Informationssikkerhedspolitik. DokumentID / Dokumentnr /

Transkript

1 Regionen - Tværregionale dokumenter - 1 Ledelse Informationssikkerhed Dokumentbrugere: Alle Læseadgang: Tværregionale dokumenter Udskrevet er dokumentet ikke dokumentstyret. Forfatter: Søren Lundgaard Informationssikkerhedspolitik Dokumentansvarlig: RSD Dir DokumentID / Dokumentnr / Version: 2.1 Niveau: Politik Godkendt af: Vera Ibsen ) Formål 1.2) Anvendelsesområde 2) Fremgangsmåde 3) Dokumentation 4) Referencer 1) Formål Den Fællesregionale Informationssikkerhedspolitik er udarbejdet i et samarbejde mellem Region Hovedstaden, Region Sjælland, Region Syddanmark, Region Midtjylland og Region Nordjylland. Den Fællesregionale Informationssikkerhedspolitik fastlægger de grundlæggende principper for beskyttelse af elektroniske og ikke-elektroniske oplysninger, så fortrolighed, integritet og tilgængelighed bevares. Tillæg til Fællesregional Informationssikkerhedspolitik for Region Syddanmark har til formål at uddybe udvalgte elementer af den Fællesregionale Informationssikkerhedspolitik til brug i regionen. 1.2) Anvendelsesområde Den Fællesregionale Informationssikkerhedspolitik, samt uddybende tillæg for Region Syddanmark, gælder for alle elektroniske og ikke-elektroniske informationer. Alle enheder og ansatte i Region Syddanmark er omfattet. Leverandører og samarbejdspartnere, som behandler data på vegne af regionen, eller som har adgang til Region Syddanmarks systemer, informationer og data, skal ligeledes gøres bekendt med denne politik og følge den. 2) Fremgangsmåde Fællesregional Informationssikkerhedspolitik Tillæg til Fællesregional Informationssikkerhedspolitik 3) Dokumentation Fællesregional Informationssikkerhedspolitik er godkendt af Regionsrådet den 24. april 2017 Tillæg til Fællesregional Informationssikkerhedspolitik for Region Syddanmark er godkendt af Regionsrådet den 24. april ) Referencer Ikke relevant. (ÆNDRINGSLOG) Version/dato 2.0/Maj /Maj 2017 Ændring Ny fællesregional informationssikkerhedspolitik + tillæg Nyt layout på tillægget. Ingen indholdsmæssige ændringer. Tværregionale dokumenter Informationssikkerhedspolitik,ver.2.1, DokID: Side 1 af 14

2 Bilag: Fællesregional informationssikkerhedspolitik ( )) Tillæg til Fællesregional Informationssikkerhedspolitik ( ) Tværregionale dokumenter Informationssikkerhedspolitik,ver.2.1, DokID: Side 2 af 14

3 Fællesregional Informationssikkerhedspolitik Indhold 1. Formål Organisation Gyldighedsområde Målsætninger Godkendelse Formål Den Fællesregionale Informationssikkerhedspolitik er udarbejdet i et samarbejde mellem Region Hovedstaden, Region Sjælland, Region Syddanmark, Region Midtjylland og Region Nordjylland. Informationssikkerhed handler grundlæggende om beskyttelse af oplysninger, så fortrolighed, integritet og tilgængelighed bevares. Hver eneste dag behandles følsomme personoplysninger og andre fortrolige informationer af medarbejdere i de fem regioner. Det er absolut nødvendigt, at data er korrekte, fuldstændige og tilgængelige, da adgang til relevante og tidstro persondata er en forudsætning for god og sammenhængende behandling af den enkelte borger. Det er en forudsætning for, at regionerne fortsat kan tilbyde et moderne og effektivt sundhedsvæsen. Denne brug af data skal ske på en måde, som sikrer borgernes fortsatte tillid til regionerne. Informationssikkerhed skal af den grund være en integreret del af den ydelse, som regionerne leverer til borgere, patienter, virksomheder, samarbejdsparter m.fl., ligesom det skal være en integreret del af det daglige arbejde for medarbejderne og andre brugere. Regionernes håndtering af informationssikkerhed skal sikre, at patienterne får den bedste behandling samtidig med, at deres oplysninger er i trygge hænder. Følsomme persondata, herunder sundhedsdata, er personlige, og når regionerne behandler dem har de et særligt ansvar for, at sikkerheden er høj. Derfor har Danske Regioner i 2015 lagt en politisk linje for informationssikkerhed, som denne politik skal udmønte. Den politiske linje lægger vægt på at informationssikkerhed bruges som fundament for et stadig bedre sundhedsvæsen regionerne sætter et tilstrækkeligt højt niveau for informationssikkerhed informationssikkerhed og brugervenlighed går hånd i hånd alle medarbejdere forstår, at deres adfærd er fundament for informationssikkerhed regionerne samarbejder og lærer af hinanden regionerne stiller krav til leverandører Bilag "Fællesregional informationssikkerhedspolitik ( ))" til Tværregionale dokumenter - Informationssikkerhedspolitik,ver.2.1, DokID: Side 3 af 14

4 Den politiske linje definerer følgende tre overordnede områder. 1. Mennesker, organisation og processer Medarbejdernes adfærd i dagligdagen har stor betydning for informationssikkerheden. Det er centralt, at alle medarbejdere er bevidste om, hvordan deres adfærd påvirker informationssikkerheden. Det handler både om, hvordan medarbejderne håndterer teknik og it-udstyr, og om hvordan de omgås følsomme personoplysninger. Medarbejderne skal derfor have kendskab til lovgivning, regionernes egne politikker, retningslinjer og instrukser - og selvfølgelig også overholde dem. Ledelsens prioritering af området er også vigtig. Derfor bør regionerne sikre en organisation, der prioriterer informationssikkerhed, så medarbejdere og ledelse har gode betingelser for at arbejde med følsomme personoplysninger. 2. It-systemer og fysisk sikkerhed Regionernes brug og håndtering af følsomme og fortrolige oplysninger skal foregå betryggende og med et passende niveau af sikkerhed og privatlivsbeskyttelse. Det kræver blandt andet, at regionerne håndterer oplysningerne fortroligt, bevarer datas integritet og ikke ændrer oplysningerne uden autorisation. Data skal kun være tilgængelige for dem, som må og skal bruge dem og det skal foregå sikkert. Dette stiller tekniske krav i forbindelse med udvikling, implementering og drift af it-løsninger og krav til den fysiske sikring af hardware og lignende. 3. Lovkrav og kontraktkrav Regionerne skal sikre, at relevante lov- og kontraktkrav overholdes i det daglige arbejde. Regionerne må kun behandle borgernes oplysninger i tilfælde, hvor det nødvendige lovgrundlag foreligger. Dette element af informationssikkerhed indebærer også et fokus på, at der indskrives konkrete kontraktkrav til informationssikkerhed i de drifts- og udviklingsaftaler, som regionerne indgår med leverandører. Der er vigtigt, at borgere, patienter, virksomheder, samarbejdsparter og andre interessenter kan have tillid til, at regionerne har etableret nødvendige tiltag til at sikre borgernes oplysninger, og at regionerne forvalter deres følsomme personoplysninger sikkert og forsvarligt. Den politiske linje for informationssikkerhed stiller desuden krav til, at regionerne efterlever ISO standarden som rammeværktøj for arbejdet med informationssikkerhed i regionerne. Den fællesregionale politik skal sammen med den enkelte regions egen informationssikkerhedspolitik understøtte og sikre et ensartet sikkerhedsniveau. Det skal ske ved, at den enkelte region etablerer, implementerer, vedligeholder og løbende forbedrer et ledelsessystem for informationssikkerhed inden for rammerne af informationssikkerhedsstandarden ISO Organisation 1 Et ledelsessystem, også kaldet et InformationsSikkerhedsManagementSystem (ISMS), er i denne sammenhæng et udtryk for de politikker, procedurer, processer, organisatoriske beslutningsgange og aktiviteter, som tilsammen udgør regionernes styring af informationssikkerhed. Den enkelte region har fastlagt en struktur samt rammer og arbejdsgange for informationssikkerhedsarbejdet. Bilag "Fællesregional informationssikkerhedspolitik ( ))" til Tværregionale dokumenter - Informationssikkerhedspolitik,ver.2.1, DokID: Side 4 af 14

5 For at sikre at behandling og opbevaring af følsomme personoplysninger lever op til lovens krav er det vigtigt at indrette sin organisation på en måde, der gør det naturligt i praksis at efterleve informationssikkerhedsreglerne. Dette arbejde starter med en forankring i topledelsen. Hver region skal have et entydigt og nedskrevet ledelsesansvar for informationssikkerhed, som afspejler en struktureret tilgang til informationssikkerhed i organisationen. Det skal dække hele det organisatoriske niveau. Det er topledelsens ansvar at træffe den endelige beslutning om et sikkerhedsniveau, der er afstemt efter risiko og væsentlighed og offentlighedens interesser. Niveauet skal overholde relevante lov- og kontraktkrav. Topledelsen har ansvar for at understøtte politikker, retningslinjer og instrukser samt allokere nødvendige ressourcer til at gennemføre arbejdet med informationssikkerhed i regionen. Den skal sikre, at regionens medarbejdere har den fornødne viden om informationssikkerhed. Linjeledelsen har med udgangspunkt i topledelsens udstukne politikker, retningslinjer og instrukser ansvar for, at disse efterleves i egen enhed. Ledelsen skal arbejde for en kultur hvor ansvarlighed i forhold til informationsbehandling falder naturligt for alle. Alle medarbejdere har et ansvar for at bidrage til, at regionernes oplysninger ikke kommer i de forkerte hænder. Det er ledelsens ansvar at sikre, at alle medarbejdere har den fornødne viden om informationssikkerhed, og at der i relevant omfang sker en løbende uddannelse i informationssikkerhed. Tilsvarende er medarbejderne forpligtede til at gøre sig bekendt med den information om informationssikkerhed, der stilles til rådighed. 3. Gyldighedsområde Den Fællesregionale Informationssikkerhedspolitik og hver regions egen informationssikkerhedspolitik gælder, hvor regionens oplysninger og særligt regionens følsomme personoplysninger opbevares eller behandles. Det har ingen betydning for gyldighedsområdet, hvor og hvordan de opbevares eller behandles. Behandling af regionens oplysninger må kun finde sted efter aftale med den pågældende region. Informationssikkerhedspolitikken gælder således for: Alle brugere. Ved en bruger forstås fx medarbejdere, forskere, konsulenter, regionsrådsmedlemmer, elever, studerende og andre, der midlertidigt eller for en længere periode har adgang til regionens personoplysninger. Samarbejdspartnere der opbevarer eller har adgang til, anvender eller behandler biomateriale, papirbaserede eller elektroniske følsomme personoplysninger efter aftale med regionen. Det har i denne sammenhæng ingen betydning, om samarbejdspartnerne befinder sig i eller uden for Danmark. Fællesregionale samarbejdspartnere. Hvor flere regioner anvender samme samarbejdspartner eller leverandør til fælles løsninger, skal den fællesregionale informationssikkerhedspolitik anvendes. Den fællesregionale og regionernes egne informationssikkerhedspolitikker gælder derimod ikke borgere, der med sikker identifikation og gennem borgervendte systemadgange har adgang til egne oplysninger. Bilag "Fællesregional informationssikkerhedspolitik ( ))" til Tværregionale dokumenter - Informationssikkerhedspolitik,ver.2.1, DokID: Side 5 af 14

6 4. Målsætninger I efterlevelsen af ISO standarden har regionerne følgende fælles målsætninger: For at sikre et tilstrækkeligt og acceptabelt sikkerhedsniveau er det nødvendigt at vurdere risikobilledet, lige fra sårbarheder i de enkelte systemer til risikoen for at blive udsat for hackerangreb. A. Regionens sikkerhedsniveau og risikobillede fastlægges med afsæt i en overordnet risikovurdering 2. Risikovurderingen skal skabe overblik over regionens risikoprofil, der er et overblik over identificerede informationssikkerhedsrisici sikre udarbejdelse og vedligeholdelse af et katalog over identificerede trusler identificere de mest sårbare og kritiske systemer sikre ledelsens involvering i definitionen af sikkerhedsniveauet skabe bevidsthed om sikkerhed i organisationen danne grundlag for udarbejdelsen af en handlingsplan for at imødegå identificerede trusler mod systemerne. B. Med udgangspunkt i den enkelte regions risikovurdering fastlægger regionen egen tidsramme og metode for at udarbejde og vedligeholde et SoA 3 dokument (Statement of Applicability) udarbejde politikker, retningslinjer og instrukser samt føre tilsyn med at de bliver overholdt udarbejde og teste it-beredskabsplaner og nødprocedurer udarbejde og iværksætte opmærksomhedsskabende tiltag rapportere jævnligt til relevante ledelseslag om informationssikkerhed. I efterlevelsen af gældende lovgivning har regionerne følgende målsætninger: C. Den til enhver tid gældende lovgivning på området, særligt lovgivning inden for persondatabeskyttelse, skal efterleves i regionerne og hos deres samarbejdspartnere, herunder ved sikring af at enhver behandling af følsomme personoplysninger foregår efter en risikobaseret tilgang og i overensstemmelse med gældende lovgivning sikring af, at videregivelse og overladelse af oplysninger udelukkende sker i henhold til lovhjemmel og databehandleraftaler at dokumentere datastrømme, sikringstiltag og kontroltiltag overholdelse af tekniske krav til logning, autorisation og rollestyring dokumenteret systematisk logopfølgning forpligtelse af leverandører til at sikre et tilstrækkeligt og forsvarligt informationssikkerhedsniveau gennem krav og kontrol registrering af brud eller mulige brud på informationssikkerheden. 2 I risikovurderingen identificeres, analyseres og evalueres risici med udgangspunkt i den definerede kontekst. Bilag 3 "Fællesregional informationssikkerhedspolitik ( ))" til Tværregionale dokumenter - Informationssikkerhedspolitik,ver.2.1, DokID: Side 6 af 14 SoA kan forstås som en erklæring af, hvilket sikkerhedsniveau organisationen aktivt har besluttet sig for og hvorfor.

7 5. Godkendelse Den Fællesregionale Informationssikkerhedspolitik planlægges godkendt af de fem regionsråd. Bilag "Fællesregional informationssikkerhedspolitik ( ))" til Tværregionale dokumenter - Informationssikkerhedspolitik,ver.2.1, DokID: Side 7 af 14

8 Informationssikkerhed Tillæg til Fællesregional Informationssikkerhedspolitik for Region Syddanmark Godkendt i Regionsrådet den 24. april Bilag "Fællesregional informationssikkerhedspolitik ( ))" til Tværregionale dokumenter - Informationssikkerhedspolitik,ver.2.1, DokID: Side 8 af 14

9 1. Indledning Dette dokument supplerer den Fællesregionale Informationssikkerhedspolitik, som er godkendt af Region Syddanmarks regionsråd den 24. april 2017 Alle regioner har i den Fællesregionale informationssikkerhedspolitik forpligtet sig til at følge den internationale standard for informationssikkerhed, ISO27001 (ISO/IED 27001:2013). Med dette følger, at den enkelte region etablerer, implementerer, vedligeholder og løbende forbedrer et ledelsessystem for informationssikkerhed (ISMS). Dette dokument har til formål at fastlægge de grundlæggende principper for regionens informationssikkerhed og uddybe udvalgte elementer af den Fællesregionale Informationssikkerhedspolitik til brug i Region Syddanmark. Region Syddanmarks informationssikkerhedspolitik er beskrevet og operationaliseret i en række dokumenter. Styringshierarkiet for typen af dokumenter er skitseret i nedenstående figur. Øverste styringsdokument er Regionernes Fælles Informationssikkerhedspolitik, som er operationaliseret til Region Syddanmarks organisation i dette uddybende tillæg. Politikker for informationssikkerhed indgår derudover i samspil med regionens øvrige strategier for informationsbehandling. Region Syddanmarks øvrige retningslinjer og instrukser for informationssikkerhed samles i en informationssikkerhedshåndbog på regionens Infonet. Politikker: Angiver overordnede målsætninger og rammer for informationssikkerhed i Region Syddanmark. - Regionernes fælles informationssikkerhedspolitik - Tillæg til Fællesregional informationssikkerhedspolitik for Region Syddanmark Lokale politikker: Angiver lokale målsætninger og rammer for informationssikkerhed Retningslinjer: Angiver den rette fremgangsmåde og adfærd for udvalgte områder af informationssikkerhed. Informationssikkerhedshåndbog (InfoNet) Instrukser: Konkrete anvisninger til udførelse specifikke opgaver vedrørende informationssikkerhed. Henvender sig typisk til den enkelte ansattes anvendelse af it-systemer mm. 2 af 7 Bilag "Fællesregional informationssikkerhedspolitik ( ))" til Tværregionale dokumenter - Informationssikkerhedspolitik,ver.2.1, DokID: Side 9 af 14

10 2. Definitioner Informationssikkerhed: Informationssikkerhed er en fællesbetegnelse for alle de foranstaltninger, som har til formål at beskytte alle elektroniske og ikke-elektroniske informationers fortrolighed, integritet og tilgængelighed. Fortrolighed har til formål at sikre, at informationer behandles, sendes og opbevares fortroligt og er sikret imod uvedkommendes adgang. Integritet har til formål at sikre, at informationer er korrekte og ikke indeholder fejl eller mangler. Tilgængelighed har til formål at sikre, at informationer altid er tilgængelige på det relevante tidspunkt og for de relevante personer. Information Security Management System (ISMS): ISMS er et samlet udtryk for de politikker, procedurer, processer, organisatoriske beslutningsgange og aktiviteter, som tilsammen udgør regionens styring af informationssikkerhed. Systemejer: Systemejer repræsenterer det forretningsmæssige ansvar vedrørende et it-systemområde, og repræsenterer dermed den forretningsmæssige synsvinkel i forhold til systemet. Systemejer skal anlægge et helhedsorienteret perspektiv, der sikrer, at det eller de pågældende itsystem(er) håndteres ud fra et koncernperspektiv og en helhedsbetragtning, således at håndtering af systemet varetages i overensstemmelse med overordnede politikker og strategier, koordineres i forhold til andre systemer og projekter samt at de relevante fora inddrages i henhold til den til enhver tid gældende beslutningsstruktur. Underliggende retningslinjer beskriver yderligere opgaver og ansvar for systemejeren. 3. Omfang Den Fællesregionale Informationssikkerhedspolitik, samt dette uddybende tillæg, gælder for alle elektroniske og ikke-elektroniske informationer. Alle enheder og ansatte i Region Syddanmark er omfattet uden undtagelse. Leverandører og samarbejdspartnere, som behandler data på vegne af regionen, eller som har adgang til Region Syddanmarks systemer, informationer og data, skal ligeledes gøres bekendt med denne politik og følge den. Ved indgåelse af aftaler/kontrakter skal det således sikres, at aftaleparterne opretholder et informationssikkerhedsniveau, som ikke er lavere end hvad er beskrevet i den Fællesregionale Informationssikkerhedspolitik og tilhørende dokumenter. 4. Ansvar og organisering Region Syddanmarks koncerndirektion har ansvar for at fastlægge de fælles rammer for regionens informationssikkerhed. Koncerndirektionen skal samtidig sikre, at ansvar vedrørende informationssikkerhed er tilstrækkeligt delegeret så det sikre, at regionens ledelsessystem for informationssikkerhed (ISMS) er i overensstemmelse med ISO Koncerndirektionen har samtidig det overordnede ansvar for at den Fællesregionale Informationssikkerhedspolitik, samt underliggende dokumenter kommunikeres og gøres tilgængelig internt i Region Syddanmark. Region Syddanmark har valgt at anlægge en decentral styringsfilosofi af regionens it-systemer, hvor beslutninger lægges ud til de enkelte enheder i optimalt omfang. Der udpeges en systemejer for alle systemer, der enten er flerbrugersystemer eller omfatter personhenførbare data. 3 af 7 Bilag "Fællesregional informationssikkerhedspolitik ( ))" til Tværregionale dokumenter - Informationssikkerhedspolitik,ver.2.1, DokID: Side 10 af 14

11 Koncerndirektionen har det overordnede ansvar for regionens informationssikkerhed, men har i praksis videredelegeret det daglige ansvar for informationssikkerhed til relevante ledelsesniveau, herunder regionens systemejere og systemforvaltninger. Systemejere og ledelsen på alle organisatoriske niveauer har således et ansvar for at understøtte implementering af den Fællesregionale informationssikkerhedspolitik og tilhørende dokumenter i Region Syddanmark, og skal medvirke til at højne sikkerhedsbevidstheden og fastholde den blandt regionens medarbejdere. Centrale Informationssikkerhedsfunktioner Regional IT er Region Syddanmarks fælles tværgående it-organisation, som bl.a. har ansvaret for driften af regionens it-systemer. Under Regional IT er placeret Afdelingen for Informationssikkerhed samt en it-sikkerhedsfunktion. Afdelingen for Informationssikkerhed har bl.a. til opgave at overvåge, at informationssikkerhedspolitikken overholdes samt at udarbejde og vedligeholde overordnede politikker, regler og retningslinjer om informationssikkerhed. Afdelingen for Informationssikkerhed varetager samtidig opgaver med at rådgive og understøtte implementeringen af Region Syddanmarks informationssikkerhed. Afdelingen for Informationssikkerheds opgaver består desuden af planlægning, audit og kontrol, samt koncernfælles kommunikation om informationssikkerhed i Region Syddanmark. Dette arbejde skal ske i samarbejde med den øvrige organisation. It-sikkerhedsfunktionen har bl.a. til opgave at holde sig opdatereret med det aktuelle trusselsbillede mod regionens it-infrastruktur, samt sikre logning af aktiviteter på it-infrastrukturen. It-sikkerhedsfunktionen arbejder derudover med operationalisering af beredskabsplaner for itinfrastrukturen, afdækning af sikkerhedshuller, samt håndtere og vurdere indkomne alarmer fra firewalls og log-system. Decentrale informationssikkerhedsfunktioner Ledelsen og systemejere på alle sygehuse og øvrige enheder i regionen har ansvar for den lokale implementering og forankring af koncernfælles initiativer om informationssikkerhed. Systemejeren har ansvar for at de enkelte systemer teknisk efterlever regionens informationssikkerhed, herunder at systemet drives effektivt og sikkerhedsmæssigt forsvarligt. Herudover har ledelsen og systemejere ansvar for, at der lokalt sker en løbende vedligeholdelse, drift og kommunikation vedrørende opgaver om informationssikkerhed. Arbejdet skal ske i samarbejde med de ovennævnte centrale informationssikkerhedsfunktioner. 5. Informationssikkerhedsudvalg Det regionale informationssikkerhedsudvalg er nedsat med reference til koncerndirektionen, og med deltagelse fra alle sygehuse og relevante enheder. Informationssikkerhedsudvalget behandler underliggende emner om informationssikkerhed. 4 af 7 Bilag "Fællesregional informationssikkerhedspolitik ( ))" til Tværregionale dokumenter - Informationssikkerhedspolitik,ver.2.1, DokID: Side 11 af 14

12 6. it-risikovurdering og sikkerhedsniveau I efterlevelse af ISO27001-standarden skal sikkerhedsniveau og risikobillede for Region Syddanmarks informationssikkerhed fastlægges med afsæt i en overordnet risikovurdering. Proces for risikovurderingen af regionens elektroniske og ikke-elektroniske informationer skal være i overensstemmelse med krav til risikostyring i ISO Med dette følger, at risikovurderingen altid skal indeholde en vurdering af risiko for tab af informationers fortrolighed, integritet og tilgængelighed. Risikovurdering af regionens informationssystemer skal følge en fælles central model for risikovurdering, som skal sikre systematiske og sammenlignelige resultater på tværs af alle itsystemer. Afdeling for Informationssikkerhed skal minimum én gang årligt gennemføre en overordnet risikovurdering, der informerer om det aktuelle trusselsbillede i forhold til regionens sikkerhedsniveau. Resultatet præsenteres for koncerndirektionen. Systemejer har ansvar for at gennemføre den konkrete risikovurdering, som skal indgå i den overordnede risikovurdering. Regionens systemejere og systemforvaltninger har ansvaret for at vurdere sikkerhedsniveauet. Med udgangspunk i en risikovurdering skal systemejer udarbejde og vedligeholde et SoA-dokument (Statement of Applicability). SoA-dokumentet kan forstås som en erklæring af, hvilket sikkerhedsniveau der er besluttet og årsager hertil. It-beredskabsplanlægning It-beredskabsplaner vedr. infrastruktur og IT-systemer har til formål at sikre den nødvendige ledelse i tilfælde af systemnedbrud samt brud på sikkerheden. Dette omfatter handlinger med henblik på at sikre kritiske forretningsprocesser, begrænse skader, sikre nøddrift, samt retablering til normal drift. Med udgangspunkt i en risikovurdering skal der udarbejdes og vedligeholdes en it-beredskabsplan for alle relevante it-systemer. Systemejer vedr. it-infrastruktur og it-systemer har ansvar for at der udarbejdes og vedligeholdes den tilstrækkelige it-beredskabsplan med henblik på sikring og retablering. Systemejer har samtidig ansvar for at aktivere det nødvendige it-beredskab samt informere de relevante ledelser i tilfælde af alvorlige hændelser. Ledelsen på sygehuse og øvrige enheder har ansvar for det generelle beredskab, der skal gøre det muligt at agere sikkert i forhold til borgere og patienter i en retableringsperiode. Den overordnede koordination af it-beredskaberne sker via det regionale informationssikkerhedsudvalg. 7. It-awareness Informationssikkerheden i Region Syddanmark afhænger blandt andet af, at alle medarbejdere tager et ansvar for at sikre regionens informationer, og ikke handler med risiko for at patienter og borgeres oplysninger havner hos uvedkommende. Alle medarbejdere i regionen skal følge denne informationssikkerhedspolitik og tilhørende dokumenter. Regionens ledelse har ansvar for at sikre, at alle medarbejdere har den nødvendige viden om informationssikkerhed og de retningslinjer som gælder. Formålet er, at gøre den enkelte medarbejder i stand til at håndtere regionens informationer i overensstemmelse med gældende informationssikkerhedsdokumenter. 5 af 7 Bilag "Fællesregional informationssikkerhedspolitik ( ))" til Tværregionale dokumenter - Informationssikkerhedspolitik,ver.2.1, DokID: Side 12 af 14

13 8. Brud på informationssikkerhed Såfremt en medarbejder opdager trusler mod informationssikkerheden eller brud på denne, har medarbejderen pligt til straks at meddele dette til systemejeren. Systemejer har ansvar for håndtering af sikkerhedsbrud samt indrapportering af disse til centrale informationssikkerhedsfunktioner. Det kan få ansættelsesretlige konsekvenser, og i yderste konsekvens føre til politianmeldelse, hvis medarbejdere bryder regionens informationssikkerhedspolitik, informationssikkerhedshåndbogens retningslinjer og instrukser, eller deraf afledte dokumenter om informationssikkerhed. Idet en del af arbejdet i regionen er direkte omfattet af lovgivning, eksempelvis sundhedsloven og persondataloven, kan der ske retsforfølgelse ved overtrædelse af lovgivningen. 9. Øvrige retningslinjer De retningslinjer, sikkerheds- og kontrolforanstaltninger, der gælder i Region Syddanmark skal samles i en informationssikkerhedshåndbog. Sikkerhedshåndbogen skal indeholde underliggende dokumenter og beskrivelser der er relevante for Region Syddanmarks informationssikkerhed. Sikkerhedshåndbogen skal være tilgængelig for alle medarbejdere. Blandt andet skal den kunne findes på Region Syddanmarks InfoNet. 10. Ikrafttræden Informationssikkerhedspolitikken godkendes af Regionsrådet. Informationssikkerhedshåndbogen og tilhørende bilag godkendes af Koncernledelsesforum. Regionsrådet vil årligt blive orienteret om arbejdet med informationssikkerhed. Den Fællesregionale informationssikkerhedspolitik samt dette Tillæg til den Fællesregionale Informationssikkerhedspolitik for Region Syddanmark er godkendt i Regionsrådet den 24. april 2017 og træder i kraft ved offentliggørelse på InfoNet d. 15. maj af 7 Bilag "Fællesregional informationssikkerhedspolitik ( ))" til Tværregionale dokumenter - Informationssikkerhedspolitik,ver.2.1, DokID: Side 13 af 14

14 Regional IT Afdelingen for Informationssikkerhed Damhaven 12, 7100 Vejle Bilag "Tillæg til Fællesregional Informationssikkerhedspolitik ( )" til Tværregionale dokumenter - Informationssikkerhedspolitik,ver.2.1, DokID: Side 14 af 14