1 / 115

Återkoppling Säkerhetsredovisning 2013 En kunskapsöversikt Agenda:

Återkoppling Säkerhetsredovisning 2013 En kunskapsöversikt Agenda: Säkerhetsarbetet 2013 – resultat av enkätsvar Frågor och diskussion Redovisning av 2014 års säkerhetsarbete – synpunkter? Övrigt Gullbergsvass 2014-05-21. Säkerhetsredovisning 2013 Lång hela VGR ver. 1.0

demetrius-glover
Download Presentation

Återkoppling Säkerhetsredovisning 2013 En kunskapsöversikt Agenda:

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Återkoppling Säkerhetsredovisning 2013 • En kunskapsöversikt • Agenda: • Säkerhetsarbetet 2013 – resultat av enkätsvar • Frågor och diskussion • Redovisning av 2014 års säkerhetsarbete – synpunkter? • Övrigt • Gullbergsvass • 2014-05-21

  2. Säkerhetsredovisning 2013 Lång hela VGR ver. 1.0 Redovisning av säkerhetsarbetet och säkerhetsläget i Västra Götalandsregionens verksamheter under 2013 Diagram i denna redovisning bygger i huvudsak på svar i en webb-enkät i från 44 verksamheter 2014-05-19 Rapport 2014-03-11 “Redovisning av säkerhetsarbetet och säkerhetsläget i Västra Götalandsregionens verksamheter 2013” finns på regionens webb-plats Insidan. http://intra.vgregion.se/sv/Insidan/amnesomraden/Krisberedskap-och-sakerhet/Sakerhet/

  3. Innehåll Förvaltningar och bolag Medverkande och redovisning till nämnd och styrelse Sammanfattningar Sammanfattning 1 extra kort version – 1 sida och samma som till ÅR (RS 2014-03-25) Sammanfattning 2 kort version – 1 sida Utgångspunkter för redovisning av 2013 års säkerhetsarbete Politiska beslut, säkerhetsstrategi och tjänstemannaansvaret IT-säkerheten 2013 Handlingsplan för informationssäkerhet Uppföljning av 7 Mål i Regional strategi för säkerhetsarbetet 2013-2014 Sammanfattning – måluppfyllelse Starka och mindre starka säkerhetsområden i relation till uppsatta mål Krishanteringsförmåga Regionövergripande och gemensamma risker Personsäkerhet Informationssäkerhet Hälso- och sjukvård Övrigt

  4. Förvaltningar och bolag

  5. Förvaltning och bolag • OBS att begrepp verksamhet och förvaltning betyder samma sak i denna presentation

  6. Verksamhet inom hälso- och sjukvård • OBS att 13 verksamheter inom sjukvård är inklusive 2 beställare (Närhälsan och HSN-kansliet)

  7. Svar i denna rapport/enkät har redovisats till nämnd, styrelse eller bolagsstyrelse

  8. Svar i denna rapport/enkät kommer att redovisas till nämnd, styrelse eller bolagsstyrelse Notera att två verksamheter har inte och kommer inte att redovisa säkerhetsarbetet 2013 till nämnd eller styrelse

  9. Svar i denna rapport/enkät har tagits fram • Det finns potential till ökad samverkan mellan förvaltningar

  10. Antal personer har medverkat och påverkat svar i denna rapport Fråga: Hur många personer har varit inblandade? Totalt kan beräknas att ca 250 personer varit inblandade i enkätsvar och påverkat innehållet i denna rapport

  11. 2. Två sammanfattningar

  12. Sammanfattning 1 – extra kort version 1(1) • Säkerhetsläget i Västra Götalandsregionens verksamheter är huvudsak stabilt men det finns utvecklingspotential inom olika säkerhetsområden. • Problemet med IT-säkerheten – trots problem med IT-säkerheten, nya hot och risker är bedömningen att åtgärder under året och planerade aktiviteter och brutit en negativ trend. • Handlingsplan för informationssäkerhet (beslutad av RS) – åtgärder fortsätter under 2014 med bl.a. åtgärder som stärker ägar- och verksamhetsstyrning, säkerhetskultur och utbildningsinsatser. • Starka säkerhetsområden (i relation till uppsatt mål) är avvikelsehantering, rutiner som kan tillämpas vid IT-avbrott och genomgång av säkerhetsfrågor och upprättandet av kontinuitetsplan och/eller beredskapsplan • Mindre starka säkerhetsområden ärklassificering av information, handlingsplan för säkerhetsarbetet, klassificering av lokaler, utbildning i personsäkerhet övningsverksamhet kring operativ ledning av kris- och katastrofer och identifiering av rutiner som kan effektiviseras och/eller automatiseras.

  13. Sammanfattning 2 – kort version 1(2) • Säkerhetsläget i Västra Götalandsregionens verksamheter är huvudsak stabilt men det finns utvecklingspotential inom olika säkerhetsområden för verksamheter som inte verkar inom hälso- och sjukvård. • Problemet med IT-säkerheten – trots problem med IT-säkerheten, nya hot och risker är bedömningen att åtgärder under året och planerade aktiviteter och brutit en negativ trend kring IT, eller åtminstone bromsat upp denna trend. • Handlingsplan för informationssäkerhet (beslutad av RS) – åtgärder fortsätter under 2014 med bl.a. åtgärder som stärker ägar- och verksamhetsstyrning, säkerhetskultur och utbildningsinsatser för tekniker, särskild högskolebaserad utbildning och interaktiv utbildning informationssäkerhet. • Starka säkerhetsområden är avvikelsehantering, rutiner som kan tillämpas vid IT-avbrott, genomgång av säkerhetsfrågor, upprättandet av kontinuitetsplan och/eller beredskapsplan • Mindre starka säkerhetsområden är klassificering av information, handlingsplan för säkerhetsarbetet, klassificering av lokaler, utbildning i personsäkerhet övningsverksamhet kring operativ ledning av kris- och katastrofer och identifiering av rutiner som kan effektiviseras och/eller automatiseras. • Övrig säkerhet i korthet: • Systematiskt säkerhetsarbetet bedrivs inom hälso- och sjukvård i allt ökande omfattning och det finns utvecklingspotential för andra verksamheter • Fler Risk- och sårbarhetsanalyser (RSA) har genomförts under 2013 jämfört med tidigare år. • Intresset för administrativa säkerhetstjänster har ökat • Förståelsen för säkerhetsfrågor har ökat. • Samverkan mellan verksamheter har ökat • Lokal TiB-funktion – fler verksamheter har inrättat denna funktion under 2013 • Personsäkerhet – fler personer än tidigare har medverkat i personsäkerhetsutbildningar • Investeringar I Windows 7 inkl Office 2013 har gjort den personliga arbetsplatsen säkrare

  14. Andra iakttagelser • Omfattning • Alla förvaltningar och bolag i VGR har besvarat webbenkät I EsMaker • 11 utförarverksamheter inom hälso- och sjukvård har 43 536 personer – 85,2 % av anställda i VGR • 34 verksamheter – 14,8 % av anställda i VGR • Svarsfrekvens – alla förvaltningar och bolag har besvarat frågor och lämnat synpunkter på säkerhetsarbetet under 2013 • RSA och Intresset • Fler RSA (Risk- och sårbarhetsanalyser) har genomförts 2013 än under tidigare år • Intresset för administrativa säkerhetstjänster har ökat • Intresset och förståelsen för säkerhetsfrågor har ökat • Annat • Samverkan mellan förvaltning har identifierats - folkhögskolorna har nu gemensam förvaltning • Personsäkerhet – fler personer än tidigare har medverkat i personsäkerhetsutbildningar • Fler verksamheter har inrättat lokal TiB-funktion

  15. 3. Utgångspunkter för redovisning av 2013 års säkerhetsarbete Politiska beslut, säkerhetsstrategi och tjänstemannaansvaret Handlingsplan för informationssäkerhet – RS beslut 2013-03-26 IT-säkerheten 2013 Regional säkerhetsstrategi för 2013-2014

  16. Politiska beslut, säkerhetsstrategi och tjänstemannaansvaret Nämnder, styrelser och bolagsstyrelser ska årligen redovisa sitt säkerhetsarbete till Regionstyrelsen och i respektive årsredovisning enligt Regionfullmäktiges beslut den 22 april 2008, dnr RSK 636-2006. Utgångspunkt för redovisningen är Regional strategi för säkerhetsarbetet i Västra Götalandsregionens verksamheter 2013-2016 fastställd av Regionfullmäktige den 14 maj 2013, dnr RS 572-2011. Förvaltningschef, säkerhetschef/motsvarande eller av förvaltningschef utsedd kontaktperson ansvarar för att svar och bedömningar i frågeformuläret ger en rättvisande bild av förvaltningens säkerhetsarbete och säkerhetsläge under 2013.

  17. Handlingsplan för informationssäkerhet För att åtgärda problem med IT-säkerheten har övergripande handlingsplan för informationssäkerhet tagits fram och beslutats av regionstyrelsen 2013-03-26. Åtgärder i denna plan handlar om att: • Stödja nationellt informationssäkerhetsarbete inom vård- och omsorg • Förstärka ägarstyrning bl.a. genom a) revidering av riktlinjer för informationssäkerhet och policy och b) utformning av regelverk för medicintekniska system och tekniska styrsystem (SCADA) • Förstärka verksamhetsstyrning genom att a) föreslå funktion för operativt säkerhetsarbete b) genomföra utbildningsinsatser för tekniker c) genomföra särskild högskolebaserad utbildning som ett stöd för införande av ledningssystem d) ta fram en interaktiv utbildning (film med lärmoment) inom området informationssäkerhet • Åtgärder som stärker säkerhetskulturen inom VGR IT

  18. IT-säkerheten 2013 1(2) • Trots problem med IT-säkerheten, nya hot och risker är bedömningen att vidtagna åtgärder under året, planerade aktiviteter och strategier brutit en negativ trend kring IT, eller åtminstone bromsat upp denna trend. • IT-säkerheten ökar succesivt när planerade åtgärder genomförs och när IT-säkerheten ökar försvåras bland annat dataintrång och skadlig kod i våra IT-system. • Genomförda och planerade åtgärder handlar om uppgradering av IT-system, befintlig IT-infrastruktur och utbildningsinsatser till IT-tekniker. • Exempel på åtgärder är: SSO (Singel Sign On), projekt kring säker identitetshantering, säkrare nät och etablering av process för larmhantering för IT-system • IT-säkerhetsstrategi och IS/IT-strategi har tagits fram under 2013 och investeringar I Windows 7 inkl Office 2013 har gjort den personliga arbetsplatsen säkrare • IT-säkerheten kan utvecklas i de mindre förvaltningarna

  19. IT-säkerheten 2013 2(2) • “Trots att IT-säkerheten har förbättrats till en viss del men större delen, upplever medarbetare att IT-säkerheten ej har förbättrats. System införs utan möjligheter till utbildning. Systemen ej kompatibla vilket skapar frustration och tär på IT-säkerheten och medarbetare.” • Konstateranden: • Verksamheter är beroende av kompetens från VGR IT men otydliga regler, rutiner och otydlig tillämpning av eventuella regler skapar missförstånd – dialog och förståelse måste utvecklas mellan VGR IT:s tekniker och verksamheten • IT-problem och IT-avbrott kan påverka patientsäkerheten • Att IT-system tas i drift utan att vara tillräckligt testade är ett problem • IT-problem i verksamheter tar tid från arbetet med patienter

  20. Regional strategi för säkerhetsarbetet 2013-2014 • Regionfullmäktige har 2013-05-14 fastställt Regional strategi för säkerhetsarbetet i Västra Götalandsregionens verksamheter 2013-2016. • Säkerhetsstrategin består av 7 strategiska mål som följs upp varje år utifrån beslutade måltal. De beslutade 7 strategiska målen med 13 måltal är: • Mål 1Att förebygga mänskligt lidande, skador, skadeverkningar och kostnader samt säkerhetsklassificering av lokaler. • Mål 2 Att säkerhetsarbetet i Västra Götalandsregionens verksamheter blir en ledningsfråga. • Mål 3 Att Västfastigheter ansvarar för fastighetsbunden säkerhet. • Mål 4 Att Regionservice, på särskilda villkor, tillhandahåller administrativa säkerhetstjänster. • Mål 5 Att förvaltningar, var för sig eller i samverkan, etablerar ändamålsenlig risk- och krishanteringsorganisation och upprättar kontinuitetsplaner • Mål 6 Att säkerhetskultur och utbildning i patient- och personsäkerhet • Mål 7 Att rätt och riktig information når rätt mottagare i rätt tid.

  21. 4. Sammanfattningar – måluppfyllelse 7 mål Starka och svaga säkerhetsområden Säkerhetsindex för 2013 Illustrationer av starka och svaga säkerhetsområden Behov av säkerhetstjänster och VF:s ansvar m.m.

  22. Sammanfattning 1(3)Starka och mindre starka säkerhetsområden i relation till uppsatta mål i den regionala säkerhetsstrategin Definitioner: Starkt säkerhetsområde = svar stämmer helt eller nästan helt dvs svar i nivå 3-5 • Mindre starkt säkerhetsområde = svar stämmer inte alls helt eller nästan inte alls dvs svar i nivå 1-3 • Mål 1 – Avvikelsehantering Måltal 2013 är att minst 75 % av alla verksamheter har en systematisk avvikelsehantering Resultat för 2013 är 91 % svar i intervallet 3-5 =starkt säkerhetsområde • Mål 1 – Klassificering av lokaler Måltal 2013 är att minst 25 % av alla verksamheter har påbörjat arbetet med att klassificera lokaler Resultat för 2013 är 45 %svar i intervallet 3-5 = starkt säkerhetsområde (pga lågt satt mål) • Mål 2 – Regelbunden genomgång av säkerhetsfrågor Måltal 2013 är att minst 75 % av alla verksamheter har regelbunden genomgång av säkerhetsfrågor Resultat för 2013 är 80 % svar i intervallet 3-5 = starkt säkerhetsområde • Mål 3 – Västfastigheters ansvar för fastighetsbunden säkerhet Måltal 2013 är att för 75 % av alla verksamheter har Västfastigheter tagit över ansvar för fastighetsbunden säkerhet Resultat för 2013 är 50 % svar i intervallet 3-5 = mindre starkt säkerhetsområde

  23. Sammanfattning forts. – 1(2)Starka och mindre starka säkerhetsområden Definitioner: Starkt säkerhetsområde = svar stämmer helt eller nästan helt dvs svar i nivå 3-5 • Mindre starkt säkerhetsområde = svar stämmer inte alls helt eller nästan inte alls dvs svar i nivå 1-3 • Mål 4 – Administrativa säkerhetstjänster – om det finns behov av säkerhetstjänster • Resultat för 2013 är 73 % svar i intervallet 3-5 vilket innebär att det finns behov av tjänster kopplat till tjänstekort, larm, avtal, passagesystem, vakthållning och kameraövervakning = bra utgångspunkter för LTC • Mål 5 – Handlingsplan för säkerhetsarbetet som är fastställd av nämnd eller styrelse Mål 2013 är att minst 75 % av alla verksamheter har en beslutad handlingsplan för säkerhetsarbetet Resultat för 2013 är 68 %svar i intervallet 3-5 = mindre starkt säkerhetsområde • Mål 5– Kontinuitetsplan eller kris- och beredskapsplan som är fastställd av nämnd eller styrelse • Mål 2013 är att minst 25 % av alla verksamheter har en beslutad kontinuitetsplan eller kris- och beredskapsplan Resultat för 2013 är 57 % svar i intervallet 3-5 = starkt säkerhetsområde (pga lågt satt mål) • Mål 6 – Förvaltningar utbildar sin personal i personsäkerhet Mål 2013 är att minst 75 % av alla förvaltningar utbildar sin personal i personsäkerhet Resultat för 2013 är 53 % svar i intervallet 3-5 = mindre starkt säkerhetsområde

  24. Sammanfattning forts. – 1(3)Starka och mindre starka säkerhetsområden Definitioner: Starkt säkerhetsområde = svar stämmer helt eller nästan helt dvs svar i nivå 3-5 • Mindre starkt säkerhetsområde = svar stämmer inte alls helt eller nästan inte alls dvs svar i nivå 1-3 • Mål 7 – De viktigaste processerna och informationsmängderna är identifierade Resultat för 2013 är 82 % svar i intervallet 3-5 = starkt säkerhetsområde • Mål 7– Förvaltningens skyddsvärda information har identifierats och klassificerats Mål 2013 är att minst 50 % av alla verksamheter har klassificerat skyddsvärd information Resultat för 2013 är 73 %svar i intervallet 3-5 = starkt säkerhetsområde • Mål 7 – Skyddsvärd information lagras och kommuniceras på ett säkert sätt • Resultat för 2013 är 91 % svar i intervallet 3-5 = starkt säkerhetsområde • Mål 7 - Rutiner som kan tillämpas vid IT-avbrott • Mål 2013 är att 50 % av alla verksamheter har kända rutiner som kan tillämpas i händelse av IT-avbrott Resultat för 2013 är 75 % svar i intervallet 3-5 = starkt säkerhetsområde TOTALT: 8 starka områden och 3 mindre starka områden

  25. Hälso- och sjukvård Index utifrån 12 svar kopplat till 7 strategiska mål Not. Genomsnittligt index = 3,58

  26. Mål 1 - Avvikelser i förvaltningens verksamheter hanteras på ett systematiskt sätt • Mål 1 – Avvikelsehantering Måltal 2013 är att 75 % av alla verksamheter har en systematisk avvikelsehantering Resultat för 2013 är 91 % svar i intervallet 3-5 = starkt säkerhetsområde

  27. Mål 1 - Arbetet med att säkerhetsklassificera lokaler har påbörjats • Mål 1 – Klassificering av lokaler Måltal 2013 är att 25 % av alla verksamheter har påbörjat arbetet med att klassificera lokaler Resultat för 2013 är 45 % svar i intervallet 3-5 = starkt säkerhetsområde (pga lågt satt mål)

  28. Mål 2 - Ledningen har regelbunden genomgång av säkerhetsfrågor • Mål 2 – Regelbunden genomgång av säkerhetsfrågor Måltal 2013 är att 75 % av alla verksamheter har regelbunden genomgång av säkerhetsfrågor Resultat för 2013 är 80 % svar i intervallet 3-5 = starkt säkerhetsområde

  29. Mål 3 - Västfastigheter har tagit över ansvar för fastighetsbundna säkerhetsanläggningar • Mål 3 – Västfastigheters ansvar för fastighetsbunden säkerhet • Måltal 2013 är att för 75 % av alla verksamheter har Västfastigheter tagit över ansvar för fastighetsbunden säkerhet Resultat för 2013 är 50 % svar i intervallet 3-5 = mindre starkt säkerhetsområde

  30. Mål 4 - Det finns behov av administrativa säkerhetstjänster som ex vis hantering av tjänstekort, larm, avtal, passagesystem, vakthållning och kameraövervakning Mål 4 – Administrativa säkerhetstjänster – behov av säkerhetstjänster Resultat för 2013 är 73 % svar i intervallet 3-5 vilket innebär att det finns behov av tjänster kopplat till tjänstekort, larm, avtal, passagesystem, vakthållning och kameraövervakning

  31. Mål 4 - Det finns behov av följande säkerhetstjänster Mål 4 – Administrativa säkerhetstjänster – om det finns behov av säkerhetstjänster Resultat för 2013 är 73 % svar i intervallet 3-5 vilket innebär att det finns behov av tjänster kopplat till tjänstekort, larm, avtal, passagesystem, vakthållning och kameraövervakning

  32. Mål 4 - Det finns behov av följande säkerhetstjänster

  33. Mål 5 - Handlingsplan för säkerhetsarbetet finns och är fastställd av nämnd, styrelse eller bolagsstyrelse • Mål 5 – Handlingsplan för säkerhetsarbetet som är fastställd av nämnd, eller styrelse Mål 2013 är att minst 75 % av alla verksamheter har en beslutad handlingsplan för säkerhetsarbetet Resultat för 2013 är 68 % svar i intervallet 3-5 = mindre starkt säkerhetsområde

  34. Mål 5 - Kontinuitetsplan eller kris- och beredskapsplan finns och är fastställd av nämnd, styrelse eller bolagsstyrelse • Mål 5 – Kontinuitetsplan eller kris- och beredskapsplan som är fastställd av nämnd eller styrelse • Mål 2013 är att minst 25 % av alla verksamheter har en beslutad kontinuitetsplan eller kris- och beredskapsplan Resultat för 2013 är 57 % svar i intervallet 3-5 = starkt säkerhetsområde (pga lågt satt mål)

  35. Mål 6 - Anställda i förvaltningen får utbildning i personsäkerhet • Mål 6 – Förvaltningar utbildar sin personal i personsäkerhet Mål 2013 är att 75 % av alla förvaltningar utbildar sin personal i personsäkerhet Resultat för 2013 är 53 % svar i intervallet 3-5 = mindre starkt säkerhetsområde

  36. Mål 7 - De viktigaste processerna och informationsmängderna är identifierade • Mål 7 – De viktigaste processerna och informationsmängderna är identifierade Resultat för 2013 är 82 % svar i intervallet 3-5 = starkt säkerhetsområde

  37. Mål 7 - Förvaltningens skyddsvärda information har klassificerats • Mål 7 – Förvaltningens skyddsvärda information har identifierats och klassificerats Mål 2013 är att minst 50 % av alla verksamheter har klassificerat skyddsvärd information Resultat för 2013 är 73 % svar i intervallet 3-5 = starkt säkerhetsområde

  38. Mål 7 - Skyddsvärd information lagras och kommuniceras internt och extern (via ex vis e-post) på ett säkert och tillfredsställande sätt Mål 7 – Skyddsvärd information lagras och kommuniceras på ett säkert sätt Resultat för 2013 är 91 % svar i intervallet 3-5 = starkt säkerhetsområde men å andra sidan.... nästa bild!

  39. Mål 7 – Det finns problem att kommunicera skyddsvärd information på ett säkert sätt Sjukvården upplever problem med att kommunicera skyddsvärd information 7 av 13 eller 61,5 % anser att påståendet stämmer helt eller stämmer nästan

  40. Mål 7 - Det finns rutiner som kan tillämpas vid IT-avbrott • Mål 7 - Rutiner som kan tillämpas vid IT-avbrott • Mål 2013 är att 50 % av alla verksamheter har kända rutiner som kan tillämpas i händelse av IT-avbrott Resultat för 2013 är 75 % svar i intervallet 3-5 = starkt säkerhetsområde

  41. 5. Krishanteringsförmåga • Konstateranden: • Beläggningen på sjukhus har ökat och påverkat krishanteringsförmågan • Användning av sociala medier innebär ökade möjligheter att sprida information och samtidigt en ökad risk när felaktig information får spridning som kan innebära hot och risker som inte är förutsägbara • Hotbilden har förändrats vilket inneburit säkerhetshöjande åtgärder och ökad samverkan med polisen • Problem med IT-säkerhet har påverkat krishanteringsförmågan • Fler verksamheter har inrättat tjänsteman i beredskap (L-TiB) vilket ökar krishanteringsförmågan

  42. Har risk- och sårbarhetsanalyser (RSA) genomförts under 2013 i syfte att förbättra krishanteringsförmågan?

  43. Så här har verksamheter svarat:

  44. Har risk- och sårbarhetsanalyser (RSA) genomförts under 2013 i syfte att förbättra informationssäkerheten?

  45. Så här har verksamheter svarat:

  46. Har skydds- och förbättringsåtgärder genomförts under 2013 som påverkat krishanteringsförmågan? • Genomförda åtgärder handlar för många om utvecklings- och utbildningsinsatser

  47. Så här har verksamheter svarat 1(4):

  48. Så här har verksamheter svarat 2(4):

  49. Så här har verksamheter svarat 3(4):

  50. Så här har verksamheter svarat 4(4):

More Related