Yttrande över Landstingsrevisorernas projektrapport 5/2012: Tillämpningen av informationssäkerheten inom vården

Relevanta dokument
PROJEKTRAPPORT NR 5/2012. Tillämpningen av informationssäkerheten inom vården

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Lokal informationssäkerhetspolicy för hälso- och sjukvårdsförvaltningen

I Central förvaltning Administrativ enhet

Informationssäkerhetspolicy för Ystads kommun F 17:01

Informationssäkerhetspolicy för Ånge kommun

PROJEKTRAPPORT NR 14/2014. Ledningssystem för informationssäkerhet, förutsättningar för en god intern kontroll?

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Granskning av landstingets hantering av personuppgifter

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Lokala regler och anvisningar för intern kontroll

Informationssäkerhetspolicy KS/2018:260

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Informationssäkerhetspolicy

Fördelning av ansvar för informationssäkerhet. Version: 1. Beslutsinstans: Regiondirektören

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Stockholms läns landsting 1 (6)

Informationssäkerhetspolicy. Linköpings kommun

Granskning av behörigheter till journalsystemet

Informationssäkerhetspolicy

Beredskap för att möta katastrofer, attentat och sabotage i kollektivtrafiken

Informationssäkerhetspolicy för Katrineholms kommun

Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen

Policy för informations- säkerhet och personuppgiftshantering

Informationssäkerhetspolicy

Granskning år 2015 av patientnämnden

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Landstingsrevisorernas Delrapporterings - PM 2016, Landstingshuset i Stockholm AB

Koncernkontoret Enheten för säkerhet och intern miljöledning

Yttrande över landstingsrevisorernas rapport 9/2015 Ledningssystem för informationssäkerhetsarbetet med genomförande

Yttrande över landstingsrevisorernas projektrapport nr 9/2015, Ledningssystem för informationssäkerhet - arbetet med genomförande

Reglemente för intern kontroll

Vad gör Landstingsrevisorerna?

Policy för informationssäkerhet

Regler och instruktioner för verksamheten

Riktlinjer för Informationssäkerhet Falkenbergs Kommun Kommunledningskontoret

Yttrande över remiss från Sveriges kommuner och landsting om Förslag angående former och inriktning av nationellt samarbete inom ehälsa

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola Sammanfattning

Svar på revisionsskrivelse informationssäkerhet

POLICY INFORMATIONSSÄKERHET

Intern styrning och kontroll

Kommunstyrelsens förslag till antagande av reviderad informationssäkerhetspolicy Ärende 11 KS 2017/336

myndigheter En andra granskning av informationssäkerhet i staten RiR 2016:8 Informationssäkerhetsarbete

Yttrande över Landstingsrevisorernas rapport 8/2013 Prehospital vård vårdkedjans första insats

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Svar på Socialstyrelsens enkät om landstingens/regionernas ledningssystem avseende systematiskt patientsäkerhetsarbete

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Verksamhetsplan Informationssäkerhet

1(6) Informationssäkerhetspolicy. Styrdokument

Policy för internkontroll för Stockholms läns landsting och bolag

REGLEMENTE FÖR INTERN KONTROLL I YSTADS KOMMUN

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Informationssäkerhetspolicy

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad:

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Landstingets styrning och kontroll av ITavbrottsplaner

Intern kontroll och riskbedömningar. Strömsunds kommun

E-fakturaprojektet inom SLL 2005

PM 2015:127 RVI (Dnr /2015)

Svar på revisionsrapport Granskning av avvikelsehantering Region Kronoberg

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

Landstingshuset i Stockholm AB ÅRSRAPPORT 2013

REGLEMENTE INTERN KONTROLL HAGFORS KOMMUN

Landstingsstyrelsens förslag till beslut. Ändring i bilaga till reglemente för landstingsrevisorerna i Stockholms läns landsting

Yttrande över landstingsrevisorernas delrapport 2018 för landstingsstyrelsen

Informationssäkerhetspolicy

Riktlinje för intern styrning och kontroll avseende Norrköping Rådhus AB:s bolagskoncern

Hofors kommun. Intern kontroll. Revisionsrapport. KPMG AB Mars 2011 Antal sidor: 10

Enheten för Administration och kommunikation TJÄNSTEUTLÅTANDE Diarienummer: KN 2017/424

Granskning år 2012 av patientnämnden

Intern kontroll, reglemente och tillämpningsanvisningar,

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Ledningssystem för Informationssäkerhet

REGLER FÖR INTERN KONTROLL

Informationssäkerhetspolicy S/~LA KOMMUN KOMMUNFULLMÄKTIGE. Bi l aga KS 2015 / 135/1 INFORMATIONSSÄKERHETSPOLICY FÖR SALA KOMMUN

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Region Gävleborg. November Uppföljning av granskning kring hanteringen informationssäkerheten/it hanteringen 2014

Göran Engblom IT-chef

Intern kontroll i kommunen och dess företag. Sollefteå kommun

Informationssäkerhetspolicy för Umeå universitet

Reglemente för intern kontroll för Älmhults kommun Antaget av kommunfullmäktige , 119.

BESLUT. Ärendet Egeninitierad verksamhetstillsyn av vårdgivarens informationssäkerhet

Uppföljning av granskning 2014 Intern kontroll. Smedjebackens kommun

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Granskning år 2014 av patientnämnden

Välkommen till enkäten!

Vad gör Landstingsrevisorerna?

Reglemente för internkontroll

Följsamhet till regler och rutiner för attestering

Revisionsrapport Granskning av intern kontroll Joanna Hägg Tilda Lindell Tierps kommun September 2014 pwc

Granskning av Intern kontroll

PROJEKTRAPPORT NR 02/2014. IT-säkerhet i nätverksansluten medicinteknisk. utrustning

Bilaga till rektorsbeslut RÖ28, (5)

Hantering av IT-risker

Transkript:

Hälso- och sjukvårdsförvaltningen Handläggare: Torbjörn Näslund TJÄNSTEUTLÅTANDE 2013-01-10 Hälso- och sjukvårdsnämnden 2013-02-12, P 24 1 (3) HSN 1212-1541 Yttrande över Landstingsrevisorernas projektrapport 5/2012: Tillämpningen av informationssäkerheten inom vården Ärendebeskrivning Landstingsrevisorerna har översänt rapporten Projektrapport 5/2012: Tillämpningen av informationssäkerheten inom vården till Hälso- och sjukvårdsnämnden för yttrande. Beslutsunderlag Förvaltningens tjänsteutlåtande, 2013-01-10 Landstingsrevisorernas projektrapport 5/2012: Tillämpningen av informationssäkerheten inom vården Ärendets beredning Ärendet har beretts i Programberedningen för ehälsa och öppna jämförelser. Förslag till beslut Hälso- och sjukvårdsnämnden beslutar att att till Landstingsrevisorerna överlämna förvaltningens förslag till yttrande omedelbart justera beslutet. Förvaltningens motivering till förslaget Landstingsrevisorernas rapport ger en i bild av situationen för informationssäkerhet vid Hälso- och sjukvårdsnämnden (HSN). Hälso- och sjukvårdsförvaltningen avser att aktivt arbeta vidare med Landstingsrevisorernas rekommendationer.

2 (3) TJÄNSTEUTLÅTANDE HSN 1212-1541 Yttrande Landstingsrevisorerna har granskat om det sker en systematisk styrning, uppföljning och kontroll av informationssäkerhetsarbetet inom vården, och avrapporterat detta i Projektrapport 5/2012: Tillämpningen av informationssäkerheten inom vården. En av de granskade verksamheterna är Hälso- och sjukvårdsnämnden med dess hälso- och sjukvårdsförvaltning. Revisorernas rapport Revisorerna finner brister hos HSN i samtliga granskade områden: Systematiskt arbete med informationssäkerhet. Implementering av lokala anvisningar och instruktioner. Risk-/sårbarhetsanalyser och handlingsplaner. Informationsägares ansvar. Personalens kunskap om informationssäkerhet. För samtliga områden handlar bristerna framförallt om att det vid revisionstillfället och under 2012 inte bedrivits något systematiskt arbete kring informationssäkerhet. Förvaltningens bedömning Förvaltningen anser att revisorernas rapport ger en bild av informationssäkerhetsarbetet vid revisionstillfället 2012. Bristerna beror till största delen på att rollen som informationssäkerhetssamordnare har varit vakant under 2012. En större utbildningsinsats inom informationssäkerhet genomfördes för förvaltningens personal under 2009-2010 Revisorernas rekommendationer Landstingsrevisorerna ger två rekommendationer: HSN rekommenderas att se till att det systematiska informationssäkerhetsarbetet i enlighet med fullmäktiges policy och riktlinjer påskyndas. HSN och styrelserna för Karolinska Universitetssjukhuset, SLSO och Södertälje sjukhus rekommenderas att kontinuerligt följa upp att samtliga anställda genomgått utbildning gällande informationssäkerhet. Förvaltningens åtgärder med anledning av rekommendationerna En informationssäkerhetssamordnare har rekryterats och tillträdde sin befattning 2012-11-05. Informationssäkerhetssamordnaren är även personuppgiftsombud för HSN sedan 2012-12-20.

3 (3) TJÄNSTEUTLÅTANDE HSN 1212-1541 Utöver detta har dessutom en IT-säkerhetsarkitekt tillträtt sitt arbete på Hälso- och sjukvårdsförvaltningen, också under november 2012. Informationssäkerhetsarbetet kommer under 2013 att adressera samliga områden som revisorerna tagit upp i sin rapport. En plan för förvaltningens informationssäkerhetsarbete 2013-2014 tas fram under första kvartalet 2013. Systematiskt informationssäkerhetsarbete i enlighet med fullmäktiges policy och riktlinjer kommer att införas. Detta innebär att landstingsrevisorernas första punkt redan har adresserats, och kommer att åtgärdas till fullo under 2013. Ett utbildningspaket kring informationssäkerhet kommer att tas fram på landstingsnivå under 2013, när landstingets nya utbildningsplattform, Lärtorget, är införd. Lärtorget ger den efterfrågade möjligheten att följa upp att alla anställda har genomfört en utbildning, eftersom Lärtorget ger möjlighet att se exakt vilka medarbetare som fullgjort utbildningen eller inte. Detta innebär att landstingsrevisorernas andra punkt kommer att åtgärdas gemensamt för hela landstinget så snart som den gemensamma utbildningen finns på plats. Detta beräknas ske under 2013. Detta överensstämmer också med Landstingsrevisorernas rekommendation, som är gemensam för samtliga fyra granskade verksamheter. Implementering av revisorernas rekommendationer har redan påbörjats. En genomförandeplan för 2013-2014 tas fram under första kvartalet 2013. Catarina Andersson Forsman Hälso- och sjukvårdsdirektör Patrik Hansson Avdelningschef

Jill Landstingsrevisorerna S/VI STOCKHOLMS LÄNS LANDSTING Revisorsgrupp II 2012-12-04 Diarienummer: RK 201206-0053 Hälso- och sjukvårdsnämnden I Ank Styrelserna för Karolinska Universitetssjukhuset Dnr Stockholms läns sjukvårdsområde Södertälje sjukhus AB STOCKHOLMS LANG u.^.ot HÄLSO- OCH SJUKVÅRDSNÄMND 2012-12- 2 1 Projektrapport 5/2012 Tillämpningen av informationssäkerheten inom vården - Karolinska Universitetssjukhuset, Stockholms läns sjukvårdsområde, Södertälje sjukhus AB och hälso- och sjukvårdsnämnden Revisorerna i revisorsgrupp II beslutade på möte 2012-12-04 överlämna rapporten till hälso- och sjukvårdsnämnden samt styrelserna för Karolinska Universitetssjukhuset, Stockholms läns sjukvårdsområde och Södertälje sjukhus AB för yttrande senast 2013-02- 28. Revisionen har genornfört en granskning av om det sker en systematisk styrning, uppföljning och kontroll av informationssäkerhetsarbetet inom vården. Granskade enheter är Karolinska universitetssjukhuset (Karolinska), Stockholms läns sjukvårdsområde (SLSO), hälso- och sjukvårdsnämnden (HSN) samt Södertälje sjukhus AB (Södertälje). Revisionen bedömer att den informationssäkerhetspolicy med tillhörande riktlinjer, som fullmäktige antog i december 2011, innebär att förutsättningarna för en effektiv styrning av informationssäkerhetsarbetet i landstinget har ökat. Implementeringen har dock kommit olika långt pä de granskade enheterna. Revisionen rekommenderar att o o HSN ser till att det systematiska informationssäkerhetsarbetet i enlighet med fullmäktiges policy och riktlinjer påskyndas, HSN och styrelserna för Karolinska Universitetssjukhuset, SLSO och Södertälje sjukhus kontinuerligt följer upp att samtliga anställda genomgått utbildning gällande informations-säkerhet. I övrigt hänvisar revisorerna till revisionskontorets rapport. Paragrafen justeras omedelbart. röran Hammarsjö ordförande Ralf Jonsson sekreterare Landstingsrevisorerna Box 22230 104 22 Stockholm Besök oss: Hantverkargatan 25 B. T-bana Rådhuset Telefon: 08-737 25 00 Fax: 08-737 53 50 E-post: landstingsrevisorerna@rev.sll.se Säte: Stockholm Org.nr: 23 21 00 www.sll.se/rev 0016

c

PROJEKTRAPPORT NR 5/2012 ; j Tillämpningen av informationssäkerheten inom vården Jill Landstingsrevisorerna S^^S STOCKHOLMS LÄNS LANDSTING

Vad gör Landstingsrevisorerna? Landstingsrevisorerna granskar den verksamhet som bedrivs av landstingets nämnder och bolagsstyrelser. Revisionsuppdraget är det största inom kommunal verksamhet. Landstingsrevisorerna omfattar både de förtroendevalda revisorerna och revisionskontoret. Att vara revisor är ett förtroendeuppdrag vars syfte är att med oberoende, saklighet och integritet främja, granska och bedöma verksamheten. Den övergripande uppgiften för revisorerna är att granska hur nämnder och styrelser tar sitt revisionsansvar. De förtroendevalda revisorerna är fullmäktiges och ytterst medborgarnas instrument för den demokratiska kontrollen. De har därmed en viktig funktion i den lokala självstyrelsen. Ledamöter i nämnder och styrelser har ett revisionsansvar som innebär att de inför fullmäktige ansvarar för hur de själva, anställda och uppdragstagare genomför verksamheten. I revisionsansvaret ingår att genomföra en ändamålsenlig verksamhet utifrån fullmäktiges mål, beslut och riktlinjer samt de föreskrifter som gäller för verksamheten, på ett ekonomiskt tillfredsställande sätt och med en tillräcklig intern kontroll samt att upprätta rättvisande räkenskaper. I årsrapporter för nämnder och bolag sammanfattar revisionskontoret den granskning som genomförts under det gångna året. Verksamhetsrevisionen redovisas löpande i projektrapporter. Publikationerna finns på Landstingsrevisorernas hemsida www.sll.se/rev. De kan också beställas från revisionskontoret. Det går även att prenumerera på Landstingsrevisorernas nyhetsbrev Nytt från landstingsrevisionen genom att anmäla intresse via e-postmeddelande till landstingsrevisorerna(a),rev.sll.se

Landstingsrevisorerna STOCKHOLMS LÄNS LANDSTING Revisorsgrupp I 2012-12-04 Diarienummer: RK 201206-0053 Landstingsstyrelsen Projektrapport 5/2012 Tillämpningen av informationssäkerheten inom vården - Karolinska Universitetssjukhuset, Stockholms läns sjukvårdsområde, Södertälje sjukhus AB och hälso- och sjukvårdsnämnden Revisorerna i revisorsgrupp I beslutade på möte 2012-12-04 överlämna rapporten till landstingsstyrelsen för kännedom och med möjlighet till yttrande senast 2013-02-28. Revisionen har genomfört en granskning av om det sker en systematisk styrning, uppföljning och kontroll av informationssäkerhetsarbetet inom vården. Granskade enheter är Karolinska universitetssjukhuset (Karolinska), Stockholms läns sjukvårdsområde (SLSO), hälso- och sjukvårdsnämnden (HSN) samt Södertälje sjukhus AB (Södertälje). Revisionen bedömer att den informationssäkerhetspolicy med tillhörande riktlinjer, som fullmäktige antog i december 2011, innebär att förutsättningarna för en effektiv styrning av informationssäkerhetsarbetet i landstinget har ökat. Implementeringen har dock kommit olika långt på de granskade enheterna. Revisionen rekommenderar att o o HSN ser till att det systematiska informationssäkerhetsarbetet i enlighet med fullmäktiges policy och riktlinjer påskyndas. HSN och styrelserna för Karolinska Universitetssjukhuset, SLSO och Södertälje sjukhus kontinuerligt följer upp att samtliga anställda genomgått utbildning gällande informationssäkerhet. I övrigt hänvisar revisorerna till revisionskontorets rapport. Paragrafen justeras omedelbart. Peter Kockum ordförande Susanne Kängas sekreterare Landstingsrevisorerna Box 22230 Telefon: 08-737 25 00 Fax: 08-737 53 50 Säte: Stockholm Org.nr: 23 21 00-0016 104 22 Stockholm E-post: landstingsrevisorerna@rev.sll.se www.sll.se/rev Besök oss: Hantverkargatan 25 B. T-bana Rådhuset

Jill XSrSS Landstingsrevisorerna STOCKHOLMS LÄNS LANDSTING Revisorsgrupp II 2012-12-04 Diarienummer: RK 201206-0053 Hälso- och sjukvårdsnämnden Styrelserna för Karolinska Universitetssjukhuset Stockholms läns sjukvårdsområde Södertälje sjukhus AB Projektrapport 5/2012 Tillämpningen av informationssäkerheten inom vården - Karolinska Universitetssjukhuset, Stockholms läns sjukvårdsområde, Södertälje sjukhus AB och hälso- och sjukvårdsnämnden Revisorerna i revisorsgrupp II beslutade på möte 2012-12-04 överlämna rapporten till hälso- och sjukvårdsnämnden samt styrelserna för Karolinska Universitetssjukhuset, Stockholms läns sjukvårdsområde och Södertälje sjukhus AB för yttrande senast 2013-02- 28. Revisionen har genomfört en granskning av om det sker en systematisk styrning, uppföljning och kontroll av informationssäkerhetsarbetet inom vården. Granskade enheter är Karolinska universitetssjukhuset (Karolinska), Stockholms läns sjukvårdsområde (SLSO), hälso- och sjukvårdsnämnden (HSN) samt Södertälje sjukhus AB (Södertälje). Revisionen bedömer att den informationssäkerhetspolicy med tillhörande riktlinjer, som fullmäktige antog i december 2011, innebär att förutsättningarna för en effektiv styrning av informationssäkerhetsarbetet i landstinget har ökat. Implementeringen har dock kommit olika långt på de granskade enheterna. Revisionen rekommenderar att o o HSN ser till att det systematiska informationssäkerhetsarbetet i enlighet med fullmäktiges policy och riktlinjer påskyndas, HSN och styrelserna för Karolinska Universitetssjukhuset, SLSO och Södertälje sjukhus kontinuerligt följer upp att samtliga anställda genomgått utbildning gällande informations-säkerhet. I övrigt hänvisar revisorerna till revisionskontorets rapport. Paragrafen justeras omedelbart. iföran Hammarsjö ordförande Ralf Jonsson sekreterare Landstingsrevisorerna Box 22230 104 22 Stockholm Besök oss: Hantverkargatan 25 B. T-bana Rådhuset Telefon: 08-737 25 00 Fax: 08-737 53 50 E-post: landstingsrevisorerna@rev.sll.se Säte: Stockholm Org.nr: 23 21 00-0016 www.sll.se/rev

c c

RK 201206-0053 Revisionskontoret 2012-11-12 INNEHÅLL 1. SAMMANFATTANDE SLUTSATSER 1 2. UTGÅNGSPUNKTER FÖR GRANSKNINGEN 3 2.1 Motiv till granskningen 3 2.2 Revisionsfråga 3 2.3 Avgränsning 4 2.4 Bedömningsgrunder 4 2.5 Metod 4 3. INFORMATIONSSÄKERHETEN INOM VÅRDEN 4 3.1 Systematiskt arbete med informationssäkerhet 4 3.2 Implementering av lokala anvisningar och instruktioner 8 3.3 Risk-/sårbarhetsanalyser och handlingsplaner 10 3.4 Informationsägares ansvar 11 3.5 Vårdpersonalens kunskap om informationssäkerhet 12 Bilaga 1 Systemsammanställning

Revisionskontoret 2012-11-19 1. Sammanfattande slutsatser Revisionen har genomfört en granskning av om det sker en systematisk styrning, uppföljning och kontroll av informationssäkerhetsarbetet inom vården. Granskade enheter är Karolinska universitetssjukhuset (Karolinska), Stockholms läns sjukvårdsområde (SLSO), hälso- och sjukvårdsnämnden (HSN) samt Södertälje sjukhus AB (Södertälje). Det finns allvarliga risker förknippade med ett bristande informationssäkerhetsarbete. Detta gäller inte minst inom vården där känslig patientinformation hanteras och där riskerna kan vara både felaktig information eller att otillbörliga kommer åt känslig information. Stora ekonomiska informationsflöden innebär också risk för felaktiga utbetalningar om tillförlitligheten brister. Revisionen bedömer att den informationssäkerhetspolicy med tillhörande riktlinjer, som fullmäktige antog i december 2011, innebär att förutsättningarna för en effektivt styrning av informationssäkerhetsarbetet i landstinget har ökat. Arbetet med det systematiska informationssäkerhetsarbetet har dock kommit olika långt på de granskade enheterna. Längst bedöms Karolinska ha kommit, medan HSN har mest arbete framför sig för att nå systematik. Under pågående granskning har HSN tillsatt resurser för att prioritera arbetet. För Södertälje och SLSO har granskningen visat på förbättringsbehov och förbättringsaktiviteter pågår också redan. Det är viktigt att styrelser och nämnder följer upp att förbättringsarbetet bedrivs som planerat. Lokalt anpassade anvisningar Revisionen konstaterar att de granskade nämnderna/styrelserna har kommit olika långt i arbetet med att utarbeta lokala anvisningar för informationssäkerhet och andra styrande dokument. De lokala anvisningarna för Karolinska bedöms i huvudsak som tillfredställande. Implementering pågår och det finns ett aktivt arbete med ständiga förbättringar. När det gäller SLSO och Södertälje planeras lokala anvisningar att fastställas under 2012 och förbättringsarbetet pågår eller planeras. För HSN saknas lokalt anpassade anvisningar. (l; Systematiskt De granskade enheterna har hunnit olika långt sitt arbete med informationssäkerhet informationssäkerhetsarbete För att etablera ett systematiskt arbete med informationssäkerhet krävs en tydlig stödstruktur inom flertalet områden. Det gäller t.ex. styrande dokument, ledningsstöd, personalresurser, kartläggning av tillgångar, tydliga roller och ansvar samt en funktion för att följa upp efterlevnaden. Granskningen visar att Karolinska har kommit långt i sitt arbete. Däremot visar granskningen att det behöver vidtas åtgärder för att etablera en tillräcklig stödstruktur, vid SLSO, Södertälje och HSN. Vid SLSO och Södertälje sjukhus pågår arbete för att förbättra stödstrukturen, vilket är positivt. Ett grundläggande krav för att uppnå ett systematiskt arbete med informationssäkerhet är att utse informationsägare för väsentliga informationsmängder i verksamheten. Väsentliga informationsmängder kan med fördel identifieras vid genomförandet av riskanalyser. Revisionen bedömer att Karolinska har skapat förutsättningar i de lokala riktlinjerna för de Landstingsrevisorerna $töck,höims LANS LANO$fM*6

Revisionskontoret 2012-11-19 tillsatta informationsägama att leva upp till det ansvar som åligger rollen. Inom SLSO och Södertälje sjukhus är det i huvudsak verksamhetschefen som tillika har rollen som informationsägare. Inom HSN fmns en otydlighet gällande informationsägarrollen och den är inte fullt ut implementerad på alla system. Revisionen bedömer att Karolinska och SLSO arbetar löpande med riskanalyser och konstaterar att Södertälje genomfor riskanalyser, t.ex. vid systemanskaffningar, men där fmns det ett behov av att förbättra det löpande riskarbetet. I sjukhusets anvisningar fmns instruktioner för hur arbetet med riskanalyser ska gå till. HSN saknar ett strukturerat arbete med riskanalyser när det gäller informationssäkerhet. Genomförandet av grundläggande informationssäkerhetsutbildning är obligatorisk enligt landstingets riktlinjer från 2011. Revisionen konstaterar att de granskade verksamheterna använder den datorstödda informationssäkerhetsutbildningen DISA för att grundutbilda personalen. Södertälje har kommit längst gällande informationssäkerhetsutbildning och har genomfört DISA för majoriteten av de anställda. Även inom Karolinska är DISA en obligatorisk utbildning. Dock sker ingen uppföljning av om alla genomfört utbildningen. SLSO har i dagsläget inte genomfört DISA, eftersom en diskussion pågår på ledningsnivå för att anpassa DISA till SLSO:s verksamhet. I det kommande kompetenslyftet har även informationssäkerhet inkluderats. HSN saknar idag ett strukturerat angreppssätt gällande utbildning inom informationssäkerhetsområdet. Revisionen anser att det är viktigt att det sker kontinuerliga uppföljningar, för att säkerställa att det finns en grundläggande kunskap inom informationssäkerhet hos alla medarbetare. Rekommendationer HSN bör se till att det systematiska informationssäkerhetsarbetet i enlighet med fullmäktiges policy och riktlinjer påskyndas. HSN och styrelserna för Karolinska Universitetssjukhuset, SLSO och Södertälje sjukhus bör kontinuerligt följa upp att samtliga anställda genomgått utbildning gällande informationssäkerhet. 2

Revisionskontoret 2012-11-19 2. Utgångspunkter för granskningen 2.1 Motiv till granskningen Landstingets informationsflöde stödjer flera viktiga samhällskritiska funktioner inom sjukvård och kollektivtrafik. Information är en av landstingets mest strategiska resurser. Alla verksamheter är beroende av tillförlitlig information. Avbrott i tillgången till information och felaktig information kan leda till allvarliga konsekvenser inom vård och trafik. Allt mer komplexa system hanterar känsliga uppgifter om medborgares sociala och medicinska status. Detta gäller inte minst inom vården där känslig patientinformation hanteras och där riskerna kan vara felaktig vårdinformation eller att otillbörliga kommer åt känslig patientinformation. Det är även stora ekonomiska informationsflöden i vården där risk finns för felaktiga utbetalningar om inte tillförlitligheten i underliggande information är hög. En effektiv och säker användning av information är därför en förutsättning för landstingets verksamhet och för förtroendet för förmågan att leverera service till medborgarna. Det fmns lagstiftning som måste följas, exempelvis personuppgiftslagen, patientdatalagen samt olika regelverk kring elektronisk behandling av uppgifter. Dessa utmaningar kräver ett strukturerat och effektivt arbete med informationssäkerhet. Landstingsstyrelsen har det övergripande ansvaret för samordning och uppföljning av informationssäkerheten inom landstinget. Varje nämnd och styrelse är ansvarig för informationssäkerheten inom sin verksamhet. Efter genomförd förstudie beslutade revisorsgrupp I att genomföra en granskning gällande om verksamheterna inom vården arbetar med informationssäkerhetsfrågor på ett systematiskt sätt och i enlighet med landstingets riktlinjer. Revisionen genomförde en liknande granskning 2010, men då med fokus på landstingsstyrelsen. I denna granskning konstaterades ett antal olika brister, bl.a. inom arbetet med säkerhetsklassning av informationstillgångar, att samtliga väsentliga informationstillgångar har utsedda informationsägare och lokal anpassning av de centrala styrdokumenten. Förstudien visar att arbete pågår i rätt riktning när det gäller de rekommendationer som riktade sig till landstingsstyrelsen 2010. 2.2 Revisionsfråga Övergripande revisionsfråga: Sker en systematisk styrning, uppföljning och kontroll av informationssäkerhetsarbetet inom vården? Den övergripande revisionsfrågan har brutits ner i följande delfrågor: Hur säkerställs att arbetet med informationssäkerhet sker med systematik? Hur långt har implementeringen av informationssäkerhetspolicyn och riktlinjerna kommit? Genomförs risk-/sårbarhetsanalyser i tillräcklig omfattning och upprättas handlingsplaner utifrån genomförda analyser? 3

Revisionskontoret 2012-11-19 Hur säkerställs att vårdpersonalen har tillräcklig kunskap för att använda IT-systemen på ett säkert och effektivt sätt? Hur säkerställs att informationsägare tar sitt ansvar? 2.3 Avgränsning Följande enheter ingår i denna granskning: Karolinska Universitetssjukhuset (Karolinska) Stockholms läns sjukvårdsområde (SLSO), Hälso- och sjukvårdsnämnden (HSN), Södertälje sjukhus AB (Södertälje). Granskningen omfattar det systematiska informationssäkerhetsarbetet i de fyra till fem viktigaste systemen/informationsmängderna för respektive verksamhet för att ge en bild av hur långt det systematiska informationssäkerhetsarbetet har kommit. För mer information gällande system se "Bilaga 1 - systemsammanställning". 2.4 Bedömningsgrunder Kommunallagen (1991:900) kap 6 7: Nämnder/styrelser ska se till att verksamheten bedrivs i enlighet med de mål och riktlinjer som fullmäktige har bestämt samt de föreskrifter som gäller för verksamheten. De ska också se till att den interna kontrollen är tillräcklig. Informationssäkerhetspolicy för Stockholms läns landsting tagen av fullmäktige 2011 (LS 0910-0859). Riktlinjer för informationssäkerhet inom Stockholms läns landsting tagen av landstingsstyrelsen och landstingsfullmäktige 2011 (LS 0910-0859). ISO 27001 Standard för informationssäkerhet. 2.5 Metod Granskningen har genomförts via ett frågeformulär där ett urval av ansvariga besvarat frågor kopplade till hur enheten arbetar med informationssäkerhet utifrån de riktlinjer och policyer som gäller inom landstinget. Riktlinjer för informationssäkerhet har utgjort grunden till frågeformuläret. Baserat på resultatet från frågeformuläret har sedan intervjuer genomförts inom respektive enhet. Granskningen har genomförts av PwC på uppdrag av revisionskontoret. Max Eliasson, revisionskontoret, har varit projektledare. 3. Informationssäkerheten inom vården 3.1 Systematiskt arbete med informationssäkerhet Under december 2011 beslutade fullmäktige om dels ny informationssäkerhetspolicy, dels riktlinjer för informationssäkerhet. De bygger till stor del på ISO-standarden för informationssäkerhet. I förstudien har en genomgång och analys skett av dessa styrdokument. Det kan konstateras att de innebär att förutsättningarna för en effektiv styrning av informationssäkerhetsarbetet inom SLL har ökat. Inom SLL pågår ett gemensamt arbete med att implementera en ny systemförvaltningsmodell (PM3). Syftet är att varje system inom SLL ska ha en tydlighet gällande ansvar. 4

Revisionskontoret 2012-11-19 Karolinska Universitetssjukhuset Karolinska har upprättat en lokal informationssäkerhetspolicy samt lokala riktlinjer för informationssäkerhet. Lokal policy och riktlinjer följer landstingets överordnade policy och riktlinjer för informationssäkerhet. Informationsklassificering genomförs i enlighet med såväl centrala som lokala riktlinjer. I de lokala riktlinjerna framgår t.ex. vilket ansvar en informationsägare har, se vidare avsnitt 3.2. Karolinska har även upprättat en systemförteckning "Prioriterade system vid större IT-relaterade incidenter". Förteckningen beskriver system och informationsägare, hur kritisk informationen är för verksamheten samt klassificering av informationen. Arbetet med informationssäkerhet stöds bl.a. av Karolinskas ledningssystem. Där ingår, bl.a. ledningssystem för informationssäkerhet. I ledningssystemet finns även andra styrmetoder t.ex. verksamhetsplan, intern kontroll med sjukhusövergripande riskanalyser, organisation, beslut och ansvar och olika policydokument. Informationssäkerhet avseende infrastruktur och datordrift hanteras även av Stockholm läns landsting IT (SLL IT) i rollen som driftleverantör, vilket finns reglerat i Karolinskas huvudavtal med SLL IT. Vid Karolinska finns en informationssäkerhetssamordnare. Samordnaren koordinerar Karolinskas arbete med informationssäkerhet och har till sin hjälp lokala resurser på respektive verksamhets- och divisionsnivå. Utbildning genomförs av dessa resurser och totalt beräknas cirka 100 personer delta i utbildningen som koordineras av informationssäkerhetssamordnaren. Stockholms läns sjukvårdsområde Ansvariga inom SLSO anger att en viktig prioritering i förbättringsarbetet med informationssäkerhet under de senaste åren har varit att minska antalet system. Detta för att förbättra både styrningen och kontrollen avseende informationssäkerhet, så att ett mer säkert och effektivt system kan skapas. Genom att det blir färre system uppges att förbättringsarbetet kommer att underlättas. Ytterligare ett arbete som har prioriterats är framtagande av ett bättre loggningssystem och uppföljning av loggar i journalsystemet (Take Care). Det finns en utsedd informationssäkerhetssamordnare. De som intervjuats anger att rollen är tydlig inom ledningen, men att det fmns behov av att implementera rollen bättre ute i verksamheten. Enligt vad som framkommit i granskningen är informationssäkerhetsklassningen för närvarande ett eftersatt område, dock fmns det initierade aktiviteter i syfte att förbättra detta, t.ex. pågår ett arbete med att tydliggöra hur arbetet med riskanalyser ska bedrivas. Detta kommer att beskrivas i lokala anvisningar. Det finns ingen fullständig förteckning gällande vilka system som används i verksamheterna. Dock noterades att det har påbörjats ett arbete med att kartlägga och dokumentera samtliga system, som beräknas vara klart under 2013. 5

Revisionskontoret 2012-11-19 I samband med revisionens granskning har det framkommit behov av att förbättra uppföljningen avseende informationssäkerhet, exempelvis gällande efterlevnad av landstingets riktlinjer och anvisningar, t.ex. uppföljning av att det sker aktiviteter i verksamheten med att genomföra dokumenterade riskanalyser. Inom SLSO finns det till stor del utsedda systemägare och systemförvaltare. Det har dock vid intervjuerna framkommit att rollerna behöver förtydligas ytterligare. Det har utsetts ett personuppgiftsombud som tillika är jurist som genomför bl.a. olika aktiviteter för att stödja efterlevnaden av patientdatalagen, t.ex. utbildningar, samt svarar på frågor från anställda och allmänhet. Avseende hantering av personuppgifter anser ombudet att kontrollen är relativt god inom SLSO. Ombudet ser det som önskvärt att ytterligare informera vad som gäller avseende personuppgiftslagen, dock sker information redan idag i samband med utbildningar. Det finns olika typer av forum där IT- och verksamhetsfrågor kommuniceras inom SLSO, bland annat ett IT-råd vilket hanterar nuläge, problem, risker och framtidsfrågor. Revisionen har noterat att informationssäkerhetssamordnaren inte är representerad i IT-rådet. Hälso- och sjukvårdsnämnden Förvaltningen beskriver arbetet med informationssäkerhet som eftersatt. Två heltidsresurser har rekryterats under pågående revision för att arbeta med informationssäkerhet. Införande av systemförvaltningsmodellen PM3 pågår. Vissa delområden inom ramen för informationssäkerhetsarbetet kommer att inkluderas i förvaltaingsmodellen, t.ex. roller, ansvar och riskanalyser. De förvaltningsplaner som finns för systemen MEK 1 ' PU 2 och Kodserver 3 saknar delar av, för informationssäkerhetsarbetet, viktiga avsnitt t.ex. riskanalys. Systemet EK 4 saknar i dagsläget helt en förvaltningsplan. Det saknas ett personuppgiftsombud för hälso- och sjukvårdsförvaltningen. Eftersom HSN ansvarar för några av de landstingsgemensamma IT-systemen skapas ytterligare komplexitet. Här finns t.ex. finns ett stort antal beroenden till flertalet andra enheter inom landstinget. Granskningen visar att ett stort arbete kvarstår med att etablera ett systematiskt arbete gällande informationssäkerhet. 1 2 3 MEK - Hanterar kopplingen mellan HSA-id och Kombikakod inom landstinget PU - Hanterar landstingets behov av personuppgifter Kodserver - Tabellbibliotek för sammankoppling av informationsmängder inom landstinget 4 EK - avancerad version av, från början, en telefonkatalog som numera ska hantera behörigheter, kontaktkort för vårdguiden, information till nationella register samt logistik för läkemedelsförsörjningen Landstingsrevisorerna STÖ^WfcMS LÄNS LANÖSf)*<«3

Revisionskontoret 2012-11-19 För att få ett systematiskt arbete med informationssäkerhet måste flertalet förbättringsaktiviteter initieras. Det gäller bl.a. förtydligande av ansvar och roller samt lokal anpassning av landstingets riktlinjer. Södertälje sjukhus AB Enligt uppgifter är samtliga roller som definierats i de styrande dokument avseende informationssäkerhet bemannade. Informationsägarna har ansvaret för klassificeringen av informationen. Det har genomförts en del klassificeringar av information, t.ex. är samtliga styrdokument i sjukhusets dokumentcenter på intranätet informationssäkerhetsklassade. Det anges även att det skett riskanalyser på olika sätt kring de landstingsgemensamma systemen som berörs i granskningen. Enligt de intervjuade kan dock klassificeringen förbättras, t.ex. genom att klassificeringen omprövas i samband med den återkommande riskanalysen. Det finns en systemförteckning där det till viss del framgår vilken typ av information som hanteras i systemen samt vilka som är utsedda som systemägare respektive systemförvaltare. Det pågår en revidering av förteckningarna och det har enligt uppgift genomförts stora förbättringar gällande aktualiteten under hösten. Vid intervjuerna har det framkommit ett behov av att tydliggöra vilket ansvar som ligger i de olika rollerna (t.ex. systemägare, informationsägare). För tre verksamhetskritiska system, TakeCare, Heroma och Raindance, finns systemägandet och det huvudsakliga systemförvaltaransvaret centralt inom SLL. Lokala systemförvaltare vid sjukhuset medverkar i denna förvaltning. TakeCare förvaltas enligt systemförvaltningsmodellen PM3. Övriga system förvaltas lokalt enligt en lokalt antagen förvaltningshandbok. Informationssäkerhetssamordnaren är även personuppgiftsombud. Varje enhet inom sjukhuset ansvarar för att verksamheten kan upprätthållas även vid avbrott i informationsförsörjningen och kontinuitetsplanering. Exempel på planer vid avbrott har erhållits i samband med granskningen. Revisionens bedömning För att etablera ett systemiskt arbete med informationssäkerhet krävs en förbättrad stödstruktur inom flertalet områden, vilket också tas upp i landstingets policy och riktlinjer. Det gäller t.ex. styrande dokument, ledningsstöd, personalresurser, kartläggning av tillgångar, tydliga roller och ansvar samt en funktion för att följa upp efterlevnaden. Revisionens bedömer är att det fortfarande behöver vidtas åtgärder för att etablera en stödstruktur gällande informationssäkerhet, framförallt vid HSN, SLSO och Södertälje. Däremot visar granskningen att Karolinska har kommit långt i sitt arbete med stödstruktur för informationssäkerhet. Vid SLSO och Södertälje sjukhus pågår 7

Revisionskontoret 2012-11-19 arbete för att förbättra det systematiska informationssäkerhetsarbetet, vilket är positivt. Det direktiv som fmns från ledningen vid SLSO visar att det planeras betydande förbättringar med ett starkt stöd från ledningen. HSN bedöms inte ha ett systematiskt informationssäkerhetsarbete. Dock har resurser avsatts, under pågående granskning, för att påbörja ett förbättringsarbete avseende informationssäkerhet. Informationssäkerhetsområdet har identifierats av ledningen som ett område med betydande brister. Landstingets initiativ med att införa PM3 som förvaltningsmodell kommer sannolikt att stödja det fortsatta förbättringsarbetet eftersom modellen tydliggör ansvar och uppgifter på olika sätt. 3.2 Implementering av lokala anvisningar och instruktioner Varje nämnd och styrelse är, enligt fullmäktiges riktlinjer för informationssäkerhet, ytterst ansvarig för informationssäkerheten inom sin förvaltning respektive bolag. Den ska därför anta egna anvisningar för informationssäkerheten, i enlighet med informationssäkerhetspolicyn och dessa riktlinjer. Det åligger också varje nämnd och styrelse att avsätta medel för informationssäkerhetsarbetet, årligen planlägga och löpande följa upp informationssäkerheten och i övrigt vidta de åtgärder som krävs för att uppnå och upprätthålla tillräcklig intern kontroll. Karolinska Universitetssjukhuset Revisionen har tagit del av Karolinskas lokala riktlinjer avseende informationssäkerhetsarbetet och den lokala informationssäkerhetspolicyn. Till riktlinjerna finns bilagor (t.ex. ansvarsbeskrivningar, riskbedömning, kravställning, kontinuitetsplanering) vilka bryter ner det systematiska arbetet med informationssäkerhet per område. Policyn och riktlinjen fastställdes 3 juli 2012 av sjukhusdirektören 5 Arbetet följs upp och rapporteras till styrelsen som en del av intern kontroll arbetet. Stockholms läns sjukvårdsområde SLSO har tagit fram ett projektdirektiv gällande förbättringar avseende informationssäkerheten. Projektdirektivet omfattar effektmål, projektmål samt hur SLSO ska nå olika målsättningar avseende informationssäkerhet. Förbättringsarbetet leds av informationssäkerhetssamordnaren. I projektet ingår bl.a. utarbeta nya lokala anvisningar. Anvisningar ska enligt plan fastställas under 2012. Det pågår även ett arbete med att säkerställa att det finns tillräckliga resurser för att bedriva informationssäkerhetsarbetet. Internrevisionen kommer att 5 Enligt gällande föreskrifter, 2 kap. 1 SOSFS 2008:14 i kombination med 3 kap. 1, 4 kap. 2 och 6 kap. 1 SOSFS 2011:9, har styrelsen möjlighet att uppdra åt sjukhusdirektören att fastställa lokala riktlinjer och policyer 8

Revisionskontoret 2012-11-19 förstärkas med nya tjänster. Det har även initierats ett arbete med ett ledningssystem inom SLSO. Detta kommer enligt uppgifter även stödja styrning och kontroll avseende informationssäkerhet. Det noterades även att det finns en intern kontrollplan där det definieras vilken typ av tillsyn som ska genomföras med regelbundenhet inom SLSO, bl.a. gäller det granskning av informationssäkerhetsområdet. Hälso- och sjukvårdsnämnden Enheten har lokalt anpassade riktlinjer som bygger på de tidigare styrdokumenten för informationssäkerhet inom landstinget. Enligt vad som framkommit vid intervjuer efterlevs dokumenten inte i någon större utsträckning. Det har inte skett någon lokal anpassning eller införande av de aktuella landstingsgemensamma riktlinjerna. De resurser som nu tillsätts för informationssäkerhet kommer bl.a. att arbeta med framtagning av lokala riktlinjer för HSN. Södertälje sjukhus AB Lokala anvisningar som bygger på gällande riktlinjer avseende informationssäkerhet har utarbetas inom Södertälje sjukhus, vilka planeras fastställas av styrelsen under 2012.1 anvisningar beskrivs de olika rollerna, systemägare, informationsägare och systemförvaltare m.fl. Det framgår även i dokumentet hur hantering av informationstillgångar ska genomföras, hur riskanalys ska genomföras och hur informationssäkerhetsincidenter ska hanteras. I samband med granskningen har flera olika dokument presenterats vilka berör informationssäkerhet vilka kan ses som stödjande dokument i informationssäkerhetsarbetet. Det gäller t.ex. regler för användande av patientjournal, dokument gällande distansuppkopplingar, personalinformation avseende informationssäkerhet samt utbildningsmaterial om informationssäkerhet. Revisionens bedömning Revisionen konstaterar att arbetet med att utarbeta lokala anvisningar för informationssäkerhet och andra styrande dokument utifrån de landstingsgemensamma riktlinjerna varierar mellan de granskade verksamheterna. Avstämt mot de landstingsgemensamma riktlinjerna bedöms resultatet vid Karolinska som i huvudsak tillfredställande. Styrande dokument som bygger på de landstingsgemensamma finns upprättade. Karolinska har kommit en bra bit på väg avseende implementering av dokumenten och det pågår ett arbete med ständiga förbättringar. När det gäller SLSO och Södertälje planeras lokala anvisningar att fastställas under 2012 och förbättringsarbetet pågår eller planeras. Vid SLSO finns dessutom ett projektdirektiv fastställt av ledningen som kommer att utgöra krav och stöd i det kommande förbättringsarbetet. 9

Revisionskontoret 2012-11-19 HSN saknar lokalt anpassade anvisningar utifrån de av fullmäktige beslutade styrdokumenten. Ett förbättringsarbete är dock initierat och resurser är tillsatta under pågående revision för att arbeta med informationssäkerhet. 3.3 Risk-/sårbarhetsanalyser och handlingsplaner I fullmäktiges riktlinjer för informationssäkerhet lyfts arbete med riskanalyser fram på ett flertal ställen. Där framgår bl.a. att riskanalyser stödjer verksamhetens säkerhetsarbete. De ska användas som ett verktyg för att på ett systematiskt sätt identifiera och analysera risker utifrån potentiella hot. Riskerna bedöms utifrån hur stor sannolikheten är att hoten realiseras och bedömda konsekvenser för verksamheten. Riskanalyserna ger underlag för att fastställa de skyddsåtgärder som behöver införas och ska utmynna i prioriterade åtgärdsplaner för att hantera riskerna. Alla skyddsåtgärder ska dokumenteras på ett sådant sätt att det är möjligt att kontrollera att eftersträvad skyddsnivå uppnås. Karolinska Universitetssjukhuset Respektive informationsägare är ansvarig för att riskanalyser genomförs regelbundet. Dessa ska enligt riktlinjen dokumenteras och en handlingsplan ska upprättas för att hantera risker, vilka inte är accepterbara för verksamheten. De inom Karolinska för denna granskning identifierade systemen (Heroma, Raindance, RIS/PACS, TakeCare samt Orbit) har alla genomgått riskanalyser inom ramen för Karolinskas ansvar alternativt inom central förvaltning. Revisionen har tagit del av riskanalyserna. Karolinska har en internrevisionsfunktion som även denna årligen genomför riskanalyser på Karolinskas verksamhet. Stockholms läns sjukvårdsområde SLSO anger i de lokala anvisningarna att riskanalyser ska genomföras. Så har också skett för de system som omfattas av granskningen. Det anges att riskanalyser även genomförts inom flera andra områden, t.ex. inom primärsjukvården. Idag pågår ett arbete med att genomföra riskanalys avseende SMS-hantering. SLSO anger att det fmns behov att se över kommunikationsvägar avseende risker som identifieras, t.ex. hur dessa ska kommuniceras till rätt nivå inom organisationen. Hälso- och sjukvårdsnämnden HSN har inte genomfört riskanalyser på ett systematiskt sätt. I förvaltningsplanerna för systemen framgår dock att riskanalys ska genomföras. Riskanalysen saknas i tre förvaltningsplaner för väsentliga system (MEK, PU samt Kodserver). För systemet EK saknas en förvaltningsplan. Inga andra riskanalyser genomförs i övrigt enligt information från förvaltningen. 10

Revisionskontoret 2012-11-19 Södertälje sjukhus AB I sjukhusets anvisningar beskrivs när riskanalyser ska genomföras. Arbetet med riskanalyser har enligt uppgift genomförts i samband med systemanskaffning. Enligt anvisningarna ska riskanalyser genomföras återkommande och för verksamhetskritiska system årligen. Granskningen har inte erhållit några underlag avseende riskanalyser, dock har det via intervju noterats att detta är något som ska förbättras i enlighet med anvisningarna. Kommunikation avseende nuläge (risker, problem etc.) och framtidsfrågor hanteras i IT-rådet. I rådet ingår verksamhetschefer, IT-chef och informationssäkerhetssamordnaren. Vid granskningen noterades att det finns ett behov av att förbättra och tydliggöra processer avseende rapportering av informationssäkerhetsrelaterade händelser och samspelet mellan systemförvaltare, IT-support och informationssäkerhetssamordnare. Ansvariga som intervjuats anser att det fmns ett behov av att bättre informera slutanvändare gällande vikten av att rapportera informationssäkerhetsrelaterade händelser. Revisionens bedömning Ett grundläggande krav för att uppnå ett systematiskt arbete med informationssäkerhet är att riskanalyser genomförs på väsentliga delar av verksamheten. Revisionen bedömer att Karolinska och SLSO arbetar löpande med riskanalyser. Revisionen konstaterar att Södertälje genomför riskanalyser, t.ex. vid systemanskaffningar, men revisionen ser behov av att förbättra det löpande riskarbetet. I sjukhusets anvisningar finns instruktioner för hur arbetet med riskanalyser ska gå till. Revisionen noterar att HSN saknar ett strukturerat arbete med riskanalyser. Ett angreppssätt kring riskanalyser bör inkluderas i det förbättringsarbete som nyligen initierats. 3.4 Informationsägares ansvar Enligt fullmäktiges riktlinjer för informationssäkerhet ska det för varje viktig informationstillgång utses en informationsägare, med uppdrag att hantera alla delar av informationssäkerheten. Grunden i detta arbete är klassificering av informationen. Informationsägaren ansvarar för att beslut fattas om användares åtkomsträttigheter och att dessa överensstämmer med deras behörigheter. Dessutom ansvarar denne för att riskanalyser genomförs och att samordning av riskanalyser sker med andra informationsägare. Karolinska Universitetssjukhuset I Karolinskas lokala anpassning av SLL:s riktlinje och dess bilagor framgår informationsägarens ansvar. Informationsägare är tillsatta för de mest kritiska systemen. Rollen beskrivs, som en del, i de lokala riktlinjerna för informationssäkerhet. Stöd fmns, inom ramen för de lokala riktlinjerna för att informationsägarna, ska kunna leva upp till det ansvar som riktlinjerna föreskriver. 11

Revisionskontoret 2012-11-19 Informationsägaren ansvarar exempelvis för: att informationen klassas enligt gällande riktlinjer, att riskanalyser genomförs, att loggning och uppföljning sker, att personuppgiftslagen följs, att sekretessprövning görs vid utlämnande av patientuppgifter att kravställning sker avseende utlämnande av information till tredje part. Stockholms läns sjukvårdsområde I de lokala riktlinjerna framgår att verksamhetschefen har det odelade ansvaret för sin verksamhet, vilket innebär att de även har ansvaret för den information som hanteras inom verksamheten. Hälso- och sjukvårdsnämnden Informationsägarrollen är till viss del definierad inom HSN. För vissa system såsom EK är respektive vårdgivare informationsägare. Andra system har delat informationsägarskap, t.ex. Kodserver. Exempel på system som inte har en uttalad informationsägare är PU och MEK. Nyrekryterade resurser kommer att arbeta vidare med frågan gällande informationsägare. Södertälje sjukhus I sjukhusets anvisningar är det tydligt vilket ansvar en informationsägare har. Sjukvårdsdirektören ansvarar för att informationsägare utses. Det finns tydligt dokumenterat vilka personer som är informationsägare, oftast verksamhetsområdeschefen. Revisionens bedömning Ett grundläggande krav för att uppnå ett systematiskt arbete med informationssäkerhet är att utse informationsägare för väsentliga informationsmängder i verksamheten. Väsentliga informationsmängder kan med fördel identifieras vid genomförandet av riskanalyser. Revisionen bedömer att Karolinska har skapat förutsättningar i de lokala riktlinjerna för de tillsatta informationsägarna att leva upp till det ansvar som åligger rollen. Inom SLSO och Södertälje sjukhus är det tydligt såtillvida att det är i huvudsak verksamhetschefen som har rollen som informationsägare. Vidare bedömer revisionen att det inom HSN fmns en otydlighet gällande informationsägarrollen och den är inte fullt ut implementerad på alla system. 3.5 Vårdpersonalens kunskap om informationssäkerhet Grundläggande informationssäkerhetsutbildning är obligatoriskt för alla anställda i SLL enligt fullmäktiges riktlinjer för informationssäkerhet från 2011. 12

Revisionskontoret 2012-11-19 Karolinska Universitetssjukhuset Karolinska använder sig av den datorstödda informationssäkerhetsutbildningen (DISA) för att utbilda sina anställda i informationssäkerhet I dagsläget saknas uppföljning kring hur många av Karolinskas anställda som har genomfört utbildningen. Respektive verksamhetschef ansvarar för sin verksamhets utbildningsbehov. Stockholms läns sjukvårdsområde Personalen vid SLSO har inte genomgått DISA, eftersom ledningen anser att den nuvarande versionen inte är anpassad för SLSO:s verksamhet. SLSO ska analysera hur DISA kan anpassas till verksamheten därefter planeras relevanta utbildningar genomföras. SLSO har beviljats EU-bidrag för att genomföra en utbildning i syfte att öka personalens kompetens (kompetenslyftet). I samband med detta kommer även området informationssäkerhet att beaktas. Det sker även information och utbildning som berör informationssäkerhet på olika sätt, t ex vid utbildningar som sker i de olika systemen och vid nyanställningar. Enligt uppgift har juristen besökt varje enhet och informerat om personuppgiftslagen och patientdatalagen. Hälso- och sjukvårdsnämnden Information kring DISA finns på intranätet dock beskrivs det som oklart hur arbetet med att utbilda användarna inom HSN generellt ska ske och i vilken omfattning detta sker samt huruvida utbildningen verkligen sker. Förvaltningen har nyligen rekryterat personal som även ska arbeta vidare med informationssäkerhetsutbildning inom förvaltningen. Södertälje sjukhus AB Vid granskningen noterades att majoriteten av personalen inom Södertälje sjukhus har genomgått utbildning avseende informationssäkerhet (DISA). Vidare planeras ytterligare utbildningar och fördjupningar i syfte att stärka kunskap och medvetenhet avseende informationssäkerhet. Alla nyanställda inom Södertälje får i sin introduktionsutbildning en utbildning i informationssäkerhet samt genomgår DISA. Nyanställda får dessutom skriftlig information avseende informationssäkerhet och sekretess. Samtliga nyrekryterade chefer får i sin chefsutbildning även utbildning i informationssäkerhet. Årligen erbjuds utbildning till verksamhetschefer vilken berör informationssäkerhet. Vidare informeras verksamheten om informationssäkerhet via intranätet. Revisionens bedömning Ett grundläggande krav för att uppnå ett systematiskt arbete med informationssäkerhet är att alla anställda genomgår en grundläggande utbildning inom informationssäkerhet. Genomförandet av grundläggande informationssäkerhetsutbildning är också obligatorisk enligt landstingets riktlinjer från 2011. Landstingsrevisorerna CTöCKMOUMS LÅNS LANÖSfWHS

Revisionskontoret 2012-11-19 Revisionen konstaterar att den datorstödda informationssäkerhetsutbildningen DISA i dagsläget är det sätt som de granskade verksamheterna använder för att utbilda personalen inom informationssäkerhetsområdet. Södertälje sjukhus har kommit längst gällande informationssäkerhetsutbildning och har genomfört DISA för majoriteten av de anställda. Även inom Karolinska är DISA en obligatorisk utbildning. Dock sker ingen uppföljning huruvida alla genomfört utbildningen. SLSO har i dagsläget inte genomfört DISA. En diskussion pågår dock på ledningsnivå för anpassa DISA till SLSO:s verksamhet. I det kommande kompetenslyftet har även informationssäkerhet inkluderats. HSN saknar idag ett strukturerat angreppssätt gällande utbildning inom informationssäkerhetsområdet. Revisionen anser att det är viktigt att kontinuerligt följa upp att samtliga anställda genomgått utbildning gällande informationssäkerhet. Detta gäller samtliga granskade enheter. 14

RK 201206-0053 Revisionskontoret 2012-11-01 Bilaga 1 - System sammanställning Karolinska universitetssjukhuset Heroma - lönesystem TakeCare - journalsystem RIS/PACS - röntgensystem ORBIT - operationsplaneringssystem Raindance - ekonomisystem Hälso- och sjukvårdsnämnden (HSN) PU - Hanterar landstingets behov av personuppgifter. Kopia på Skatteverkets information som flertalet landstingsgemensamma system integreras mot. MEK - Hanterar kopplingen mellan HSA-id och Kombikakod inom landstinget Kodserver - Tabellbibliotek för sammankoppling av informationsmängder inom landstinget EK - avancerad version av, från början en, telefonkatalog som numera ska hantera behörigheter, kontaktkort för vårdguiden, information till nationella HSA samt logistik för läkemedelsförsörjningen Södertälje sjukhus Heroma - lönesystem TakeCare - journalsystem Raindance - ekonomisystem RIS/PACS - röntgensystem Intranät - Informations och kommunikationsplattform Desktop - Det system som användare når efter inloggning i nätet. Navigatör till alla andra system- Stockholms läns sjukvårdsområde Heroma - lönesystem TakeCare - journalsystem Raindance - ekonomisystem Obstetrix -Journalhantering inom mödrahälsovård Mailsystemet Landstingsrevisorerna

o c

Kort om rapporten Den informationssäkerhetspolicy med tillhörande riktlinjer, som fullmäktige antog i december 2011, innebär att förutsättningarna for en effektivt styrning av informationssäkerhetsarbetet i landstinget har ökat. Implementeringen har dock kommit olika långt på Karolinska universitetssjukhuset, Stockholms läns sjukvårdsområde, hälso- och sjukvårdsnämnden samt Södertälje sjukhus AB. Framförallt bör hälso- och sjukvårdsnämnden se till art det systematiska informationssäkerhetsarbetet påskyndas. Alla granskade enheter bör kontinuerligt följa upp att samtliga anställda genomgått utbildning gällande informationssäkerhet. JUL Landstingsrevisorerna S^^S STOCKHOLMS LÄNS LANDSTING Postadress: Box 22230, 104 22 Stockholm Besöksadress: Hantverkargatan 25 B (T-bana Rådhuset) Telefon: 08-737 25 00 Fax: 08-737 53 50 E-post: landstingsrevisorerna@rev.sll.se Hemsida: www.sll.se/rev Org.nr: 2321 00-0016

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss