Informationssäkerhet Policy och riktlinjer för Stockholms läns sjukvårdsområde

(1)

Dokumentnamn Regnr Gäller fr.o.m

Informationssäkerhet - riktlinjer för 2013-01-22

Informationssäkerhet – Policy och riktlinjer för Stockholms läns

sjukvårdsområde

(2)

Innehåll

Introduktion till informationssäkerhet...3

Policy för informationssäkerhet för SLSO ...3

1 Informationssäkerhet i SLSO...3

2 Informationssäkerhetsorganisation ...4

3 Riskhantering ...4

4 Hantering av tillgångar...5

5 Patientinformation och patientens integritet...6

6 Personalresurser och informationssäkerhet ...6

7 Fysisk säkerhet ...7

8 Styrning av kommunikation och drift ... 8

9 Styrning av åtkomst till information ...9

10 Anskaffning, utveckling och underhåll av system ...9

11 Hantering av informationssäkerhetsincidenter ...10

12 Kontinuitetsplanering...10

13 Uppföljning ...12

(3)

Introduktion till informationssäkerhet

Denna Policy och dessa Riktlinjer för informationssäkerhet gäller för hantering av information inom Stockholms läns sjukvårdsområdes (SLSO). Riktlinjerna baseras på gällande lagar och föreskrifter, ISO-standarden för informationssäkerhet (ISO/IEC 27002 (ISO 27799:2008)) samt Stockholms läns landstings (SLL) överordnade informationssäkerhetspolicy och riktlinjer. Riktlinjerna beskriver hur informationssäkerhetsarbetet ska bedrivas inom SLSO och syftar bland annat till att konkretisera och precisera SLL:s övergripande regler gällande informationssäkerhet.

Policy för informationssäkerhet för SLSO

Sjukvårdsområdets verksamhet är beroende av information i olika former. SLSOs arbete är grundat på principer om öppenhet, respekt för patientens/brukarens självbestämmande och integritet och patientens fokus. Patienterna ska kunna lita på den information som SLSO hanterar har ett tillräckligt skydd och är korrekt.

SLSO arbetar aktivt och målinriktat med informationssäkerhet.

Målet är att säkerställa att information

• är åtkomlig för behöriga medarbetare (Sekretess)

• är tillförlitlig, korrekt och fullständig (Riktighet)

• är tillgänglig utifrån patientens och verksamhetens behov (Tillgänglighet)

SLSOs information ska också vara spårbar dvs. att det ska gå att säkerställa vem som haft åtkomst till och använt information.

SLSO ska säkerställa att gällande lagar och förordningar följs. Allt detta är viktiga förutsättningar som bidrar till att säkerställa förtroendet för SLSOs verksamheter.

SLSO ska skydda information mot olika hot för att säkerställa verksamhetens kontinuitet.

Ett säkerhetsmedvetande hos alla medarbetare är en förutsättning för en väl fungerande informationssäkerhet.

Chefer ska säkerställa att alla medarbetare (inklusive konsulter, uppdragstagare, tillfälligt anställda och studenter) i SLSO har kunskap om och förstår sitt ansvar avseende informationssäkerheten.

Målet för SLSOs informationssäkerhetsarbete är att skydda informationen inom verksamheten.

Skyddet ska vara anpassat till skyddsvärde, risker och lagkrav.

1 Informationssäkerhet i SLSO

SLSOs riktlinjer omfattar hela sjukvårdsområdets åtagande dvs. information, patienter, personal, lokaler, system och utrustning. Säkerhetsarbetet avser alla typer av information, oberoende av om informationen är i digital form, på papper eller om den är muntlig. Arbetssätt och säkerhetslösningar ska baseras på hur kritisk och känslig informationen i fråga är. Genom detta uppnås en effektiv informationssäkerhet, där skyddsnivån för informationen är anpassad till behovet.

(4)

2 Informationssäkerhetsorganisation

Grundläggande säkerhet

SLSO är en del av Stockholms läns landsting och ska följa den informationssäkerhetspolicy som landstingsfullmäktige fastställer. Landstingsstyrelsen är ansvarig för att utforma och uppdatera landstingets informationssäkerhetspolicy med tillhörande riktlinjer samt att samordna

informationssäkerhetsarbetet inom landstinget.

I enlighet med SLLs riktlinjer är styrelsen ytterst ansvarig för informationssäkerheten i SLSO.

Styrelsen är också personuppgiftsansvarig för SLSO.

Styrelsen uppdrar åt sjukvårdsdirektören att årligen planlägga och löpande följa upp

informationssäkerheten och i övrigt vidta de åtgärder som krävs för att uppnå och upprätthålla god informationssäkerhet.

Sjukvårdsdirektören utser informationssäkerhetssamordnare inom SLSO, som ansvarar för det praktiska sammanhållande arbetet med informationssäkerhet.

Verksamhets/resultatenhetschef inom SLSO ansvarar för informationssäkerheten inom sitt

ansvarsområde. Chefen ska säkerställa att deras medarbetare får tillräcklig utbildning, håller sig till fastställda säkerhetsregler och agerar därefter. Verksamhets/resultatenhetschefen ska regelbundet följa upp och rapportera efterlevnaden inom sitt ansvarsområde.

Alla medarbetare (inklusive konsulter, uppdragstagare, tillfälligt anställda och studenter) i SLSO, är ansvariga för att skydda SLSOs information i sitt dagliga arbete. Därför är det viktigt att alla känner till och följer riktlinjer och anvisningar avseende informationssäkerhet.

I SLSO ska finnas ett personuppgiftsombud med ansvar för att säkerställa att personuppgifter behandlas i enlighet med Personuppgiftslagen.

3 Riskhantering

Den information och de system som används inom SLSO är viktiga för att kunna bedriva verksamhet och måste skyddas. För att komma fram till hur skyddet ska utformas måste relaterade risker

identifieras och analyseras. Riskanalyser ska vara en naturlig del av SLSOs arbetssätt och bidra till att patienterna får en bättre och säkrare vård.

Riskanalyser gör det möjligt för informationsansvariga att identifiera huvudsakliga risker. Dessa bedöms utifrån hur stor sannolikheten är att hoten realiseras samt dess potentiella konsekvens.

Resultaten av riskanalysen ska visa vilka skyddsåtgärder som ska vidtas för att säkerställa att riskerna hanteras och minimeras. Alla skyddsåtgärder ska dokumenteras så att det är möjligt att kontrollera efterlevnaden.

Riskanalysen ska utgå ifrån sekretess-, riktighets- och tillgänglighetsaspekter för information.

(5)

Det kan finnas anledning att genomföra mindre omfattande riskanalyser för mer avgränsade områden.

Riskanalyser genomförs på flera olika nivåer; på övergripande SLSO-nivå, på verksamhetsnivå, på resultatenhetsnivå avseende specifika system eller informationstillgångar etc. Riskanalyser ska genomföras i samband med förändringar i verksamheterna, processerna och informationssystemen.

För alla verksamhetskritiska system ska riskanalyser genomföras årligen. I samband med detta ska det även bedömning göras om det finns nya interna eller juridiska krav som påverkar systemet.

Uppföljning ska ske av att identifierade risker åtgärdas alternativt hanteras.

4 Hantering av tillgångar

Inom SLSO finns många viktiga informationstillgångar som är nödvändiga för den vård som bedrivs, t.ex. vårdsystem och patientinformation. Dessa tillgångar måste skyddas så att de finns tillgängliga när de behövs i vården av patienten.

En förteckning över alla viktiga informationstillgångar med utsedda ägare ska finnas inom SLSO.

Alla viktiga informationstillgångar ska informationsklassificeras enligt SLLs modell. Klassificeringen måste omprövas regelbundet, som en naturlig del i det kontinuerliga säkerhetsarbetet. En

anpassning av denna modell har tagits fram för SLSO Informationstillgångar inom SLSO ska märkas enligt klassificeringssystemet. Detta gäller för information i såväl fysisk som elektronisk form.

Hantering av olika typer av information ska ske enligt följande:

Patientuppgifter

Patientuppgifter ska hanteras enligt Patientdatalagen (2008:355) samt Socialstyrelsens föreskrifter (2008:14).

Personuppgifter

Hantering av personuppgifter ska ske i enlighet med Personuppgiftslagen (1998:204) och Patientdatalagen (2008:355) i de fall då personuppgifterna även är patientuppgifter. Vid insamlandet av personuppgifter ska den enskilde informeras om sina rättigheter.

Skyddade personuppgifter

Skyddade personuppgifter beslutas av skatteverket och innebär att personen lever under hot och måste skyddas.

Utlämnande av information

I rutiner för utlämnande av information ska det framgå vem eller vilka som har rätt att fatta beslut kring utlämnande. Före utlämnande ska en sekretessprövning göras.

Extern informationshantering

Då SLSOs information hanteras av tredjepart (t.ex. externa leverantörer) ska kraven avseende informationssäkerhet specificeras i avtal och avtal om personuppgiftsbiträde

(6)

Extern åtkomst till information

Vid tillgång till SLSOs information från miljöer utanför sjukvårdsområdet ska specifika krav ställas på autentisering och kryptering.

5 Patient/brukarinformation och integritet

För all information om patienten gäller hög sekretessklass och patientens integritet ska alltid beaktas och skyddas enlig gällande regelverk. Detta gäller alltid oberoende av situation och plats; i samtal med arbetskamrater, i väntrummet, vid köksbordet, sociala medier etc.. Patientens delaktighet när det gäller hanteringen av sin information ska stödjas.

Patientens/brukarens delaktighet

Patientdatalagen och andra lagar ger patienten möjlighet att medverka i informationssäkerhetsarbetet.

Patienten/brukaren kan

x välja att vara med i sammanhållen journalföring x spärra sin journalinformation

x ge samtycke till åtkomst av information över vårdgivargränser x kontrollera vilka som tagit del av informationen

x ge sitt samtycke till deltagande i olika register

x ge synpunkter på hur informationen bör hanteras. Synpunkterna ska alltid beaktas men informationssäkerheten får aldrig åsidosättas.

För patient/brukare under 18 år med tillräcklig mognadsgrad gäller samma regler. För övriga barn gäller inte detta. Vårdnadshavare kan inte besluta i frågor som rör barnets journal dvs har inte rätt att spärra journalinformation eller neka till åtkomst till sitt barns journal.

6 Personalresurser och informationssäkerhet

Alla medarbetare (inklusive konsulter, uppdragstagare, tillfälligt anställda och studenter) måste förstå sitt ansvar att skydda information och patientens/brukarens integritet. Därför ska alla medarbetare inom SLSOs verksamheter utbildas och fortlöpande informeras om

informationssäkerhet.

SLSO ska genom riktlinjer, anvisningar, rutiner och checklistor tydliggöra ansvaret för hanteringen av information om SLSOs medarbetare.

För samtliga medarbetare gäller att kunskap om och tillämpningen av SLSOs riktlinjer krävs för att hantera informationssäkerheten på ett bra och effektivt sätt.

Chefen ska säkerställa att alla medarbetare i SLSO förstår sitt ansvar avseende informationssäkerheten. Säkerhetsansvaret ska tydliggöras vid anställning.

(7)

Alla medarbetare i sjukvårdsområdet ska ha den kunskap i informationssäkerhet som krävs för att kunna utföra sina arbetsuppgifter i enlighet med riktlinjerna och dess bilagor. Ansvaret för detta ligger på respektive chef. Utbildning och fortbildning inom informationssäkerhet ska ske

kontinuerligt.

Följs inte gällande säkerhetsregler kan det medföra arbetsrättsliga åtgärder/motsvarande för medarbetaren. Misstanke om brott ska polisanmälas.

7 Fysisk säkerhet

All information som hanteras inom SLSO måste skyddas fysiskt, oavsett medium. Enbart de personer som ska ha tillträde till våra lokaler ska få det.

Nivån på det fysiska skyddet ska baseras på genomförda riskanalyser och stå i proportion till

identifierade risker. Känslig information ska aldrig lämnas oskyddad. Utrustning som är känslig eller behandlar känslig information ska placeras så att möjligheten för obehöriga till tillträde minimeras och utformning av lämpliga skyddsåtgärder underlättas.

SLSOs verksamhetskritiska system och informationstillgångar (nivå 2 och högre) ska inrymmas i säkra utrymmen med lämpliga tillträdeskontroller dit endast behörig personal ges tillträde.

Med säkra utrymmen avses utrymmen som är speciellt utformade för att uppfylla högre krav på skal- och brandskydd samt tillgång till kontinuerlig försörjning av el och kyla.

För säkra utrymmen ska, utifrån behov följande säkerhetsåtgärder vara uppfyllda:

x Tillträdeskontroller ska innefatta larm, bemannade receptioner och/eller datoriserade passagekontrollsystem med individuella passerkort och koder.

x Brandskydd så som brandlarm och anpassad släckutrustning ska finnas. Brännbart material får inte förvaras i serverhallar eller motsvarande.

x Klimatanläggning ska finnas för att kompensera för den överskottsvärme som utrustningen alstrar.

x Elektronisk utrustning ska skyddas mot elavbrott och andra störningar.

x Strömförsörjning av verksamhetskritisk utrustning och system ska vara avbrottsfri och ansluten till reservkraft. Tester ska regelbundet genomföras för att säkerställa att övergången till reservkraft fungerar.

Skydd av lagringsmedia

Det ska finnas regler och skyddsåtgärder för att motverka risker i samband med hantering av information utanför SLSOs egna lokaler. Detta innefattar bland annat bärbara datorer, mobiltelefoner, USB-minnen, pappersdokument etcetera.

(8)

Lagringsmedia som innehåller känslig information eller licensierade program ska fysiskt förstöras eller skrivas över på ett säkert sätt i samband med avveckling eller återanvändning. Det är inte tillräckligt att använda standardfunktioner för att radera data.

8 Styrning av kommunikation och drift

SLSOs verksamheter är beroende av data- och telesystem och den information som hanteras i dessa system.

Kommunikation

När information överförs genom data- eller telekommunikation, uppstår risker för avlyssning och förändring av den överförda informationen. Respektive systemägare/objektägare ansvarar för att analysera behovet av nödvändiga skyddsåtgärder relaterat till riskerna samt att dokumentera dessa på ett lämpligt sätt.

Respektive systemägare/objektägare som nyttjar nätverken ska definiera kraven på tillgänglighet och skyddsåtgärder vilka ska ligga till grund för val av nätverksinfrastruktur.

Patientinformation får aldrig överföras på ett sådant sätt att obehöriga kan ta del av informationen.

Detta innebär att överföring via öppna nät ska vara krypterade om inte SLSOs anvisningar medger undantag.

All utrustning som kopplas till sjukvårdsområdets och landstingets nät ska vara konfigurerade enligt definierad standard och det ska finnas instruktioner för hantering av sådan utrustning.

Drift

Produktions-, utvecklings-, test-, och utbildningsmiljöer ska vara separerade för system i klass 2 eller högre. Om det vid genomförd riskanalys bedömts inte vara nödvändigt kan undantag göras.

Säkerhetsreglerna för produktionsmiljöerna ska i relevanta delar även gälla för övriga miljöer.

Systemägaren/objektägaren ansvarar för att kravställa avseende driftsäkerheten. Följande områden omfattas: säkerhetsuppdateringar, förändringshantering, kapacitetsplanering, skydd mot skadlig kod, säkerhetskopiering och återläsning av data samt systemdokumentation.

Då SLSO köper tjänster eller förlägger drift av IT-system utanför SLSOs verksamhet ska samma regler avseende informationssäkerhet gälla som när driften hanteras i sjukvårdsområdets regi.

Kraven på informationssäkerhet ska definieras baserat på en riskanalys och regleras i avtalet mellan parterna. Systemägaren/objektägaren ansvarar för kravställning och uppföljning avseende det specifika systemet men samordning bör ske då drift av flera system sker hos samma leverantör.

(9)

9 Styrning av åtkomst till information

Åtkomst till informationen ska endast ges till de medarbetare som har ett faktiskt behov av

informationen för att patienten/brukaren ska få en god och säker vård. Rätt personer ska ha tillgång till rätt information vid rätt tidpunkt, utan att patientens/brukarens integritet kränks.

SLSOs informationssystem används av olika kategorier av medarbetare. Det ska finnas metoder för att kontrollera åtkomsten till information, system, nätverk och tjänster. Alla medarbetare i SLSO är ansvariga för att skydda SLSOs information i sitt dagliga arbete.

Åtkomst till information inom sjukvårdsområdets verksamheter ska kontrolleras genom administrativa och tekniska skyddsåtgärder.

Åtkomstadministration

För att säkerställa att endast behöriga informationsanvändare har tillgång till viss information ska åtkomsträttigheten godkännas av ansvarig person innan den delas ut. Åtkomsten ska vid varje tillfälle avgränsas till användarens aktuella behov utifrån arbetsuppgifter och organisatorisk

tillhörighet. Rutiner ska fastställas för hur beställning, registrering, förändring och avregistrering av åtkomsträttigheter ska genomföras.

Granskning av tilldelade åtkomsträttigheter ska genomföras regelbundet och åtgärder vidtas för att säkerställa att endast behöriga användare har åtkomst till respektive informationstillgång/system.

Loggning och övervakning

För att säkerställa att alla användaraktiviteter är spårbara ska loggning ske i alla system innehållande patientuppgifter och i alla verksamhetskritiska system.

Åtkomstkontroll

Alla användare måste identifieras och verifieras genom användarnamn och lösenord innan de kan få åtkomst till informationssystem. All åtkomst till patientinformation ska kräva stark autentisering.

Alla användare ska ha en unik identitet och alla konton ska vara spårbara till en fysisk person.

Respektive chef ansvarar för att åtkomstkontroll sker.

10 Anskaffning, utveckling och underhåll av system

SLSOs säkerhetskrav ska finnas med redan vid planeringen av inköp eller utveckling av system för att säkerställa att information hanteras på ett säkert sätt.

När system ska införas, upphandlas eller utvecklas ska informationssäkerhet (sekretess, riktighet, spårbarhet och tillgänglighet) beaktas. Det kräver ett strukturerat tillvägagångssätt och att kraven avseende informationssäkerhet är tydligt definierade.

(10)

Fullständig kunskap om verksamhetens krav och informationssäkerhetskrav är nödvändig om system ska kunna uppfylla dess avsedda syfte. Därför ska dessa krav och legala krav formellt

fastställas och behandlas som en del av införande/anskaffningsprocessen. Anskaffning/införande av system eller systemutveckling ska föregås av en riskanalys, vara godkända och beakta

x Myndighetskrav (lagar och författningar) x Patientsäkerhet och patientnytta

x Informationssäkerhet x Verksamhetsnytta

En instruktion och ett väldefinierat arbetssätt krävs när nya system eller utvecklade systemkomponenter implementeras från utvecklings- och testmiljön in i produktionsmiljön. Endast formellt accepterade och godkända system eller systemkomponenter ska implementeras i produktionsmiljön.

För att upprätthålla en säker och tillförlitlig tillgång till information ska administration, drift och underhåll av IT-system ske på ett strukturerat och systematiskt sätt. Detta enligt en formaliserad och antagen modell för systemförvaltning. Systemägaren/objektägaren för respektive IT-system ansvarar för att kravställa avseende systemförvaltningen.

11 Hantering av informationssäkerhetsincidenter

Informationssäkerhetsincidenter är risker och avvikelser som påverkar eller kan komma att påverka säkerheten negativt. En incident kan antingen bero på ett avsiktligt eller ett oavsiktligt agerande som innebär att informationssäkerheten hotas genom t.ex. brott mot sekretessen, felaktighet i

information, driftavbrott eller brist på tillgång till information.

För att säkerställa att eventuella informationssäkerhetsincidenter får minimal påverkan på

verksamheten ska dessa rapporteras och handläggas som avvikelser. Avvikelsehanteringsprocessen ska säkerställa att avvikelser och svagheter relaterade till informationshantering blir hanterade på ett sådant sätt att lämpliga åtgärder kan vidtas på kort och lång sikt.

Alla medarbetare ska veta vad som räknas som en avvikelse samt var och hur dessa rapporteras.

Rapporterade avvikelser ska klassas mot en definierad skala utifrån potentiell påverkan på information, patienter/brukare och verksamheten.

12 Kontinuitetsplanering

Kontinuitetsplanering ska säkerställa verksamhetens kontinuitet; den robusta hälso- och

sjukvårdsverksamheten. Det innebär att verksamheten så långt möjligt ska kunna fortsätta även om t.ex. IT-system slås ut, en strömkabel grävs av eller byggnader brinner ned.

(11)

Kontinuitetsplaneringens mål

Målet med kontinuitetsplanering för SLSOs verksamheter är att säkerställa att eventuella avbrott i verksamhetsstödet inte får konsekvenser för liv och hälsa för enskilda individer. Kritiska

verksamheter ska kunna upprätthållas, på rimlig nivå, vid olika typer av katastrofsituationer, störningar och oplanerade avbrott. De delar av kontinuitetsplaneringen som berör katastrof- och beredskapssituationer ingå i sjukvårdsområdets övriga katastrofplanering.

Kontinuitetsplaneringens omfattning

När avbrott inträffar ska det finnas fastställda reservrutiner. Rutinerna kan vara såväl manuella som IT-baserade.

För att uppnå en god kontinuitet krävs en kombination av förebyggande och återställande skydd. När kontinuitetsplaner tas fram identifieras åtgärder som minskar risken för att avbrott ska inträffa. I verksamheter som är känsliga för avbrott bör mer fokus läggas på förebyggande åtgärder.

Det är viktigt att fastställa rätt nivå för varje verksamhet, d v s hur länge ett eventuellt stillestånd accepteras eller om verksamheten endast behöver fungera delvis under en tidsperiod. För att hitta rätt nivå måste riskanalyser genomföras och juridiska krav samt verksamhetens behov av tillgång till information dokumenteras. Kontinuitetsplanerna ska innefatta reservrutiner och övriga åtgärder som i förväg kan vidtas för att säkerställa verksamhetens kontinuitet.

Ansvar för kontinuitetsplanering

Sjukvårdshusdirektören är ansvarig för den övergripande kontinuitetsplaneringen.

Verksamhets/resultatenhetschefen har det övergripande ansvaret för att säkerställa att det genomförs analyser av verksamhetsprocessens viktiga delkomponenter samt att det skapas reservrutiner för att bedriva verksamheten vid en eventuell incident, vilket ska beskrivas i en

kontinuitetsplan. Planen ska också innehålla information om åtgärder för återgång till normal drift.

Systemägaren/objektägaren är ansvarig för att säkerställa att det finns en etablerad riskutvärdering och riskhantering på plats för systemet och att en avbrottsplan utvecklas och underhålls för

nödvändiga delar.

Anställda ska vara medvetna om det ansvar de har i den befintliga kontinuitetsplaneringen inom sina respektive områden.

Avdelningschef IT ansvarar för att kravställa att det upprättas avbrottsplaner avseende

infrastrukturen och dess tjänster. Dessa ska möta verksamhetens definierade krav på återstartstider.

CIO ansvarar för att ge stöd för implementering av informationssäkerhet i vårdstödjande system och åtgärdande av störningar i de IT-system som stödjer vårdverksamheten. Om verksamheten är beroende av en annan organisation som t.ex. en IT-leverantör måste även den vara involverad i arbetet.

Test och underhåll

Verksamhetens kontinuitetsplaner ska underhållas och testas regelbundet, minst årligen, för att säkerställa att de fungerar, är ändamålsenliga och fortfarande speglar verkligheten. Dessa test fungerar även som utbildnings- och kommunikationsinsats för berörda funktioner och roller.

(12)

13 Uppföljning

Uppföljning sker inom ramen för SLSOs internrevision/internkontroll.

Alla verksamhets/resultatenhetschefer ansvarar för att säkerställa att verksamheten sköts i enlighet med SLSOs riktlinjer.

Informationssäkerheten gällande viktiga verksamhetsprocesser, system och IT-miljön bör regelbundet genomgå oberoende granskningar. Resultatet av granskningar ska avrapporteras till sjukvårdsdirektören. Det ska finnas en tydlig process för att hantera eventuella avvikelser.

Utformningen, driften och användningen av informationssystem kan falla under lagstadgade, reglerande och avtalsenliga säkerhetskrav. Det åligger varje verksamhetsansvarig att säkerställa att gällande lagar, föreskrifter och regler följs i verksamheten.

Sjukvårdområdets informationssäkerhetssamordnare är ansvarig för förvaltning av dessa riktlinjer.

Granskning och uppdateringar ska genomföras årligen för att säkerställa att anvisningarna omfattar nya risker och hot samt att föreslagna säkerhetslösningar fortfarande är tillräckliga och relevanta.

Informationssäkerhetssamordnaren ska årligen sammanställa en rapport om arbetet med informationssäkerheten till sjukvårdsdirektören.