Informationsklassning, riskanalys och åtgärdsplan för system som har direkt beroende till HSA

(1)

Område

Systemkartläggning 1 (9)

Dokumentnamn: Systemkartläggning HSA Utfärdat datum: 2014-12-11

Reviderat datum: 2014-12-08

TILL DIN KOMMUNS LOGGA

Informationsklassning, riskanalys och åtgärdsplan för system som har direkt beroende till HSA

Innehåll

1. Grundinformation ... 2

1.1. Deltagare ... 2

1.2. Bakgrund ... 2

1.3. Syfte ... 2

1.4. Mottagare ... 2

1.5. Avgränsning ... 2

2. Informationsklassning ... 2

3. Riskanalys ... 4

3.1. Konsekvenser vid avbrott ... 4

3.2. Sannolikhet för avbrott ... 5

3.3. Riskvärde ... 6

3.4. Kompletterande riskanalys ... 8

4. Åtgärdslista ... 8 Revisioner

Revision: Datum: Beskrivning: Utförd av:

0.1 20140918 Första utkast Stephen Dorch

0.2 20141208 Uppd. efter genomgång av inlämnade rapporter Stephen Dorch

Skriv in er version

Läs detta och ta därefter bort denna kommentarruta.

Denna mall syftar till att användas vid upprättande av kontinuitetsplaner. I mallens exempel utgår vi från systemet HSA, Hälso- och sjukvårdens adresskatalog. Mallen omfattar

informationsklassning, riskanalys och åtgärdslista. När detta är genomfört finns normalt sett tillräckligt med kunskap om förutsättningarna för att kunna skriva en kontinuitetsplan. Se bilaga A. Denna mall utformades hösten 2014 som ett resultat av arbetet med eHälsa i Kalmar län.

Metoden utgår från ett systematiskt informationssäkerhetsarbete och baseras på principer som bygger på svensk standard för informationssäkerhet SS-ISO/IEC 27000. Uppföljning är nödvändigt för att säkerställa genomförandet i praktiken.

Dokumentet ska uppdateras så att det motsvarar varje kommuns egna förutsättningar. En del ska bort, annat ska läggas till. Uppgiften är att genomföra en egen informationsklassning, riskanalys och åtgärdsplan utifrån den metod som beskrivs i detta dokument.

Allt som är GULMARKERAT ska ser över, uppdateras och kompletteras. Därefter ska den gulmarkerade texten avmarkeras.

(2)

1. Grundinformation

1.1. Deltagare

<Räkna upp alla deltagare i analysgruppen, namn, verksamhet och roll som varit delaktiga med arbetet från din kommun, ta därefter bort denna text>

Namn Verksamhet Roll

1.2. Bakgrund

Hälso- och sjukvårdens adresskatalog, HSA, innehåller kvalitetssäkrade uppgifter om personer, funktioner och enheter i Sveriges kommuner, landsting och privata

vårdgivare. Informationen i HSA används av många olika tjänster och utgör en viktig funktion för bland annat behörighetsstyrning och säkerhetslösningar.

I vår kommun har vi tjänster som är beroende av HSA. Vi har åtagit oss att uppfylla HSA policy och deklarera hur vi gör detta i underliggande dokument.

1.3. Syfte

Ett av kraven är att verksamheten ska ha en kontinuitetsplan för HSA. För att förstå verksamhetens beroende av HSA, dess krav på funktionalitet och tillgänglighet, förutsätts en informationskartläggning och en riskanalys.

1.4. Mottagare

Mottagare av denna kartläggning är den verksamhetschef vars verksamhetssystem är beroende av HSA.

1.5. Avgränsning

Systemkartläggningen avgränsas till HSA och de prioriterade system eller funktioner i vår kommun som har ett direkt eller indirekt beroende. Säkerhetstjänster och

tjänsteplattform omfattas inte. Den informationsklassning som är gjord omfattar endast kravet på tillgänglighet.

2. Informationsklassning

Informationsklassningen i denna informationskartläggning begränsas till krav om tillgänglighet. Vi klassar de system som är prioriterade och som har ett beroende till HSA. Vi har använt oss av följande skala för klassning av tillgänglighet:

Tillgänglighet Informationsklass

(1-4) Innebörd

Mycket hög 4 Dygnet runt, året runt, 24/7/365

Hög 3 Acceptabelt avbrott är max 4 timmar, dock ej återkommande

Låg 2 Längre avbrott motsvarande flera dygn

Mycket låg 1 Mycket långa avbrott motsvarande flera veckor

Ange mottagaren av rapporten ovan.

Metoden bygger på att det finns en fastställd beställare och ett uppdrag.

(3)

Vi har identifierat vilka system i kommunen som har ett direkt beroende mot HSA samt genomfört en informationsklassning på dessa. Resultat i tabellen nedan:

System med direkt beroende mot HSA

Informationsklass tillgänglighet 1-4

(ange ditt värde)

Motivering

(Ta bort texten och ersätt med motivation av klassningen)

HSA admin 3

Informationsklass blir samma som det verksamhetssystem som har högst informationsklass. HSA admin föder HSA- katalogen med uppgifter om person, organisatorisk tillhörighet, medarbetaruppdrag etc.

Pascal 3 Journalinformation och läkemedelsordinationer

NPÖ 2 Information går att få fram via landstinget

SITHS admin

2

Det ska finnas plan för utförande av spärr om systemet ligger nere. Inloggning till verksamhetssystem fungerar under normala omständigheter utan HSA.

Easy 1 Används sällan, deklarationsverktyg och självgranskning.

Svevac 2 Registrering av vaccination kan ske i efterhand Kvalitetsregister 2 Om systemet ligger nere, rapporteras vid annat tillfälle.

Obs, viktigt att rapportera då prestationspeng kan erhållas.

Säkerhetstjänster 1 Om systemet ligger nere, genomförs loggkontroll vid annat tillfälle.

Det finns regionala och lokala system som använder sig av SITHS, men där funktionen inte är direkt beroende av HSA. Beroendet är snarare indirekt vilket innebär att dessa system inte är lika kritiskt beroende av att HSA är tillgängligt. Funktioner som t.ex.

spärrfunktion och utgivande av reservkort kan påverka systemet om behov uppstår samtidigt som HSA inte är tillgängligt.

Syftet med informationskartläggningen är att identifiera system med ett indirekt beroende mot HSA. Även dessa system bör informationsklassas och omfattas av en kontinuitetsplan för verksamheten. Detta görs dock inte inom ramarna för detta arbete.

Exempel på system med ett indirekt beroende mot HSA:

System med indirekt beroende mot HSA

Informationsklass tillgänglighet 1-4

(ange ditt värde)

Motivering

(Ta bort texten och ersätt med motivation av klassningen) Cosmic Link Ej klassad Samordnad vårdplanering kommunerna-landstinget Treserva mobil

åtkomst vpn/citrix Ej klassad Mobil åtkomst till journalsystem

LISA Ej klassad System för avvikelser som landstinget upplåter till kommunerna

ProCapita Ej klassad Journalsystem från TietoEnator Treserva Ej klassad Journalsystem från CGI

Dator och nät/AD Ej klassad Inloggning på datorer och i nätverk/AD PMO Ej klassad Skolhälsovårdens journalsystem för elever WebbSesam Ej klassad Hjälpmedelssystem för kommuner

Det är mycket viktigt att informationsklassningen genomförs. Det ger en bra grund

och förståelse för riskanalysens genomförande och resultat samt för de åtgärder som

ska genomföras. Hänvisa till den använda modellen för informationsklassningen.

(4)

3. Riskanalys

I följande kapitel redogör vi för de risker och dess konsekvenser som arbetsgruppen identifierat med utgångspunkten verksamheten och dess system med ett direkt beroende av HSA.

3.1. Konsekvenser vid avbrott

Vi har identifierat vad konsekvensen blir för verksamheten i händelse av att HSA drabbas av avbrott. Vi har avgränsat oss till de tre systemen som omfattar samtliga kommuner och som har en hög informationsklassning avseende tillgänglighet. De tre systemen är Pascal, NPÖ och SITHS-admin. Vi har även analyserat konsekvenserna för anslutning från kommunernas särskilda boende, SÄBO, och konsekvenserna av

bristande mobil täckning.

Vi har använt oss av följande skala vid värdering av konsekvens, se tabell.

Konsekvens Värde Innebörd

Katastrof 4 t.ex. dödsfall, bestående eller mycket allvarlig personskada Allvarlig 3 t.ex. föreligger risk för personskada

Måttlig 2 t.ex. försenad behandling

Försumbar 1 Innebär att tillgängligheten inte spelar så stor roll

Vad blir konsekvensen för verksamheten om Pascal, NPÖ, SITHS-admin och HSA- admin inte är tillgänglig under de förutsättningar som anges i tabellen nedan? Vad blir motsvarande konsekvenser för brister anslutning från SÄBO eller mobilitet täckning?

Scenario 1a,b,c.

Vad blir konsekvensen om Pascal inte är tillgängligt under nedanstående tider?

1a)

En timma vardagar kl 07-16 Värde 1 Pappersutskrift med information 1b)

En timma kväll, natt, helg Värde 1

Rutinen finns som innebär att man använder Pascal för att skriva ut en ny lista vid ändring av ordination. Har ej ssk som går in i Pascal och ordinerar. Information finns på papper.

1c)

24 timmar eller längre

Värde 1, 3, eller 2

Skillnader kan bero på olika organisatoriska förutsättningar.

Primärvårdsjouren i en kommun är mer tillgänglig än i en annan kommun. I en tredje kommun finns inte möjligheten att nå läkare kvällar och nätter.

Vad blir konsekvensen om NPÖ inte är tillgängligt under nedanstående tider?

2a)

En timma vardagar kl 07-16 Värde 1

NPÖ är endast ett komplement till andra rutiner. Ändras rutiner så är förutsättningen annorlunda. Idag får man all info via andra rutiner, Cosmic link, epikriser (fax) 2b)

En timma kväll, natt, helg Värde 1

NPÖ är endast ett komplement till andra rutiner. Ändras rutiner så är förutsättningen annorlunda. Idag får man all info via andra rutiner, Cosmic link, epikriser (fax) 2c)

Värde 1 eller 2

NPÖ är endast ett komplement till andra rutiner. Ändras rutiner så är förutsättningen annorlunda. Idag får man all info via andra rutiner, Cosmic link, epikriser (fax) Scenario 3a,b,c.

Vad blir konsekvensen om SITHS-admin inte är tillgängligt under nedanstående tider?

3a)

En timma vardagar kl 07-16 Värde 1

Förutsättningar ser olika ut, i vissa kommuner har man aldrig behövt utfärda reservkort, i andra kommuner kan man få vänta flera veckor innan nya personer kan få SITHS-kort.

3b)

En timma kväll, natt, helg Värde 1 Förutsättningar ser olika ut, i vissa kommuner har man aldrig behövt utfärda reservkort, i andra kommuner kan

(5)

man få vänta flera veckor innan nya personer kan få SITHS-kort.

3c)

Värde 1, 3 eller 2

Då man inte har ett större behov av att använda de nationella tjänsterna så gör det inte så mkt om SITHS admin inte fungerar på ett dygn, därav värde 1.

I någon kommun har man inloggning till lokalt verksamhetssystem med SITHS, då ökar kravet på tillgänglighet.

Problemen ökar ju längre tid som systemet inte är tillgängligt.

Scenario 4. SÄBO 4)

Vad blir konsekvensen om en läkare inte kommer åt NPÖ eller Pascal vid anslutning mha kommunens utrustning.

Värde 2 Man kan alltid ta hand om patienten och man har en avbrottsplan som beskriver hur man ska gå tillväga

Scenario 5. Mobil täckning 5)

En förväntad mobil täckning saknas vid hembesök i Knäckebyhult

Värde 2

Konsekvensen blir högre när det sker i realtid och man är på hembesök. Man får ringa en kollega alternativt åka fram och tillbaka för att inhämta uppgifterna. Försening och försenad behandling kan bli en konsekvens.

Vad blir konsekvensen om HSA-admin inte är tillgängligt under nedanstående tider?

6a)

En timma vardagar kl 07-16 Värde 1 Det är inte särskilt stort behov av att nå de nationella tjänsterna, därav minskar kravet på HSA tillgänglighet 6b)

En timma kväll, natt, helg Värde 1 Det är inte särskilt stort behov av att nå de nationella tjänsterna, därav minskar kravet på HSA tillgänglighet 6c)

24 timmar eller längre Värde 1 Det är inte särskilt stort behov av att nå de nationella tjänsterna, därav minskar kravet på HSA tillgänglighet

3.2. Sannolikhet för avbrott

Denna riskanalys tar fäste på hur stor sannolikheten är att de scenarier som beskrivs i ovanstående kapitel kommer att inträffa.

Vi har använt oss av följande skala vid värdering av sannolikheten, se tabell.

Sannolikhet Värde Innebörd

Ofta 4 t.ex. kan inträffa varje vecka Regelbundet 3 t.ex. kan inträffa varje månad Sällan 2 t.ex. kan inträffa någon gång per år Mycket sällan 1 t.ex. kan inträffa någon gång vart tredje år

Tabell över sannolikhet

Nr Scenario Sannolikhet Beskriv sannolikheten för att tjänsten inte är tillgänglig

1a Pascal, avbrott 1 tim, kl

7-16 3 Trolig orsak kan vara nätverksfel,

avgrävda kablar, åska, programvara 1b Pascal, avbrott 1 tim,

kvällar nätter helger 3 Trolig orsak kan vara nätverksfel, avgrävda kablar, åska, programvara

1c Pascal, avbrott 24 tim 1 eller 2

Trolig orsak kan vara nätverksfel, avgrävda kablar, åska, programvara.

Det lägre värdet motiveras med att åtgärd oftast är genomför inom 24 timmar.

(6)

2a NPÖ, avbrott 1 tim, kl 7-

16 3 Trolig orsak kan vara nätverksfel,

avgrävda kablar, åska, programvara 2b NPÖ, avbrott 1 tim,

kvällar nätter helger 3 Trolig orsak kan vara nätverksfel, avgrävda kablar, åska, programvara

2c NPÖ, avbrott 24 tim 2

Trolig orsak kan vara nätverksfel, avgrävda kablar, åska, programvara.

Det lägre värdet motiveras med att åtgärd oftast är genomför inom 24 timmar.

3a SITHS-admin, avbrott 1

tim, kl 7-16 3

Högt värde då systemet har ett högt beroende till webbläsarnas versioner.

Uppdatering sker ofta, vilket påverkar tillgängligheten, fast för varje enskild dator.

3b SITHS-admin, avbrott 1

tim, kvällar nätter helger 3

3c SITHS-admin, avbrott 24

tim 2

4

NPÖ eller Pascal inte nåbar för läkare hos kommunen, SÄBO.

3

Kortläsare kan saknas, Dator finns ej, Dålig täckning eller dålig nätverk. Dator ej förbered för extern personal.

5 Mobil täckning sakas vid

hembesök, Knäckebyhult 4

Händer hela tiden pga brister i den mobila teckningen. Den dåliga täckningen medger inte att man utsätter sig för dessa

situationer.

6a HSA-admin, avbrott 1 tim, kl 7-16

6b HSA-admin, avbrott 1 tim, kvällar nätter helger

6c HSA-admin, avbrott 24 tim

3.3. Riskvärde

Resultatet av sannolikheten och konsekvenserna ger ett riskvärde. Riskvärdet fås fram genom att man multiplicerar värdet från sannolikheterna och konsekvenserna. Ett scenario med högt riskvärde får normalt sett högre prioritet än ett med lågt riskvärde.

Utöver riskvärdet beaktas även informationsklassning vid beslut om prioritet.

Vi har i ovanstående kapitel identifierat 11 olika scenarier, numrerade från 1a till 4.

I nedanstående tabell har vi beräknat scenariernas riskvärde.

Scenario nr Sannolikhet - S Konsekvens - K Riskvärde - RV

1a 3 1 3

1b 3 1 3

(7)

1c 2 3 6

2a 3 1 3

2b 3 1 3

2c 2 2 4

3a 3 1 3

3b 3 1 3

3c 2 3 6

4 3 2 6

5 4 2 8

6a 6b 6c

Detta kan grafisk illustreras som i bilden nedan.

Konse kve ns

^{1C, 3C}

2C 4 5

1A, 1B 2A, 2B 3A, 3B

Sannolikhet

Den grafiska bilden ger en tydlig översikt. Man ser direkt att inget scenario hamnar i det

röda, kritiska fältet. Med reservation av andra omständigheter som ännu inte är belysta,

finner det sig naturligt i detta fall att prioritera åtgärder för de scenarier som får störst

konsekvens, i detta fall 1c och 3c. Båda dessa handlar om verksamhetens behov av

tillgången till Pascal, vilket således är den allvarligaste konsekvensen om HSA inte är

tillgängligt. Ovanstående graf/text ändras givetvis i de fall ni i ert interna arbete

genomför och kompletterar uppgifterna

(8)

3.4. Kompletterande riskanalys

Riskanalysen kan med fördel utvecklas med nedanstående metod, som görs enskilt per kommun. Om denna genomförs, kommer åtgärdslistan att bli mer omfattande.

I exemplet nedan utläses följande frågeställning, se kursiv text nedan och i tabellen.

”Risken att SITHS admin inte fungerar på grund av felaktig version på webbläsaren.

Sannolikheten (S) är värde 4, dvs mycket hög och konsekvensen (K) är värde 2, dvs måttlig. Riskvärdet (RV) för detta scenario blir således 8.”

Risken att

Beskriv vad som är risken, vad händer?

pga

Beskriv varför det händer

S K RV

SITHS admin fungerar inte felaktig version på

webbläsaren. 4 2 8

Pascal inte är åtkomlig ett nätverksfel i

kommunen ? ? ?

osv osv ? ? ?

4. Åtgärdslista

Resultatet av ovanstående analys visar på att HSA har höga krav på tillgänglighet.

Verksamheten kan acceptera avbrott på 4 timmar, dock inte i återkommande intervaller.

Det verksamhetssystem som har det mest kritiska beroendet mot HSA idag är Pascal ordinationsverktyg. Om Pascal inte är tillgängligt i en vårdsituation, föreligger risk för personskada. Patientsäkerheten påverkas således i händelse av att HSA inte är

tillgängligt. För att säkerställa patientsäkerheten och minimera risken för personskada måste verksamheten upprätta en kontinuitetsplan för HSA, som omfattar de mest

kritiska verksamhetssystemen. Vi kan förvänta oss att flera system framöver kommer att få ett direkt beroende mot HSA, och därför ska kontinuitetsplanen kontinuerligt

förvaltas, uppdateras och kontrolleras. Som en grund för denna kontinuitetsplan är nedanstående åtgärder identifierade.

Åtgärdslista, förs över till kontinuitetsplanen.

System Felsituation Beskriv reservrutinen

HSA admin

Det går inte att söka eller uppdatera i HSA under en längre period, typ 24 timmar.

Nedanstående rutin är exempel, beskriv er egen rutin.

 Vi lägger ärendet på hög och väntar tills HSA är tillgängligt.

 Vi informerar berörd person om att denna inte kan använda aktuella tjänster

Fortsätt att identifiera möjliga händelser och beskriv dessa i tabellen ovan. Ju fler

händelser och beskrivningar som ni tillför, desto bättre underlag för kommande

kontinuitetsplan.

(9)

SITHS admin

Om det uppstår behov av att

omedelbart spärra utgivet SITHSkort, och SITHS admin inte fungerar gör vi följande.

Kontakt tas med Telia för genomförande av spärr:

Kontaktuppgifterna dit är:

 Telefonnummer:

 Epost:

 Länk:

 Kontaktperson:

Öppettider:

Pascal Det går inte att skriva ut läkemedelslista från NPÖ

 Kontakta ansvarig läkare på landstinget för att be om lista.

 Om ny lista inte kan erhållas, använd den gamla läkemedelslistan och uppdatera med penna.

Pascal Ny ordination saknas  Kontakta ansvarig läkare som kan skriva ut från Cosmics läkemedelslista

NPÖ

Arbetsterapeut ser ej senaste läkarbesöket i NPÖ. Man vet om att patienten har varit på återbesök med en från hemtjänstpersonal, men skriftlig dokumentation saknas.

 Kontakta behandlande läkare.

 Om journalen inte är skriven så avvakta till nästa dag.

Mobil

åtkomst Mobil täckning saknas vid hembesök  Ring en kollega eller

 Åk tillbaka för att inhämta uppgifterna.

Journalen Patientjournalen är ej åtkommlig Beskriv er reservrutin Beskriv tänkbara felsituationer utöver

det som vi i workshopen identifierade ovan. Ta därefter bort denna text.

Beskriv reservrutinen. Ta därefter bort denna text.

Beskriv tänkbara felsituationer utöver det som vi i workshopen identifierade ovan. Ta därefter bort denna text.

osv