www.pwc.se
Revisionsrapport
Göran Persson Lingman Lars-Åke Ullström Dec 2014
Gransking av informa- tionssäkerheten
Landstinget Gävleborg
Innehållsförteckning
1. Sammanfattning, bedömning och rekommendationer ... 2
2. Uppdraget ... 6
2.1.Bakgrund ... 6
2.2.Revisionsfråga ... 7
2.3.Avgränsning ... 7
2.4.Metod ... 7
3. Granskningsresultat ... 9
3.1. Finns aktuella styrande dokument som berör informationssäkerheten och är de tillräckligt kommunicerade ... 9
3.2.Finns tydlighet i ansvar och roller avseende hantering av IT. ... 11
3.3.Sker uppföljning avseende tillämpning av olika riktlinjer m.m. ... 14
3.4.Får användare inom vården en regelbunden informationssäkerhetsrelaterad utbildning och information. ... 16
3.5.Finns en tillfredställande incidenthanteringsprocess som bland annat gör att ansvariga nås av informationssäkerhetsrelaterade händelser. ... 17
3.6.Finns systemsäkerhetsplaner och kontinuitetsplaner framtagna för kritiska system ... 19
Bilaga 1 Säkerhetsinstruktion användare ... 20
Bilaga 2 Exempel på information stöd till alla via plexus. ... 21
Bilaga 3 Dokumentet ledning och styrning av informationssäkerheten ... 23
Bilaga 4 Systemförvaltningsmodell ... 24
Bilaga 5. Vad arbetar informationssäkerhetssamordnaren med idag ... 25
Bilaga 6. Systemägarrådet hanterar följande system ... 26
Bilaga 7. Ansvar för systemägaren ... 27
1. Sammanfattning, bedömning och rekommendationer
Information och IT-system är mycket viktiga för att kunna bedriva landstingets verk- samhet (effektivt och säker vård mm).
Detta kräver till exempel att informationen är korrekt och riktig, att IT systemen är tillgängliga vid behov. Vidare krävs att information inte når obehöriga (sekretess).
Externa lagar och regler ställer krav på informationssäkerheten;
Hälso- och sjukvårdslag
Patientdatalag
Patientsäkerhetslagen
Lag om hälsodataregister
SOSFS 2008:14 Socialstyrelsens föreskrifter om informationshantering och journalföring i hälso- och sjukvården Ändringsförfattning SOSFS 2011:8
SOSFS 2011:9 Ledningssystem för systematiskt kvalitetsarbete
Offentlighets och sekretesslagen 2009:400
Offentlighets och sekretessförordningen 2009:641
Personuppgiftslag 1998:204
Datainspektionen som arbetar för att säkra den enskilda individens rätt till integritet i samhället ger bland annat ut anvisningar och råd.
Alla vårdsystem som innehåller journalinformation är klassade som Medicinteknisk produkt och kräver speciell hantering (utifrån Socialstyrelsens och Läkemedelsverkets utgångspunkt).
Den snabba utvecklingen av tekniken innebär att det kommer nya risker som måste beaktas1.
Landstingsfullmäktige har fastställt en IT- policy för Landstinget Gävleborg som utgör en grund för andra policys och direktiv. I policyn anges att landstingsstyrelsen och be- rörda nämnder utformar, upprätthåller och utvecklar direktiv för policyns tillämpning och utövar tillsyn avseende efterlevnad.
Mot ovanstående bakgrund har landstingets revisorer gett PwC i uppdrag att genom- föra en översiktlig granskning avseende informationssäkerheten.
Vår övergripande revisionsfråga var om
det inom landstinget finns en tillräcklig intern styrning och kontroll avseende IT- hantering/verksamhetskritisk information.
1 Mobliltelefoner, appar, läsplattor, sociala media mm.) Mobiliteten är stor och önskan från allmänhet (journal och loggar på nätet) och olika yrkesgrupper ökar hela tiden (jobba hemma, tåget, hotell – utanför den ordinarie verksam- heten.)
Frågan har avgränsats till ett antal kontrollfrågor/områden som granskats översiktligt.
Inom de kontroller vi utfört är vår sammanfattande bedömning att hanteringen inte är tillräckligt tillfredställande.
Detta grundar vi bl.a. på att
Det finns behov att att revidera2 de styrande dokumenten och i ökad grad kommunicera dessa till olika roller.
Det har inte skett en tillräcklig regelbunden uppföljning avseende efterlevnad av de styrande dokumenten som finns inom informationssäkerhet.
Avseende de system som inte förvaltas inom IT-avdelningen är enligt vår be- dömning den övergripande kontrollen inte tillräckligt tillfredställande.
Vi ser behov att ytterligare förbättra kontaktytor mellan Medicinsk Teknik och IT-avdelningen.
Det finns behov att tydliggöra systemägarrollen.
Systemsäkerhetsplaner inte upprättats på ett tillräckligt bra sätt i enlighet med de styrande dokumenten.
Inom flera områden där vi uppmärksammat behov av förbättringar pågår dock ett för- bättringsarbete och/eller är ett förbättringsarbete påbörjat.
Exempel på sådant som varit positivt är t ex
Det finns många bra övergripande styrande dokument som tydliggör hantering- en av IT inom landstinget (till exempel direktiv, policys, instruktioner till an- vändare).
Avseende de verksamhetsövergripande systemen som hanteras inom IT-
avdelningen synes detta till stor del ske på ett önskvärt sätt utifrån de krav som finns idag. Det finns fastställda arbetssätt3 (se avsnitt 3.1). Medvetenhet finns kring brister och det pågår förbättringsarbeten på olika sätt (till exempel arbe- tet med dokumenterade överenskommelser). Det angivna systemägarrådet medverkar i prioritera förbättringsaktiviteter utifrån ett verksamhetskrav.
Till stor del synes det finnas en tillfredställande hantering av incidenter utifrån dagens krav. Processen är dokumenterad, etablerad och det pågår ständiga för- bättringar.
2 Dock finns många bra dokument att utgå från.
3 Ett processorienterat arbetssätt. Där vissa processer är etablerade. Avseende vissa processer pågår fortfarande ett införandarbete.
Nedan sammanfattas mer av de kommentarer och de rekommendationer som finns intagna i rapporten.
Finns aktuella styrande och stödjande dokument och är dessa tillräckligt kommunicerade
Utifrån vår bedömning finns behov att nå ut med dokumenten till olika roller på ett bättre sätt, till exempel avseende de krav som ställs på systemägare.
Vi rekommenderar att de som arbetar inom vården ska bekräfta att det tagit del av de dokument som berör alla. Till exempel säkerhetsinstruktion för användare.
Underlaget bör finnas samlat som stöd för landstingsstyrelsens uppföljning.
Finns en tydlighet i ansvar och roller avseende hantering av IT
Avseende systemägarerollen ser vi behov av förbättringar (tydliggörande av ansvar och uppgifter). Exempelvis utbildning kring vad det innebär att vara systemägare.
Detta innefattar vad som är ledningens förväntan/krav utifrån de styrande doku- menten.
Vi ser behov att ytterligare förbättra kontaktytor mellan Medicinsk Teknik och IT- avdelningen. Det bör fastställas hur kommunikation och information mellan de båda funktionerna ska hanteras (till exempel när krävs att man råd-
gör/kommuniceras innan ett beslut att gå vidare får fattas, när krävs att man in- formerar varandra, vem får fatta beslut). Vi rekommenderar även att ansvariga från Medicinsk Teknik i ökad grad hjälper landstingsledningen och systemägare som kravställare4 på IT-relaterade processer inklusive IT-infrastrukturen. En idé kan till exempel vara att ansvariga från medicinsk teknik deltar i det gemensamma systemägarrådet.
Vi rekommenderar även att det sker en översyn avseende informationssäker- hetsfunktionen gränssnitt mot olika ansvariga. Detta gäller till exempel hur den regelbundna uppföljning avseende tillämpning av regler/dokument ska utföras. Vi rekommenderar att det tas fram beskrivningar hur olika roller ska samverka, till exempel hur risker ska analyseras systematiskt. Hur ska uppföljningen genomföras (vad bör följas upp under året, prioriteringar, vem utför denna uppföljning, vad ska rapporteras till landstingstyrelsen).
Sker uppföljning avseende tillämpning av olika riktlinjer och analyseras IT-relaterade risker
Vi kan konstatera att det sker uppföljning och analyser av risker på olika sätt.
Olika förbättringsaktiviter genomförs. Ett exempel är den nya systemförvalt- ningsmodellen som sannolikt kommer att stödja uppföljningen eftersom denna bidrar till en ökad kommunikation mellan verksamheten och olika IT-resurser.
Dock är vår bedömning att det inte sker en tillräcklig regelbunden uppföljning avseende efterlevnaden av de styrande dokumenten. Vi rekommenderar att det sker översyn kring hur den regelbundna uppföljningen avseende detta kan förbättras. Uppföljningen bör omfatta en rapportering av de förbättringsaktivi-
4 Innefattar även att medverka till att ”se risker” som skulle kunna innebära att krav/mål inte nås.
teter som genomförts, vilka olika riskanalyser har utförts med mera. Avseende risker som ansvariga själva inte kan råda över är det extra viktigt att dessa rap- porteras uppåt i organsationen.
I avsnitt 3.3 har vi rekommenderat att det finns behov att ser över informat- ionssäkerhetsfunktionens kontaktytor mot olika roller. Vi har tidigare noterat att den interna kontrollenheten är direkt underställd landstingsdirektören.
Denna organisatoriska placering för informationssäkerhetfunktionen skulle in- nebära att de arbetar mer oberoende i sin uppföljning. Vi rekommenderar att fördelar med detta ses över.
Får användare inom vården en regelbunden informationssäkerhetsrelate- rad utbildning och information.
Vi kan konstatera att det sker utbildningar på olika sätt. Den generella utbildningen till nya anställda är positiv. Utbildningen omfattar även chefers möjlighet att följa upp deltagares resultat vilket är bra. Vi rekommenderar dock att det sker en översyn kring hur denna utbildning kan genomföras med regelbundenhet till alla anställda. Sannolikt finns många anställda som inte deltagit i denna utbildning idag. Vilka som deltagit och inte bör dokumenteras.
Resultatet bör delges landstingstyrelsen.
Vi rekommenderar att kunskapsbehovet hos olika roller ses över, till exempel vad bör alla som arbetar inom vården känna till exempelvis kring de
informationskanaler som används, vilken kunskap avseende
informationssäkerhet krävs av alla. Se även det behov av utbildning till systemägare som omnämnts i avsnitt 3.2.
Finns en tillfredställande incidenthanteringsprocess som bland annat gör att ansvariga nås av informationssäkerhetsrelaterade händelser.
Till stor del synes det finnas en tillfredställande hantering av incidenter utifrån dagens krav. Processen är dokumenterad, etablerad och det pågår ständiga förbättringar. Det krävs dock en regelbunden uppföljning av att processen är etablerad ända ut till användarna.
Det är givetvis viktigt att de relaterade processerna exempelvis den som ska utreda vad som är orsaker till problem utvecklas på samma sätt. Detta gäller även krav avseende upptäckande aktiviteter (till exempel vad bör övervakas ännu mer).
2. Uppdraget
2.1. Bakgrund
Information och IT-system är mycket viktiga för att kunna bedriva landstingets verk- samhet (effektivt och säker vård med mera).
Detta kräver till exempel att informationen är korrekt och riktig, att IT systemen är tillgängliga vid behov. Vidare krävs att information inte når obehöriga (sekretess).
Några grundläggande begrepp inom informationssäkerheten är:
Sekretess – som här innebär att ingen obehörig får tillgång till informationen.
Riktighet - att den information som hanteras är korrekt och riktig,
Tillgänglighet – som bland annat innebär att IT-systemen är tillgängliga då per- sonalen, patienter och andra intressenter är i behov av information.
Det är viktigt att det finns en spårbarhet till en enskild användare så att det går att följa upp vem som har gjort vad, var och när.
Externa lagar och regler ställer krav på informationssäkerheten, till exempel
Hälso- och sjukvårdslag
Patientdatalag
Patientsäkerhetslagen
Lag om hälsodataregister
SOSFS 2008:14 Socialstyrelsens föreskrifter om informationshantering och journalföring i hälso- och sjukvården Ändringsförfattning SOSFS 2011:8
SOSFS 2011:9 Ledningssystem för systematiskt kvalitetsarbete
Offentlighets och sekretesslagen 2009:400
Offentlighets och sekretessförordningen 2009:641
Personuppgiftslag 1998:204
Datainspektionen som arbetar för att säkra den enskilda individens rätt till integritet i samhället ger bland annat anvisningar, råd.
Alla vårdsystem som innehåller journalinformation är klassade som Medicinteknisk produkt och kräver speciell hantering (utifrån Socialstyrelsens och Läkemedelsverkets utgångspunkt).
LVFS 2014:7, Läkemedelsverkets författningssamling om Nationella medi- cinska informationssystem
SOSFS 2013:6, Socialstyrelsens föreskrift om användning av medicintekniska produkter i hälso- och sjukvården (senaste versionen av SOSFS 2008:1)
Den snabba utvecklingen av tekniken innebär att det kommer nya risker som måste beaktas5.
Landstingsfullmäktige har fastställt en IT- policy för Landstinget Gävleborg som utgör en grund för andra policys och direktiv. I policyn anges att landstingsstyrelsen och be- rörda nämnder utformar, upprätthåller och utvecklar direktiv för policyns tillämpning och utövar tillsyn avseende efterlevnad.
Mot ovanstående bakgrund har landstingets revisorer gett PwC i uppdrag att genom- föra en granskning avseende informationssäkerheten.
2.2. Revisionsfråga
Vår övergripande revisionsfråga är om det inom landstinget finns en tillräcklig intern styrning och kontroll avseende IT/verksamhetskritisk information.
För att besvara frågan har vi ställt nedanstående kontrollfrågor.
Finns aktuella styrande dokument som berör informationssäkerheten och som är kommunicerade till olika roller.
Finns tydlighet i ansvar och roller avseende hantering av IT (stödja en effektiv och säker hantering av IT)
Sker uppföljning och värderas IT-relaterade risker
Får användare inom vården informationssäkerhetsrelaterad utbildning
Finns en tillfredställande incidenthanteringsprocess (t ex prioriteringar, ge un- derlag som stöd för proaktivt arbete)
Finns systemsäkerhetsplaner och kontinuitetsplaner framtagna för kritiska sy- stem
Granskningen har översiktligt berört relationer mellan den medicinsk tekniska hante- ringen och hantering av IT.
2.3. Avgränsning
Granskningsobjektet är Landstingsstyrelsen. Granskningen berör de ställda kontroll- frågorna
2.4. Metod
Vi har studerat dokumentation som berör området till exempel policys och riktlinjer.
Vi har intervjuat IT-chefen vid IT-avdelningen, ansvarig vid systemförvaltningen för system inom vården, en systemförvaltare, ansvarig för hantering av incidenter.
Ansvariga inom medicinsk teknik. Ansvariga inom den interna kontrollenheten.
Ansvariga inom informationssäkerhetsfunktionen samt en systemägare.
5 Mobliltelefoner, appar, läsplattor, sociala media mm.) Mobiliteten är stor och önskan från allmänhet (journal och loggar på nätet) och olika yrkesgrupper ökar hela tiden (jobba hemma, tåget, hotell – utanför den ordinarie verksam- heten.)
Ett frågeformulär utsändes till systemägare för olika system. Formuläret sändes ut till 30 systemägare utifrån den förteckning vi hade. Av de tillfrågande valde nio att besvara enkäten. Några (3) av de som fick vårt frågeformulär angav att de inte var systemägare för något system.
Syfte med frågeformuläret var att se om dokument, riktlinjer är kända av systemägare (till exempel medvetenhet avseende ansvar) och om uppgifter utförts i enlighet med dokumentet.
I den enkät vi skickade till systemägare frågade vi även hur viktigt systemet är för verksamheten. Fem av de svarande anger att systemet har en mycket stark påverkan på verksamheten om systemet inte går att använda.
3. Granskningsresultat
Nedan visas våra kontrollfrågor. Därefter våra iakttagelser och våra kommentarer (be- dömningar och rekommendationer med mera).
3.1. Finns aktuella styrande dokument som berör in- formationssäkerheten och är de tillräckligt
kommunicerade
Avsnittet syftar till att ge en övergripande ”bild” över vilka riktlinjer, överenskom- melser, dokumenterade process- och/eller rutinbeskrivningar som finns fastställda som stöd för en god intern styrning och kontroll inom IT hanteringen. Med dokument menar vi här även sidor med instruktioner och anvisningar som återfinns på intra- nätet.
Iakttagelser
Utifrån landstingsfullmäktiges IT-policy har landstingstyrelsen fastställt ett lands- tingsövergripande direktiv för informationssäkerhet med ett antal bilagor (ledning och styrning, systemförvaltning och arbetssätt samt säkerhetsinstruktion för användare).
I dokumentet klargörs bland annat mål och principer för landstingets utveckling och hantering av IT, till exempel ställs krav på att hanteringen görs på ett sätt så att olika lagar beaktas.
Exempel på dokument som är styrande och stödjande inom området visas nedan (in- nehåll beskrivs kortfattat).
Direktiv IT-Policy för Landstinget. Dokumentet är fastställt av landstingsstyrel- sen. I dokumentet anges syften med IT och vad som IT ska stödja. Direktivet syf- tar bland annat till att stödja att landstinget hanterar IT inom vården på ett sä- kert sätt.
Direktiv avseende landstinget Informationssäkerhet (Giltigt t.o.m. 2015-03-01 ) Fastställd av landstingstyrelsen.
Ledning och styrning av informationssäkerhet – Bilaga till policy för informat- ionssäkerhet - I dokumentet anges bland annat ansvar för olika roller. Till exem- pel systemägarerollen. Se exempel på systemägarens i bilaga 6.
Direktiv E-post och riktlinjer avseende e-post. Dokumentet beskriver ansvar och hur e-post ska hanteras på ett säkert sätt (regler om allmänna handlingar, sekre- tess).
Säkerhetsinstruktion – användare – bilaga till policy för informationssäkerhet.
Dokumentet beskriver vad som är viktigt att känna till för alla som arbetar med landstingets behörighetsystem. För att få en bild kring innehållet se bilaga 1.
Andra dokument vi tagit del av är bland annat
Processbeskrivning/Rutin för beställning av behörigheter. Beskrivningen regle- rar hur det ska gå till när en användare får behörighet, ändring av behörigheter, avslut av behörigheter med mera.
Presentation som beskriver hur IT ska hanteras inom landstinget Dokumentet beskriver på ett övergripande sätt IT-avdelningens olika uppgifter och vilka som ansvarar.
Instruktion funktionell eskalering IT-avdelningen. Dokument beskriver hur en incident ska hanteras inom vården och andra av landstingets olika verksamheter.
Omfattar roller och ansvar och hur en incident ska hanteras.
Ny systemförvaltningsmodell för landstinget. Dokumentet beskriver hur system ska förvaltas inom landstinget. Systemförvaltningen stödjer sig på ett etablerade ramverk kring hur en systemförvaltning bör bedrivas för att möta verksamheter- nas behov. (Stödja att verksamheten får ett effektivt och säkert IT-stöd). Se mer i bilaga 4. Ett införande av den nya modellen som stöd för systemförvaltningen har påbörjats. Det är dock inte fastställt av landstingledningen att denna modell ska användas.
Prioriteringsmatris IT-avdelningen6. Syftet med instruktionen är att beskriva varför man bör ha en prioritering och hur servicedesk ska prioritera incidenter och beställningar inom Landstinget Gävleborg. Se mer i avsnitt 3.5 avseende in- cidenthantering.
Vi har även tagit del av sidor på intranätet som tydliggör vad som ska gälla utifrån olika regelverk, till exempel sekretesslagen, patientdatalagen. Se ett exempel i bilaga 2.
Enligt de styrande dokumenten har systemägare ett ansvar att ta fram så kallade systemsäkerhetsplaner. Som stöd finns ett verktyg BITS+. Det har framkommit att detta arbete har utförts i varierande grad. Enligt de olika ansvariga vi intervjuat finns ett väsentligt förbättringsbehov.
Det är planerat att under 2015 revidera de dokument som finns avseende informationssäkerhet7.
Det pågår ett arbete med en säkerhetsportal på intranätet (Plexus) och vid landstingets publika hemsida (lg.se). (Där ska finnas info till allmänheten och privata vårdgivare.
Den ska innehålla informationssäkerhet, beredskap, brand och ”allmänna”
säkerhetsfrågor. Arbetet leds av informationssäkerhetssamordnaren)
Det finns inget fastställt kring att användare av vårdens system ska bekräfta att det tagit del av säkerhetsrelaterade dokument.
6 Prioritering kan normalt bestämmas genom att beakta både hur brådskande händelsen är (hur snabbt verksamheten behöver en lösning) och graden av påverkan på verksamheten som händelsen orsakar. En indikation på påverkan är ofta (men inte alltid) antalet användare som påverkas. I vissa fall, och mycket viktigare, kan förlusten av tjänsten till en enda användare ha en stor inverkan på verksamheten
7 Detta krävs bland annat genom den nya regionsbildningen och att IT-verksamheten förändrar sina arbetssätt till exempel den nya systemförvaltningsmodellen
Våra kommentarer
Det finns många bra övergripande styrande dokument som tydliggör hanteringen av IT inom landstinget (till exempel direktiv, policys, instruktioner till användare).
Det finns olika beskrivningar (fastställda arbetsätt) mellan verksamheten och IT- avdelningen. Vi har noterat att det finns förbättringsbehov att revidera dokumen- ten och se över dokumentstrukturen men samtidigt kan vi konstatera att ett för- bättringsarbete har initierats. Det är viktigt att det säkerställs att detta arbete ge- nomförs som planerat.
Utifrån vår bedömning finns behov att nå ut med dokumenten till olika roller på ett bättre sätt, till exempel avseende de krav som ställs på systemägare. Se mer i avsnitt 3.2
Vi rekommenderar att de som arbetar inom vården ska bekräfta att det tagit del av de dokument som berör alla. Till exempel säkerhetsinstruktion för användare.
Underlaget bör finnas samlat som stöd för landstingsstyrelsens uppföljning.
3.2. Finns tydlighet i ansvar och roller avseende han- tering av IT.
Området omfattar även om det finns roller och arbetssätt som stödjer en säker hantering av IT. Området berör t ex även om det finns etablerade processer mellan IT-avdelningen och verksamheten. Informationssäkerhetens funktionens uppföljande och stödjande arbetet innefattas i avsnittet.
Iakttagelser
Inom enheten Säkerhet och Beredskap finns en informationssäkerhetsfunktionen med en informationssäkerhetssamordnare. Enheten medverkar till att stödja verksamhet- ernas krav på informationssäkerheten (stöd och uppföljning). Se exempel på uppgifter i bilaga 4.
I granskningen har det framkommit behov att se över informationssäkerhetsfunktion- en gränssnitt mot olika ansvariga inom organisationen (till exempel kontaktytor mot landstingsledningen, systemägare, IT-avdelningen, personuppgiftsombud och olika forum).
Under landstingsdirektören finns en intern kontrollenhet som medverkar som stöd t ex vid riskanalyser och uppföljning. Detta omfattar även IT. Se avsnitt 3.3 avseende upp- följning.
IT-avdelningens interna arbete och gränssnittet med verksamheten tydliggörs via fast- ställda processer8. Dock anges att det finns ett förbättringsbehov. Det har påbörjats ett
8 De stödjer sig på ett etablerat ramverk ITIL
arbete med att ta fram bättre dokumenterade överenskommelser9 kring vad IT- avdelningen gör och inte.
Via servicedesk funktionen rapporteras kontinuerligt problem som finns kring IT- hanteringen. Underlagen dokumenteras och används i proaktivit syfte. Se mer i avsnitt 3.5 avseende incidenter.
Tidigare fanns lokala IT-resurser (s.k. LISOR) 10 ute i organisationen (arbetsplats). Nu finns istället begreppet IT-partner. Dessa tillhör IT-avdelningen men ska utgöra ett lokalt stöd till verksamheterna. Ett syfte med förändringen är att IT-partners 11ska kunna ge ökat stöd till verksamheterna t ex medverka till att fel och problem åtgärdas snabbare och ge en enhetlig information.
Det anges dock att man har förlorat en del av de kontaktytor12 (närheten) som fanns tidigare, till exempel bidrog LISOR till att föra ut informationssäkerhetsrelaterade frå- gor till verksamheterna. Det anges dock att det sker en översyn kring hur detta kan förbättras inom den nya organisationen med IT-partners.
Landstingets system förvaltas med stöd av en etablerad förvaltningsmodell13. Syftet med modellen är att stödja verksamheternas krav avseende systemets utveckling, för- ändringar och arbetsätt kring systemet. Hur arbetet ska bedrivas finns beskrivet och ett arbete med att etablera modellen har påbörjats. Målsättningen är att systemförvalt- ningen ska bedrivas utifrån modellen på alla system inom vården.
För att effektivisera förvaltningen och bredda kompetensen inom IT grupperas syste- men in i så kallade objekt utifrån syfte och användning.
Idag finns många system som inom vården som inte hanteras inom IT-avdelningens ansvarsområde. Detta innebär att förvaltningen av systemet utförs på ett varierade sätt14. En anledning som anges till att systemen inte finns inom IT-avdelningen är att systemen användes innan IT-avdelningens ansvarsområde var tydliggjort. Avseende nya system så tar IT-avdelningen ansvar för dessa. Avseende de system som inte han- teras inom IT-avdelningen anger de vi intervjuat att det oklart hur olika krav utifrån de styrande dokumenten beaktats.
9 SLA (Service Level Agreement)
10LISOR i verksamheten (personal som var extra kunniga kring IT för att stött kollegor på viss avsatt tid).
11 Ett kompetenskrav som ställs på partners är att de ska god erfarenhet av vårdverksamheten
12 Tex informera om förändringar. Informationsflödet vad gäller IT gick tidigare via LISORNA. informationen gick inte alltid fram ända ut i verksamheten (tidsbrist, svårt att i alla lägen avgöra vad som var viktigt/inte viktigt). Det kan bli så att en IT partner arbetar mot en div/förvaltning. Tanken är att partnern skall ha nära kontakt med verksamheten och vara den man kontaktar i alla IT relaterade frågeställningar en väg in). IT-supporten finns kvar och hanterar det den ska. Effekterna är bättre förståelse för verksamheten, kunna lösa vissa frågor direkt. Antalet IT partners blr 8-10. Idag finns inga IT-roller/funktioner ute i verksamheten.
13 De stödjer sig bland annat på PM3. pm3 står för På maintenance management model. pm3 ägs, förvaltas och utveck- las av På AB utifrån praktisk erfarenhet i konsultuppdrag och utbildningsinsatser kombinerat med akademisk forsk- ning. Idag är pm3 en de facto standard för förvaltningsstyrning i Sverige.
14 I den enkät vi skickade ut kom flera mail tillbaka där den som enligt uppgifter skulle vara systemägare angav att man inte är detta.
I granskningen har det framkommit behov att tydliggöra gränssnitten15 mot Medicinsk Teknik.
För ambulans-EKG finns en etablerad systemförvaltning där den Medicintekniska or- ganisationen och verksamheten och IT-avdelningen samarbetar.
Avseende medicinska informationssystem- som klassas som medicintekniska produk- ter, MTP, inom Laboratoriemedicin, Radiologi och Fysiologi pågår ett arbete med att utveckla samarbete mellan IT-avdelningen och Medicinsk Teknik.
I den enkät som skickades ut till systemägare angav fyra av de besvarande att deras roll systemägare inte är tillräckligt tydlig. Fem svarande att det är tydligt.
Fig. Visar svar på om ansvaret är tydligt ”Mitt ansvar och mina uppgifter som systemägare är tydligt”
Kommunikation kring avseende verksamheternas krav på IT-verksamheten.
Det finns ett strategiskt forum, systemägarerådet, som regelbundet kommunicerar ris- ker, problem och utvecklingsbehov avseende landstingets mest kritiska system. Arbetet resulterar bland annat i olika prioriteringar (vi har tagit del av en prioriteringlista som visar årets prioriteringar).
Avseende medicinsk teknik finns ett forum – Tekniska kommittén16 för medicintek- niska produkter, MTP. Detta stödjer att prioritera olika åtgärder för en säkrare hante- ring av tekniska försörjningssystem inkl. IT-system som klassas som MTP.
I organisationen finns förvaltningsråd för de större systemen. Systemförvaltare håller i dessa grupper. Systemägare avgör frekvensen.
Våra kommentarer
Avseende de verksamhetsövergripande systemen som hanteras inom IT-
avdelningen synes detta till stor del ske på ett önskvärt sätt utifrån de krav som finns idag. Det finns fastställda arbetssätt17 (se avsnitt 3.1). Medvetenhet finns kring brister och det pågår förbättringsarbeten på olika sätt (till exempel arbetet
15 Den medicinstekniska utrustningen blir mer och mer beroende av en väl fungerande IT-infrastruktur och förmåga hos IT-funktionen. (resurser, processer, teknik). I vilka processer krävs ett rådgörande med medicinsk teknik och omvänt. När krävs information (RACI).
16 Tekniska kommittén har funnits ca 1 år. Divisionschef Diagnostik är ansvarig och har kontakt med HSL. Deltagande från Chefsläkare Anestesi, Medicinsk teknik, FM-avdelningen, IT, Inköpsavdelningen, Miljö, Katastrofkommitté, Steril- central
17 Ett processorienterat arbetssätt. Där vissa processer är etablerade. Avseende vissa processer pågår fortfarande ett införandarbete.
med dokumenterade överenskommelser). Det angivna systemägarrådet medverkar i prioritera förbättringsaktiviteter utifrån ett verksamhetskrav.
Avseende de system som inte förvaltas inom IT-avdelningen är enligt vår bedöm- ning den övergripande kontrollen inte är tillräckligt tillfredställande. Vi rekom- menderar att detta ses över 18. Ett krav är att det ska finnas en samlad bild kring olika system och samband dem emellan (vad gör systemet, vem är systemägare, vem förvaltar systemet osv).
Avseende systemägarerollen ser vi behov av förbättringar (tydliggörande av ansvar och uppgifter). Exempelvis utbildning kring vad det innebär att vara systemägare.
Detta innefattar vad som är ledningens förväntan/krav utifrån de styrande doku- menten.
Vi ser behov att ytterligare förbättra kontaktytor mellan Medicinsk Teknik och IT- avdelningen. Det bör fastställas hur kommunikation och information mellan de båda funktionerna ska hanteras (till exempel när krävs att man råd-
gör/kommuniceras innan ett beslut att gå vidare får fattas, när krävs att man in- formerar varandra, vem får fatta beslut). Vi rekommenderar även att ansvariga från Medicinsk Teknik i ökad grad hjälper landstingsledningen och systemägare som kravställare19 på IT-relaterade processer inklusive IT-infrastrukturen. En idé kan till exempel vara att ansvariga från medicinsk teknik deltar i det gemensamma systemägarrådet.
Vi rekommenderar även att det sker en översyn avseende informationssäkerhets- funktionen gränssnitt mot olika ansvariga. Detta gäller till exempel hur den regel- bundna uppföljning avseende tillämpning av regler/dokument ska utföras. Vi re- kommenderar att det tas fram beskrivningar hur olika roller ska samverka, till ex- empel hur risker ska analyseras systematiskt. Hur ska uppföljningen genomföras (vad bör följas upp under året, prioriteringar, vem utför denna uppföljning, vad ska rapporteras till landstingstyrelsen).
3.3. Sker uppföljning avseende tillämpning av olika riktlinjer m.m.
Avsnittet omfattar även arbete avseende risker.
Iakttagelser
Utifrån ett patientperspektiv värderas även risker kontinuerligt inom vården. Detta berör indirekt även risker avseende IT-systemen. Både informationssäkerhetsfunkt- ionen och den interna kontroll enheten stödjer verksamheterna att analysera risker på olika sätt. Ett exempel är att informationssäkerhetsfunktionen som arbetar med en
”Behovs- och riskanalys” för tilldelning av behörigheter till vårdinformationssystemet.
Resurser från Lednings och verksamhetsstöd medverkar på olika sätt avseende riskanalyser som även berör IT området.
18 Vad olika systemen18 används till inom verksamheten, hur kritiskt systemet är. Vem är ansvarig, har aktiviteter uti- från de styrande dokumenten genomförts.
19 Innefattar även att medverka till att ”se risker” som skulle kunna innebära att krav/mål inte nås.
Det ska tas fram systemsäkerhetsplaner som med stöd av ett verktyg (BITS plus) som utgår från krav och olika risker. I avsnitt 3.1 har vi dock noterat att detta skett på ett varierade sätt.
I enkäten till systemägare varierar svaren. Tre av de svarande anger att uppföljningen är till viss del till- räcklig.
Tabellen visar svar på frågan: Sker uppföljning t ex att systemen/systemet används på önskvärt och säkert sätt?
Ja 2
Ja, i huvudsak 3
Till viss del 3
Inte alls 0
Vet ej/Ingen uppfattning 1
Uppföljning sker även på ett varierande sätt kring de olika systemen idag. För många system finns det dock ingen bra heltäckande bild se avsnitt 3.2).
Den systemförvaltningsmodell som nyligen införts stödjer uppföljning då både verk- samhetsansvariga och olika IT-resurser medverkar kontinuerligt i förvaltningen av systemen.
På olika sätt får informationssäkerhetssamordnaren och ansvarig vid enheten Säkerhet och Beredskap information om olika säkerhetsrelaterade problem och behov. Med detta som underlag har de ansvariga en kontinuerlig kommunikation med landstings- ledningen avseende informationssäkerhetsfrågor.
Den tidigare omnämnda internkontrollenheten arbetar med stöd och internrevisioner inom landstingets hela verksamhet. Internrevisionerna omfattar även att ge rekom- mendationer till hur brister kan åtgärdas. Resultatet delges landstinsdirektören för beslut om åtgärd. Under året har enheten bland annat genomfört en internrevision avseende informationssäkerheten inom landstingets största journalsystem. En hand- lingsplan20 för åtgärder utifrån internkontrollenhetens revision har tagits fram.
Via incidenthanteringsprocessen sker en kontinuerlig uppföljning kring förekomst av olika problem.
I granskningen har framkommit ett behov att förbättra den regelbundna uppföljning avseende efterlevnaden av de styrande dokumenten.
Våra kommentarer
Vi kan konstatera att det sker uppföljning och analyser av risker på olika sätt.
Olika förbättringsaktiviter genomförs. Ett exempel är den nya systemförvalt- ningsmodellen som sannolikt kommer att stödja uppföljningen eftersom denna bidrar till en ökad kommunikation mellan verksamheten och olika IT-resurser.
Dock är vår bedömning att det inte sker en tillräcklig regelbunden uppföljning avseende efterlevnaden av de styrande dokumenten. Vi rekommenderar att det
20 Det har enligt uppgift redan vidtagits förbättringsåtgärder
sker översyn kring uppföljningen avseende detta kan förbättras. Uppföljningen bör omfatta en rapportering av de förbättringsaktiviteter som genomförts, vilka olika riskanalyser har utförts med mera. Avseende risker som ansvariga själva inte kan råda över är det extra viktigt att dessa rapporteras uppåt i organsation- en.
I avsnitt 3.3 har vi rekommenderat att det finns behov att ser över informat- ionssäkerhetsfunktionens kontaktytor mot olika roller. Vi har tidigare noterat att den interna kontrollenheten är direkt underställd landstingsdirektören.
Denna organisatoriska placering för informationssäkerhetfunktionen skulle in- nebära att de arbetar mer oberoende i sin uppföljning. Vi rekommenderar att fördelar med detta ses över.
3.4. Får användare inom vården en regelbunden in- formationssäkerhetsrelaterad utbildning och in- formation.
Området syftar till att se om regelbundna informations och utbildningsaktiviteter sker. De dokument som omnämns i avsnitt 3.1 är givetvis även tillgängliga via intranätet. Avsnitten berör andra typer av utbildnings och informationsaktiviteter.
Iakttagelser
Utbildningar och information till användare av vårdens IT-system sker på olika sätt.
Till exempel används intranätet som informationskanal. Vi har till tagit del av olika sidor som innehåller frågor och svar som på olika sätt berör informationssäkerhet (Se exempel i bilaga 7). Det finns även möjlighet att nå MSB:s utbildning i informations- säkerhet via intranätet/Plexus. Det finns ett utbildningsmaterial som är tillgänglig via Plexus. Detta används enligt uppgifter av chefer vid arbetsplatsträffar (i varierande grad).
Alla nyanställda måste genomföra en webbaserad utbildning inom
informationssäkerhet. Chefer har även möjlighet att se vilka som gått utbildningen med gott resultat. Det pågår aktiviteter kring att se över innehållet i
utbildningsmaterialet.
Informationssäkerhetssamordnaren utbildar även chefer på olika sätt då detta
efterfrågas. Utbildning/information sker även på arbetsplatsträffar och vid yrkesträffar Systemförvaltare och ansvariga för olika system genomför aktiviteter på olika sätt.
Utbildningar inom IT-systemet men dessa berör även informationssäkerhet.
De i avsnitt 3.2 omnämna IT-partner kan medverka även till att informera användare och fånga upp utbildningsbehov.
Våra kommentarer
Vi kan konstatera att det sker utbildningar på olika sätt. Den generella utbildning utbildningen till nya anställda är positiv. Utbildningen omfattar även chefers möjlighet att följa upp deltagares resultat vilket är bra. Vi rekommenderar dock att det sker en översyn kring hur denna utbildning kan genomföras med
regelbundenhet till alla anställda. Sannolikt finns många anställda som inte deltagit i denna utbildning idag. Vilka som deltagit och inte bör dokumenteras.
Resultatet bör delges landstingstyrelsen.
Vi rekommenderar att kunskapsbehovet hos olika roller ses över, till exempel vad bör alla som arbetar inom vården känna till exempelvis kring de
informationskanaler som används, vilken kunskap avseende
informationssäkerhet krävs av alla. Se även det behov av utbildning till systemägare som omnämnts i avsnitt 3.2.
3.5. Finns en tillfredställande incidenthanteringspro- cess som bland annat gör att ansvariga nås av informationssäkerhetsrelaterade händelser.
Vi har studerat de upprättade dokument som finns som berör incident hanteringen.
Frågor kring hur etablerade olika processer är. Frågor har främst ställt till de som har ett ansvar för processen. Ett syfte med en incidenthanteringsprocess är att användare ska komma igång fort (hur fort ska utgå från verksamheternas krav).
Processen syftar inte till att förstå grundorsaken och inte heller att genomföra den rätta lösningen. Givetvis kan vissa problem lösas samtidigt som användare får hjälp). Processen ger underlag som stöd för att kunna lösa problem, loggar alla ärenden). Inom området berörs även hur IT-infrastrukturen bevakas. Upptäcka incidenter själva.
Iakttagelser
Ovanstående process finns och är dokumenterad. Olika roller ansvar och uppgifter framgår. Det finns olika mått framtagna som kontinuerligt mäts.
Det är även fastställt hur olika incidenter/ärenden ska prioriteras och hanteras (till exempel hur och till vilka ska ärenden vidarebefordras exempelvis till
systemförvaltaren för analyser av problemet). Det finns en fastställd
prioriteringsmatris. Det sker mätningar mot att incidenterna blir lösta utifrån en fastställd målsättning.
Det har framkommit att prioriteringsmatrisen ska kommuniceras bättre mot verksamheterna. Det har framkommit att verksamheten inte medverkat tillräckligt avseende prioriteringar. Det har påbörjats ett arbete med att tydliggöra ansvar via dokumenterade överenskommelser (SLA). Detta kommer att bidra till en bättre prioriteringsmatris utformad mot verksamhetskraven.
Vid varje verksamhetskritisk incident ska rotorsaken utredas i en incidentrapport med tillhörande aktiviteter som skall säkerställa att incidenten inte återkommer. Vi har tagit del av en incidentrapport.
Det har framkommit att det finns behov att förbättra hanteringen för att snabbare förstå och/eller åtgärda grundorsaker till kritiska incidenter, till exempel kring vad bör rapporteras bättre av verksamheten för att få en ökad förståelse för vilka konsekvenser en incident ger. Det sker förbättringsaktiviteter kring detta. Exempelvis utreds hur den nya rollen IT-partner kan medverka.
Det sker löpande information till användare avseende de olika kontaktvägarna som ska användas.
Det har framkommit behov att se över den avvikelse hantering som sker via den medicinska avvikelsehanteringensprocessen (I Platina systemet). Enligt uppgifter fångas de IT-relaterade ärenden som inkommit via Platina upp av ansvariga vid IT- avdelningen. (En inrapportering enbart via platina kan dock innebära att de inte agerar tillräckligt snabbt).
Kritiska incidentrapporter vidarebefordras till informationssäkerhetsfunktionen för kännedom. Om ärenden berör medicinsk teknik får den Medicinsk tekniska enheten informationen.
Under en pågående kritisk incident kan informationssäkerhetsfunktionen bli involverad beroende av incidentens art och karaktär.
Det finns inte något regelverk som fastställer vilka typer av händelser som ska rapporteras till informationssäkerhetsfunktionen och/eller tjänsteman i beredskap.
Om allmänheten är påverkad kontaktas IT-chef som informerar presstjänst som i sin tur sprider informationen.
Det pågår ett arbete som innebär att användarna själva ska kunna se alla sina rapporterade ärenden Bland annat incidenter och se status på dessa.
Det är planerat att under första halvåret 2015 påbörja ett arbete med att förbättra eskalerings/informationsprocesser generellt inom landstinget. Ett syfte är att rätt funktioner ska informeras i rätt tid. (Arbetet kommer att omfatta IT)
Arbetet kommer att ledas av beredskapsenheten.
Bevakning av infrastrukturen
Avseende IT-avdelningen som stöd för att upptäcka avbrott och fel i infrastrukturen så anges att det är tillfredställande utifrån de krav som ställd av verksamheterna idag (till exempel, teknisk utrutning för att övervaka, arbetsrutiner och resurser för att utföra).
Dock anges att det finns behov att arbeta igenom kraven bättre, till exempel utifrån verksamhetsbehov, vilka risker finns och vad kan reduceras via fler upptäckande kontroller. Hur bra behöver de vara.
När IT-avdelningen själva upptäcker fel ska dessa rapportera ärenden på samma sätt som användare. Detta för att de t ex ärenden ska prioriteras på samma sätt och ge underlag för proaktivt arbete. Detta arbetessätt är inte helt implementerat ännu.
Våra kommentarer
Till stor del synes det finnas en tillfredställande hantering av incidenter utifrån dagens krav. Processen är dokumenterad, etablerad och det pågår ständiga förbättringar. Det krävs dock en regelbunden uppföljning av att processen är etablerad ända ut till användarna.
Det är givetvis viktigt att de relaterade processerna exempelvis den som ska utreda vad som är orsaker till problem utvecklas på samma sätt. Detta gäller även krav avseende upptäckande aktiviteter (till exempel vad bör övervakas ännu mer).
I avsnitt kring roller har vi rekommenderat att kontaktytor med medicinsk teknik bör utvecklas. Ett exempel är att de i ökad grad bör stödja verksamheterna
avseende kravställande på IT-avdelningens processer21.
3.6. Finns systemsäkerhetsplaner och kontinuitets- planer framtagna för kritiska system
Iakttagelser
Utifrån både svaren på vår enkät och de intervjuer vi gjort så visar resultatet ett förbättringsbehov. Se även avsnitt 3.1 avseende styrande dokument.
Våra kommenterar
Enligt de styrande dokumenten ska det bland annat upprättas systemsäkerhets- planer22. Enligt vår bedömning har detta inte genomförts på ett tillräckligt sätt. Vi rekommenderar att detta ses över.
21 Hur bra behöver processer kring IT vara. Till exempel vad krävs av övervakningshanteringen. Hur snabbt måste incidenter åtgärdas.
22 Ansvariga är systemägare. Se uppgifter i bilaga.
Bilaga 1 Säkerhetsinstruktion användare
Bilaga 2 Exempel på information stöd till alla via plexus.
Generellt kring informationssäkerhet
Inklippt från Plexus
Bilaga 3 Dokumentet ledning och styrning av in- formationssäkerheten
Uppgifter för systemägare
att utöver grundsäkerhet IT i en systemsäkerhetsplan fastställa säkerhetsnivån för sy- stemet d v s tilläggskrav omfattande:
vilket informationsinnehåll datasystemet skall ha
vilka lagar, förordningar och författningar som gäller
identifiera verksamhetens krav på systemet vad avser sekretess, tillgänglighet och rik- tighet
hotbilden för systemet
kontinuitetsplan systemet (reservrutiner, avbrotts- och katastrofplan)
att i systemsäkerhetsplanen fastställa vilka olika behörighetsprofiler som skall gälla
omfattning av loggar
arkivering av loggar
ansvar och uppföljning av loggar
längsta acceptabla tid för driftavbrott
intervall för säkerhetskopiering
tid för hur snart återläsning av säkerhetskopierat material skall ske
utse en styrgrupp för systemet
följa upp systemförvaltningsrådets arbete
Bilaga 4 Systemförvaltningsmodell
Bilaga 5. Vad arbetar informationssäkerhets- samordnaren med idag
Stöd och resurs för verksamheterna
Utbildning/information om informationssäkerhet och PDL (patientdatalagen) och andra regelverk som är aktuella (många) och förändringar i regelverket.
Ansvarar för vår hemsida på Plexus
Utforma rutiner och riktlinjer och informationsmaterial
Kontakter med jurist och Puo (personuppgiftsombud)
Kontakter med patienter och allmänhet om regelverk som ttill exempel datain- trång loggar, journalkopior och spärr
Kontakter med myndigheter och NIS (nationellt nätverk för informationssäker- het)
Utreder dataintrång, kontakter med polis och åklagare
Utbildningar, utredningar av dataintrång, problemlösning i relation till gäl- lande lagstiftning (patientdatalagen), stöd vid framtagande av nya (eller modi- fierade) IT-lösningar
Råd vid upphandlingar
Bilaga 6. Systemägarrådet hanterar följande sy-
stem
Bilaga 7. Ansvar för systemägaren
Systemsäkerhetsplan
Systemägaren är ansvarig för att det upprättas en systemsäkerhetsplan för systemet. Som stöd för detta används BITS-konceptet (Basnivå för
informationssäkerhet). BITS är en samling rekommendationer från Myndighet- en för samhällsskydd och beredskap (MSB). Dessa rekommendationer definie- rar en lägsta nivå för informationssäkerheten. Som stöd I arbetet har MSB tagit fram ett verktyg benämnt BITS Plus. Detta verktyg används för att dokumen- tera informationssystemens lägsta säkerhetsnivå utifrån verksamhetens krav och ligger till grund för systemsäkerhetsplanen. Som stöd för detta används en metod och verktyg benämnt BITS Plus (Basnivå för informationssäkerhet).
BITS Plus är framtaget av Myndigheten för samhällsskydd och beredskap (MSB).
Kontinuitetsplan
Kontinuitetsplanen används för att säkerställa leveransen av IT-tjänster till kritiska verksamhetsprocesser vid allvarliga interna och externa händelser.
Verksamheten ska identifiera de IT-tjänster som är verksamhetskritiska.
Kontinuitetsplanen ska identifiera och hantera risker som kan leda till allvarliga störningar eller avbrott i leveransen av IT-tjänster till verksamheten.
Kontinuitetsplanen tas fram genom en kontinuerlig förbättringsprocess med följande aktiviteter:
Planera
