Sjunet Anslutningsavtal Förenklat regelverk för informationssäkerhet

Transkript

1 Sjunet Anslutningsavtal Förenklat regelverk för informationssäkerhet

2 Innehållsförteckning 1. Generellt Syfte Berörda dokument Sjunet Informationssäkerhet Avgränsning Regelverk Förutsättningar för avtal Aktörer inom vård och omsorg Aktörer utanför Sverige Avtal med huvudman Kontaktuppgifter Regler för Tillgänglighet Anvisningar Andra organisationer Internet Tester Granskning... 5 Sid 2/5

3 1. Generellt Ordet informationssäkerhet används genomgående för informationssäkerhet och IT-säkerhet. Ordet Kund används för alla, genom avtal, anslutna aktörer, Beställare används för Inera AB och ordet Leverantör används för TDC Sverige AB Syfte Syftet med detta dokument och regelverk är att: Beskriva de regler som gäller för Kunder som kommunicerar på Sjunet med en styrd arkitektur och därmed enbart når andra Kunder som godkänt kommunikationen via Sjunets avtalssystem. Utgöra en del av Sjunets Anslutningsavtal, bilaga 3 mellan Kund och Beställare Berörda dokument Följande dokument berörs av detta dokument och regelverk: Allmänna villkor, Sjunet, HSA, SITHS. Sjunet Anslutningsavtal Sjunet Informationssäkerhet Sjunet ska betraktas som ett öppet men kvalitetssäkrat nät med en reducerad hotbild och syfte att tillhandahålla en mycket hög tillgänglighet och god prestanda för alla aktörer inom svensk vård och omsorg. Till skillnad från Internet, ställs krav på alla anslutna Kunder med avseende på följsamhet mot detta avtalade regelverk, så kallad Ackreditering, samt kontroll av deras följsamhet mot regelverket över tid. För de organisationer som inte har möjlighet att uppfylla reglerna, erbjuds ett Förenklat regelverk där en punkt-till-punkt förbindelse etableras mellan de kommunicerande parterna. Denna kommunikationsform innebär att dessa kunder utgör ett mindre hot för tilliten till Sjunet utan att göra avkall på annan funktionalitet, prestanda eller tillgänglighet Avgränsning Bestämmelser avseende informationssäkerhet såsom legala krav kring sekretess, utlämnande och andra relaterade områden finns i ett antal lagar och förordningar. Kunden förutsätts ha tillräckliga kunskaper om och följa dessa lagar och förordningar. Kunden ansvarar själv för att utifrån sin verksamhets krav, planera och öva tillräckliga åtgärder och reservrutiner för att kunna hantera eventuella avbrott på Sjunet, så kallad kontinuitetsplanering. Sid 3/5

4 2. Regelverk Avgränsning: Kundens generella informationssäkerhet regleras inte i detta dokument Förutsättningar för avtal Mål: Omfattning: Säkerställa att enbart behöriga aktörer är anslutna till Sjunet. Förutsättningar för ett giltigt anslutningsavtal Aktörer inom vård och omsorg Enbart aktörer inom svensk vård och omsorg, samt leverantörer till dessa, får ansluta sig och vara anslutna. Förtydligande: Avser offentliga och privata aktörer som bedriver vård eller omsorg samt leverantörer av produkter och tjänster till dessa Aktörer utanför Sverige Enbart företag som är registrerade i Sverige får anslutas. Förtydligande: Avser privata företag. Företag med säte utanför Sverige kan teckna anslutningsavtal med företagets svenska dotterbolag. Undantaget är redan ackrediterade och anslutna privata företag Avtal med huvudman Privata aktörer ska ha ett giltigt avtal med vård- eller omsorgens offentliga huvudman. Förtydligande: Avtalet ska vara skriftligt och giltigt under anslutningsavtalets hela avtalsperiod Kontaktuppgifter Aktuella och kompletta kontaktuppgifter ska alltid meddelas Ineras Kundservice. Förtydligande: Rutiner ska finnas som säkerställer att Kundens kontaktuppgifter alltid finns aktuella och är kompletta hos Inera. Sid 4/5

5 2.2. Regler för Tillgänglighet Mål: Säkerställa att Sjunets höga tillgänglighet kan garanteras över tid. Omfattning: Gemensamma och kritiska delar på Sjunet Anvisningar Aktuella anvisningar för incidentrapportering, rutiner för förenklat regelverk och DNS ska följas. Förtydligande: För att inte äventyra tillgänglighet till gemensamma och kritiska delar av Sjunet Andra organisationer Kund som tecknat Sjunet-avtal med förenklat regelverk får inte göra Sjunet tillgängligt för andra organisationer än sin egen. Organisationsnumret styr detta. Förtydligande: För att veta vilka som är anslutna och därmed veta Sjunets avgränsning är en förutsättning för att bibehålla tillit och därmed mycket hög tillgänglighet Internet Internet får inte anslutas till Sjunet. Förtydligande: Användare på Internet ska inte kunna nå aktörer eller information på Sjunet. IT-system som utbyter information mellan Sjunet och Internet ska alltid ackrediteras och godkännas av Inera före driftstart Tester Tester som misstänks kunna påverka Sjunets tillgänglighet får inte genomföras utan särskilt tillstånd av Ineras Sjunetförvaltning. Förtydligande: Volym- och belastningstester kan påverka andra tjänster och ska därför koordineras med berörda Granskning Granskning av följsamhet mot detta regelverk kommer att genomföras. Förtydligande: Inera kommer att, vid behov, genomföra granskningar av Kundens följsamhet mot detta regelverk. Sid 5/5