I Central förvaltning Administrativ enhet

Transkript

1 ., Landstinget II DALARNA I Central förvaltning Administrativ enhet ~llaga LS 117,4 BESLUTSUNDERLAG Landstingsstyrelsen Datum Sida 1 (3) Dnr LD13/02242 Uppdnr Landstingsstyrelsens arbetsutskott Landstingsstyrelsen Landstingsfullmäktige Informationssäkerhetspolicy Ordförandens förslag Landstingsstyrelsen föreslår fullmäktige: 1. Förslaget till informationssäkerhetspolicy enligt bilaga b) fastställs Sammanfattning Landstinget har en fastställd, övergripande säkerhetspolicy. Ett delområde är informationssäkerhet. Socialstyrelsens föreskrifter och allmänna råd om föreskrifter om informationshantering och journalföring i hälso- och sjukvården (SOSFS 2008:14) anger att vårdgivaren ska ge direktiv och säkerställa att det i verksamhetens ledningssystem för kvalitet och patientsäkerhet finns en dokumenterad informationssäkerhetspolicy. Landstingets nuvarande informationssäkerhetspolicy fastställdes av Landstingsfullmäktige /24. Därefter har en ny patientdatalag trätt i kraft 2008 och Socialstyrelsen har lämnat föreskrifter rörande informationshantering, SOSFS 2008:14. Myndigheten för samhällsskydd och beredskap har tagit fram råd för ledningssystem för informationssäkerhet. Den föreslagna informationssäkerhetspolicyn utgår således från lagstiftning och myndigheters föreskrifter. I ärendet redovisas följande dokument: a) Beslutsunderlag b) Policy för informationssäkerhet c) Struktur regelverk för informationssäkerhet Beskrivning av ärendet och skälen för förslaget Nuvarande informationssäkerhetspolicy för Landstinget Dalarna är fastställd av landstingsfullmäktige i november 2004 och är i behov av revidering. Enligt 2 kap. 1 SOSFS 2008:14 skall vårdgivaren ge direktiv och säkerställa att det i verksamhetens ledningssystem för kvalitet och patientsäkerhet finns en dokumenterad informationssäkerhetspolicy. Postadress Box Falun Landstingets revisorer lämnades en rapport (LD11/00770) efter en granskning av den övergripande hanteringen av IT -säkerhet. Man \ Besöksadress Vasagatan 27 Falun 1II!!Ii!5!D:I!iEi5Ii!i!SB!IiB Kontakt 1... ' I Handläggare Lindblom Sören Informationssäkerhets- Org.nr: samordnare sorenonndblom@lldalamaosejl ~

2 Landstinget Dalarna Central förvaltning BESLUTSUNDERLAG Landstingsstyrelsen Datum Dnr LD13/02242 Sida 2 (3) konstaterar i rapporten att styrande dokument gällande informationssäkerhet behöver revideras beroende på bl.a. nya och förändrade lagar (Patientdatalagen, Patientsäkerhetslagen), reviderade författningar (bl.a. SOSFS 2008:14, 2011 :9) och nya krav på förtydligande av ansvar och roller (Socialstyrelsens handbok om informationssäkerhet). Informationssäkerhetspolicyn anger mål och inriktning för verksamhetemas arbete med informationssäkerhet. Ett arbete genomförs för närvarande med mål att införa ett landstingsövergripande gemensamt ledningssystem. Informationssäkerhet har ingått som ett av flera säkerhetsområden i arbetet. Förslaget till informationssäkerhetspolicy följer den utformning av policies som fastställts inom ramen för ledningssystem. Förslaget till informationssäkerhetspolicy har tagits fram inom ramen för ett projekt där tillhörande riktlinjer också arbetas fram. Projektet har samarbetat med ledningssystemprojektet vars projektgrupp och referensgrupp liksom landstingets säkerhetsråd lämnat synpunkter på policyförslaget. Patientperspektiv Som framgår av policyförslaget ska medborgama kunna förlita sig på den information som landstinget lämnar och vara förvissade om att informationen får ett tillräckligt skydd. Strategin med systematiskt arbete med informationsklassning, riskanalyser och riskbedömning av såväl information som informationssystem bedöms också leda till ökad patientsäkerhet. Finansiering och ekonomiska konsekvenser Informationssäkerhetspolicyn bedöms inte innebära några direkta ekonomiska konsekvenser för landstinget. Ett ökat systematiskt arbete med informationsklassning, riskanalyser av information och system liksom krav på bredare utbildning i informationssäkerhet för alla anställda och uppdragstagare bedöms kunna ske inom ramen för tilldelade resurser.

3 Landstinget Dalarna Central förvaltning BESLUTSUNDERLAG Landstingsstyrelsen Datum Dnr LD13/02242 Sida 3 (3) Juridik Den omarbetade policyn bedöms följa kraven i lagar och författningar. Den bedöms därmed också uppfylla kraven i revisionsrapporten på uppdatering av styrande dokument. Miljö, likabehandling, barn konsekvens, folkhälsa samt konsekvensbedömning enligt systematiskt arbetsmiljöarbete Dessa perspektiv bedöms inte vara relevanta i ärendet. Samverkan med fackliga organisationer Information enligt MBA 10 kommer att äga rum Uppföljning Uppföljning av efterlevnad utförs löpande genom säkerhetsrådet och i samband med årsbokslut.

4 I II Landstinget DALARNA CENTRAL FÖRVALTNING Administrativa enheten Säkerhets- och miljöavd Beslut 'Bi!.AGA L S 111 B Datum Sida 1 (2) Dnr Policy for informationssäkerhet INLEDNING Information är en av landstingets mest strategiska resurser. Medborgarna skall kunna förlita sig på den information som landstinget lämnar och vara förvissade om att informationen som samlas in får ett tillräckligt skydd. Informationssäkerheten syftar till att skydda information mot förekommande hot, förhindra avbrott i verksamheten samt minska skador. Informationssäkerhetsarbetet syftar till att stödja och säkerställa landstingets verksamhet. Alla medarbetare deltar i detta arbete. Denna policy beskriver övergripande principer för landstingets informationssäkerhetsarbete. MAL Landstinget Dalarna har en anpassad säkerhetsnivå för information som leder till konfidentialitet riktighet tillgänglighet spårbarhet att information endast är tillgänglig för behöriga användare att information och informationsbehandlingsmetoder är utformade så att informationen förblir korrekt och fullständig att behöriga användare har tillgång till information som behövs för sina arbetsuppgifter att åtkomst till informationen samt att händelser i informationsbehandlingen kan spåras OMFATTNING Informationssäkerhetspolicyn utgår ifrån landstingets säkerhetspolicy och gäller för hantering av information i alla dess former. Informationssäkerhetspolicyn konkretiseras i riktlinjer för informationssäkerhet. INNEBÖRD Informationssäkerhetsarbetet innebär att värdera all information efter sin känslighet och med hjälp av administrativa och tekniska skyddsåtgärder säkerställa att den finns tillgänglig när den behövs, att den är korrekt och att obehöriga inte kan få tillgång till den. Utöver dessa säkerhetsaspekter l'osllltl rcss Fal u lasarett Fahll1 \ Besöksadress Södcrbaurns vag 5 Fal un I... I Ilandlägg:lrc Sören Lindblom

5 Landstinget Dalarna Beslut CENTRAL FÖRVALTNING Sida 2 (2) måste behov av spårbarhet uppfyllas - att i efterhand kunna avgöra vem som tagit del av informationen, vilka förändringar som skett och av vem dessa utförts. Detta gäller även när landstingets information eller informationssystem hanteras av extern part. STRATEGI Arbetet ska stödja och säkerställa landstingets verksamhet genom systematiskt arbete med informationsklassning, riskanalys och riskbedömning av information och informationssystem. Arbetssättet ska ingå i landstingets gemensamma ledningssystem och följa aktuell svensk standard för informationssäkerhet. Genom utbildning ska all personal göras medvetna om sitt ansvar för den informationssäkerhet som är relevant för sin arbetsuppgift. ANSVAR Landstingsfullmäktige fastställer policy för informationssäkerhet. Landstingsstyrelsen ansvarar för att informationssäkerhetspolicy tas fram Landstingsstyrelsen ansvarar också för samordning av informationssäkerhetsarbetet mellan nämnder i landstinget LandstingstyreIsen och varje annan nämnd och styrelse är ansvarig för informationssäkerheten inom sitt verksamhetsområde. Landstingsrevisorernas ansvarar för granskning av att den interna kontrollen är tillräcklig. Landstingsdirektören har det operativa ansvaret, och rapporterar till landstingsstyrelsen. Landstingsdirektören ansvarar för att övergripande riktlinjer, direktiv och årlig handlingsplan för informationssäkerhet tas fram och fastställs. Förvaltningschef ansvarar för att förvaltningsspecifika riktlinjer, direktiv och årlig handlingsplan för informationssäkerhet tas fram och fastställs. Informationssäkerhetsansvaret följer i övrigt det delegerade verksamhetsansvaret.

6 Nationella styrdokument Landstingets övergripande styrdokument Verksamhetsnära styrdokument JJL Riksdag, regering, myndigheter Myndigheter Politisk nivå VAD? Tjänstemannanivå HUR? Förvaltningsspecifika riktlinjer för informationssäkerhet Förvaltningsspecifika direktiv för informationssäkerhet DD D Verksamhetsspecifika anvisningar rutiner och instruktioner