Indholdsfortegnelse. Generelt 3. Formål 3. Omfang 4. Sammenhæng med IT- og forretningsstrategier 4

Transkript

1

2 Indholdsfortegnelse Generelt 3 Formål 3 Omfang 4 Sammenhæng med IT- og forretningsstrategier 4 Risikostyring og sikring af informationsaktiver og systemer 5 Overvågning af risici og regionens IT-sikkerhedsniveau 7 Organisatorisk forankring af IT-sikkerhedsarbejdet 7 Side 2 af 8

3 Generelt Region Syddanmark er en stor og kompleks virksomhed, der i sin vision stræber mod kvalitet, sammenhæng, tilgængelighed, og konkurrencedygtighed og har fokus på både regionens brugere og ansatte. Visionen er Med regionens brugere som omdrejningspunkt vil vi tilrettelægge vores virksomhed ud fra kvalitet sammenhæng og tilgængelighed Vi vil være konkurrencedygtige, fornyende og dagsordensættende Vi vil skabe en attraktiv arbejdsplads der konkurrerer blandt de bedste med udviklingsmuligheder for den enkelte Regionen løser sine kerneopgaver indenfor fire hovedområder: Somatik Social Psykiatri Regional Udvikling Region Syddanmark varetager opgaver serviceydelser og interesser for ca borgere. Regionen har ca ansatte. Regionen har som én af sine målsætninger at være en virksomhed, som borgerne og vore samarbejdspartnere har tillid til. Regionens opgaver indebærer bl.a. indsamling, behandling og opbevaring af såvel personfølsomme som fortrolige oplysninger om blandt andet alle borgere i Regionen. Regionen udveksler i mange tilfælde endvidere en del af disse oplysninger med kommunerne i regionen samt andre offentlige myndigheder. Det forpligter regionen til at implementere og vedligeholde et tilstrækkeligt og aftalt niveau for IT-sikkerhed, med henblik på at sikre fortrolighed, integritet og tilgængelighed i forbindelse med indsamling, behandling og opbevaring af informationer. IT-sikkerheden skal understøtte regionens vision, værdigrundlag og de strategiske og taktiske mål, der er fastlagt i Region Syddanmark. Derudover er regionen stillet overfor at efterleve en række krav inden for områder som eksempelvis personalesikkerhed, fysisk sikkerhed, systemrelaterede krav og håndtering af lovbestemte og kontraktlige krav. Ansvaret for IT-sikkerheden påhviler regionens ledelse. IT-direktøren har derfor igangsat en række initiativer, der skal sikre, at der implementeres og vedligeholdes et tilstrækkeligt og aftalt niveau for IT-sikkerhed. Med henblik på at styre disse initiativer på struktureret og sikker vis, har IT-staben, Strategi og Udvikling på vegne af ledelsen udarbejdet nærværende strategi for IT-sikkerhed. Formål Regionens anvendelse af informationsteknologi er betydelig, kompleks og endog for visse funktioner livsnødvendig. Med baggrund heri samt organisationens størrelse, er det væsentligt at styre processen med at implementere og vedligeholde et tilstrækkeligt og aftalt niveau for IT-sikkerhed. Strategien for IT-sikkerhed skal anvendes som styringsredskab for udvikling, implementering og fastholdelse af et tilstrækkeligt og aftalt IT-sikkerhedsniveau, herunder at identificere og behandle relevante områder indenfor IT-sikkerhed, især med fokus på områder, hvor en overordnet risikovurdering indikerer et behov for tiltag. Strategien skal endvidere sikre at ledelsens målsætninger indenfor IT-sikkerhed realiseres og kommunikeres ud i hele organisationen på en struktureret måde og til den aftalte tid. Side 3 af 8

4 Omfang IT-sikkerheden i regionen er baseret på DS484:2005, Standard for informationssikkerhed og styringen af ITsikkerheden baseres på DS/ISO/IEC 27001, Informationsteknologi Sikkerhedsteknikker Ledelsessystemer for informationssikkerhed(isms) Krav. Disse standarder stiller krav til alle områder af behandling af informationer, uanset disses form eller anvendt medie. Regionens ledelse har besluttet, at strategi og politik for IT-sikkerhed med tilhørende retningslinier m.v. alene behandler de områder, hvor IT-anvendelsen er af væsentlig betydning for informationsbehandlingen og hvor kravene i standarderne findes relevante. Overordnet set behandler strategien og politikken for ITsikkerhed således kun sikringsforanstaltninger, der beskytter data der registreres, behandles og lagres i ITudstyr og beskyttelse af IT-udstyr og programmer, der anvendes i denne forbindelse. Overblik over områder der helt eller delvist behandles i nærværende strategi: Forventet sikkerhed Specificeretsikkerhed Leveret sikkerhed Oplevet sikkerhed Ledelsesinvolveringog godkendelse Involveringaf it- ledelsen og ledelsen Involverer it- ansvarlige og medarbejdere It- afdeling, medarbejdere, ledelse Forretningsmæ ssige mål, visionerog og iṯ iṯ strategi 4. Sikkerhedspolitik 6. Krav til ekstern leverandør r Statusrapportfra leverandør r Informations- Risikoanalyse sikkerheds- strategi 5. Retningslinier Teknik Organisation Processer 7. Konfigurations - standarder/ opsætninger 8. Tilstrækkelige forretningsgange/ procedurer 10. Test af: a. Teknisk sikkerhed b. Organisatorisk sikkerhed c. Processer Leverandør - forhold 3. Beredskabsstrategi 3.a Beredskabsplan 9. Holdnings- bearbejdning 11. Ledelses- rapportering Forretningsmæssige æ ssige muligheder og og trusler Lovgivningsmæssige æ ssige krav Økonomiske Ø begrænsnsninger æ nsninger Kilde: Deloitte Sammenhæng med IT- og forretningsstrategier Regionen har følgende strategier for IT-anvendelse: Strategi for sundheds-it Side 4 af 8

5 Strategi for tværgående IT IT-strategi til understøttelse af samarbejdet mellem sygehuse, kommuner og praksissektoren i Region Syddanmark. Det digitale sundhedsvæsen i Region Syddanmark Nærværende strategi forudsætter, at ovennævnte strategier understøtter regionens forretningsstrategier. Nærværende strategi er således udarbejdet med udgangspunkt i at skabe sammenhæng til de forannævnte strategier. Strategien skal herudover i videst muligt omfang dække alle initiativer på IT-sikkerhedsområdet. Af strategi for sundheds-it fremgår følgende: Region Syddanmark vil i den periode, der dækkes af denne strategi, prioritere følgende indsatser: 1. Sikring af fuld tilgængelighed af alle forretningskritiske systemer 24 timer i døgnet, 365 dage om året 2. Sikring mod datatab gennem effektiv lagring 3. Sikring af fortrolig behandling af personfølsomme data gennem implementering af en itsikkerhedspolitik Strategien for tværgående it udpeger en række indsatsområder, hvori IT-sikkerhed er en integreret del. Dette indebærer, at der i strategiperioden vil skulle arbejdes med mange områder af IT-sikkerhed, men strategien peger især på følgende indsatsområder: 1. Fortsat opbygning af regionens netværk (WAN, LAN, WLAN 1, redundans 2 ) 2. Opbygge 24x7 overvågning af den samlede it-installation 3. Fortsætte indførelsen af best practice, bl.a. ITIL og SLA 4. Fuld etablering af Active Directory 5. Fortsat udbredelse af single sign-on (herunder forenklet login) til stadig flere brugere og systemer (systemejere, sygehuse/psykiatri, It-stab) 6. Udarbejde en it-sikkerhedspolitik for Region Syddanmark og implementere den med bl.a. risikoanalyse og beredskabsplan 7. Udarbejde modeller for den faste og den mobile it-arbejdsplads, der understøtter de enkelte typer behov og tager hensyn til økonomi, sikkerhed og support I IT-strategi til understøttelse af samarbejdet mellem sygehuse, kommuner og praksissektoren i Region Syddanmark. Det digitale sundhedsvæsen i Region Syddanmark er anført: 1. I relation til etablering af den nødvendige datasikkerhed henvises til reglerne i persondataloven om behandling af personoplysninger, som helt eller delvist foretages ved hjælp af elektronisk databehandling. Persondataloven gælder enhver form for behandling af personoplysninger, og dækker således f.eks. indsamling, registrering, opbevaring, videregivelse og samkøring. 2. Elektronisk kommunikation over sektorgrænser vil betyde videregivelse af oplysninger om patientens helbredsforhold samt andre fortrolige og private forhold i forbindelse med patientbehandlingen. Det skal derfor sikres, at betingelserne i loven om patienters retsstilling er opfyldt. Se Lov om patienters retsstilling (LOV nr. 482 af 01/07/1998). Lov om patienters retsstilling ophæves pr. 1. januar 2007 hvor Lov nr. 546 af 24/06/2005, sundhedsloven træder i kraft. Risikostyring og sikring af informationsaktiver og systemer Som foran nævnt skal udvikling, implementering og vedligeholdelse af IT-sikkerheden baseres på standarderne DS484:2005 og DS/ISO/IEC Elementerne kan grafisk illustreres således: 1 WLAN er trådløse netværk. 2 Sikring i form af dobbelte linjer, netværksenheder mv., så it-funktionerne opretholdes ved fejl i enkelte enheder, kabelbrud mv. Side 5 af 8

6 Styring af risici knyttet til IT-anvendelsen sker ved: Gennemførelse af en overordnet risikoanalyse, og detaljerede risikoanalyser, hvor dette vurderes nødvendigt Anvendelse af DS/ISO/IEC som styrings- og opfølgningsredskab, også benævnt Information Security Management System(ISMS) Udvikling, implementering og vedligeholdelse af IT-sikkerhedspolitik med tilhørende retningslinier, procedurer, instrukser og forretningsgange Udvikling, implementering og vedligeholdelse af strategi og politik for beredskab I forbindelse med risikostyring og sikring af informationsaktiver og systemer er planlagt følgende aktiviteter: Overordnet risikoanalyse Der er udarbejdet oplæg til gennemførelse af en overordnet risikoanalyse. Efter vurdering af resultaterne fra den overordnede risikoanalyse træffes der beslutning om behov for detaljerede risikoanalyser. Anvendelse af DS/ISO/IEC som styrings- og opfølgningsredskab Der planlægges gennemført et pilotprojekt, der har til formål at afdække, om D4/Infonet systemet er egnet som værktøj til styring og opfølgning af IT-sikkerheden. Indlæggelse af DS484:2005 i D4/Infonet er påbegyndt, og forventes afsluttet snarest. Efterfølgende skal DS/ISO/IEC indlægges til brug for opfølgning og rapportering. Udvikling, implementering og vedligeholdelse af IT-sikkerhedspolitik med tilhørende retningslinier, procedurer, instrukser og forretningsgange 1. Der udarbejdet et udkast til overordnet IT-sikkerhedspolitik, der på nuværende tidspunkt ikke formelt er godkendt. 2. Der planlægges gennemført et projekt, der skal udpege de områder af DS484:2005, som ITsikkerhedspolitikken skal omfatte. 3. På baggrund af ovenstående planlægges der udarbejdet en detaljeret og prioriteret projektplan ud fra strukturen i DS484:2005 for udarbejdelse af retningslinier og underliggende procedurer, instrukser og forretningsgange. 4. Når den detaljerede og prioriterede plan er godkendt, nedsættes projekter/arbejdsgrupper, som udarbejder udkast til retningslinier og underliggende procedurer, instrukser og forretningsgange. Udkastene sendes i høring i relevante fora. Udkast og bemærkninger fra høringer fremsendes løbende til godkendelse i ledelsen. Side 6 af 8

7 5. Efter godkendelse i ledelsen overdrages retningslinier og underliggende procedurer, instrukser og forretningsgange til de respektive ansvarlige, som foretager den egentlig implementering. Udvikling, implementering og vedligeholdelse af strategi og politik for beredskab På baggrund af den overordnede risikoanalyse og evt. detaljerede risikoanalyser skal der udarbejdes en strategi for beredskab og en egentlig beredskabsplan. Overvågning af risici og regionens IT-sikkerhedsniveau Anvendelse af de nævnte sikkerhedsstandarder stiller krav om løbende overvågning af risici, også kaldet trusselbilledet samt effektiviteten og tilstrækkeligheden af regionens IT-sikkerhedsniveau. I forbindelse med overvågning af risici og regionens IT-sikkerhedsniveau er planlagt følgende aktiviteter: 1. Som forannævnt gennemføres der en overordnet risikoanalyse. Den overordnede risikoanalyse foreslås gennemført/revurderet hvert år for alle væsentlige og kritiske områder af IT-anvendelse. Herudover foreslås det, at der ved større og væsentlige ændringer gennemføres risikoanalyser. 2. Der implementeres et styringsværktøj(isms), der skal anvendes til løbende at overvåge, at ITsikkerhedsniveauet er tilstrækkeligt og efterleves. 3. Der planlægges udvikling, implementering og vedligeholdelse af retningslinier for indsamling af relevant og pålidelig information om såvel eksterne som interne risici. 4. Der er igangsat implementering af processer for Incident Management(styring af sikkerhedshændelser) og Service Desk(der bl.a. anvendes til registrering og rapportering af sikkerhedshændelser). Implementeringen sker i regi af ITIL projektet, hvorfor der henvises til ITIL projektplanen. Organisatorisk forankring af IT-sikkerhedsarbejdet Det foreslås at der etableres et projekt, som skal fremkomme med forslag til ledelsen om hvorledes ITsikkerhedsarbejdet forankres organisatorisk, ud fra hensyn til hensigtmæssighed, effektivitet, økonomi og kvalitative og kvantitative ressourcer der er til rådighed. Side 7 af 8

8