Ledningssystem för informationssäkerhet (LIS)

Transkript

1 1 (14) Ledningsenheten IT-avd, Göran Hernell Ledningssystem för informationssäkerhet (LIS) 1 Syfte Arbetet med informationssäkerhet syftar till att bevara sekretess, riktighet, tillgänglighet och spårbarhet för informationstillgångar och tillhörande tillgångar i form av program, datorer, nätverk och dokumentation. Landstingets policy för informationssäkerhet anger inriktning samt övergripande riktlinjer för säkerhetsarbetet. I policyn uttrycker styrelsen sin viljeinriktning och visar sitt stöd samt fördelar ansvaret för säkerhetsarbetet. Policyn ger landstingsdirektören i uppdrag att skapa ett ledningssystem för informationssäkerhet (LIS). I detta dokument beskrivs hur ledningssystemet ska byggas upp och hur arbetet med informationssäkerheten ska bedrivas. En informationssäkerhetssamordnare ges i uppdrag att införa och förvalta ledningssystemet samt ansvara för metoder, samordning, utbildning och uppföljning. 2 Innehåll 1. Syfte 2. Innehåll 3. Standard för ledningssystem (LIS) 4. Klassificering och kontroll av tillgångar 5. Riskanalys 6. Skyddsåtgärder 7. Kontinuitetsplanering 8. Avvikelserapportering 9. Utbildning och information 10. Uppföljning och kontroll av efterlevnad 11. Skapa och införa LIS 12. Organisation för informationssäkerhet 13. Styrande dokument I en särskild bilaga har samlats definitioner av begrepp och ansvarsroller inom IT-området. Ledningssystem för informationssäkerhet doc

2 LANDSTINGET KRONOBERG (14) 3 Standard för ledningssystem (LIS) Hur ett ledningssystem ska byggas upp, införas, drivas och underhållas finns specificerat i svensk standard. Den består av två delar: Del 1, SS ISO/IEC 17799, Ledningssystem för informationssäkerhet - riktlinjer för ledning av informationssäkerhet. Standarden fastställdes Den innehåller råd för hur man bygger upp och underhåller ett ledningssystem för säker informationshantering (BÖR-kraven). Del 2, SS , Ledningssystem för informationssäkerhet specifikation (SKALL-kraven). Standarden fastställdes Den innehåller en kravlista som utgör underlag vid certifiering av en organisations ledningssystem för informationssäkerhet, t ex av Swedac. I denna del introduceras ett arbetssätt baserat på en sk PDCA-cykel (förbättringshjul). Det är nytt jämfört med riktlinjerna. Områden som behandlas är: - Säkerhetspolicy - Organisatorisk säkerhet - Klassificering och styrning av tillgångar - Personal och säkerhet - Fysisk och miljörelaterad säkerhet - Styrning av kommunikation och drift - Styrning av åtkomst - Systemutveckling och underhåll - Kontinuitetsplanering för verksamheten - Efterlevnad SIS har sammanfattat de två standarderna till en handbok i informationssäkerhetsarbete med titeln Ge din organisation rätt säkerhet (SIS/TK 318 N46 version ) Policy Dokumentstruktur Riktlinjer Anvisningar Instruktioner Policyn: Beskriver att något ska finnas. Riktlinjer: Ska ange hur de övergripande målen i policyn ska uppnås. Riktlinjer beskriver vad som ska göras.

3 LANDSTINGET KRONOBERG (14) Anvisningar: Ska på en funktionell nivå ange vilka skyddsåtgärder som ska införas. Anvisningarna beskriver på vilket sätt skyddet ska införas. Instruktioner: Ges för specifika system eller åtgärder. Instruktioner beskriver hur och av vem åtgärderna ska införas/följas. Nedanstående figur visar en schematisk modell över ett ständigt pågående säkerhetsarbete (jämför med kvalitetssystem). Ledningssystem för informationssäkerhet (LIS) Planera Skapa och förvalta LIS Införa och driva LIS Cykel för utveckling, underhåll och förbättring Underhålla och förbättra LIS Förbättra/ åtgärda Genomföra Intressenter Informationssäkerhetskrav och förväntningar Intressenter Styrd informationssäkerhet Följa upp och granska LIS Källa: SIS Följa upp Steg i processen. 1. Planera Fastställa säkerhetspolicy, syfte, mål, processer och rutiner som är relevanta för riskhantering och förbättring av informationssäkerheten i enlighet med organisationens övergripande policy och mål. 2. Genomföra Införa och verkställa säkerhetspolicy, kontroller, processer och rutiner. 3. Följa upp Fastställa och, där så är tillämpbart, mäta processens prestanda mot säkerhetspolicy, mål och praktisk erfarenhet och rapportera resultaten till ledningen för granskning. 4. Förbättra (åtgärda) Vidta korrigerande och förebyggande åtgärder baserade på resultatet av ledningens granskning, för att uppnå ständig förbättring av LIS.

4 LANDSTINGET KRONOBERG (14) 4 Klassificering och kontroll av tillgångar Alla informationstillgångar av betydelse ska identifieras och ägare till dessa utses. Informationen är ofta den viktigaste tillgången, men till tillgångarna räknas även program, datorer, nätverk, dokumentation och nyckelpersoner. Det är informationsinnehållet som styr vilka skyddsåtgärder som behövs. Säkerhetsarbetet ska därför inledas med en informationsklassning för bedömning av informationens värde och känslighet. Bedömningen ska göras både utifrån den egna verksamhetens behov och lagstiftningens krav. Syftet är att fastställa behovet av skyddsnivå så att lämpliga skyddsåtgärder kan vidtas. Det ska finnas definierade informationsklasser och till dessa motsvarande skyddsnivåer, som anger krav på fysiska, tekniska, organisatoriska, och administrativa säkerhetsåtgärder för resp nivå. Syftet är att förenkla arbetet och ge ett enhetligt skydd för motsvarande skyddsbehov. Informationsklassningen ska styras efter vilka konsekvenser som uppstår för sekretess, riktighet, tillgänglighet och spårbarhet om informationen sprids eller förändras på ett felaktigt eller obehörigt sätt eller om informationen förstörs eller inte kan nås. Klassificeringen ska även omfatta om informationssystemet är samhällsviktigt enligt Krisberedningsmyndighetens definitioner (KBM). Det ska finnas en dokumenterad process och metod för informationsklassning. Landstingsstyrelsen är informationsägare, men företräds i det dagliga arbetet av verksamhetschefen inom den enhet där informationen skapas. Systemägaren ansvarar för att klassa den totala mängden information inom sitt system baserat på informationsägarnas behov av säkerhet. Informationsklassningen ska göras så tidigt som möjligt vid anskaffning eller utveckling av en ny IT-tjänst (system) och därefter revideras regelbundet så länge informationen eller resursen används. I samband med informationsklassningen bör också en gallringsplan upprättas enligt reglerna i landstingets arkivreglemente samt bestämmelser om bevarande och gallring av allmänna handlingar. Samtliga tillgångar av betydelse i form av program, datorer, nätverk, dokumentation och register bl a personregister ska vara identifierade och förtecknade i systemet ServiceDesk och relateras till varandra så att beroenden mellan olika tillgångar tydliggörs. I ServiceDesk ska tillgångarna också relateras till IT-tjänster som IT-användarna nyttjar. I ServiceDesk med dess underliggande övervakningssystem ska också tillgänglighet till tjänsterna mätas och senare kunna anges som överenskommelser i servicenivåavtal (SLA).

5 LANDSTINGET KRONOBERG (14) 5 Riskanalys Det ska finnas en dokumenterad process för riskanalys. Riskanalysen omfattar en systematisk genomgång av: De konsekvenser som kan bli följden av en incident med hänsyn till förlust av sekretess, riktighet, tillgänglighet och spårbarhet. Sannolikheten av att den oönskade händelsen inträffar med hänsyn till redan vidtagna skyddsåtgärder. Följande ska göras: 1. Identifiera tillgångar som ingår i analysobjektet samt dess ägare. 2. Identifiera hot och risker. 3. Bedöm konsekvenserna av hot och risker för de aktuella tillgångarna och den skada konsekvenserna kan medföra för verksamheten (anger sårbarheten). 4. Bedöm sannolikheten för att identifierade hot ska bli verklighet. 5. Avgör om risken överstiger den acceptabla nivån och därmed måste tas om hand. 6. Efter att dessa grundläggande moment har utförts är det sedan möjligt att definiera vilka styrmedel (åtgärder) som ska användas. Dokumenteras i en handlingsplan. Standarden rekommenderar att man börjar med en övergripande riskanalys för att utifrån resultatet från denna genomföra mer detaljerade riskanalyser för speciellt riskutsatta områden. Enligt tillämpningsråd från Carelinks TIHS-projekt bör detaljerade riskanalyser utgå från sk användningsfall. Det innebär att analysera de samverkande delar som behövs för att åstadkomma en tjänst i stället för att betrakta varje del (manuella rutiner, IT-system, kommunikationslösningar etc) separat. Tjänstens kvalitet blir inte bättre än dess svagaste punkt. Inriktningen mot användningsfall underlättar fokuseringen mot väsentligheter i förbättringsarbetet. För varje användningsfall görs en nulägeskartläggning där bland annat dess informationsobjekt identifieras. Exempel på informationsobjekt är remiss och provsvar och exempel på tjänst är beställning och leverans av provsvar. För att ett användningsfall ska ha tillräcklig informationssäkerhet krävs att såväl IT-system som omgivande manuella rutiner inkluderas i den bedömning som ska göras. I vissa fall kan det resultera i att åtgärder för manuella rutiner får högre prioritet än åtgärder för ett IT-system.

6 LANDSTINGET KRONOBERG (14) 6 Skyddsåtgärder (styrmedel) Riskanalysen visar vilka hot som finns mot verksamheten, liksom vilka brister som finns i säkerheten. Utifrån dessa fall ska lämpliga skyddsåtgärder tas fram för att motverka bristerna och hoten. En handlingsplan sammanställs med åtgärder, tidplan och ansvariga för genomförandet. Skyddsåtgärderna kan vara fysiska, tekniska, organisatoriska eller administrativa. Regelverket, som utgör stommen i ledningssystemet, ställer krav på hur tillgångarna ska skyddas. Regelverket i standarden omfattar styrmål och styrmedel i form av riktlinjer och anvisningar. Efter genomförda verksamhets- och riskanalyser bör fastställas vilka delar av standarden (riktlinjer och anvisningar) som är relevanta och tillämpbara på ledningssystemet. Det kallas att göra ett uttalande om standardens tillämplighet. Informationssystem, som klassificerats som samhällsviktiga, ska uppfylla de baskrav för IT-säkerhet (BITS) som rekommenderas av Krisberedningsmyndigheten (KBM). 7 Kontinuitetsplanering Det ska finnas en styrd process för att utveckla och upprätthålla kontinuitet i landstingets olika verksamheter. Kontinuitetsplanering är förmågan och beredskapen att hantera avbrott i en organisations verksamhet, minska skador som förorsakas av avbrott samt sörja för kontinuitet i de kritiska processerna. En kontinuitetsplan säkerställer att extraordinära resurser kan avsättas i det fall en oönskad händelse inträffar som bedöms som katastrofal. Berörd personal ska utbildas på planen och den ska övas och utvärderas regelbundet. Verksamhetschefen ansvarar för att det finns reservrutiner och att personalen är utbildad i att använda rutinerna. Systemägare och utrustningsägare ansvarar i sin tur för att det finns en aktuell avbrottsplan, att den om möjligt testas regelbundet samt att personalen är utbildad i att använda den. Avbrottsplanen ska säkerställa att tjänsten, systemet eller utrustningens funktion kan återställas inom den tid som krävs.

7 LANDSTINGET KRONOBERG (14) 8 Avvikelserapportering Avvikelser som kan utgöra ett hot mot säkerheten ska snarast möjligt rapporteras till närmaste chef i landstingets system för lokala avvikelser. Om avvikelsen beror på brist i rutin, dokumentation, program eller utrustning utanför det egna ansvarsområdet ska verksamhetschefen därefter rapportera vidare till ägaren eller förvaltaren av systemet eller utrustningen, som i sin tur ska göra en felanmälan eller en ändringsbegäran till systemet ServiceDesk. Personaldirektören ansvarar för att ta fram och införa rutiner och regler för att hantera den personal som medvetet bryter mot säkerhetsreglerna. 9 Utbildning och information Den totala säkerheten i landstinget är ytterst beroende av att var och en är engagerad och motiverad att sköta sin del av säkerhetsarbetet. Detta kräver kunskap hos personalen om vad som ska skyddas, varför samt hur det ska göras. Verksamhetschefen/motsv ska se till att personalen är medveten om behovet av informationssäkerhet och informera om vilka regler som måste följas. Informationssäkerhetssamordnaren och den arkivansvarige samt de lokala informationssäkerhetssamordnare, som driftenhetscheferna ska utse, är stödresurser som ska kunna informera och utbilda i informationssäkerhet. En bred information och utbildning bör genomföras när större delen av regelverket är klart. 10 Uppföljning och kontroll av efterlevnad En viktig del av säkerhetsprocessen är att följa upp att verksamheten lever efter gällande regler och tillgodoser ställda säkerhetskrav. Det ger möjlighet för chefer och systemägare eller motsvarande att försäkra sig om: - Att ledningssystemet är känt i verksamheten och att det efterlevs. - Att ansvarsfördelningen i organisationen fungerar. - Att de säkerhetsåtgärder som är vidtagna underhålls och tjänar sina syften. - Att säkerhetsåtgärder och regelverk uppdateras när förutsättningarna ändras eller när nya krav tillkommer. - Att egna och andras erfarenheter inom säkerhetsområdet tas till vara. Resultatet av uppföljningen är en väsentlig del i förbättringen av säkerheten för informationstillgångarna och även en förförbättring av ledningssystemet i sig. I begreppet efterlevnad ingår kontroll av att vi inte handlar i strid med de regelverk som ska följas i form av lagar, regler, avtal

8 LANDSTINGET KRONOBERG (14) Metoder för uppföljning: - Kontroll av systemloggar - Självdeklaration (enkät) - Checklistor baserade på regelverket och anpassade för olika målgrupper (checklistor i standarden samt i RH-check) - Internrevision med besiktningar och intervjuer. Det är viktigt att definiera ansvaret för uppföljningen: - Verksamhetschefer/motsv ansvarar för att följa upp hur ledningssystemet fungerar inom den egna enheten. - Systemägare ansvarar för att följa upp säkerheten i sina resp system - Informationssäkerhetssamordnaren ansvarar för att följa upp hur regelverket i sin helhet följs. - Säkerhetschefen ansvarar för att följa upp hur ledningssystemet fungerar på ett övergripande plan och hur åtgärder samordnas med övriga säkerhetsområden. Avvikelsesystemet ska användas för att följa upp säkerheten baserat på avvikelserapporter. ServiceDesk ska användas för att följa upp säkerheten baserat på larm och felanmälningar samt mätningar av tillgängligheten. Det nya synsättet på informationssäkerhet som den svenska standarden betonar är att informationssäkerhet handlar om att införa ett ständigt pågående förbättringsarbete inom IT-verksamheten och vid användning av IT-tjänster. Informationssäkerhetssamordnarens roll är att samordna och ge stöd i detta förbättringsarabete, medan säkerhetschefens roll är att utföra den oberoende kontrollen av att arbetet utförs på rätt sätt och att ledningssystemet fungerar enligt detta dokument. 11 Skapa och införa LIS Syftet med planen är att snabbt etablera policy och organisation för informationssäkerhet och åtgärda de mest uppenbara bristerna jämfört med de skyddsåtgärder som ingår i standarden. Därefter ska analysen fördjupas och ytterligare skyddsåtgärder övervägas med hjälp av riskanalyser. Efter detta ska resultatet följas upp och policyn vid behov revideras. Ledningssystemet ska byggas upp i följande steg. 1. Policy för informationssäkerhet utarbetas och fastställs av landstingsstyrelsen. En policy ska spegla verksamhetens behov av informationssäkerhet. Vår första version utgår från redan kända och prioriterade behov.

9 LANDSTINGET KRONOBERG (14) 2. Skapa organisation för informationssäkerhet. 3. Komplettera register över informationstillgångar och klassificera informationen. 4. Genomföra en översiktlig nulägesanalys. Inventera nuvarande skyddsåtgärder och jämför med krav i standarden mot behov för prioriterade processer och tillgångar. 5. Åtgärda uppenbara brister direkt. Ta fram rutiner och instruktioner. Informera berörda. 6. Genomföra fördjupad verksamhetsanalys för ett antal kritiska processer. Utgå från några viktiga användningsfall. Identifiera vilka tillgångar som är kopplade till dessa. Hur fungerar de idag avseende kraven på sekretess, riktighet, tillgänglighet och spårbarhet. Genomföra riskanalyser för användningsfallen. 7. Sammanställa handlingsplan med prioriterade skyddsåtgärder och genomföra dessa. 8. Fastställa sk tillämplighet av standarden och utforma regelverk för säkerhetsarbetet. I denna fas beskrivs vilka styrmedel (regler) i standarden som är relevanta och tillämpbara i landstinget med hänsyn till resultaten från verksamhets- och riskanalyser. Här anges också om det behövs ytterligare regler som inte ingår i standarden. Reglerna ska kunna presenteras med urval för olika målgrupper. 9. Utbilda chefer, systemägare, systemförvaltare, användare med flera på regelverket. 10. Kompletterande rutiner och instruktioner utformas av ansvariga för olika områden baserat på det beslutade regelverket. 11. Revidera vid behov policyn för informationssäkerhet med hänsyn till resultaten från verksamhetsanalyser, nulägesanalyser och riskanalyser. Resultatet efter dessa steg är en plattform för kontinuerligt säkerhetsarbete. Det betyder att en ständig process för underhåll och förbättring av informationssäkerheten har driftsatts. När vi bedömer att informationssäkerheten och ledningssystemet har nått till den nivå att det uppfyller svensk standard så kan vi överväga om vi ska låta en utomstående part genomföra en certifiering mot standarden.

10 LANDSTINGET KRONOBERG (14) 12 Organisation för informationssäkerheten Arbetet med informationssäkerheten ska vara en integrerad del i all verksamhet. Ansvaret för informationssäkerheten ska följa den ansvarsfördelning som gäller för landstingets verksamhet i övrigt. På ledningsnivå ska frågor kring informationssäkerhet hanteras i ordinarie ledningsgrupper. Landstingsdirektören har det övergripande ansvaret för informationssäkerheten och ska följa upp att säkerheten upprätthålls i enlighet med policyn. I det ingår ansvar för att det finns ett ledningssystem för informationssäkerhet. Landstingsdirektören beslutar även om landstingsgemensamma personregister enligt personuppgiftslagen och vårdregisterlagen. Driftenhetschef ansvarar för att ledningssystemet införs och tillämpas samt beslutar om personregister inom eget ansvarsområde. Kontaktperson för registeransvarig ska utses för varje personregister och ges ansvar för att registret hanteras enligt lagen om personregister och vårdregister. Informationsägare ansvarar för att den information som används inom eget ansvarsområde har rätt kvalitet för sitt ändamål och finns tillgänglig då den behövs samt att sekretesskänslig information skyddas. Informationsägaren ansvarar för att löpande följa upp och kontrollera statusen på säkerheten inom sitt ansvarsområde. Verksamhetschef/motsv är informationsägare för den information som skapas eller ändras inom eget ansvarsområde. Verksamhetschefen ansvarar för användningen av IT-tjänster, system och utrustning inom eget arbetsområde och utfärdar vid behov ytterligare regler utöver de som utfärdas av systemägaren eller systemförvaltaren. Verksamhetschefen ansvarar för att personalen informeras om policy, regler och rutiner för informationssäkerhet. IT-chefen är ägare till IT-processen. I det ingår ansvar för att det finns rutiner, standarder och regler för processen bl a för kvalitet och säkerhet samt att det finns dokumenterade delprocesser för anskaffning, godkännade och avveckling av tillgångar i form av program, datorer, nätverk och register. IT-chefen ansvarar för att det inom IT-avdelningen finns teknisk kompetens för informationssäkerhet samt att ansvariga utses för tekniska säkerhetstjänster. IT-chefen ansvarar för att genomföra generella säkerhetsåtgärder som inte är kopplade till en viss tjänst eller system. IT-chefen är systemägare till ledningssystemet för IT-verksamheten (ServiceDesk). Systemägare (tjänsteägare) ansvarar för att rätt säkerhetsnivå införs och upprätthålls i tjänsten eller systemet. I uppgifterna ingår att utfärda regler och instruktioner för användningen samt att genomföra skyddsåtgärder. Systemägaren ansvarar för att löpande följa upp och kontrollera statusen på säkerheten inom systemet (tjänsten).

11 LANDSTINGET KRONOBERG (14) Utrustningsägare ansvarar för att resursen uppfyller de krav på säkerhet som berörda tjänster och landstingets standard kräver. Uppdragsgivare ansvarar för att informera uppdragstagaren om landstingets regler för informationssäkerhet. Uppdragsgivaren ansvarar dessutom för att följa upp att reglerna följs. Projektägare och projektledare ansvarar för att utvecklingsarbete genomförs enligt landstingets policy, standarder och regler för informationssäkerhet. Processägare och processledare ansvarar för att processen utvecklas och leds enligt landstingets policy, standarder och regler för informationssäkerhet. Driftansvarig ska utföra uppdraget enligt de regler för informationssäkerhet som systemägaren eller systemförvaltaren anger. Informationssäkerhetssamordnaren förvaltar ledningssystemet och ansvarar för metoder, samordning, utbildning och uppföljning. I det ingår ansvar för metoder för riskanalys, informationsklassning och kontinuitetsplanering samt att ge stöd inom dessa områden. I uppgifterna ingår att ge stöd i arbetet med skyddsåtgärder. Samordnaren ska bevaka vilka krav som lagstiftningen ställer på skyddsåtgärder. Krav på skyddsåtgärder för olika skyddsnivåer utarbetas tillsammans med IT-chefen. Samordnaren är organisatoriskt placerad inom IT-avdelningen. Landstingsdirektören ger samordnaren i uppdrag att även vara personuppgiftsombud (PUL-ombud) enligt personuppgiftslagen. Detta uppdrag rapporteras direkt till landstingsdirektören. Driftenhetschefen ska utse en person att inneha rollen som lokal informationssäkerhetssamordnare (del av en tjänst) med ansvar för samordning, utbildning och uppföljning samt stöd i arbetet med informationsklassning och riskanalyser. Samordnaren ansvarar för lokal samordning av informationsägarnas krav på skyddsåtgärder. Säkerhetschefen ansvarar för samordning och uppföljning av säkerheten i sin helhet samt för uppföljning av hur ledningssystemet för informationssäkerhet fungerar. Arkivarien ansvarar för samordning och uppföljning beträffande bevarande och gallring av allmänna handlingar.

12 LANDSTINGET KRONOBERG (14) 13 Övriga styrande dokument Följande dokument är styrande för informationssäkerheten inom landstinget. De ska samlas på webben i en handbok för informationssäkerhet. Policy för informationssäkerhet, LS Ledningssystem för informationssäkerhet (detta dokument) Metoder och rutiner för informationsklassning och riskanalys Regelverk med krav på skyddsåtgärder Regler, rutiner och instruktioner för olika system och tjänster Policy för tillgång till patientinformation Landstingets säkerhetspolicy och arbetssättet I säkra händer Landstingets arkivreglemente Landstingets bestämmelser om bevarande och gallring av allmänna handlingar

13 LANDSTINGET KRONOBERG (14) Definition av termer och roller inom IT-området - bilaga till ledningssystem för informationssäkerhet IT-tjänster används för att samla in, bearbeta, lagra, överföra och presentera information. Exempel på olika typer av IT-tjänster är personalsystem, e-post, virusskydd, pc-arbetsplats och Internetkommunikation. IT-tjänster är ofta ordnade i en hierarki. Användaren använder applikationstjänster (system, program) som i sin tur använder underliggande tjänster bl a support-, drift- och kommunikationstjänster. Tjänsterna produceras med hjälp av IT-processen. Den består av delprocesser som genom olika aktiviteter tillhandahåller IT-tjänster till övriga processer i landstinget. Aktiviteterna utförs av olika roller. Processerna använder resurser (tillgångar/objekt) i form av personal, program, databaser, datorer, kringutrustning, nätverk och dokumentation. Processerna styrs med hjälp av mål, policy, standarder, regler och instruktioner. Enligt definition i standard för informationssäkerhet består ett informationssystem av informationstillgångar (databaser, dokumentation), programtillgångar och fysiska tillgångar (datorer, kommunikationsutrustning, media) samt tjänster (bearbetning, kommunikation). Den nya generationen av system t ex Cambio är uppbyggda av komponenter (programmoduler) som är väl avgränsade delar av ett system. Komponenterna levererar tjänster via sk publika gränssnitt till andra komponenter eller direkt till användarna. Komponenterna kan ordnas i skikt med grundläggande stödkomponenter t ex patientregister som levererar stödtjänster till funktionskomponenter på en högre nivå t ex läkemedelslista. Informationssystem och tekniska system (t ex nätverk, telefoni) är resurser som används för att tillhandahålla IT-tjänster. Ur ansvarssynpunkt kan man tala om tjänsteägare eller systemägare. Tjänsteägare är mer generellt och mer processorienterat, men systemägare är fortfarande det mest använda och etablerade begreppet. Vi väljer att tills vidare använda systemägare och systemförvaltare som gemensamma termer. All utrustning ska ha en utrustningsägare. Ägaren utser vid behov en utrustningsförvaltare. Ägaren av en tjänst, ett system eller en utrustning definierar i sin tur uppdrag och avtalar om de underliggande tjänster som behövs. Förvaltaren företräder ägaren i det löpande arbetet.

14 LANDSTINGET KRONOBERG (14) En IT-tjänst som berör mer än en driftenhet rubricerar vi som en gemensam IT-tjänst och den beslutas på landstingsnivå. En IT-tjänst som endast berör en driftenhet rubriceras som en lokal IT-tjänst. Förvaltning innebär att förändra och styra objekt där IT-stöd ingår som delar. Traditionellt har förvaltning omfattat system (applikationer) och den tekniska plattformen. Nu definieras förvaltningsobjektet ofta vidare och kan även innefatta den process, funktion eller tjänst i verksamheten som IT-stödet avser. Förvaltning inleds med att det objekt som ska förvaltas definieras. Därefter upprättar förvaltaren en förvaltningsplan som är ett styrdokument som beskriver ändringsaktiviteter och användarstöd för objektet under den kommande perioden. Förvaltningsarbetet består till stor del av utvecklingsarbete. Systemägaren ska godkänna förvaltningsplanen och besluta om budget och ändringar utanför förvaltningsplanen under perioden samt följa upp hur förvaltningsplanen genomförs. Systemförvaltaren prioriterar och beslutar om aktiviteter inom förvaltningsplanen. Processen för ändringshantering omfattar initiering, beredning, prioritering, utveckling, test, beslut om införande, information, utbildning, produktionssättning och uppföljning. Drift kan definieras som arbetet med att säkerställa att IT-stödet är tillgängligt för verksamheten. Driften eller produktionen som den även kallas ges i uppdrag att operativt genomföra användarstöd, ändringsaktiviteter och driftaktiviteter som förvaltaren beslutar om. Ändringsaktiviteter kan även vara utvecklingsarbete som utförs av externa leverantörer. IT-tjänster bör beskrivas som ett uppdrag med olika egenskaper bl a servicenivå. I servicenivån ingår krav på tillgänglighet. En annan term för uppdrag om en IT-tjänst är SLA (Service Level Agreement). På svenska använder vi i stället begreppet tjänsteavtal. Utvecklingen av landstingets IT-processer baseras på rekommendationer i ITIL (IT Infrastructure Library) som är en internationell de facto standard för IT-processer (Best Practice). ServiceDesk är vårt ledningssystem för IT-verksamheten (system för IT Service Management). Det är en förutsättning för en effektiv hantering och styrning av IT-tjänsterna. Det innehåller en databas över alla tjänster, användare, program, utrustningar, register m m. Det är också en bas för ärendehanteringen mellan IT-användare, systemförvaltare, driftpersonal, supportpersonal, IT-samordnare, IT-ansvariga, IT-kontaktpersoner, leverantörer m fl. I systemet dokumenteras uppdrag om tjänster mellan kunder och leverantörer. Uppföljning kan göras av att tjänsten levereras enligt överenskommelse betr tid och kvalitet.