180 likes | 471 Views
Norm for informasjonssikkerhet Modul 1 – Normen – en oversikt. Innhold. Hva er Normen? Normens oppbygging og innhold Faktaark og veiledere Hvordan gå frem for å ivareta kravene i Normen? Forvaltning av Normen. 1. Hva er Normen?. Personvern Privatlivets fred
E N D
Norm for informasjonssikkerhetModul 1 – Normen – en oversikt
Innhold • Hva er Normen? • Normens oppbygging og innhold • Faktaark og veiledere • Hvordan gå frem for å ivareta kravene i Normen? • Forvaltning av Normen
1. Hva er Normen? Personvern • Privatlivets fred • Regulere bruk av personopplysninger Informasjonssikkerhet • Virkemidler for å sikre personvernet • Konfidensialitet • Integritet • Tilgjengelighet • Kvalitet
1. Hva er Normen? • Kompleks sektor med 10 000+ virksomheter • Fragmentert lovverk • Normen: • Utviklet av sektoren og Datatilsynet • Basert på og dekker alle krav i lover og forskrifter • Normen kan stille strengere krav enn loven • Omforent i sektoren • Følges Normen - etterleves regelverket
1. Hva er Normen? Hvem gjelder Normen for? • Juridisk bindende for ”virksomheter” som er tilknyttet Norsk Helsenett (iht avtalen om tilknytning) • Kan være krav i en avtale (for eksempel databehandleravtale) • Veiledende for alle andre
1. Hva er Normen? Formålet med Normen • Etablere tilfredsstillende informasjonssikkerhet • Ett regelsett • Stole på samhandlingspartner • Harmonisere sikkerheten mellom virksomheter i sektoren
Eksempler på sikkerhetsbrudd ”.....pasientlister ble lagt åpent ut på nett og ikke ble fjernet. Departementet ser svært alvorlig på nok en helseglipp” ”Som VG Nett avslørte har sykehuset latt svært sensitive pasientopplysninger ligge i en resirkuleringsboks der pasienter og pårørende ferdes.” ”Sykehuset bestemte seg tirsdag for å politianmelde journalsnokinga som har foregått ved sykehuset.” ”Flere ansatte ved sykehuset har fått muntlig refs etter at de har snoket i pasientenes journaler.” ”Ved sykehuset avslørte ledelsen en ansatt som leste journalen til en kjendis.”
2. Normens oppbygging og innhold • Styrende del • Gjennomførende del • Kontrollerende del www.normen.no
2. Normens oppbygging og innhold Styrende del – viktige områder • Ordfører har formelt det overordnede ansvaret • Etablere mål og strategi for informasjonssikkerhet • Nivå for akseptabel risiko • Utarbeide oversikt over behandlinger • Sende melding til Datatilsynet evt. til personvernombud
2. Normens oppbygging og innhold Gjennomførende del – viktige områder • Tilgangstyring • Datakommunikasjon (samhandling internt og eksternt) • Opplæring • Avtaler • Databehandleravtale - se www.datatilsynet.no • Leverandør – fjernaksess til fagapplikasjon
2. Normens oppbygging og innhold Kontrollerende del – viktige områder • Sikkerhetsrevisjon • Gjennomføres etter prinsippene for internkontroll av HMS • Ekstern sikkerhetsrevisjon • Med hjemmel i avtale: for eksempel Norsk Helsenett • Risikovurdering • Avvikshåndtering • Ledelsens gjennomgang
3. Faktaark og veiledere • Faktaark og veiledere omhandler ulike temaer og angir forslag til løsninger • Angir eksakte krav og veiledninger www.normen.no • Faktaark • Eksempel: Faktaark 42 – Bruk av SMS i pasientkontakt
3. Faktaark og veiledere Veiledere om: • Fjernaksess • Forskning • Tilknytning av kommunen til helsenettet • Helse- og sosialtjenesten i kommunen og fylkeskommunen • Tannhelsetjenesten • Legekontor
4. Hvordan gå frem for å ivareta kravene i Normen? • Ledelsesforankring i kommunen • Etablere eller revidere styringssystem for informasjonssikkerhet (forholdsmessig sikring) • Opplæring • Gjennomføre nødvendige tiltak • Sørge for kontinuitet og løpende lederforankring
5. Forvaltning av Normen • Bestemmende: Styringsgruppen for Normen • Helsedirektoratet har ansvaret for å forvalte informasjonssikkerhetsarbeidet i sektoren • Sekretariat for Normen: Helsedirektoratet • sikkerhetsnormen@helsedir.no • Tilgjengelighet: www.normen.no / www.nhn.no