Rapport Informationssäkerhet

Relevanta dokument
Förslag till verksamhetsplan 2014 för informationssäkerhetsarbete

Rutiner för säker roll och behörighet SLUTRAPPORT Version 1,0. Kalmar, Sakkunnig, Stephen Dorch. Projektledare, Ulrika Adolfsson

Västkom. Göteborg 18 november Del 1 av 2. Stephen Dorch, ISMP

Informationssäkerhet - Informationssäkerhetspolicy

IT-strategi. Krokoms kommun

Informationssäkerhetspolicy för Ånge kommun

Styrande dokument. Strategi e-hälsa inom H2O Fastställd av kommunfullmäktige , 109. Gäller från och med

SIDAN 1. Stockholms stad. Nationell IT-strategi för. Tillämpning för. vård och omsorg

Samverka effektivare via regiongemensam katalog

Leanlink Ao LKDATA. Teknik spåret. Föreläsare: Michael Lööw, Linköpings Kommun

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Policy och strategi för informationssäkerhet

Riktlinjer för Informationssäkerhet Falkenbergs Kommun Kommunledningskontoret

Sammanträdesdatum Arbetsutskott (1) 35 KS/2016:51. Handlingsplan för e-hälsa i Östergötland

Nationell IT-strategi för vård och omsorg tillämpning för Stockholms stad

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Informationssäkerhetspolicy inom Stockholms läns landsting

Regional strategi för ehälsa i Västernorrland

Digital strategi för Uppsala kommun

EDA KOMMUN. nformationssäkerhet - Informationssäkerhetspolicy

E-strategi för Strömstads kommun

Informationssäkerhetspolicy

Förslag: Regional handlingsplan för samverkan mellan Region Örebro län och länets kommuner inom e-hälsa

Verksamhetsplan Informationssäkerhet

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Informationssäkerhetspolicy för Ystads kommun F 17:01

Informationssäkerhetspolicy för Nässjö kommun

PROJEKTPLAN, ETAPP 1 FÖR INSATSOMRÅDE 3 - TEKNISK INFRASTRUKTUR

Regional IT-samverkan i Östergötland

Policy för informations- säkerhet och personuppgiftshantering

IT-Policy för Tanums kommun. ver 1.0. Antagen av Kommunfullmäktige

Samverkansöverenskommelse mellan Landstinget i Kalmar län och kommunerna i Kalmar län kring personer med psykisk funktionsnedsättning

Strategi för digitalisering

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Kvalitetsregister & Integritetsskydd. Patrik Sundström, jurist SKL

Vägen mot e-arkiv. Hur vi skapar förutsättningar för e-arkiv och ett digitalt informationsflöde KORTVERSION AV FÖRSTUDIERAPPORTEN

Workshop och dialog kring strategi för ehälsa

e-hälsa Nationell IT-strategi för vård och omsorg, tillämpning för Stockholms stad

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13

I Central förvaltning Administrativ enhet

Rätt informationssäkerhet är A&O vid införande av välfärdsteknologi. Jeanna Thorslund, Sveriges Kommuner och Landsting Thomas Nilsson, Certezza

Informationssäkerhetspolicy IT (0:0:0)

Bakgrund till ReDA i Jönköpings län

Nationell patientöversikt en lösning som ökar patientsäkerheten

Regler och instruktioner för verksamheten

Regionalt befolkningsnav Utgåva P Anders Henriksson Sida: 1 (6) Projektdirektiv

Koncernkontoret Enheten för säkerhet och intern miljöledning

Stöd och behandling. Beskrivning och tjänstespecifika villkor

Hur framtidssäkrar vi socialtjänsten?

Fördelning av ansvar för informationssäkerhet. Version: 1. Beslutsinstans: Regiondirektören

Projekt Informationssäkerhet

Informationssäkerhet en förutsättning för effektiv digitalisering. Moderator: William Linnefell, Ekonomistyrningsverket

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

Förslag Regionalt program ehälsa Margareta Hansson, Regionförbundet Örebro Ulrika Landström, Örebro läns landsting

HANDLINGSPLAN 2016 Regional utveckling av esamhället i Västra Götaland

Genomförandeplan för regional utveckling i samverkan inom ehälsa 2013 ( )

Genomförandeplan 2010 för implementering av de nationella riktlinjerna för missbruks- och beroendevården i Västernorrlands län

Policy och riktlinjer för användning av informationsteknik inom Göteborgs Stad

Informationssäkerhetspolicy. Linköpings kommun

Digital strategi. Järfälla För- och grundskolor

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Informationssäkerhetspolicy för Katrineholms kommun

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Samhällets informationssäkerhet

Reviderad överenskommelse om samverkan mellan Region Skåne och Idéburen sektor i Skåne

Informationssäkerhetspolicy KS/2018:260

65 Digitaliseringsstrategi för Gagnefs kommun (KS/2019:73)

Digital strategi för Statens maritima museer 2020

IT-strategi-Danderyds kommun

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Samverkansöverenskommelse med landstinget. med landstinget gällande personer med psykisk funktionsnedsättning

Informationssäkerhetspolicy

Bilaga 3 Säkerhet Dnr: /

Dnr DSN Dpl. Dpl sid 1 (5) T IT-enhetenn. Inledning. servicenämnden. ka kommuner. Till grund. utveckling. karlstad.se

Kravställning på e-arkiv från informationssäkerhetsperspektiv

Återredovisning digital strategi följduppdrag utifrån utredningsuppdrag 15/06

Regionalt program för ehälsa

SÄKERHETSPOLICY FÖR VÄSTERVIKS KOMMUNKONCERN ANTAGEN AV KOMMUNFULLMÄKTIGE , 8

Regionala stödstrukturer för kunskapsutveckling

Samverkan för utveckling av hälsooch sjukvård samt omsorg i Blekinge. Landstingsdirektörens stab, planeringsenheten Januari 2018 Ärendenr 2018/00182

IT-policy inom Stockholms läns landsting

Västra Götalandsregionens stöd till Informationssäkerhetsprogram Riktlinjer för sökande kommuner

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

FÖRSLAG. 16 Aktivitetsplan för kommunal e-hälsa

Strategi för innovation GÄLLER FÖR STOCKHOLMS LÄNS LANDSTING

Överenskommelse Kommunal ehälsa Genomförandeplan för regional utveckling i samverkan inom ehälsa 2013 VOHJS13-032, Bilaga VOHJS 16 /13

KITe - förslag till prioritering av samverkansobjekt

Digitaliseringsstrategi

IT-plan för Söderköpings kommun

Policy för informationssäkerhet

AVTAL OM GEMENSAM NÄMND FÖR HJÄLPMEDELSVERKSAMHET

Lokal digital agenda för Bräcke kommun

Program Strategi Policy Riktlinje. Digitaliseringsstrategi

Informationssäkerhetspolicy

Informationssäkerhetspolicy S/~LA KOMMUN KOMMUNFULLMÄKTIGE. Bi l aga KS 2015 / 135/1 INFORMATIONSSÄKERHETSPOLICY FÖR SALA KOMMUN

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

Strategi för digital utveckling

Detaljering av vald lösning

Myndigheten för samhällsskydd och beredskaps författningssamling

Transkript:

Författare: Stephen Dorch Sida: Sidan 1 av 49 Rapport Informationssäkerhet 2008-2010 Avser Samtliga kommuner i Kalmar län Landstinget i Kalmar län Regionförbundet i Kalmar län Sidan 1 av 49

Författare: Stephen Dorch Sida: Sidan 2 av 49 Innehållsförteckning 1. Sammanfattning... 4 2. Verksamhetens mål... 5 3. Bakgrund... 6 3.1 Vad är informationssäkerhet?... 7 3.2 Rätt säkerhet... 8 3.3 Systemsäkerhetsanalyser... 8 3.4 Människa Teknik och Organisation - MTO... 9 3.4.1 MTO - Människa... 10 3.4.2 MTO - Teknik... 10 3.4.3 MTO - Organisation... 10 4. Genomförda insatser... 11 4.1 Genomförda insatser per kategori... 11 4.1.1 Ledningen... 11 4.1.2 Löpande informationssäkerhetsfrågor... 13 4.1.3 IT-arkitektur och IT-infrastruktur... 14 4.1.4 Samverkan... 15 4.1.4.1 Regional samverkan... 15 4.1.4.2 Nationell samverkan... 16 4.1.5 Omvärldsbevakning... 17 4.2 Genomförda insatser per part... 18 4.2.1 Gemensam insats för samtliga kommuner och landstinget... 19 4.2.2 Innehåll gemensamma insatser... 20 4.2.3 Fördelning av insatser... 21 4.2.4 Enskild kommun... 22 4.2.4.1 Västerviks kommun... 23 4.2.4.2 Vimmerby kommun... 23 4.2.4.3 Hultsfreds kommun... 24 4.2.4.4 Oskarshamns kommun... 24 4.2.4.5 Högsby kommun... 25 4.2.4.6 Mönsterås kommun... 25 4.2.4.7 Kalmar kommun... 26 4.2.4.8 Nybro kommun... 26 4.2.4.9 Emmaboda kommun... 27 4.2.4.10 Torsås kommun... 27 4.2.4.11 Borgholm kommun... 28 4.2.4.12 Mörbylånga kommun... 28 4.2.5 Landstinget... 29 4.2.6 Regionförbundet... 30 Sidan 2 av 49

Författare: Stephen Dorch Sida: Sidan 3 av 49 5. Särskilda uppdrag... 30 5.1 Barnhälsodatapiloten sammanfattningen... 31 5.2 SITHS för all verksamhet... 33 5.3 Kommunernas infrastruktur och plattformar 2009... 34 6. Resultat... 35 6.1 Resultat Uppfyllande av Intensionen utifrån avtal... 35 6.2 Resultat Styrande dokument... 36 6.3 Resultat DNScheck... 37 6.4 Resultat Kaminskybuggen... 38 6.5 Resultat SITHS... 39 6.6 Resultat Säkerhetsplattform - federation... 39 6.7 Incidenter 2010... 41 6.8 Resultat Ekonomi... 42 7. Framtiden... 43 7.1 kort sikt... 43 7.2 lång sikt... 43 Bilagor:... 44 1. Avtalet... 44 2. Barnhälsodatapiloten... 44 3. Kommunerna infra och plattformar 2009... 44 Sidan 3 av 49

Författare: Stephen Dorch Sida: Sidan 4 av 49 1. Sammanfattning Denna rapport redogör för inom vilka områden informationssäkerhetssamordnaren verkat under perioden 2008 till 2010. Rapporten ger en kort beskrivning kring vad informationssäkerhet är och beskriver övergripande systemets beroenden av människan, teknik och organisation. Värdet av rätt säkerhet är den röda tråden. Nödvändigheten av att balansera insatser mot kostnader och risker förklaras. Arbete med systemsäkerhetsanalyser som en del av den löpande processen lyfts fram. Ledningens stöd för informationssäkerheten uttrycks i nödvändiga styrdokument. Känslig information ska kunna delas mellan olika organisationer. För att detta ska vara möjligt, förutsätts en tillit till den andra organisationens hantering av informationen. Med detta följer användandet av pålitliga digitala e-legitimationer och kvalitativa tjänster kopplade till dessa. Medborgare ska kunna utföra digitala tjänster på nätet. I denna utveckling förutsätts att vår förmåga att hantera informationens sekretess, riktighet och tillgänglighet är kvalitetssäkrad och tillitsfull. Därför är säkerhetsplattformen, införandet av säkra kort för inloggning i IT-systemen samt barnhälsodatapiloten viktiga projekt för kommunerna och landstinget i Kalmar län. Insatserna har delats upp i fem olika kategorier. I rapporten redogörs för vilka insatser som utförts inom respektive kategori. Kategorierna är: Ledningsfrågor Löpande informationssäkerhet enligt plan-do-check-akt 1 metoden IT-arkitektur och IT-infrastruktur Samverkan Omvärldsbevakning Gjorda insatser redovisas dels per part, men också övergripande. Insatserna ställs mot den kostnad som respektive part innehar för informationssäkerhetssamordnarens tjänster. Ett antal mätbara resultat redovisas: Måluppfyllelse gentemot avtal Styrande dokument Domän uppsättning Godkända SITHS organisationer Incidenter Säkerhetsplattformen Rapporten avslutas med en sammanställning av framtida utmaningar. 1 Plan-Do-Check-Akt är en process för systematiskt informationssäkerhetsarbete enligt Svensk Standard för Informationssäkerhet Sidan 4 av 49

2. Verksamhetens mål Projekt: Informationssäkerhet Författare: Stephen Dorch Sida: Sidan 5 av 49 Målbilden är informationssäkerhetssamordnarens tolkning av avtalet. Arbetet med informationssäkerhet är en del av organisationens utvecklingsarbete. Med ökad informationssäkerhet följer ökad kvalitet i de processer som avses. Målet med informationssäkerheten är att stödja parterna i deras processer mot uppsatta målbilder, visioner och strategier. Arbetet med informationssäkerhet ska stödja - kvalitativa tjänster för en effektiv e-förvaltning - den personliga integriteten i e-samhället - den nationella strategin för e-hälsa - användandet av IT i skolan - möjligheterna till samverkan - innovation och kvalitet i samhället - förmågan att upprätthålla kärnverksamheten i händelse av kris - IT-teknisk arkitektur, infrastruktur och standarder - kostnadsutvecklingen genom att väga risk mot kostnad - att graden av sekretess, riktighet och spårbarhet upprätthålls ovanstående punkter gäller för all verksamhet inom kommun, landstinget och regionförbundet i Kalmar län. Arbetet med informationssäkerhet bidrar därmed till den regionala utvecklingen. Nedan är dessa punkter konkretiserade gentemot parterna i generella målbeskrivningar. Informationssäkerhet för Landstinget i Kalmar län För Landstinget i Kalmar län är målbilden att arbetet med informationssäkerhet ska stödja Landstingets vision om hälsolänet. Med rätt kvalitét, god ekonomisk hushållning och genom ett kunnigt, öppet och engagerat förhållande till det övergripande målet, bidrar informationssäkerhetsprocessen till landstingets mål om att vara bäst i Sverige på patientsäkerhet Informationssäkerhet för kommunerna i Kalmar län Arbete med informationssäkerhet är en del av kommunens ordinarie verksamhets- och processutveckling. Insatserna ska bidra till att effektivisera förvaltningsarbetet, öka servicen till medborgarna, möjliggöra ökad insyn och delaktighet i den demokratiska processen. Genom samverkan, kompetensdelning och med en gemensam syn på informationsteknik, dess hantering och regler för åtkomst till information, bidrar detta till det övergripande målet för informationssäkerhet, att rätt information ges till behörig person vid rätt tidpunkt. Informationssäkerhet för Regionförbundet i Kalmar län Insatser gällande informationssäkerhet ska stödja den regionala utvecklingsstrategin. Genom ett framåtsträvande och nytänkande förhållande till säkerhet, bidrar informationssäkerhetsarbetet till en effektiv förvaltning, ett tryggare samhälle där medborgarens och företagarens behov står i centrum. Sidan 5 av 49

Författare: Stephen Dorch Sida: Sidan 6 av 49 3. Bakgrund Idéen om en gemensam tjänst för informationssäkerhet uppstod 2006 när dåvarande Krisberedskapsmyndigheten i samverkan med respektive länsstyrelse i landet genomförde regionala utbildningar inom området informationssäkerhet där samtliga kommuner och landstinget i vårt län deltagit. Länets IT-ansvariga i kommunerna och landstinget blev vid samrådsmötet i Hultsfred 25-26 april 2007 överens om att ge förslag till chefsgruppen avseende inrättande av en informationssäkerhetssamordnartjänst. Regionförbundets ledning ställde sig bakom att vara huvudman för tjänsten och tillhanda lokal och arbetsplatsutrustning samt stödja med administrationen av tjänsten. Kalmar län, bestående av länets 12 kommuner, landstinget och Regionförbundet ingick i februari 2008 en överenskommelse om samordning av insatser kring informationssäkerhet. En informationssäkerhetssamordnare rekryterades vars uppdrag regleras i särskilt avtal. Ett led i den Digitala Samhälls Utvecklingen är att medborgarna ska medges en vidare möjlighet att komma åt information och olika digitala tjänster hos framför allt länets kommuner och landstinget. Strukturen på de lösningar som eftersträvas ska vara i linje med de arbeten som sker nationellt inom området och som exempelvis ges uttryck för i den nationella IT-strategin för vård och omsorg, numera kallad ehälsa. En enad grundsyn på säkerhet med tillhörande metodik och etablerat arbetssätt är med andra ord en mycket viktig förutsättning för en utökad samverkan inom IT-området. Det åligger varje part att avsätta egna resurser med en tydlig lokalt förankrad ansvarsfördelning, för att på ett effektivt sätt kunna ta del av och verkligen dra nytta av informationssäkerhetssamordnarens arbetsinsatser. Informationssäkerhetssamordnaren påbörjade sitt uppdrag på Regionförbundet i april 2008. Sidan 6 av 49

Författare: Stephen Dorch Sida: Sidan 7 av 49 3.1 Vad är informationssäkerhet? Informationssäkerhet är hanteringen av information avseende: Sekretess, att åtkomst till information endast är tillgänglig för behörig person Riktighet, att information är korrekt och fullständig, dvs oförvanskad Tillgänglighet, att behörig användare vid behov har tillgång till information Spårbarhet, säkerställer vem som gjort vad, och när. I begreppet informationssäkerhet ingår administrativ säkerhet och IT-säkerhet. Informationssäkerhet Administrativ säkerhet IT-säkerhet Figur 1: Begrepp informationssäkerhet Administrativ säkerhet omfattar t.ex. policys och regelverk, rutiner, övervakning och kontroll samt revision och uppföljning. IT-säkerhet omfattar IT-system, systemsäkerhet, kommunikationssäkerhet och skydd. Informationssäkerhetssamordnaren har verkat inom samtliga av dessa områden. Informationssäkerhet Administrativ säkerhet IT-säkerhet Policy och regelverk Rutiner Systemsäkerhet Fysisk säkerhet Revision & uppföljning Övervakning & kontroll Kommunikationssäkerhet Figur 2: Informationssäkerhet utökad begreppsförklaring Sidan 7 av 49

Författare: Stephen Dorch Sida: Sidan 8 av 49 3.2 Rätt säkerhet Information är en viktig och oumbärlig tillgång för organisationen. Informationen ska skyddas i paritet med dess värde. Information förekommer i många olika former, t ex som tryckt, skriven eller elektronisk lagrad form. Den kan överföras muntligt, med post eller genom film, genom bilder och text på Internet, som Facebook och andra forum. Oavsett i vilken form informationen lagras eller överförs, så skall den alltid ha ett godtagbart skydd. Informationssäkerhetssamordnaren har i dialogen med ledningsgrupperna talat i termer om Rätt säkerhet. Om vi har vi för hög säkerhet, så missbrukar vi troligtvis med resurser. Om vi har för låg säkerhet, så tar vi för stora risker, vilket kan leda till alvarlig skada för organisationen eller den enskilde. Figur 3: Kostnad vs Risk 3.3 Systemsäkerhetsanalyser Genomförda systemsäkerhetsanalyser identifierar de alvarligaste bristerna, och sätter pris på eventuella åtgärdsförslag. Detta för att organisationens ledning ska kunna fatta beslut om rätt åtgärd, i förhållande till risk, ekonomi och effekt för kärnverksamheten. I syfte att identifiera brister, och peka på möjliga förbättringsåtgärder, har systemsäkerhetsanalyser genomförts på två av länets kommuner, samt en riskanalys på landstinget. Kommunernas arbete med upprättande av driftplan är en del i denna process. Analysernas metodik baseras på följande tre organisationers koncept: Myndigheten för samhällets beredskap MSB:s basnivå för informationssäkerhet BITS Socialstyrelsens Händelse och riskanalys Totalförsvarets forskningsinstitut FOI:s vägledning för systematiskt risk- och sårbarhetsanalys. Utmaningen består i att införa en kontinuerlig process för löpande systematiskt informationssäkerhetsarbete, som en del av organisationens ordinarie kvalitets och utvecklingsarbete. Mer om detta under framtida utmaningar i kapitel 7. Sidan 8 av 49

Författare: Stephen Dorch Sida: Sidan 9 av 49 3.4 Människa Teknik och Organisation - MTO Informationssäkerhet handlar inte bara om IT-teknik, system och nätverk. En god informationssäkerhet åstadkommer man med den samlade synen kring vad människa, teknik och organisation gemensamt kan åstadkomma. MTO står för människa, teknik och organisation och introducerades under 1970-talet inom svensk kärnkraftsindustri. Utgångspunkten är att orsaker sällan är tekniska, mänskliga eller organisatoriska. Tvärtom så samverkar dessa tre områden. En negativ händelse eller tillbud orsakas oftast av ett samspel mellan tekniska funktioner, mänskliga aktiviteter och den aktuella omgivningen. MTO används även i Socialstyrelsens vägledning handbok för patientsäkerhetsarbete. Figur 4: Samspel mellan människa, teknik och organisation Syftet med att beskriva MTO-modellen är att förklara och motivera informationssäkerhetssamordnarens tillvägagångssätt med arbetsuppgifter som sträcker sig över ett brett område som strategi, arkitektur, infrastruktur, styrande principer, upphandling, kravspecifikationer, projektledning, samordning, analys, juridik och omvärldsbevakning. Informationssäkerhet är således inte begränsat till ett enskilt område, utan berör allt som vi gör och tänker i det globala samhället. För att tydliggöra detta nämns nedan några exempel på insatser relaterat till respektive del av MTO-modellen. Sidan 9 av 49

Författare: Stephen Dorch Sida: Sidan 10 av 49 3.4.1 MTO - Människa Exempel på insatser relaterat till människan i MTO-modellen är information och utbildning. Varje kommun har fått en genomgång av nya patientdatalagen från 2008, informationen riktades direkt till verksamheten, genom personliga besök. I de systemsäkerhetsanalyser som genomförts utgår vi från användarens hantering av systemet. Systemet är till för människan, inte tvärtom, därför ska systemet i största mån anpassas till ett mänskligt beteende. Dokumentet Informationssäkerhetsinstruktion användare, är det dokument som redogör för vilka regler, riktlinjer etc som gäller för en användares hantering av datorn och systemet. 3.4.2 MTO - Teknik Exempel på insatser relaterat till teknik i MTO-modellen är viss del av innehållet i systemsäkerhetsanalyser, risk- och hotbildsanalyser, samt i dialogen med enskilda tekniker. Samverkan kring regionnätet, kravställande i upphandlingar samt nationell samverkan inom områden som IT-arkitektur och IT-infrastruktur. Dokumentet Informationssäkerhetsinstruktion kontinuitet och drift, är det dokumentet som tydligast beskriver de tekniska delarna, och vilka krav som följer med detta. 3.4.3 MTO - Organisation Exempel på insatser relaterat till organisation i MTO-modellen är att skapa förståelse för de olika delarna genom dialog med organisationernas ledningsgrupper. Information kring värdet av en kontinuerlig informationssäkerhetsprocess, fastställande av policys, regler och riktlinjer, resultat av systemsäkerhetsanalyser etc sker i dialog och möten med respektive organisations ledningsgrupp eller ledande tjänstemän. Dokumentet Informationssäkerhetsinstruktion förvaltning är det styrande dokument som tydligast beskriver vilka roller och ansvar som följer med gällande organisationsmodell. Sidan 10 av 49

Författare: Stephen Dorch Sida: Sidan 11 av 49 4. Genomförda insatser Informationssäkerhet är något man påbörjar, men knappast aldrig avslutar..! I takt med att samhället och dess tjänster gentemot medborgare digitaliseras ökar också samhällets beroende av tillförlitlig IT. Det finansiella systemet, kommunikationssystem, försörjningsystem, system för elektronisk identifiering är exempel på samhällssystem, som i händelse av alvarlig incident skulle kunna orsaka samhället mycket stor skada. De insatser som beskrivs nedan är processer som till stor del är återkommande och leder till fortlöpande förbättring och utveckling. Informationssäkerhetssamordnaren har i denna rapport valt att kategorisera genomförda insatser i fem delområden. Barnhälsodatapiloten omnämns i samtliga kategorier, en sammanfattning av barnhälsodatapiloten återfinns i separat kapitel i denna rapport. Ledningsfrågor Löpande informationssäkerhet enligt plan-do-check-akt metoden IT-arkitektur och IT-infrastruktur Samverkan Omvärldsbevakning Figur 5: Bilden beskriver fördelning av insatser år 2008 till 2010 4.1 Genomförda insatser per kategori I kapitlen nedan beskrivs insatserna för vart och ett av de fem kategorierna. 4.1.1 Ledningen Insatser relaterade till ledningen är t.ex. lägesrapporter, policy, styrdokument, lagar och förordningar samt ekonomi. I dialog med ledningen presenteras utvecklingsuppdrag, Sidan 11 av 49

Författare: Stephen Dorch Sida: Sidan 12 av 49 fastställande av prioritet, viktning samt uppföljning. Under 2008 besökte informationssäkerhetssamordnare merparten av länets ledningsgrupper i syfte att presentera uppdraget. Barnhälsodatapilotens samtliga delprojekt är i grunden relaterade till frågor som ledningen har att fatta beslut kring och som i stort är verksamhetsutveckling med IT som drivkraft och möjliggörare. Delprojekt fyra och fem, modell för regional systemförvaltning och juridik för samverkan, visar på hur en verksamhet kan anpassas för att uppnå ökad effektivitet och nytta, med hänsyn till de legala kraven på samverkan mellan organisationer. Informationssäkerhetssamordnaren har träffat kommunchefsgruppen vid tre tillfällen under åren 2008-2010. Informationssäkerhet har varit på dagordningen i flertalet av kommunernas arbetsutskott, tjänstemannaledning och politiska nämnder. Information har även delgivits till skolchefsgruppen samt social- och omsorgsgruppen. Den senare vid upprepade tillfällen. Samtliga kommuners social- och omsorgsverksamhet har fått riktad information om patientdatalagen, socialstyrelsen föreskrift 2008:14 samt informationssäkerhet genom personliga besök. Till kategori ledningen tillförs också tid avseende medverkande i styrgrupp vid införandet av Skolhälsovården samt barnhälsodatapiloten. Insats relaterad till ledningsfrågor utgör 26 procent av nedlagd tid under åren 2008 till 2010. Figur 6 : Bilden visar antal nedlagda timmar relaterad till ledningsfrågor fördelat över tiden 2008-2010 Bilden ovan visar antal nedlagda timma i relation till ledningsfrågor, fördelade halvårsvis. Det relativt höga värdet under hösten 2008 förklaras av riktad information till kommunerna avseende patientdatalag och introduktion till informationssäkerhet. Våren 2010 utgörs till stor del av barnhälsodatapiloten, vars arbete med slutrapporten, och dess redovisning, utgör en betydande del. Sidan 12 av 49

Författare: Stephen Dorch Sida: Sidan 13 av 49 4.1.2 Löpande informationssäkerhetsfrågor I begreppet löpande informationssäkerhetsfrågor avses riktade insatser kring processen att införa och följa antagna beslut. Det kan handla om genomförda systemsäkerhetsanalyser, risk-och sårbarhetsanalyser, processen för upprättandet av styrande dokument, samt uppföljning enligt processbeskrivning för plan-do-check-akt 2. Barnhälsodatapilotens delprojekt två, regional länsgemensam plattform, beskriver processerna för kontinuerligt informationssäkerhetsarbete i kapitel 12 och 18. Insats relaterad till löpande informationssäkerhet utgör 22 procent av nedlagd tid under åren 2008 till 2010. Figur 7: Bilden visar antal nedlagda timmar relaterad till informationssäkerhet fördelat över tiden 2008-2010 Bilden ovan visar antal nedlagda timmar relaterat till informationssäkerhetsprocessen avseende systemsäkerhetsanalyser, risk och sårbarhetsanalyser, styrande dokument. Den relativt jämna fördelningen över tiden kan förklaras med att dessa aktiviteter påbörjades i princip samma dag som informationssäkerhetssamordnaren tillträdde. Och att insatserna har fördelats över flera kommuner över denna tidsperiod. Denna typ av aktivitet kommer inte att minska, då informationssäkerhetsprocessen är ett ständigt förbättringsarbete enligt principen plan-do-checkact. Läs mer om denna process på www.informationssäkerhet.se 2 Plan-Do-Check-Akt är en process för systematiskt informationssäkerhetsarbete enligt Svensk Standard för Informationssäkerhet Sidan 13 av 49

Författare: Stephen Dorch Sida: Sidan 14 av 49 4.1.3 IT- arkitektur och IT- infrastruktur Insatser relaterade till IT-infrastruktur och arkitektur är Barnhälsodatapiloten delprojekt ett processanalys/användningsfall samt delprojekt två regional gemensam plattform. Andra insatser är avrop, förhandling och kravställning kring internetavtal, infrastruktur och datanätet för parternas förvaltningsnätverk. Införandet av smarta kort i kommunerna, de så kallade SITHSkorten, är en del av detta område, liksom införandet av säkerhetsplattformen. Insats koppat till IT arkitektur och infrastruktur utgör 18 procent av nedlagd tid under åren 2008 till 2010. Figur 8: Bilden visar antal nedlagda timmar relaterad till IT-arkitektur och infrastruktur fördelat över tiden 2008-2010 Det höga värdet under 2009 till 2010 är övervägande relaterat till insatser i Barnhälsodatapiloten. Sidan 14 av 49

Författare: Stephen Dorch Sida: Sidan 15 av 49 4.1.4 Samverkan Insatser relaterade till samverkan är ett snitt av ovanstående. Samverkan har skett såväl regionalt som nationellt. Nedan redogörs för några av de områden som informationssäkerhetssamordnaren medverkat i. Insats relaterad till samverkan utgör 23 procent av nedlagd tid under åren 2008 till 2010. Figur 9: Bilden visar antal nedlagda timmar relaterad till samverkan fördelat över tiden 2008-2010 4.1.4.1 Regional samverkan I den regionala samverkan kan nämna de utvecklingsuppdrag som länets kommunchefer tilldelat länets IT-chefer: Införandet av SITHS 3 -kort, barnhälsodatapiloten, skolhälsovården, kompetensdelning, utredningar kring gemensam drift, öppen källkod, openoffice och säkerhetsplattformen är några av dessa. Vid minst tre tillfällen har möten med teknikersamverkan genomförts. På dagordningen vid dessa tillfällen har vi diskuterat nätverk (regneth), vmware och SITHS. Samverkansmöten har också genomförts i arbetet med att upprätta kontinuitets och driftsplaner. Samverkan med inslag från verksamheten är NITSVO 4 -gruppen. Gruppens uppdrag är enkelt uttryckt, att tillvarata möjligheterna med IT, och realisera dessa i praktisk nytta för verksamheten. Gruppen är bildad på uppdrag av länets social-och omsorgschefer. 3 SITHS är ett smart kort för elektronisk identifiering. 4 NITSVO är en regional samverkansgrupp i Kalmar län vars uppdrag är att utveckla vård och omsorg med hjälp av IT Sidan 15 av 49

Projekt: Informationssäkerhet Författare: Stephen Dorch Sida: Sidan 16 av 49 Aktiviteter har genomförts tillsammans med Linnéuniversitetet, där samordnaren föreläst vid två tillfällen. Vidare har LNU i samverkan med Regionförbundet fått möjlighet att utveckla verktyg för e-lärande inom informationssäkerhetsområdet. Samordnaren deltar också i länsstyrelsen nätverk OmRådet. Nätverket träffas fyra gånger per år, och består av representanter från bl.a. försvaret, polisen, SOS-alarm, SKB, Eon, Telia, länsstyrelsen, kommuner och landstinget. Nätverkets syfte är upprätthållande av samhällsviktiga funktioner. Andra samverkansformer är medverkande i nätverket exsam, som består av säkerhets- och beredskapssamordnare från länets kommuner och landstinget. Syftet med att vara med i denna grupp ligger i att lyfta informationssäkerhetsfrågorna som en samhällsviktig verksamhet, och på så viss tillföra gruppens denna bredd. Länets personuppgiftsombud och arkivarier har samlats vid två tillfällen för att i första hand diskutera samverkansfrågor rörande personuppgiftslagen, juridik, sekretess samt arkiv. Samordnaren tog initiativ att sätta ihop gruppen, inspirerad av det nationella nätverket inom landstingsvärlden, NIS-gruppen. 4.1.4.2 Nationell samverkan Nationell samverkan förekommer på flera plan, och utgör en viktig del av verksamheten. Genom denna samverkan har vi kunnat ta del av extern spetskompetens, samt bidragit till att delge andra våra erfarenheter. Kalmar län har uppmärksammats för insatser kring informationssäkerhet, samverkan och barnhälsodataprojektet. Slutrapporten för Kalmars barnhälsodatapilot har efterfrågats och spridits i stora delar av landet. Vidare har vi haft glädjen att få framföra våra erfarenheter på SKL:s konferens kring Nationella IT-strategin år 2009. SKLs arbetsgrupp kommunal IT-samverkan insatsområde teknisk infrastruktur startade år 2009, och genomförde under det första året en nationell inventering kring Sveriges kommuners IT-infrastruktur och plattformar. Rapporten Kommunernas Infrastruktur och plattformar 2009 (bilaga 3) pekar på ett antal nödvändiga insatsområden inom informationssäkerhet, teknisk infrastruktur och arkitektur på kort och lång sikt. Under 2010 genomfördes därför ett antal delprojekt inom områden som federation, organisation och samverkan, informationsöverföring över Internet samt länsnod för e-identiteter. Informationssäkerhetssamordnaren har deltagit i ovan nämnda aktiviteter dels direkt, men också indirekt genom referensgrupper. Landstingens nätverk för Informationssäkerhet, NIS-gruppen, utgör en för Sveriges landsting viktig samverkan inom informationssäkerhetsområdet. Samordnaren har deltagit i dessa möten tillsammans med landstinget, vars innehåll och erfarenheter ger en reell nyttoeffekt även för Kalmar läns kommuner. Detta framförallt inom området nationell ehälsa, ledningssystem, juridik, integritet och sekretess. I samverkan med andra regioner kan nämnas erfarenhetsutbyte främst med Regionförbundet Södra Småland, Växjö, Linköping och Karlstads kommun samt Stockholms stad. I samverkan med Regionförbundet Södra Småland har en modell för systematiska systemsäkerhetsanalyser tagit form. Sidan 16 av 49

Författare: Stephen Dorch Sida: Sidan 17 av 49 Ett nationellt nätverk för informationssäkerhet för Sveriges kommuner är initierat från Kalmar län, Växjö och Arvika kommun. Under hösten 2010 har SKL och MSB ställt sig positiva till nätverket, som kan bli ett betydelsefullt organ för erfarenhetsutbyte och kompetensdelning mellan kommuner, samt mellan kommuner och andra organisationer och myndigheter. 4.1.5 Omvärldsbevakning Omvärldsbevakning och kompetensutveckling är en ständig process. Utöver att följa och fördjupa sig i media, tidningar och Internet, har även två kompetensresor och ett antal seminarier genomförts. Vid kompetensresorna, som genomfördes 2008 och 2010, tittade vi på andra organisationers erfarenheter kring gemensam drift, öppen källkod, e-utveckling, ehälsa, organisation, gemensamma tjänster och informationssäkerhet. Samordnaren har bl.a. deltagit i Kommits 2008 och offentliga rummet 2009, erfarenheterna från dessa har tillvaratagits i de regionala projekten. Omvärldsbevakning kring informationssäkerhet har skett i seminarier anordnade av bl.a. MSB, SKL och SIS. Innehållet kan sammanfattas som standarder och regelverk, ledningssystem, juridik, organisation och utveckling. Utbildning i processorienterat arbetssätt genomfördes 2008, och ledarskapsutveckling under 2010. Insats relaterad till omvärldsbevakning utgör 12 procent av nedlagd tid under åren 2008 till 2010. Figur 10: Bilden visar antal nedlagda timmar relaterad till omvärldsbevakning fördelat över tiden 2008-2010 Sidan 17 av 49

Författare: Stephen Dorch Sida: Sidan 18 av 49 4.2 Genomförda insatser per part De parter som ingår i informationssäkerhetsamordnarens avtal är länets samtliga kommuner, landstinget och regionförbundet. Insatserna är uppdelade i tre olika delar, dessa är: 1. insats gemensamma för alla kommunerna och landstinget 2. insats gemensam endast för landstinget 3. insats riktad till enskild part Figur 11: Bilden beskriver fördelning av insats för samtliga parter Bilden ovan visar fördelningen av tid för gemensamma insatser jämfört med tid för riktade enskilda insatser per part. Av bilden kan vi utläsa att två tredjedelar av informationssäkerhetssamordnarens tid läggs på gemensamma insatser, och att en tredjedel ligger på riktade insatser per part. Övergripande sammanställning för de gemensamma insatserna i kapitel 4.2.1 och dess innehåll i kapitel 4.2.2. Sammanställning för varje enskild part, dvs per kommun, Landstinget och Regionförbundet redogörs för i kapitel 4.2.3 till 4.2.6. Sidan 18 av 49

Författare: Stephen Dorch Sida: Sidan 19 av 49 4.2.1 Gemensam insats för samtliga kommuner och landstinget Informationssäkerhetssamordnaren övergripande uppdrag är att samordna och utveckla informationssäkerheten i Kalmar län. Goda exempel går att växla upp till regional nytta och bidrar därmed även till regional utveckling i Kalmar län. Ett bra exempel på det är skolhälsovårdens journalsystem, som tog form under 2006 som en del av den digitala samhällsutvecklingen. Införandet av skolhälsovården, tillsammans med satsningen på informationssäkerhet och IT-strategi 2008, växlades upp till Barnhälsodatapiloten 2009. Denna utformades till att utreda flera av de uppdrag som primärkommunala nämnden, regionförbundets styrelse och kommunchefsgruppen tilldelat länets IT-ansvariga. Projektet växlades upp till att utreda konsekvenser och möjligheter med säkrare inloggning i våra ITsystem, de så kallades SITHS-korten utvärderades 2010. SITHS-projektet och Barnhälsodatapiloten växlades upp till den säkerhetsplattform, som kommer att få stor betydelse för regionen när det gäller hantering av digital information i länets kommande federation. Figur 12: Bilden visar strategiskt viktiga händelser under perioden, och hur dessa växlas upp i nya utmaningar Med gemensamma insatser avses insatser som bidrar till regional nytta för hela länet, och som ger en indirekt nytta till länets kommuner, landstinget och till viss del regionförbundet. Sidan 19 av 49

Författare: Stephen Dorch Sida: Sidan 20 av 49 4.2.2 Innehåll gemensamma insatser Omvärldsbevakning och utbildning, deltagande i regionala och nationella samverkansnätverk, leverantörskontakter, utredningsuppdrag, avrop, inköp, förhandlingar och samordning är aktiviteter som sorterar in under gemensamma insatser. Nedanstående punktlista får utgöra exempel på insatser som informationssäkerhetssamordnaren ingått i, utan inbördes rangordning. - Barnhälsodatapiloten - Säkerhetsplattformen - SITHS regionalt införande - NITSVO samverkansgrupp i regionen - NIS nationellt nätverk - Sjunet - datakommunikation - Nätverk för informationssäkerhet samverkan i regionen - SKL:s arbetsgrupp kommunal ITsamverkan teknisk infrastruktur - Utredningsuppdrag bl.a. gemensam drift, öppen källkod, open office, katalog, digital arkivering - Avtal - Cosmic Link, teknik - Styrande dokument (Policy, instruktioner, kontinuitet och drift) - Revision och uppföljning - Easy - Leverantörskontakter - Länsstyrelsens nätverk OmRådet - RSA - Förvaltningsnätavtal - Kompetensdelning, teknikersamverkan - Utbildning och seminarier, inom bl.a juridik, processledning, ledarskapsutveckling samt informationssäkerhet - Omvärldsbevakning, offentliga rummet2009, kommits 2008, Studieresa 2008 och 2010, edelegationen, samt genom media och Internet - Intern administration och ekonomi - Interaktiva verktyg bl.a DISA och infosäkfilmer - Systemsäkerhetsanalys i samverkan med Region Förbundet Södra Småland - Handlingsprogrammet Småland-Blekinge - Bibliotek ( endast kommuner ) - Skolhälsovård ( endast kommuner ) - Internetavtal ( endast kommuner ) - exsam - Föreläst i Dataprogrammet på LNU, SKL:s nationella konferens kring ehälsa, - Landsbygdskonferensen - Regiondagar programmentor samt sekreterare Sidan 20 av 49

4.2.3 Fördelning av insatser Projekt: Informationssäkerhet Författare: Stephen Dorch Sida: Sidan 21 av 49 De enskilt riktade insatserna utgör en tredjedel av den sammanlagda tiden. Tabellen nedan visar hur denna tredjedel är fördelad. Figur 13: Bilden beskriver riktad enskild insats per part Vi kan konstatera att landstinget och regionförbundets är de parter som fått mest riktade insatser, men de är också de parter som fått minst av de gemensamma insatserna. Landstinget står för 27 procent av kostnaderna, och får ut 17 procent i nedlagd tid. Mot bakgrund av att landstinget får i särklass mest riktad insats, så får vi anse utfallet rimligt. Motsvarande slutsats gäller för regionförbundet, vars del i de gemensamma insatserna är ringa i förhållande till de enskilda. Figur 14: Fördelning av total insats genom kostnad Kommunernas del uppgår till tre fjärdedelar av samtliga insatser. Av dessa är det övervägande gemensamma insatser. Förhållandet mellan dessa gemensamma insatser redogörs det för i kommande kapitel. Sidan 21 av 49

Författare: Stephen Dorch Sida: Sidan 22 av 49 4.2.4 Enskild kommun Insats per enskild part är möten, dialog och utveckling kring styrdokument och systemsäkerhetsanalys. Bilden nedan redogör fördelningen mellan kommunerna. Emmabodas och Nybros höga värden beror på genomförande av systemsäkerhetsanalyser i deras verksamhetssystem inom vård- och omsorg. För Mörbylångas del beror utfallet på medverkandet i processen kring styrdokument under 2010. Varje enskild part kommenteras särskilt i nedanstående avsnitt Figur 15: Bilden visar fördelning av insatser i tid mellan Kalmar läns kommuner Sidan 22 av 49

4.2.4.1 Västerviks kommun Projekt: Informationssäkerhet Författare: Stephen Dorch Sida: Sidan 23 av 49 Figur 16: Bilden visar procentuell fördelning av tid för Västerviks kommun Av den tid som informationssäkerhetssamordnaren lagt på Västerviks kommun, så utgör de gemensamma insatserna 83 procent och de enskilda insatserna 17 procent. De gemensamma insatserna redogörs för i tidigare kapitel. Enskilda insatser är information om patientdatalag, träff med IT-råd angående informationssäkerhet samt ett antal möten med systemförvaltare och IT-chef. I detta ingår även telefon och epost-tid. Västerviks revidering av styrdokument pågår, i dessa frågor har tid för remissutlåtande skett. 4.2.4.2 Vimmerby kommun Figur 17: Bilden visar procentuell fördelning av tid för Vimmerby kommun Av den tid som informationssäkerhetssamordnaren lagt på Vimmerby kommun, så utgör de gemensamma insatserna 88 procent och de enskilda insatserna 12 procent. De gemensamma insatserna redogörs för i tidigare kapitel. Enskilda insatser är information om patientdatalag, träff med IT-chefen angående informationssäkerhet. I detta ingår även telefon och epost-tid. Kommunen har processat fram styrande dokument för informationssäkerhet, i dessa frågor har tid avsats genom ytterligare besök hos IT-chef och ledningsgruppen. Sidan 23 av 49

4.2.4.3 Hultsfreds kommun Projekt: Informationssäkerhet Författare: Stephen Dorch Sida: Sidan 24 av 49 Figur 18: Bilden visar procentuell fördelning av tid för Hultsfreds kommun Av den tid som informationssäkerhetssamordnaren lagt på Hultsfreds kommun, så utgör de gemensamma insatserna 82 procent och de enskilda insatserna 18 procent. De gemensamma insatserna redogörs för i tidigare kapitel. Enskilda insatser är information om patientdatalag, träff med ledningsgrupp angående informationssäkerhet och styrande dokument. I detta ingår även telefon och epost-tid. Kommunen har processat fram styrande dokument för informationssäkerhet, i dessa frågor har tid avsats genom ytterligare besök hos IT-chef och ledningsgruppen. 4.2.4.4 Oskarshamns kommun Figur 19: Bilden visar procentuell fördelning av tid för Oskarshamns kommun Av den tid som informationssäkerhetssamordnaren lagt på Oskarshamns kommun, så utgör de gemensamma insatserna 92 procent och de enskilda insatserna 8 procent. De gemensamma insatserna redogörs för i tidigare kapitel. Enskilda insatser är information om patientdatalag, träff med IT-chefen angående informationssäkerhet. I detta ingår även telefon och epost-tid. Sidan 24 av 49

Författare: Stephen Dorch Sida: Sidan 25 av 49 4.2.4.5 Högsby kommun Figur 20: Bilden visar procentuell fördelning av tid för Högsby kommun Av den tid som informationssäkerhetssamordnaren lagt på Högsby kommun, så utgör de gemensamma insatserna 86 procent och de enskilda insatserna 14 procent. De gemensamma insatserna redogörs för i tidigare kapitel. Enskilda insatser är information om patientdatalag, träff med ledningsgrupp angående informationssäkerhet och styrande dokument. I detta ingår även telefon och epost-tid. Kommunen har processat fram styrande dokument för informationssäkerhet, i dessa frågor har tid avsats genom ytterligare besök hos IT-chef och ledningsgruppen. 4.2.4.6 Mönsterås kommun Figur 21: Bilden visar procentuell fördelning av tid för Mönsterås kommun Av den tid som informationssäkerhetssamordnaren lagt på Mönsterås kommun, så utgör de gemensamma insatserna 89 procent och de enskilda insatserna 11 procent. De gemensamma insatserna redogörs för i tidigare kapitel. Enskilda insatser är information om patientdatalag, träff med IT-råd angående informationssäkerhet och styrande dokument. I detta ingår även telefon och epost-tid. Sidan 25 av 49

Författare: Stephen Dorch Sida: Sidan 26 av 49 4.2.4.7 Kalmar kommun Figur 22: Bilden visar procentuell fördelning av tid för Kalmar kommun Av den tid som informationssäkerhetssamordnaren lagt på Kalmar kommun, så utgör de gemensamma insatserna 88 procent och de enskilda insatserna 12 procent. De gemensamma insatserna redogörs för i tidigare kapitel. Enskilda insatser är information om patientdatalag, träff med IT-chefen angående informationssäkerhet och styrande dokument. I detta ingår även telefon och epost-tid. 4.2.4.8 Nybro kommun Figur 23: Bilden visar procentuell fördelning av tid för Nybro kommun Av den tid som informationssäkerhetssamordnaren lagt på Nybro kommun, så utgör de gemensamma insatserna 69 procent och de enskilda insatserna 31 procent. De gemensamma insatserna redogörs för i tidigare kapitel. Enskilda insatser är information om patientdatalag, träff med ledningsgrupp angående informationssäkerhet och styrande dokument. I detta ingår även telefon och epost-tid. Nybro kommun är en av två kommuner där vi har genomfört systemsäkerhetsanalyser. Merparten av tiden är relaterad till detta. Erfarenheterna från dessa analyser ska resultera i en modell för systemsäkerhetsanalyser för samtliga kommuner och landstinget, därav att en liten del av insatsen möjligtvis kan anses gemensam för samtliga. Sidan 26 av 49

4.2.4.9 Emmaboda kommun Projekt: Informationssäkerhet Författare: Stephen Dorch Sida: Sidan 27 av 49 Figur 24: Bilden visar procentuell fördelning av tid för Emmaboda kommun Av den tid som informationssäkerhetssamordnaren lagt på Emmaboda kommun, så utgör de gemensamma insatserna 59 procent och de enskilda insatserna 41 procent. De gemensamma insatserna redogörs för i tidigare kapitel. Enskilda insatser är information om patientdatalag, träff med ledningsgrupp angående informationssäkerhet och styrande dokument. I detta ingår även telefon och epost-tid. Emmaboda kommun är en av två kommuner där vi har genomfört systemsäkerhetsanalyser. Merparten av tiden är relaterad till detta. Emmaboda var tidigt ute med analysarbetet, men arbetet låg nere under en längre period, och därefter fick en del insatser göras om. Därav den mycket stora andelen riktad insats. Erfarenheterna från dessa analyser ska resultera i en modell för systemsäkerhetsanalyser för samtliga kommuner och landstinget, därav att en liten del av insatsen möjligtvis kan anses gemensam för samtliga. 4.2.4.10 Torsås kommun Figur 25: Bilden visar procentuell fördelning av tid för Torsås kommun Av den tid som informationssäkerhetssamordnaren lagt på Torsås kommun, så utgör de gemensamma insatserna 87 procent och de enskilda insatserna 13 procent. De gemensamma insatserna redogörs för i tidigare kapitel. Enskilda insatser är information om patientdatalag, träff med ledningsgrupp angående informationssäkerhet och styrande dokument. I detta ingår även telefon och epost-tid. Kommunen har processat fram styrande dokument för informationssäkerhet, i dessa frågor har tid avsats genom ytterligare besök hos IT-chef och ledningsgruppen. Sidan 27 av 49

4.2.4.11 Borgholm kommun Projekt: Informationssäkerhet Författare: Stephen Dorch Sida: Sidan 28 av 49 Figur 26: Bilden visar procentuell fördelning av tid för Borgholms kommun Av den tid som informationssäkerhetssamordnaren lagt på Borgholms kommun, så utgör de gemensamma insatserna 81 procent och de enskilda insatserna 9 procent. De gemensamma insatserna redogörs för i tidigare kapitel. Enskilda insatser är information om patientdatalag, träff med IT-chefen angående informationssäkerhet och styrande dokument. I detta ingår även telefon och epost-tid. 4.2.4.12 Mörbylånga kommun Figur 27: Bilden visar procentuell fördelning av tid för Mörbylånga kommun Av den tid som informationssäkerhetssamordnaren lagt på Mörbylånga kommun, så utgör de gemensamma insatserna 70 procent och de enskilda insatserna 30 procent. De gemensamma insatserna redogörs för i tidigare kapitel. Enskilda insatser är information om patientdatalag, träff med IT-chefen och kommunchefen angående informationssäkerhet och styrande dokument. I detta ingår även telefon och eposttid. Kommun har processat fram styrande dokument för informationssäkerhet, i dessa frågor har tid avsats genom ytterligare besök hos IT-chef och ledningsgruppen. Sidan 28 av 49

Författare: Stephen Dorch Sida: Sidan 29 av 49 4.2.5 Landstinget Figur 28: Bilden visar procentuell fördelning av tid för Landstinget i Kalmar Län Av den tid som informationssäkerhetssamordnaren lagt på Landstinget, så utgör de gemensamma insatserna 26 procent och de enskilda insatserna 74 procent. De gemensamma insatserna redogörs för i tidigare kapitel. Landstinget har 74 procent enskild riktade insatser, och utgör därmed den enskilda part som får mest tid räknat i antal timmar. Dessa insatser har varierat över tiden, en del av de uppdrag som genomfördes under 2008 följde med samordnaren, när denna avslutade anställningen på landstinget och började på regionförbundet. Insatserna består av: - RSA gruppens scenario om IT-haveri 2008 - Upprättande av systemlistor för prioriterade system 2008 - Uppföljning penetrationstest med IT-staben 2008 - Möten med IT-staben år 2008-2009 - Deltagande på IT-råden 2008-2009 - Avstämningsmöten med förvaltningschef IT 2008-2009 - Samverkan med landstinget personuppgiftsombud/säkerhetssamordnare samt beredskapssamordnare - Medverkande i landstingets informationssäkerhetsgrupp - Delaktig i upprättande av styrande dokument - Möten med revision - Uppföljning av revisionsrapport - Risk- och sårbarhetsanalys av nätverket - Samråd med nya förvaltningschefen angående serverhall, federation mm - Delaktig i landstingens NIS-grupp Sidan 29 av 49

Författare: Stephen Dorch Sida: Sidan 30 av 49 4.2.6 Regionförbundet Figur 29: Bilden visar procentuell fördelning av tid för Regionförbundet i Kalmar län Av den tid som informationssäkerhetssamordnaren lagt på regionförbundet, så utgör de gemensamma för insatserna 7 procent och de enskilda insatserna 93 procent. De gemensamma insatserna redogörs för i tidigare kapitel. Regionförbundet kan inte anses dra egen nytta på samma sätt som medlemmarna av genomförda gemensamma insatser. De enskilda delarna består av deltagande i regionförbundets IT-grupp samt stödjande och rådgivande i arbetet med styrande dokument. Informationssäkerhetssamordnaren är organisatoriskt placerad i gruppen Hållbarhet och Kommunikation. Områdesmöten för gruppen genomförs månatligen. 5. Särskilda uppdrag Nedan beskrivs kortfattat tre tongivande projekt, som informationssäkerhetssamordnaren deltagit i under 2008-2011, och som har haft särskild betydelse för arbetet med utvecklingen av informationssäkerheten i länet. Sidan 30 av 49

5.1 Barnhälsodatapiloten sammanfattningen Projekt: Informationssäkerhet Författare: Stephen Dorch Sida: Sidan 31 av 49 Kalmarpiloten, som är en del av det nationella Barnhälsodataprojektet visar hur verksamhetsutveckling med IT som verktyg kan konkretiseras. Barnhälsodatapiloten i Kalmar består av fem delprojekt, dessa växlar i varandra och har ett inbördes beroende. Projektet består kortfattat av arkitektur, infrastruktur, förvaltning, arkivering samt juridik. Nedan ges en översiktlig bild av projektet, ladda gärna hem Kalmars barnhälsodatapilots slutrapport på denna länk, eller rekvirera en tryckt version. http://www.rfkl.se/sv/rapporter--trycksaker/rapporter--trycksaker-it/ Figur 30: Visuell beskrivning av delprojekten i Barnhälsodatapiloten Processbeskrivning - Delprojekt 1 Delprojekt 1 har tagit fram processbeskrivningar och användningsfall för verksamheter inom vård och omsorgen i Kalmar län. Det finns ett behov av att information som skapas inom dessa verksamheter tillgängliggörs för andra huvudmän, och att detta kan göras utan stora kostnader för systemintegration. Ett sätt att göra det är att använda någon form av översikt, dit respektive verksamhets system levererar information som ska göras tillgänglig för andra. Delprojektet ger en inblick i de krav och förutsättningar som gäller för att utbyta känslig information. Regional plattform Delprojekt 2 Delprojekt 2 beskriver en federativ modell baserad på etablerad saml2-standard. Lösningen, som är leverantörsoberoende, utgör en plattform där de parter som genom avtal ansluter sig till federationen på ett kontrollerat sätt kan dela resurser, system och informationsmängder. Systemet öppnar upp för samverkan med andra organisationer och utgör en väsentlig byggsten i arkitekturen för en framtida e-förvaltning. Plattformen möjliggör såväl en decentraliserad som en centraliserad modell. Enkelt uttryckt kan sägas att plattformen bygger på Internets principer, där värddatorns placering oftast är okänd och där åtkomst kan ske från den plats där du befinner dig. Sidan 31 av 49

Författare: Stephen Dorch Sida: Sidan 32 av 49 Som autentiseringsmodell har vi valt SITHS-konceptet, som etablerats i federationen. I projektet har vi provat inloggning och åtkomst till Apotekets edos, skolhälsovårdssystemet hos en kommun, samt landstingets portal för externa tjänster. Den senare kommer att användas för t.ex. samverkande vårdplanering, Cosmic Link. Rapporten redovisar vilka kostnader som uppstår för en medelstor kommun för att ingå i federationen och klargör även kostnader som uppstår när man lyfter medborgarperspektivet. Koppling till den nationella IT-strategin, E-delegationen, möjlighet med ny teknik och en särskild strategi för informationssäkerhet finns beskriven i rapporten. Regional modell för systemförvaltning Delprojekt 3 För att system som delas av flera huvudmän ska fungera optimalt krävs en regional förvaltningsorganisation. Delprojekt 3 redogör för hur en sådan modell kan se ut med beaktande av de olika roller som finns i ett system. Projektet tydliggör vikten av fastlagda avtal, vilka reglerar förutsättningar för drift och förvaltning samt de ekonomiska fördelningsprinciperna. Avtalen är nödvändiga i strikt juridisk mening, där såväl huvudmannaskap och personuppgiftshantering klargörs. Digital arkivering Delprojekt 4 En mediankommun har idag runt 250 IT-system. Vart och ett av dessa hanterar informationsmängder som efter gallring ska arkiveras och säkras över tid. Det ska vidare göras på ett sådant sätt, att sekretessen säkerställs över hela den period som lagen föreskriver. Här följer några målbilder med digital arkivering: Ersätta det allmänna arkivschemat för förteckning av arkiv med ett processbaserat förteckningssystem som identifierar verksamhetens kärnprocesser Bevara IT-systemets unika datamängder Registerdata och avställda databaser måste bevaras så att det går att särskilja och identifiera kolumner/fält och förstå vilken typ av information dessa innehåller Dokument i systemberoende format (Word, Excel etc.) bevaras som rasterbilder Arkivfiler måste kunna tillgängliggöras för allmänheten på kort varsel via en arkivdatabas Utredningsuppdraget redogör för omständigheter, med slutsatser kring möjliga aktiviteter att arbeta vidare med. Juridik Delprojekt 5 Barnhälsodataprojektet genomsyras av samverkan, men vad är egentligen tillåtet inom ramarna för interkommunal samverkan? Delprojekt 5 har skaffat kunskap i området, som granskar olika former av samverkan. Vi har tittat på allmänna utgångspunkter, interkommunala avtal och samverkansavtal, äganderätt, enkla bolag och interkommunala bolag. Vi har belyst den problematik som föreligger i köp från egna bolag och förhållandet till lagen. Förutsättningarna för gemensam nämnd och kommunalförbund är utredda. En av slutsatserna är att en resultatenhet inom regionförbundet kan agera huvudman för samverkan, vilket vi också gör för Skolhälsovården, enligt beslut på RF au. Sidan 32 av 49

5.2 SITHS för all verksamhet Projekt: Informationssäkerhet Författare: Stephen Dorch Sida: Sidan 33 av 49 SITHS står för Säker IT i Hälso- och Sjukvården. SITHS är ett koncept som möjliggör säker inloggning till IT-systemen genom ett antal certifikat som lagras på ett så kallat smart kort. SITHS är från början utvecklat för att fungera inom vård och omsorgssektorn, men teknisk sett är det inget som hindrar att kortet används även för helt andra tillämpningar som en kommun har behov av. Patientdatalagen som infördes vid halvårsskiftet 2008, ställer krav på att åtkomst till patientinformation måste ske med stark autentisering. När datainspektionen ålade Apoteket att tillämpa stark autentisering för deras tjänst edos, så innebar det ett genombrott för SITHSkortet på bred front både inom kommun och landsting. Med SITHS-kortet ökar vi säkerheten mångfalt, samtidigt som det ger positiva effekter genom att det kan ersätta ett antal lösenord. I Kalmar län kommer vi att använda SITHS för kommunernas åtkomst till Cosmic Link på landstinget, skolhälsovårdssystemet på Emmaboda kommun samt för edos på Apoteket. Ytterligare system kommer att läggas in på kortet. SITHS-kortet möjliggör bland annat: Både visuell och elektronisk identifikation. Privat e-legitimering för inloggning till företag och myndigheter. Single-Sign-On en inloggning till flera olika IT-system. Elektronisk signering av journalhandlingar, recept, avtal, fakturor, etc. Säker överföring av medicinsk information inom och utanför organisationsgränser. Säker e-post (identifikation av avsändare och skydd av dokument). Säker e-handel. Inpasseringskontroll. För att hantera samordningen av införandet av SITHS i Kalmar län, har en extra resurs rekryterats till Regionförbundet på halvtid. SITHS-samordnaren uppdrag ligger i linje med den strategi som utgör informationssäkerhetssamordnaren tjänst. Tre av länets kommuner fick möjlighet att pröva SITHS-konceptet inom ramarna för Barnhälsodatapiloten, vilket har underlättat beslut om införandet i samtliga kommuner. I skrivande stund har cirka 900 kort utfärdats fördelat på länets kommuner. Införandet pågår även i bred front på landstinget i Kalmar. I Kalmar län är varje enskilt part egen kortutfärdade. Det är ett strategiskt vägval, som på sikt kommer att öka flexibiliteten för användningen av kortet Läs mer om SITHS på www.inera.se. Sidan 33 av 49

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss