Systemsäkerhetsanalys förutsättningar för mobil åtkomst inom hemsjukvård.



Relevanta dokument
Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Informationsklassning, riskanalys och åtgärdsplan för system som har direkt beroende till HSA

Informationssäkerhetspolicy för Vetlanda kommun

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

Informationssäkerhetspolicy

Lokal informationssäkerhetspolicy, lokala informationssäkerhetsriktlinjer och anvisningar

Informationssäkerhet i regional samverkan! Nr 11 & 12, 2015 Månadsbrev november & december 2015

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

MAS Riktlinje för logghantering gällande hälso- och sjukvårdsjournaler

Policy för informationssäkerhet

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet.

Ledningssystem för systematiskt kvalitetsarbete inom verksamheterna flykting och HVB

EBITS Energibranschens IT-säkerhetsforum

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C

Patientsäkerhetsberättelse för den medicinska delen inom elevhälsan

Syfte...1 Omfattning...1 Beskrivning...1

Riktlinjer för synpunkts- och klagomålshantering inom Hedemora kommuns vård och omsorg

Informationssäkerhet i. Torsby kommun

ÅGIT PRESENTERAR FILR SMIDIG OCH SÄKER FILÅTKOMST OCH DELNING

Vetenskapsrådets informationssäkerhetspolicy

Samtycke vid direktåtkomst till sammanhållen journalföring

Patientsäkerhetsberättelse

Patientsäkerhetsberättelse för medicinska insatser i elevhälsan. Grundskolan Barn och ungdom Eslövs kommun

Omvårdnadspersonal Dokumentation HSL Rutin för dokumentation av omvårdnadspersonal vid hälso- och sjukvårdsinsatser

Riktlinje för synpunkts- och klagomålshantering VON 2013/ Riktlinjerna är antagna av vård- och omsorgsnämnden den 13 maj 2003.

2014 års patientsäkerhetsberättelse för Grönskogens äldreboende

Patientsäkerhetsberättelse för vårdgivare

IT-verksamheten, organisation och styrning

Juridik och informationssäkerhet

Tillsyn enligt personuppgiftslagen (1998:204) - Sammanhållen journalföring 6 kap. patientdatalagen

Idéskrift. Avtalsuppföljning för transportköpare inom miljö och trafiksäkerhet

Lagring i molnet. Dokumenthantering i högskolans Office365 ur ett offentlighetsperspektiv

KLARA-manual. för Skövde kommunanvändare. Omvårdnadsförvaltningen. Arbetsgrupp: Andrea Eriksson, Carina Berg, Ewa Westerberg, Maria Mustonen

2014 års patientsäkerhetsberättelse för Villa Agadir

Patientsäkerhetsberättelse. Ortopediska Huset

Patientsäkerhetsberättelse för vårdgivare gällande Fäladshöjden Lund

Riktlinje för mobil användning av IT - remissvar

Patientsäkerhetsberättelse för Kungälvs kommun

Miljö- och byggnadsnämndens risk- och sårbarhetsanalys 2014

PuL-bedömning och riskanalys av Google Apps for Education (GAFE), Simrishamns kommun

2014 års patientsäkerhetsberättelse för Kvarngården.

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Säkerhetsåtgärder vid kameraövervakning

Anslutning till Mina meddelanden

Patientsäkerhetsberättelse för medicinska insatser i elevhälsan. Grundskolan Barn och ungdom Eslövs kommun

Till dig som vårdpersonal JOURNALEN BÄTTRE DIALOG GENOM ÖKAD DELAKTIGHET

Rapport Informationsklassning och riskanalys Mobila enheter Umeå Fritid

Ärende Beslut eller åtgärd. 1 Fastställande av dagordning Inga ärenden anmäldes till Övrigt.

Svar till kommunrevisionen avseende genomförd IT-revision

Tillsyn enligt personuppgiftslagen (1998:204) avseende behörighetsstyrning i ParaGå

Bättre överblick, ännu bättre vård. Sammanhållen journalföring. Nya möjligheter för vården att få ta del av dina uppgifter.

Säkerhetsplan. för Friluftsfrämjandets verksamheter

Tjänsteavtal för ehälsotjänst

ELMIA WLAN (INTERNET)

Ledningssystem för systematiskt kvalitetsarbete

Patientsäkerhetsberättelse

Varför säkerhetsarbete? Varför systematiskt arbete?

BÄTTRE VÅRD FÖR DIG. Information om Sammanhållen journal

Kommunövergripande riktlinjer för säkerhet och krisberedskap i Östra Göinge kommun mandatperioden

Policy avseende sekretess och personuppgiftsbehandling Installationskonfigurator

Riskanalys. Förskolenämnden

INFORMATION OM EGENKONTROLL

Svar på frågor som ställdes under IVO:s webbinarium om förbättrad samverkan mellan kommun och landsting/region för barn på korttidsboende

Bättre överblick, ännu bättre vård.

Huvudadministratör i Prator

Sammanställning av webbenkät december 2015

GRUNDERNA FÖR DET SYSTEMATISKA KVALITETSARBETET 3 kap 3 och 4

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Stockholms läns landsting 1 O)

Uppföljning Proffssystern i Stockholm AB

Revisionsrapport av vård- och omsorgsnämnden

Informationssäkerhet - Instruktion för förvaltning

LifeCareMobil Enköping Hemtjänst

Slutrapport. Införande NPÖ för kommunerna i Västra Götaland Utgåva (1)8. Projektdokument 1405 Dokumentbeskrivning: Slutrapport Insatsområde NPÖ

Invånarens direktåtkomst till journalinformation samt regelverk för detta

RIKTLINJER FÖR ANVÄNDNING AV PTS IT- ARBETSPLATS

Lumbago - Förord. Välkommen till Journalprogrammet Lumbago.

Varför ska vi ha en informationssäkerhetspolicy och hur tar vi fram en? En policy ska ju fånga in en organisations målsättning för ett visst område,

Säkerhetsbrister i kundplacerad utrustning

Hantering av skyddade personuppgifter

Regler för behandling av personuppgifter vid Högskolan Dalarna

Mina Meddelanden - Risk- och Sårbarhetsanalys för anslutande kommuner

Öppen data och vad vi kan vinna på att offentliggöra uppgifter! Formatdag i västerås Björn Hagström bjorn.

Patientsäkerhetsberättelse för medicinska insatser i elevhälsan. Gymnasiet Barn och ungdom Eslövs kommun

Tal till Kungl. Krigsvetenskapsakademien

Patientsäkerhetsberättelse

Metoder för datasäkerhet. Vad handlar en sådan kurs om???

Patientsäkerhetsberättelse för vårdgivare

Funktionsbeskrivning Version 3.1 1

Resultat och reektioner kring mailkategorisering av användares mail till Uppsala läns landsting kring åtkomst av journaler via nätet

Uppföljning av särskilt boende LSS

Sammanhållen journalföring inom hälso- och sjukvård

Tillsyn enligt personuppgiftslagen (1998:204) 4 kap. patientdatalagen

Kvalitetsregister & legala förutsättningar. Moa Malviker Wellermark, Jurist SKL, Landstingsjurist LiÖ

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Uppföljning arbetssättet pulsmöten/pulstavlor

Tillsyn enligt personuppgiftslagen (1998:204) Intern åtkomst till personuppgifter hos Migrationsverket

Krishanteringsplan i föreningen

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Transkript:

BYT UT LOGGAN MOT DIN KOMMUNS LOGGA Dokumenttyp Mall, Informationssäkerhet, analys Sida Område Mobilitet 1 (11) Läs detta och ta därefter bort denna kommentarruta. Denna mall syftar till att användas vid identifiering av åtgärder för en kommun som överväger att införa ett mobilt arbetssätt med åtkomst till känsliga personuppgifter. Mallen utformades hösten 2014 som ett resultat av arbetet med ehälsa i Kalmar län. Metoden utgår från ett systematiskt informationssäkerhetsarbete och baseras på principer som bygger på svensk standard för informationssäkerhet SS-ISO/IEC 27000. Genom att identifiera och informationsklassa informationsmängder för att därefter genomföra en riskanalys upprättas förslag på er. Metoden förutsätter en identifierad beställare av analysen och uppföljande aktiviteter för att säkerställa ett verkligt genomförande. Dokumentet ska uppdateras så att det motsvarar varje kommuns egna förutsättningar. En del ska bort, annat ska läggas till. Uppgiften är att genomföra en egen informationsklassning, riskanalys och utifrån den metod som beskrivs i detta dokument. Allt som är GULMARKERAT ska ser över, uppdateras och kompletteras. Därefter ska den gulmarkerade texten avmarkeras. Systemsäkerhetsanalys förutsättningar för mobil åtkomst inom hemsjukvård. Innehåll 1. Grundinformation... 2 1.1. Deltagare... 2 1.2. Bakgrund... 2 1.3. Syfte... 2 1.4. Mottagare... 2 1.5. Avgränsning... 2 2. Informationsklassning... 3 2.1. Kriterier för informationsklassning... 3 2.2. Klassningsmodell... 3 2.3. Klassningsresultat... 4 2.4. Skyddsåtgärd per informationsklass... 5 3. Risk- och sårbarhetsanalys, RSA... 5 3.1. Skala för sannolikhet och konsekvens... 5 3.2. Riskanalys utifrån Scenario... 6 3.3. Nödvändiga åtgärder... 6 3.4. Resultat riskanalys och åtgärder... 6 Revisioner Revision: Datum: Beskrivning: Utförd av: 0.1 2014-10-06 Första utkast Stephen Dorch 1.0 2014-11-24 Redigering efter Stephen Dorch utvärdering av inlämnat underlag Skriv in er version Dokumentnamn: Systemkartläggning mobil åtkomst Utfärdat datum: 2014-11-2525 Reviderat datum: 2015-01-16

2 1. Grundinformation 1.1. Deltagare <Räkna upp alla deltagare i analysgruppen, namn, verksamhet och roll som varit delaktiga med arbetet från din kommun, ta därefter bort denna text> Namn Verksamhet Roll 1.2. Bakgrund Den kommunala Hälso- och sjukvården är i behov av säkra mobila tillämpningar då stor del av verksamheten sker utanför kontoret hemma hos brukare och patienter inom hemtjänst och hemsjukvård. Verksamheten hanterar känsliga uppgifter om enskildas personliga förhållanden och enskildas hälsotillstånd. Den mobila utvecklingen möjliggör åtkomst till känsliga personuppgifter med olika enheter som t.ex. surfplattor, bärbara datorer och telefoner. Denna hantering måste vara säker! Vid mobilitet uppstår nya risker och säkerhetsåtgärderna måste hela tiden anpassas därefter. Särskilda IT-säkerhetsåtgärder behöver vidtagas för att skydda uppgifterna, men det räcker inte med enbart IT-åtgärder. Andra åtgärder som utbildning, översyn av metodik, organisation och processer behöver ses över och anpassas för att möta den mobila utvecklingen. Dessa åtgärder är nödvändiga om vi vill införa ett mobilt arbetssätt utan att äventyra enskildas integritet eller säkerhet. I denna analys har vår kommun identifierat vilken typ av information som behöver vara åtkomlig mobilt. Vi har fastställt informationens värde, bedömt hotbilder och risker samt upprättat åtgärdsförslag. När dessa åtgärder är vidtagna finns förutsättningar för ett säkert mobilt arbetssätt. 1.3. Syfte Syftet med analysen är att identifiera nödvändiga åtgärder och klargöra vilka förutsättningarna är för att införa ett säkert mobilt arbetssätt inom Socialtjänsten i vår kommun. 1.4. Mottagare Mottagare av denna rapport är den verksamhetschef vars verksamhet avser att införa mobila lösningar. 1.5. Avgränsning Analysen avgränsas till hemtjänst och hemsjukvård.

3 2. Informationsklassning För att förstå vilka säkerhetsåtgärder som är nödvändiga behöver informationen klassificeras. Det är en bedömning av hur allvarligt det skulle vara för verksamheten om det t.ex. uppstår brister i sekretessen och obehöriga därmed får del av känslig information. Syftet med klassificeringen är att rätt säkerhetsåtgärd ska vidtas utifrån hur viktig informationen är. Varje nivå ska vara kopplad till konkreta säkerhetsåtgärder. All information i ett verksamhetssystem bör klassificeras. 2.1. Kriterier för informationsklassning Informationsklassningen fastställer informationens värde utifrån fyra kriterier. De fyra kriterierna är: Riktighet - att vi kan lita på att informationen är korrekt, inte manipulerad eller förstörd Konfidentialitet/Sekretess - att endast behöriga personer får ta del av den Tillgänglighet - att den finns där när vi behöver den Spårbarhet - att det går att följa hur och när informationen har hanterats och kommunicerats Att spårbarhet tas med bland de fyra kriterierna beror på krav om uppföljning, loggning och granskning i de legala krav 1 och författningar som gäller för hälso- och sjukvård. 2.2. Klassningsmodell Den modell som används baseras på Myndigheten för samhällsskydd och beredskap, MSB 2 rekommendationer. Den används av de flesta kommuner i landet. Modellen kommer att revideras under 2014, vår modell nedan är i skrivande stund inte reviderad då MSB ännu inte publicerat den nya klassningsmodellen. Säkerhetsaspekt Konsekvens 4 Allvarlig 3 Betydande 2 Måttlig 1 Försumbar Information där förlust av riktighet innebär allvarlig/katastrofal negativ betydande negativ måttlig negativ försumbar negativ på egen eller annan organisation och dess tillgångar, eller på enskild individ. Information där förlust av konfidentialitet/ sekretess innebär allvarlig/katastrofal negativ betydande negativ måttlig negativ försumbar negativ på egen eller annan organisation och dess tillgångar, eller på enskild individ. Information där förlust av tillgänglighet innebär allvarlig/katastrofal negativ betydande negativ måttlig negativ försumbar negativ påverka på egen eller annan organisation och dess tillgångar, eller på enskild individ. Information där förlust av spårbarhet innebär allvarlig/katastrofal negativ betydande negativ måttlig negativ försumbar negativ på egen eller annan organisation och dess tillgångar, eller på enskild individ. 1 Se bilaga A, Legala Krav 2 Version 1,0. 2009-05-25, Publ-nr MSB: 0040-09 https://www.msb.se/ribdata/filer/pdf/25602.pdf

4 2.3. Klassningsresultat Det som klassificeras är informationsmängden och inte informationssystemet. Ett tydligt exempel på detta är att det i ett journalsystem finns flera olika informationsmängder, t.ex. diagnos, insatser och personuppgifter. Det är alltså informationsmängden diagnos som klassificeras, och inte journalsystemet. I vår verksamhet har vi identifierat de i tabellen redovisade informationsmängderna och klassificerat dessa utifrån aspekterna Sekretess (konfidentialitet), Riktighet, Tillgänglighet och Spårbarhet. Uppdatera tabellen nedan med era informationsmängder och klassningsresultat. Tabellen nedan är endast exempel. Ni kan också välja att skapa flera tabeller, en för varje system som berörs av mobilitet. Tabellen nedan är systemoberoende.. Ta därefter bort denna kommentarsruta Säkerhetsaspekt Informationsmängd Sekretess Riktighet Tillgängligh et Spårbarhet Diagnos 4 4 4 3 Hjälpmedelsförskrivning (att man kan göra själva beställningen) Personnummer/Namn - brukarens 2 3 2 1 4 4 4 3 Vårdplan 4 4 3 2 epost 1 1 2 1 Läkemedelslista 4 4 4 3 Brukarens insatser 1 3 2 2 Epikris 4 4 2 2 Uppmärksamhetssignal/ Observandum (Intern information, Intranät och filsystem) rutin som lagras på filsystemet eller publiceras på intranätet 4 4 4 3 1 3 3 2 Journalanteckning 4 4 4 3 Undersökningsresultat 4 4 4 3 kalendern 1 2 2 1 Personalschema 1 4 3 1 Brukarens/patient adress 2 4 3 1

5 2.4. Skyddsåtgärd per informationsklass Nedanstående tabell ger förslag på generella informationssäkerhetsåtgärder per informationsklass. Säkerhetsaspekt Informationsklass Sekretess Riktighet Tillgänglighet Spårbarhet 4 din kommuns 3 din kommuns 2 din kommuns 1 din kommuns 3. Risk- och sårbarhetsanalys, RSA När informationen har klassificerats behöver en risk- och sårbarhetsanalys göras där man undersöker vilka risker som kan uppstå vid hantering av informationen. Riskanalysen görs för att bedöma risken för att ett möjligt hot inträffar. Risken värderas genom att ett riskvärde (RV) räknas fram, som består av sannolikhetens (S) gånger konsekvensen (K) enligt följande formel: S x K = RV. 3.1. Skala för sannolikhet och konsekvens Inför varje enskild analys är det viktigt att man tillsammans kommer överens om vilka skalor som ska gälla. Orden katastrof och ofta är relativa begrepp, som beroende på sitt sammanhang har olika innebörd. Vi har kommit överens om följande skalor i vårt arbete med riskanalysen, se tabellerna nedan. Konsekvens Värde Innebörd Katastrofal 4 t.ex. dödsfall, bestående el. mkt allvarlig personskada el. motsv. Allvarlig 3 t.ex. föreligger risk för personskada eller motsvarande Måttlig 2 t.ex. onödigt lidande Försumbar 1 t.ex. att händelsen inte har någon påverkbar betydelse Sannolikhet Värde Innebörd Ofta 4 t.ex. kan inträffa varje vecka Regelbundet 3 t.ex. kan inträffa varje månad Sällan 2 t.ex. kan inträffa någon gång per år Mycket sällan 1 t.ex. kan inträffa någon gång var tredje år

6 3.2. Riskanalys utifrån Scenario De flesta scenarier är utformade som en konsekvens av MSB vägledning för mobilitet 3. Denna vägledning har dessförinnan granskats av vår verksamhet och vår slutsats är att de krav som återfinns i vägledningen generellt sätt är relevanta och kan utgöra en form av börvärde. Resultatet av riskanalysen framgår i tabell i kap 3.4. 3.3. Nödvändiga åtgärder Utifrån de uppgifter som framkommit i analysen har vi identifierat förslag på nödvändiga åtgärder. Vi ger även förslag på den funktionen som bör få ansvaret för att genomföra åtgärden. Resultatet av åtgärdsförslagen framgår i tabellen i kap 3.4 nedan. 3.4. Resultat riskanalys och åtgärder De flesta scenarier är utformade som en konsekvens av MSB vägledning för mobilitet 4. Denna vägledning har dessförinnan granskats av vår verksamhet och vår slutsats är att de krav som återfinns i vägledningen generellt sätt är relevanta och kan utgöra en form av börvärde. Rensa och uppdatera grafen nedan med resultaten från riskanalysen nedan. Kommentera de allvarligaste scenarierna i texten bredvid grafen. Ta bort denna ruta. I grafen nedan kan man visuellt utläsa att det finns elva tänkbara scenarier som anses särskilt allvarliga med höga värden för både sannolikhet och konsekvens. Dessa scenarier består i huvudsak av: 1- täckning 5- stöld 7- uppdatering 11- funktionalitet 13, 23, - arbetsmiljö 18- förvaltning 21- användarvänlighet 24- hårdvarufel 25- bilkörning 29, 32- loggning Sannolikhet 4 1, 11, 18, 21, 23, 32, 3 2, 4, 22, 33, 5, 24 2 15, 26, 28, 31, 34 1 17, 30, 7, 29 25 6, 9, 16, 19, 13, 3, 12, 27, Ovanstående elva scenarier bör prioriteras vid planering av åtgärder. 1 2 3 4 Konsekvens I tabell för riskanalysen nedan finns samtliga scenarier identifierade med förslag på åtgärd och ansvarig. 3 Vägledning för mobila enheter, https://www.msb.se/sv/produkter--tjanster/publikationer/publikationerfran-msb/vagledning-for-sakrare-hantering-av-mobila-enheter/ 4 Vägledning för mobila enheter, https://www.msb.se/sv/produkter--tjanster/publikationer/publikationerfran-msb/vagledning-for-sakrare-hantering-av-mobila-enheter/

7 Uppdatera tabellen nedan med era informationsmängder och resultat. Tabellen nedan är endast exempel. Ta därefter bort denna kommentarsruta ID Scenario S K RV Åtgärd Ansvarig 1 Gemensam kravställning IT-chef kan HSL-dokumentationen i om bättre mobil samordna journalen är inte 4 2 8 täckning. Ta fram med övriga tillgänglig pga. dålig underlag och statistik, IT-chefer i täckning 2 Diagnos, utskrivningsplanering, vårdplan i Cosmic Link är inte tillgängligt pga. användarfel eller felaktigt handhavande 3 Patienter/brukare förväxlas pga. dåligt gränssnitt i den mobila enheten 4 Mobilt arbetssätt ger inte önskad effekt pga. fördyrande omständigheter. T.ex. dyra enheter, höga kommunikationskostnader och kostnader för IT-stödet. 5 Mobila enheter stjäls och att känslig information som är lagrad på enheten sprids pga. att enheten förvaras olåst och den är felaktigt konfigurerad 6 Känsliga samtal spelas in utan medgivande pga. att någon medvetet startat inspelningsfunktionen. 7 Den mobila enheten inte är korrekt uppdaterad pga. att det är inte är bestämt vem som har ansvaret att uppdatera enheten. 8 Stulna enheter har åtkomst till nätverket pga. att dessa inte anmälts försvunna och därmed inte spärrats. 3 1 3 1 4 4 3 2 6 3 3 9 1 3 3 4 3 12 använd täckningskollen Genomför utbildning, uppdatera riktlinjerna, se till att dessa kommuniceras ut, och att de är begripliga Låg sannolikhet, åtgärd bedöms ej nödvändig. Dock viktigt med tydliga gränssnitt. Utbildning, kontinuerlig samverkan med IT Utbildning, användare måste hantera enheten enl. rutin, konfiguration Kryptering, lösenord = IT-rutiner. Rutin för uppdatering, metoder/lathundar. Kunskapsrelaterat länet Ansvarig utbildning är v-chef, Ansvarig riktlinjer är ledningen Användarkrav vid utveckling, upphandling chef, projektansvarig Närmsta chef IT-chef IT-chefen Närmsta chef

8 ID Scenario S K RV Åtgärd Ansvarig 9 Jobbrelaterade adresser, Kunskapsrelaterat Närmsta chef telefonnummer sprids till obehöriga pga. att enheten har använts i sammanhang som inte är jobbrelaterade. 1 3 3 10 Kalendern, epost och lagring röjs pga. synkronisering inte sker med hjälp av VPN (kryptering). 11 HSL-dokumentationen i Journalen inte är tillgänglig pga. att den mobila enheten inte Kartläggning sopbil ställ krav på bättre täckning! Byt enheten kolla att Kommunledning har en roll som sköter att fungerar korrekt. den verkligen är trasig byta enh. 4 2 8 Utbildning. (BRA att det finns en specifik person/roll 12 Dokumentation i journalsystemet riskerar att hamna i molnet pga. att nedladdade appar med rättigheter i andra program exporterar uppgifterna utan användarens medvetenhet. 13 Patienter, brukare eller information förväxlas pga. stressande mobil arbetsmiljö. 14 Den mobila enheten läcker känslig information pga. dåligt lösenordsskydd, avsaknad av stark autentisering. 1 4 2 4 Tydligare riktlinjer (socialnämnd) för att ladda ner appar mm, rutiner (tjänsteman gk) Inköp MDM-verktyg. Joga, taktil massage Påminn om lagen! Handsfree Inför stark autentisering för detta) Socialnämnden Tjänsteman IT-enh. Socialanämnden Enhetschef chef ansv. för krav IT chef för verkställande

9 ID Scenario S K RV Åtgärd Ansvarig 15 Mobila enheter stjäls och känslig information sprids till anslutna pga. enheten försvaras olåst. 16 Enheten får skadlig kod pga. relevant skydd saknas. 17 Skadlig kod överförs från den mobila enheten till det fasta nätverket när information överförs eller synkroniseras 18 Regelverket för mobila enheter är svårtolkat och inaktuellt pga. uppföljning och revidering inte sker med fastställda perioder. 19 Avlyssning pga. enheten är ansluten till ett öppet trådlöst nät. 20 Man inte använder den mobila enheten pga. att det går för lång tid mellan synkronisering eller anslutning till nätverket 21 Man inte använder den mobila enheten pga. för krånglig inloggning och dålig användarvänlighet/ utbildning 22 Man tappar plattan i golvet pga. dåligt fodral. 23 Man inte kan läsa på skärmen pga. solljus eller dålig kvalité på skärmen 2 2 4 1 3 3 1 1 1 4 2 8 1 3 4 2 8 3 2 6 4 2 8 Tydligare rutiner (t.ex. låsbara utrymme, avvikelse på att det inte följs), handhavande, egenansvar. Vanligt att projekt genomförs men vem följer upp att rutiner följs senare efter projekttiden? Befogenheter att genomföra åtgärder då rutiner inte följs? Kontinuerlig grupp med IT-verksamhet regelbundna träffar. Saknas generellt på alla scenario riktlinjer och rutiner Bra med träffar! Tänk på vid upphandling! chef Närmsta chef Saknas roll /funktion? PuL-ansv? Informationssäkerhetsperson? IT-strateg saknas för att tänka framåt

10 ID Scenario S K RV Åtgärd Ansvarig 24 Användaren är utan enhet - datorn går sönder, lång tid att få en ny pga. att 3 3 9 lager saknas. 25 Man kör i diket, olycka, pga. använder enheten samtidigt att man kör. 4 4 16 26 Diagnos, utskrivningsplanering, vårdplan i Cosmic Link inte är tillgängligt pga. tekniskt fel på enheten, nätverksfel eller systemfel. 27 Journalinformation förväxlas pga. dåligt gränssnitt. 28 Sekretessen bryts pga. avlyssning för att kommunikation skett okrypterat. 29 Uppföljning av händelse kan inte genomföras pga. loggranskningsrutin inte omfattar mobilitet. 30 Ny användare kommer åt gammal information pga. rensningen vid ominstallationen inte fungerade korrekt. 31 Enheten blir kapad, dvs. förlorar kontrollen över enheten pga. användaren öppnar okänd mms, sms, länk. 32 Det inte går att följa upp vem som gjort vad på enheten och i enhetens appar/program pga. loggranskningsrutinen inte omfattar mobila enheter. 33 Användaren manipulerat grundinställningarna pga. hen vill ha mer funktionalitet. 2 2 4 1 4 4 2 2 4 4 3 12 1 2 2 2 2 4 4 2 8 3 2 6 Påtala behov av uppdatering eller åtgärd. Att det ska finnas tekniskt skydd, virusskydd, MDMverktyg. Uppgradera regelverk för loggrutiner, sprida info gm utbildning. Att det ska finnas tekniskt skydd, virusskydd, MDMverktyg. Uppgradera regelverk för loggrutiner, sprida info gm utbildning. Skapa rutin, MDM verktyg. IT-enh. lokalt Landstinget Cosmic link IT-chefen chef IT-chefen chef chef och IT-chef

11 ID Scenario S K RV Åtgärd Ansvarig 34 Användaren inte byter lösenord till de tjänster man normalt är ansluten till om enheten Rutiner måste förtydligats och kända av alla, öka utbildning, kunskap om att ta rutiner chef (HSL- SOL) / Förvaltningschef försvinner eller 2 2 4 på allvar! kontouppgifter röjs pga. användaren inte har kunskap, insikt och verktygen att spärra. 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss