekrytering, anställning och avslut av anställning. Ansvarar för att säkerställa att alla anställda inom verksamhetsområdet får tillräcklig utbildning i informationssäkerhet och att de följer fastställda informationssäkerhetsregler. Ansvarar för att tid och resurser finns avsatta för informationssäkerhetsarbetet inom verksamheten. Ansvarar för att verksamhetsövergripande riskanalyser genomförs på regelbunden basis. För mer information, se Bilaga 7 Genomförande av riskanalys. Ansvarar för att alla informationstillgångar inom verksamheten har utpekade informationsägare samt att tillgångarna informationsklassificeras. För mer information, se Bilaga 8 Informationsklassning. Ansvarar för att kontinuitetsplanering sker och koordineras på verksamhetsövergripande nivå. För mer information, se Bilaga 22 Kontinuitetsplanering.

23 Styrande dokument 5 (38) Bilaga 4. Ansvarsbeskrivning för Chief Information and Technology Officer (CITO) Nedan beskrivs ansvarsområdena för Karolinska Universitetssjukhusets (Karolinskas) CITO inom informationssäkerhetsområdet: Ansvarar för att säkerställa efterlevnad avseende de informationssäkerhetskrav som ställs på de IT-system, miljöer och komponenter som CITO-organisationen och Utveckling och Innovation (U&I) ansvarar för. Ansvarar för att utforma instruktioner för IT-verksamheten baserat på sjukhusets riktlinjer och dess bilagor avseende informationssäkerhet. Instruktionerna ska hållas uppdaterade och efterlevas. Ansvarar för att kravställa avseende sjukhusets infrastruktur och dess säkerhet. För mer information, se Bilaga 14 Kravställning av kommunikations- och nätverkssäkerhet. Ansvarar för och koordinera det sjukhusövergripande IT-säkerhetsarbetet. Ansvarar för att säkerställa att IT-personalen (intern och extern) följer gällande regler för informationssäkerhet. Ansvarar för att säkerställa att IT-personalen får nödvändig utbildning avseende informationssäkerhet. Ansvarar för att säkerställa att anlitade leverantörer inom IT-området uppfyller Karolinskas krav på informationssäkerhet.

24 Styrande dokument 6 (38) Bilaga 5. Ansvarsbeskrivning för informationsägare Nedan beskrivs ansvarsområdena för Karolinska Universitetssjukhusets (Karolinskas) informationsägare avseende informationssäkerhet: Ansvarar för att informationstillgången klassas enligt Karolinskas och landstingets informationsklassningsmodell. För mer information, se Bilaga 8 Informationsklassning. Ansvarar för att riskanalyser genomförs regelbundet avseende informationstillgången. För mer information, se Bilaga 7 Genomförande av riskanalys. Ansvarar för att korrekta åtkomsträttigheter är uppsatta för informationstillgången samt att regelbundna granskningar genomförs av åtkomsträttigheterna. Arbetet genomförs i samarbete med systemägarna för de system som behandlar och tillhandahåller information. För mer information, se Bilaga16 Åtkomstadministration och Bilaga 17 Granskning av åtkomsträttigheter. Ansvarar för att loggning och logguppföljning av användaraktiviteter kopplat till informationen genomförs i ändamålsenlig utsträckning. Arbetet genomförs i samarbete med systemägarna för de system som behandlar och tillhandahåller informationen. För mer information, se Bilaga 18 Loggning och loggranskning. Ansvarar för att kravställa mot systemägare avseende val av skyddsåtgärder för informationen. Detta gäller avseende alla system där informationstillgångens information hanteras. Ansvarar för att informationstillgångar som innehåller personuppgifter hanteras i enlighet med Personuppgiftslagen. Informationsägaren ansvarar då för att anmäla detta till sjukhusets personuppgiftsombud. Ansvarar för att det genomförs sekretessprövning innan utlämnande av patientuppgifter. Ansvarar för kravställning över hur information som överlämnats till annan part (utanför sjukhuset) ska hanteras. Ansvarar för och beslutar om hur informationen får hanteras och förvaras, både i digital och i fysisk form. Vid hantering eller förvaring utanför sjukhusets nät ska en riskanalys genomföras, se Bilaga 7 Genomförande av riskanalys.

25 Styrande dokument 7 (38) Bilaga 6. Ansvarsbeskrivning för systemägare/objektägare Nedan beskrivs ansvarsområdena för Karolinska Universitetssjukhusets (Karolinskas) systemägare/objektägare avseende informationssäkerhet: Ansvarar för den övergripande informationssäkerheten avseende det specifika systemet. Ansvarar för kravställning avseende systemets driftsäkerhet. För mer information, se Bilaga 13 Kravställning av driftsäkerhet. Ansvarar för att det regelbundet genomförs riskanalyser för systemet. För mer information, se Bilaga 7 Genomförande av riskanalys. Ansvarar för att definiera och följa upp systemets skyddsåtgärder samt säkerställa att dessa är i enlighet med kraven avseende informationssäkerhet. Ansvarar för att upprätta samarbete med informationsägare avseende de informationstillgångar som hanteras i systemet. Ansvarar för att systemförvaltare utses och att kravställning gentemot denne sker avseende informationssäkerhetsarbetet. För mer information, se Bilaga 20 Kravställning av systemförvaltning. Ansvarar för att säkerställa att kraven avseende systemutveckling och systemförändring följs. För mer information, se Bilaga 19 Kravställning vid anskaffning och utveckling av system och Bilaga 13 Kravställning av driftsäkerhet. Ansvarar för kravställningen av informationssäkerhet och skyddsåtgärder då drift av system sker utanför Karolinskas och landstingets verksamhet. För mer information, se Bilaga 15 Kravställning vid drift utanför landstinget. Ansvarar för att det, i system innehållande patientinformation, finns en funktion som säkerställer automatisk utloggning ur systemet eller aktivering av lösenordskyddad skärmsläckare efter en viss tids inaktivitet. Ansvara för att det finns en fastställd instruktion och organisation för administration av åtkomsträttigheter till systemet samt att denna används. För mer information, se Bilaga 16 Åtkomstadministration. Ansvara för att regelbundna granskningar av åtkomsträttigheter i systemet genomförs samt att instruktioner finns för hur granskningarna ska genomföras. För mer information, se Bilaga 17 Granskning av åtkomsträttigheter. Ansvarar för att i samarbete med CITO besluta om och tilldela personliga administratörsrättigheter till systemet. För mer information, se Bilaga 16 Åtkomstadministration. Ansvarar för att funktionalitet för loggning finns i systemet. Ansvarar även för att systemspecifika instruktioner finns för loggranskning av användaraktiviteter i systemet samt för att regelbundna loggranskningar genomförs. För mer information, se Bilaga 18 Loggning och loggranskning.

26 Styrande dokument 8 (38) Bilaga 7. Genomförande av riskanalys Riskanalyser ska genomföras regelbundet på olika nivåer och inom olika områden inom Karolinska Universitetssjukhusets (Karolinskas) verksamhet. Det finns olika metoder och modeller för att genomföra riskanalyser och en vedertagen metod inom hälso-och sjukvårdsområdet är Socialstyrelsens och Sveriges kommuner och landstings Risk och händelseanalys handbok för patientsäkerhetsarbete. Oavsett vilken metod som används ska nedanstående aktiviteter alltid finnas med vid genomförandet av en riskanalys: 1. Definiera analysens omfattning och avgränsning Ramarna för den riskanalys som ska genomföras sätts genom att det område eller den process som ska analyseras definieras och avgränsningar görs. Metod för genomförande av analysen väljs och de personer som ska delta i riskanalysarbetet identifieras. Det är av stor vikt att dessa personer känner till det aktuella området eller processen väl. 2. Identifiera risker För varje delområde eller steg i processen ska riskerna identifieras samt de konsekvenser de kan få på patient- och/eller informationssäkerheten. För varje identifierad risk ska det utses en ägare. 3. Bedöma riskens omfattning Riskens omfattning bör bedömas utifrån en definierad metod som också gör det möjligt att jämföra risker och dess omfattning. En risks omfattning är en sammanvägning av riskens bedömda påverkan på verksamheten och sannolikheten att den inträffar. 4. Utarbeta åtgärdsförslag Varje risk kan ha en eller flera orsaker. Förslag på åtgärder för att hantera risker och dess potentiella orsaker måste därför arbetas fram. Åtgärderna kan exempelvis förhindra att riskens bakomliggande orsak inträffar, minimera riskens konsekvens eller minska sannolikheten för att risken inträffar. 5. Dokumentera riskanalysen En rapport ska sammanställas utifrån den genomförda riskanalysen. Rapporten bör innehålla information kring alla steg i genomförandet av riskanalysen och ligga till grund för planering av fortsatt arbete kring riskhanteringen.

27 Styrande dokument 9 (38) Bilaga 8. Informationsklassificering Alla viktiga informationstillgångar inom Karolinska Universitetssjukhuset (Karolinska) ska klassificeras. Informationsägaren ansvarar för klassificeringen som måste omprövas regelbundet. Vid en klassificering av en informationstillgång eller ett system som delas mellan flera informationsägare måste samordning ske. Nedanstående matris är en anpassning av Stockholms läns landstings klassificeringsmodell som ska användas inom Karolinska. Nivåerna utgår från en bedömd skada vid obehörig åtkomst, bristande riktighet och bristande tillgänglighet till en informationstillgång. Nivå 1 innebär försumbar skada och nivå 3 innebär allvarlig skada.

Informationssäkerhet Policy och riktlinjer för Stockholms läns sjukvårdsområde

Informationssäkerhet Policy och riktlinjer för Stockholms läns sjukvårdsområde 1 (12) Informationssäkerhet Policy och riktlinjer för Stockholms läns sjukvårdsområde Dokumentnamn Regnr Gäller fr.o.m Informationssäkerhet - riktlinjer för 2013-01-22 SLSO Handläggare Godkänd/signatur

Läs mer

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet Dnr 1-516/2013 (ersätter Dnr 6255-2012-060) Gäller från och med Informationsklass: K1R2T1 Bilaga 2. Ansvarsbeskrivningar

Läs mer

Riktlinjer och regler för informationssäkerhet vid Karolinska Institutet (utan bilagor)

Riktlinjer och regler för informationssäkerhet vid Karolinska Institutet (utan bilagor) Riktlinjer och regler för informationssäkerhet vid Karolinska Institutet (utan bilagor) Dnr 1-516/2013 (ersätter Dnr 6255-2012-060) Version 2.0 Gäller från och med Revisionshistorik Versionsnummer Datum

Läs mer

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy inom Stockholms läns landsting LS 1112-1733 Informationssäkerhetspolicy inom Stockholms läns landsting 2013-02-01 Beslutad av landstingsfullmäktige 2013-03-19 2 (7) Innehållsförteckning 1 Inledning...3 2 Mål... 4 3 Omfattning... 4 4

Läs mer

Riktlinjer och regler för informationssäkerhet vid Karolinska Institutet

Riktlinjer och regler för informationssäkerhet vid Karolinska Institutet Riktlinjer och regler för informationssäkerhet vid Karolinska Institutet Dnr 6255-2012-060 (ersätter Riktlinjer för informationssäkerhet Dnr 2691/11-010) Gäller från och med 2013-01-01 Beslut Dnr: 6255/12-060

Läs mer

Bilaga 1 - Handledning i informationssäkerhet

Bilaga 1 - Handledning i informationssäkerhet Bilaga 1 - Handledning i informationssäkerhet Regler för informationssäkerhet vid Karolinska Institutet Dnr 1-516/2013 (ersätter Dnr 6255-2012-060) Gäller från och med Bilagor Bilaga 1. Handledning i informationssäkerhet

Läs mer

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting Informationssäkerhetspolicy för Stockholms läns landsting 1 Innehållsförteckning Inledning... 3 Mål... 4 Omfattning... 4 Innebörd... 4 Ansvar... 6 Uppföljning och revidering... 7 LS 1112-1733 Beslutad

Läs mer

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad: 2013-10-23

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad: 2013-10-23 Informationssäkerhet vid Karolinska Universitetssjukhuset Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad: 2013-10-23 Förlorar vi informationen, om den är felaktig eller manipulerad

Läs mer

Handledning i informationssäkerhet Version 2.0

Handledning i informationssäkerhet Version 2.0 Handledning i informationssäkerhet Version 2.0 2013-10-01 Dnr 1-516/2013 (ersätter Dnr 6255/12-060) Informationssäkerhet 6 saker att tänka på! 1. Skydda dina inloggningsuppgifter och lämna aldrig ut dem

Läs mer

Informationssäkerhet

Informationssäkerhet Informationssäkerhet Information och anvisningar för medarbetare i Stockholms läns sjukvårdsområde Informationssäkerhet 3 Informationssäkerhet inom Stockholms läns sjukvårdsområde (SLSO) Med informationssäkerhet

Läs mer

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet Riktlinjer Handläggare Vårt diarienummer Datum Sidan 1(8) Jonas Åström KS2016/222 VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL Sandvikens kommuns Riktlinjer för informationssäkerhet

Läs mer

Policy för informationssäkerhet

Policy för informationssäkerhet .. - T C Q o,.. e Policy för informationssäkerhet Landstingsdirektörens stab augusti 2015 CJiflt LANDSTINGET BLEKINGE Innehållsförteckning Inledning och bakgrund... 3 Syfte... 3 Mål... 3 Genomförande...

Läs mer

Myndigheten för samhällsskydd och beredskaps författningssamling

Myndigheten för samhällsskydd och beredskaps författningssamling Myndigheten för samhällsskydd och beredskaps författningssamling Utgivare: Key Hedström, Myndigheten för samhällsskydd och beredskap ISSN 2000-1886 MSBFS Utkom från trycket den 11 mars 2016 Myndigheten

Läs mer

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket 15-12-07 1/6 Tillämpningsområde 1 Denna författning innehåller bestämmelser om myndigheternas arbete med informationssäkerhet och deras tillämpning av standarder i sådant arbete. 2 Författningen gäller

Läs mer

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Riktlinjer för säkerhetsarbetet vid Uppsala universitet Dnr UFV 2010/424 Riktlinjer för säkerhetsarbetet vid Uppsala universitet Fastställda av Universitetsdirektören 2010-03-31 Innehållsförteckning 1 Inledning 3 2 Ansvar 3 3 Underlåtelse 3 4 Definitioner 3

Läs mer

Fördelning av ansvar för informationssäkerhet. Version: 1. Beslutsinstans: Regiondirektören

Fördelning av ansvar för informationssäkerhet. Version: 1. Beslutsinstans: Regiondirektören Version: 1 Beslutsinstans: Regiondirektören 2(10) ÄNDRINGSFÖRTECKNING Version Datum Ändring Beslutat av 1. 2016-06-30 Nyutgåva Regiondirektören 3(10) INNEHÅLLSFÖRTECKNING 1 INLEDNING...4 2 ANSVAR FÖR INFORMATIONSSÄKERHET...4

Läs mer

Lokal informationssäkerhetspolicy för hälso- och sjukvårdsförvaltningen

Lokal informationssäkerhetspolicy för hälso- och sjukvårdsförvaltningen Hälso- och sjukvårdsförvaltningen TJÄNSTEUTLÅTANDE 2016-03-03 1 (3) HSN 1506-0806 Handläggare: Bill Heiding, Carina Landberg Hälso- och sjukvårdsnämnden 2016-04-19, p 11 Lokal informationssäkerhetspolicy

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Observera att denna konsoliderade version är en sammanställning, och att den tryckta författningen är den officiellt giltiga. En konsoliderad version är en fulltextversion där alla ändringar har införts

Läs mer

Lokal informationssäkerhetspolicy, lokala informationssäkerhetsriktlinjer och anvisningar

Lokal informationssäkerhetspolicy, lokala informationssäkerhetsriktlinjer och anvisningar Handläggare: Christina Hegefjärd 1 (1) PAN 2015-12-01 P 6 TJÄNSTEUTLÅTANDE 2015-12-01 PaN A1510-0031257 PaN A1510-0031157 PaN A1510-0031057 Lokal informationssäkerhetspolicy, lokala informationssäkerhetsriktlinjer

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om informationssäkerhet, it-verksamhet och insättningssystem;

Läs mer

Regler och instruktioner för verksamheten

Regler och instruktioner för verksamheten Informationssäkerhet Regler och instruktioner för verksamheten Dokumenttyp Regler och instruktioner Dokumentägare Kommungemensam ITsamordning Dokumentnamn Regler och instruktioner för verksamheten Dokumentansvarig

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om it-system, informationssäkerhet och insättningssystem;

Läs mer

POLICY INFORMATIONSSÄKERHET

POLICY INFORMATIONSSÄKERHET POLICY INFORMATIONSSÄKERHET Fastställd av Kommunfullmäktige 2016-03-21 56 Bo Jensen Säkerhetsstrateg Policy - Informationssäkerhet Denna policy innehåller Haninge kommuns viljeinriktning och övergripande

Läs mer

Bilaga till rektorsbeslut RÖ28, (5)

Bilaga till rektorsbeslut RÖ28, (5) Bilaga till rektorsbeslut RÖ28, 2011 1(5) Informationssäkerhetspolicy vid Konstfack 1 Inledning Information är en tillgång som tillsammans med personal, studenter och egendom är avgörande för Konstfack

Läs mer

Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret

Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret Antagen av Kommunfullmäktige 2009-04-23 57 1. Allmänt... 3 1.1 Inledning... 3 1.2 Begreppet informationssäkerhet

Läs mer

Informationssäkerhetspolicy. Linköpings kommun

Informationssäkerhetspolicy. Linköpings kommun Informationssäkerhetspolicy Linköpings kommun Antaget av: Kommunfullmäktige Status: Antaget 2016-08-30 291 Giltighetstid: Tillsvidare Linköpings kommun linkoping.se Sekretess: Öppen Diarienummer: Ks 2016-481

Läs mer

I Central förvaltning Administrativ enhet

I Central förvaltning Administrativ enhet ., Landstinget II DALARNA I Central förvaltning Administrativ enhet ~llaga LS 117,4 BESLUTSUNDERLAG Landstingsstyrelsen Datum 2013-11-04 Sida 1 (3) Dnr LD13/02242 Uppdnr 652 2013-10-21 Landstingsstyrelsens

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2006-09-07 Informationssäkerhetspolicy Antagen av kommunfullmäktige 2006-09-28, 140 Innehåll 1 INLEDNING...3 2 MÅL FÖR INFORMATIONSSÄKERHETSARBETET...4 2.1 LÅNGSIKTIGA MÅL...4 2.2 ÅRLIGA MÅL...4 3 ORGANISATION,

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2009-07-15 1 (9) Informationssäkerhetspolicy Antagen av kommunfullmäktige den 2009-10-21, 110 Kommunstyrelseförvaltningen Postadress Besöksadress Telefon Telefax E-post Hemsida 462 85 Vänersborg Sundsgatan

Läs mer

Bilaga 3 Säkerhet Dnr: /

Bilaga 3 Säkerhet Dnr: / stockholm.se Utbildningsförvaltningen Avdelningen för utveckling och samordning Hantverkargatan 2F 104 22 Stockholm Växel 08-508 33 000 www.stockholm.se Innehåll 1 Inledning 3 2 Krav på säkerhetsarbete

Läs mer

IT-Säkerhetsinstruktion: Förvaltning

IT-Säkerhetsinstruktion: Förvaltning n av 7 för Munkfors, Forshaga, Kils och Grums kommun april 2006 av IT-samverkansgruppen n 2 av 7 IT SÄKERHETSINSTRUKTION: FÖRVALTNING Innehållsförteckning IT-säkerhetsinstruktion Förvaltnings roll i IT-säkerhetsarbetet...3

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010. Revisionsrapport Verket för högskoleservice Box 24070 104 50 Stockholm Datum Dnr 2011-03-08 32-2010-0738 Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice

Läs mer

Riktlinjer för informationssäkerhet

Riktlinjer för informationssäkerhet Dnr UFV 2015/322 Riktlinjer för informationssäkerhet Riskanalyser av informationssystem Fastställda av Säkerhetschefen 2015-03-06 Innehållsförteckning 1 Inledning... 3 2 Definitioner... 3 3 Syfte... 3

Läs mer

Informationssäkerhet - Informationssäkerhetspolicy

Informationssäkerhet - Informationssäkerhetspolicy Informationssäkerhet - Informationssäkerhetspolicy Informationssäkerhetspolicy 2008-08-29 Innehållsförteckning 1 Inledning... 1 2 Mål för IT-sbäkerhetsarbetet... 2 2.1 Långsiktiga mål... 2 2.2 Årliga mål...

Läs mer

2012-12-12 Dnr 074-11-19

2012-12-12 Dnr 074-11-19 HÖGSKOLAN I BORÅS STYRDOKUMENT 2012-12-12 Dnr 074-11-19 Regler för informationssäkerhet Regler för informationssäkerhet är beslutade av enhetschefen för i enlighet med Högskolans säkerhetspolicy (dnr 288-11-101)

Läs mer

Riktlinjer informationssäkerhet

Riktlinjer informationssäkerhet informationssäkerhet Norrbottens läns landstings riktlinjer för informationssäkerhet beskriver hur hanteringen av information ska ske. All information omfattas oberoende av mediatyp. Styrande dokument

Läs mer

Dnr UFV 2017/93. Informationssäkerhet. Riktlinjer för säkerhetsarbetet vid Uppsala universitet. Fastställda av Universitetsdirektören

Dnr UFV 2017/93. Informationssäkerhet. Riktlinjer för säkerhetsarbetet vid Uppsala universitet. Fastställda av Universitetsdirektören Dnr UFV 2017/93 Informationssäkerhet Riktlinjer för säkerhetsarbetet vid Uppsala universitet Fastställda av Universitetsdirektören 2017-05-22 Innehållsförteckning 1 Inledning 3 2 Ansvar 3 3 Definitioner

Läs mer

Välkommen till enkäten!

Välkommen till enkäten! Sida 1 av 12 Välkommen till enkäten! Enkäten går ut till samtliga statliga myndigheter, oavsett storlek. För att få ett så kvalitativt resultat av uppföljningen som möjligt är varje myndighets svar av

Läs mer

Rätt informationssäkerhet är A&O vid införande av välfärdsteknologi. Jeanna Thorslund, Sveriges Kommuner och Landsting Thomas Nilsson, Certezza

Rätt informationssäkerhet är A&O vid införande av välfärdsteknologi. Jeanna Thorslund, Sveriges Kommuner och Landsting Thomas Nilsson, Certezza Rätt informationssäkerhet är A&O vid införande av välfärdsteknologi Jeanna Thorslund, Sveriges Kommuner och Landsting Thomas Nilsson, Certezza Området välfärdsteknologi Vilka typer av nya digitala lösningar

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010. Revisionsrapport Mälardalens högskola Box 883 721 23 Västerås Datum Dnr 2011-03-08 32-2010-0735 Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010 Riksrevisionen

Läs mer

Organisation för samordning av informationssäkerhet IT (0:1:0)

Organisation för samordning av informationssäkerhet IT (0:1:0) Organisation för samordning av informationssäkerhet IT (0:1:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd: Direktionen 20130926 Dnr: 0036/13 Kommunalförbundet ITSAM,

Läs mer

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet 2008:490 kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet Fastställt av kommunfullmäktige 2008-10-02 302 komplettering gjord

Läs mer

Riktlinjer för IT-säkerhet i Halmstads kommun

Riktlinjer för IT-säkerhet i Halmstads kommun Riktlinjer för IT-säkerhet i Halmstads kommun VER 1.0 Innehåll Inledning...3 Definition av IT-säkerhet...3 Omfattning...3 Vikten av IT-säkerhet...3 Mål för IT-säkerhetsarbetet...4 Ledning och ansvar...4

Läs mer

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation Presentation Informationssäkerhet Kim Strandberg Informationssäkerhetsstrateg/jurist kim.strandberg@regionostergotland.se 010-103 03 385 Region Informationssäkerhet, Östergötland 2015-03-11, Kim Strandberg

Läs mer

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhetspolicy IT (0:0:0) Informationssäkerhetspolicy IT (0:0:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd: Direktionen 20130926 Dnr:0036/13 Kommunalförbundet ITSAM, Storgatan 36A, 590 36

Läs mer

IT-säkerhetspolicy för Landstinget Sörmland

IT-säkerhetspolicy för Landstinget Sörmland Bilaga 1, LS 115 /02 1.0 1(5) IT-säkerhetspolicy för Landstinget Sörmland Inledning Bakgrund och motiv Mål Medel Omfattning Organisation och ansvar Regelverk 1.0 2(5) Inledning Policyn är landstingsstyrelsens

Läs mer

Plan för informationssäkerhet vid Högskolan Dalarna 2015

Plan för informationssäkerhet vid Högskolan Dalarna 2015 Plan för informationssäkerhet vid Högskolan Dalarna 2015 Beslut: 2015-05-04 Reviderad: Dnr: DUC 2015/769/10 Ersätter: Relaterade dokument: Policy för informationssäkerhet Ansvarig: Förvaltningschef Innehållsförteckning

Läs mer

Ledningssystem för Informationssäkerhet

Ledningssystem för Informationssäkerhet Dnr 2017/651 Ledningssystem för Informationssäkerhet Riktlinjer för säkerhetsarbetet vid Uppsala universitet Innehåll 1 Inledning... 3 2 Organisationens förutsättningar... 4 3 Ledarskap... 5 4 Planering...

Läs mer

EDA KOMMUN. nformationssäkerhet - Informationssäkerhetspolicy

EDA KOMMUN. nformationssäkerhet - Informationssäkerhetspolicy EDA KOMMUN nformationssäkerhet - Informationssäkerhetspolicy Innehållsförteckning 1 Inledning... 1 2 Mål för IT-sbäkerhetsarbetet... 2 2.1 Långsiktiga mål... 2 2.2 Årliga mål... 2 3 Organisation, roller

Läs mer

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun 2013-2016

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun 2013-2016 Informationssäkerhetspolicy Informationssäkerhetspolicy för Vingåkers kommun 013-016 Innehållsförteckning 1 Mål... Syfte... 3 Ansvarsfördelning... 4 Definition... 5 Genomförande och processägare... 3 Dokumentnamn

Läs mer

Rutin för kontroll av åtkomst till patientuppgifter-loggranskning av NPÖ, Meddix och verksamhetssystem

Rutin för kontroll av åtkomst till patientuppgifter-loggranskning av NPÖ, Meddix och verksamhetssystem SOCIALFÖRVALTNINGEN Annika Nilsson, 0554-191 56 annika.nilsson@kil.se 2014-05-07 Rutin för kontroll av åtkomst till patientuppgifter-loggranskning av NPÖ, Meddix och verksamhetssystem INLEDNING Patientdatalagen

Läs mer

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 3 RIKTLINJER FÖR ATT UPPNÅ MÅLEN... 3 3.1 ALLMÄNT... 3 3.2 LEDNING OCH ANSVAR FÖR IT-SÄKERHET... 3 3.2.1 Systemägare... 3 3.2.2

Läs mer

Karolinska Universitetssjukhuset i Stockholm. Verksamhetstillsyn tillsyn av vårdgivarens informationssäkerhet

Karolinska Universitetssjukhuset i Stockholm. Verksamhetstillsyn tillsyn av vårdgivarens informationssäkerhet C" Socialstyrelsen BESLUT T/Region Öst/Sek3 Jörgen Maersk-Möller jorgen.maersk-moller@socialstyrelsen.se 2011-06-15 Dnr 9.1-6937/2011 1(8) Karolinska Universitetssjukhuset Sjukhusdirektören Birgir Jakobsson

Läs mer

Informationssäkerhetsanvisningar Förvaltning

Informationssäkerhetsanvisningar Förvaltning HÖGSKOLAN I BORÅS STYRDOKUMENT 2012-12-12 Dnr 074-11-19 Informationssäkerhetsanvisningar Förvaltning i enlighet med rektors beslut fattat den 16 februari 2010 (dnr 020-09-101). Gäller från och med den

Läs mer

myndigheter En andra granskning av informationssäkerhet i staten RiR 2016:8 Informationssäkerhetsarbete

myndigheter En andra granskning av informationssäkerhet i staten RiR 2016:8 Informationssäkerhetsarbete BILAGA TILL GRANSKNINGSRAPPORT DNR: 31-2014-1526 Bilaga 5. Enkät till Affärsverket svenska kraftnät, Bolagsverket, Lantmäteriet, Post- och telestyrelsen, Sjöfartsverket samt Statens tjänstepensionsverk

Läs mer

Informationssäkerhet och earkiv Rimforsa 14 april 2016

Informationssäkerhet och earkiv Rimforsa 14 april 2016 Informationssäkerhet och earkiv Rimforsa 14 april 2016 Stephen Dorch, ISMP Information - Organisationens viktigaste tillgång - Säkerhet - Informationen att lita på när jag behöver den - Samordna - Gemensamma

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post Datum Diarienr 2011-12-12 750-2011 Landstingsstyrelsen Landstinget Blekinge 371 81 Karlskrona Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post Datainspektionens beslut

Läs mer

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) INFORMATIONSSÄKERHETSPOLICY Innehållsförteckning Sida 1.1 Informationssäkerhet 1 1.2 Skyddsområden 1 1.3 Övergripande mål 2 1.4 Årliga mål 2 1.5 Organisation

Läs mer

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet.

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet. Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet. Följande allmänna råd ansluter till förordningen (2006:942) om krisberedskap och

Läs mer

Ansvarsförbindelse för Stockholms Läns Landstings Elektroniska Katalog (EK)

Ansvarsförbindelse för Stockholms Läns Landstings Elektroniska Katalog (EK) Ansvarsförbindelse för Stockholms Läns Landstings Elektroniska Katalog (EK) [Organisation som Ansvarsförbindelsen gäller] Modell Anvisning Dokumentation Blankett Rapport Namn Datum Version Ansvarig utgivare

Läs mer

Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm

Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm Vervas allmänna råd till föreskrift om statliga myndigheters arbete med säkert

Läs mer

Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen

Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen Stadsrevisionen Projektplan Informationssäkerhetsarbetet i Göteborgs Stad goteborg.se/stadsrevisionen 2 PROJEKTPLAN INFORMATIONSSÄKERHETSARBETET I GÖTEBORGS STAD Informationssäkerhetsarbetet i Göteborgs

Läs mer

Policy och strategi för informationssäkerhet

Policy och strategi för informationssäkerhet Styrdokument Dokumenttyp: Policy och strategi Beslutat av: Kommunfullmäktige Fastställelsedatum: 2014-10-23, 20 Ansvarig: Kanslichefen Revideras: Vart 4:e år eller vid behov Följas upp: Vartannat år Policy

Läs mer

Policy Document Number ESS-0002649 Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet

Policy Document Number ESS-0002649 Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet Revision 1 (3) State Released Plan för IT Säkerhet DOCUMENT REVISION HISTORY Revision Reason for revision Date 1 New Document 2013-02-26 List of Authors List of Reviewers List of Approvers Skölde, Daniel/Ulrika

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688 Revisionsrapport Malmö Högskola 205 06 Malmö Datum Dnr 2012-05-22 32-2011-0688 Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011 Riksrevisionen har som ett led

Läs mer

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6 Bromölla kommun KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6 Antagen/Senast ändrad Gäller från Dnr Kf 2013-09-30 151 2013-10-01 2013/320 RIKTLINJER FÖR INFORMATIONSSÄKERHET Riktlinjer för informationssäkerhet

Läs mer

Informationssäkerhet, Linköpings kommun

Informationssäkerhet, Linköpings kommun 1 (6) E-Lin projektet 2013-10-28 Informationssäkerhet, Linköpings kommun Delrapport 2 Innehåll Dokumenthistorik... 3 1. Syfte... 3 2. Bakgrund... 3 2.1 Målgrupp... 3 3. Frågeställningar... 3 4. Undersökning...

Läs mer

Svensk Standard SS ISO/IEC 17799 SS 62 77 99-2

Svensk Standard SS ISO/IEC 17799 SS 62 77 99-2 Svensk Standard SS ISO/IEC 17799 SS 62 77 99-2 Ledningssystem för informationssäkerhet () Informationssäkerhet Informationssäkerhet Administrativ säkerhet IT-säkerhet ADB-säkerhet Kommunikationssäkerhet

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010. Revisionsrapport Kungl. Konsthögskolan Box 163 65 103 26 Stockholm Datum Dnr 2011-03-09 32-2010-0732 Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010

Läs mer

BESLUT. Ärendet Egeninitierad verksamhetstillsyn av vårdgivarens informationssäkerhet

BESLUT. Ärendet Egeninitierad verksamhetstillsyn av vårdgivarens informationssäkerhet ii Socia Istyrelsen DRegion SydvästiSek4 Mikael Ramböl mikaetrarnbol@socialstyrelsen.se BESLUT 2011-06-15 Dnr 9.1-7139/2011 1(5) SU/Sahlgrenska Universitetssjukhuset Sjukhusdirektör Jan Eriksson Bruna

Läs mer

Reglemente för internkontroll

Reglemente för internkontroll Kommunstyrelseförvaltningen REGLEMENTE Reglemente för internkontroll "Dubbelklicka - Infoga bild 6x6 cm" Dokumentnamn Fastställd/upprättad av Dokumentansvarig/processägare Reglemente för internkontroll

Läs mer

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och beredskap föreskriver. I dokumentet kommer fortsättningsvis

Läs mer

IT-säkerhetsinstruktion Förvaltning

IT-säkerhetsinstruktion Förvaltning IT-säkerhetsinstruktion Förvaltning 2013-09-24 1.0 IT- S Ä K E R H E T S I N S T R U K T I O N IT-säkerhetsinstruktion Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se

Läs mer

Juridik och informationssäkerhet

Juridik och informationssäkerhet 2 KAPITEL Juridik och informationssäkerhet Sammanfattning Information som hanteras i socialtjänstens hemtjänstverksamhet (hemtjänst) och i kommunal hälso- och sjukvård (hemsjukvård) innehåller känsliga

Läs mer

Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet

Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet 2010-11-22 Beslut 1(9) Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet Inledning Universitetsstyrelsen fastställde 2002-02-27 IT-strategi för Linköpings universitet. Där fastslås

Läs mer

SOSFS 2005:12 (M) Ledningssystem för kvalitet och patientsäkerhet i hälso- och sjukvården. Socialstyrelsens författningssamling

SOSFS 2005:12 (M) Ledningssystem för kvalitet och patientsäkerhet i hälso- och sjukvården. Socialstyrelsens författningssamling SOSFS (M) frfattningssam lingföreskrifter Ledningssystem för kvalitet och patientsäkerhet i hälso- och sjukvården Socialstyrelsens författningssamling I Socialstyrelsens författningssamling (SOSFS) publiceras

Läs mer

Myndigheten för samhällsskydd och beredskaps författningssamling

Myndigheten för samhällsskydd och beredskaps författningssamling Myndigheten för samhällsskydd och beredskaps författningssamling Utgivare: Key Hedström, Myndigheten för samhällsskydd och beredskap ISSN 2000-1886 MSBFS Utkom från trycket den 8 januari 2010 Myndigheten

Läs mer

IT-säkerhetspolicy. Fastställd av KF 2005-02-16

IT-säkerhetspolicy. Fastställd av KF 2005-02-16 IT-säkerhetspolicy Fastställd av KF 2005-02-16 IT-säkerhetspolicy Sidan 2 (9) Revisionsinformation Datum Åtgärd Ansvarig Version 2004-11-19 3.4 Ändrat första meningen PGR 2.0 förvaltningen -> verksamheten

Läs mer

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner Riktlinjer avseende Informationssäkerheten Sida 1 Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner Informationssäkerhet är en del i kommunernas lednings- och kvalitetsprocess

Läs mer

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhetspolicy IT (0:0:0) Informationssäkerhetspolicy IT (0:0:0) Antagen av kommunfullmäktige 2014-02-24, KF 29 Informationssäkerhetspolicy IT (0:0:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd:

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy Styrdokument, policy Kommunledningskontoret 2011-05-03 Per-Ola Lindahl 08-590 970 35 Dnr Fax 08-590 733 40 KS/2015:315 per-ola.lindahl@upplandsvasby.se Informationssäkerhetspolicy Nivå: Kommungemensamt

Läs mer

Informationssäkerhetspolicy för Nässjö kommun

Informationssäkerhetspolicy för Nässjö kommun Författningssamling Antagen av kommunfullmäktige: 2014-11-27 173 Informationssäkerhetspolicy för Nässjö kommun Innehåll 1 Inledning... 3 1.1 Begreppsförklaring... 3 2 Syfte... 4 3 Mål för Informationssäkerhetsarbetet...

Läs mer

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete 2014 En bild av myndigheternas informationssäkerhet 2014 tillämpning av MSB:s föreskrifter Enkätundersökning februari 2014 Utskick

Läs mer

Datainspektionens granskningar av integritetsskyddet inom vård och omsorg. Erik Janzon Datainspektionen

Datainspektionens granskningar av integritetsskyddet inom vård och omsorg. Erik Janzon Datainspektionen Datainspektionens granskningar av integritetsskyddet inom vård och omsorg Erik Janzon Datainspektionen Några utgångspunkter Lagstiftaren och EU vill ha integritet Digitala vinster & digitala risker Integritet

Läs mer

IT-Policy. Tritech Technology AB

IT-Policy. Tritech Technology AB IT-Policy Tritech Technology AB 1 av 6 Innehåll 1 Dokumentinformation...3 1.1 Syfte och målgrupp 3 1.2 Ansvar 3 1.3 Nyttjande 3 1.4 Distribution 3 1.5 Versionshistorik 3 1.6 Godkännande 3 2 IT-Policy...4

Läs mer

Informations- och IT-säkerhet i kommunal verksamhet

Informations- och IT-säkerhet i kommunal verksamhet Informations- och IT-säkerhet i kommunal verksamhet En kommuns roll i trygghets och säkerhetsarbetet och var informations- och IT-säkerheten kommer in i detta Vad, vem och hur man kan arbeta med informations-

Läs mer

Bilaga 3 - Anvisningar Regler för informationssäkerhet vid Karolinska Institutet

Bilaga 3 - Anvisningar Regler för informationssäkerhet vid Karolinska Institutet Bilaga 3 - Anvisningar Regler för informationssäkerhet vid Karolinska Institutet Dnr 1-516/2013 (ersätter Dnr 6255-2012-060) Gäller från och med Innehåll Bilaga 3. Anvisningar... 1 3.1 Genomförande av

Läs mer

Stockholms läns landsting 1 O)

Stockholms läns landsting 1 O) Stockholms läns landsting 1 O) Landstingsradsberedningen SKRIVELSE 2013-02-20 LS 1112-1733 Landstingsstyrelse- Omarbetad informationssäkerhetspolicy och riktlinjer för informationssäkerhet inom Stockholms

Läs mer

Regler för informationssäkerhet

Regler för informationssäkerhet Regler för informationssäkerhet Daniel Stamnell April 2016 2016-04-25 Sida 2 (19) Innehåll 1. INLEDNING... 5 1.1. Målet för kommunens arbete med informationssäkerhet... 5 1.2. Definition av informationssäkerhet...

Läs mer

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ 2006-01-31. Agenda

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ 2006-01-31. Agenda IT governance i praktiken: Styrning och kontroll över ITriskerna med ISO2700X Fredrik Björck Transcendent Group för ADBJ 2006-01-31 Agenda IT governance definierat IT governance i praktiken och infosäk

Läs mer

Säkerhet vid behandling av personuppgifter i forskning

Säkerhet vid behandling av personuppgifter i forskning Säkerhet vid behandling av personuppgifter i forskning Magnus Bergström IT-säkerhetsspecialist magnus.bergstrom@datainspektionen.se www.datainspektionen.se Först några ord om informationssäkerhet Organisationens

Läs mer

Informationssäkerhet en förutsättning för effektiv digitalisering. Moderator: William Linnefell, Ekonomistyrningsverket

Informationssäkerhet en förutsättning för effektiv digitalisering. Moderator: William Linnefell, Ekonomistyrningsverket Informationssäkerhet en förutsättning för effektiv digitalisering Moderator: William Linnefell, Ekonomistyrningsverket Informationssäkerhet en utmaning eller ett stöd i digitaliseringsarbetet? ESV-dagen

Läs mer

Informationshantering och journalföring. Maria Jacobsson, Hälso- och sjukvårdsavdelningen

Informationshantering och journalföring. Maria Jacobsson, Hälso- och sjukvårdsavdelningen Informationshantering och journalföring Maria Jacobsson, Hälso- och sjukvårdsavdelningen 1. Målet för hälso- och sjukvården 2 HSL Målet för hälso- och sjukvården är en god hälsa och en vård på lika villkor

Läs mer

Riktlinjer för informationssäkerhet inom Stockholms läns landsting

Riktlinjer för informationssäkerhet inom Stockholms läns landsting Informationsklass: K1R2T1 LS 1112-1733 Riktlinjer för informationssäkerhet inom Stockholms läns landsting 2013-02-01 Beslutad av landstingsstyrelsen 2013-03-05 och landstingsfullmäktige 2013-03-19 Innehållsförteckning

Läs mer

Transportstyrelsens föreskrifter om hantering av krypteringsnycklar och certifikat för tillverkning av digitala färdskrivare;

Transportstyrelsens föreskrifter om hantering av krypteringsnycklar och certifikat för tillverkning av digitala färdskrivare; Transportstyrelsens föreskrifter om hantering av krypteringsnycklar och certifikat för tillverkning av digitala färdskrivare; beslutade den 13 december 2012. Transportstyrelsen föreskriver följande med

Läs mer

RS-riktlinjer för Informationssäkerhet i Västra Götalandsregionen

RS-riktlinjer för Informationssäkerhet i Västra Götalandsregionen Koncernkontoret Säkerhetsenheten Dokumenttyp RS-riktlinjer för informationssäkerhet för Västra Götalandsregionen Dokumentansvarig Övergripande dokument Säkerhetspolicy för Västra Götalandsregionen Kontaktperson

Läs mer

1 Risk- och sårbarhetsanalys

1 Risk- och sårbarhetsanalys Bilaga 10 1 Risk- och sårbarhetsanalys I detta kapitel utgår vi från identifierade riskscenarier i följande bilagor: Bilaga X Informationsklassning, digitalt stöd i hemmet.xls Vi värderar hur stor sannolikheten

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010. Revisionsrapport Gymnastik- och idrottshögskolan Box 5626 114 86 Stockholm Datum Dnr 2011-03-08 32-2010-0728 Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan

Läs mer

Tillämpningsanvisningar för tillgång till och utlämnande av patientinformation

Tillämpningsanvisningar för tillgång till och utlämnande av patientinformation Sid 1(5) Tillämpningsanvisningar för tillgång till och utlämnande av patientinformation Inledning Hantering av patientinformation inom Region Skåne ska ske utifrån patientdatalagen (SFS 2008:355), Socialstyrelsens

Läs mer

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål. Informationssäkerhetspolicy 2011-2014 1. Bakgrund Detta dokument fastställs av kommunfullmäktige och gäller för all verksamhet inom kommunen. Detta betyder att det inte finns utrymme att besluta om lokala

Läs mer