Finns tydlighet i ansvar och roller avseende hantering av IT

Området omfattar även om det finns roller och arbetssätt som stödjer en säker hantering av IT. Området berör t ex även om det finns etablerade processer mellan IT-avdelningen och verksamheten. Informationssäkerhetens funktionens uppföljande och stödjande arbetet innefattas i avsnittet.

Iakttagelser

Inom enheten Säkerhet och Beredskap finns en informationssäkerhetsfunktionen med en informationssäkerhetssamordnare. Enheten medverkar till att stödja verksamhet-ernas krav på informationssäkerheten (stöd och uppföljning). Se exempel på uppgifter i bilaga 4.

I granskningen har det framkommit behov att se över informationssäkerhetsfunktion-en gränssnitt mot olika ansvariga inom organisationinformationssäkerhetsfunktion-en (till exempel kontaktytor mot landstingsledningen, systemägare, IT-avdelningen, personuppgiftsombud och olika forum).

Under landstingsdirektören finns en intern kontrollenhet som medverkar som stöd t ex vid riskanalyser och uppföljning. Detta omfattar även IT. Se avsnitt 3.3 avseende upp-följning.

IT-avdelningens interna arbete och gränssnittet med verksamheten tydliggörs via fast-ställda processer⁸. Dock anges att det finns ett förbättringsbehov. Det har påbörjats ett

8 De stödjer sig på ett etablerat ramverk ITIL

arbete med att ta fram bättre dokumenterade överenskommelser⁹ kring vad IT-avdelningen gör och inte.

Via servicedesk funktionen rapporteras kontinuerligt problem som finns kring IT-hanteringen. Underlagen dokumenteras och används i proaktivit syfte. Se mer i avsnitt 3.5 avseende incidenter.

Tidigare fanns lokala IT-resurser (s.k. LISOR) ¹⁰ ute i organisationen (arbetsplats). Nu finns istället begreppet IT-partner. Dessa tillhör IT-avdelningen men ska utgöra ett lokalt stöd till verksamheterna. Ett syfte med förändringen är att IT-partners ¹¹ska kunna ge ökat stöd till verksamheterna t ex medverka till att fel och problem åtgärdas snabbare och ge en enhetlig information.

Det anges dock att man har förlorat en del av de kontaktytor¹² (närheten) som fanns tidigare, till exempel bidrog LISOR till att föra ut informationssäkerhetsrelaterade frå-gor till verksamheterna. Det anges dock att det sker en översyn kring hur detta kan förbättras inom den nya organisationen med IT-partners.

Landstingets system förvaltas med stöd av en etablerad förvaltningsmodell¹³. Syftet med modellen är att stödja verksamheternas krav avseende systemets utveckling, för-ändringar och arbetsätt kring systemet. Hur arbetet ska bedrivas finns beskrivet och ett arbete med att etablera modellen har påbörjats. Målsättningen är att systemförvalt-ningen ska bedrivas utifrån modellen på alla system inom vården.

För att effektivisera förvaltningen och bredda kompetensen inom IT grupperas syste-men in i så kallade objekt utifrån syfte och användning.

Idag finns många system som inom vården som inte hanteras inom IT-avdelningens ansvarsområde. Detta innebär att förvaltningen av systemet utförs på ett varierade sätt¹⁴. En anledning som anges till att systemen inte finns inom IT-avdelningen är att systemen användes innan IT-avdelningens ansvarsområde var tydliggjort. Avseende nya system så tar IT-avdelningen ansvar för dessa. Avseende de system som inte han-teras inom IT-avdelningen anger de vi intervjuat att det oklart hur olika krav utifrån de styrande dokumenten beaktats.

9 SLA (Service Level Agreement)

10LISOR i verksamheten (personal som var extra kunniga kring IT för att stött kollegor på viss avsatt tid).

11 Ett kompetenskrav som ställs på partners är att de ska god erfarenhet av vårdverksamheten

12 Tex informera om förändringar. Informationsflödet vad gäller IT gick tidigare via LISORNA. informationen gick inte alltid fram ända ut i verksamheten (tidsbrist, svårt att i alla lägen avgöra vad som var viktigt/inte viktigt). Det kan bli så att en IT partner arbetar mot en div/förvaltning. Tanken är att partnern skall ha nära kontakt med verksamheten och vara den man kontaktar i alla IT relaterade frågeställningar en väg in). IT-supporten finns kvar och hanterar det den ska. Effekterna är bättre förståelse för verksamheten, kunna lösa vissa frågor direkt. Antalet IT partners blr 8-10. Idag finns inga IT-roller/funktioner ute i verksamheten.

13 De stödjer sig bland annat på PM3. pm3 står för På maintenance management model. pm3 ägs, förvaltas och utveck-las av På AB utifrån praktisk erfarenhet i konsultuppdrag och utbildningsinsatser kombinerat med akademisk forsk-ning. Idag är pm3 en de facto standard för förvaltningsstyrning i Sverige.

14 I den enkät vi skickade ut kom flera mail tillbaka där den som enligt uppgifter skulle vara systemägare angav att man inte är detta.

I granskningen har det framkommit behov att tydliggöra gränssnitten¹⁵ mot Medicinsk Teknik.

För ambulans-EKG finns en etablerad systemförvaltning där den Medicintekniska or-ganisationen och verksamheten och IT-avdelningen samarbetar.

Avseende medicinska informationssystem- som klassas som medicintekniska produk-ter, MTP, inom Laboratoriemedicin, Radiologi och Fysiologi pågår ett arbete med att utveckla samarbete mellan IT-avdelningen och Medicinsk Teknik.

I den enkät som skickades ut till systemägare angav fyra av de besvarande att deras roll systemägare inte är tillräckligt tydlig. Fem svarande att det är tydligt.

Fig. Visar svar på om ansvaret är tydligt ”Mitt ansvar och mina uppgifter som systemägare är tydligt”

Kommunikation kring avseende verksamheternas krav på IT-verksamheten.

Det finns ett strategiskt forum, systemägarerådet, som regelbundet kommunicerar ris-ker, problem och utvecklingsbehov avseende landstingets mest kritiska system. Arbetet resulterar bland annat i olika prioriteringar (vi har tagit del av en prioriteringlista som visar årets prioriteringar).

Avseende medicinsk teknik finns ett forum – Tekniska kommittén¹⁶ för medicintek-niska produkter, MTP. Detta stödjer att prioritera olika åtgärder för en säkrare hante-ring av tekniska försörjningssystem inkl. IT-system som klassas som MTP.

I organisationen finns förvaltningsråd för de större systemen. Systemförvaltare håller i dessa grupper. Systemägare avgör frekvensen.

Våra kommentarer

 Avseende de verksamhetsövergripande systemen som hanteras inom

IT-avdelningen synes detta till stor del ske på ett önskvärt sätt utifrån de krav som finns idag. Det finns fastställda arbetssätt¹⁷ (se avsnitt 3.1). Medvetenhet finns kring brister och det pågår förbättringsarbeten på olika sätt (till exempel arbetet

15 Den medicinstekniska utrustningen blir mer och mer beroende av en väl fungerande IT-infrastruktur och förmåga hos IT-funktionen. (resurser, processer, teknik). I vilka processer krävs ett rådgörande med medicinsk teknik och omvänt. När krävs information (RACI).

16 Tekniska kommittén har funnits ca 1 år. Divisionschef Diagnostik är ansvarig och har kontakt med HSL. Deltagande från Chefsläkare Anestesi, Medicinsk teknik, FM-avdelningen, IT, Inköpsavdelningen, Miljö, Katastrofkommitté, Steril-central

17 Ett processorienterat arbetssätt. Där vissa processer är etablerade. Avseende vissa processer pågår fortfarande ett införandarbete.

med dokumenterade överenskommelser). Det angivna systemägarrådet medverkar i prioritera förbättringsaktiviteter utifrån ett verksamhetskrav.

 Avseende de system som inte förvaltas inom IT-avdelningen är enligt vår bedöm-ning den övergripande kontrollen inte är tillräckligt tillfredställande. Vi rekom-menderar att detta ses över ¹⁸. Ett krav är att det ska finnas en samlad bild kring olika system och samband dem emellan (vad gör systemet, vem är systemägare, vem förvaltar systemet osv).

 Avseende systemägarerollen ser vi behov av förbättringar (tydliggörande av ansvar och uppgifter). Exempelvis utbildning kring vad det innebär att vara systemägare.

Detta innefattar vad som är ledningens förväntan/krav utifrån de styrande doku-menten.

 Vi ser behov att ytterligare förbättra kontaktytor mellan Medicinsk Teknik och IT-avdelningen. Det bör fastställas hur kommunikation och information mellan de båda funktionerna ska hanteras (till exempel när krävs att man

råd-gör/kommuniceras innan ett beslut att gå vidare får fattas, när krävs att man in-formerar varandra, vem får fatta beslut). Vi rekommenderar även att ansvariga från Medicinsk Teknik i ökad grad hjälper landstingsledningen och systemägare som kravställare¹⁹ på IT-relaterade processer inklusive IT-infrastrukturen. En idé kan till exempel vara att ansvariga från medicinsk teknik deltar i det gemensamma systemägarrådet.

 Vi rekommenderar även att det sker en översyn avseende informationssäkerhets-funktionen gränssnitt mot olika ansvariga. Detta gäller till exempel hur den regel-bundna uppföljning avseende tillämpning av regler/dokument ska utföras. Vi re-kommenderar att det tas fram beskrivningar hur olika roller ska samverka, till ex-empel hur risker ska analyseras systematiskt. Hur ska uppföljningen genomföras (vad bör följas upp under året, prioriteringar, vem utför denna uppföljning, vad ska rapporteras till landstingstyrelsen).

3.3. Sker uppföljning avseende tillämpning av olika