180 likes | 344 Views
Sikkerhed på den kliniske arbejdsplads. Præsentation ved auditoriemøde 2. September 2005 IT-sikkerhedspolitik og DS 484 Adgang til patientdata Trådløst netværk IT-beredskab og nødplaner Vær bevidst om IT-sikkerhed Jørn Knudsen IT-sikkerhedskoordinator. IT-sikkerhedspolitik i H:S.
E N D
Sikkerhed på den kliniske arbejdsplads • Præsentation ved auditoriemøde 2. September 2005 • IT-sikkerhedspolitik og DS 484 • Adgang til patientdata • Trådløst netværk • IT-beredskab og nødplaner • Vær bevidst om IT-sikkerhed Jørn Knudsen • IT-sikkerhedskoordinator
IT-sikkerhedspolitik i H:S H:S gældende IT-sikkerhedspolitik er udarbejdet i 2001 og godkendt af H:S bestyrelse. Informationssikkerhed i det offentlige skal fremover udføres inden for rammerne af DS-484, som er baseret på den internationale standard ISO/IEC 17799. Indholdsmæssigt medfører dette kun få ændringer, men eksisterende politik, retningslinjer, procedurer og instrukser skal tilpasses DS-484. Dette vil ske i samarbejde med de kommende regionspartnere.
IT-sikkerhedspolitik i H:S IT-sikkerhedspolitikken fastsætter en målsætning samt en række overordnede krav til it-sikkerhed i organisationen. Hospitalerne skal • leve op til lovgivningskrav og andre regelsæt • fremtræde som en pålidelig og troværdig organisation • begrænse konsekvenser af fejl og hændelser • sikre mod uvedkommendes adgang til information • sikre at omgåelse eller forsøg herpå opdages og håndteres betryggende
IT-sikkerhedspolitik i H:S IT-sikkerhedspolitikken omhandler endvidere: • ansvar og opgaver for ledelse, medarbejdere og særlige funktioner • afklarer politikkens dækningsområde IT-sikkerhedspolitikken dækker al informationsbehandling i H:S (billeder og tekst) og uanset på hvilket medie informationen lagres. IT-sikkerhedspolitikken kan læses på H:S I:NET
Adgang til patientdata på EPJFælles politik, retningslinjer og krav til Klinisk Proces for H:S og KA med udgangspunkt i H:S ”Politik for Rettighedsstyring, februar 2004”
H:S politik for adgang til personhenførbare data • Adgang til data skal være baseret på behov • Der skal eksistere en behandlings- eller plejerelation • Patienten skal have indflydelse på, hvilke data der gøres tilgængelige for sundhedsmedarbejdere i H:S • Patientdata skal tilgås efter princip om nødvendighed og tilstrækkelighed • Patient og sundhedsmedarbejder skal være sikkert identificerede fysiske personer • Patientdata kan anvendes til forskning, kvalitetssikring, administrativ kontrol og statistik Politikken forudsætter, at personalet i alle sammenhæng optræder ifølge de etiske normer og kutymer, som gælder på H:S hospitaler, herunder regler om tavshedspligt vedrørende patientforhold.
Regler for adgang til patientdata • Forenklet regelsæt til maskinel kontrol af adgang • Opstilling af 11 regler for adgang – omsat i skema • Særlige forhold vedrørende patienter ”med diskretion” skal fastlægges afhængigt af applikationen • Behov for akut data-adgang for sundhedspersoner, som ikke har en behandlingsrelation til patienten • Særlige forhold for statistik, forskning og kvalitetssikring • Administrativ kontrol, økonomi og behandling af klagesager • H:S implementering af IT-sikkerhedsvejledning for sygehuse (SST 2002)
Sikkerhed i trådløse net Centrale Servere
Sikkerhed i trådløse net • Adskilte net til forskellige formål eller med forskellige teknologier: PC-net klinisk PDA-net klinisk Andre H:S net, som f.eks. H:S-forsker-net kommende patient-net adskilt fra H:S nettet • Elektronisk mærkning af udstyr, så kun kendt udstyr kan logge på (signatur/certifikat på udstyr) • Log-in af brugere med nye ”kendetegn”. Biometri, token/smartcard eller elektronisk signatur
Sikkerhed i trådløse net Der vil ske en hurtig udvikling af teknologier til øget sikring af identifikation af brugere og udstyr. Stor udfordring at følge med og installere det store antal forskellige løsninger, som skal kunne fungere parallelt. Meget stor opgave at administrere disse sikkerhedsløsninger.
IT-beredskab og nødplanerIT-beredskabet skal sikre, at IT-systemerne efter en ”hændelse” bringes til normal drift så hurtigt som muligt efter en prioriteret plan.Nødplaner er brugernes/afdelingernes planer, som skal iværksættes, når IT-systemerne ikke er tilgængelige i en længere periode.Datagrundlag for nødplaner og tilsvarende arbejdsinstrukser skal etableres samtidigt med etablering og implementering af de nye IT-systemer.
Definition på en it-katastrofe • Med en it-katastrofe menes en så alvorlig forstyrrelse af it-driften og tilhørende aktiviteter, • at forstyrrelsen ikke kan håndteres inden for normal problemhåndtering og • at it-driften af vitale it-systemer er afbrudt eller truet i et omfang som er uacceptabelt for hospitalsdriften. • En forstyrrelse kan, tilsigtet eller utilsigtet, være foranlediget af en hændelse som f.eks: • Brand Sabotage • Eksplosion Tekniske fejl • Vandskade Langvarig strømafbrydelse
Max. nedbrudstid iht. beredskabsprioritering Nøddrift IT opgaver Varsling og fremmøde IT-beredskabsledelse og opgaveansvarlige Etablering af nøddrift IT leverandører involveres Test Informer hospitalssledelser og HSD Eskalering Varsling Koordiner m. hospitalsafdelingerne Informer medarbejdere, patienter og presse Vurdering af situationen Afdelinger iværksætter nødplaner Hospitalsafdelingernes opgaver It-katastrofesituation Normal drift Backup tidspunkt
Vær bevidst om IT-sikkerhed • Husk at IT-sikkerhed beskytter både patientdata og dig selv. Du er ansvarlig for data registreret med din personlige User-ID og dit password. Derfor er god IT-Skik vigtig ! • Læs de relevante afsnit af IT-sikkerhedspolitikken samt fælles og lokale retningslinjer • Spørg din chef eller de daglige sikkerhedsansvarlige, hvis du er i tvivl om, hvordan du skal gøre
Vær bevidst om IT-sikkerhed For at sikre en grundlæggende og ensartet information om og instruktion i god IT-sikkerhedsadfærd er der udarbejdet et H:S e-learning kursus om IT-sikkerhed. Kurset henvender sig til alle IT-brugere i H:S og administreres under LMS-rammen. Kurset afsluttes med en test.