Säkerhetsredovisning 2013 Hälso och sjukvård Lång ver. 1.0

1. Säkerhetsredovisning 2013 Hälso och sjukvård Lång ver. 1.0 Frågor och svar på säkerhetsenkät från 11 verksamheter i Västra Götalandsregionens Hälso- och sjukvård 2014-03-10

2. Innehåll Sammanfattning Utgångspunkter Del 1 Inledning Del 2 Sju strategisk mål med 12 frågor och svar inkl. index Del 3 Krishanteringsförmåga Del 4 Regionövergripande och gemensamma risker Del 5 Personsäkerhet Del 6 Informationssäkerhet Del 7 Säkerhet i övrigt Hanteringsordning: Redovisning av säkerhetsarbetet finns nu med i årsredovisning Rapport och TU till RS PP 1 - denna pp med frågor och svar kring inom hälso- och sjukvård PP 2 – pp med frågor och svar från alla 45 verksamheter och bolag

3. Sammanfattning Samlad bild • Samlad bild är att säkerhetsläget i huvudsak är stabilt men det finns utvecklingspotential • 45 förvaltningar och bolag - alla har besvarat webbenkät I EsMaker • 11 verksamheter inom hälso- och sjukvård har 43 536 personer – 85,2 % av personalen • 34 verksamheter – 14,8 % av all personal I VGR Planer • 2013 är planernas och strategiernas med bl.a. regional säkerhetsstrategi, handlingsplan för informationssäkerhet, IT-säkerhetsstrategi och IS/IT-strategi • Problem med IT och IT-säkerhet kvarstår men åtgärder har vidtagits under 2013 • Handlingsplan för informationssäkerhet och åtgärder enligt denna plan fortsätter 2014 RSA och Intresset • Fler RSA än tidigare år • Intresset för administrativa säkerhetstjänster har ökat • Intresset och förståelsen för säkerhetsfrågor har ökat Systematisktarbete och IT • Systematiskt säkerhetsarbetet inom hälso- och sjukvård och det finns utvecklingspotential för andra verksamheter • IT-säkerheten har ökat med bl.a. SSO, projekt kring säker identitetshantering, säkrare nät, etablerat process för larmhantering för IT-system • Investeringar I Windows 7 inkl Office 2013 har gjort den personliga arbetsplatsen säkrare

4. Sammanfattning forts. Informationssäkerhet (enl. Handlingsplan) • Åtgärder som stödjer nationellt arbete inom vård och omsorg • Åtgärder som förstärker ägar- och verksamhetsstyrning genom nya riktlinjer för informationssäkerhet, dvs revidering av LIS • Utbildningsinsatser för tekniker, särskild högskolebaserad utbildning och interaktiv utbildning informationssäkerhet för hälso- och sjukvård • Åtgärder som stärker säkerhetskulturen Annat • Ökad samverkan mellan förvaltning har identifierats – folkhögskolorna och egen förvaltning 45 förvaltningar och bolag - alla har besvarat webbenkät I EsMaker • Fler verksamheter har inrättat lokal TiB-funktion • Personsäkerhet – fler personer än tidigare har medverkat i personsäkerhetsutbildningar Starka säkerhetsområden • Avvikelsehantering och upprättandet av handlingsplaner • Rutiner som kan tillämpas vid IT-avbrott Svaga säkerhetsområden • Arbetet med kontinuitetsplaner, klassificering av information och lokaler • Regelbunden genomgång av säkerhetsfrågor av verksamhetsledning • Övningsverksamhet kring operativ ledning av kris- och katastrofer • Identifiering av rutiner som effektiviseras och/eller automatiseras

5. Utgångspunkter • Nämnder, styrelser och bolagsstyrelser ska årligen redovisa sitt säkerhetsarbete till Regionstyrelsen och i respektive årsredovisning enligt Regionfullmäktiges beslut den 22 april 2008, dnr RSK 636-2006. • Utgångspunkt för redovisningen är Regional strategi för säkerhetsarbetet i Västra Götalandsregionens verksamheter 2013-2016 fastställd av Regionfullmäktige den 14 maj 2013, dnr RS 572-2011. • Förvaltningschef, säkerhetschef/motsvarande eller av förvaltningschef utsedd kontaktperson ansvarar för att svar och bedömningar i frågeformuläret ger en rättvisande bild av förvaltningens säkerhetsarbete och säkerhetsläge under 2013.

6. DEL 1 Inledning Antal personer har medverkat och påverkat svar i denna rapport/enkät

7. Verksamheter och ansvarig tjänsteman för enkätsvar

8. Svar i denna rapport/enkät har tagits fram

9. Svar i denna rapport/enkät har redovisats till nämnd, styrelse eller bolagsstyrelse

10. Svar i denna rapport/enkät kommer att redovisas till nämnd, styrelse eller bolagsstyrelse

11. DEL 2 Sju strategiska mål med 12 frågor och svar inkl index Mål 1 - Avvikelser i förvaltningens verksamheter hanteras på ett systematiskt sätt

12. Mål 1 - Arbetet med att säkerhetsklassificera lokaler har påbörjats

13. Mål 2 - Ledningen har regelbunden genomgång av säkerhetsfrågor

14. Mål 3 - Västfastigheter har tagit över ansvar för fastighetsbundna säkerhetsanläggningar

15. Mål 3 - Det finns behov av administrativa säkerhetstjänster som ex vis hantering av tjänstekort, larm, avtal, passagesystem, vakthållning och kameraövervakning

16. Mål 4 - Det finns behov av följande säkerhetstjänster G. Annat

17. Mål 5 - Handlingsplan för säkerhetsarbetet finns och är fastställd av nämnd, styrelse eller bolagsstyrelse

18. Mål 5 - Kontinuitetsplan eller kris- och beredskapsplan finns och är fastställd av nämnd, styrelse eller bolagsstyrelse

19. Mål 6 - Anställda i förvaltningen får utbildning i personsäkerhet

20. Mål 7 - De viktigaste processerna och informationsmängderna är identifierade

21. Mål 7 - Förvaltningens skyddsvärda information har klassificerats

22. Mål 7 - Skyddsvärd information lagras och kommuniceras internt och extern (via ex vis e-post) på ett säkert och tillfredsställande sätt

23. Mål 7 - Det finns rutiner som kan tillämpas vid IT-avbrott

24. Hälso- och sjukvård Index utifrån 12 svar kopplat till 7 strategiska mål Not. Genomsnittligt index = 3,58

25. DEL 3 Krishanteringsförmåga Har risk- och sårbarhetsanalyser (RSA) genomförts under 2013 i syfte att förbättra krishanteringsförmågan? Antal RSA som har genomförts är:

26. Har risk- och sårbarhetsanalyser (RSA) genomförts under 2013 i syfte att förbättra informationssäkerheten? Antal RSA som har genomförts är:

27. Har skydds- och förbättringsåtgärder genomförts under 2013 som påverkat krishanteringsförmågan?

29. Har skydds- och förbättringsåtgärder genomförts under 2013 som påverkat informationssäkerheten?

31. Har skydds- och förbättringsåtgärder genomförts under 2013 som påverkat säkerheten i övrigt?

33. STRATEGISK LEDNING Förvaltningen har handlingsplaner för systematiskt säkerhetsarbete och tydliga roller och tydligt ansvar för säkerhetsarbetet

34. SAMVERKAN MED ANDRA AKTÖRER Förvaltningen samverkar med andra förvaltningar, kommuner, polis, räddningstjänst m.fl

35. EXTERN INFORMATION / KOMMUNIKATION Förvaltningen samverkar i externa nätverk och med andra landsting

36. INTERN INFORMATION / KOMMUNIKATION Förvaltningen samverkar i interna nätverk och med andra aktörer inom VGR

37. OPERATIV LEDNING Förvaltingen genomför övningar inom området kris- och katastrofledning

38. DEL 4 Regionövergripande och gemensamma risker Regionövergripande och regiongemensamma risker som behöver hanteras över förvaltnings- och bolagsgränser inom VGR

41. Ny styrmodell och förvaltningsmodell (pm3) för IS/IT har bidragit till ökad effektivisering och tydlighet inom säkerhetsområdet vad gäller roller och ansvar

42. DEL 5 Personsäkerhet

43. Befintliga personsäkerhetsutbildningar (regional eller lokala utbildningar) är ett bra stöd i arbetet med personsäkerhet

44. Andel av personalen som har fått någon form av säkerhetsutbildning

45. DEL 6 Informationssäkerhet Säkerhetsarbetet i VGR styrs av ett regelverk som består av policy, strategi, riktlinjer, mål, anvisningar, instruktioner och beskrivningar. Detta regelverk behöver utvecklas.

46. Ange exempel på hjälp/stöd som skulle underlätta det egna/lokala säkerhetsarbetet och som borde a) utvecklas, b) förtydligas eller c) avvecklas.

49. Regler, råd och anvisningar för hur säkerhetsarbetet ska bedrivas är komplexa och omfattande och behöver förenklas.

50. Mål 7 - arbetet med informationssäkerhet är att säkerställa att information finns tillgänglig när den behövs, att den är korrekt, att obehöriga inte har tillgång till den (konfidentialitet) och att den kan spåras. Innebörd och konsekvenser av dessa mål är kända för all personal.