Udkast til svar på Rigsrevisionens rapport om it-sikkerheden på SDN [Godkendt af MedComs styregruppe den 12. februar 2016]

Relaterede dokumenter
Status baseret på MedCom s svar og handleplan vedrørende revisionsrapport om it-revision af Sundhedsdatanettet (SDN) 2015

Bilag 7.1 Status på handleplan

Ledelsen har sikret, at der er etableret en hensigtsmæssig itsikkerhedsorganisation

Systemforvaltning for SDN Temadag om SDN og VDX den 9. november Peder Illum, konsulent,

Bilag til management letter om it-revision af Sundhedsdatanettet (SDN) hos MedCom 2018 J.nr juni 2018

SDN-brugergruppemøde 2. februar Peder Illum, konsulent,

It-revision af Sundhedsdatanettet januar 2016

MedComs informationssikkerhedspolitik. Version 2.2

MedCom, Mødelokale C, Forskerparken 10, 5230 Odense M

UDKAST: Sundhedsdatanettet (SDN) Danske Regioner

SDN implementering af sikkerhedsinitiativer Den 22. november Peder Illum, konsulent,

Mødelokale C hos MedCom, Forskerparken 10, 5230 Odense M

SDN-BRUGERGRUPPEMØDE. Brugergruppen anbefalede, at oplysninger opbevares 2 år og herefter slettes.

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

Leverandørstyring: Stil krav du kan måle på

Halsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune.

MedCom Systemforvaltning (SDN/VDX/KIH) Danske Regioner

Videoknudepunktet (VDX) UDKAST Danske Regioner

IT- og informationssikkerheds- politik (GDPR) For. Kontrapunkt Group

SDN-BRUGERGRUPPEMØDE TID: STED: VIDEOMØDERUM: DELTAGERE: AFBUD: DAGSORDEN Tidspunkt

Beredskabsstrategi for SDN

UDKAST: MedCom Systemforvaltning (SDN/VDX/KIH) Danske Regioner

MedCom. Marts Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C

MedCom, Mødelokale C, Forskerparken 10, 5230 Odense M

MedCom, Mødelokale C, Forskerparken 10, 5230 Odense M

MedCom. Året Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C

TID: Den 31. maj 2017 kl MedCom, Mødelokale C, Forskerparken 10, 5230 Odense M

Notat til Statsrevisorerne om beretning om adgangen til it-systemer, der understøtter samfundsvigtige opgaver. Februar 2016

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED

Kl Indledning v. Lone Strøm, Rigsrevisor

Handleplan for informationssikkerhed 2017 i Region Midtjylland - oversigt over initiativer/faser som forventes afsluttet i 2017

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november

SDN-BRUGERGRUPPEMØDE TID: STED: VIDEOMØDERUM: DELTAGERE: DAGSORDEN Tidspunkt

Udtalelse fra regionsrådet i Region Hovedstaden til Sundheds- og Ældreministeriets redegørelse til Statsrevisorerne

Præsentation af Curanets sikringsmiljø

TID: Den 13. september 2017 kl MedCom, Mødelokale D, Forskerparken 10, 5230 Odense M

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Dagsorden til møde i styregruppen for Program for digital almen praksis

IT-sikkerhedspolitik S i d e 1 9

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Strategi for Myndighedsafdelingen

Informationssikkerhedspolitik for Horsens Kommune

It-sikkerhedspolitik for Farsø Varmeværk

7. maj 2012/Lars Hulbæk. Status på Sundhedsdatanettet (SDN)

Mødelokale C hos MedCom, Forskerparken 10, 5230 Odense M

SIKKERHEDS- PROGRAMMET

VDX-brugergruppemøde 6. februar Peder Illum, konsulent,

Sikkerhed i cloud computing

Rigsrevisionens notat om beretning om beskyttelse mod ransomwareangreb

Faxe Kommune. informationssikkerhedspolitik

SURFTOWNS SIKRINGSMILJØ. Databehandleraftalen - Bilag 1

MÅLING AF INFORMATIONSSIKKERHED

IT-sikkerhedspolitik. for Social- og Sundhedsskolen Esbjerg

Vi har etableret et brancheledende informationssikkerhedsprogram. vores kunder den bedste beskyttelse og højeste grad af tillid.

Skanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017

NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER

Procedure for tilsyn af databehandleraftale

Sikkerhedsledelsen SIKKERHEDSSPOLITIK FOR DSB. April Version 1.0

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)

Modenhed og sikkerhed hos databehandlere Charlotte Pedersen

LinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK

Årshjul. Kort sagt beskrives og planlægges mange af de opgaver, der efterfølgende kontrolleres/følges op på i årshjulet, i årsplanen.

Hovedresultater: ISO modenhed i staten. December 2018

Notat til Statsrevisorerne om beretning om forebyggelse af hackerangreb. Februar 2014

Informationssikkerhedspolitik

MedCom, Mødelokale C, Forskerparken 10, 5230 Odense M

Sikkerhedsvurderinger

SDN et generelt overblik. Peder Illum

2. marts Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret

Indholdsfortegnelse. Generelt 3. Formål 3. Omfang 4. Sammenhæng med IT- og forretningsstrategier 4

Fællesregional Informationssikkerhedspolitik

Resultatet af undersøgelse af status på implementering af ISO27001-principper i staten

Behandling af sundhedsstyrelsens svarbrev - Oversigt over opmærksomhedspunkter og dertil tilknyttet handling

For så vidt angår Statsrevisorernes og Rigsrevisionens konkrete bemærkninger, skal jeg bemærke følgende:

SDN/VDX-brugergruppemøde 13. december Peder Illum, konsulent,

MedComs systemforvaltning MedCom10 temadag, mandag den 14. marts 2016

KOMBIT sikkerhedspolitik

Revision af firewall. Jesper B. S. Christensen. Sikkerhed og Revision 6/7 September 2018

Kommissorium for revisionsudvalget i TDC A/S. 1. Status og kommissorium

Rapport. Anbefaling. Sikkerhedstjekket 2016 Rådet for Digital Sikkerhed

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Overordnet informationssikkerhedsstrategi

Sikkerhedsanbefaling. Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded

Arbejdsplan for revisionsudvalget.

Handleplan for Sundheds-it og digitale arbejdsgange

Organisering og styring af informationssikkerhed. I Odder Kommune

Procedure for selvevaluering og udvikling af Aalborg Universitets uddannelser

Fællesregional Informationssikkerhedspolitik

IT-sikkerhedspolitik for

Notat til Statsrevisorerne om beretning om Forsvarets procedurer for anskaffelse af større materiel. April 2014

Sundhedsministeren. Statsrevisorerne Sekretariatet Folketinget Christiansborg 1240 København K

Vejledning i informationssikkerhedspolitik. Februar 2015

Programbeskrivelse. 7.2 Øget sikkerhed og implementering af EU's databeskyttelsesforordning. 1. Formål og baggrund. August 2016

Forfatter: Carsten Stenstrøm Mail: Telefon: IT Amerika Plads København Ø

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring

Bekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.

Nationale cybersikkerhedsinitiativer. Peter Munch Jensen, sektionsleder

DI ITEK-gennemgang: National strategi for cyber- og informationssikkerhed

Videotolkeerfagruppemøde 15. juni Peder Illum, konsulent,

Hjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune

Transkript:

Udkast til svar på Rigsrevisionens rapport om it-sikkerheden på SDN [Godkendt af MedComs styregruppe den 12. februar 2016] Indhold 1. Indledning... 2 2. Kommentarer til de enkelte punkter... 2 2.1. Hensigtsmæssig it-organisation... 2 2.2. Årlig risikovurdering af SDN... 2 2.3. Dækkende beredskabsplan for SDN... 3 2.4. Relevante politikker, retningslinjer og procedurer... 3 2.5. Databehandleraftale indgået med dataansvarlige... 3 2.6. Databehandleraftale indgået med leverandør... 3 2.7. Relevante it-sikkerhedskrav til leverandører... 3 2.8. Sikring mod uautoriserede adgange til SDN... 4 2.9. Hensigtsmæssig ændringsstyring... 4 2.10. Tidssvarende teknisk løsning... 4 2.11. Tilstrækkelig backup af SDN... 4 2.12. Tilstrækkelig overvågning og logning af SDN... 4 2.13. Tilstrækkelig overvågning og logning af SDNs støttesystemer... 4 2.14. Identificerede risici i.f.b. med SDNs eksponering mod internettet... 5 3. Afslutning og handleplan... 5 1

1. Indledning MedCom har modtaget Rigsrevisionens rapport af 15. januar 2016. Rapporten peger på en række forhold, som skal forbedres for at opfylde it-sikkerhedskravene til det internetbaserede SDN. MedCom og MedComs styregruppe anerkender rapportens konklusioner og vil på den baggrund følge anbefalingerne og tage initiativ til en række aktiviteter til udbedring af de nævnte forhold. Dette ligger i naturlig forlængelse af det eksisterende arbejde med og igangsatte initiativer om it-sikkerhed for SDN. Endvidere er det i MedComs styregruppe besluttet, at en af de nye aktiviteter er, at relevante dele af ISO27001 indføres som generel ramme for it-sikkerhedsarbejdet for det internetbaserede Sundhedsdatanet (SDN). En overordnet og samlet tids- og handlingsplan vil fremgå af afsnit 3. ISO27001 er en ny standard for it-sikkerhedsarbejdet, som gælder i staten og regionerne. Det bemærkes, at Rigsrevisionen med anvendelse af ISO27001 sætter en ny standard for it-sikkerhed. Den vil MedComs styregruppe sætte som norm for det fortsatte arbejde hermed. Governance for SDN vil blive alignet med den styringsmodel for den fællesoffentlige systemforvaltning, som er aftalt i økonomiforhandlingerne 2016 mellem regeringen, KL og regionerne, og som aktuelt er under etablering. Slutteligt peger rapporten peger også på, at backup på og overvågning og logning af SDN er tilstrækkelig, samt at databehandleraftalen med leverandører er på plads. Hertil kommer, at driften af SDN er stabil med meget høj oppetid, hvilket dokumenteres med løbende afrapporteringer til MedComs styregruppe. 2. Kommentarer til de enkelte punkter 2.1. Hensigtsmæssig it-organisation MedCom er fællesoffentlig systemforvalter for SDN med ledelsesmæssig forankring i MedComs styregruppe. Styregruppen vil fremadrettet have et øget fokus på it-sikkerhedsarbejdet. Der vil i relation til systemforvaltningen og it-sikkerhedsarbejdet blive udarbejdet et årshjul, hvor styregruppen både periodevist og løbende vil blive orienteret og involveret. Styregruppen vil eksempelvis skulle godkende sikkerhedspolitik og it-revision, behandle den årlige risikovurdering og følge op på eventuelle iværksatte udbedringer af sårbarheder, behandle ændringer i det generelle trusselbillede med opdatering af beredskabsplan som eventuel konsekvens samt fortsat følge op på driften af SDN. Når styringsmodellen for den fællesoffentlige systemforvaltning er etableret, tager MedCom endvidere initiativ til at relancere brugergruppen for SDN, hvor bl.a. it-sikkerhed vil være et ansvarsområde. Kommissorium og mødekadence vil følge den kommende fællesoffentlige forvaltningsmodel. Denne forventes etableret sommeren 2016. 2.2. Årlig risikovurdering af SDN MedCom tager i foråret 2016 initiativ til en opdatering af risikovurderingen for SDN med anbefalinger. Disse forelægges MedComs styregruppe den 22. juni 2016 med henblik på beslutninger om igangsætning af eventuelle sikkerhedsinitiativer. Risikovurderingen inkl. anbefalinger vil herefter årligt blive opdateret og forelagt styregruppen som del af årshjulet for it-sikkerhedsarbejdet og systemforvaltningen af SDN. Forinden vil materialet blive kvalificeret af den kommende 2

brugergruppe. Risikovurderingen vil være koordineret med og bygge på eksisterende risikovurderinger fra SDNleverandørerne. Endvidere vil MedCom i 2016 etablere proces for risikostyring og -håndtering med løbende opfølgning på risici og på implementering af eventuelle tiltag. Styregruppen og brugergruppen vil blive involveret efter konkret vurdering. Driftsopfølgning indgår fast på MedComs styregruppemøder. 2.3. Dækkende beredskabsplan for SDN MedCom udarbejder i forlængelse af risikovurderingen en beredskabsplan for SDN. Forslag til beredskabsplan behandles på styregruppemøde den 22. juni 2016. Beredskabsplanen vil som risikovurderingen være koordineret med og bygge på allerede eksisterende beredskabsplaner fra SDN-leverandørerne. Beredskabsplanen vil primært have fokus på håndtering af kommunikationen i en krisesituation men vil også omfatte beredskab i forhold til tilgængelighed. Fremadrettet vil MedComs styregruppe årligt behandle behovet for at opdatere beredskabsplanen ud fra den aktuelle risikovurdering. Herudover vil beredskabsplanen blive justeret efter behov eksempelvis ved et eventuelt ændret trusselsbillede og ved skift af leverandører. 2.4. Relevante politikker, retningslinjer og procedurer MedCom indfører ISO27001 som ramme for arbejdet med informationssikkerhed for SDN. Ud over risikovurderingen og beredskabsplanen vil MedCom i efteråret 2016 udarbejde relevante politikker, retningslinjer og procedurer. Det drejer sig bl.a. om en sikkerhedspolitik samt retningslinjer og procedurer for leverandørstyring, risikostyring, håndtering af hændelser, adgangs- og aftalestyring og den daglige systemdrift med bl.a. kontroller og opfølgning. Disse vil samlet set udbygge den eksisterende praksis med involvering af de relevante parter - herunder styregruppen og den relancerede brugergruppe. 2.5. Databehandleraftale indgået med dataansvarlige Ikke alle relevante parter har indgået en databehandleraftale med MedCom om SDN. MedCom tager i foråret 2016 initiativ til igen at opfordre parterne til indgåelse af en fælles databehandleraftale. Status på antallet af indgåede aftaler vil blive forelagt MedComs styregruppe den 22. juni 2016 med henblik på drøftelse af eventuelle yderligere initiativer. 2.6. Databehandleraftale indgået med leverandør 2.7. Relevante it-sikkerhedskrav til leverandører MedCom vil tage initiativ til, at opfølgning på it-sikkerhed bliver et fast punkt på dagsorden for de månedlige leverandørmøder. Afsættet for opfølgningen vil være it-sikkerhedskravene i kontrakterne og databehandleraftalerne. Endvidere vil MedCom på baggrund af risikovurderingen opdatere og konkretisere it-sikkerhedskravene til leverandørerne og etablere en eventuel yderligere systematisk opfølgning heraf. Fremadrettet vil MedCom have et særligt fokus på veldefinerede sikkerhedskrav i forbindelse med det kommende udbud af SDN eventuelt via specifikke sikkerhedskrav i SLA og eventuelle krav til genstandsfeltet for den kommende leverandørs revisionserklæring. 3

2.8. Sikring mod uautoriserede adgange til SDN MedCom vil gennemføre dokumenterede og kvartalsvise gennemgange af institutionernes SDN-administratorer som del af årshjulet for systemforvaltning og sikkerhedsarbejdet. Samtidig vil MedCom følge op på, at de tilsluttede institutioners SDN-administratorer på tilsvarende vis fører dokumenteret kontrol med de lokale brugeres adgange. Endvidere vil MedCom forespørge leverandøren Netic om relevansen af det aktuelle antal medarbejdere, der har adgang til Aftalesystemet og i samarbejde med leverandøren aftale et passende og afgrænset arbejdsbetinget adgangsniveau. 2.9. Hensigtsmæssig ændringsstyring Det er aftalt, at MedCom altid bliver adviseret om ændringer på de virtuelle maskiner, der benyttes til støttesystemerne på SDN, finder sted i aftale med MedCom. Ofte sker ændringer også i et tæt samarbejde mellem leverandøren og MedCom.Endvidere dokumenteresæ ændringerne dokumenteres via et change management-system, som MedCom har adgang til. Ofte sker ændringer også i et tæt samarbejde mellem leverandøren og MedCom. MedCom bliver derudover altid adviseret ved ændringer på de underliggende netværks- og filsystemer. SDN-støttesystemerne afvikles fra en større shared VMware platform sammen med en række andre kunder. Denne platform er yderst vital for leverandøren og har en lang række kunder. Derfor er den under skærpet overvågning, ligesom der altid er høj fokus på sikkerhed og driftsstabilitet. SDN-støttesystemerne udgør en meget lille del af den samlede platform. Derfor vil MedCom ikke blive adviseret om alle ændringer på denne platform, da langt hovedparten aldrig vil have indflydelse på SDN. ÆndringerStørre ændringer på den delteshared platform med relevans for SDN meddeles MedCom. 2.10. Tidssvarende teknisk løsning MedCom har forventet, at nyanskaffet aktivt udstyr har en levetid svarende til mindst kontraktens løbetid, og at spørgsmål om at sikre en tidssvarende teknisk løsning behandles gennem periodiske udbudsprocesser, der sikrer en udskiftning af nødvendigt udstyr. I forhold til opgradering af software/firmware på både SDN, Aftalesystemet og støttesystemerne vil MedCom sikre, at kommende opgraderinger beskrives i forhold til eksisterende niveau med angivelse af anbefalinger til opgradering eller undladelse af opgradering - under hensyntagen til det forretningsmæssige behov og de sikkerhedsmæssige implikationer. Løsningens tekniske niveau behandles fremadrettet på de månedlige driftsmøder med leverandørerne. 2.11. Tilstrækkelig backup af SDN 2.12. Tilstrækkelig overvågning og logning af SDN 2.13. Tilstrækkelig overvågning og logning af SDNs støttesystemer MedCom vil på kort sigt og under nuværende kontrakt undersøge, om overvågning af støttesystemerne kan indpasses i den eksisterende smokeping-overvågning eller via Kiwi CatTools. I et kommende udbud vil det blive et krav, at der etableres et andet system (f.eks. Splunk) til at overvåge driften på interne systemer. Fremadrettet vil MedComs styregruppe ud fra risikovurderingen tage stilling til det nødvendige logningsniveau. MedCom vil igangsætte gennemgang af eksisterende logs og vurdere anvendeligheden i forhold til kontrol af 4

brugeradgange. På denne baggrund iværksættes logning/logopsamling (evt. via Splunk) for at kunne monitorere brugeradgange. MedCom vil udfordre leverandøren Netic på problemerne med funktionsadskillelse. 2.14. Identificerede risici i.f.b. med SDNs eksponering mod internettet MedCom tager initiativ til, at alle servere inkl. støttesystemerne, der kan tilgås, skal sårbarhedsscannes som en del af itrevisionen. De fundne risici vil indgår i risikovurderingen, som behandles af MedComs styregruppe. MedCom definerer de IP-adresser, der skal skannes. 3. Afslutning og handleplan MedCom og MedComs styregruppe vil følge op på Rigsrevisionens anbefalinger og har lavet en tids- og handlingsplan for dels at implementere anbefalingerne dels at indføre relevante dele af ISO27001 som rammeværktøj for itsikkerhedsarbejdet for SDN. De centrale elementer i handleplanen fremgår af nedenstående oversigt. Tidspunkt Handling 1. april 2016 MedCom informeres om changes i støttesystemerne af relevans for MedCom 1. april 2016 Behov for opgradering af software/firmware på SDN, Aftalesystemet og støttesystemer undersøges og iværksættes, hvis det er relevant. 1. maj 2016 Logopfølgning på SDN-systemadministratorer gennemført 1. maj 2016 Den ordinære it-revision af SDN for 2015 udarbejdet (Deloitte) 1. juni 2016 Opfølgning på tilsluttede parters databehandleraftaler 1. juni 2016 Opdateret risikovurdering inkl. anbefalinger udarbejdet 15. juni 2016 Beredskabsplan udarbejdet 22. juni 2016 Styregruppemøde med behandling af it-revision, risikovurdering og beredskabsplan samt opfølgning på databehandleraftale 1. september 2016 Brugergruppe for SDN relanceret (afhængig af principper for fællesoffentlig systemforvaltning) 31. december 2016 Sikkerhedspolitik samt relevante retningslinjer og procedurer udarbejdet Kommenterede [TGJ1]: Det er forslaget, at disse ikke medtages, da det allerede nu er præciseret og aftalt i samarbejde med leverandøren, og da det ikke umiddelbart vurderes at være centrale elementer i handleplanen. Hvis styregruppen vurderer, at det er centrale elementer, kan indsættes et tidspunkt for at vise, at det er indført 5

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback