Version: 1 Beslutsinstans: Regiondirektören
2(10) ÄNDRINGSFÖRTECKNING Version Datum Ändring Beslutat av 1. 2016-06-30 Nyutgåva Regiondirektören
3(10) INNEHÅLLSFÖRTECKNING 1 INLEDNING...4 2 ANSVAR FÖR INFORMATIONSSÄKERHET...4 2.1 Regionfullmäktige...4 2.2 Regionstyrelsen...4 2.3 Regiondirektören...4 2.4 Förvaltningschefernas och stabschefens ansvar...5 2.5 Områdeschef/Avdelningschef...5 2.5.1 Verksamhetschef...5 2.6 Enhetschefens ansvar...6 2.7 Medarbetares ansvar...6 2.8 Systemägare...6 2.9 Kvalitetsstrateg...6 3 SPECIALISTKOMPETENS OCH STÖDJANDE FUNKTIONER FÖR INFORMATIONSSÄKERHET...7 3.1 Personuppgiftsombud (PuO)...7 3.2 Informationssäkerhetssamordnare...7 3.3 IT- säkerhetsansvarig...7 3.4 Informationssäkerhetsråd...8 4 BEKRÄFTELSE AV MOTTAGANDE...9
4(10) 1 INLEDNING Informationssäkerhetsarbetet har sin utgångspunkt i gällande lagstiftning. Regionens spolicy anger vad som ska uppnås med sarbetet. d.v.s. att uppnå nivå av sekretesskydd, riktighet, tillgänglighet och spårbarhet för information. Arbetet ska så långt som möjligt ske i enlighet med svensk standard för SS-ISO 27001:2014. 2 ANSVAR FÖR INFORMATIONSSÄKERHET 2.1 Regionfullmäktige Fastställer spolicyn. 2.2 Regionstyrelsen Regionstyrelsen har det övergripande ansvaret för en inom Region Jämtland Härjedalen. Ansvaret uttrycks i regionens spolicy som även anger principerna för hur sarbetet ska organiseras. Regionstyrelsen är också personuppgiftsansvarig och ska utse personuppgiftsombud. Regionstyrelsens ansvar innefattar hantering av alla övergripande sfrågor och att det finns en eller flera utsedda personer som ska ansvara för sarbetet. Ansvaret för en följer sedan verksamhetsansvaret inom alla nivåer. 2.3 Regiondirektören Regiondirektören ansvarar för omfattning och inriktning av förvaltningarnas sarbete. I detta ingår ansvar för att: regionens ledningssystem uppfyller kraven för ISO 27001:2006 regionens arbete med sker på ett ändamålsenligt sätt och i enlighet med policyn sfrågor behandlas strategiskt, genom att tillsammans med ledningsgruppen årligen genomföra ledningens genomgång där uppnådda resultat följs upp, analyseras och utvärderas beslut tas vid ledningens genomgång för att säkerställa ständiga förbättringar resurser avsätts för samordningen av sarbetet fastställa regler och riktlinjer för en årlig plan för sarbete upprättas
5(10) årlig rapportering sker till styrelsen om sarbetet. 2.4 Förvaltningschefernas och stabschefens ansvar Förvaltnings- och stabschef har på regiondirektörens uppdrag ansvar för att: sarbetet inom respektive förvaltning genomförs i enlighet med ledningssystemet gällande lagstiftning efterlevs förvaltningens chefer och övriga medarbetare fortlöpande får information och instruktioner som är nödvändiga för sarbetet regler och rutiner görs kända 2.5 Områdeschef/Avdelningschef Områdeschef/Avdelningschef ansvarar för en inom den egna verksamheten. Det omfattar också att vara informationsägare för den information som skapas och används inom verksamheten. Ansvaret innefattar att informationen har rätt kvalitét för sitt ändamål, finns tillgänglig när den behövs och att sekretesskänslig information som skapas i eller kommuniceras till eller från den egna verksamheten skyddas på ett säkert sätt. Områdeschef/avdelningschef ansvarar för att: Informationsklassning/riskanalys genomförs för information som hanteras i gemensamma IT- system eller när nya IT system/tjänster ska införas I samverkan med andra områden vara kravställare mot berörda systemägare så att systemen uppfyller skraven. kontinuitetsplaner för upprättas och kommuniceras underställda chefer och medarbetare får nödvändig information och utbildning i 2.5.1 Verksamhetschef Verksamhetschef ska enligt Socialstyrelsens föreskrifter SOSFS 2008:14 informationshantering och hantering av personuppgifter inom hälso- och sjukvården ansvara för att: uppföljning sker av patientuppgifternas kvalitet och ändamålsenlighet, utdelade behörigheter för åtkomst till patientuppgifter är ändamålsenliga och förenliga med hälso- och sjukvårdspersonalens och andra befattningshavares aktuella arbetsuppgifter, hälso- och sjukvårdspersonalen och andra befattningshavare är informerade om de bestämmelser som gäller för hantering av patientuppgifter, och
6(10) uppföljning av informationssystemens användning genom regelbunden kontroll av loggarna 2.6 Enhetschefens ansvar Enhetschefen ansvarar för att: Inom enheten organisera sarbetet Tillse att regionens regler och rutiner är kända och efterlevs Tillse att kontinuitetsplaner finns och är kända Ta emot, bedöma, utreda och rapportera negativa händelser, tillbud, risker till verksamhetschef Medarbetarna får den information och utbildning som krävs avseende 2.7 Medarbetares ansvar Varje medarbetare har ett ansvar att i det dagliga arbetet följa aktuell lagstiftning och regionens sregler för anställda. Ansvaret omfattar t ex att ansvara för att personliga lösenord och hjälpmedel för autentisering inte kan bli tillgängliga för obehöriga, ansvara för att datorer eller andra informationsbärare som har använts inte lämnas utan att patientuppgifterna är skyddade från obehörig åtkomst, och endast ta del av patientuppgifter som behövs för att utföra sitt arbete inom hälso- och sjukvården. Alla anställda har också skyldighet att i regionens avvikelsehanteringssystem rapportera avvikelser, incidenter och risker kopplade till. 2.8 Systemägare Varje IT system i Region Jämtland Härjedalen ska ha en systemägare. Systemägaren har ansvar för respektive IT-systems säkerhet och ansvarar även för framtagande av kontinuitetsplaner för systemet. I regionens kvalitetshandbok för systemförvaltning beskrivs systemägarens ansvar.
7(10) 2.9 Kvalitetsstrateg Kvalitetsstrateg ansvarar för den övergripande handläggningen av regionens ledningssystem där regler och rutiner m.m. för ingår. 3 SPECIALISTKOMPETENS OCH STÖDJANDE FUNKTIONER FÖR INFORMATIONSSÄKERHET 3.1 Personuppgiftsombud (PuO) Region Jämtland Härjedalens personuppgiftsombud har till uppgift att se till att regionens verksamheter behandlar personuppgifter på ett lagligt och korrekt sätt. Till ombudets uppgifter hör bl.a. att: Kontrollera att den personuppgiftsansvarige följer lagstiftning för behandling av personuppgifter samt att densamme åtgärdar eventuella brister i regionens personuppgiftsbehandling Anmäla missförhållanden till Datainspektionen som är tillsynsmyndighet när det gäller behandling av personuppgifter Föra en förteckning över de behandlingar av personuppgifter, som skulle ha omfattats av anmälningsskyldighet, om ombudet inte funnits Hjälpa allmänheten med registerutdrag och rättelse av felaktiga uppgifter i personuppgiftsregister. 3.2 Informationssäkerhetssamordnare I regionen ska det finnas en utsedd ssamordnare som på uppdrag av regiondirektören ansvarar för att: samordna regionens strategiska sarbete i enlighet med regionens spolicy utarbeta årlig plan för aktiviteter inom sarbetet utarbeta årlig srapport till regionstyrelsen ta initiativ till arbete med att arbeta fram policy, riktlinjer, regler och rutiner inom området ta initiativ till att utbildning tas fram och genomförs inom organisationen ta initiativ till och medverka i säkerhetsrevisioner bevaka och sammanställa sincidenter följa upp att föreskrifter för efterlevs omvärldsbevaka sområdet
8(10) bistå informationsägare med stöd att genomföra informationsklassningar och riskanalyser inom sområdet vara sammankallande i srådet 3.3 IT- säkerhetsansvarig IT- säkerhetsansvarig har till uppgift att införa förebyggande skyddsåtgärder för att undvika IT-säkerhetsincidenter som hotar verksamhetens informationshantering. I uppgifterna ingår att: Löpande initiera och genomföra säkerhetshöjande förbättringsåtgärder för ITinfrastrukturen, baserat på kraven i BITS-analyser av informationen i regionens verksamhetssystem Handlägga auktorisationer av nya och uppgraderade IT-system för godkännande innan de anskaffas och införs i IT-miljön Genomföra risk- och sårbarhetsanalyser av specifika delar i IT-miljön utifrån bl. a. ställda verksamhetskrav på Löpande analysera och följa upp rapporterade IT-säkerhetsincidenter och utifrån dessa initiera säkerhetshöjande åtgärder Vara konsultativ resurs för verksamheter som har behov av att utforma säkerhetshöjande åtgärder i IT-system Agera kravställare säkerhet och säkerhetsrevisor på extern IT-driftleverantör som innehar avtal för regionens IT-drift Samordna IT-säkerhetsarbetet gentemot regionens systemägare för att få enhetlig utformning och nivå på de olika verksamhetssystemens säkerhetsåtgärder/-funktioner. 3.4 Informationssäkerhetsråd I Regionstaben ska finnas ett sråd för regionens sarbete. Rådet ska ha företrädare med kompetens och funktionsansvar inom: Juridik Arkiv och dokumenthantering Personuppgiftsfrågor Riskhantering Patientsäkerhet IT -säkerhet Informationssäkerhet Kvalitetsutveckling Informationssäkerhetsrådet är sakkunnigstöd inom området och ska bistå ssamordnaren i dennes uppdrag genom att främja, stödja, samordna och följa upp regionens sarbete. I gruppens arbetsuppgifter ingår att:
9(10) Utarbeta handlingsplan för god Hålla övergripande regler för aktuella samt ta fram förslag till nya Utifrån fastställda regler, utarbeta övergripande genomföra rutiner som ska finnas tillgängliga i ledningssystemet Systematiskt arbeta för ständiga förbättringar bl.a. genom att arbeta med riskanalyser och granskningar inom området Initiera och föreslå säkerhetshöjande åtgärder utifrån genomförda riskbedömningar och kontroller, allt i syfte att uppnå en förbättrad Fungera konsultativt som stöd och remissinstans för regionens verksamheter i sfrågor Tillhandahålla en funktionsbrevlåda via insidan/ledningssystemet dit frågeställningar kan skickas. Sammankallande är ssamordnare och ordförande är Beredskapschef. Rådets möten ska dokumenteras i form av minnesanteckningar. 4 BEKRÄFTELSE AV MOTTAGANDE Undertecknad bekräftar härmed mottagandet av denna fördelning av ansvar för Ort och datum: Namnunderskrift Befattning
10(10) Namnförtydligande