Et begrebssystem for. informationssikkerhed

Størrelse: px
Starte visningen fra side:

Download "Et begrebssystem for. informationssikkerhed"

Transkript

1 Rapport fra nbs06 Informationssikkerhed Side 1 af 150 Et begrebssystem for informationssikkerhed Rapport fra arbejdsgruppe nbs06 under Det Nationale Begrebsråd for Sundhedsvæsenet Maj 2006

2 Rapport fra nbs06 Informationssikkerhed Side 2 af 150 Indholdsfortegnelse: 1 INDLEDNING INFORMATIONSSIKKERHEDENS AKTUALITET ARBEJDETS OMFANG DELTAGERE TIDSPLAN Prioritering af arbejdet LÆSEVEJLEDNING DOMÆNETS BEGREBSSYSTEM FAKTUELLE FORHOLD Diagrammer Relationer mellem begreberne VIGTIGE FORHOLD FOR FORSTÅELSE AF BEGREBSSYSTEMET Afgrænsning af domænet Afgørende beslutninger Anvendelse af generelle begreber og relationstyper SÆRLIGE FORHOLD OG PROBLEMER I DE ENKELTE FASER Fase 2: Udvælgelse og gruppering af begreber Fase 1: Udvælgelse af referencemateriale Fase 3: Udarbejdelse af skitse til begrebssystemer ARBEJDSFORM MØDER KVALITETSSIKRING SÆRLIGE FORHOLD OG PROBLEMER VEDRØRENDE ARBEJDSMETODE KONKLUSION PÅ ARBEJDET KILDELISTE BILAG BILAG 1: DIAGRAMMER Læsevejledning til diagrammerne Totaldiagram hele begrebssystemet Opdeling i deldiagrammer Oversigtsdiagram over informationssikkerhed Sikkerhedsrisiko Risikoanalyse Sikringsforanstaltning Organisatorisk sikringsforanstaltning Teknisk sikringsforanstaltning Aktører - informationssikkerhed Informationssikkerhed specielle begreber BILAG 2: ALFABETISK BEGREBSLISTE BILAG 3: BEGREBER OG TERMER TIL SENERE BEARBEJDNING Ubearbejdede begreber og termer Utilstrækkeligt bearbejdede begreber

3 Rapport fra nbs06 Informationssikkerhed Side 3 af Indledning Nærværende dokument supplerer afrapporteringen fra begrebsarbejdsgruppen 06 Informationssikkerhed under det Nationale Begrebsråd for Sundhedsvæsenet. Hoveddelen af afrapporteringen findes i begrebssystemet om informationssikkerhed, der er publiceret på og som udgør arbejdsgruppens hovedleverance: et begrebssystem med definitioner og relationer for domænet Informationssikkerhed. Ved bearbejdningen af dette domæne har det været en principiel vanskelighed, at udgangspunktet for alt begrebsarbejde under det Nationale Begrebsråd for Sundhedsvæsenet er de særlige begreber, der anvendes i sundhedsvæsenet. For domænet Informationssikkerhed gælder det imidlertid, at det kun er meget få begreber, som er specifikke for sundhedsvæsenet. De sundhedsspecifikke begreber findes måske kun som specialiseringer af begrebet national forskrift. Derfor er den største del af arbejdet foregået, som om det drejede sig om informationssikkerhed i almindelighed; og det er da også arbejdsgruppens håb, at begrebssystemet kan findes nyttigt uden for sundhedsvæsenets område. Man kan også stille spørgsmålet, om informationssikkerhed enten er anderledes eller i det hele taget er mere relevant for sundhedsvæsenet end for så mange andre dele af samfundet. Det er allerede ved en umiddelbar betragtning tydeligt, at informationssikkerhed i sundhedsvæsenet ikke er meget anderledes end så mange andre steder, og dette er blevet bekræftet i nærværende arbejde. Der findes altså ikke noget argument for, at en begrebsafklaring inden for informationssikkerhed netop skal ske i sundhedsvæsenet. Der er godt nok i sundhedsvæsenet et klart ønske om, at informationssikkerheden generelt er på et højt niveau, men tilsvarende ønsker findes også på en række andre områder i samfundet. Der er imidlertid mindst to grunde til, at sundhedsvæsenet har en særlig interesse i at få begreber inden for informationssikkerhed afklaret som beskrevet i de følgende afsnit. 1.1 Informationssikkerhedens aktualitet Det er netop i disse år, at sundhedsvæsenet går over til at håndtere patienternes detaljerede helbredsinformationer i bredt forbundne it-systemer. Informationssikkerheden i de gammelkendte papirsystemer har kun krævet beskeden opmærksomhed, fordi deres muligheder og begrænsninger er så velkendte. Derimod har de digitale systemer langt større anvendelsesmuligheder, gevinstpotentiale, misbrugsrisici, begrænsnings- og kontrolmuligheder. Disse er både mere komplekse og mindre kendte. Klare afgrænsninger, sammenhænge og betegnelser for de involverede begreber er en forudsætning for at kunne beskæftige sig seriøst med alle disse muligheder. Den anden grund for sundhedsvæsenet til at analysere og beskrive begreber inden for informationssikkerhed er, at en netop igangværende afklaring af tilgrænsende begrebsområder i sundhedsvæsenet i sig selv giver et behov for præcisering af begreber i dette nabo-område. Det er arbejdsgruppens opfattelse, at en samlet og ontologisk orienteret gennemarbejdning af domænet Informationssikkerhed ikke tidligere er gjort, og gruppen har ikke fundet autoritative, velstrukturerede begrebssystemer for domænet i kildematerialet. 1.2 Arbejdets omfang Den analyse og beskrivelse af begreberne, som her afrapporteres, gør på ingen måde krav på at være udtømmende det er forsøgt at identificere mange begreber og bestemme deres relationer, men det har pga. den givne tids- og ressourceramme været nødvendigt at prioritere en del af begreberne til en grundig bearbejdning. Det vil bl.a. være muligt videre at underinddele mange af de identificerede begreber. Der er identificeret yderligere begreber, som alene er beskrevet ved deres relative placering i begrebssystemet. Mange begreber er altså ikke færdigbearbejdet på et terminologisk acceptabelt niveau, men vises alene for orienteringens skyld i bilag 3.

4 Rapport fra nbs06 Informationssikkerhed Side 4 af Deltagere I arbejdet har følgende deltaget: Jørn Knudsen, IT-sikkerhedskoordinator, H:S Direktionen (Per Loubjerg, IT-chef, Hvidovre Hospital har flere gange vikarieret planlagt) Anne-Mette Skou, Begrebssekretariatet, H:S Direktionen (fra juni 2005) Hans Harbøll, IT-seniorkonsulent, afd. for planlgn. og IT, Psykiatri- og sundhedsområdet, Ribe Amt Trine Jørgensen, Systematic Software Engineering Hrönn Sigurdardottir, IT-afdelingen, Københavns Amt (indtil september 2004) Lars Stubbe Teglbjærg, overlæge, Medicinsk afd. M, Svendborg Sygehus Elisabeth Hersby, Sundhedsstyrelsens Enhed for Kvalitet, Overvågning og Tilsyn Ole Terkelsen, Sundhedsstyrelsens Enhed for Sundhedsinformatik (fra februar 2005) Bodil Nistrup Madsen, professor, DANTERMcentret (i en del af møderne) Camilla Wiberg Danielsen, terminolog, DANTERMcentret (fra maj 2005), Sundhedsstyrelsens Enhed for Sundhedsinformatik fra Søren Lippert, tidligere Sundhedsstyrelsens Enhed for Sundhedsinformatik, fra konsulent i SLIQ (formand) Endvidere har Knud Mose, Specialkonsulent, IT- og Telestyrelsen, deltaget i de sidste to arbejdsmøder. 1.4 Tidsplan Arbejdet har strakt sig over næsten to år, selvom den oprindelige planlægning forudså ca. ½ års arbejdsperiode. Efter kick-off-møde den har arbejdsgruppen den deltaget i et kort kursus i terminologisk arbejde med ontologisk tilgang. Herefter har gruppen holdt 14 arbejdsmøder af i alt 16 dages varighed med løsning af planlagte arbejdsopgaver mellem flere af møderne. Begrebssystemet og nærværende rapport er afleveret til Sekretariatet for det Nationale Begrebsråd for Sundhedsvæsenet den Der er flere årsager til, at arbejdet har taget længere tid end først planlagt. Initialt var det vanskeligt at nå frem til en passende snæver afgrænsning af den del af domænet Informationssikkerhed, som skulle bearbejdes (se afsnit 2.2.1) og sammenhængende hermed har arbejdsgruppen haft et højt ambitionsniveau for begrebssystemets omfang og kvalitet. Det har vist sig vanskeligere end forventet at gennemføre en tilstrækkelig stor arbejdsindsats mellem møderne. I den sidste fase har en supplering af arbejdsgruppen af hensyn til bredden i kompetencer og ønsket om at opnå størst mulig sammenhæng mellem begrebssystemet og høringsforslaget til ny danske standard for informationssikkerhed, DS 484:2005(forslag) betydet en forlængelse af arbejdet Prioritering af arbejdet Tidsrammen og arbejdsformen for dette arbejde har tilsammen sat nogle begrænsninger, der ikke har gjort det muligt at bearbejde alle de identificerede begreber. Bearbejdningen af begreberne er søgt prioriteret ud fra hensyn til behov for begreber i sundhedsvæsenets informatiske udviklingsarbejde og hensynet til en klar sammenhæng mellem disse begreber. Fx er der behov for at fokusere på sikringsforanstaltninger, og derfor er begrebet sikringsforanstaltning anskuet fra tre forskellige synsvinkler (formål, grad og middel). For at danne et godt fundament for hele begrebssystemet er selve begrebet informationssikkerhed og dets underbegreber analyseret meget grundigt og beskrevet med stor omhu. Arbejdsgruppen har generelt givet højest prioritet til de begreber, der er nærmest relateret til det centrale begreb informationssikkerhed.

5 Rapport fra nbs06 Informationssikkerhed Side 5 af Læsevejledning I bilagene til denne rapport vises alle begrebssystemets begreber i diagramform (Bilag 1) og systematisk beskrevet i alfabetisk orden (Bilag 2). Begreberne ses dog bedst på hvor både diagrammer og anden information om begreberne inkl. kommentarer kan tilgås vha. hyperlinks. Diagrammerne findes i rapportens Bilag 1, mens Bilag 2 indeholder en tekstudskrift af de informationer, der er knyttet til hvert begreb. Denne udskrift er automatisk genereret og ikke overskuelig, men alfabetisk ordnet og kan benyttes til opslag. Bilag 3 indeholder information om begreber og termer, der er identificeret som hørende til domænet informationssikkerhed, men som ikke er tilstrækkeligt bearbejdede til at blive publiceret som en del af nærværende begrebssystem, I denne rapport skrives begrebssystemets termer i enkelte anførselstegn xxx og med lille begyndelsesbogstav overalt. Læsevejledning til diagrammerne findes i Bilag 1 (afsnit 6.1.1). Rapporten indeholder ud over denne indledning en kort redegørelse for nøglefakta vedr. begrebssystemet (afsnit 2) nogle af de vigtigste overvejelser vedr. nogle centrale begreber (afsnit 2) en kort beskrivelse af arbejdsprocessen (afsnit 3) nogle konkluderende bemærkninger og anbefalinger (afsnit 4) en liste over anvendte kilder (afsnit 5) bilagene (afsnit 6)

6 Rapport fra nbs06 Informationssikkerhed Side 6 af Domænets begrebssystem 2.1 Faktuelle forhold Nærværende begrebssystem omfatter i alt 100 begreber, der alle er relateret til mindst ét andet begreb med én eller flere dekompositioner (del-helheds relationer), specialiseringer (type-relationer) og associative relationer (fx påvirkning, brug, placering, ændring). Der er formuleret definitioner for alle begreberne. Der er registreret foretrukken term for alle begreber samt et antal synonymer og engelske ækvivalenter Diagrammer Begrebssystemet præsenteres i en række diagrammer med tilhørende oplysninger om definitioner, synonymer mv. Diagrammet i Figur 1, Oversigtdiagram over informationssikkerhed, giver et overblik over begrebssystemets opbygning, idet det viser nogle af de begreber, der danner indgang til de mere detaljerede diagrammer. Hele det samlede begrebssystem er vist i diagrammet (Se bilag 1, afsnit 6.1.2). Dette diagram er aht. læselighed og overskuelighed opdelt i syv deldiagrammer (Se afsnit 6.1.3): Sikkerhedsrisiko, som indeholder begreber, der bl.a. viser sammenhængen mellem trussel, sårbarhed og risiko Risikoanalyse, der indeholder begreber relateret til denne aktivitet Sikringsforanstaltning, som indeholder inddelinger af de sikringsforanstaltninger, der kan iværksættes Organisatoriske sikringsforanstaltninger, som indeholder organisatoriske sikringsforanstaltninger og en del dertil relaterede begreber Tekniske sikringsforanstaltninger, som indeholder tekniske sikringsforanstaltninger Aktører - informationssikkerhed, som indeholder en del begreber vedr. forskellige aktører, som har forbindelse med informationssikkerhed Informationssikkerhed specielle begreber, som indeholder underbegreberne til informationssikkerhed Der således i alt ni diagrammer, som beskriver begrebssystemet. De findes alle tilligemed en læsevejledning til diagrammerne i Bilag 1.

7 Rapport fra nbs06 Informationssikkerhed Side 7 af 150 Figur 1 Oversigt over informationssikkerhed informationssikkerhed består af tilgængelighed integritet fortrolighed forbedrer sikringsforanstaltning begrunder forringer sikkerhedsrisiko indvirker på Relationer mellem begreberne Begreberne er forbundet til hinanden med relationer, der har stor betydning for forståelsen af begrebssystemet og i høj grad er med til at definere begreberne. Der findes tre kategorier af relationer. Dekompositioner (del-helheds-relationer; linjer, der begynder med en rombe) er på diagrammerne betegnet med et navn, der hentyder til typen af dekomposition. Den mest anvendte er består af, der typisk angiver funktionelt adskilte dele af en helhed. Specialiseringer (type-relationer; linjer, der begynder med en trekant) har på diagrammerne angivet det træk, der adskiller de aktuelle typer af det pågældende overbegreb (inddelingskriterium). Associative relationer (linjer med pil) har angivet navnet på relationen. Navnet er placeret i den ende, hvorfra relationen skal læses. I mange tilfælde ville det være muligt at oprette andre og yderligere relationer mellem begreber, men af hensyn til overskueligheden af begrebssystemet er kun medtaget de relationer, der er mest relevante, og som er definerende i forhold til arbejdsgruppens domæneafgrænsning. 2.2 Vigtige forhold for forståelse af begrebssystemet Afgrænsning af domænet Én af grænserne for domænet Informationssikkerhed er mod det administrativt-organisatoriske domæne, idet en del af begreberne for sikringsforanstaltninger er af organisatorisk art. Mange af disse deles med det administrativt-organisatoriske domæne og med Klinisk proces (fx patient og pårørende ). En anden afgrænsning er mod begreber som fortrolighed og tavshedspligt mod begreber som patientrettighed, privatliv og værdighed. Man kan sige, at der er en glidende overgang mod det etiske domæne. Begreberne vedr. fysiske sikringsforanstaltninger grænser op mod begreber for den generelle fysiske infrastruktur for informationssystemer, idet det meste af infrastrukturen kan siges at bidrage til målet tilgængelighed. I domæneafgrænsningen har arbejdsgruppen bestræbt sig på at udelukke de begreber fra arbejdet, der i højere grad kan siges at være del af tilgrænsende domæner.

8 Rapport fra nbs06 Informationssikkerhed Side 8 af 150 En undtagelse herfra udgøres dog af nogle få meget generelle begreber som fx information, aktør og hændelse. Disse begreber behandles nærmere af andre arbejdsgrupper, men har relevante relationer til begreber vedr. informationssikkerhed Begrebssystemet For hele begrebssystemet er relationer, definitioner, termer og synonymer gennemgået, diskuteret og principielt fastlagt i nævnte rækkefølge. Det er arbejdsgruppens vurdering, at det er værdifuldt at fastholde alle de identificerede begreber i domænet, selvom deres relationer ikke alle er endeligt fastlagt og de ikke alle er sprogligt defineret. Disse begreber er vist til orientering i bilag Afgørende beslutninger I begyndelsen af begrebsarbejdet spillede nogle overvejelser af pædagogisk karakter ind og medførte fx, at begrebet backup blev omdøbt til backup og restore (fordi backup ikke bør tages uden jævnlig afprøvning af procedurer for restore = genskabelse af information fra backup en). Dette er imidlertid, hvad vejledninger og standarder bør beskæftige sig med, og med denne erkendelse er arbejdsgruppen blevet mere stringent orienteret mod det ontologiske begrebsarbejde. Begrebet backup er således ikke længere blandet sammen med genskabelsesproceduren. Ligesom det ikke er trivielt at afgrænse domænet Informationssikkerhed, har det heller ikke været let at afgrænse gruppens arbejdsområde inden for domænet. Den indstilling om afgrænsning af arbejdsområdet, som gruppen sendte det Nationale Begrebsråd for Sundhedsvæsenet den , gik temmelig naivt ud fra, at det kunne lade sig gøre at bearbejde et overbegreb fuldt ud, inden man tog fat på dets underbegreber. Dette har vist sig at være en i høj grad fejlagtig antagelse, der har måttet vige for erkendelsen af, at man er nødt til at behandle under- og overbegreber i en iterativ proces. Prioriteringen af begreber til behandling bliver dermed langt mindre skarp end ønskeligt. Begrebssystemet var i forsommeren 2005 klar til aflevering mhp. drøftelse i Nationale Begrebsråd for Sundhedsvæsenet, samt fastlæggelse af de dele af begrebssystemet, der skulle sendes i høring. Imidlertid ventedes en ny version af informationssikkerhedsstandarden DS 484 i høring fra Standard, så det blev besluttet at udskyde afleveringen af begrebssystemet til efteråret 2005 for at få mulighed for at koordinere med standardforslaget og indarbejde begreber fra dette. Som følge heraf er der gjort værdifulde tilføjelser, fx begreberne vedr. forebyggende, opklarende og udbedrende sikringsforanstaltning. Vedtagelsen af DS 484:2005 som gældende standard har kun medført meget små ændringer i forhold til høringsforslaget. Imidlertid er der visse af de udarbejdede definitioner, der afviger fra definitionerne i DS 484:2005. Det viser sig, at begreberne i standardens ordforklaring ikke er resultatet af systematisk, terminologisk arbejde hvilket heller ikke er standardens formål. Det betyder ikke, at standarden er fagligt ukorrekt; det betyder heller ikke, at der er uoverensstemmelse mellem indholdet i standardens definitioner og de af arbejdsgruppen udarbejdede. Det betyder blot, at arbejdsgruppens definitioner er formuleret i overensstemmelse med terminologiske principper Begrebet informationssikkerhed Domænets centrale begreb er 'informationssikkerhed'. Oprindeligt i gruppens arbejde indtog det ubestridt den centrale plads, men den oprindelige forståelse af begrebet viste sig at være en sammenblanding af "den sikkerhed, man opnår eller ønsker at opnå" og "de midler, man tager i anvendelse for at opnå informationssikkerhed". Som et resultat af denne overvejelse udskilte vi 'informationssikkerhed' og 'sikringsforanstaltning' som de to mest centrale begreber. De tre dele af begrebet informationssikkerhed ('tilgængelighed', 'integritet' og 'fortrolighed') er således de mål, som sikringsforanstaltninger i varierende grad bidrager til at opnå. Den videre analyse af disse tre hovedmål beskrives i diagrammet Informationssikkerhed specielle begreber.

9 Rapport fra nbs06 Informationssikkerhed Side 9 af 150 Ved analysen af begrebet informationssikkerhed viste det sig, at det kan opfattes som en balance mellem sikringsforanstaltning og sikkerhedsrisiko, som det vises i diagrammet Oversigt over informationssikkerhed. Hermed genplaceres begrebet informationssikkerhed på tilfredsstillende vis som det mest centrale begreb Begrebet sikringsforanstaltning Det er blevet diskuteret i arbejdsgruppen, om der burde være en parallelitet i opbygningen af underbegreber til informationssikkerhed og underbegreber til sikringsforanstaltning. Der er dog flere grunde til, at denne tanke er vanskelig at gennemføre. For det første kan den samme sikringsforanstaltning meget vel bidrage til flere af målene (delene af informationssikkerhed: tilgængelighed, integritet, fortrolighed), så det er ikke meningsfuldt at afspejle opdelingen i tekniske og organisatoriske samt fysiske og logiske sikringsforanstaltninger i inddelingen af de begreber, der betegner målene. Fx kan den tekniske foranstaltning 'adgangsbegrænsning' både bidrage til fortrolighed og tilgængelighed (ved at mindske risikoen for informationslækage og risikoen for ødelæggelse). Det er yderligere således, at et enkelt mål kan kræve anvendelsen af foranstaltninger af både teknisk og organisatorisk karakter for at blive opnået i tilstrækkeligt omfang. Fx kan et højt fortrolighedsniveau kræve anvendelsen af både 'rumsikring', 'sikkerhedssoftware' og 'differentieret adgangsrettighed', der er to tekniske og en organisatorisk foranstaltning. Begrebet sikringsforanstaltning kan opdeles efter flere forskellige kriterier; men det vil sjældent være fordelagtigt fx at satse udelukkende på opklarende sikringsforanstaltninger, så ved planlægningen af sikringsforanstaltninger er det af værdi at anskue dem opdelt efter formål. Det har tilsvarende betydning for sikringsforanstaltningernes iværksættelse at vide hvilke midler, der skal anvendes, så opdelingen i organisatoriske og tekniske sikringsforanstaltninger er væsentlig, når de skal implementeres. Ingen af de to inddelingskriterier formål eller middel er perfekte ud fra en teoretisk klassifikationsbetragtning, for nogle sikringsforanstaltninger kan ikke placeres entydigt i én af disse kategorier. Det gælder bl.a. for en række sikringsforanstaltninger som sikkerhedsorganisation, sikkerhedspolitik og autentificering, at de ud fra en formålsbetragtning er både forebyggende og opklarende (nogle tillige udbedrende). Inddelingen efter middel er heller ikke problemfri, idet fx adgangsbegrænsning som vist i diagrammet Teknisk sikringsforanstaltning kan være både en logisk og en fysisk foranstaltning. Der er således ikke tale om, at noget inddelingskriterium er rigtigt i forskellige situationer er forskellige inddelingskriterier mere eller mindre hensigtsmæssige og repræsenterer forskellige valg. Gruppen af organisatoriske sikringsforanstaltninger rummer en meget stor og vanskeligt afgrænselig samling af ansvarsområder, regler, rutiner og metoder samt deres dokumentation. De begreber, der er anført i begrebssystemet, er kun udsnit af de mulige, og arbejdsgruppen har søgt at udvælge dem på basis af relevans. De tekniske sikringsforanstaltninger er konkrete og leveres i stor udstrækning af specialiserede itleverandører inden for rammerne af en nogenlunde velafgrænset del af it-branchen. Det er arbejdsgruppens opfattelse, at der uformelt i branchens regi har fundet en ret omfattende begrebsafklaring sted nogenlunde i takt med den tekniske udvikling. Gruppen har derfor besluttet, at denne del af domænet har lavest prioritet i bearbejdningen af begrebssystemet Anvendelse af generelle begreber og relationstyper Dekompositionen består af udtrykker en del-helhedsrelation, hvor delene typisk er funktionelt adskilte fra hinanden, mens dekompositionen omfatter udtrykker en del-helhedsrelation, hvor delene er elementer i en mængde. På diagrammerne er specialiseringen kan være markeret med aspekt (=inddelingskriterium). I begrebssystemet er de af NBS standardiserede associative relationer generelt anvendt. Nogle har dog ikke kunnet beskrives tilstrækkeligt inden for disse rammer; det drejer sig om relationerne: - forbedrer ( sikringsforanstaltning forbedrer informationssikkerhed ) - forringer ( sikkerhedsrisiko forringer informationssikkerhed )

10 Rapport fra nbs06 Informationssikkerhed Side 10 af begrunder ( sikkerhedsrisiko begrunder sikringsforanstaltning ) - behandler ( informationssystem behandler information ) - ophæver ( samtykke ophæver tavshedspligt, se 6.3.2) - har krav på ( patient har krav på informationssikkerhed ) - tillader ( samtykke tillader videregivelse se 6.3.2) - registrerer ( logning registrerer hændelse ) - specificerer ( trusselsbillede specificerer trusselsniveau ) Relationstyper til informationssikkerhed Man kan diskutere, om begreberne tilgængelighed, integritet og fortrolighed er relateret til informationssikkerhed med generiske relationer ( typer af informationssikkerhed ) eller med partitive relationer ( dele af informationssikkerhed ). For at nå frem til en afgørelse kan man spørge, om de tre underbegreber kan eksistere sammen i én given instans af overbegrebet. Alle tre underbegreber anskues ofte som varierende, om end ikke nødvendigvis kvantitative, størrelser. Man kan således godt forestille sig informationssikkerhed, hvor den samlede værdi af et eller flere af de to underbegreber går mod nul. Derimod vil de fleste nok mene, at en udtømmende beskrivelse af en given informationssikkerhed kræver redegørelse for alle tre underbegreber. Eller sagt på en anden måde; når man vælger en informationssikkerhed, vælger man ikke enten det ene eller andet underbegreb, men en samlet pakke, hvori ét eller flere af underbegreberne kan stå for noget meget ringe eller ikke-eksisterende, men selve begrebet er ikke des mindre til stede. Svaret på spørgsmålet er altså bekræftende, og konklusionen bliver, at der er tale om en partitiv (del-helheds-) relation. Til informationssikkerhed har begrebssystemet yderligere tre relationer, nemlig de associative relationer har krav på (fra patient ), forringer (fra sikkerhedsrisiko ) og forbedrer (fra sikringsforanstaltning ). Det er den første af disse (sv.t. udsagnet patient har krav på informationssikkerhed ), der gør domænet Informationssikkerhed relevant for sundhedsvæsenet. Denne relation er kun vist i diagrammet (6.1.2). 2.3 Særlige forhold og problemer i de enkelte faser Fase 2: Udvælgelse og gruppering af begreber Arbejdsgruppen indledte arbejdet med en brainstorm, hvor en stor del af de senere bearbejdede begreber blev identificeret. Disse begreber blev derefter grupperet (se figur 2) og fordelt til gruppens medlemmer til en nærmere beskrivelse, der dannede baggrund for analyse af begreberne og opstilling af foreløbigt begrebssystemet.

11 Rapport fra nbs06 Informationssikkerhed Side 11 af 150 Figur 2 patient Rolle psykisk integritet Bruger Elisabeth Patient Fortrolighed aktuelt behandlingsforløb Samtykke Værdighed tavshedspligt Videregivelse Per elektromagnetisk sikkerhed aflåsning akut-adgang Lars Adgang Fysisk sikkerhed Nogle centrale termer administrativ brandsikring nødstrøm backup Informationssikkerhed sikkerhedsadministration IT-sikkerhed Safety Datasikkerhed Security sikkerhed Kommunikationssikkerhed Validitet/ korrekthed Tilgængelighed Datapræsentation Edbsikkerhed Data lovgivning Information teknisk sikkerhed Hans Trine differentieret adgangsrettighed organisatorisk sikkerhed sundhedsfaglig teknikeradgang akkreditering administrativ certificering sikkerhed/regler nødprocedure Logisk sikkerhed Redaktør Søren Krypteringsnøgle log-on log-off Krypteringsalgoritme Logning Dataintegritet Kryptering password Autenticitet firewall hacker Sporbarhed virus orm Under arbejdet med at bearbejde de identificerede begreber oplevede arbejdsgruppen vanskelighed med at rubricere begreber vedr. teknisk- og logisk sikkerhed overfor begreberne fortrolighed, integritet og tilgængelighed. Under diskussionen om disse begrebers relationer til informationssikkerhed gik det op for gruppen, at vanskelighederne med sammenblanding af opnået sikkerhed og anvendt middel til at opnå sikkerhed kunne løses med en udskillelse af begrebet sikringsforanstaltning Fase 1: Udvælgelse af referencemateriale For det danske samfund i almindelighed og for sundhedsområdet i særdeleshed findes der en række retskilder med regler for dele af domænet Informationssikkerhed. Heri optræder nogle termer, som i visse tilfælde er defineret, i andre ikke. Disse retskilder er primært Persondataloven, Patientretsstillingsloven og de bekendtgørelser, cirkulærer og vejledninger, der knytter sig til dertil (reff. 1-5, 10). Disse kilder er naturligvis grundlæggende, men temmelig overordnede, hvad angår rent begrebsligt indhold. Domænets andre autoritative kilder er standarder, danske (fra Standard, DS), europæiske (fra Comitée Européene de Normalisation, CEN) og globale (fra International Standards Organisation, ISO), og herfra er hentet hovedindholdet til nogle definitioner. Disse standarder er dog på ingen måde udtømmende. Det kan fx nævnes, at ingen af hovedstandarderne, hverken DS 484 (ref. 6) eller ISO (ref. 7), definerer eller beskriver begrebet bruger. En del af standardernes definitioner er desuden vanskelige at anvende i begrebsarbejdet, fordi de bærer præg af det bestemte formål, som den enkelte standard søger at opfylde. Som eksempel kan nævnes definitionen af password fra en ordbog over fagudtryk (ref. 12):

12 Rapport fra nbs06 Informationssikkerhed Side 12 af 150 For EQUIPMENT under the control of a PROGRAMMABLE ELECTRONIC SUBSYSTEM (PESS), sequence of keystrokes that permits OPERATOR access for NORMAL USE or to reset INTERLOCKS and, with a different sequence of keystrokes, permits access for adjustment and maintenance. ( Standard 2004). Derudover har arbejdsgruppen kunnet anvende et personligt meddelt udkast til en taksonomi for sikkerhed (ref. 13) som støtte for en del relationer mellem begreberne i Informationssikkerhed specielle begreber Fase 3: Udarbejdelse af skitse til begrebssystemer Ud fra den oprindelige gruppering af begreberne blev den første skitse til begrebssystem opstillet; og den har dernæst dannet udgangspunkt for den første af mange iterative diskussioner, der har ført frem til begrebssystemet i sin nuværende form. Arbejdsgruppen har anvendt temmelig lang tid til afklarende diskussion af begreberne 'integritet', 'informationskvalitet' og 'sporbarhed' - både deres placering, relationer og definitioner. Arbejdet har på dette punkt ført til en velfunderet enighed om disse begreber og deres underbegreber.

13 Rapport fra nbs06 Informationssikkerhed Side 13 af Arbejdsform 3.1 Møder Arbejdsgruppen har i gennemsnit holdt et arbejdsmøde hver anden måned. Det har overvejende drejet sig om heldagsmøder, og to møder har omfattet to konsekutive mødedage. Mødedeltagelsen har været varierende; gennemsnitligt 68% med en spændvidde på %. For hele arbejdsperioden har der foreligget en samlet arbejdsplan, som er blevet opdateret i takt med ændringer i planlægningen. Der har således til hvert arbejdsmøde på forhånd været angivet emner, der skulle behandles og i muligt omfang stipulerede, operationelle mål for mødet. For hvert møde er der ført et tekstbaseret procesorienteret beslutningsreferat for beslutninger vedr. arbejdets planlægning, forløb, fordeling mv. Dokumentationen af selve begrebsarbejdet er sket i elektroniske værktøjer med stigende kompleksitet. Initialt i Word og PowerPoint, senere i QualiWare, da denne applikation blev tilgængelig. Arbejdsformen har været præget af, at meget af arbejdet foregik på møderne og af, at den essentielle arbejdsproces er faglig diskussion mellem domæneeksperter med kraftig støtte af terminologisk fagkompetence og en vis støtte af skriftlige og digitale kilder. Det har derfor været hovedreglen, at diskussionsresultaterne er ført direkte ind i QualiWare-filer under mødernes forløb, hvilket har sikret en høj grad af enighed om dokumentationens indhold. Selve diskussionerne har været præget af en konstruktiv vilje til at nå egentlig konsensus vha. argumenternes vægt. Det er gruppens erfaring, at en stor del af arbejdet i de første par faser kunne fordeles til arbejdsgruppens medlemmer og udføres mellem møderne. Efterhånden som arbejdet skred frem, blev det i tiltagende grad afhængigt af diskussionen på møderne, hvor det meste af opstilling og justering af begrebssystemet samt formulering af definitionerne er foregået gennem adskillige iterationer. Endelig har der i den sidste fase været et betydeligt arbejde for formanden mellem møderne med justeringer af begreber, relationer og sproglig revision af definitionsformuleringerne, første kvalitetssikring af begrebssystemet, indarbejdelse af review-kommentarer fra teknisk-, faglig- og terminologisk side samt udarbejdelsen af denne rapport. 3.2 Kvalitetssikring Ud over formandens egen kvalitetssikring mht. overensstemmelse mellem det på arbejdsmøderne besluttede og dokumentationen af begreber, termer og relationer, har begrebssystemet og et rapportudkast været i teknisk review hos DK-CERT og har derefter gennemgået en høringsproces med offentliggørelse på indkaldelse af høringssvar fra en række tekniske og politiske parter samt et høringsseminar for en særligt indbudt kreds af interessenter. Det herved indkomne materiale er blevet indarbejdet i begrebssystemet i relevant omfang. Herefter er begrebssystemet og rapporten sendt til endeligt terminologisk review hos DANTERMcentret for til slut at blive klargjort til publikation af Begrebssekretariatet. 3.3 Særlige forhold og problemer vedrørende arbejdsmetode Overordnet set har det været en fordel at kunne arbejde direkte i et værktøj, der tegner diagrammer over begrebssystemet og som samtidig holder rede på de informationer, der knytter sig til hvert enkelt element i begrebssystemet. På den anden side har det været en klar forudsætning for denne arbejdsform, at et medlem af gruppen (i dette tilfælde formanden) hurtigt har optrænet en fortrolighed med selve applikationen. Dette har i sin tur forudsat en rimeligt stor allround rutine i at arbejde med forskellige applikationer, fordi QualiWare ikke er en særlig brugervenlig applikation. Herunder savnes der i høj grad tastaturgenveje, fx i form af en langt højere brug af de fra Microsofts programmer kendte genvejstaster, men i høj grad også mulighed for at navigere rundt i applikationsspecifikke dialogbokse ved hjælp af tastaturet.

14 Rapport fra nbs06 Informationssikkerhed Side 14 af 150 Der er to forhold, der hæmmer udtømmende dokumentation af arbejdet. Det ene er, at størstedelen af arbejdet foregår i en diskussionsform, hvor der hurtigt efter hinanden flyver så mange argumenter og eksempler gennem luften, at det er vanskeligt at fastholde dem, hvis ikke diskussionen skal hæmmes meget af dokumentationsprocessen. Hvis man forestillede sig denne dokumentation overvejende i tekstform (fx som transskription af båndoptagelser), ville dens omfang gøre den vanskelig at benytte bagefter. Det andet forhold er, at det af organisatoriske årsager har været nødvendigt i én person at samle opgaverne som referent, mødeleder og diskussionsdeltager. Dette medfører, at både mødeledelse (og dermed fremdrift på møderne) og mødedokumentationen kunne have været bedre.

15 Rapport fra nbs06 Informationssikkerhed Side 15 af Konklusion på arbejdet Den ontologiske tilgang til begrebsarbejde har allerede tidligt vist sig overordentlig frugtbar og fremmende for kvaliteten i arbejdet, og den har samtidig givet et godt overblik over mulighederne for afgrænsning og prioritering af arbejdet. Generelt har arbejdet krævet større tidsforbrug end først antaget. I den største del af arbejdsperioden kunne man med fordel satse stærkere på hyppige møder med mindre forventning om arbejde mellem møderne. Formandens arbejde i den sidste halvdel af arbejdet har vist sig at være underestimeret. Generelt har det ikke været muligt at overholde den oprindelige målsætning om at gennemføre arbejdet på 6 kalendermåneder, hovedsagelig pga. problemer med afgrænsning, ambitionsniveau og fordi det nødvendige antal arbejdstimer (især mødetimer) har været underestimeret ved planlægningens begyndelse. Denne arbejdsgruppe har været sammensat af både administrativt, juridisk, klinisk og datalogisk orienterede domæneeksperter, og det har givet gruppen en værdifuld alsidighed, som gruppemedlemmerne har udnyttet gennem et konstruktivt og konsensussøgende arbejde. inologisk støtte til arbejdet har været noget underestimeret i begyndelsen af arbejdet, men med fast deltagelse af terminolog i den sidste halvdel af arbejdet er dette forhold rettet op. En noget hurtigere gennemførelse af arbejdet ville have været mulig med følgende tiltag: - en fast mødereferent, der ikke deltager i den faglige diskussion - mødefrekvens på et til to møder om måneden og dertil hørende forventningsjustering i forbindelse med udpegningen af medlemmer til arbejdsgruppen - deltagelse af terminolog gennem hele arbejdet De af begrebssekretariatet udgivne standardrelationer kunne ikke rumme ni vigtige associative relationer. Disse relationer er altså angivet i begrebssystemet ud over, hvad standardrelationerne stiller til rådighed. Ved en fremtidig revision af standardrelationerne bør disse overvejes. Det er tydeligt, at domænet informationssikkerhed ikke er fuldt begrebsmæssigt gennemarbejdet på det detaljeringsniveau, som arbejdsgruppen har identificeret begreber på. Man kan meget vel forestille sig, at der vil opstå et behov for en bredere registrering af synonymer, efterhånden som begrebssystemet tages i brug. I den del af begrebssystemet, som hører under teknisk foranstaltning, er behovet for et velgennemarbejdet begrebssystem måske ikke så stort, fordi det vedrører overvejende konkrete sikringsforanstaltninger, hvor teknikere i branchen i det store og hele synes at være enige om termer og definitioner. Disse er dog ikke gennemarbejdet og beskrevet ud fra en faglig terminologisk metode. Derimod er begreberne under organisatorisk foranstaltning mindre afgrænsede og enigheden om begrebernes indhold mellem organisationer er mindre, hvilket taler for et stort behov for begrebsafklaring. Samtidig er denne del af begreberne noget mere stabile end mange af de it-tekniske begreber, så et grundigt begrebsarbejde har generelt gode mulighed for at bevare sin aktualitet. Derfor peger arbejdsgruppen på dette delbegrebssystem som første kandidat til yderligere bearbejdning. I bilag 3 findes et struktureret materiale, som er egnet som udgangspunkt for det videre arbejde. Det anbefales, at det Nationale Begrebsråd for Sundhedsvæsenet vurderer i hvilket omfang og med hvilken tidshorisont domænet informationssikkerhed skal bearbejdes yderligere.

16 Rapport fra nbs06 Informationssikkerhed Side 16 af Kildeliste 1. Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger (Persondataloven) 2. Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000 (som ændret ved bekendtgørelse nr. 201 af 22. marts 2001) om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning 3. Datatilsynets vejledning nr. 37 af 2. april 2001 til Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning 4. Lov nr. 482 af 1. juli 1998 om patienters retsstilling (Patientretsstillingsloven) 5. Sundhedsstyrelsens vejledning nr. 161 af 16. september 1998 om information og samtykke og om videregivelse af helbredsoplysninger m.v. 6. DS og DS 484-2, Norm for edb-sikkerhed, Standard, 21. januar ISO/IEC 17799, Informationsteknologi Regelsæt for styring af informationssikkerhed, Standard ENV Security for healthcare communication. Comitée Européenne de Normalisation OECD Guidelines for the Security of Information Systems and Networks. OECD IT-sikkerhedsvejledning for sygehuse. Sundhedsstyrelsen Digital Signatur og PKI i sundhedsvæsenet. Sundhedsstyrelsen DS/IEC/TR Elektrisk udstyr til medicinsk anvendelse Ordbog over fagudtryk. standard Hartmut Pohl. Vorslag für eine Taxonomie und Modelbildung in der Begreiffswelt safety und security am Beispiel ausgewählter internationaler Normen. Personlig korrespondance DS 484:2005 Standard for informationssikkerhed, Høringsforslag. Standard 2005

17 Rapport fra nbs06 Informationssikkerhed Side 17 af Bilag 6.1 Bilag 1: Diagrammer Læsevejledning til diagrammerne Diagrammerne er udarbejdet i en forenklet udgave af UML (Unified Modeling Language) med applikationen QualiWare Lifecycle Manager. Begreber er anført i rektangler, og bortset fra de mest overordnede begreber er størrelsen på rektanglerne tilpasset af tegnetekniske årsager. Relationer angives generelt som streger, der forbinder rektangler. Partitive (del-helheds-) relationer er lige, evt. knækkede streger, der begynder ved overbegrebet med en rombe. Her er typen af partitiv relation også angivet. Generiske (type-) relationer fremstilles med lige streger, der buer ved retningsskift, og som begynder ved overbegrebet med en trekant. Relationer med samme aspekt (=inddelingskriterium) deler samme trekant, og her vises også aspektet. Associative (semantiske) relationer vises med lige streger, der knækker ved retningsskift. Relationens indhold vises nærmest det begreb, relationen læses fra, og retningen er tillige vist med en pil. Hverken partitive eller generiske relationer behøver at være obligatoriske eller udtømmende. Fx ses i Organisatorisk foranstaltning, at et netværk kan indgå i et informationssystem, og et informationssystem kan indgå i et netværk, hvorfor de ikke begge kan være obligatoriske, og tilsvarende findes der flere typer af logisk foranstaltning end de anførte autentificering og logning. En række begreber og relationer er utilstrækkeligt bearbejdet. Disse vises i Bilag 3 alene til orientering, men beskrives ikke nærmere og kan på et senere tidspunkt tages op til videre bearbejdning.

18 Rapport fra nbs06 Informationssikkerhed Side 18 af Totaldiagram hele begrebssystemet I nedenstående diagram vises alle de identificerede begreber inden for domænet Informationssikkerhed, som er relateret til andre begreber. Diagrammet skal hovedsagelig tjene som orientering i forbindelse med brugen af deldiagrammerne. Diagram viser denne opdeling. Totaldiagram - informationssikkerhed nbs informationssikkerhed består af tilgængelighed integritet fortrolighed består af består af trusselsbillede påvirkning effektområde specificerer består af præsentation svartid oppetid komplethed uændrethed sporbarhed validitet specificerer trusselsbeskrivelse konsekvensniveau sandsynlighedsniveau består af frembringer består af teknisk tillader kognitiv informationskvalitet uafviselighed præsentation præsentation kritikalitet frembringer forbedrer sikringsforanstaltning forringer begrunder sikkerhedsrisiko informationsaktiv specificerer konsekvensanalyse indvirker på kritikalitet formål middel grad har krav på patient kritisk aktiv sikringsniveau trusselsniveau forebyggende sikringsforanstaltning formål pårørende består af anvender specificerer opklarende sikringsforanstaltning basal sikringsforanstaltning risiko sundhedsproducent risikobillede konsekvensvurdering udbedrende sikringsforanstaltning skærpet sikringsforanstaltning organisatorisk sikringsforanstaltning teknisk sikringsforanstaltning består af aktør anvender består af risikovurdering formål organisatorisk niveau formål middel sandsynlighed indvirker på konsekvens aktørrolle aktivitet sundhedsaktørrolle sundhedsaktør sikkerhedsansvarlig risikostyring anvender frembringer risikoanalyse udføres af består af sikkerhedsorganisation lokal national forskrift forskrift beskrivelsesniveau fysisk sikringsforanstaltning logisk sikringsforanstaltning middel kontrolspor kritisk hændelse sikkerhedsbrud forårsager trussel frembringer sikkerhedskoordinator åbent net lukket net har krav på sikkerhedsuddannelse autentificering logning frembringer oprindelse dataansvarlig systemansvarlig driftsansvarlig har forbindelse med har forbindelse adgangsbegrænsning netværk information revision udføres af brugeradministration instruks sikkerhedspolitik udføres vha. registrerer væsentlighed kritikalitet hændelse frembringer sårbarhed personrelateret systemmæssig trussel uden trussel trussel for kontrol ejer af informationsaktiv med består af resulterer i funktion intentionalitet organisatorisk genstand består af informationssystem behandler adgangsrettighed autoriseringsstype hændelig trussel forsætlig trussel ekstern trussel intern trussel dataejer anvender systemejer har forbindelse med autoriseret bruger har forbindelse med har forbindelse med differentieret adgangsrettighed password brugernavn udføres vha. log-on udføres vha. log-off formål anvender hacker bruger legitimitet middel uautoriseret bruger hensigt adgangsbegrænsning anvender ondsindet kode

19 Rapport fra nbs06 Informationssikkerhed Side 19 af Opdeling i deldiagrammer I dette diagram, som omfatter hele begrebssystemet, vises opdelingen i deldiagrammer. Oversigtsdiagram - informationssikkerhed trusselsbillede specificerer består af specificerer Risikoanalyse trusselsbeskrivelse konsekvensniveau sandsynlighedsniveau består af tilgængelighed består af præsentation svartid består af teknisk tillader kognitiv præsentation præsentation oppetid informationssikkerhed består af integritet består af komplethed informationskvalitet fortrolighed Specielle begreber - effektområde påvirkning informations uændrethed sporbarhed validitet sikkerhed frembringer uafviselighed kritikalitet frembringer forbedrer sikringsforanstaltning forringer begrunder sikkerhedsrisiko har krav på patient pårørende sundhedsproducent informationsaktiv kritikalitet kritisk aktiv specificerer konsekvensanalyse sikringsniveau trusselsniveau består af anvender specificerer risikobillede konsekvensvurdering forebyggende sikringsforanstaltning opklarende sikringsforanstaltning udbedrende sikringsforanstaltning formål middel indvirker på grad basal sikringsforanstaltning skærpet sikringsforanstaltning Sikringsfor anstaltning formål risiko aktør aktørrolle organisatorisk sikringsforanstaltning består af formål organisatorisk anvender risikovurdering niveau aktivitet risikostyring sundhedsaktørrolle anvender lokal national frembringer forskrift forskrift risikoanalyse sundhedsaktør udføres af består af beskrivelsesniveau sikkerhedsansvarlig sikkerhedsorganisation sikkerhedskoordinator åbent net lukket net har krav på sikkerhedsuddannelse dataansvarlig Organisatorisk instruks sikkerhedspolitik har forbindelse adgangsbegrænsning revision systemansvarlig med udføres af har driftsansvarlig forbindelse netværk sikringsforanstaltning information brugeradministration med ejer af informationsaktiv består af resulterer i består af genstand adgangsrettighed autoriseringsstype Aktører informationssystem - behandler har forbindelse med dataejer systemejer har forbindelse med differentieret autoriseret adgangsrettighed anvender bruger har forbindelse med sikkerhed bruger legitimitet informations uautoriseret bruger hensigt teknisk sikringsforanstaltning formål middel fysisk logisk kontrolspor sikringsforanstaltning sikringsforanstaltning middel frembringer autentificering logning udføres registrerer vha. væsentlighed kritikalitet hændelse Teknisk sikringsforan password udføres vha. log-on udføres vha. brugernavn staltning middel adgangsbegrænsning anvender funktion log-off sandsynlighed Sikkerheds kritisk hændelse risiko består af forårsager trussel sikkerhedsbrud frembringer oprindelse frembringer sårbarhed personrelateret systemmæssig trussel trussel intentionalitet organisatorisk hændelig forsætlig ekstern trussel intern trussel trussel trussel formål anvender hacker ondsindet kode indvirker på konsekvens trussel uden for kontrol

20 Rapport fra nbs06 Informationssikkerhed Side 20 af Oversigtsdiagram over informationssikkerhed informationssikkerhed består af tilgængelighed integritet fortrolighed forbedrer sikringsforanstaltning begrunder forringer sikkerhedsrisiko indvirker på

NBS Organisatoriske begreber

NBS Organisatoriske begreber NBS Organisatoriske begreber Rapport vedrørende udarbejdelse af begrebssystem og definitioner Version 1.0/18. december 2012 Kolofon: Titel NBS - Rapport vedrørende udarbejdelse af begrebssystem og definitioner

Læs mere

IT-sikkerhedspolitik for

IT-sikkerhedspolitik for Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs

Læs mere

DEL 2: METODER OG ARBEJDSFORLØB HÅNDBOG I BEGREBSARBEJDE

DEL 2: METODER OG ARBEJDSFORLØB HÅNDBOG I BEGREBSARBEJDE DEL 2: METODER OG ARBEJDSFORLØB 2006 HÅNDBOG I BEGREBSARBEJDE Håndbog i begrebsarbejde Principper og metoder for arbejdsgrupperne nedsat af Det Nationale Begrebsråd for Sundhedsvæsenet Del 2: Metoder og

Læs mere

IT-sikkerhedspolitik S i d e 1 9

IT-sikkerhedspolitik S i d e 1 9 IT-sikkerhedspolitik S i d e 1 9 Indhold 1 Læsevejledning... 3 2 Informationssikkerhedspolitik... 3 2.1 INDLEDNING... 3 2.2 SIKKERHEDSNIVEAU... 4 2.3 HOLDNINGER OG PRINCIPPER... 5 2.4 HOVEDMÅLSÆTNINGER

Læs mere

Afrapportering fra arbejdsgruppen 02-Klinisk Proces

Afrapportering fra arbejdsgruppen 02-Klinisk Proces Afrapportering fra arbejdsgruppen 02-Klinisk Proces Indledning Arbejdsgruppe NBS02 Klinisk Proces (i nærværende dokument refererer Klinisk Proces til arbejdsgruppen). Deltagere og formand Titel/navn/adresse

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

Assens Kommune Sikkerhedspolitik for it, data og information

Assens Kommune Sikkerhedspolitik for it, data og information Assens Kommune Sikkerhedspolitik for it, data og information Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Holdninger og principper... 4 4. Omfang... 4 5. Sikkerhedsbevidsthed,

Læs mere

Risikovurdering vedr. Google Apps. Sammenfatning. Risikovurdering

Risikovurdering vedr. Google Apps. Sammenfatning. Risikovurdering Risikovurdering vedr. Google Apps Sammenfatning Side: 1 af 6 1. Introduktion IT Crew har faciliteret gennemførelse af en risikovurdering på en workshop med Odense Kommune d. 25. august 2010. Workshoppen

Læs mere

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.

Læs mere

Risikoanalyse af implikationer for privatlivets fred

Risikoanalyse af implikationer for privatlivets fred Risikoanalyse af implikationer for privatlivets fred Appendiks 5 Håndbog i: Privatlivsimplikationsanalyse IT og Telestyrelsen INDHOLDSFORTEGNELSE Risikovurdering af implikationer for privatlivets fred...

Læs mere

Informationssikkerhedspolitik. Frederiksberg Kommune

Informationssikkerhedspolitik. Frederiksberg Kommune Informationssikkerhedspolitik Frederiksberg Kommune Indledning Informationssikkerhedspolitikken er den overordnede ramme for beskyttelse af information i Frederiksberg Kommune. Kommunen behandler oplysninger

Læs mere

REGIONERNES POLITISKE LINJE FOR INFORMATIONSSIKKERHED

REGIONERNES POLITISKE LINJE FOR INFORMATIONSSIKKERHED 11101010100010 10101001011011 10101001101010 10101010001010 10100101101110 10100110101010 10101000101010 10010110111010 10011010101010 10100010101010 01011011101010 01101010101001 10001010101001 REGIONERNES

Læs mere

It-sikkerhedstekst ST4

It-sikkerhedstekst ST4 It-sikkerhedstekst ST4 Datatransmission af personoplysninger på åbne net Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST4 Version 1 Oktober 2014 Datatransmission af personoplysninger

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.: Databehandleraftale vedrørende brug af WinPLC og relaterede services Version 1.0 d. 1. november 2015 Parterne Kundenr.: Klinikkens navn og adresse (evt. stempel) (herefter den Dataansvarlige) og (herefter

Læs mere

Struktur på privatlivsimplikationsrapporten

Struktur på privatlivsimplikationsrapporten Struktur på privatlivsimplikationsrapporten Appendiks 6 Håndbog i: Privatlivsimplikationsanalyse IT og Telestyrelsen INDHOLDSFORTEGNELSE Struktur på rapport over privatlivsimplikationsanalysen... 3 Introduktion...

Læs mere

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring KOMBIT har som indkøbscentral på vegne af landets kommuner indgået aftale med [leverandørnavn] (herefter Leverandøren ) om udvikling, drift,

Læs mere

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1 Tilgængelighed, fortrolighed og integritet. Høj kvalitet i informationssikkerhed og dokumentation Hvilken betydning har principper og anbefalinger i sikkerhedsstandarden ISO 27001 for kvaliteten af dokumentationen?

Læs mere

Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang

Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Oktober 2015 Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Oktober 2015 Denne

Læs mere

Overordnet It-sikkerhedspolitik

Overordnet It-sikkerhedspolitik Overordnet It-sikkerhedspolitik Denne politik er godkendt af byrådet d. x. måned 2014 Ved udskrivning af politikken skal du være opmærksom på, at du anvender senest godkendte version. Acadre sags nr. 14-8285

Læs mere

KORT INDFØRING I BEGREBSARBEJDE

KORT INDFØRING I BEGREBSARBEJDE KORT INDFØRING I BEGREBSARBEJDE Fra: Til: Resumé: Begrebssekretariatet Arbejdsgruppedeltagere og alle øvrige interesserede Beskrivelse af rammer og indhold i terminologiarbejde, herunder de forskellige

Læs mere

Begrebsarbejde i Kriminalforsorgen 1 Begrebsarbejde i Kriminalfor-

Begrebsarbejde i Kriminalforsorgen 1 Begrebsarbejde i Kriminalfor- Vejledning for Begrebsarbejde i Kriminalforsorgen 1 Begrebsarbejde i Kriminalfor- Del 1: Forretningsmæssig begrebsafklaring Del 2: Arbejdsproces Del 3: Fra begrebsmodel til konceptuel datamodel Bodil Nistrup

Læs mere

Vejledning om informationssikkerhed

Vejledning om informationssikkerhed Vejledning om informationssikkerhed Birgitte Drewes, afdelingschef, Sundhedsdatastyrelsen Marchen Lyngby, fuldmægtig, Sundhedsdatastyrelsen Vejledningen kan downloades her: http://sundhedsdatastyrelsen.dk/da/rammer-og-retningslinjer/om-informationssikkerhed

Læs mere

It-revision af Sundhedsdatanettet 2015 15. januar 2016

It-revision af Sundhedsdatanettet 2015 15. januar 2016 MedCom Forskerparken 10 5230 Odense M Landgreven 4 1301 København K Tlf. 33 92 84 00 rr@rigsrevisionen.dk www.rigsrevisionen.dk It-revision af Sundhedsdatanettet 2015 15. januar 2016 1. Rigsrevisionen

Læs mere

IT-SIKKERHEDSPOLITIK UDKAST

IT-SIKKERHEDSPOLITIK UDKAST IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens

Læs mere

Risikostyring ifølge ISO27005 v. Klaus Kongsted

Risikostyring ifølge ISO27005 v. Klaus Kongsted Risikostyring ifølge ISO27005 v. Klaus Kongsted Agenda Dubex A/S Formålet med risikovurderinger Komponenterne Risikovurderinger Dubex A/S fakta og værdier Den førende sikkerhedspartner De bedste specialister

Læs mere

ITA-konferencen 2009. Projektchef: Martin Pedersen. Sikkerhed fra vugge til grav

ITA-konferencen 2009. Projektchef: Martin Pedersen. Sikkerhed fra vugge til grav ITA-konferencen 2009 Projektchef: Martin Pedersen Sikkerhed fra vugge til grav Hvorfor sikkerhed initielt Sund fornuft Bidrager til at etablere overblik Bidrager til en stringent styring af informationssikkerheden

Læs mere

Politik

Politik <dato> <J.nr.> Side 1 af 5 Politik Informationssikkerhedspolitik for 1. Indledning Denne informationssikkerhedspolitik er den overordnede ramme for informationssikkerheden hos .

Læs mere

Autencitetssikring. Vejledning til autenticitetssikringsniveau for den fællesoffentlige log-in-løsning. Side 1 af 12 19. september 2008. Version 1.0.

Autencitetssikring. Vejledning til autenticitetssikringsniveau for den fællesoffentlige log-in-løsning. Side 1 af 12 19. september 2008. Version 1.0. Side 1 af 12 19. september 2008 Autencitetssikring Vejledning til autenticitetssikringsniveau for den fællesoffentlige log-in-løsning Version 1.0. Denne vejledning introducerer problemstillingen omkring

Læs mere

Regionernes politiske linje for informationssikkerhed

Regionernes politiske linje for informationssikkerhed Regionernes politiske linje for informationssikkerhed 1 / SUNDHEDSDATA I TRYGGE HÆNDER / Danske Regioner 2015 Regionernes politiske linje for informationssikkerhed Danske Regioner 2015 Layout: UHI, Danske

Læs mere

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD INDHOLD INDHOLD... 1 1. Baggrund... 2 2. Definitioner... 2 3. Behandling af personoplysninger... 3 4. Behandlinger uden instruks... 3 5. Sikkerhedsforanstaltninger... 3 6. Underdatabehandling... 4 7. Overførsel

Læs mere

DK CERT COMPUTER EMERGENCY RESPONSE TEAM. Chefkonsulent Preben Andersen

DK CERT COMPUTER EMERGENCY RESPONSE TEAM. Chefkonsulent Preben Andersen DK CERT COMPUTER EMERGENCY RESPONSE TEAM Chefkonsulent Preben Andersen DK CERT Analyse og beskyttelsescenter Primær opgave: Gennem samarbejdet i CERT FIRST åbne kilder, at opbygge en samlet viden, der

Læs mere

Den politiske styregruppes repræsentanter fra Morsø Kommune er 2 politiske repræsentanter

Den politiske styregruppes repræsentanter fra Morsø Kommune er 2 politiske repræsentanter Krav 6. Hvordan parterne følger op på aftalen. Der er indgået følgende aftaler om organisering af opfølgningen af sundhedsaftalerne. Målsætningen er en sammenhængende opgavefordeling mellem de involverede

Læs mere

Sikkerhed og Revision 2015

Sikkerhed og Revision 2015 Sikkerhed og Revision 2015 Erfaringer fra It-tilsynet med virksomhedernes brug af risikovurderinger REAL kontoret 3. sep. 2015 Velkommen til Århusgade! Fra Finanstilsynets hjemmeside Agenda Hjemmel It-tilsynets

Læs mere

Overordnet it-sikkerhedspolitik for Rødovre Kommune

Overordnet it-sikkerhedspolitik for Rødovre Kommune Overordnet it-sikkerhedspolitik for Rødovre Kommune Denne politik er godkendt af kommunalbestyrelsen januar 2016. Og træder i kraft januar 2016. Ved udskrivning af politikken skal du være opmærksom på,

Læs mere

Fællesregional Informationssikkerhedspolitik

Fællesregional Informationssikkerhedspolitik Udbud nr. 2016/S 199-358626 EU-udbud af Cisco UCC i Region Syddanmark Underbilag 13.1 - Fællesregional Informationssikkerhedspolitik Underbilag 13.1 Fællesregional Informationssikkerhedspolitik Side 1/6

Læs mere

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker Vandforsyningens håndtering af den kommende persondataforordning Danske Vandværker Praktiske spørgsmål vi modtog Hvem har ansvaret for beskyttelse af forbrugernes persondata? Er medlemslister i ringbindsmapper

Læs mere

Informationssikkerhedspolitik for Horsens Kommune

Informationssikkerhedspolitik for Horsens Kommune Informationssikkerhedspolitik for Horsens Kommune Senest opdateret januar 2016 Indholdsfortegnelse 1. FORMÅL... 3 2. OMFANG OG SIKKERHEDSNIVEAU... 3 3. HOVEDMÅLSÆTNINGER... 4 4. ORGANISERING OG ANSVAR...

Læs mere

Tabulex ApS. Februar erklæringsår. R, s

Tabulex ApS. Februar erklæringsår. R, s Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2012 8. erklæringsår

Læs mere

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484 DS 484:2005 Standard for informationssikkerhed -Korte uddrag fra DS484 Informationssikkerhedsstrategi Ledelsen skal godkende en skriftlig informationssikkerhedspolitik, som skal offentliggøres og kommunikeres

Læs mere

Cirkulære om sikkerhedsforanstaltninger i Kirkenettet

Cirkulære om sikkerhedsforanstaltninger i Kirkenettet Cirkulære om sikkerhedsforanstaltninger i Kirkenettet Cirkulæret omhandler organisatoriske forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af adgangskontrolordninger og autorisationsordninger

Læs mere

Projektets karakteristika

Projektets karakteristika Projektets karakteristika Gruppeopgave Projektledelse DTU 1999 Projektets karakteristika Formål At give en karakteristik af projektets stærke og svage sider, som kan lægge til grund for den senere mere

Læs mere

NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER

NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER NOTAT OM INFORMATIONSSIKKERHED OG DIGITALISERING 2014 2008 2014 Notatet er udarbejdet for: Oktober 2014 INDLEDNING Digitaliseringen i

Læs mere

Sundheds- og Ældreministeriet Holbergsgade København K Danmark. Att.: med kopi til

Sundheds- og Ældreministeriet Holbergsgade København K Danmark. Att.: med kopi til Sundheds- og Ældreministeriet Holbergsgade 6 1057 København K Danmark Att.: sum@sum.dk med kopi til cea@sum.dk W I L D E R S P L A D S 8 K 1 4 0 3 K Ø BENHAVN K T E L E F O N 3 2 6 9 8 8 8 8 A N P E @

Læs mere

Oversigt - adgang til Region Midtjyllands elektroniske patientjournaler, herunder e-journal

Oversigt - adgang til Region Midtjyllands elektroniske patientjournaler, herunder e-journal 11. november 2013 TL/PC/NS Oversigt - adgang til Region Midtjyllands elektroniske patientjournaler, herunder e-journal Udgangspunktet for denne foreløbige oversigt om mulighederne for adgang til elektroniske

Læs mere

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2 Status for ændringer Version Dato Navn Bemærkning 1.0 24-04-2007 Vedtaget i Regionsrådet 1.1 13-02-2012 IMT-Informationssikkerhed Tilpasning af terminologi 1.2 15-10-2012 IMT-Informationssikkerhed Rettelse

Læs mere

Sikkerhed i en digitaliseret sundhedssektor. Sikkerhed og Revision 8. September 2017

Sikkerhed i en digitaliseret sundhedssektor. Sikkerhed og Revision 8. September 2017 Sikkerhed i en digitaliseret sundhedssektor Sikkerhed og Revision 8. September 2017 Pia Jespersen Chefkonsulent, CISM, ESL Præsentation Sundhedsdatastyrelsen Pia Jespersen Intern driftsfunktion i Sundheds-

Læs mere

Høringssvar vedrørende udkast til Informationssikkerhed vejledning for sundhedsvæsenet

Høringssvar vedrørende udkast til Informationssikkerhed vejledning for sundhedsvæsenet Enhed for Sundhedsinformatik Sundhedsstyrelsen Islands Brygge 67 2300 København S Att.: Jan Petersen 05.12.2007 ctfrank@danskepatienter.dk Høringssvar vedrørende udkast til Informationssikkerhed vejledning

Læs mere

It-sikkerhedspolitik for Københavns Kommune

It-sikkerhedspolitik for Københavns Kommune Københavns Kommune Koncernservice It-sikkerhedspolitik for Københavns Kommune 2015-02-05 It-sikkerhedshåndbog for Københavns Kommune It-sikkerhedspolitik for Københavns Kommune Publiceret: 2014-07-03 Mål

Læs mere

Informationssikkerhedspolitik for

Informationssikkerhedspolitik for <organisation> 1 Informationssikkerhedspolitik for 1. Formål informationssikkerhedspolitik beskriver vigtigheden af arbejdet med informationssikkerhed i og fastlægger

Læs mere

IT-centeret. It-sikkerhedshåndbog. Næstved Kommune Sagsbehandler: JJ Tlf. 5577 5300 Sagsnr: Doknr: www.naestved.dk. 20. april 2009

IT-centeret. It-sikkerhedshåndbog. Næstved Kommune Sagsbehandler: JJ Tlf. 5577 5300 Sagsnr: Doknr: www.naestved.dk. 20. april 2009 It-sikkerhedshåndbog IT-centeret Næstved Kommune Sagsbehandler: JJ Tlf. 5577 5300 Sagsnr: Doknr: www.naestved.dk 20. april 2009 Version 1.3 af 20. april 2009 Indhold 1. Indledning og formål 2 2. Ansvar

Læs mere

Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens:

Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens: DS/ISO 31000 Risikoledelse ISO 31000 - Risikoledelse Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens: overordnede

Læs mere

Informationssikkerhed - Krav om informeret samtykke - Chefkonsulent Elisabeth Hersby Sundhedsstyrelsen

Informationssikkerhed - Krav om informeret samtykke - Chefkonsulent Elisabeth Hersby Sundhedsstyrelsen Informationssikkerhed - Krav om informeret samtykke - Chefkonsulent Elisabeth Hersby Sundhedsstyrelsen Ny lovgivning om videregivelse af helbredsoplysninger mv. uden samtykke Sygehuslovens 15a indberetning

Læs mere

Organisering og styring af informationssikkerhed. I Odder Kommune

Organisering og styring af informationssikkerhed. I Odder Kommune Organisering og styring af informationssikkerhed I Odder Kommune Indhold Indledning...3 Organisationens kontekst (ISO kap. 4)...3 Roller, ansvar og beføjelser i organisationen (ISO kap. 5)...4 Risikovurdering

Læs mere

Høring over udkast til bekendtgørelse om Lægemiddelstyrelsens elektroniske registrering af borgeres medicinoplysninger

Høring over udkast til bekendtgørelse om Lægemiddelstyrelsens elektroniske registrering af borgeres medicinoplysninger Indenrigs- og Sundhedsministeriet Slotsholmsgade 10-12 1216 København K Att.: Center for Primær Sundhed primsund@im.dk kopi til Louise Filt lfi@im.dk DET ETISKE RÅD Ravnsborggade 2, 4. sal 2200 København

Læs mere

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer plus revision skat rådgivning TABULEX ISAE 3000 DK ERKLÆRING MARTS 2013 Erklæring fra uafhængig revisor om Tabulex ApS overholdelse af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger

Læs mere

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner.

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner. Juni 2011 1 Indhold 1. Indledning 3 2. Formål 4 3. Omfang 5 4. It-sikkerhedsniveau 5 5. It-sikkerhedsbevidsthed 6 6. Overtrædelse af it-sikkerhedspolitikken 6 7. Udarbejdelse og ikrafttrædelse 6 2 1 Indledning

Læs mere

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED DAGSORDEN _ Introduktion til informationssikkerhed _ Hvad går det egentlig ud på _ Hvilke kerneopgaver er der _ Hvor langt er vi nået? _ Hvilke

Læs mere

Begrebsarbejde som forudsætning for datamodellering

Begrebsarbejde som forudsætning for datamodellering Begrebsarbejde som forudsætning for datamodellering Højnelse af datakvalitet og øget effektivitet i it-systemer Copenhagen Business School, mandag den 5. december 2016 Bodil Nistrup Madsen & Hanne Erdman

Læs mere

Halsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune.

Halsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune. Informationssikkerhedspolitik Oktober 2015 Side 1 af 5 sider Baggrund Ved informationssikkerhed forstås de samlede foranstaltninger til at sikre Fortroligheden, Tilgængeligheden og Integriteten på kommunens

Læs mere

KERNEÅRSAGSANALYSE METODEBESKRIVELSE

KERNEÅRSAGSANALYSE METODEBESKRIVELSE KERNEÅRSAGSANALYSE METODEBESKRIVELSE ISBN nr. 978-87-989872-6-0 Udgivet af Dansk Selskab for Patientsikkerhed Hvidovre Hospital, Afsnit P610 Kettegård Alle 30 2650 Hvidovre 2/14 INDHOLD INDHOLD INDHOLD...3

Læs mere

Rammebeskrivelse for Almen praksis. Risikobaseret tilsyn 2017

Rammebeskrivelse for Almen praksis. Risikobaseret tilsyn 2017 Version 1. juni 2017 Formål og baggrund for udvælgelse Forberedelse Rammebeskrivelse for Almen praksis Risikobaseret tilsyn 2017 Tema: Medicinhåndtering og prøvesvar i patientforløb Konkret håndtering:

Læs mere

Bilag 5: Cover til håndtering af aktuelle emner fra GD2 s risikolog.

Bilag 5: Cover til håndtering af aktuelle emner fra GD2 s risikolog. MBBL 27. august 2013 Bilag 5: Cover til håndtering af aktuelle emner fra GD2 s risikolog. GD2/Adresseprogrammet identificerer løbende en række risici, som har tværgående betydning for delprogrammets projekter.

Læs mere

Den politiske styregruppes repræsentanter fra Kommunen er Orla Kastrup Kristensen og Gert

Den politiske styregruppes repræsentanter fra Kommunen er Orla Kastrup Kristensen og Gert Krav 3. Hvordan parterne følger op på aftalen Der er indgået følgende aftaler om organisering af opfølgningen af sundhedsaftalerne. Målsætningen er en sammenhængende opgavefordeling mellem de involverede

Læs mere

Vejledning i it-risikostyring og -vurdering. Februar 2015

Vejledning i it-risikostyring og -vurdering. Februar 2015 Vejledning i it-risikostyring og -vurdering Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske

Læs mere

AFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN

AFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN AFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN Mellem Norddjurs Kommune Torvet 3 8500 Grenaa (i det følgende benævnt Dataansvarlige ) og Leverandør

Læs mere

Krav 5. Sundhedskoordinationsudvalget Kommunal/regionale politiske styregrupper

Krav 5. Sundhedskoordinationsudvalget Kommunal/regionale politiske styregrupper Krav 5. Hvordan parterne følger op på aftalen. Der er indgået følgende aftaler om organisering af opfølgningen af sundhedsaftalerne. Målsætningen er en sammenhængende opgavefordeling mellem de involverede

Læs mere

SIKRING AF BORGERNES PERSONOPLYSNINGER ENDELIG RAPPORT

SIKRING AF BORGERNES PERSONOPLYSNINGER ENDELIG RAPPORT SIKRING AF BORGERNES PERSONOPLYSNINGER ENDELIG RAPPORT BORGERRÅDGIVERENS EGEN DRIFT-UNDERSØGELSER INDHOLDSFORTEGNELSE 1. INDLEDNING 3 2. KONKLUSION OG SAMMENFATNING 4 3. KONSEKVENSER 6 4. FORSLAG, HENSTILLINGER

Læs mere

Guide til SoA-dokumentet - Statement of Applicability. August 2014

Guide til SoA-dokumentet - Statement of Applicability. August 2014 Guide til SoA-dokumentet - Statement of Applicability August 2014 Guide til SoA-dokumentet - Statement of Applicability Udgivet august 2014 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet

Læs mere

Opgavekriterier. O p g a v e k r i t e r i e r. Eksempel på forside

Opgavekriterier. O p g a v e k r i t e r i e r. Eksempel på forside Eksempel på forside Bilag 1 Opgavekriterier - for afsluttende skriftlig opgave ved Specialuddannelse for sygeplejersker i intensiv sygepleje......... O p g a v e k r i t e r i e r Udarbejdet af censorformandskabet

Læs mere

NOTAT. Køge Kommune It-sikkerhed Overordnede retningslinjer ITafdelingen. Fællesforvaltningen. Dato Sagsnummer Dokumentnummer

NOTAT. Køge Kommune It-sikkerhed Overordnede retningslinjer ITafdelingen. Fællesforvaltningen. Dato Sagsnummer Dokumentnummer NOTAT Fællesforvaltningen Dato Sagsnummer Dokumentnummer ITafdelingen Køge Rådhus Torvet 1 4600 Køge www.koege.dk Tlf. 56 67 67 67 Fax 56 65 54 46 Køge Kommune It-sikkerhed Overordnede retningslinjer 2010

Læs mere

Programbeskrivelse - øget sikkerhed og implementering af sikkerhedsreglerne i EU's databeskyttelsesforordning

Programbeskrivelse - øget sikkerhed og implementering af sikkerhedsreglerne i EU's databeskyttelsesforordning Programbeskrivelse - øget sikkerhed og implementering af sikkerhedsreglerne i EU's databeskyttelsesforordning Formål og baggrund Afhængigheden af digitale løsninger vokser, og udfordringerne med at fastholde

Læs mere

Informationssikkerhedspolitik for Sønderborg Kommune

Informationssikkerhedspolitik for Sønderborg Kommune Informationssikkerhedspolitik for Sønderborg Kommune Denne politik er godkendt af Byrådet d. 4. februar 2015 og træder i kraft d. 1. marts 2015 Seneste version er tilgængelig på intranettet 1/8 Indledning

Læs mere

Scope Management ITU 11-09-2013 @janhmadsen #ituscpmgt

Scope Management ITU 11-09-2013 @janhmadsen #ituscpmgt Scope Management ITU 11-09-2013 @janhmadsen Dagsorden Oplægsholder Projektstyring Scope Management i en fælles kontekst Definitioner Scope Management - styring af omfang ved projektets start under projektets

Læs mere

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014 Aarhus Kommune IT-sikkerhedspolitik Politik 25-04-2014 Indholdsfortegnelse Politik 1 Indledning 1 Formål 1 Politikkens omfang 2 Ledelsesansvar 2 IT-sikkerhedsorganisationen 2 IT-sikkerhedsniveau 3 IT-sikkerhedshåndbogen

Læs mere

MedCom. Året Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C

MedCom. Året Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 20 30 Telefax 36 10 20 40 www.deloitte.dk MedCom Revisorerklæring vedrørende

Læs mere

Datatilsynets udtalelse vedrørende Region Midtjyllands fælles elektronisk patientjournal (MidtEPJ)

Datatilsynets udtalelse vedrørende Region Midtjyllands fælles elektronisk patientjournal (MidtEPJ) Regionshuset Viborg Regionssekretariatet Datatilsynets udtalelse vedrørende Region Midtjyllands fælles elektronisk patientjournal (MidtEPJ) Skottenborg 26 Postboks 21 DK-8800 Viborg Tel. +45 7841 0000

Læs mere

Agenda. AGENDA Lars Bærentzen & Siscon Indledning Konsekvensanalyse (Plan) Konsekvensanalyse (Do) Konsekvensanalyse (Check) Konsekvensanalyse (Act)

Agenda. AGENDA Lars Bærentzen & Siscon Indledning Konsekvensanalyse (Plan) Konsekvensanalyse (Do) Konsekvensanalyse (Check) Konsekvensanalyse (Act) Agenda AGENDA & Siscon Indledning Konsekvensanalyse (Plan) Omfang Parametre Konsekvensanalyse (Do) Forberedelse Gennemførelse Konsekvensanalyse (Check) Fremlæggelse Konsekvensanalyse (Act) Iværksæt tiltag

Læs mere

Vejledning om den praktiske tilrettelæggelse af tilsynet med informationssikkerheden

Vejledning om den praktiske tilrettelæggelse af tilsynet med informationssikkerheden Vejledning om den praktiske tilrettelæggelse af tilsynet med informationssikkerheden Vejledningen og tilhørende bilag skal betragtes som inspiration og støtte til den overordnede vejledning Departementets

Læs mere

Opgavekriterier Bilag 4

Opgavekriterier Bilag 4 Eksempel på forside Bilag 1 Opgavekriterier Bilag 4 - for afsluttende skriftlig opgave ved Specialuddannelse for sygeplejersker i intensiv sygepleje O p g a v e k r i t e r i e r Udarbejdet af censorformandskabet

Læs mere

Privatlivsimplikationsanalyse (PIA) for RFID.

Privatlivsimplikationsanalyse (PIA) for RFID. 1 Oplysning om privatlivsimplikationsanalyse (PIA) for RFID Udgivet af: IT- & Telestyrelsen Holsteinsgade 63 2100 København Ø Telefon: 3545 0000 Fax: 3545 0010 Publikationen kan hentes på RFID i Danmarks

Læs mere

Indholdsfortegnelse. Generelt 3. Formål 3. Omfang 4. Sammenhæng med IT- og forretningsstrategier 4

Indholdsfortegnelse. Generelt 3. Formål 3. Omfang 4. Sammenhæng med IT- og forretningsstrategier 4 Indholdsfortegnelse Generelt 3 Formål 3 Omfang 4 Sammenhæng med IT- og forretningsstrategier 4 Risikostyring og sikring af informationsaktiver og systemer 5 Overvågning af risici og regionens IT-sikkerhedsniveau

Læs mere

Ekstern kvalitetssikring af beslutningsgrundlag på niveau 1

Ekstern kvalitetssikring af beslutningsgrundlag på niveau 1 Ekstern kvalitetssikring af beslutningsgrundlag på niveau 1 1. Baggrund for den eksterne kvalitetssikring Som led i at sikre det bedst mulige beslutningsgrundlag for Folketingets vedtagelse af store anlægsprojekter

Læs mere

information der vedrører én patient af patienten selv af anden kilde, dvs. ikke af patienten selv eller en sundhedsprofessionel

information der vedrører én patient af patienten selv af anden kilde, dvs. ikke af patienten selv eller en sundhedsprofessionel NBS - Kommentarskema til diagram [ 20150831 ] - udtræk [ 2015 08 31 11.24 ] Diagramnavn Nr. Oplysningstype (Kommentaren vedrører: term, begreb, synonym, diagram,definition, etc.) Oplysning (begreb, term,

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Dags dato er indgået nedenstående aftale mellem Københavns Kommune Teknik- og Miljøforvaltningen Njalsgade 13 2300 København S CVR.nr.: 64 94 22 12 (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.]

Læs mere

It-sikkerhedstekst ST8

It-sikkerhedstekst ST8 It-sikkerhedstekst ST8 Logning til brug ved efterforskning af autoriserede brugeres anvendelser af data Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST8 Version 1 Maj 2015 Logning

Læs mere

Sikkerhedsregler for Kalundborg Kommune

Sikkerhedsregler for Kalundborg Kommune Bilag 19 Sikkerhedsregler for Kalundborg Kommune Sikkerhedsregler for Kalundborg Kommune i henhold til Justitsministeriets bekendtgørelse nr. 528 af den 15. juni 2000 om sikkerhedsforanstaltninger til

Læs mere

Finanstilsynet Att.: Marianne Majbrink Rosenbeck E-mail: mmr@ftnet.dk. Høringssvar til bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.

Finanstilsynet Att.: Marianne Majbrink Rosenbeck E-mail: mmr@ftnet.dk. Høringssvar til bekendtgørelse om ledelse og styring af pengeinstitutter m.fl. Finanstilsynet Att.: Marianne Majbrink Rosenbeck E-mail: mmr@ftnet.dk Høringssvar til bekendtgørelse om ledelse og styring af pengeinstitutter m.fl. Overordnede bemærkninger takker for muligheden for igen

Læs mere

It-sikkerhedstekst ST2

It-sikkerhedstekst ST2 It-sikkerhedstekst ST2 Overvejelser om sikring mod, at personoplysninger kommer til uvedkommendes kendskab i forbindelse med Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST2 Version

Læs mere

Anmeldelse forskningsprojekter herunder forskningsbiobanker

Anmeldelse forskningsprojekter herunder forskningsbiobanker Anmeldelse forskningsprojekter herunder forskningsbiobanker Dansk Selskab for GCP - 3. november 2014 Annette Sand juridisk konsulent www.regionmidtjylland.dk Program Præsentation og formål Kort om persondataloven

Læs mere

Hvordan er det med datasikkerhed og privacy? Highlights fra persondataloven Århus, d. 14. marts 2017 Erika Wolf, jurist, Sundhedsdatastyrelsen

Hvordan er det med datasikkerhed og privacy? Highlights fra persondataloven Århus, d. 14. marts 2017 Erika Wolf, jurist, Sundhedsdatastyrelsen Hvordan er det med datasikkerhed og privacy? Highlights fra persondataloven Århus, d. 14. marts 2017 Erika Wolf, jurist, Sundhedsdatastyrelsen Hvem er jeg, og hvor kommer jeg fra? Erika Wolf, jurist i

Læs mere

KOMBIT sikkerhedspolitik

KOMBIT sikkerhedspolitik KOMBIT sikkerhedspolitik Indholdsfortegnelse INDLEDNING 3 DEL 1: ORGANISERING, ROLLER OG ANSVAR 4 DEL 2: POLITIK FOR INFORMATIONSSIKKERHED 5 DEL 3: RETNINGSLINJER OG KONTROLMÅL TIL LEVERANDØREN 6 5. INFORMATIONSSIKKERHEDSPOLITIKKER

Læs mere

Digital strategi, indsatsområde 1, delprojekt 1, Generiske sagsbehandlingsbegreber

Digital strategi, indsatsområde 1, delprojekt 1, Generiske sagsbehandlingsbegreber HØRINGSDOKUMENT Fra: Til: Resumé: David Rosendahl Høringsparter Arbejdsgruppen har identificeret de overordnede og tværgående begreber i sagsbehandlingsprocessen og struktureret og defineret disse generiske

Læs mere

Datasikkerhedspolitik

Datasikkerhedspolitik Datasikkerhedspolitik Godkendt i Byrådet den 10.november 2008 1 Datasikkerhedspolitik Indhold 1. Indledning 2. Organisation og ansvarsfordeling 2.1 Ansvarsorganisation for datasikkerhed 2.2 Øverste og

Læs mere

PID_KCKS-Vest_2014_Fælles_Akutdatabase_delopgave_5

PID_KCKS-Vest_2014_Fælles_Akutdatabase_delopgave_5 Dato: Jan. 2014 PID: Udvikling og implementering af kvalitetsindikatorer for Fælles Akutdatabase Projekt ID: PID_KCKS-Vest_2014_Fælles_Akutdatabase_delopgave_5 Projektejer/enhed: RKKP-organisationen Projektansvarlig:

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Bilag K Dags dato er indgået nedenstående aftale mellem Københavns Kommune [Forvaltning] [Center] CVR.nr.: 64 94 22 12 [Adresse] (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.] [Adresse] [Postnummer

Læs mere

Patienters og borgeres behov for kompleks sygepleje

Patienters og borgeres behov for kompleks sygepleje Gør tanke til handling VIA University College Patienters og borgeres behov for kompleks sygepleje - hvordan uddanner vi til det? 1 Frem mod en justeret sygeplejerskeuddannelse. Udfordringer, muligheder

Læs mere

Produktbeskrivelse for

Produktbeskrivelse for Produktbeskrivelse for Behandlingsrelationsservicen NSP Behandlingsrelationsservice REFHOST LPR Lokal Database Jævnlig opdatering Ydelser Sikrede NOTUS Sygesikringssystemet Side 1 af 9 Version Dato Ansvarlig

Læs mere