[Beskrivning av var följande uppgifter finns att få, eller beskrivningar som en del av pla-nen:]
Förfaranden i fel- och problemsituationer
Vid fel- och problemsituationer iakttas följande tillvägsgångssätt:
[Beskrivning av hur man går till väga för att utreda fel- och problemsituationer, ansvar i fel- och problemsituationer, vid behov olika fel- och problemsituationer skilt för sig:
• problem med nätet eller telekommunikationerna (förfaranden och kontaktuppgifter till tillverkarna av nättjänsterna, eventuella anvisningar av tillverkarna)
• problem i anslutning till användningen av systemen (förfaranden om systemet inte fungerar, startar eller inte fungerar korrekt, olika systemleverantörers kontaktuppgif-ter och stödtjänskontaktuppgif-ter)
• hantering av iakttagna eller realiserade datasäkerhets- eller dataskyddshot eller problem
o åtgärder om klientuppgifter eller andra uppgifter som ska skyddas har läckt ut till utomstående
o åtgärder om ett virusprogram eller skadligt program upptäcks
o åtgärder om en anställds användarkoder har läckt ut till utomstående o åtgärder om nätfiske upptäcks
• åtgärder om datasystem som behandlar klient- eller patientuppgifter tydligt fungerar på fel sätt i förhållande till de nationella krav som fastställts, hur saken meddelas tillverkaren av datasystemet
o det vill säga anmälan om betydande avvikelser som iakttagits i fråga om upp-fyllandet av väsentliga krav på system av klass A eller klass B till tillverkaren av informationssystemet
• åtgärder om ett datasystem som behandlar klient- eller patientuppgifter medför en risk för patientsäkerheten
o det vill säga anmälan om betydande avvikelse i system av klass A eller klass B till Valvira, om avvikelsen medför betydande risk för patientsäkerheten o till exempel i situationer där patient- och/eller klientuppgifter och/eller
recept-uppgifter har gått till fel klient/patient på grund av ett systemfel]
Hantering av och tillgång till bruksanvisningar för systemen
Vad gäller hantering och utnyttjande av bruksanvisningar för systemen iakttas följande tillvägagångssätt:
[Beskrivning av följande omständigheter och på vems ansvar de ligger:
• var bruksanvisningarna för datasystemet finns och vem som ansvarar för dem
• hur den som behöver bruksanvisningar för datasystemet eller -systemen får dessa och var de finns
Föråldrad
• hur uppdaterade och tillräckliga bruksanvisningar fås eller skaffas från tillverkaren av datasystemet/datasystemtjänsten
o även hur uppdatering och distribution av bruksanvisningar sker i samband med program och versionsuppdateringar samt andra ändringar
• hur, när och av vem uppdateras bruksanvisningarna, också om det görs egna kom-pletterande anvisningar
• hur introduceras personalen i användningen av datasystemet och hur har uppfölj-ningen ordnats (här kan man hänvisa till ett introduktionsprogram)
• hur säkerställer man att datasystemen används enligt tillverkarens anvisningar eller så att anvisningarna tillämpas eller kompletteras på ändamålsenligt sätt
• hur dokumenteras de punkter som beskrivits ovan, till exempel vid avvikelser/brister i fråga om tillgången till anvisningar eller användning enligt anvisningarna.]
Allmänt om installation och underhåll av systemen
Vid installation och underhåll av systemen iakttas allmänt följande tillvägsgångssätt:
[I kapitel 8 finns en plats för systemspecifika omständigheter, om flera system används och de avviker från de rutiner som specificeras här]
[Följande faktorer beskrivs:
• vilka personer och aktörer som får utföra installationsåtgärder i systemen
• hur man förhindrar att övriga personer inte kan utföra installationer i systemen eller programvarorna
• kunskaper eller utbildning som krävs av dem som utför installations- och uppdate-ringsåtgärder
• tillvägsgångssätt om det system som används uppdateras
• beskrivning av vad som åtminstone måste testas och säkerställas innan ett system eller en ny programversion börjar användas för produktion
• hur ibruktagandet av ett nytt system eller en ny systemversion godkänns
• vid behov hänvisningar till avtal eller andra dokument där dessa faktorer beskrivs]
Säkerhet hos lokaler, arbetsstationer, lagringsmedier och utskrifter
Säkerheten hos lokaler, arbetsstationer, lagringsmedier och utskrifter ombesörjs på föl-jande sätt:
[Beskrivningar av
a) hur man sörjer för att verksamhetslokalerna låses för utomstående och för till ex-empel passerkontroll, om sådan används
b) placeringen av och rutiner för att skydda bildskärmsterminaler så att utomstående inte kan se uppgifter på dem, till exempel placering av terminaler, insynsskydd, lås-ningstid och lösenord för en terminal som inte används
c) hur det säkerställts att virusskyddet fungerar och uppdateras d) hur funktionen hos nätverkets brandvägg har ordnats
e) hur rutiner för att skydda mobila enheter (pekdatorer och smarttelefoner, eventuella bärbara arbetsstationer) har ordnats, till exempel användarkoder, lösenord, PIN-koder, hantering av SIM-kort och virusskyddsprogram för apparaterna, fjärrlåsning och/eller tömning av borttappade mobila apparater
Föråldrad
f) vem som har rätt att installera program och applikationer på företagets apparater, hur man ser till att endast dessa personer kan utföra installationer
g) var printrar har placerats och hur man förhindrar att utomstående har tillträde till h) hur pappersutskrifter innehållande klient- eller patientuppgifter förvaras inlåsta och dem
på ett brandsäkert sätt och skyddas från utomstående samt hur de förstörs så att utomstående inte får tillgång till uppgifterna
i) huruvida utomstående hårddiskar och minnesstickor tillåts och skyddsrutiner kring dessa, till exempel tillåts endast verktyg som företaget själv skaffat, skydd genom lösenord, hur man ser till att utomstående inte kan använda lagringsverktyg på ar-betsstationer eller det interna nätverket (bland annat skydd mot skadliga program) Andra rutiner i användningsmiljön
Övriga rutiner i anslutning till hanteringen av information och säkerställandet av datasä-kerheten:
[Hur man ordnar allmänna stödtjänster i användningsmiljön: till exempel uppdateringar av operativsystemet och systemprogram såsom Office]
[Hur man avtalat om ansvar vad gäller telekommunikationsoperatörer och datasäkerheten hos telekommunikationerna, huruvida avtalen inbegriper faktorer såsom datasäkerhet och tjänstens tillgänglighet, inklusive kontakt och förfaranden i störningssituationer]
[Distansförbindelser och deras dataskydd:
• vilka tjänster eller system får användas på distans, hur ser man till att distansan-vändning av övriga tjänster förhindras/förbjuds
• vilka eller hurdana internettjänster får och får inte användas på arbetsstationerna
• via vilka förbindelser kan och får tjänster som används på distans användas (till ex-empel VPN-förbindelser)]
[Adaptrar, trådlösa nät och routrar och datasäkerheten hos dem:
• krav på lösenord i trådlösa nätverk, rutiner för byte av lösenord, skydd av företagets eget trådlösa nätverk mot utomstående användare
• om klienter erbjuds ett trådlöst nätverk, hur det separeras från det egna nätverket
• ansvar för uppdateringar och skydd av routrar och andra nätverksenheter och even-tuella avtal i anslutning till detta
• uppdateringar av apparater och fasta programvaror i routrar och andra nätverksen-heter]