Infrastruktur og fælles infrastrukturelle applikationer it-delstrategi

Transkript

1 Infrastruktur DELSTRATEGI

2 NOTAT Infrastruktur og fælles infrastrukturelle applikationer it-delstrategi 5.september 2011 Indholdsfortegnelse: 1. Formål Baggrund Vision Indsatsområder Effektiv og tilgængelig drift Afprøvning og vurdering af nye løsninger og behov Integration af løsninger og teknologier Understøttelse af nye brugergrænseflader Sikkerhed...9 Side 1

3 1. Formål Delstrategien for infrastruktur og fælles infrastrukturelle applikationer har som sit vigtigste formål at sikre, at organisationen har fælles opfattelse af såvel visionen for regionens udvikling af dens it-infrastruktur som den retning og det ambitionsniveau, der skal forfølges på området. Delstrategien skal udgøre det styrings- og prioriteringsmæssige grundlag for regionens udvælgelse og tilrettelæggelse af projekter, der skal realisere delstrategien inden for strategiperioden. Udvælgelsen og definitionen af projekter vil finde sted inden for rammerne af årligt rullende fireårige it-investeringsplaner og i overensstemmelse med den fastlagte governancestruktur. Ud over en kort baggrundsbeskrivelse indeholder delstrategien en beskrivelse af den vision, som Region Sjælland vil forfølge i strategiperioden. Visionen uddybes i en beskrivelse af en række identificerede indsatsområder. Indsatsområderne fokuserer på områder, hvor der er behov for en strategisk udvikling, der understøtter visionen. 2. Baggrund Region Sjælland har siden sin dannelse lagt betydelige ressourcer i at konsolidere og standardisere it-infrastrukturen. Konsolideringen af it-infrastrukturen har fulgt det centrale princip, at der skal anvendes ét system til udførelse af identiske opgaver, og at alle systemer, der drives af regionen, baseres på en fælles regional it-infrastruktur. Den nævnte gennemførte konsolidering af itinfrastrukturen har primært haft fokus på at realisere stordriftsfordele og på at skabe grundlaget for en stabil, sikker og skalerbar it-arbejdsplads i regionen. Den it-infrastrukturelle konsolidering har blandt andet omfattet: Etablering af et regionalt driftscenter Etablering af et regionalt netværk og netværkservices, fx single sign-on og directory service Konsolidering og virtualisering af servere på ensartet teknologi Konsolidering af datalagring Dublering af kritiske systemer og netværk Indførelse af ITIL standardiserede bedste praksis-processer Etablering af ét regionalt postsystem. Regionens systemer drives som udgangspunkt af regionens interne driftsorganisation på regionens egne driftscentre og egen it-infrastruktur. Infrastrukturen er med hensyn til platforme stærkt standardiseret, og det er et krav, at nye systemer kan afvikles på de fastlagte server- og desktopplatforme. Infrastruktur og fælles infrastrukturelle applikationer Infrastruktur omfatter it-udstyr, software og services knyttet hertil. It-udstyret omfatter eksempelvis servere, datalagringsudstyr, udstyr til backup, pc er, tablets, mobiltelefoner, iptelefoner, routere, trådløst kommunikationsudstyr, kabling og krydsfelter. Softwaren omfatter dels den software, der er indbygget i udstyret (microkode), og dels basisprogrammel omfattende blandt andet operativsystemer, kommunikationssoftware, databasesoftware og integrationssoftware, hvortil kommer den software, der benyttes til drift af infrastrukturen kaldet systems management software. Services omfatter ydelser til infrastrukturen leveret af eksterne leverandører. Sådanne services kan omfatte (wide area) netværk, telefoni, mobiltelefoni, drift af it-løsninger, overvågning af tekniske komponenter m.v. Til de fælles infrastrukturelle applikationer regnes også generelle applikationer, der anvendes på tværs af forretningsområder, eller som anvendes som grundlag for forretningsspecifikke løsninger. De infrastrukturelle applikationer omfatter eksempelvis kontorpakker, , content management-løsninger, videndelingssoftware osv. Side 2

4 For Region Sjælland er it-infrastrukturen af helt central betydning for regionens muligheder for at varetage sine opgaver på sikker og forsvarlig vis. Regionens sygehusdrift er i alle områder afhængig af, at it-infrastrukturen fungerer døgnet og året rundt. Denne afhængighed forstærkes af, at en stor del af regionens medicotekniske udstyr fremover vil integrere med den kliniske itarbejdsplads. It-infrastrukturen vil i forhold til patientsikkerhed på den måde blive stadig mere kritisk for sygehusdriften. Kravene til forsyningssikkerhed vil derfor vokse. It-delstrategien for infrastruktur og fælles infrastrukturelle applikationer er en del af den samlede it-strategi for regionen. Ud over denne delstrategi omfatter it-strategien også delstrategier for sundheds-it og administrativ it-anvendelse. De to delstrategier indeholder en række indsatsområder, der samlet set stiller væsentlige krav til regionens it-infrastruktur og fælles infrastrukturelle applikationer. Disse krav adresseres gennem en række indsatsområder beskrevet i denne delstrategi. Denne delstrategi beskriver også de væsentligste indsatser, der skal gøres for løbende at udvikle regionens it-infrastruktur under indtryk af den fortsatte teknologiske udvikling. 3. Vision It-infrastrukturen skal være umiddelbart, enkelt og stabilt tilgængelig overalt i regionen med en, set fra brugernes side, ubegrænset kapacitet. It-infrastrukturen skal være sikker set i forhold til utilsigtede hændelser og forsøg på misbrug. Regionen vil løbende tage nye systemer og services i brug. Regionen vil i vid udstrækning vælge løsninger, der understøtter fælles standarder og fælles åbne arkitekturer. Regionens it-infrastruktur skal understøtte integrationen af heterogene systemer og services og skjule den underliggende kompleksitet for brugerne. It-infrastrukturen skal muliggøre anvendelsen af forskellige løsninger i samme brugervendte arbejdsgange, uden at brugerne skal opleve behovet for at navigere mellem forskellige løsninger. It-infrastrukturen skal tilbyde procesunderstøttelse (en work flow engine) som en del af infrastrukturens muligheder for integration. It-infrastrukturen skal drives omkostningseffektivt og på niveau med eller bedre end det, der gælder for tilsvarende infrastrukturer i landet. 4. Indsatsområder Indsatsen på det it-infrastrukturelle område har siden regionens dannelse haft fokus på konsolidering og standardisering, således at infrastrukturen er blevet bragt på niveau med det, der er bedste praksis i landet. Fremadrettet stiller udviklingen af nye it-løsninger inden for specielt det regionale sundhedsområde krav om en it-infrastruktur på et niveau, der indebærer en øget strategisk indsats i forhold til: Effektiv, tilgængelig og sikker drift Afprøvning og vurdering af nye løsninger og behov Integration af løsninger og teknologier Understøttelse af nye brugergrænseflader Sikkerhed. Side 3

5 Indsatsområderne er beskrevet nærmere i de følgende afsnit. 4.1 Effektiv og tilgængelig drift Baggrund Som det fremgår af visionen for udviklingen af regionens it-infrastruktur stiller den fremtidige udvikling af sundheds-it-løsninger betydelige krav til tilgængeligheden af it-infrastrukturen og denne infrastrukturs performance. Det er forventningen, at infrastrukturen skal kunne bære en stadig stigende trafik i form af data- og trafikmængder. Ikke mindst udviklingen i anvendelsen af højopløselige billeder og videokommunikation vil drive dette behov. Strategisk retning Kapacitet Regionens infrastruktur skal løbende udbygges i takt med behovet for kapacitet. Samtidig med at behovet for kapacitet øges, udvikles mulighederne på markedet. Markedet tilbyder løbende udstyr og teknologier med markant forøget kapacitet med en løbende forbedring af forholdet mellem kapacitet og pris. Regionen vil fokusere på at følge den teknologiske udvikling og her søge at ramme de teknologiskift, der vil kunne drive forholdet mellem pris og performance ned. Samtidig vil regionen have fokus på kapacitetsplanlægning og mulighederne for gennem blandt andet prioritering at sikre en optimal ressourceudnyttelse. Fokus vil også være rettet mod styring af kapacitetsudnyttelsen, blandt andet således at trafik flyttes eller prioriteres, hvorved en maksimal udnyttelse af servere, lagringsenheder, netværk osv. opnås. Stabilitet og agilitet Regionens infrastruktur vil løbende skulle anvendes til nye formål, hvor nyt udstyr kobles på, hvor nye løsninger implementeres, og hvor nye pilotprojekter igangsættes. Dette skal foregå på en sådan måde, at stabiliteten af infrastrukturen ikke bringes i fare. For at muliggøre disse delvis konfliktende hensyn vil regionen opbygge: Logisk adskilte parallelle netværk (infrastruktur) med varierende servicegrad til forskellige kategorier af netværkstrafik rettet mod eksempelvis produktion/kritisk udstyr, pilotprojekter, patienter og gæster. Såkaldte private cloud 1 -driftsmiljøer eller lignende, der vil muliggøre hurtig etablering af umiddelbart skalerbare driftsmiljøer. Disse driftsmiljøer tænkes anvendt i relation til udviklings- og testmiljøer og i forhold til gennemførelse af pilotforsøg. Regionen vil endvidere dublere kritiske komponenter og services. En udvikling i denne retning skal følges af en fortsat fokusering på standardisering og automatisering af processer og gennem etablering af differentierede garantier for stabilitet. 1 Cloud computing er en betegnelse for en udvikling, hvor it-ydelser leveres som en service via nettet, og hvor den bagvedliggende teknologi skjules for brugerne. I den aktuelle sammenhæng er det de ydelser, der betegnes PaaS (Platform as a Service), der er i fokus. PaaS indebærer, at eksempelvis en server af en vis størrelse vil kunne bestilles og leveres umiddelbart (virtuelt) over nettet, selvom leverandøren i praksis benytter store servere til at producere ydelsen. Cloud computing (PaaS) kan leveres fra eksterne leverandører, men kan også benyttes internt af en itorganisation til at levere ydelser på samme måde altså hurtigt, skalerbart og billigt. Side 4

6 Effektiv drift Regionen vil løbende forholde sig til den teknologiske udvikling i markedet og hos sine leverandører med henblik på, at regionens it-infrastruktur holdes helt up to date. Regionen vil på samme måde, som tilfældet vil være på andre områder, fokusere på at automatisere standardiserede processer (ITIL 2 ) i regionens driftsorganisation. I denne forbindelse vil selvbetjeningsløsninger for brugerne af infrastrukturen blive udbygget. Tilsvarende skal brugerne selv kunne finde svar på typiske spørgsmål, vejledninger/uddannelse osv. på de tidspunkter, hvor det passer de enkelte brugere. Til at støtte automatisering og standardisering af processer vil regionen i vid udstrækning systemunderstøtte processerne i it-organisationen. Det vil foregå gennem en fortsat udbygning af såkaldte systems management-systemer dækkende en række discipliner. I denne forbindelse vil der blive sat særligt fokus på registrering af regionens it-aktiver, der kobles på itinfrastrukturen, herunder blandt andet medicoteknisk og telemedicinsk udstyr. Det vil være et krav, at alt udstyr, der benytter infrastrukturen, registreres og mærkes. I tilknytning til registrering og mærkning af udstyr skal de underliggende kontraktforhold vedrørende udstyr registreres, således at der kan gennemføres proaktiv kontrakt- og licensstyring og samtidig sikres hurtig adgang til servicerende leverandører. Effektiv drift skal skabes ved hjælp af ensartede procedurer, processer og standarder i forhold til alle de komponenter og den software, der indgår i regionens it-infrastruktur. Det betyder, at pc er, tablets, smartphones, displays, printere, scannere, medicoteknisk udstyr og telemedicinsk udstyr m.v. skal anvende ensartede processer i forbindelse med eksempelvis indkøb, kontraktregistrering, serviceregistrering, indmelding på nettet, softwareopdatering, fejlregistrering osv. På længere sigt vil medicinsk og klinisk udstyr formentlig blive udstyret med RFID 3 -tags eller GPS/GSM 4 -tracking-teknologi, der vil muliggøre hurtig lokalisering af udstyret, så det kan bringes i hurtig anvendelse og dermed optimere den kliniske proces. En lokalisering kan også bruges til at reducere svind. Som forberedelse til denne udvikling vil regionen med afsæt i den internationale udvikling og internationale standarder etablere en arkitektur for en fremtidig RFIDinfrastruktur i kombination med anvendelsen af positionsbestemmelse, således at regionen i rette tid kan forberede byggerier og systemer på de anvendelsesmuligheder, der viser sig rentable. Regionen vil generelt gennem standardisering og ved anvendelse af de facto-standarder og gennemprøvede, sammenhængende og funktionelt bredt dækkende løsninger sikre, at kompleksiteten i regionens it-infrastruktur begrænses. En begrænset kompleksitet skal sikre, at regionen kan opretholde kritisk masse, og at it-infrastrukturen vil kunne håndteres med den viden, som relativt få medarbejdere kan tilvejebringe. Regionen vil løbende vurdere, på hvilke områder outsourcing af opgaver vil kunne effektivisere og forbedre driften af it-infrastrukturen. Som afsæt for disse vurderinger vil regionen udarbejde en sourcingstrategi. I forbindelse med fastlæggelsen af denne vil det være et mål, at regionen 2 ITIL: Information Technology Infrastructure Library beskriver i forhold til organisationsstrukturen i en itorganisation bedste praksis-fremgangsmåder (processer) til at udføre opgaver og ledelse i it-driftsorganisationer. 3 RFID: Radio Frequency Identification er en automatisk identificeringsmetode baseret på RFID-tags eller transponders. En RFID-tag er et objekt, der kan påsættes eller inkorporeres i et produkt (fx en seng) eller en person (fx patienter og klinisk personale) for senere at kunne identificeres (lokaliseres) via radiobølger udsendt fra RFID-læsere placeret i bygninger (fx ved indgange, udgange og interne transportveje). 4 GPS: Globale Positioning System (satellitnavigation). GSM: Global System for Mobile communication (mobiltelefoni). Side 5

7 ved eventuel outsourcing sikrer sig mulighed for at skifte mellem leverandører i markedet eller hjemtage sådanne driftsopgaver. Et skifte mellem leverandører og eventuel hjemtagelse af opgaver skal kunne foregå med et minimum af omkostninger, således at sådanne omkostninger ikke forhindrer en udnyttelse af konkurrencen i markedet eller alternativt hjemtagelsen af opgaver. Det er derfor regionens mål at fastholde ejerskabet til eller kontrollen med driftsfaciliteter og eventuelt de aktiver, der knytter sig til driftsinstallationerne. Regionen vil i forbindelse med den løbende vurdering af muligheder for sourcing i markedet vurdere, om og på hvilke områder anvendelse af cloud computing vil kunne være aktuel. Regionen vil gennem standardisering og samarbejde med andre regioner arbejde for at øge sin samlede buying power og dermed nedbringe anskaffelsesomkostningerne. 4.2 Afprøvning og vurdering af nye løsninger og behov Baggrund Som det fremgår af delstrategien for sundheds-it, vil der i stigende grad være behov for at gennemføre pilotprojekter, hvor løsninger og eksperimentel udvikling kan afprøves. Pilotprojekterne skal udføres inden for afgrænsede dele af organisationen under kontrollerede forhold. Der er behov for nem og hurtig etablering og gennemførelse af pilotprojekter, hvor teknologier kan afprøves inden for rammerne af regionens it-infrastruktur. I den sammenhæng skal der etableres aftalemæssige rammer (service level agreements) for pilotprojekters etablering, gennemførelse og afslutning. Med den øgede afhængighed af it-infrastrukturen og behovet for en maksimal stabilitet af denne vil det fremover være problematisk at gennemføre pilotprojekter sammen med produktionsmiljøerne. Der er således behov for hurtigt at kunne stille it-infrastrukturmiljøer til rådighed for gennemførelse af pilotprojekter, hvor der kan aftales en servicegrad og en stabilitet på et andet niveau end det, der karakteriserer produktionsmiljøerne. Infrastrukturmiljøerne skal ud over servere og datalagring, hvor udviklings- og testmiljøer allerede eksisterer, også omfatte netværket. Strategisk retning Der skal på tværs af infrastrukturen kunne stilles faciliteter i form af servermiljøer og netværk til rådighed for blandt andet pilotprojekter. Som nævnt i forrige afsnit 4.1 om effektiv, tilgængelig og sikker drift skal der etableres segmenterede netværk, der muliggør, at pilotprojekter kan sættes op til at benytte sådanne segmenter. For disse afgrænsede dele af it-infrastrukturen skal der med kort varsel kunne stilles databaser til rådighed for test og afprøvning. Sådanne databaser skal indholdsmæssigt kunne tage afsæt i eksisterende produktionsdatabaser. Til at understøtte dannelsen af anonymiserede testdatabaser skal der etableres faciliteter til enkel migrering og refresh af data. Pilotprojekter skal også for begrænsede dele af organisationen kunne gennemføres i forbindelse med den normale kliniske proces, hvilket vil kræve adgang til produktionsdatabaser mv. Sådanne pilotprojekter kan besluttes gennemført, hvilket dog vil kræve, at der forud er gennemført test og idriftsættelsesaktiviteter på niveau med, hvad der ellers kræves af systemer, der sættes i produktion. For pilotprojekter af denne karakter skal der på forhånd foreligge planer for, hvorledes produktionsdata håndteres ved afslutning af pilotprojektet. Side 6

8 Efter pilotprojekter er afsluttet, kan det besluttes, at sådanne projekter skal kunne migreres videre til fuld produktion under iagttagelse af de forholdsregler, der gælder for en sådan migrering. En eventuel migrering til produktion skal være beskrevet som en del af det beslutningsgrundlag, der skal udarbejdes ved projekters afslutning. Et sådant beslutningsgrundlag skal være etableret før en eventuel videreførelse af pilotprojektet. I denne forbindelse er det vigtigt, at regionens projektmodel udvikles til at understøtte pilotprojekter og afprøvning af piloter. 4.3 Integration af løsninger og teknologier Baggrund Delstrategierne for henholdsvis sundheds-it og administrativ it-anvendelse identificerer et behov for procesunderstøttelse og adgang til informationer på tværs af underliggende systemer og data. Delstrategierne peger også på behovet for selvbetjening og automatisering. Automatisering af processer forudsætter, at de bagvedliggende systemer fungerer i en sammenhæng er integreret. En brugerundersøgelse 5 baseret på 2000 af regionens medarbejdere viser, at der anvendes forholdsvis meget tid på at finde informationer og foretage dobbelt indtastning af data. På den baggrund peger delstrategierne på behovet for at kunne genbruge data ved opdatering af eksempelvis kliniske databaser, ligesom behovet for realtids ledelsesinformation er identificeret. Region Sjælland har implementeret en integrationsplatform til at håndtere disse behov. Håndteringen af videokommunikation bliver en stadig vigtigere opgave for regionens it-infrastruktur, hvor video i stigende grad vil blive benyttet i sammenhæng med it-arbejdspladsernes øvrige funktion. Regionen har allerede foretaget betydelige investeringer i opbygningen af en videoinfrastruktur. Strategisk retning Regionen ønsker at integrere systemer løst; det vil sige ikke ved integration direkte mellem systemer, men i stedet ved anvendelse af et integrationslag. I integrationslaget foretages transformation og mapning af de indgående systemers datamodeller. I integrationslaget opbygges endvidere, som basis for transformation og mapning, en generisk datamodel, der vil kunne anvendes, når flere systemer skal mappes ind i infrastrukturen. Integrationslaget opbygges ved udbygning af den eksisterende integrationsplatform. Integrationsplatformen skal ikke være databærende. Integrationsplatformen skal benyttes til at understøtte adgangen til og udstillingen af web services (servicekatalog). Integrationsplatformen vil blive en central og kritisk komponent i regionens samlede it-infrastruktur. Integrationsplatformen skal derfor overvåges i sammenhæng med regionens øvrige kritiske udstyr. Integrationsplatformen er en central del af en regional integrationsarkitektur, som regionen vil udvikle. Integrationsarkitekturen vil blandt andet beskrive principper og standarder for integration inden for sundhedsområdet. I den forbindelse vil regionen beslutte at benytte sig af en af de eksisterende internationalt anerkendte integrationsarkitekturer. 5 Region Sjælland gennemførte i foråret 2011 en analyse, der omfattede en spørgeskemaundersøgelse af brugere, en omkostningsanalyse og en it-kompleksitetsanalyse. Side 7

9 Den nævnte generiske datamodel skal udvikles således, at den baseres på internationalt anerkendte standarder for dataudveksling, hvor disse standarder også finder praktisk anvendelse. Det er forventningen, at de nævnte standarder aftales i regi af RSI eller fastlægges af NSI. Regionen vil anvende de nævnte modeller og standarder på pragmatisk vis og tage dem i anvendelse successivt. Behovet for at integrere systemer fra forskellige leverandører under anvendelse af en integrationsplatform og en generisk datamodel indebærer, at regionen fremover skal stille krav til leverandørerne om, at de stiller dokumenterede datamodeller til rådighed for regionen, og at den leverede funktionalitet kan tilgås som en service. Disse krav skal indarbejdes i alle regionens udbud, herunder også ved anskaffelse af medicoteknisk udstyr. Video bliver en væsentlig kommunikationsform, der parallelt med og telefoni skal integreres med it-arbejdspladserne. Video skal fungere nemt i sammenhæng med den enkelte medarbejders øvrige kommunikationssystemer (unified communication), og opkobling skal forenkles. Video skal videre fungere integreret med løsninger, der understøtter samarbejde mellem brugere. Regionen vil fokusere på at udbygge sine løsninger af denne karakter (collaboration solutions). Video skal tænkes ind i alle anskaffelser af systemer og services. 4.4 Understøttelse af nye brugergrænseflader Baggrund Udviklingen af nye former for intelligente enheder (devices) accelererer. Fra en situation, hvor adgangen til informationssystemer foregik via enten bærbare eller stationære pc er (i princippet samme teknologi), er situationen under kraftig forandring. Der frembringes nu produkter, fx smartphones eller tablets, der understøtter ægte mobilitet til forskel fra bærbare pc er sat på stativ og lignende. Også forretningsmæssigt fremgår det af delstrategierne, at mobil anvendelse af systemer og services vil indgå centralt i udviklingen af kliniske og administrative itarbejdspladser, hvor data trækkes helt frem i de (mobile) processer. Ud over udviklingen i relation til mobile intelligente enheder kan der iagttages en tilsvarende kraftig udvikling, hvor vægskærme (meget store fladskærme dækkende hele vægge), skærme i borde og skærme ved senge vinder frem. Ibrugtagningen af nye intelligente enheder og den forøgede anvendelse af datakilder som video, billeder og lyd stiller store krav til præsentationen af data. Det vil ikke længere være muligt blot at tilvejebringe præsentation på en pc-brugergrænseflade. Strategisk retning Regionen vil, afhængigt af den konkrete anvendelsessituation, stille en flerhed af mobile intelligente enheder til rådighed for sine medarbejdere. Det vil være enheder, der adskiller sig ved blandt andet det anvendte operativsystem, typen af interaktion og det fysiske format af skærmen. Regionen vil løbende beslutte, hvilke enheder der vil blive tilbudt og understøttet i organisationen. Side 8

10 Regionen vil søge at vælge leverandører, der understøtter en flerhed af brugergrænseflader. Regionen vil ved anskaffelse af it-løsninger stille krav om, at en sådan understøttelse kan demonstreres og leveres. Sådanne krav vil indgå med en betydelig vægt i regionens kravspecifikationer. Det vil dog også være nødvendigt, at regionen selv udvikler grænseflader på toppen af integrationsplatformen. Og ikke mindst må det forventes, at regionen vil udvikle eller få udviklet app s til håndholdte enheder. I den forbindelse skal regionen udbygge sine egne faciliteter for softwaredistribution. 4.5 Sikkerhed Baggrund Regionens håndtering af it-sikkerhed reguleres af den fastlagte it-sikkerhedspolitik. Region Sjælland har valgt at anvende ISO 2700X 6 -standarderne som retningsgivende for sit arbejde med it-sikkerhed. Regionen vil senere beslutte, om standarderne skal være det fremtidige grundlag for it-sikkerhed, og om regionen skal certificeres i forhold til standarderne. Sundhedslovens 42a giver blandt andre læger, sundhedspersoner og lægesekretærer mulighed for at tilgå oplysninger om patienters helbredsforhold, øvrige rent private forhold og andre fortrolige oplysninger, når det er nødvendigt i forbindelse med aktuel behandling. Persondataloven og tilhørende vejledning samt Sundhedsstyrelsens vejledning Informationssikkerhed vejledning for sundhedsvæsenet 2008 fastlægger rammerne for logning af den faktisk benyttede adgang til de nævnte oplysninger. Persondataloven indeholder bestemmelser om, hvornår og hvordan personoplysninger kan behandles. Persondataloven gælder som hovedregel for al elektronisk behandling af personoplysninger. Persondataloven opdeler personoplysninger i tre typer: følsomme oplysninger, oplysninger om andre rent private forhold og almindelige ikke-følsomme oplysninger. Der gælder forskellige betingelser og procedurer for behandling af personoplysninger afhængigt af oplysningernes følsomhed. Strategisk retning Region Sjælland vil indrette systemer og procedurer, så regionen opfylder den nævnte lovgivning og it-sikkerhedspolitikken. Systemer og procedurer vil blive tilrettelagt på en måde og med en balance, så procedurerne ikke i unødig grad vanskeliggør arbejdsprocesser og dermed risikerer de facto at reducere for eksempel patientsikkerheden. Regionen skal have en proaktiv tilgang til sikkerhed. Det indebærer, at regionen aktivt vil følge op på det aktuelle trusselsbillede og det aktuelle sikkerhedsniveau set i forhold hertil. Den aktive opfølgning skal også finde sted i forhold til regionens it-sikkerhedspolitik. It-sikkerhedspolitik med tilhørende retningslinjer og instrukser skal løbende ajourføres i forhold til risikobilledet. På samme måde skal beredskabsplaner løbende ajourføres, så reetablering af infrastruktur og systemer kan gennemføres optimalt. Beredskabsplaner skal løbende afprøves. 6 ISO 2700X er en serie af standarder, hvor ISO er krav til ISMS, og ISO er en liste af krav som inspiration til sikkerhedspolitik. Regeringen har besluttet, at de statslige institutioner også kan anvende den internationale standard ISO i stedet for den nuværende sikkerhedsstandard DS 484. Skiftet til ISO skal for statens vedkommende være senest, når en igangværende revision af ISO er færdig, formentlig i Side 9

11 Regionens it-infrastruktur understøtter medicoteknisk udstyr og systemer af livsvigtig betydning. Sikker drift af disse løsninger stiller krav om meget høj tilgængelighed af itinfrastrukturen, samtidig med at krav om umiddelbar og uhindret adgang skal tilgodeses. Regionens it-infrastruktur skal understøtte denne adgang for et stort antal medarbejdere og patienter med forskellige mobile enheder (devices), der knytter sig sikkerhedsmæssige risici til. Samtidig skal infrastrukturen rumme eksempelvis telefoni, videokommunikation og pilotprojekter af forskellig beskaffenhed. Der er derfor behov for at etablere en segmentering af regionens netværk, så medicoteknisk udstyr, testmiljøer og produktionsinfrastrukturen adskilles. Ved etablering af et segmenteret netværk skal der etableres scanning af trafikken mellem segmenterne for at begrænse risikoen for, at vira og andre skadelige programmer kan brede sig og dermed skabe adgang mellem netværkssegmenterne. Administration af brugere og rettigheder er en ressourcekrævende opgave i en organisation af Region Sjællands størrelse. I takt med at stadig flere systemløsninger etableres i regionen, herunder løsninger, der understøtter processer med forskellige roller på tværs af underliggende systemer og services, er der behov for at styrke administrationen af rettigheder. Der er videre behov for at integrere administrationen af rettigheder med regionens HR-løsninger. Med en også nationalt støttet udvikling i relation til patient-empowerment vil det være naturligt, at regionen tager højde for en situation, hvor patienter på forskellig vis skal kunne anvende lokale regionale services. Regionen vil derfor understøtte en sådan udvikling ved at afprøve og forberede it-infrastrukturen, så NemID vil kunne benyttes til opkobling mod regionens netværk. Med en udvikling, hvor et stort antal mobile enheder får adgang til regionens netværk, og hvor netværket åbner op mod samarbejdspartnere, serviceleverandører og eksterne services, er det vurderingen, at en it-sikkerhed baseret på såkaldt perimetersikkerhed 7 ikke på længere sigt vil være tilstrækkelig. Den regionale sikkerhed skal tage afsæt i det forhold, at der inden for perimeteren er risiko for, at der vil kunne etableres adgang til regionens netværk af tredjepart. Netværket skal sikre hemmeligholdelse, autenticitet og integritet af data. Netværket skal være sikret mod manipulation af data, aflytning og andre former for indtrængen. Med samme baggrund er der et stigende behov for at understøtte en proaktiv opfølgning på logget datatrafik, herunder opfølgning på etableret adgang til systemer og services, således at der reageres på mistænkelige mønstre og hændelser. Det skal eksempelvis løbende og proaktivt undersøges, om der er brugere, der har læst patientinformationer, de ikke har haft brug for, om der er uautoriserede adgangsforsøg osv. Tilsvarende skal der gennemføres en proaktiv opfølgning på den software, der er installeret på pc er og andre enheder, for at sikre at den er i overensstemmelse regionens retningslinjer og standarder. 7 Perimetersikkerhed refererer til den sikkerhed, der etableres ved blandt andet at anvende firewalls og intrusion detection-systemer, der begrænser og kontrollere adgangen til netværket fra eksterne kilder. Side 10

12 Region Sjælland Koncern IT Alléen Sorø Telefon: Region Sjælland Side 11

13 Side 12