PROJEKTRAPPORT NR 02/2014. IT-säkerhet i nätverksansluten medicinteknisk. utrustning
|
|
- Vilhelm Danielsson
- för 9 år sedan
- Visningar:
Transkript
1 PROJEKTRAPPORT NR 02/2014 N IT-säkerhet i nätverksansluten medicinteknisk utrustning
2 Vad gör Landstingsrevisorerna? Landstingsrevisorerna granskar den verksamhet som bedrivs av landstingets nämnder och bolagsstyrelser. Revisionsuppdraget är det största inom kommunal verksamhet. Landstingsrevisorerna omfattar både de förtroendevalda revisorerna och revisionskontoret. Att vara revisor är ett förtroendeuppdrag vars syfte är att med oberoende, saklighet och integritet främja, granska och bedöma verksamheten. Den övergripande uppgiften för revisorerna är att granska hur nämnder och styrelser tar sitt ansvar. De förtroendevalda revisorerna är fullmäktiges och ytterst medborgarnas instrument för den demokratiska kontrollen. De har därmed en viktig funktion i den lokala självstyrelsen. Ledamöter i nämnder och styrelser ansvarar inför fullmäktige för hur de själva, anställda och uppdragstagare genomför verksamheten. I ansvaret ingår att genomföra en ändamålsenlig verksamhet utifrån fullmäktiges mål, beslut och riktlinjer samt de föreskrifter som gäller för verksamheten, på ett ekonomiskt tillfredsställande sätt och med en tillräcklig intern kontroll samt att upprätta rättvisande räkenskaper. I årsrapporter för nämnder och bolag sammanfattar revisionskontoret den granskning som genomförts under det gångna året. Verksamhetsrevisionen redovisas löpande i projektrapporter. Publikationerna finns på Landstingsrevisorernas hemsida De kan också beställas från revisionskontoret. Det går även att prenumerera på Landstingsrevisorernas nyhetsbrev Nytt från landstingsrevisionen genom att anmäla intresse via e-postmeddelande till landstingsrevisorerna@rev.sll.se
3 Revisorsgrupp I Diarienummer: RK Landstingsstyrelsen Projektrapport nr 2/2014 IT-säkerhet i nätverksansluten medicinteknisk utrustning Revisorerna i revisorsgrupp I beslutade på möte att överlämna rapporten till landstingsstyrelsen för yttrande senast Revisorernas samlade bedömning är att styrning och kontroll av IT-säkerheten i nätverksansluten medicinteknisk utrustning (MTU) behöver stärkas och samordnas på landstingsövergripande nivå. Revisionen vill till landstingsstyrelsen särskilt framhålla behovet av att tydliggöra ansvarsfördelningen mellan SLL IT och akutsjukhusens MT-avdelningar när det gäller IT-säkerheten för MTU. Vidare bör regelverket för informationssäkerhet kompletteras med specifika krav för nätverksansluten MTU. I övrigt hänvisar revisorerna till revisionskontorets rapport. Paragrafen justeras omedelbart. Kenneth Strömberg ordförande Anne Fahl sekreterare Landstingsrevisorerna Box Stockholm Besök oss: Hantverkargatan 25 B. T-bana Rådhuset Telefon: Fax: E-post: landstingsrevisorerna@rev.sll.se Säte: Stockholm Org.nr:
4 Revisorsgrupp II Diarienummer: RK Styrelserna för Danderyds sjukhus AB Karolinska Universitetssjukhuset AB Södertälje sjukhus AB Projektrapport nr 2/2014 IT-säkerhet i nätverksansluten medicinteknisk utrustning Revisorerna i revisorsgrupp II beslutade på möte överlämna rapporten till styrelsen för Danderyds sjukhus AB för yttrande och till styrelserna för Karolinska universitetssjukhuset och Södertälje sjukhus AB för kännedom och med möjlighet till yttrande senast Revisorernas samlade bedömning är att ansvarsfördelningen mellan landstingets centrala IT-funktion och akutsjukhusen är otydlig avseende IT-säkerhet i nätverksansluten medicinteknisk utrustning (MTU). Danderyds sjukhus saknar en effektiv samverkan med SLL IT när det gäller MTU. Styrningen är idag till stor del beroende av informella processer och individuella insatser vilket leder till en ökad risk för IT-säkerheten i MTU. Revisionen vill särskilt framhålla att Styrelsen på Danderyds sjukhus AB bör utveckla ett systematiskt IT-säkerhetsarbete som inkluderar nätverksansluten MTU. I övrigt hänvisar revisorerna till revisionskontorets rapport. Paragrafen justeras omedelbart. Göran Hammarsjö ordförande Rikard Lindqvist sekreterare Landstingsrevisorerna Box Stockholm Besök oss: Hantverkargatan 25 B. T-bana Rådhuset Telefon: Fax: E-post: landstingsrevisorerna@rev.sll.se Säte: Stockholm Org.nr:
5 RK Revisionskontoret INNEHÅLL 1 SLUTSATSER OCH REKOMMENDATIONER UTGÅNGSPUNKTER FÖR GRANSKNINGEN Motiv till granskningen Revisionsfråga Avgränsning Bedömningsgrunder Metod ANSVARSFÖRDELNING OCH SAMVERKAN Landstingsstyrelsens förvaltning Samverkan Danderyds sjukhus AB och SLL IT Samverkan Karolinska universitetssjukhuset och SLL IT Södertälje sjukhus AB POLICY OCH RIKTLINJER Landstingsstyrelsens förvaltning Danderyds sjukhus AB Karolinska universitetssjukhuset Södertälje sjukhus AB SYSTEMATISKT SÄKERHETSARBETE Landstingsstyrelsens förvaltning Danderyds sjukhus AB Karolinska universitetssjukhuset Södertälje sjukhus AB... 15
6 1 Slutsatser och rekommendationer Revisionen har granskat landstingets styrning och kontroll av IT-säkerheten i nätverksansluten medicinteknisk utrustning (MTU). Den samlade bedömningen är att styrning och kontroll behöver stärkas och samordnas på landstingsövergripande nivå, dels för att uppnå en effektivare hantering i landstinget, dels för att incidenter och brådskande ärenden som rör MTU ska tas om hand på ett koordinerat sätt och med hög prioritet. Roller och ansvar behöver tydliggöras på både central och lokal nivå. Styrningen är idag till stor del beroende av informella processer och individuella insatser vilket leder till en ökad risk för ITsäkerheten i MTU. Den otydliga ansvarsfördelningen mellan akutsjukhusen och landstingets centrala IT-funktion (SLL IT) har lett till suboptimering. Bland annat sker supportoch ärendehanteringen i flera parallella system, utan tillräcklig koordinering och anpassning för MTU. Samverkan är sällan preciserad i tjänsteöverenskommelserna mellan SLL IT och de avtalsknutna sjukhusen. Detta påverkar handläggningstiderna, den tekniska säkerheten och i förlängningen riskerar även patientsäkerheten att påverkas. För Danderyds sjukhus vill revisionen framhålla att ett systematiskt IT-säkerhetsarbete som inkluderar nätverksansluten MTU behöver utvecklas. Landstingets styrande regelverk för informationssäkerhet omfattar inte specifika krav för att hantera nätverksansluten MTU och täcker inte behovet av stöd vid säkerhetsmässiga avvägningar vid systemintegration. Detta gör det svårt för både landstingsstyrelsens förvaltning och akutsjukhusen att säkerställa efterlevnad av krav i policyer och riktlinjer. Avsaknaden av en central styrning och stöd inom området medför en skiftande hantering och tekniska variationer inom landstinget. Leverantörerna riskerar få ett alltför stort inflytande över de tekniska lösningarna om inte landstinget säkerställer att all nätverksansluten MTU uppfyller en gemensam nivå på generella krav. Exempelvis behövs landstingsgemensamma krav i form av ITsäkerhetskrav liksom dokumentation av nätverksskisser, gränssnittsbeskrivningar för exempelvis MTU-leverantörers fjärråtkomst etc. Det behöver även utvecklas ett samordnat centralt stöd för upphandling och livscykelhantering av nätverksansluten MTU. Behov finns även av ett systematiskt säkerhetsarbete med samordnade riskbedömningar och säkerhetsanalyser av vårdprocesser inte minst i och med att MTU i allt högre grad ansluts till nätverk, och att den snabba utvecklingen inom området väntas leda till hantering som omfattar exempelvis även mobila enheter. MTU kommer dessutom att få en allt viktigare roll i nätverkssjukvården som en förutsättning exempelvis inom avancerad sjukvård i hemmet. Samordnade riskbedömningar både på central och på lokal nivå behöver därför genomföras i takt med de nya förutsättningarna. Det systematiska säkerhetsarbetet av nätverksansluten MTU är idag beroende av insatser på lokal nivå. Sjukhus med interna ledningssystem för informat- 4
7 ionssäkerhet (LIS) har bättre förutsättningar för detta genom en tydlig ansvarsfördelning och metoder och mallar som stödjer ett systematiskt säkerhetsarbete. Inom SLL IT på landstingsstyrelsens förvaltning pågår ett arbete med utveckling av ett ledningssystem för informationssäkerhet vilket på sikt bör ge bättre förutsättningar för ett säkerhetsarbete som även inkluderar nätverksansluten MTU. Rekommendationer: Landstingsstyrelsen bör komplettera regelverket för informationssäkerhet med specifika krav för nätverksansluten medicinteknisk utrustning (MTU) så att stöd finns för praktisk tillämpning i verksamheten för exempelvis anslutningsprocesser, uppdateringar och styrning av fjärråtkomst. Landstingsstyrelsen bör stärka och tydliggöra ansvaret för IT-säkerhet kopplat till MTU på landstingsövergripande nivå och tydliggöra hur den organisatoriska samverkan mellan SLL IT och akutsjukhusens MT-avdelningar ska ske vad gäller säkerhetskrav. Samverkan mellan SLL IT och akutsjukhusen bör även omfatta utveckling av supportprocesser anpassade för MTU. Landstingsstyrelsen bör ta fram ett samordnat underlag för gemensamma IToch säkerhetsrelaterade krav i samband med upphandling av MTU samt utreda möjligheten till ramavtal för området. Styrelsen på Danderyds sjukhus AB bör utveckla ett systematiskt ITsäkerhetsarbete som inkluderar nätverksansluten MTU. 5
8 2 Utgångspunkter för granskningen 2.1 Motiv till granskningen Medicinteknisk utrustning (MTU) omfattar en mängd produkter, från enkla förbrukningsartiklar till komplicerade högteknologiska utrustningar som datortomografer. MTU omfattar också medicinska behandlingshjälpmedel 1. Från och med mars 2010 omfattas även informationssystem och programvara som hanterar information kring patienten. Avancerad MTU finns främst på akutsjukhusen. Enligt föreskrifter 2 har respektive vårdgivare ansvaret för att möjliggöra en säker användning och hantering av medicintekniska produkter. Det yttersta ansvaret för IT-säkerheten inom Stockholms läns landsting ligger på landstingsstyrelsen (LS). Det finns flera betydande risker förknippade med medicinteknisk utrustning som ansluts till nätverk. En risk är att utrustningen kan vara svår att säkerhetsuppdatera. Leverantörer garanterar sällan utrustningens funktionalitet om skydd mot virus och intrång installeras eller uppdateras. Detta kan leda till att skyddet mot skadlig kod blir föråldrat och att risken för virus eller intrång i systemen ökar. Behovet av samverkan kommer att öka i takt med att MTU ansluts till nätverk i allt större omfattning. Det krävs effektiva rutiner och en systematisk samverkan mellan MT-avdelningarna och nätverksleverantören för att riskerna ska hållas på en acceptabel nivå. Brister i systemintegrationen kan leda till funktionsstörningar på MTU och riskerar därmed att påverka patientsäkerheten. Nätverksansluten MTU kommer att få en allt viktigare roll i den nya nätverkssjukvården. Det är därför viktigt att samarbetet mellan akutsjukhusens MTavdelningar och den egna IT-beställaravdelningen fungerar väl, särskilt vad gäller utvecklingen av e-hälsa 3 vid avancerad vård i hemmet. 2.2 Revisionsfråga Övergripande revisionsfråga: Finns tillfredsställande styrning och kontroll av nätverksansluten medicinteknisk utrustning så att IT-säkerheten säkerställs? Den övergripande revisionsfrågan har brutits ner i följande delfrågor: A. Hur säkerställer landstingsstyrelsen tydlig ansvarsfördelning och effektiv samverkan vad gäller säkerhetskrav mellan SLL IT som nätverksleverantör och akutsjukhusens MT-avdelningar? B. Hur säkerställer landstingsstyrelsen respektive akutsjukhusens MTavdelningar att nätverksansluten medicinteknisk utrustning uppfyller krav i policyer och riktlinjer? 1 För fullständig definition av MTU se EU:s medicintekniska direktiv och lagen om medicintekniska produkter. 2 SOSFS 2008:1 3 ehälsa handlar om hur framtidens vård och omsorg som helhet ska fungera och förbättras med hjälp av e-tjänster( 6
9 C. Finns ett systematiskt säkerhetsarbete inkl. riskanalyser gällande teknisk säkerhet och informationssäkerhet i nätverksansluten medicinteknisk utrustning såväl lokalt som centralt inom SLL? Delfrågorna följer därmed de tre områden som pekas ut i standarden 4 som nödvändiga för en strukturerad riskhantering av nätverksansluten MTU: Utpekade resurser med tydlig ansvarsfördelning delfråga A Styrande regelverk (policy) delfråga B Tydlig riskhanteringsprocess under hela livscykeln delfråga C 2.3 Avgränsning Granskningen omfattar nätverksansluten medicinteknisk utrustning och bedömning av om tillfredsställande rutiner finns i samband med både upphandling, systemförvaltning samt IT-säkerhet när det gäller hantering av medicinteknisk utrustning inom SLL. Granskningen har inriktats på landstingsstyrelsens förvaltning och akutsjukhusen som har merparten av nätverksansluten medicinteknisk utrustning i landstinget. Det yttersta ansvaret för IT-säkerheten inom SLL ligger på landstingsstyrelsen, men granskningen avser samtliga nivåer i styrkedjan till sjukhusens olika ansvarsnivåer. Följande enheter ingår i granskningen; Södertälje sjukhus AB (Södertälje), Karolinska universitetssjukhuset (Karolinska), Danderyds sjukhus AB (DSAB) och landstingsstyrelsens förvaltning (LSF). 2.4 Bedömningsgrunder Följande dokument har utgjort bedömningsgrund i granskningen: SLL:s riktlinjer för informationssäkerhet, främst de delar som handlar om krav på informationshantering och nätverksansluten utrustning (fullmäktige , LS ). SS-EN 80001:1 Riskhantering tillämpad på IT-nätverk som innehåller eller är kopplade till medicintekniska produkter, (fastställd , SIS). SLL:s upphandlingspolicy, främst kraven på samordning (fullmäktige , LS ). Socialstyrelsens föreskrifter om användning av medicintekniska produkter i hälso- och sjukvården, SOSFS 2008:1 (inkl. SOSFS 2013:6 Ändring i föreskrifterna (SOSFS 2008:1)), främst 4-7 om ansvar för vårdgivare och verksamhetschef. Ledningssystem för informationssäkerhet, kraven på utpekade resurser med tydlig ansvarsfördelning, styrande regelverk (policy) och tydlig riskhanteringsprocess under hela livscykeln (ISO/IEC 27001:2013 IDT). 2.5 Metod Styrningen har granskats genom intervjuer av ansvariga på olika nivåer i de utvalda enheterna och genom dokumentstudier. Granskningen ute på sjukhusen har även omfattat verifiering av rutiner genom dokumentstudier. 4 SS-EN 80001:1 Riskhantering tillämpad på IT-nätverk som innehåller eller är kopplade till medicintekniska produkter. 7
10 3 Ansvarsfördelning och samverkan 3.1 Landstingsstyrelsens förvaltning Granskningen visar att landstingsstyrelsens förvaltning inte arbetar landstingsövergripande med IT-säkerhetsfrågor kopplat till MT-utrustning. Däremot arbetar SFI 5 vid LSF, på strategisk nivå med samordning av MT och IKT 6 inom Nya Karolinska Solna (NKS) och Framtidens Hälso- och Sjukvård (FHS). I det arbetet ingår att sammanställa erfarenheter och överföra kunskap till sjukhusen. En inventering ska genomföras av strategiska kompetenser inom MT- och IKTområdet i syfte att underlätta samverkan. SLL IT deltar inte i dessa utvecklingsarbeten utan agerar som en renodlad leverantör IT-infrastruktur. Det finns idag en medvetenhet inom SLL IT om att MTU numera i hög grad är ansluten till de stora nätverken vilket är en helt annan situation än för några år sedan då MTU fanns på separata, mindre nätverk. Det pågår ett nationellt arbete med en gemensam MT-nomenklatur där SLL representeras framförallt av Karolinska och Danderyds sjukhus. IT-området generellt har samordnats genom SLL IT, däremot ingick inte MT-frågor då dessa i praktiken har hanterats på lokal nivå. Vid intervjuerna framkom att MTavdelningarna och SLL IT nu börjat utveckla ett samarbete, t.ex. nämndes det nära samarbetet mellan SLL IT och Karolinskas MT-avdelning när det gäller krav i tjänsteöverenskommelsen. Granskningen visar att det saknas en formaliserad ansvarsfördelning och samverkan mellan SLL IT och MT-avdelningarna, förutom den som finns i tjänsteöverenskommelserna 7 för hur nätverksansluten MTU ska hanteras. SLL IT beskriver att deras huvudsakliga uppdrag är att leverera nät till kunder och att informera om störningar i näten. SLL IT saknar överblick om vilken utrustning som ansluts till nätverken då det inte finns krav på verksamheterna om att informera SLL IT om detta. I de nätverk som SLL IT ansvarar för utför de tjänster utifrån de krav som respektive MT-avdelning ställer på säkerhet. SLL IT uppger att de inte känner till hur ansvaret för riskhantering inom sjukhusens MT-avdelningar fungerar om det inte framgår av tjänsteöverenskommelsen och påpekar att ansvaret för riskanalyser och riskhantering ligger hos vårdgivarna. I samband med införande av ledningssystem för informationssäkerhet (LIS) på SLL IT har möjligheten att skapa en särskild rutin för riskhantering och åtgärder kopplat till MTU diskuterats. Centralt på LSF finns även planer på att i det SLL-gemensamma ledningssystemet ta fram tillämpningsanvisningar för hur kraven i de övergripande riktlinjerna för informationssäkerhet kan tillämpas på MT. Av intervjuer har framkommit att kunskapen om IT-säkerhetens koppling till patientsäkerhet hos IT-personalen på SLL IT är ojämn. Detta kan medföra att 5 Strategisk fastighetsinvestering 6 Informations- och kommunikationsteknik 7 Är de interna avtal som tecknas mellan sjukhusen och SLL-IT 8
11 ärenden som handlar om säkerheten i MTU får olika behandling utan att det har motiverats av ärendenas karaktär eller risknivå. Granskningen visar att landstingsstyrelsens förvaltning inte heller arbetar landstingsövergripande med IT-säkerhetsfrågor kopplat till upphandling av MT-utrustning specifikt. Karolinska har därför i arbetet med upphandlingar till NKS, tagit fram generella IT-säkerhetskrav som även berör MT. SLL Upphandling har emellertid ett särskilt uppdrag att stötta NKS upphandlingar av MTU och IKT 8. Att MT-utrustning idag i högre utsträckning är ansluten till de stora nätverken ställer större krav på säkerheten, men även på samverkan mellan MT- och ITavdelningarna och leverantörerna. MT-utrustning ska idag kunna kommunicera direkt med andra vårdgivare både inom landet (så kallad nätverkssjukvård) och utom landet vid konsultationer. Det innebär ett ökat behov av styrning och samverkan från central nivå. Revisionen bedömer att det inom SLL IT finns en medvetenhet om de alltmer komplexa säkerhetsfrågorna vad gäller nätverksansluten MT. Men, det saknas en tydlig ansvarsfördelning och effektiv samverkan vad gäller säkerhetskrav mellan SLL IT som nätverksleverantör och akutsjukhusens MT-avdelningar. Det finns inte någon formaliserad samverkan mellan SLL IT och de avtalsknutna sjukhusens MT-avdelningar förutom de tecknade tjänsteöverenskommelser som normalt sett inte berör MT. Undantaget är de specifika MT-frågor som finns inom ramen för arbetet med NKS och FHS. Även inom upphandlingsområdet, saknas idag en tillräcklig samordning kring säkerhetskrav på central nivå inom SLL. 3.2 Samverkan Danderyds sjukhus AB och SLL IT Danderyds sjukhus (DSAB) har inte utsett någon specifik riskhanterare för MTU. Ansvaret för riskhantering ingår i uppdraget till respektive MT-ingenjör med huvudkompetens för utrustningen. Av intervjuer framgår att det saknas ett tydligt avtalsförhållande och samverkansformer mellan DSAB och SLL IT för MTU vilket skapar problem vid exempelvis avbrott. Samverkan i stort präglas, enligt intervjusvaren av ett informellt arbetssätt på lokal nivå och ett stort beroende av kunskap och upparbetade informella kontaktvägar. DSAB anger att ärendehanteringen inte fungerar optimalt, bland annat med långa svarstider. Detta upplevs som besvärande då MTU ofta spelar en väsentlig roll ur ett patientsäkerhetsperspektiv. Av revisionen framgår att Danderyds samverkan lokalt präglas av ett informellt arbetssätt. Sjukhuset har inte heller en effektiv samverkan med SLL IT när det gäller MTU. Ett exempel på detta är att det inte finns något tydligt avtal som specificerar ansvarsförhållandet mellan SLL IT och MT-avdelningen. Detta leder till att sjukhuset är beroende av individuella kontaktvägar och att dokumenterade riskbedömningar som även omfattar nätverken inte kan göras. 8 Informations- och kommunikationsteknik 9
12 3.3 Samverkan Karolinska universitetssjukhuset och SLL IT Karolinska universitetssjukhuset (Karolinska) beskriver att de inte har utsett en riskhanterare enligt standarden, men de intervjuade anser att efterlevnaden i övrigt är god. Inom Karolinska sker samverkan effektivt inom ramen för ledningssystemet. Ledningssystemet för informationssäkerhet (LIS) innehåller mallar för samverkan kring exempelvis informationssäkerhetsklassningar. Karolinska uppger att det sker tät samverkan mellan MT och IT på sjukhuset och att ledningssystemet preciserar ansvar på olika nivåer. Det finns avtal mellan SLL IT och Karolinska och återkommande operativa samverkansmöten sker. Vid sjukhuset finns kravsammanställningar som kan användas vid upphandlingar av MTU, där krav på nätverksanslutning och IT-säkerhet framgår. All nätverksansluten MTU uppges vara förtecknad i IT-stöd. Ett problem som lyfts är att Karolinska önskar bättre skisser över nätverken från SLL IT för att underlätta bland annat arbete med segmentering 9. Kännedomen om policy och regelverk för informationssäkerhet bland personalen beskrivs som god, men att det finns utbildningsbehov för tillämpningen av MTU. Genom sitt ledningssystem för informationssäkerhet bedöms Karolinska universitetssjukhuset ha möjlighet att styra ansvarsfrågor och samverkan mellan IT och MT. Det finns ett avtal med SLL IT som ger förutsättningar för en effektiv samverkan. Bedömningen är att det finns ett behov av bättre och mer detaljerad information om den tekniska IT-miljön för att underlätta samverkan och ett systematiskt IT-säkerhetsarbete. Sammantaget finns goda förutsättningar för effektiv samverkan och tydliga ansvarsförhållanden vid Karolinska. 3.4 Södertälje sjukhus AB Södertälje sjukhus AB (Södertälje) redovisar att sjukhuset har en informationssäkerhetssamordnare, men inte en utsedd riskhanterare enligt standard 10. Chefsläkarna är ytterst ansvariga för patientsäkerheten och de samverkar med lokal MT- och IT-personal och informationssäkerhetssamordnaren i ett gemensamt ledningsforum. Södertälje köper även vissa tjänster av Karolinska i Huddinge. I höstas genomfördes en dokumenterad säkerhets- och sårbarhetsanalys av hela verksamheten, vilket inkluderade även MT. Det finns förteckningar över nätverksansluten MTU i IT-stöd. Samverkan mellan sjukhuset och SLL IT fungerar inte tillfredställande enligt Södertälje. Sjukhuset beskriver ineffektiva beställningsvägar med långa handläggningstider och behov av att utnyttja personliga kontakter för att få åtgärder utförda. När det gäller säkerhetskrav i policy och regelverk nämner Södertälje att MT-frågor inte täcks in av nuvarande regelverk. De anställda på sjukhuset uppges ha god kännedom om säkerhetskraven och var de finns tillgängliga. På lokal nivå inom Södertälje sjukhus bedöms ansvarsfördelning och samverkan mellan IT och MT fungera bra. Sjukhuset har god kontroll på nätverksansluten MTU och tydliga processer för installation av nya system. Lokal sam- 9 Innebär att dela upp ett eget nätverk i underavdelningar 10 SS-EN 80001:1 Riskhantering tillämpad på IT-nätverk som innehåller eller är kopplade till medicintekniska produkter 10
13 verkan underlättas av att sjukhuset är en liten enhet med egen IT-avdelning. Samverkan på central nivå med SLL IT bör dock utvecklas och formaliseras för att förbättra styrning och uppföljning och minska beroendet av personliga kontakter för problemlösning. 4 Policy och riktlinjer 4.1 Landstingsstyrelsens förvaltning Intervjuerna visar att det saknas centralt stöd för kravställning av IT-säkerhet i samband med upphandling av MTU. SLL IT kommer ofta in sent i processen, först när MTU inte fungerar. SLL upphandling har hittills inte deltagit i sjukhusens MT upphandlingar, men har nu byggt upp en kompetens kring den typen av upphandlingar i och med arbetet med NKS. Det saknas krav i de övergripande riktlinjerna för informationssäkerhet 11 liksom uppföljning på central nivå av IT-säkerheten i nätverksansluten MTU. För att SLL IT ska kunna anpassa säkerheten specifikt för MTU bör kunderna, i egenskap av informationsägare, göra informationssäkerhetsklassningar enligt landstingets övergripande riktlinjer för informationssäkerhet, samt delge SLL IT resultatet av klassningen. Detta sker inte i dagsläget. Enligt SLL IT är det SLL upphandling och sjukhusens respektive informationssäkerhetssamordnare som bör se till att leverantörer av MT-utrustning uppfyller landstingets ITsäkerhetskrav. SLL IT har ingen kontakt med MTU-leverantörer. Det sker inget erfarenhetsutbyte mellan MT-personal, MTU-leverantörer och IT-personal. Det saknas tydliga krav i de övergripande riktlinjerna för informationssäkerhet vad gäller IT-säkerhet i MT-utrustning specifikt. Därmed finns inte heller någon uppföljning av hur kraven efterlevs. Behovet av tydliga säkerhetskrav ökar i takt med att MT i allt större utsträckning ansluts till nätverk, och att den snabba utvecklingen inom området väntas leda till hantering som omfattar exempelvis även mobila enheter. Den informationssäkerhetsklassning som genomförs av MTU på lokal nivå bör komma SLL IT till del så att arbete med anpassade och ändamålsenliga skyddsåtgärder kan underlättas. Det pågående arbetet på LSF med att införa ett landstingsgemensamt ledningssystem för informationssäkerhet bör säkerställa att LSF får information som ger en överblick över risker och IT-säkerhet i MTutrustningen inom SLL, i syfte att öka förutsättningarna för styrning och samordning av säkerhetsarbetet. LSF bör ta fram tydliga krav på IT-säkerhet för MT-utrustning som stöd vid upphandlingar inom landstinget. 4.2 Danderyds sjukhus AB DSAB beskriver att det ställs standardiserade krav på själva medicintekniska utrustningen men att det inte finns motsvarande när det gäller kommunikationslösningar när utrustningen ansluts till nätverk. Det finns behov om en mer detaljerad beskrivning av nätverk. uttrycks f. DSAB beskriver en informell dialog 11 LS
14 med SLL IT för att efterleva krav i policy och riktlinjer, men efterfrågar ytterligare stöd från SLL IT för att säkerställa efterlevnad av nätverksrelaterade krav och tydligare beskrivningar av gränssnitt för anslutning. Av intervjuerna framgår att sjukhuset upplever att de riktlinjer som finns inte är anpassade för MTU. I avsaknad av central styrning för att formulera krav på leverantörerna vid upphandling blir konsekvensen att MT-leverantörerna istället ställer krav på anpassningar på sjukhuset. Detta kan innebära risker för IT-säkerheten i stort för hela landstinget enligt de intervjuade. Det finns inte någon strukturerad hantering för att säkerställa efterlevnad av riktlinjer inom DSAB och dialog sker på ett informellt sätt. Det innebär att risken för olika tolkningar och tillämpningar ökar, särskilt då dagens styrande regelverk inte omfattar IT-säkerhetskrav gällande MTU. Styrningen vid DSAB skulle bli mer enhetlig med ett generellt stöd för att hantera säkerhetskrav vid upphandlingar. Ett sådant stöd skulle minska både personberoendet och omfattningen av kravarbetet samt öka kvaliteten i upphandlingsunderlagen. 4.3 Karolinska universitetssjukhuset Karolinska uppger i intervjuerna att sjukhuset har ett väl etablerat ledningssystem för informationssäkerhet som ska underlätta kravefterlevnad. Sjukhuset har också arbetat för att införa SS-EN Karolinska efterlyser mer information kring MTU i det styrande regelverket 13. Vid sjukhuset finns en grupp med IT-säkerhetskunniga som är involverade i de flesta upphandlingsprojekt för att driva IT-säkerhetsfrågor. Sjukhuset har tagit fram en mall för IT-säkerhetskrav i samband med upphandling av MTU tillsammans med den egna upphandlingsenheten. Dokumenten används som underlag vid upphandling, men det är enligt Karolinska osäkert om verifiering av IT-säkerhetskrav genomförs efter tilldelningsbeslut. Karolinska anser att de inte får tillräckligt stöd från SLL IT när det gäller IT-säkerhetskrav och skulle vilja se ett initiativ till utvecklade beskrivningar av den tekniska IT-miljön för att underlätta kravställning vid upphandling. När det gäller kravefterlevnad över tid uppger Karolinska att det är problematiskt att leverantörers uppdateringar av utrustning och vilka konsekvenser de kan få. Karolinska är restriktiva med leverantörers uppdateringar eftersom de vill ha möjligheter att testa uppdateringarna i den egna IT-miljön innan de genomförs. Fjärråtkomst från leverantörer tas upp som ett exempel där det saknas ett tydligt regelverk för styrning. Genom att ha egna IT-säkerhetsresurser i upphandlingsprojekten och generella IT-krav har Karolinska skapat goda förutsättningar för att säkerställa att krav i policy och riktlinjer efterlevs, även om det framkommer vissa svårigheter att styra leverantörernas uppdateringar och fjärråtkomst. Bedömningen är att styrningen av leverantörerna skulle underlättas om det i landstingets nuvarande regelverk för informationssäkerhet görs specifika förtydliganden gällande nätverksansluten MTU. 12 SS-EN 80001:1 Riskhantering tillämpad på IT-nätverk som innehåller eller är kopplade till medicintekniska produkter. 13 Fullmäktiges policy och riktlinjer för informationssäkerhet 12
15 4.4 Södertälje sjukhus AB Södertälje uppger att tillämpliga standarder och landstingets regelverk används som underlag när MTU upphandlas och att sjukhuset medverkar i upphandlingsgrupper med IT- och MT-resurser. Policy och regelverk bifogas upphandlingsunderlagen och IT-säkerhetsaspekter analyseras inför upphandlingarna tillsammans med IT-resurser. Ofta är dock kravställningen ganska öppen för leverantörerna att besvara utifrån hur deras produkter fungerar. Sjukhuset upplever att regelverket för informationssäkerhet är delvis föråldrat och inte anpassat för nätverksansluten MTU, vilket exempelvis kan medföra osäkerhet kring hur extern fjärråtkomst av leverantörer ska hanteras. Det finns också otydligheter i gränssnittsbeskrivningar som är anpassade för specifik utrustning. I stort säkerställs efterlevnad av säkerhetskrav lokalt genom ett nära samarbete på informell nivå mellan IT- och MT-resurser. På samma sätt som för de övriga akutsjukhusen ingår policy och styrande regelverk i förfrågningsunderlaget vid upphandlingar som Södertälje sjukhus genomför i syfte att säkerställa efterlevnad av krav. Då det av granskningen framgår att det inte finns något samlat centralt stöd för att formulera krav på detaljerad nivå finns det risk att kvaliteten varierar på upphandlingsunderlagen och att kraven blir otydliga. Eftersom sjukhuset är litet sker ett nära erfarenhetsutbyte och daglig återkoppling mellan IT och MT lokalt vilket gynnar förutsättningarna för efterlevnad av policy och regelverk på lokal nivå. Det finns viss risk att kravställningen mot leverantörer sker mer på leverantörernas villkor för sina produkter än utifrån verksamhetens behov då sjukhuset har begränsade resurser för kravställning och det saknas ett stöd från landstinget centralt. 5 Systematiskt säkerhetsarbete 5.1 Landstingsstyrelsens förvaltning Det sker en del IT-säkerhetsrelaterat arbete inom ramen för arbetet med NKS och FHS och då främst tekniska krav i samband med upphandling av MTU. Ansvaret för att göra riskanalyser och bedömningar vid uppdateringar av MTU ligger enligt SLL IT på sjukhusen, såvida inget annat anges i avtalet. SLL IT gör riskanalyser inför förändringar av nätverken eller vid konstaterade störningar, men inget specifikt görs för MTU. Alla ärenden kring MTU, även akuta, hanteras via servicedesk på SLL IT. När det gäller ansvarsfördelningen för den dagliga övervakningen är det SLL IT infrastruktur som fångar upp felen och rapporterar enligt avtal. SLL IT har behov av att få förbättrad information om nätverksansluten MTU. Oftast finns inget specifikt uttalat i tjänsteöverenskommelsen som rör MTU utom i något fall där det ställts särskilda villkor på nätverket till någon speciell MTU. Incidenthanteringen sker enligt avtal med respektive kund. Incidenterna gäller avvikelser generellt och inte MT specifikt. Det kan finnas vissa klausuler om att MT är viktigt. SLL IT uppger att krav i avtal kan vara otillräckligt, men 13
16 SLL IT påtalar att kunden har möjligheter att ställa specifika krav kring det systematiska säkerhetsarbetet. Högre krav innebär emellertid högre kostnader för kunden. En förbättrad central samordning för att styra riskhanteringen och samverkan mellan sjukhusen och SLL IT skulle öka IT-säkerheten i MT-utrustning och därmed även bidra till högre patientsäkerhet. Det behöver även finnas överblick på SLL IT över nätverksansluten MTU som förutsättning för säkerhetsarbetet. 5.2 Danderyds sjukhus AB DSAB beskriver att det inte bedrivs ett systematiskt lokalt informationssäkerhetsarbete samlat för all nätverksansluten MTU. De riskbedömningar som görs gäller antingen ett övergripande verksamhetsperspektiv eller för enskilda MTutrustningar. MT-leverantören ansvarar oftast för riskanalyser av enskild utrustning i samband med uppdateringar. Intervjuade uppger att det inte finns något generellt metod- eller verktygsstöd för att göra riskbedömningar och att det skulle underlätta om detta togs fram centralt. När det gäller ärendehantering görs denna i två olika system beroende på om det är MT-personal eller IT-personal som registrerar ärendet. Det finns inget sätt utöver informella kontakter att prioritera akuta MT-ärenden. Uppföljningen kring patientsäkerhetsrisker sker i HändelseVis 14. Det finns inga strukturerade rutiner lokalt för att hantera IT-säkerhetsrisker, enligt sjukhuset. är att det systematiska säkerhetsarbetet kan utvecklas vid Danderyds sjukhus. Det finns exempelvis inga mallar eller metodstöd för riskbedömningar och det saknas en enhetlig process vid införande av ny medicinteknisk utrustning. Dessa förhållanden påverkar förutsättningarna för ett systematiskt säkerhetsarbete negativt och behöver utvecklas. När det gäller ärendehanteringen sker detta i parallella system med risk att ärenden dubbelregistreras eller faller mellan stolarna. Det finns också risk att akuta ärenden inte prioriteras då ingen rutin/process för snabb hantering av denna ärendetyp finns. Följden av detta blir att sjukhuset blir beroende av personliga kontaktvägar för att lösa problem. Det kan också medföra säkerhetsrisker, både i ett patient- och IT-säkerhetsperspektiv, om incidenter inte rapporteras eller följs upp. 5.3 Karolinska universitetssjukhuset Karolinska beskriver att ett systematiskt säkerhetsarbete finns som utgår från leverantörernas riskanalyser för utrustningen, exempelvis vid uppdateringar. Stöd för riskanalyser, både vad gäller IT-säkerhet och patientsäkerhet ges enligt Karolinska som en integrerad del av sjukhusets egna ledningssystem. Det finns mallar och metodstöd för riskbedömningar. Vid anslutning av ny MTU beskriver sjukhuset att de tar formella driftsättningsbeslut efter validering av installationen. 14 Gemensamt rapporteringssystem inom SLL för rapportering av risker och avvikelser. 14
17 När det gäller uppföljning och ärendehantering beskrivs tre olika system för detta, varav ett system hanteras av SLL IT. Karolinska har ingen insyn i detta system. För akuta ärenden för MTU anges att de i första hand tar kontakt med lokal MT-personal som i sin tur kontaktar SLL IT om nätverksproblem konstateras. Återkoppling av incidenter och händelser hanteras via systemet HändelseVis och uppföljningsmöten mellan sjukhuset och SLL IT. Karolinska universitetssjukhuset bedöms ha ett systematiskt säkerhetsarbete men bör komplettera leverantörernas bedömning med en egen riskbedömning. Genom sitt ledningssystem för informationssäkerhet har Karolinska stöd att styra säkerhetsarbetet med tydliga processer genom hela systemlivscykeln 15. Ärendehanteringen förefaller vara ett område där processerna är otydliga. Revisionen bedömer att om sjukhusets inblick ökades i ärenden som hanteras av SLL IT eller mer detaljerad återkoppling av ärendestatus skulle säkerhetsarbetet effektiviseras ytterligare. 5.4 Södertälje sjukhus AB Södertälje hänvisar främst till MT-leverantörernas riskhanteringsdokumentation, men tar också upp att det finns en strukturerad process för att riskbedöma och testa utrustning vid nyinstallationer eller uppdateringar och att formella driftsättningsbeslut tas innan drift. Fokus för dessa tester är IT-säkerhet enligt sjukhuset. De nämner ett exempel från röntgenavdelningen där det genomförs riskanalys tillsammans med IT-avdelningen, leverantören och verksamheten. Den riskanalysmodell som används utgår från pm3-modellen 16. Uppföljning och ärendehantering sker i parallella system hos antingen leverantör eller via den lokala IT-avdelningen som eskalerar till central helpdesk vid behov. Uppföljningen och rapporteringen uppges fungera utan problem. Vid akuta ärenden uppger sjukhuset att manuella reservrutiner används tillsammans med lokala IT-resurser. Rapportering och återkoppling av incidenter hanteras via HändelseVis med månadsvis uppföljning. Södertälje sjukhus har ett strukturerat riskanalys- och säkerhetsarbete som utgår från leverantörernas riskhanteringsdokumentation. Det finns en process för anslutning eller uppdateringar av system som avser IT-säkerheten. 15 Från den första lanseringen av systemet tills systemet ska skrotas 16 pm3 är en förvaltningsstyrningsmodell som kan användas styrning av enskilda förvaltningsuppdrag eller användas för att hantera organisationens totala uppdragsportfölj avseende förvaltning och utveckling. Se även 15
18 Kort om rapporten Landstingets styrning och kontroll av IT-säkerheten i nätverksansluten medicinteknisk utrustning (MTU) behöver stärkas på landstingsövergripande nivå, dels för att uppnå en effektivare hantering i landstinget, dels för att incidenter och brådskande ärenden som rör MTU ska tas om hand koordinerat och med hög prioritet. Roller och ansvar behöver tydliggöras på både central och lokal nivå. Samverkan mellan SLL IT och de avtalsknutna sjukhusen behöver utvecklas för att säkerställa den tekniska säkerheten och i förlängningen även patientsäkerheten.
Informationssäkerhetspolicy inom Stockholms läns landsting
LS 1112-1733 Informationssäkerhetspolicy inom Stockholms läns landsting 2013-02-01 Beslutad av landstingsfullmäktige 2013-03-19 2 (7) Innehållsförteckning 1 Inledning...3 2 Mål... 4 3 Omfattning... 4 4
PROJEKTRAPPORT NR 14/2014. Ledningssystem för informationssäkerhet, förutsättningar för en god intern kontroll?
PROJEKTRAPPORT NR 14/2014 N Ledningssystem för informationssäkerhet, förutsättningar för en god intern kontroll? Vad gör Landstingsrevisorerna? Landstingsrevisorerna granskar den verksamhet som bedrivs
Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting
Informationssäkerhetspolicy för Stockholms läns landsting 1 Innehållsförteckning Inledning... 3 Mål... 4 Omfattning... 4 Innebörd... 4 Ansvar... 6 Uppföljning och revidering... 7 LS 1112-1733 Beslutad
I Central förvaltning Administrativ enhet
., Landstinget II DALARNA I Central förvaltning Administrativ enhet ~llaga LS 117,4 BESLUTSUNDERLAG Landstingsstyrelsen Datum 2013-11-04 Sida 1 (3) Dnr LD13/02242 Uppdnr 652 2013-10-21 Landstingsstyrelsens
Beredskap för att möta katastrofer, attentat och sabotage i kollektivtrafiken
Projektrapport nr 12/2005 Beredskap för att möta katastrofer, attentat och sabotage i kollektivtrafiken Landstingets centrala säkerhetsarbete är i ett uppbyggnadsskede med förstärkta ledningsresurser,
Landstingshuset i Stockholm AB ÅRSRAPPORT 2013
Landstingshuset i Stockholm AB ÅRSRAPPORT 2013 Vad gör Landstingsrevisorerna? Landstingsrevisorerna granskar den verksamhet som bedrivs av landstingets nämnder och bolagsstyrelser. Revisionsuppdraget är
Policy för informationssäkerhet
.. - T C Q o,.. e Policy för informationssäkerhet Landstingsdirektörens stab augusti 2015 CJiflt LANDSTINGET BLEKINGE Innehållsförteckning Inledning och bakgrund... 3 Syfte... 3 Mål... 3 Genomförande...
Granskning av landstingets hantering av personuppgifter
Granskning av landstingets hantering av personuppgifter Rapport nr 25/2012 Februari 2013 Susanne Hellqvist, revisor, revisionskontoret Innehåll 1. SAMMANFATTNING... 3 1.1 REKOMMENDATIONER... 4 2. BAKGRUND...
Lokal informationssäkerhetspolicy för hälso- och sjukvårdsförvaltningen
Hälso- och sjukvårdsförvaltningen TJÄNSTEUTLÅTANDE 2016-03-03 1 (3) HSN 1506-0806 Handläggare: Bill Heiding, Carina Landberg Hälso- och sjukvårdsnämnden 2016-04-19, p 11 Lokal informationssäkerhetspolicy
Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13
Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13 Människors liv och hälsa samt landstingets samhällsviktiga verksamhet skall värnas. Ingen, eller inget, skall skadas av sådant som
IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser
Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Östergötland Kerem Kocaer Magnus Olson-Sjölander Björn Johrén IT-specialister Eva Andlert
Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad: 2013-10-23
Informationssäkerhet vid Karolinska Universitetssjukhuset Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad: 2013-10-23 Förlorar vi informationen, om den är felaktig eller manipulerad
Stockholms läns landsting 1 (6)
Stockholms läns landsting 1 (6) Landstingsstyrelsens förvaltning Direktören strategisk IT TJÄNSTEUTLÅTANDE 2015-04-09 LS 2015-0344 Handläggare: Vesna Lucassi Landstingsstyrelsens innovationsberedning Yttrande
PROJEKTRAPPORT NR/7 2013. Ett samlat grepp om IT-verksamheten
PROJEKTRAPPORT NR/7 2013 N Ett samlat grepp om IT-verksamheten Vad gör Landstingsrevisorerna? Landstingsrevisorerna granskar den verksamhet som bedrivs av landstingets nämnder och bolagsstyrelser. Revisionsuppdraget
Svar på revisionsrapport patientsäkerhetsgranskning av medicintekniska produkter
1(5) Datum 2014-05-07 Diarienummer Förslag Till Region Hallands revisorer För kännedom: Hälso- och sjukvårdsstyrelsen på revisionsrapport patientsäkerhetsgranskning av medicintekniska produkter Driftnämnden
Riktlinje för intern styrning och kontroll avseende Norrköping Rådhus AB:s bolagskoncern
Riktlinje Riktlinje för intern styrning och kontroll avseende Norrköping Rådhus AB:s bolagskoncern Beslutat av Norrköping Rådhus AB den 11 februari 2015 Enligt Kommunallagen (6 Kap 7 ) ska nämnder och
Informationssäkerhetspolicy för Ystads kommun F 17:01
KS 2017/147 2017.2189 2017-06-29 Informationssäkerhetspolicy för Ystads kommun F 17:01 Dokumentet gäller för: Ystads kommuns nämnder, kommunala bolag och kommunala förbund Gäller fr.o.m. - t.o.m. 2017-08-01-tillsvidare
Hantering av IT-risker
Hantering av IT-risker Landstinget i Östergötland Revisionsrapport Januari 2011 Jon Arwidson Magnus Olson-Sjölander Fredrik Eriksson Eva Andlert Certifierad kommunal revisor 1 av 10 Innehållsförteckning
Svar på revisionsskrivelse med anledning av granskning av landstingets remisshantering
LANDSTINGET I UPPSALA LÄN Föredragningspromemoria Produktionsstyrelsen 2012-02-20 31 Dnr PS 2012-0018 Svar på revisionsskrivelse med anledning av granskning av landstingets remisshantering Förslag till
Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.
Revisionsrapport Gymnastik- och idrottshögskolan Box 5626 114 86 Stockholm Datum Dnr 2011-03-08 32-2010-0728 Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan
STYRNING OCH KONTROLL AV RAMAVTAL FÖR MISSBRUKSVÅRD. Styrningen och samordningen av avtalen är tillfredsställande
STADSREVISIONEN www.stockholm.se/revision Nr 5 Januari 2009 DNR 420-19/09 Revisionsrapport STYRNING OCH KONTROLL AV RAMAVTAL FÖR MISSBRUKSVÅRD Styrningen och samordningen av avtalen är tillfredsställande
Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet
Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet Dnr 1-516/2013 (ersätter Dnr 6255-2012-060) Gäller från och med Informationsklass: K1R2T1 Bilaga 2. Ansvarsbeskrivningar
IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser
Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Jönköpings län Kerem Kocaer Johan Elmerhag Jean Odgaard September 2013 Innehållsförteckning
Styrning av behörigheter
Revisionsrapport Styrning av behörigheter i journalsystem Landstinget i Östergötland Janne Swenson Kerem Kocaer Jens Ryning Eva Andlert, cert. kommunal revisor Styrning av behörigheter i journalsystem
Årsrapport NU-sjukvården Diarienummer REV
Årsrapport NU-sjukvården 2017 Diarienummer REV 2017 00067 Behandlad av revisorskollegiet den 14 mars 2018 Årsrapport NU-sjukvården, 2018-02-23 2 (6) Innehåll Årets granskning... 3 Styrelsens ansvar...
Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun
Revisionsrapport Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång Björn Johrén, Säkerhetsspecialist Klippans kommun Innehållsförteckning 1. Inledning 1 1.1.
Granskning år 2015 av patientnämnden
Granskning år 2015 av patientnämnden Rapport nr 20/2015 Mars 2016 Jonas Hansson, revisionskontoret Diarienummer: REV 21:2 2015 Innehåll 1. SAMMANFATTANDE ANALYS... 3 1.1. REKOMMENDATIONER... 3 2. BAKGRUND...
Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.
Revisionsrapport Verket för högskoleservice Box 24070 104 50 Stockholm Datum Dnr 2011-03-08 32-2010-0738 Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice
Instruktion för revision av förvaltningar inom Stockholms läns landsting 2014
Instruktion för revision av förvaltningar inom Stockholms läns landsting 2014 Version 27 aug 2014 Kontaktuppgifter för granskningsansvariga har uppdaterats. Avsnitt 1 har uppdaterats fr.o.m. tidpunkten
Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag
Förfrågningsunderlag stockholm.se Utbildningsförvaltningen Avdelningen för utveckling och samordning Hantverkargatan 2F 104 22 Stockholm Växel 08-508 33 000 www.stockholm.se Innehåll 1 Inledning 3 2 Krav
Stockholms läns sjukvårdsområde
Diarienummer Ägardirektiv Stockholms läns sjukvårdsområde Gäller för Stockholms läns sjukvårdsområde Antagen av landstingsfullmäktige 2017-06-13, LS 2015-0385, ändrad av landstingsfullmäktige 2017-12-05,
Förstudie: Övergripande granskning av ITdriften
Revisionsrapport Förstudie: Övergripande granskning av ITdriften Jönköpings Landsting Juni 2013 Innehållsförteckning Sammanfattning... 1 1. Inledning... 2 1.1. Bakgrund... 2 1.2. Uppdrag och revisionsfrågor...
Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet
Revisionsrapport Karolinska institutet 171 77 Stockholm Datum Dnr 2011-02-01 32-2010-0715 Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet 2010 Riksrevisionen
Emil Forsling Auktoriserad revisor. Revisionsrapport Övergripande granskning av intern kontroll inom Landstinget Dalarna 2014
Emil Forsling Auktoriserad revisor Revisionsrapport Övergripande granskning av intern kontroll inom Landstinget Dalarna 2014 Innehållsförteckning 1. Inledning... 3 1.1 Uppdrag och revisionsfråga... 3 1.2
I OC U m.,,)i~den FÖR VÅRDEN
I OC U m.,,)i~den FÖR VÅRDEN 2016-05-11 '2016-06-03 - ÄRENDE 12 BESLUT 1(1 ) Diarienummer LOC 1605-0658 VD stab Vice verkställande direktör Per-Inge Buskas Informationssäkerhetsklass Öppen Styrelsen för
Intern kontroll och riskbedömningar. Strömsunds kommun
www.pwc.se Revisionsrapport Intern kontroll och riskbedömningar Anneth Nyqvist Mars 2017 Innehåll Sammanfattning... 2 1. Inledning... 3 1.1. Bakgrund... 3 1.2. Syfte och Revisionsfråga... 3 1.3. Kontrollmål
Informationssäkerhetspolicy för Ånge kommun
INFORMATIONSSÄKERHETSPOLICY 1 (10) Informationssäkerhetspolicy för Ånge kommun Denna informationssäkerhetspolicy anger hur Ånge kommun arbetar med informationssäkerhet och uttrycker kommunens stöd för
TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63
TJÄNSTESKRIVELSE 2019-01-14 Kommunstyrelsen Richard Buske Tf säkerhetschef Telefon 08 555 010 22 richard.buske@nykvarn.se informationssäkerhetspolicy KS/2019:63 Förvaltningens förslag till beslut Revidering
Regionens uppföljning av externa utförare inom primärvården
Regionens uppföljning av externa utförare inom primärvården Dnr: Rev 34-2011 Genomförd av: Revisionsenheten Vilhelm Rundquist Behandlad av Revisorskollegiet den 14 december 2011 Regionens uppföljning av
Landstingsrevisorernas Delrapporterings - PM 2016, Landstingshuset i Stockholm AB
Stockholms läns landsting i (i) Org.nr 55Ö477-9378 Verkställande Direktören SKRIVELSE 2016-11-02 LISAB 2016-0029 Styrelsen Landstingsrevisorernas Delrapporterings - PM 2016, Ärendebeskrivning Landstingsrevisorernas
Granskning år 2014 av patientnämnden
Granskning år 2014 av patientnämnden Rapport nr 26/2014 Mars 2015 Jonas Hansson, Revisor, revisionskontoret Diarienummer: Rev 24:2-2014 Innehåll 1. SAMMANFATTNING... 3 2. INLEDNING... 4 3. NÄMNDENS UPPDRAG...
Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.
Revisionsrapport Mälardalens högskola Box 883 721 23 Västerås Datum Dnr 2011-03-08 32-2010-0735 Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010 Riksrevisionen
Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.
Revisionsrapport Kungl. Konsthögskolan Box 163 65 103 26 Stockholm Datum Dnr 2011-03-09 32-2010-0732 Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010
Granskning år 2012 av patientnämnden
Granskning år 2012 av patientnämnden Rapport nr 22/2012 Februari 2013 Jonas Hansson, Revisor, revisionskontoret Innehåll Innehåll... 2 1 Sammanfattning... 3 2 Inledning... 3 2.1 Bakgrund... 3 2.2 Revisionsfrågor...
Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen
Stadsrevisionen Projektplan Informationssäkerhetsarbetet i Göteborgs Stad goteborg.se/stadsrevisionen 2 PROJEKTPLAN INFORMATIONSSÄKERHETSARBETET I GÖTEBORGS STAD Informationssäkerhetsarbetet i Göteborgs
Informationsöverföring. kommunikation med landstinget - uppföljande granskning
www.pwc.se Revisionsrapport Jenny Krispinsson Augusti 2015 Informationsöverföring och kommunikation med landstinget - uppföljande granskning Gällivare kommun Innehållsförteckning 1. Sammanfattande bedömning...
Landstinget Kronoberg
Revisionsrapport december 2012 Genomförd på uppdrag av revisorerna Landstinget Kronoberg Implementering och efterlevnad av reglemente för intern kontroll Innehållsförteckning Sammanfattande diskussion
Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket
15-12-07 1/6 Tillämpningsområde 1 Denna författning innehåller bestämmelser om myndigheternas arbete med informationssäkerhet och deras tillämpning av standarder i sådant arbete. 2 Författningen gäller
Lokala regler och anvisningar för intern kontroll
Kulturförvaltningen TJÄNSTEUTLÅTANDE Diarienummer: Avdelningen för verksamhets- och ledningsstöd 2019-03-27 KN 2019/364 Handläggare: Harald Lindkvist Lokala regler och anvisningar för intern kontroll Ärendebeskrivning
Policy och riktlinjer för användning av informationsteknik inom Göteborgs Stad
Policy och riktlinjer för användning av informationsteknik inom Göteborgs Stad Policy för användning av informationsteknik inom Göteborgs Stad Policyn visar stadens förhållningssätt till informationsteknik
Revisionsrapport Borgholms kommun Caroline Liljebjörn 1 juni 2016
www.pwc.se Revisionsrapport Uppföljning av ITgranskning från år 2013 Caroline Liljebjörn 1 juni 2016 Innehåll Sammanfattning och revisionell bedömning...2 1.1. Bedömningar mot kontrollmål...2 2. Inledning...4
Granskning av behörigheter till journalsystemet
Granskning av behörigheter till journalsystemet Rapport nr 18/2015 Februari 2016 Jonas Hansson, revisionskontoret Diarienummer: REV 61:2 2015 Innehåll 1. SAMMANFATTANDE ANALYS... 3 1.1. REKOMMENDATIONER...
Myndigheten för samhällsskydd och beredskaps författningssamling
Myndigheten för samhällsskydd och beredskaps författningssamling Utgivare: Key Hedström, Myndigheten för samhällsskydd och beredskap ISSN 2000-1886 MSBFS Utkom från trycket den 11 mars 2016 Myndigheten
Landstingets styrning och kontroll av ITavbrottsplaner
Landstingets styrning och kontroll av ITavbrottsplaner - uppföljande granskning Rapport nr 17/2014 December 2014 Eva Röste Moe, Certifierad kommunal revisor, revisionskontoret Diarienummer: REV 33:2-2014
Revisionsberättelser och granskningsrapporter 2007
LANDSTINGS- REVISORERNA Revisionsberättelser och granskningsrapporter 2007 med sammanfattning av yrkesrevisorernas årsrapporter för nämnder, styrelser och bolag April 2008 RK 200706-48
DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen
TJÄNSTESKRIVELSE Datum DNR: KS2016/918/01 2018-03-07 1 (1) Kommunstyrelsen Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Förslag till beslut Förslaget till Informationssäkerhetspolicy för
SOLLENTUNA FÖRFATTNINGSSAMLING 1
FÖRFATTNINGSSAMLING 1 IT-STRATEGI FÖR SOLLENTUNA KOMMUN Antagen av fullmäktige 2003-09-15, 109 Inledning Informationstekniken har utvecklats till en världsomspännande teknik som omfattar datorer, telefoni,
Yttrande över revisionsrapport nr 34/2004, God styrelsesed i nämnder och bolag
Landstingsstyrelsens förvaltning Landstingsdirektören TJÄNSTEUTLÅTANDE 2005-03-17 Landstingsstyrelsen Yttrande över revisionsrapport nr 34/2004, God styrelsesed i nämnder och bolag Ärendet Landstingsrevisorerna
PM 2015:127 RVI (Dnr /2015)
PM 2015:127 RVI (Dnr 159-1175/2015) Förslag till föreskrifter om allmänna råd om behandling av personuppgifter och journalföring i hälso- och sjukvården Remiss från Socialstyrelsen Remisstid den 1 september
Reglemente för landstingets revisorer
Reglemente för landstingets revisorer Mandatperioden 2015 2018 Fastställt av landstingsfullmäktige den 29 30 oktober 2014, 145 2014-10-29--30 14LS7144 2(7) REGLEMENTE FÖR LANDSTINGET VÄSTERNORRLANDS REVISORER
IT-säkerhetspolicy för Landstinget Sörmland
Bilaga 1, LS 115 /02 1.0 1(5) IT-säkerhetspolicy för Landstinget Sörmland Inledning Bakgrund och motiv Mål Medel Omfattning Organisation och ansvar Regelverk 1.0 2(5) Inledning Policyn är landstingsstyrelsens
Följsamhet till regler och rutiner för attestering
Följsamhet till regler och rutiner för attestering Rapport nr 5/2016 December 2016 Jonas Hansson, revisionskontoret Diarienummer: REV 10:2 2016 Innehåll 1. SAMMANFATTANDE ANALYS... 3 BAKGRUND... 3 REGLER
Policy för internkontroll för Stockholms läns landsting och bolag
Policy för internkontroll för Stockholms läns landsting och bolag Policy för internkontroll för Stockholms läns landsting och bolag 2 (6) Innehållsförteckning Policy för internkontroll... 1 för Stockholms
Landstingets ärende- och beslutsprocess
LANDSTINGET I VÄRMLAND REVISIONSRAPPORT Revisorerna AM/JM 2012-12-18 Rev/12017 Landstingets ärende- och beslutsprocess Sammanfattning Denna granskning har omfattat hantering enligt riktlinjen för landstingets
Uppföljning av upphandling svar på revisionsskrivelse
8 april 2014 KS-2014/476.912 1 (7) HANDLÄGGARE Mikael Blomberg 08-535 302 98 mikael.blomberg@huddinge.se Kommunstyrelsen Uppföljning av upphandling svar på revisionsskrivelse Förslag till beslut Kommunstyrelsens
Informationssäkerhetspolicy KS/2018:260
Informationssäkerhetspolicy KS/2018:260 Innehållsförteckning Antagen av kommunfullmäktige den [månad_år] Informationssäkerhetspolicy...22 Ändringar införda till och med KF, [nr/år] Inledning och bakgrund...22
SOSFS 2005:12 (M) Ledningssystem för kvalitet och patientsäkerhet i hälso- och sjukvården. Socialstyrelsens författningssamling
SOSFS (M) frfattningssam lingföreskrifter Ledningssystem för kvalitet och patientsäkerhet i hälso- och sjukvården Socialstyrelsens författningssamling I Socialstyrelsens författningssamling (SOSFS) publiceras
Utvecklingsplan för god och jämlik vård. Revisionspromemoria. LANDSTINGETS REVISORER Revisionskontoret
Utvecklingsplan för god och jämlik vård Revisionspromemoria LANDSTINGETS REVISORER 2014-04-09 14REV9 2(7) Sammanfattning Hälso- och sjukvårdsnämnden beslutade i december 2011 om en utvecklingsplan för
Diarienummer REV Revisionens ramplanering 2018 Revisorskollegiet Västra Götalandsregionen
Revisionens ramplanering 2018 Revisorskollegiet Västra Götalandsregionen 1 Revisionens planeringsgrund Inledning Detta dokument syftar till att på en övergripande nivå beskriva grunden för revisionens
Informationssäkerhetspolicy
Informationssäkerhetspolicy KS/2018:260 Ansvarig: Kanslichef Gäller från och med: 2018-07-19 Uppföljning / revidering ska senast ske: 2019-07-19 Beslutad av kommunfullmäktige 2018-06-20, 60 Innehållsförteckning
Organisation för samordning av informationssäkerhet IT (0:1:0)
Organisation för samordning av informationssäkerhet IT (0:1:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd: Direktionen 20130926 Dnr: 0036/13 Kommunalförbundet ITSAM,
Granskning av systemförvaltning för journalsystemet Cosmic
MISSIV 1(3) 2014-02-18 LJR2014/3 Förvaltningsnamn Landstingsrevisionen Landstingsstyrelsen Granskning av systemförvaltning för journalsystemet Cosmic Landstingets revisorer har, med hjälp av sakkunnigt
Revisionsrapport Granskning av upphandlade ramavtal. Härjedalens Kommun
Revisionsrapport Granskning av upphandlade ramavtal. Härjedalens Kommun 2 November 2012 Innehåll Sammanfattning... 1 1. Inledning... 2 2. Resultat... 3 3. Bedömning och rekommendationer... 5 Sammanfattning
Fastställande av internkontrouplan för år 2017 för landstingsstyrelsens förvaltning
Stockholms läns landsting i (i) Landstingsradsberedningen SKRIVELSE 2016-11-09 LS 2016-0875 Landstingsstyrelsen Fastställande av internkontrouplan för år 2017 för landstingsstyrelsens förvaltning Föredragande
Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller
Beslut Diarienr 1 (8) 2017-06-13 989-2016 Praktikertjänst AB 103 55 Stockholm Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller
Revisionen i finansiella samordningsförbund. seminarium
Revisionen i finansiella samordningsförbund seminarium 2015 10 13 Så här är det tänkt Varje förbundsmedlem ska utse en revisor. För Försäkringskassan och Arbetsförmedlingen utser Försäkringskassan en gemensam
Uppdraget som biståndshandläggare inom äldreomsorgen
BROMMA STADSDELSFÖRVALTNING BESTÄLLARAVDELNING ÄLDREOMSORG SID 1 (6) 2007-04-23 SDN 2007-05-14 Handläggare: Eva Lindström Telefon: 508 06 321 Till Bromma stadsdelsnämnd Uppdraget som biståndshandläggare
ÅRSRAPPORT 2014. Landstinghuset i Stockholm AB
ÅRSRAPPORT 2014 N Landstinghuset i Stockholm AB Vad gör Landstingsrevisorerna? Landstingsrevisorerna granskar den verksamhet som bedrivs av landstingets nämnder och bolagsstyrelser. Revisionsuppdraget
PROJEKTRAPPORT NR 13/2014. Samordning och styrning av akutsjukhusens upphandlingar
PROJEKTRAPPORT NR 13/2014 N Samordning och styrning av akutsjukhusens upphandlingar Vad gör Landstingsrevisorerna? Landstingsrevisorerna granskar den verksamhet som bedrivs av landstingets nämnder och
Kundfordringar en uppföljande granskning
Kundfordringar en uppföljande granskning Revisionsrapport LANDSTINGETS REVISORER 2017 03 22 16REV47 2(7) Sammanfattning I vår tidigare granskning av kundfordringar uppmärksammades ett antal risker och
E-fakturaprojektet inom SLL 2005
Projektrapport nr 23/2005 E-fakturaprojektet inom SLL 2005 E-fakturaprojektet inom Landstingsstyrelsens förvaltning har i enlighet med Landstingsdirektörens direktiv infört en lösning för elektroniskt
Riktlinje för säkerhetsarbetet i Norrköpings kommun
Riktlinje 2008-01-07 Riktlinje för säkerhetsarbetet i Norrköpings kommun Diarienummer KS-1006/2007 Beslutad av kommunstyrelsen den 7 januari 2008 Riktlinjen ersätter Styrdokument för säkerhetsarbetet i
Projektplan Samverkan kring barn med behov av samordnande insatser
1 Projektplan Samverkan kring barn med behov av samordnande insatser En del barn och unga har behov av särskilt stöd. Det kan bero på flera orsaker så som social problematik, psykisk ohälsa, kroniska sjukdomar
Vård i livets slut, uppföljning
Revisionsrapport* Vård i livets slut, uppföljning Landstinget Halland Oktober 2007 Christel Eriksson, certifierad kommunal yrkesrevisor Sammanfattning *connectedthinking Innehållsförteckning Sammanfattning...2
Landstingsstyrelsens förvaltning Bilaga N Internkontrollplan (5)
Internkontrollplan 2008 1(5) Styrning och konsekvensanalyser Landstingsstyrelsens förvaltning har en fastställd budget/verksamhetsplan med mätbara mål Landstingsstyrelsens förvaltning tecknar avtal och
Vad gör Landstingsrevisorerna?
Vad gör Landstingsrevisorerna? Landstingsrevisorerna granskar den verksamhet som bedrivs av landstingets nämnder och bolagsstyrelser. Revisionsuppdraget är det största inom kommunal verksamhet. Landstingsrevisorerna
Palliativ vård, uppföljning. Landstinget i Halland. Revisionsrapport. Mars 2011. Christel Eriksson, certifierad kommunal revisor
Palliativ vård, uppföljning Landstinget i Halland Revisionsrapport Mars 2011 Christel Eriksson, certifierad kommunal revisor Innehåll Sammanfattning... 3 Bakgrund... 4 Metod och genomförande... 4 Granskningsresultat...
Revisionen i finansiella samordningsförbund. seminarium 2014 01 14
Revisionen i finansiella samordningsförbund seminarium 2014 01 14 Så här är det tänkt Varje förbundsmedlem ska utse en revisor. För Försäkringskassan och Arbetsförmedlingen utser Försäkringskassan en gemensam
Morgondagens nätverkssjukvård i Stockholm
2014-10-17 1 FHS Programkontor SLL Arbetsmaterial endast för diskussion Morgondagens nätverkssjukvård i Stockholm Henrik Gaunitz Programdirektör vid Programkontoret för Framtidens hälso- och sjukvård,
Uppföljande granskning av landstingets strategiska råd och grupper
PROMEMORIA Uppföljande granskning av landstingets strategiska råd och grupper Augusti 2015 Eva Röste Moe, revisionskontoret Innehåll 1. SAMMANFATTANDE ANALYS... 3 1.1. BAKGRUND... 3 1.2. GRANSKNINGENS
ÅRSRAPPORT Landstingshuset i Stockholm AB
ÅRSRAPPORT 2013 N Landstingshuset i Stockholm AB Vad gör Landstingsrevisorerna? Landstingsrevisorerna granskar den verksamhet som bedrivs av landstingets nämnder och bolagsstyrelser. Revisionsuppdraget
Informationssäkerhetspolicy
Informationssäkerhetspolicy Tyresö kommun 2014-03-06 Innehållsförteckning 1 Mål för informationssäkerhetsarbetet... 3 2 Policyns syfte... 3 3 Grundprinciper... 4 4 Generella krav... 4 4.1 Kommunens informationstillgångar...
Revisionsrapport "Förstudie av kommunens ITorganisation"
1(5) Ks 27 Dnr 2017-000354 Kort sammanfattning Kommunens revisorer har genomfört en förstudie om kommunens ITorganisation och överlämnat den till kommunstyrelsen för yttrande med önskat svar och synpunkter
Avvikelsehantering och kunskapsåterföring - uppföljning
LANDSTINGET I VÄRMLAND Revisionskontoret 2017-06-15 Johan Magnusson Rev/17017 Avvikelsehantering och kunskapsåterföring - uppföljning Rapport 3-17 Avvikelsehantering och kunskapsåterföring - uppföljning
BESLUT. Ärendet Egeninitierad verksamhetstillsyn av vårdgivarens informationssäkerhet
ii Socia Istyrelsen DRegion SydvästiSek4 Mikael Ramböl mikaetrarnbol@socialstyrelsen.se BESLUT 2011-06-15 Dnr 9.1-7139/2011 1(5) SU/Sahlgrenska Universitetssjukhuset Sjukhusdirektör Jan Eriksson Bruna
Svar på förfrågan från socialdepartementet angående patientmaktsutredningen
Förvaltningschef Staffan Blom PaN 2013-03-12 P 8 Dnr A1302-00047-30 TJÄNSTEUTLÅTANDE 2013-02-27 Svar på förfrågan från socialdepartementet angående patientmaktsutredningen Ärendet Patientnämnden har mottagit
Landstingsstyrelsens förvaltning Bilaga 1 Internkontrollplan (5)
Internkontrollplan 2009 2009-06-01 1(5) Styrning och konsekvensanalyser Landstingsstyrelsens förvaltning har en fastställd budget/verksamhetsplan med mätbara mål Landstingsstyrelsens förvaltning tecknar
www.pwc.se Revisionsrapport Granskning av intern kontroll Joanna Hägg Tilda Lindell Tierps kommun September 2014 pwc
www.pwc.se Revisionsrapport Joanna Hägg Tilda Lindell Granskning av intern kontroll Tierps kommun pwc Innehållsförteckning 1. Sammanfattning och revisionell bedömning... 1 2. Inledning... 2 2.1. Granskningsbakgrund...
Kungsörs kommun. Uppföljning av intern kontroll Revisionsrapport. KPMG AB Antal sidor: 8
Revisionsrapport KPMG AB Antal sidor: 8 KPMG network of independent member firms affiliated with KPMG International Cooperative Innehåll 1. Sammanfattning 1 1.1 Svar på revisionsfrågorna 1 1.2 Bedömning
Bilaga 3 Säkerhet Dnr: /
stockholm.se Utbildningsförvaltningen Avdelningen för utveckling och samordning Hantverkargatan 2F 104 22 Stockholm Växel 08-508 33 000 www.stockholm.se Innehåll 1 Inledning 3 2 Krav på säkerhetsarbete