NORDISKT SAMARBETE OM INFORMATIONSSÄKERHET I KOMMUNER, REGIONER OCH LANDSTING

Relevanta dokument
NORDISKT SAMARBETE OM INFORMATIONSSÄKERHET I KOMMUNER, LANDSTING OCH REGIONER

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Informationssäkerhetspolicy för Ystads kommun F 17:01

E-strategi för Strömstads kommun

Informationssäkerhetspolicy

Nordens ledande företag gör kundresan digital. Hur undviker du att hamna på efterkälken?

Informationssäkerhetspolicy KS/2018:260

Policy och strategi för informationssäkerhet

Ledningssystem för Informationssäkerhet

Studerandens möjligheter att ta del av och använda patientuppgifter

ehälsomyndigheten Kristina Fridensköld & Stephen Dorch

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Förslag till Myndigheten för samhällsskydd och beredskaps föreskrifter om kommuners och landstings risk- och sårbarhetsanalyser

Informationssäkerhet

Informations- och IT-säkerhet i kommunal verksamhet

Ledningssystem för Informationssäkerhet

Policy för informationssäkerhet

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Svar på revisionsskrivelse informationssäkerhet

Välkommen till Det digitala Malmö

Rätt informationssäkerhet är A&O vid införande av välfärdsteknologi. Jeanna Thorslund, Sveriges Kommuner och Landsting Thomas Nilsson, Certezza

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

Undersökning om svenskarnas inställning till digitalisering i välfärden

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

1 (5) Informationssäkerhetspolicy Informationssäkerhetspolicy. Ver 3.0

Informationssäkerhetspolicy

Fördelning av ansvar för informationssäkerhet. Version: 1. Beslutsinstans: Regiondirektören

SÄKERHETSPOLICY FÖR VÄSTERVIKS KOMMUNKONCERN ANTAGEN AV KOMMUNFULLMÄKTIGE , 8

Yttrande över slutbetänkande Reboot omstart för den digitala förvaltningen (SOU 2017:114)

Hur värnar kommuner digital säkerhet?

Vi skyddar din information. Vårt informationssäkerhetsarbete och skydd av personuppgifter

Informationssäkerhetspolicy för Ånge kommun

Allmänna Råd. Datainspektionen informerar Nr 3/2017

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Policy för informations- säkerhet och personuppgiftshantering

Säkerhetspolicy för Västerviks kommunkoncern

IT-säkerhet Internt intrångstest

Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen

Myndigheten för samhällsskydd och beredskaps författningssamling

Bilaga Från standard till komponent

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Förenklad rapportering av regionernas riskoch sårbarhetsanalys 2019

Ett eller flera dataskyddsombud?

IT-säkerhetspolicy för Landstinget Sörmland

Koncernkontoret Enheten för säkerhet och intern miljöledning

Myndigheten för samhällsskydd och beredskaps författningssamling

Kommunikationspolicy för Botkyrka kommuns förvaltningsorganisation

Yttrande över E-delegationens slutbetänkande En förvaltning som håller ihop (SOU 2015:66)

Gräns för utkontraktering av skyddsvärd information

Offentlig sektor sackar efter i IT-användningen Svenska myndigheter behöver bli Smarta Myndigheter

Strategi för systematisk uppföljning och granskning av hälso- och sjukvården i Stockholms läns landsting

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

Gemensamma grunder för samverkan och ledning vid samhällsstörningar. - Strategisk plan för implementering

Beslut Justitiedepartementet

Informationsklassning och systemsäkerhetsanalys en guide

GDPR. General Data Protection Regulation

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

E-hälsostrategi för socialförvaltningen

Lagstöd för att dela patientinformation vid MDK (Multidisciplinära konferenser)

Informationssäkerhetspolicy

Juridik och informationssäkerhet

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

HANDIKAPP. Sundbyberg 26 maj 2015

Välkommen till enkäten!

Mjölby Kommun PROTOKOLLSUTDRAG. Kommunstyrelsens åtaganden med mått för år 2019 Sammanfattning

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola Sammanfattning

Migration to the cloud: roadmap. PART 1: Möjligheter och hinder för att migrera till molnet

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Ställningstagande Digital identitetshantering

Dnr

Policy och riktlinjer för användning av informationsteknik inom Göteborgs Stad

Strategi Program Plan Policy» Riktlinjer Regler

Projekt Oberoende av inhyrd personal i Blekinge

Bakgrund. RÄTTSPROMEMORIA Version: Sid 1/6. Tel

I Central förvaltning Administrativ enhet

Gemensam Regional Inriktning Hantering av Ebola-utbrottet i Västafrika inom ramen för Program för samverkan - Stockholmregionen

IT-policy inom Stockholms läns landsting

Informationssäkerhetsgranskning. ISO ledningssystem för informationssäkerhet

Örebro kommuns digitaliseringssatsning ställer höga krav på en välfungerande förvaltningsstyrning

Strategi för digital utveckling

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Bilaga 2 till Digitaliseringen av det offentliga Sverige en uppföljning (ESV 2018:31)

Strategi för digitala kanaler

Informationssäkerhet och offentlig upphandling

NIS-direktivet. 4 september Johanna Linder Martin Gynnerstedt

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Kvalitet och verksamhetsutveckling

Digital Strategi för Kulturrådet

Informationssäkerhetspolicy

Samverkan vid utskrivning från sluten hälso- och sjukvård. Presentation av det gemensamma arbetet

Patientmiljarden Patientkontrakt och handlingsplan

Säker digital utveckling i kommuner. Välfärdskonferens 2018

Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13

Verksamhetsrapport. Kommunens säkerhetsarbete 2014

Transkript:

NORDISKT SAMARBETE OM INFORMATIONSSÄKERHET I KOMMUNER, REGIONER OCH LANDSTING PROMEMORIA OM INFORMATIONSSÄKERHET OCH DIGITALISERING OCH REGIONER 2015 2008 2015 Promemorian är utarbetad för: Augusti 2015

INLEDNING Digitalisering i form av självbetjäningslösningar för medborgare och verksamheter, nya möjligheter till virtuell kommunikation med omvärlden, mobila och flexibla arbetsplatser och användningen av sociala medier i yrkesmässiga och privata sammanhang betyder att databehandlingen flyttas från stora system och manuella processer till nya digitala plattformar. Riskbilden för informationsanvändningen framstår på flera områden som mer omfattande och komplex än förut. Datas pålitlighet och trovärdighet kontrolleras oftare genom system än av människor. Data- och systemtillgänglighet är i fokus när åtkomsten till information sker genom system. Data kan vara belägna på många olika IT-plattformar i landstinget som oftast endast delvis är under landstingets kontroll. Informationssäkerhet är ett område som får stor uppmärksamhet bland allmänheten: En kommande EU-förordning skärper kraven på behandling av känsliga personuppgifter och fastställer bland annat krav på ansvarsskyldighet. En rad händelser har visat hur sårbara IT-system är för kriminella handlingar samt interna fel och internt missbruk. God praxis för informationssäkerhet beskrivs i standarden ISO 27001 som tar utgångspunkt i en närmare förbindelse mellan förvaltningsorganisationen och den nödvändiga nivån av informationssäkerhet, men utan att föreskriva konkreta minimiinsatser. SKL rekommenderar att landstingen använder ISO-standarden i syfte att få en gemensam hög säkerhetsstandard inom den offentliga sektorn. Detta innebär en rad förväntningar på organisationens kompetens och förmåga att arbeta med informationssäkerhet gällande den övre ledningens ansvar för mål och uppföljning av organisationens informationssäkerhet förvaltningsorganisationens ansvar för att organisera en säker IT-användning. Promemorian visar hur långt svenska landsting har kommit inom dessa områden och hur ramverket för informationssäkert har organiserats. Undersökningens frågetema är utformat så att det avspeglar organisationens samlade fokus på informationssäkerhet från den övre ledningen till det konkreta arbetet. Dessutom har frågetemat fokus på landstingens användning av IT och de riskanalyser som utförs. Undersökningen har kvar frågor som knyter tillbaka till 2012 och tidigare, men strävar även efter att hitta trender i IT-användning och initiativ till säkrare alternativ. Tidigast 2017 planeras en rad bestämmelser om skydd av personuppgifter att träda i kraft i enlighet med EU:s personuppgiftsförordning. Undersökningen innehåller en genomgång av tre av de fyra huvudområdena i förordningen. För dem som vill ha full täckning av det fjärde området finns det möjlighet att svara på extrafrågor. I KOMMUNER, LANDSTING OCH REGIONER 1

Slutligen innehåller undersökningen en rad frågor om upplevda händelser och följderna av dessa. Förhållandet mellan användning av system och information i verksamhetssyfte och landstingens bedömning av informationssäkerhet visas i modellen nedan. Promemorian är utformad med utgångspunkt i den nordiska undersökningen om informationssäkerhet i kommuner och regioner. 16 av de 21 landstingen har svarat på undersökningen. Kommuner och landsting har tillgång till självskattningsverktyget NordSec som användes för undersökningen och de organisationer som inte deltog kan även under 2016 svara på frågorna, se sin egen status och jämföra sig med övriga svenska och nordiska organisationer. I KOMMUNER, LANDSTING OCH REGIONER 2

INFORMATIONSSÄKERHET OCH DIGITALISERING Det samlade arbetet NordSecs undersökning ger möjligheten att se den yrkesmässiga användningen av IT för patientadministration och -behandling i förhållande till säkerhetsinitiativen. De senaste åren har det funnits en stor fokus på att använda digitala lösningar för dialogen med patienter (kallelser m.m.) och i behandlingssammanhang. Diagrammet visar en tydlig förflyttning sedan 2012 mot en större grad av digitalisering. Under samma period kan man se att uppmärksamheten på informationssäkerhet har minskat i en större grupp av landstingen. 40 % ligger på en fortsatt låg nivå av informationssäkerhet. I KOMMUNER, LANDSTING OCH REGIONER 3

Resursinsatser Från 2012 till 2014 ses en mindre ökning av antalet personresurser som arbetar med informationssäkerhet i landstingen. Var tredje län har under 10 000 anställda. Denna grupp har minskat sedan 2012. I snitt är det 3,2 personer i varje län som arbetar med informationssäkerhet. Digitalt arbete Det digitala arbetet illustreras i undersökningen av tre områden dialogen med patienter och remitterande läkare, användning av IT i patientens behandling inom det somatiska området och motsvarande inom det psykiatriska området. Patientadministration omfattar tre enskilda områden där man kan se en förändring 2012 2014. Det kan på alla tre områden ses en markant utveckling sedan 2014: Alla landsting arbetar med digital kommunikation tillsammans med andra myndigheter när det gäller patientuppgifter vid utskrivning. Vartannat landsting arbetar med patienters tillgång till journaluppgifter. Var fjärde landsting har möjligheten att kalla patienter via SMS eller e-post. I KOMMUNER, LANDSTING OCH REGIONER 4

Frågorna om IT-användning inom det somatiska området omfattade fyra enskilda områden: konsultation via videoförbindelse, övervakning av patientparametrar, stöd av terapeutisk behandling (behandling av sår osv.) och annan terapeutisk behandling i hemmet: 12 av de 16 deltagande landstingen svarade på frågorna och nedgången i användning var jämnt fördelad över de fyra områdena. Frågorna om IT-användning inom det psykiatriska området omfattade två områden: konsultation via videoförbindelse och behandling via videoförbindelse. 9 av de 16 deltagande landstingen svarade på frågorna. Ny teknik Under de senaste åren har det skett en betydlig spridning av den utrustning som används tillsammans med informationssystemen (mobila arbetsplatser, telefoner osv.). Denna trend förstärks av att medarbetare i allt större omfattning efterfrågar möjligheten att använda sin egen utrustning på organisationernas nät både privat och för uppgifter. I I KOMMUNER, LANDSTING OCH REGIONER 5

undersökningen 2012 svarade fyra av landstingen att de planerade att tillåta det och två att de tillät det i begränsad omfattning. I 2014 tillåter var tredje landsting att medarbetarna använder egen utrustning för åtkomst till landstingens e-postsystem och i begränsad omfattning till andra områden. Inget av landstingen tillåter åtkomst till system med känsliga uppgifter. Ett av de landsting som tillåter att medarbetare använder egen utrustning till landstingens nät och system har genomfört en risk- och konsekvensanalys och inget av landstingen har riktlinjer för området. Användning av molntjänster Användningen av molntjänster på områden som innehåller personupplysningar har diskuterats länge i Sverige. Det är få landsting som använder dedicerade (privata) molntjänster och användningen är mycket begränsad om personuppgifter är involverade. I KOMMUNER, LANDSTING OCH REGIONER 6

När det gäller användningen av offentliga molnlösningar framgår att landstingen i en begränsad omfattning använder dem för både känsliga och icke-känsliga uppgifter. Det finns ett antal rekommendationer som handlar om säkerhetshantering i samband med användningen av molnlösningar. Det är avgörande att organisationer tar ställning till de risker de som är kopplade till molnbaserade tjänster. Utvecklingen sedan 2012 visar en ökande uppmärksamhet på området och att användningen av molnlösningar oftare ses utifrån en riskanalys. I KOMMUNER, LANDSTING OCH REGIONER 7

Riskhantering för digitala lösningar I samband med införandet av digitala lösningar i behandlingen av patienter och i den patientriktade dialogen ändras riskbilden på flera områden hot mot både tjänsternas tillgänglighet och informationens trovärdighet samt konsekvenserna av ett brott mot efterlevnad skiftar karaktär. De tillfrågade i landstingen är tydligen inte inblandad i de processer där risk- och konsekvensanalyser genomförs för digitala lösningar. En större andel har ingen vetskap om detta och de övriga bedömer att de inte har genomförts. I och med omläggningen till digitala tjänster ligger kraven inte uteslutande på medarbetares och systems tillgänglighet utan även på medborgares och verksamheters tillgång till digitala tjänster. En del av de tillfrågade anser att det inte har vidtagits några särskilda initiativ för fortsatt drift, medan vissa inte har kunskap om området. I KOMMUNER, LANDSTING OCH REGIONER 8

Landstingen är i ökande omfattning uppmärksamma på att kritiska processer måste kunna hållas igång om det uppstår problem med tillgång till IT eller andra kritiska resurser. Mer än två tredjedelar av landstingen har en Business Continuity Plan, dvs. en plan för hur tjänster ska kunna utföras om kritiska resurser inte finns tillgängliga. En fungerade Business Continuity Plan förutsätter lokala handlingsplaner för enskilda förvaltningsområden: sju av tio landsting har en sådan helt eller delvis på plats i jämförelse med fem av tio 2012. Var tredje landsting har en plan för regelbunden utbildning och testning av sin beredskap. Kompetenskrav för organisationen I och med användningen av digitala tjänster och digitala plattformar e-post, digital dialog, m.m. möts medarbetare av andra och annorlunda utmaningar än förr. Det framgår att 3 av 4 landsting har slagit fast ett formellt ansvar inom organisationen för att medarbetare ska ha tillräcklig och relevant kompetens för säker användning. Var tredje landsting har slagit fast ett ramverk för genomförandet av personalutbildning samma antal som 2012. Hälften av landstingen arbetar inte med det området. I KOMMUNER, LANDSTING OCH REGIONER 9

2012 hade två av landstingen avsatt medel till arbete för att utbilda medarbetarna i säker användning av information och informationsteknik samma antal gäller 2014. 2012 hade ett av landstingen ett förfarande för att undersöka om medarbetarna hade tillräcklig kompetens för att säkert använda system och information. Detsamma gäller 2014, då ett av landstingen arbetar med sådana analyser. Landstinget rapporterar mätningsresultaten till den övre ledningen. Informationssäkerhet inom organisationen Införandet av digitala tjänster och användningen av digitala plattformar genomförs i nära samarbete med landstingens förvaltningsområden. Två tredjedelar av landstingen arbetar med en strategi för hur hänsyn kan tas till informationssäkerhet under införandet av ny teknik. Siffrorna har ökat i jämförelse med 2012. Förankringen av informationssäkerhetsarbetet inom organisationen omfattar i hälften av landstingen etableringen av styrgrupper som har samlad fokus på området. I KOMMUNER, LANDSTING OCH REGIONER 10

Informationssäkerhet som ledningsområde Ledningens synliga stöd för organisationens informationssäkerhetsarbete framhävs ofta som en avgörande faktor för god praxis. Sådant stöd finns i hälften av landstingen och är samlat sett en ökning. Siffrorna ser annorlunda ut för om ledningens stöd för informationssäkerhetsarbete följs upp av regelbunden och systematisk statusrapportering till ledningen. Under 10 % av landstingen arbetar med detta. I KOMMUNER, LANDSTING OCH REGIONER 11

Riskhanteringsunderlag är ett av de områden där ledningen kan ha inflytande över säkerhetsarbetet. Detta inflytande kan utövas genom att säkerställa att de metoder som används är välkända och liknar organisationens övriga riskhantering samt att de risker som identifieras övervägs enhetligt. Nästan hälften av landstingen har genomfört en riskanalys för IT-användning vilken överensstämmer med organisationens övriga riskhantering. Var fjärde landsting har utarbetat kriterier för vad som räknas som acceptabla risker. För de landsting som inte har samlad fokus på risker kan riskhanteringen av ITanvändning bli avskuren från resten av riskhanteringen i organisationen. I KOMMUNER, LANDSTING OCH REGIONER 12

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss