Landstinget Gävleborg

Transkript

1 Revisionsrapport Göran Persson Lingman Lars-Åke Ullström Dec 2014 Gransking av informationssäkerheten Landstinget Gävleborg

2 Innehållsförteckning 1. Sammanfattning, bedömning och rekommendationer Uppdraget Bakgrund Revisionsfråga Avgränsning Metod Granskningsresultat Finns aktuella styrande dokument som berör informationssäkerheten och är de tillräckligt kommunicerade Finns tydlighet i ansvar och roller avseende hantering av IT Sker uppföljning avseende tillämpning av olika riktlinjer m.m Får användare inom vården en regelbunden informationssäkerhetsrelaterad utbildning och information Finns en tillfredställande incidenthanteringsprocess som bland annat gör att ansvariga nås av informationssäkerhetsrelaterade händelser Finns systemsäkerhetsplaner och kontinuitetsplaner framtagna för kritiska system Bilaga 1 Säkerhetsinstruktion användare Bilaga 2 Exempel på information stöd till alla via plexus Bilaga 3 Dokumentet ledning och styrning av informationssäkerheten Bilaga 4 Systemförvaltningsmodell Bilaga 5. Vad arbetar informationssäkerhetssamordnaren med idag Bilaga 6. Systemägarrådet hanterar följande system Bilaga 7. Ansvar för systemägaren Landstinget Gävleborg 1 av 28

3 1. Sammanfattning, bedömning och rekommendationer Information och IT-system är mycket viktiga för att kunna bedriva landstingets verksamhet (effektivt och säker vård mm). Detta kräver till exempel att informationen är korrekt och riktig, att IT systemen är tillgängliga vid behov. Vidare krävs att information inte når obehöriga (sekretess). Externa lagar och regler ställer krav på informationssäkerheten; Hälso- och sjukvårdslag Patientdatalag Patientsäkerhetslagen Lag om hälsodataregister SOSFS 2008:14 Socialstyrelsens föreskrifter om informationshantering och journalföring i hälso- och sjukvården Ändringsförfattning SOSFS 2011:8 SOSFS 2011:9 Ledningssystem för systematiskt kvalitetsarbete Offentlighets och sekretesslagen 2009:400 Offentlighets och sekretessförordningen 2009:641 Personuppgiftslag 1998:204 Datainspektionen som arbetar för att säkra den enskilda individens rätt till integritet i samhället ger bland annat ut anvisningar och råd. Alla vårdsystem som innehåller journalinformation är klassade som Medicinteknisk produkt och kräver speciell hantering (utifrån Socialstyrelsens och Läkemedelsverkets utgångspunkt). Den snabba utvecklingen av tekniken innebär att det kommer nya risker som måste beaktas 1. Landstingsfullmäktige har fastställt en IT- policy för Landstinget Gävleborg som utgör en grund för andra policys och direktiv. I policyn anges att landstingsstyrelsen och berörda nämnder utformar, upprätthåller och utvecklar direktiv för policyns tillämpning och utövar tillsyn avseende efterlevnad. Mot ovanstående bakgrund har landstingets revisorer gett i uppdrag att genomföra en översiktlig granskning avseende informationssäkerheten. Vår övergripande revisionsfråga var om det inom landstinget finns en tillräcklig intern styrning och kontroll avseende IThantering/verksamhetskritisk information. 1 Mobliltelefoner, appar, läsplattor, sociala media mm.) Mobiliteten är stor och önskan från allmänhet (journal och loggar på nätet) och olika yrkesgrupper ökar hela tiden (jobba hemma, tåget, hotell utanför den ordinarie verksamheten.) Landstinget Gävleborg 2 av 28

4 Frågan har avgränsats till ett antal kontrollfrågor/områden som granskats översiktligt. Inom de kontroller vi utfört är vår sammanfattande bedömning att hanteringen inte är tillräckligt tillfredställande. Detta grundar vi bl.a. på att Det finns behov att att revidera 2 de styrande dokumenten och i ökad grad kommunicera dessa till olika roller. Det har inte skett en tillräcklig regelbunden uppföljning avseende efterlevnad av de styrande dokumenten som finns inom informationssäkerhet. Avseende de system som inte förvaltas inom IT-avdelningen är enligt vår bedömning den övergripande kontrollen inte tillräckligt tillfredställande. Vi ser behov att ytterligare förbättra kontaktytor mellan Medicinsk Teknik och IT-avdelningen. Det finns behov att tydliggöra systemägarrollen. Systemsäkerhetsplaner inte upprättats på ett tillräckligt bra sätt i enlighet med de styrande dokumenten. Inom flera områden där vi uppmärksammat behov av förbättringar pågår dock ett förbättringsarbete och/eller är ett förbättringsarbete påbörjat. Exempel på sådant som varit positivt är t ex Det finns många bra övergripande styrande dokument som tydliggör hanteringen av IT inom landstinget (till exempel direktiv, policys, instruktioner till användare). Avseende de verksamhetsövergripande systemen som hanteras inom ITavdelningen synes detta till stor del ske på ett önskvärt sätt utifrån de krav som finns idag. Det finns fastställda arbetssätt 3 (se avsnitt 3.1). Medvetenhet finns kring brister och det pågår förbättringsarbeten på olika sätt (till exempel arbetet med dokumenterade överenskommelser). Det angivna systemägarrådet medverkar i prioritera förbättringsaktiviteter utifrån ett verksamhetskrav. Till stor del synes det finnas en tillfredställande hantering av incidenter utifrån dagens krav. Processen är dokumenterad, etablerad och det pågår ständiga förbättringar. 2 Dock finns många bra dokument att utgå från. 3 Ett processorienterat arbetssätt. Där vissa processer är etablerade. Avseende vissa processer pågår fortfarande ett införandarbete. Landstinget Gävleborg 3 av 28

5 Nedan sammanfattas mer av de kommentarer och de rekommendationer som finns intagna i rapporten. Finns aktuella styrande och stödjande dokument och är dessa tillräckligt kommunicerade Utifrån vår bedömning finns behov att nå ut med dokumenten till olika roller på ett bättre sätt, till exempel avseende de krav som ställs på systemägare. Vi rekommenderar att de som arbetar inom vården ska bekräfta att det tagit del av de dokument som berör alla. Till exempel säkerhetsinstruktion för användare. Underlaget bör finnas samlat som stöd för landstingsstyrelsens uppföljning. Finns en tydlighet i ansvar och roller avseende hantering av IT Avseende systemägarerollen ser vi behov av förbättringar (tydliggörande av ansvar och uppgifter). Exempelvis utbildning kring vad det innebär att vara systemägare. Detta innefattar vad som är ledningens förväntan/krav utifrån de styrande dokumenten. Vi ser behov att ytterligare förbättra kontaktytor mellan Medicinsk Teknik och ITavdelningen. Det bör fastställas hur kommunikation och information mellan de båda funktionerna ska hanteras (till exempel när krävs att man rådgör/kommuniceras innan ett beslut att gå vidare får fattas, när krävs att man informerar varandra, vem får fatta beslut). Vi rekommenderar även att ansvariga från Medicinsk Teknik i ökad grad hjälper landstingsledningen och systemägare som kravställare 4 på IT-relaterade processer inklusive IT-infrastrukturen. En idé kan till exempel vara att ansvariga från medicinsk teknik deltar i det gemensamma systemägarrådet. Vi rekommenderar även att det sker en översyn avseende informationssäkerhetsfunktionen gränssnitt mot olika ansvariga. Detta gäller till exempel hur den regelbundna uppföljning avseende tillämpning av regler/dokument ska utföras. Vi rekommenderar att det tas fram beskrivningar hur olika roller ska samverka, till exempel hur risker ska analyseras systematiskt. Hur ska uppföljningen genomföras (vad bör följas upp under året, prioriteringar, vem utför denna uppföljning, vad ska rapporteras till landstingstyrelsen). Sker uppföljning avseende tillämpning av olika riktlinjer och analyseras IT-relaterade risker Vi kan konstatera att det sker uppföljning och analyser av risker på olika sätt. Olika förbättringsaktiviter genomförs. Ett exempel är den nya systemförvaltningsmodellen som sannolikt kommer att stödja uppföljningen eftersom denna bidrar till en ökad kommunikation mellan verksamheten och olika IT-resurser. Dock är vår bedömning att det inte sker en tillräcklig regelbunden uppföljning avseende efterlevnaden av de styrande dokumenten. Vi rekommenderar att det sker översyn kring hur den regelbundna uppföljningen avseende detta kan förbättras. Uppföljningen bör omfatta en rapportering av de förbättringsaktivi- 4 Innefattar även att medverka till att se risker som skulle kunna innebära att krav/mål inte nås. Landstinget Gävleborg 4 av 28

6 teter som genomförts, vilka olika riskanalyser har utförts med mera. Avseende risker som ansvariga själva inte kan råda över är det extra viktigt att dessa rapporteras uppåt i organsationen. I avsnitt 3.3 har vi rekommenderat att det finns behov att ser över informationssäkerhetsfunktionens kontaktytor mot olika roller. Vi har tidigare noterat att den interna kontrollenheten är direkt underställd landstingsdirektören. Denna organisatoriska placering för informationssäkerhetfunktionen skulle innebära att de arbetar mer oberoende i sin uppföljning. Vi rekommenderar att fördelar med detta ses över. Får användare inom vården en regelbunden informationssäkerhetsrelaterad utbildning och information. Vi kan konstatera att det sker utbildningar på olika sätt. Den generella utbildningen till nya anställda är positiv. Utbildningen omfattar även chefers möjlighet att följa upp deltagares resultat vilket är bra. Vi rekommenderar dock att det sker en översyn kring hur denna utbildning kan genomföras med regelbundenhet till alla anställda. Sannolikt finns många anställda som inte deltagit i denna utbildning idag. Vilka som deltagit och inte bör dokumenteras. Resultatet bör delges landstingstyrelsen. Vi rekommenderar att kunskapsbehovet hos olika roller ses över, till exempel vad bör alla som arbetar inom vården känna till exempelvis kring de informationskanaler som används, vilken kunskap avseende informationssäkerhet krävs av alla. Se även det behov av utbildning till systemägare som omnämnts i avsnitt 3.2. Finns en tillfredställande incidenthanteringsprocess som bland annat gör att ansvariga nås av informationssäkerhetsrelaterade händelser. Till stor del synes det finnas en tillfredställande hantering av incidenter utifrån dagens krav. Processen är dokumenterad, etablerad och det pågår ständiga förbättringar. Det krävs dock en regelbunden uppföljning av att processen är etablerad ända ut till användarna. Det är givetvis viktigt att de relaterade processerna exempelvis den som ska utreda vad som är orsaker till problem utvecklas på samma sätt. Detta gäller även krav avseende upptäckande aktiviteter (till exempel vad bör övervakas ännu mer). Landstinget Gävleborg 5 av 28

7 2. Uppdraget 2.1. Bakgrund Information och IT-system är mycket viktiga för att kunna bedriva landstingets verksamhet (effektivt och säker vård med mera). Detta kräver till exempel att informationen är korrekt och riktig, att IT systemen är tillgängliga vid behov. Vidare krävs att information inte når obehöriga (sekretess). Några grundläggande begrepp inom informationssäkerheten är: Sekretess som här innebär att ingen obehörig får tillgång till informationen. Riktighet - att den information som hanteras är korrekt och riktig, Tillgänglighet som bland annat innebär att IT-systemen är tillgängliga då personalen, patienter och andra intressenter är i behov av information. Det är viktigt att det finns en spårbarhet till en enskild användare så att det går att följa upp vem som har gjort vad, var och när. Externa lagar och regler ställer krav på informationssäkerheten, till exempel Hälso- och sjukvårdslag Patientdatalag Patientsäkerhetslagen Lag om hälsodataregister SOSFS 2008:14 Socialstyrelsens föreskrifter om informationshantering och journalföring i hälso- och sjukvården Ändringsförfattning SOSFS 2011:8 SOSFS 2011:9 Ledningssystem för systematiskt kvalitetsarbete Offentlighets och sekretesslagen 2009:400 Offentlighets och sekretessförordningen 2009:641 Personuppgiftslag 1998:204 Datainspektionen som arbetar för att säkra den enskilda individens rätt till integritet i samhället ger bland annat anvisningar, råd. Alla vårdsystem som innehåller journalinformation är klassade som Medicinteknisk produkt och kräver speciell hantering (utifrån Socialstyrelsens och Läkemedelsverkets utgångspunkt). LVFS 2014:7, Läkemedelsverkets författningssamling om Nationella medicinska informationssystem SOSFS 2013:6, Socialstyrelsens föreskrift om användning av medicintekniska produkter i hälso- och sjukvården (senaste versionen av SOSFS 2008:1) Landstinget Gävleborg 6 av 28

8 Den snabba utvecklingen av tekniken innebär att det kommer nya risker som måste beaktas 5. Landstingsfullmäktige har fastställt en IT- policy för Landstinget Gävleborg som utgör en grund för andra policys och direktiv. I policyn anges att landstingsstyrelsen och berörda nämnder utformar, upprätthåller och utvecklar direktiv för policyns tillämpning och utövar tillsyn avseende efterlevnad. Mot ovanstående bakgrund har landstingets revisorer gett i uppdrag att genomföra en granskning avseende informationssäkerheten Revisionsfråga Vår övergripande revisionsfråga är om det inom landstinget finns en tillräcklig intern styrning och kontroll avseende IT/verksamhetskritisk information. För att besvara frågan har vi ställt nedanstående kontrollfrågor. Finns aktuella styrande dokument som berör informationssäkerheten och som är kommunicerade till olika roller. Finns tydlighet i ansvar och roller avseende hantering av IT (stödja en effektiv och säker hantering av IT) Sker uppföljning och värderas IT-relaterade risker Får användare inom vården informationssäkerhetsrelaterad utbildning Finns en tillfredställande incidenthanteringsprocess (t ex prioriteringar, ge underlag som stöd för proaktivt arbete) Finns systemsäkerhetsplaner och kontinuitetsplaner framtagna för kritiska system Granskningen har översiktligt berört relationer mellan den medicinsk tekniska hanteringen och hantering av IT Avgränsning Granskningsobjektet är Landstingsstyrelsen. Granskningen berör de ställda kontrollfrågorna 2.4. Metod Vi har studerat dokumentation som berör området till exempel policys och riktlinjer. Vi har intervjuat IT-chefen vid IT-avdelningen, ansvarig vid systemförvaltningen för system inom vården, en systemförvaltare, ansvarig för hantering av incidenter. Ansvariga inom medicinsk teknik. Ansvariga inom den interna kontrollenheten. Ansvariga inom informationssäkerhetsfunktionen samt en systemägare. 5 Mobliltelefoner, appar, läsplattor, sociala media mm.) Mobiliteten är stor och önskan från allmänhet (journal och loggar på nätet) och olika yrkesgrupper ökar hela tiden (jobba hemma, tåget, hotell utanför den ordinarie verksamheten.) Landstinget Gävleborg 7 av 28

9 Ett frågeformulär utsändes till systemägare för olika system. Formuläret sändes ut till 30 systemägare utifrån den förteckning vi hade. Av de tillfrågande valde nio att besvara enkäten. Några (3) av de som fick vårt frågeformulär angav att de inte var systemägare för något system. Syfte med frågeformuläret var att se om dokument, riktlinjer är kända av systemägare (till exempel medvetenhet avseende ansvar) och om uppgifter utförts i enlighet med dokumentet. I den enkät vi skickade till systemägare frågade vi även hur viktigt systemet är för verksamheten. Fem av de svarande anger att systemet har en mycket stark påverkan på verksamheten om systemet inte går att använda. Landstinget Gävleborg 8 av 28

10 3. Granskningsresultat Nedan visas våra kontrollfrågor. Därefter våra iakttagelser och våra kommentarer (bedömningar och rekommendationer med mera) Finns aktuella styrande dokument som berör informationssäkerheten och är de tillräckligt kommunicerade Avsnittet syftar till att ge en övergripande bild över vilka riktlinjer, överenskommelser, dokumenterade process- och/eller rutinbeskrivningar som finns fastställda som stöd för en god intern styrning och kontroll inom IT hanteringen. Med dokument menar vi här även sidor med instruktioner och anvisningar som återfinns på intranätet. Iakttagelser Utifrån landstingsfullmäktiges IT-policy har landstingstyrelsen fastställt ett landstingsövergripande direktiv för informationssäkerhet med ett antal bilagor (ledning och styrning, systemförvaltning och arbetssätt samt säkerhetsinstruktion för användare). I dokumentet klargörs bland annat mål och principer för landstingets utveckling och hantering av IT, till exempel ställs krav på att hanteringen görs på ett sätt så att olika lagar beaktas. Exempel på dokument som är styrande och stödjande inom området visas nedan (innehåll beskrivs kortfattat). Direktiv IT-Policy för Landstinget. Dokumentet är fastställt av landstingsstyrelsen. I dokumentet anges syften med IT och vad som IT ska stödja. Direktivet syftar bland annat till att stödja att landstinget hanterar IT inom vården på ett säkert sätt. Direktiv avseende landstinget Informationssäkerhet (Giltigt t.o.m ) Fastställd av landstingstyrelsen. Ledning och styrning av informationssäkerhet Bilaga till policy för informationssäkerhet - I dokumentet anges bland annat ansvar för olika roller. Till exempel systemägarerollen. Se exempel på systemägarens i bilaga 6. Direktiv E-post och riktlinjer avseende e-post. Dokumentet beskriver ansvar och hur e-post ska hanteras på ett säkert sätt (regler om allmänna handlingar, sekretess). Säkerhetsinstruktion användare bilaga till policy för informationssäkerhet. Dokumentet beskriver vad som är viktigt att känna till för alla som arbetar med landstingets behörighetsystem. För att få en bild kring innehållet se bilaga 1. Landstinget Gävleborg 9 av 28

11 Andra dokument vi tagit del av är bland annat Processbeskrivning/Rutin för beställning av behörigheter. Beskrivningen reglerar hur det ska gå till när en användare får behörighet, ändring av behörigheter, avslut av behörigheter med mera. Presentation som beskriver hur IT ska hanteras inom landstinget Dokumentet beskriver på ett övergripande sätt IT-avdelningens olika uppgifter och vilka som ansvarar. Instruktion funktionell eskalering IT-avdelningen. Dokument beskriver hur en incident ska hanteras inom vården och andra av landstingets olika verksamheter. Omfattar roller och ansvar och hur en incident ska hanteras. Ny systemförvaltningsmodell för landstinget. Dokumentet beskriver hur system ska förvaltas inom landstinget. Systemförvaltningen stödjer sig på ett etablerade ramverk kring hur en systemförvaltning bör bedrivas för att möta verksamheternas behov. (Stödja att verksamheten får ett effektivt och säkert IT-stöd). Se mer i bilaga 4. Ett införande av den nya modellen som stöd för systemförvaltningen har påbörjats. Det är dock inte fastställt av landstingledningen att denna modell ska användas. Prioriteringsmatris IT-avdelningen 6. Syftet med instruktionen är att beskriva varför man bör ha en prioritering och hur servicedesk ska prioritera incidenter och beställningar inom Landstinget Gävleborg. Se mer i avsnitt 3.5 avseende incidenthantering. Vi har även tagit del av sidor på intranätet som tydliggör vad som ska gälla utifrån olika regelverk, till exempel sekretesslagen, patientdatalagen. Se ett exempel i bilaga 2. Enligt de styrande dokumenten har systemägare ett ansvar att ta fram så kallade systemsäkerhetsplaner. Som stöd finns ett verktyg BITS+. Det har framkommit att detta arbete har utförts i varierande grad. Enligt de olika ansvariga vi intervjuat finns ett väsentligt förbättringsbehov. Det är planerat att under 2015 revidera de dokument som finns avseende informationssäkerhet 7. Det pågår ett arbete med en säkerhetsportal på intranätet (Plexus) och vid landstingets publika hemsida (lg.se). (Där ska finnas info till allmänheten och privata vårdgivare. Den ska innehålla informationssäkerhet, beredskap, brand och allmänna säkerhetsfrågor. Arbetet leds av informationssäkerhetssamordnaren) Det finns inget fastställt kring att användare av vårdens system ska bekräfta att det tagit del av säkerhetsrelaterade dokument. 6 Prioritering kan normalt bestämmas genom att beakta både hur brådskande händelsen är (hur snabbt verksamheten behöver en lösning) och graden av påverkan på verksamheten som händelsen orsakar. En indikation på påverkan är ofta (men inte alltid) antalet användare som påverkas. I vissa fall, och mycket viktigare, kan förlusten av tjänsten till en enda användare ha en stor inverkan på verksamheten 7 Detta krävs bland annat genom den nya regionsbildningen och att IT-verksamheten förändrar sina arbetssätt till exempel den nya systemförvaltningsmodellen Landstinget Gävleborg 10 av 28

12 Våra kommentarer Det finns många bra övergripande styrande dokument som tydliggör hanteringen av IT inom landstinget (till exempel direktiv, policys, instruktioner till användare). Det finns olika beskrivningar (fastställda arbetsätt) mellan verksamheten och ITavdelningen. Vi har noterat att det finns förbättringsbehov att revidera dokumenten och se över dokumentstrukturen men samtidigt kan vi konstatera att ett förbättringsarbete har initierats. Det är viktigt att det säkerställs att detta arbete genomförs som planerat. Utifrån vår bedömning finns behov att nå ut med dokumenten till olika roller på ett bättre sätt, till exempel avseende de krav som ställs på systemägare. Se mer i avsnitt 3.2 Vi rekommenderar att de som arbetar inom vården ska bekräfta att det tagit del av de dokument som berör alla. Till exempel säkerhetsinstruktion för användare. Underlaget bör finnas samlat som stöd för landstingsstyrelsens uppföljning Finns tydlighet i ansvar och roller avseende hantering av IT. Området omfattar även om det finns roller och arbetssätt som stödjer en säker hantering av IT. Området berör t ex även om det finns etablerade processer mellan IT-avdelningen och verksamheten. Informationssäkerhetens funktionens uppföljande och stödjande arbetet innefattas i avsnittet. Iakttagelser Inom enheten Säkerhet och Beredskap finns en informationssäkerhetsfunktionen med en informationssäkerhetssamordnare. Enheten medverkar till att stödja verksamheternas krav på informationssäkerheten (stöd och uppföljning). Se exempel på uppgifter i bilaga 4. I granskningen har det framkommit behov att se över informationssäkerhetsfunktionen gränssnitt mot olika ansvariga inom organisationen (till exempel kontaktytor mot landstingsledningen, systemägare, IT-avdelningen, personuppgiftsombud och olika forum). Under landstingsdirektören finns en intern kontrollenhet som medverkar som stöd t ex vid riskanalyser och uppföljning. Detta omfattar även IT. Se avsnitt 3.3 avseende uppföljning. IT-avdelningens interna arbete och gränssnittet med verksamheten tydliggörs via fastställda processer 8. Dock anges att det finns ett förbättringsbehov. Det har påbörjats ett 8 De stödjer sig på ett etablerat ramverk ITIL Landstinget Gävleborg 11 av 28

13 arbete med att ta fram bättre dokumenterade överenskommelser 9 kring vad ITavdelningen gör och inte. Via servicedesk funktionen rapporteras kontinuerligt problem som finns kring IThanteringen. Underlagen dokumenteras och används i proaktivit syfte. Se mer i avsnitt 3.5 avseende incidenter. Tidigare fanns lokala IT-resurser (s.k. LISOR) 10 ute i organisationen (arbetsplats). Nu finns istället begreppet IT-partner. Dessa tillhör IT-avdelningen men ska utgöra ett lokalt stöd till verksamheterna. Ett syfte med förändringen är att IT-partners 11 ska kunna ge ökat stöd till verksamheterna t ex medverka till att fel och problem åtgärdas snabbare och ge en enhetlig information. Det anges dock att man har förlorat en del av de kontaktytor 12 (närheten) som fanns tidigare, till exempel bidrog LISOR till att föra ut informationssäkerhetsrelaterade frågor till verksamheterna. Det anges dock att det sker en översyn kring hur detta kan förbättras inom den nya organisationen med IT-partners. Landstingets system förvaltas med stöd av en etablerad förvaltningsmodell 13. Syftet med modellen är att stödja verksamheternas krav avseende systemets utveckling, förändringar och arbetsätt kring systemet. Hur arbetet ska bedrivas finns beskrivet och ett arbete med att etablera modellen har påbörjats. Målsättningen är att systemförvaltningen ska bedrivas utifrån modellen på alla system inom vården. För att effektivisera förvaltningen och bredda kompetensen inom IT grupperas systemen in i så kallade objekt utifrån syfte och användning. Idag finns många system som inom vården som inte hanteras inom IT-avdelningens ansvarsområde. Detta innebär att förvaltningen av systemet utförs på ett varierade sätt 14. En anledning som anges till att systemen inte finns inom IT-avdelningen är att systemen användes innan IT-avdelningens ansvarsområde var tydliggjort. Avseende nya system så tar IT-avdelningen ansvar för dessa. Avseende de system som inte hanteras inom IT-avdelningen anger de vi intervjuat att det oklart hur olika krav utifrån de styrande dokumenten beaktats. 9 SLA (Service Level Agreement) 10 LISOR i verksamheten (personal som var extra kunniga kring IT för att stött kollegor på viss avsatt tid). 11 Ett kompetenskrav som ställs på partners är att de ska god erfarenhet av vårdverksamheten 12 Tex informera om förändringar. Informationsflödet vad gäller IT gick tidigare via LISORNA. informationen gick inte alltid fram ända ut i verksamheten (tidsbrist, svårt att i alla lägen avgöra vad som var viktigt/inte viktigt). Det kan bli så att en IT partner arbetar mot en div/förvaltning. Tanken är att partnern skall ha nära kontakt med verksamheten och vara den man kontaktar i alla IT relaterade frågeställningar en väg in). IT-supporten finns kvar och hanterar det den ska. Effekterna är bättre förståelse för verksamheten, kunna lösa vissa frågor direkt. Antalet IT partners blr Idag finns inga IT-roller/funktioner ute i verksamheten. 13 De stödjer sig bland annat på PM3. pm3 står för På maintenance management model. pm3 ägs, förvaltas och utvecklas av På AB utifrån praktisk erfarenhet i konsultuppdrag och utbildningsinsatser kombinerat med akademisk forskning. Idag är pm3 en de facto standard för förvaltningsstyrning i Sverige. 14 I den enkät vi skickade ut kom flera mail tillbaka där den som enligt uppgifter skulle vara systemägare angav att man inte är detta. Landstinget Gävleborg 12 av 28

14 I granskningen har det framkommit behov att tydliggöra gränssnitten 15 mot Medicinsk Teknik. För ambulans-ekg finns en etablerad systemförvaltning där den Medicintekniska organisationen och verksamheten och IT-avdelningen samarbetar. Avseende medicinska informationssystem- som klassas som medicintekniska produkter, MTP, inom Laboratoriemedicin, Radiologi och Fysiologi pågår ett arbete med att utveckla samarbete mellan IT-avdelningen och Medicinsk Teknik. I den enkät som skickades ut till systemägare angav fyra av de besvarande att deras roll systemägare inte är tillräckligt tydlig. Fem svarande att det är tydligt. Fig. Visar svar på om ansvaret är tydligt Mitt ansvar och mina uppgifter som systemägare är tydligt Kommunikation kring avseende verksamheternas krav på IT-verksamheten. Det finns ett strategiskt forum, systemägarerådet, som regelbundet kommunicerar risker, problem och utvecklingsbehov avseende landstingets mest kritiska system. Arbetet resulterar bland annat i olika prioriteringar (vi har tagit del av en prioriteringlista som visar årets prioriteringar). Avseende medicinsk teknik finns ett forum Tekniska kommittén 16 för medicintekniska produkter, MTP. Detta stödjer att prioritera olika åtgärder för en säkrare hantering av tekniska försörjningssystem inkl. IT-system som klassas som MTP. I organisationen finns förvaltningsråd för de större systemen. Systemförvaltare håller i dessa grupper. Systemägare avgör frekvensen. Våra kommentarer Avseende de verksamhetsövergripande systemen som hanteras inom ITavdelningen synes detta till stor del ske på ett önskvärt sätt utifrån de krav som finns idag. Det finns fastställda arbetssätt 17 (se avsnitt 3.1). Medvetenhet finns kring brister och det pågår förbättringsarbeten på olika sätt (till exempel arbetet 15 Den medicinstekniska utrustningen blir mer och mer beroende av en väl fungerande IT-infrastruktur och förmåga hos IT-funktionen. (resurser, processer, teknik). I vilka processer krävs ett rådgörande med medicinsk teknik och omvänt. När krävs information (RACI). 16 Tekniska kommittén har funnits ca 1 år. Divisionschef Diagnostik är ansvarig och har kontakt med HSL. Deltagande från Chefsläkare Anestesi, Medicinsk teknik, FM-avdelningen, IT, Inköpsavdelningen, Miljö, Katastrofkommitté, Sterilcentral 17 Ett processorienterat arbetssätt. Där vissa processer är etablerade. Avseende vissa processer pågår fortfarande ett införandarbete. Landstinget Gävleborg 13 av 28

15 med dokumenterade överenskommelser). Det angivna systemägarrådet medverkar i prioritera förbättringsaktiviteter utifrån ett verksamhetskrav. Avseende de system som inte förvaltas inom IT-avdelningen är enligt vår bedömning den övergripande kontrollen inte är tillräckligt tillfredställande. Vi rekommenderar att detta ses över 18. Ett krav är att det ska finnas en samlad bild kring olika system och samband dem emellan (vad gör systemet, vem är systemägare, vem förvaltar systemet osv). Avseende systemägarerollen ser vi behov av förbättringar (tydliggörande av ansvar och uppgifter). Exempelvis utbildning kring vad det innebär att vara systemägare. Detta innefattar vad som är ledningens förväntan/krav utifrån de styrande dokumenten. Vi ser behov att ytterligare förbättra kontaktytor mellan Medicinsk Teknik och ITavdelningen. Det bör fastställas hur kommunikation och information mellan de båda funktionerna ska hanteras (till exempel när krävs att man rådgör/kommuniceras innan ett beslut att gå vidare får fattas, när krävs att man informerar varandra, vem får fatta beslut). Vi rekommenderar även att ansvariga från Medicinsk Teknik i ökad grad hjälper landstingsledningen och systemägare som kravställare 19 på IT-relaterade processer inklusive IT-infrastrukturen. En idé kan till exempel vara att ansvariga från medicinsk teknik deltar i det gemensamma systemägarrådet. Vi rekommenderar även att det sker en översyn avseende informationssäkerhetsfunktionen gränssnitt mot olika ansvariga. Detta gäller till exempel hur den regelbundna uppföljning avseende tillämpning av regler/dokument ska utföras. Vi rekommenderar att det tas fram beskrivningar hur olika roller ska samverka, till exempel hur risker ska analyseras systematiskt. Hur ska uppföljningen genomföras (vad bör följas upp under året, prioriteringar, vem utför denna uppföljning, vad ska rapporteras till landstingstyrelsen) Sker uppföljning avseende tillämpning av olika riktlinjer m.m. Avsnittet omfattar även arbete avseende risker. Iakttagelser Utifrån ett patientperspektiv värderas även risker kontinuerligt inom vården. Detta berör indirekt även risker avseende IT-systemen. Både informationssäkerhetsfunktionen och den interna kontroll enheten stödjer verksamheterna att analysera risker på olika sätt. Ett exempel är att informationssäkerhetsfunktionen som arbetar med en Behovs- och riskanalys för tilldelning av behörigheter till vårdinformationssystemet. Resurser från Lednings och verksamhetsstöd medverkar på olika sätt avseende riskanalyser som även berör IT området. 18 Vad olika systemen 18 används till inom verksamheten, hur kritiskt systemet är. Vem är ansvarig, har aktiviteter utifrån de styrande dokumenten genomförts. 19 Innefattar även att medverka till att se risker som skulle kunna innebära att krav/mål inte nås. Landstinget Gävleborg 14 av 28

16 Det ska tas fram systemsäkerhetsplaner som med stöd av ett verktyg (BITS plus) som utgår från krav och olika risker. I avsnitt 3.1 har vi dock noterat att detta skett på ett varierade sätt. I enkäten till systemägare varierar svaren. Tre av de svarande anger att uppföljningen är till viss del tillräcklig. Tabellen visar svar på frågan: Sker uppföljning t ex att systemen/systemet används på önskvärt och säkert sätt? Ja 2 Ja, i huvudsak 3 Till viss del 3 Inte alls 0 Vet ej/ingen uppfattning 1 Uppföljning sker även på ett varierande sätt kring de olika systemen idag. För många system finns det dock ingen bra heltäckande bild se avsnitt 3.2). Den systemförvaltningsmodell som nyligen införts stödjer uppföljning då både verksamhetsansvariga och olika IT-resurser medverkar kontinuerligt i förvaltningen av systemen. På olika sätt får informationssäkerhetssamordnaren och ansvarig vid enheten Säkerhet och Beredskap information om olika säkerhetsrelaterade problem och behov. Med detta som underlag har de ansvariga en kontinuerlig kommunikation med landstingsledningen avseende informationssäkerhetsfrågor. Den tidigare omnämnda internkontrollenheten arbetar med stöd och internrevisioner inom landstingets hela verksamhet. Internrevisionerna omfattar även att ge rekommendationer till hur brister kan åtgärdas. Resultatet delges landstinsdirektören för beslut om åtgärd. Under året har enheten bland annat genomfört en internrevision avseende informationssäkerheten inom landstingets största journalsystem. En handlingsplan 20 för åtgärder utifrån internkontrollenhetens revision har tagits fram. Via incidenthanteringsprocessen sker en kontinuerlig uppföljning kring förekomst av olika problem. I granskningen har framkommit ett behov att förbättra den regelbundna uppföljning avseende efterlevnaden av de styrande dokumenten. Våra kommentarer Vi kan konstatera att det sker uppföljning och analyser av risker på olika sätt. Olika förbättringsaktiviter genomförs. Ett exempel är den nya systemförvaltningsmodellen som sannolikt kommer att stödja uppföljningen eftersom denna bidrar till en ökad kommunikation mellan verksamheten och olika IT-resurser. Dock är vår bedömning att det inte sker en tillräcklig regelbunden uppföljning avseende efterlevnaden av de styrande dokumenten. Vi rekommenderar att det 20 Det har enligt uppgift redan vidtagits förbättringsåtgärder Landstinget Gävleborg 15 av 28

17 sker översyn kring uppföljningen avseende detta kan förbättras. Uppföljningen bör omfatta en rapportering av de förbättringsaktiviteter som genomförts, vilka olika riskanalyser har utförts med mera. Avseende risker som ansvariga själva inte kan råda över är det extra viktigt att dessa rapporteras uppåt i organsationen. I avsnitt 3.3 har vi rekommenderat att det finns behov att ser över informationssäkerhetsfunktionens kontaktytor mot olika roller. Vi har tidigare noterat att den interna kontrollenheten är direkt underställd landstingsdirektören. Denna organisatoriska placering för informationssäkerhetfunktionen skulle innebära att de arbetar mer oberoende i sin uppföljning. Vi rekommenderar att fördelar med detta ses över Får användare inom vården en regelbunden informationssäkerhetsrelaterad utbildning och information. Området syftar till att se om regelbundna informations och utbildningsaktiviteter sker. De dokument som omnämns i avsnitt 3.1 är givetvis även tillgängliga via intranätet. Avsnitten berör andra typer av utbildnings och informationsaktiviteter. Iakttagelser Utbildningar och information till användare av vårdens IT-system sker på olika sätt. Till exempel används intranätet som informationskanal. Vi har till tagit del av olika sidor som innehåller frågor och svar som på olika sätt berör informationssäkerhet (Se exempel i bilaga 7). Det finns även möjlighet att nå MSB:s utbildning i informationssäkerhet via intranätet/plexus. Det finns ett utbildningsmaterial som är tillgänglig via Plexus. Detta används enligt uppgifter av chefer vid arbetsplatsträffar (i varierande grad). Alla nyanställda måste genomföra en webbaserad utbildning inom informationssäkerhet. Chefer har även möjlighet att se vilka som gått utbildningen med gott resultat. Det pågår aktiviteter kring att se över innehållet i utbildningsmaterialet. Informationssäkerhetssamordnaren utbildar även chefer på olika sätt då detta efterfrågas. Utbildning/information sker även på arbetsplatsträffar och vid yrkesträffar Systemförvaltare och ansvariga för olika system genomför aktiviteter på olika sätt. Utbildningar inom IT-systemet men dessa berör även informationssäkerhet. De i avsnitt 3.2 omnämna IT-partner kan medverka även till att informera användare och fånga upp utbildningsbehov. Våra kommentarer Vi kan konstatera att det sker utbildningar på olika sätt. Den generella utbildning utbildningen till nya anställda är positiv. Utbildningen omfattar även chefers möjlighet att följa upp deltagares resultat vilket är bra. Vi rekommenderar dock att det sker en översyn kring hur denna utbildning kan genomföras med regelbundenhet till alla anställda. Sannolikt finns många anställda som inte deltagit i denna utbildning idag. Vilka som deltagit och inte bör dokumenteras. Resultatet bör delges landstingstyrelsen. Landstinget Gävleborg 16 av 28

18 Vi rekommenderar att kunskapsbehovet hos olika roller ses över, till exempel vad bör alla som arbetar inom vården känna till exempelvis kring de informationskanaler som används, vilken kunskap avseende informationssäkerhet krävs av alla. Se även det behov av utbildning till systemägare som omnämnts i avsnitt Finns en tillfredställande incidenthanteringsprocess som bland annat gör att ansvariga nås av informationssäkerhetsrelaterade händelser. Vi har studerat de upprättade dokument som finns som berör incident hanteringen. Frågor kring hur etablerade olika processer är. Frågor har främst ställt till de som har ett ansvar för processen. Ett syfte med en incidenthanteringsprocess är att användare ska komma igång fort (hur fort ska utgå från verksamheternas krav). Processen syftar inte till att förstå grundorsaken och inte heller att genomföra den rätta lösningen. Givetvis kan vissa problem lösas samtidigt som användare får hjälp). Processen ger underlag som stöd för att kunna lösa problem, loggar alla ärenden). Inom området berörs även hur IT-infrastrukturen bevakas. Upptäcka incidenter själva. Iakttagelser Ovanstående process finns och är dokumenterad. Olika roller ansvar och uppgifter framgår. Det finns olika mått framtagna som kontinuerligt mäts. Det är även fastställt hur olika incidenter/ärenden ska prioriteras och hanteras (till exempel hur och till vilka ska ärenden vidarebefordras exempelvis till systemförvaltaren för analyser av problemet). Det finns en fastställd prioriteringsmatris. Det sker mätningar mot att incidenterna blir lösta utifrån en fastställd målsättning. Det har framkommit att prioriteringsmatrisen ska kommuniceras bättre mot verksamheterna. Det har framkommit att verksamheten inte medverkat tillräckligt avseende prioriteringar. Det har påbörjats ett arbete med att tydliggöra ansvar via dokumenterade överenskommelser (SLA). Detta kommer att bidra till en bättre prioriteringsmatris utformad mot verksamhetskraven. Vid varje verksamhetskritisk incident ska rotorsaken utredas i en incidentrapport med tillhörande aktiviteter som skall säkerställa att incidenten inte återkommer. Vi har tagit del av en incidentrapport. Det har framkommit att det finns behov att förbättra hanteringen för att snabbare förstå och/eller åtgärda grundorsaker till kritiska incidenter, till exempel kring vad bör rapporteras bättre av verksamheten för att få en ökad förståelse för vilka konsekvenser en incident ger. Det sker förbättringsaktiviteter kring detta. Exempelvis utreds hur den nya rollen IT-partner kan medverka. Det sker löpande information till användare avseende de olika kontaktvägarna som ska användas. Landstinget Gävleborg 17 av 28

19 Det har framkommit behov att se över den avvikelse hantering som sker via den medicinska avvikelsehanteringensprocessen (I Platina systemet). Enligt uppgifter fångas de IT-relaterade ärenden som inkommit via Platina upp av ansvariga vid ITavdelningen. (En inrapportering enbart via platina kan dock innebära att de inte agerar tillräckligt snabbt). Kritiska incidentrapporter vidarebefordras till informationssäkerhetsfunktionen för kännedom. Om ärenden berör medicinsk teknik får den Medicinsk tekniska enheten informationen. Under en pågående kritisk incident kan informationssäkerhetsfunktionen bli involverad beroende av incidentens art och karaktär. Det finns inte något regelverk som fastställer vilka typer av händelser som ska rapporteras till informationssäkerhetsfunktionen och/eller tjänsteman i beredskap. Om allmänheten är påverkad kontaktas IT-chef som informerar presstjänst som i sin tur sprider informationen. Det pågår ett arbete som innebär att användarna själva ska kunna se alla sina rapporterade ärenden Bland annat incidenter och se status på dessa. Det är planerat att under första halvåret 2015 påbörja ett arbete med att förbättra eskalerings/informationsprocesser generellt inom landstinget. Ett syfte är att rätt funktioner ska informeras i rätt tid. (Arbetet kommer att omfatta IT) Arbetet kommer att ledas av beredskapsenheten. Bevakning av infrastrukturen Avseende IT-avdelningen som stöd för att upptäcka avbrott och fel i infrastrukturen så anges att det är tillfredställande utifrån de krav som ställd av verksamheterna idag (till exempel, teknisk utrutning för att övervaka, arbetsrutiner och resurser för att utföra). Dock anges att det finns behov att arbeta igenom kraven bättre, till exempel utifrån verksamhetsbehov, vilka risker finns och vad kan reduceras via fler upptäckande kontroller. Hur bra behöver de vara. När IT-avdelningen själva upptäcker fel ska dessa rapportera ärenden på samma sätt som användare. Detta för att de t ex ärenden ska prioriteras på samma sätt och ge underlag för proaktivt arbete. Detta arbetessätt är inte helt implementerat ännu. Våra kommentarer Till stor del synes det finnas en tillfredställande hantering av incidenter utifrån dagens krav. Processen är dokumenterad, etablerad och det pågår ständiga förbättringar. Det krävs dock en regelbunden uppföljning av att processen är etablerad ända ut till användarna. Landstinget Gävleborg 18 av 28

20 Det är givetvis viktigt att de relaterade processerna exempelvis den som ska utreda vad som är orsaker till problem utvecklas på samma sätt. Detta gäller även krav avseende upptäckande aktiviteter (till exempel vad bör övervakas ännu mer). I avsnitt kring roller har vi rekommenderat att kontaktytor med medicinsk teknik bör utvecklas. Ett exempel är att de i ökad grad bör stödja verksamheterna avseende kravställande på IT-avdelningens processer Finns systemsäkerhetsplaner och kontinuitetsplaner framtagna för kritiska system Iakttagelser Utifrån både svaren på vår enkät och de intervjuer vi gjort så visar resultatet ett förbättringsbehov. Se även avsnitt 3.1 avseende styrande dokument. Våra kommenterar Enligt de styrande dokumenten ska det bland annat upprättas systemsäkerhetsplaner 22. Enligt vår bedömning har detta inte genomförts på ett tillräckligt sätt. Vi rekommenderar att detta ses över. 21 Hur bra behöver processer kring IT vara. Till exempel vad krävs av övervakningshanteringen. Hur snabbt måste incidenter åtgärdas. 22 Ansvariga är systemägare. Se uppgifter i bilaga. Landstinget Gävleborg 19 av 28

21 Bilaga 1 Säkerhetsinstruktion användare Landstinget Gävleborg 20 av 28

22 Bilaga 2 Exempel på information stöd till alla via plexus. Generellt kring informationssäkerhet Landstinget Gävleborg 21 av 28

23 Inklippt från Plexus Landstinget Gävleborg 22 av 28

24 Bilaga 3 Dokumentet ledning och styrning av informationssäkerheten Uppgifter för systemägare att utöver grundsäkerhet IT i en systemsäkerhetsplan fastställa säkerhetsnivån för systemet d v s tilläggskrav omfattande: vilket informationsinnehåll datasystemet skall ha vilka lagar, förordningar och författningar som gäller identifiera verksamhetens krav på systemet vad avser sekretess, tillgänglighet och riktighet hotbilden för systemet kontinuitetsplan systemet (reservrutiner, avbrotts- och katastrofplan) att i systemsäkerhetsplanen fastställa vilka olika behörighetsprofiler som skall gälla omfattning av loggar arkivering av loggar ansvar och uppföljning av loggar längsta acceptabla tid för driftavbrott intervall för säkerhetskopiering tid för hur snart återläsning av säkerhetskopierat material skall ske utse en styrgrupp för systemet följa upp systemförvaltningsrådets arbete Landstinget Gävleborg 23 av 28

25 Bilaga 4 Systemförvaltningsmodell Landstinget Gävleborg 24 av 28

26 Bilaga 5. Vad arbetar informationssäkerhetssamordnaren med idag Stöd och resurs för verksamheterna Utbildning/information om informationssäkerhet och PDL (patientdatalagen) och andra regelverk som är aktuella (många) och förändringar i regelverket. Ansvarar för vår hemsida på Plexus Utforma rutiner och riktlinjer och informationsmaterial Kontakter med jurist och Puo (personuppgiftsombud) Kontakter med patienter och allmänhet om regelverk som ttill exempel dataintrång loggar, journalkopior och spärr Kontakter med myndigheter och NIS (nationellt nätverk för informationssäkerhet) Utreder dataintrång, kontakter med polis och åklagare Utbildningar, utredningar av dataintrång, problemlösning i relation till gällande lagstiftning (patientdatalagen), stöd vid framtagande av nya (eller modifierade) IT-lösningar Råd vid upphandlingar Landstinget Gävleborg 25 av 28

27 Bilaga 6. Systemägarrådet hanterar följande system Landstinget Gävleborg 26 av 28

28 Bilaga 7. Ansvar för systemägaren Systemsäkerhetsplan Systemägaren är ansvarig för att det upprättas en systemsäkerhetsplan för systemet. Som stöd för detta används BITS-konceptet (Basnivå för informationssäkerhet). BITS är en samling rekommendationer från Myndigheten för samhällsskydd och beredskap (MSB). Dessa rekommendationer definierar en lägsta nivå för informationssäkerheten. Som stöd I arbetet har MSB tagit fram ett verktyg benämnt BITS Plus. Detta verktyg används för att dokumentera informationssystemens lägsta säkerhetsnivå utifrån verksamhetens krav och ligger till grund för systemsäkerhetsplanen. Som stöd för detta används en metod och verktyg benämnt BITS Plus (Basnivå för informationssäkerhet). BITS Plus är framtaget av Myndigheten för samhällsskydd och beredskap (MSB). Kontinuitetsplan Kontinuitetsplanen används för att säkerställa leveransen av IT-tjänster till kritiska verksamhetsprocesser vid allvarliga interna och externa händelser. Verksamheten ska identifiera de IT-tjänster som är verksamhetskritiska. Kontinuitetsplanen ska identifiera och hantera risker som kan leda till allvarliga störningar eller avbrott i leveransen av IT-tjänster till verksamheten. Kontinuitetsplanen tas fram genom en kontinuerlig förbättringsprocess med följande aktiviteter: Planera Analysera vilka IT-tjänster som är kritiska för verksamheten Identifiera och analysera risker som kan hota eller störa tjänsterna Ta fram lösningar för att undvika risker eller minimera konsekvenserna Genomföra Införa lösningar för att undvika eller minimera risker och konsekvenser Fördela ansvar Ta fram kontinuitetsplan med rutiner för att hantera störningar. Informera och utbilda Testa och införa kontinuitetsplanen Landstinget Gävleborg 27 av 28

29 Landstinget Gävleborg 28 av 28