1 / 36

Informatiebeveiligingsbeleid in het ziekenhuis

Informatiebeveiligingsbeleid in het ziekenhuis . Berrie SteerICT Auditor UMC St Radboud. Inhoud. Toelichting Informatiebeveiliging

Rita
Download Presentation

Informatiebeveiligingsbeleid in het ziekenhuis

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

    2. Informatiebeveiligingsbeleid in het ziekenhuis Berrie Steer ICT Auditor UMC St Radboud

    3. Inhoud Toelichting Informatiebeveiliging – NEN 7510 Toelichting Informatiebeveiliging UMC St Radboud Toelichting / discussie praktische toepassing NEN 7510

    4. Wat is informatiebeveiliging? Waarborging van de beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid van gegevens die nodig zijn om patiënten binnen het UMC St Radboud verantwoorde zorg te kunnen bieden en om onderwijs en onderzoek op een verantwoorde manier te kunnen uitvoeren.

    5. Waarom informatiebeveiliging? Wettelijke eisen (o.a. WBP, WGBO, Wet computercriminaliteit) Verwachtingen van de omgeving – stakeholders (o.a. patiënten, studenten, toezichthouders, w.o. Inspectie voor de Gezondheidszorg) Voorkoming van (financiële) schade Bescherming van het imago van de organisatie

    6. Rapport ICT in de ziekenhuizen – IGZ, aug. 2004 Ziekenhuizen besteden onvoldoende aandacht aan risico’s inzet ICT Beschikbaarheid, integriteit en vertrouwelijkheid informatievoorziening is niet gewaarborgd Onvoldoende samenhang tussen centrale ICT-afdeling en zorgafdelingen ICT wordt onderwerp van algemeen toezicht Aankondiging controle NEN 7510 in 2005

    7. Wat zijn de bedreigingen? Fysieke bedreigingen Brand, wateroverlast, e.d. Falen van de techniek Storingen in apparatuur, programmatuur, stroomvoorziening Menselijk - onopzettelijk Fouten van medewerkers en beheerders, verlies van gegevens Menselijk - opzettelijk Ongeautoriseerd gebruik, diefstal van gegevens, computervirussen en hacking

    8. Wat zijn de gevolgen? Lichamelijk schade / overlijden patiënt Personeel kan niet werken Bedrijfsproces stagneert Productieverlies Verlies van uniek materiaal / geïnvesteerde tijd Financiële gevolgen Schadeclaims Imagoschade Interne en externe politieke gevolgen

    9. Voorbeelden uit de praktijk

    10. Toelichting NEN 7510 IBIZ-Project van NEN en vertegenwoordigers uit de zorgsector Doel: handvat bieden voor implementatie informatiebeveiliging Gebaseerd op de Code voor Informatiebeveiliging In april 2004 definitief uitgebracht Wordt nu uitgewerkt in zogenaamde ‘Toetsbare Voorschriften’

    11. Informatiebeveiliging binnen het UMC St Radboud

    12. Uitgangspunten informatiebeveiliging UMC St Radboud NEN-norm 7510 ‘Informatiebeveiliging in de zorg’ Gestructureerde aanpak volgens het beleidsproces Informatiebeveiliging is onderdeel integrale managementverantwoordelijkheid Stimuleren beveiligingsbewustzijn bij management en medewerkers Aandacht voor informatiebeveiliging bij ontwikkeling informatiesystemen Toezicht op naleving van het Informatiebeveiligingsbeleid

    13. Organisatie informatiebeveiliging UMC St Radboud

    14. Lijnverantwoordelijkheid Informatiebeveiliging Beveiliging van de eigen informatievoorziening Realiseren decentrale maatregelen Communicatie met en voorlichting aan het eigen personeel Toezicht op de naleving van maatregelen

    15. Centrale coördinatie informatiebeveiliging Security Officer Beheer informatiebeveiligingsbeleid, richtlijnen en standaarden Coördineren van de implementatie van informatiebeveiliging Communicatie en voorlichting Evaluatie, rapportage en advies

    16. Activiteiten informatiebeveiliging 2004 - 2005 Beleid & Organisatie Beveiligingseisen Personeel Naleving Evaluatie en (nieuwe) nulmeting, inclusief decentraal Waarom juist deze activiteiten? Welke risico’s worden hiermee afgedekt?

    17. Argumentatie gekozen aanpak ‘Als het beleid ontbreekt komt het volk ten val, maar er is uitkomst als er vele raadgevers zijn’ Voorwaardenscheppend (Relatieve) lage score bij nulmeting Beveiliging is mensenwerk => verbetering bewustzijn informatiebeveiliging

    18.

    19. Informatiebeveiliging en de Medisch Administrateur Waar lopen de MA’s & AMA’s tegen aan Identificatie Authenticatie Autorisatie van medewerkers en pc’s Classificatie van gegevens, labelen en behandelen van gegevens De dagelijkse praktijk

    20. Algemene Identificatie Authenticatie Autorisatie Waarom AIAA Medewerkers Autorisatiemodel Active Directory

    21. Waarom AIAA Organisatiebrede Directory (AD) met daarin alle “medewerkers” Opname medewerkers in RACF (mainframe) Aanloggen aan de KA omgeving (file-, print-, mailservices) Aanloggen concern systemen (Labrador, portal). HR is Bronssysteem IAA Medewerkers koppelen aan functieprofielen door lijnorganisatie

    23. Identiteiten Een ieder die toegang heeft tot het UMCN terrein, hier geldt dezelfde procedure als met de UMCN Badge. Basis is het HR systeem, bij opname in het HR systeem geldt een legitimatie plicht. P&O afd. is verantwoordelijk. X-account, functioneel/service account, wordt gebruikt voor inloggen van applicaties, pc’s, werkplek management. Account wordt hetzelfde behandelt als een “gewoon” account. Aanvraag via afd. hoofd daarna nagekeken en voorzien van een keurmerk door security afdeling.

    24. Keurmerk keurmerk wil zeggen dat aan dat userobject een centraal uitgegeven stempel wordt gehangen dat controleerbaar en decodeerbaar is m.b.v. een daarvoor uitgegeven public-key. het keurmerk is een versleutelde versie (met public-key interface) van de samenvoeging van de accountnaam, aanmaakdatum & objectid van het userobject. Bij het inloggen (in de accountservice) wordt deze versleutelde waarde weer ontcijferd (met private-key) en gecontroleerd of dit nog overeenkomt met het userobject. een userid wordt geauthenticeerd middels een wachtwoord en/of een certificaat plus controle van het keurmerk. user-id's zijn binnen het UMC strikt gebonden aan regels (gedragscode & regels).

    25. Autorisatiemodel 3 stappenplan: autorisatie KA-omgeving netwerkschijven, printers en dergelijke autorisatie tot applicaties Op basis van functie opname in functiegroep. autorisatie tot data Binnen de applicatie (specialisme, kostenplaats, patiënteninfo) Functiegroep + applicatie specifiek

    27. Classificatie van gegevens De leiding van de instelling moet een classificatieschema vaststellen en registreren. De verantwoordelijke voor de gegevens moet: Vaststellen en registreren welke maatregelen behoren bij welke classificatie; Periodiek de classificatie evalueren. Voor verschillende soorten gegevens bestaat een verschillende behoefte of noodzaak tot beveiliging. Eisen ten aanzien van beschikbaarheid, vertrouwelijkheid en integriteit kunnen verschillend zijn afhankelijk van de soort gegevens.

    28. Labelen en behandelen van gegevens Van alle gegevens moet worden geregistreerd wie inhoudelijk verantwoordelijk is. Er moeten passende procedures zijn vastgesteld, gedocumenteerd, ingevoerd en onderhouden voor het classificeren en verwerken van gegevens. Er moeten per soort gegevens verwerkingsprocedures zijn vastgesteld, gedocumenteerd, ingevoerd en onderhouden die de informatieverwerkende activiteiten dekken.

    29. De dagelijkse praktijk

    32. Praktijkvoorbeeld, hoe gaan we hiermee om?

    33. Praktijkvoorbeeld, hoe gaan we hiermee om?

    34. Praktijkvoorbeeld, hoe gaan we hiermee om?

    36. Tien geboden voor informatiebeveiliging Houd wachtwoorden geheim Berg vertrouwelijke informatie op Beveilig uw werkplek bij (tijdelijke) afwezigheid Verstrek geen vertrouwelijke informatie ongecontroleerd aan derden Gebruik internet en e-mail op een goede manier Pas op voor virussen, ook bij het downloaden van bestanden Gebruik geen illegale programmatuur Meld een beveiligingsincident aan de helpdesk, leidinggevende of Decentrale Coördinator Informatiebeveiliging Wees voorzichtig met mobiele apparatuur (laptop, PDA, etc.) Sla gegevens op op het netwerk of zorg anders voor een goede back-up

    37. Vragen

More Related