Bilag 7.1 Status på handleplan Status baseret på MedCom s svar og handleplan vedrørende revisionsrapport om it-revision af Sundhedsdatanettet (SDN) 2015 Status = projektstatus ud fra milepæle Følger plan Ved korrigerende handlinger muligt igen at følge plan Selv ved korrigerende handlinger ikke muligt igen at følge plan Initiativ i handlingsplanen er gennemført = 2015-1 Ledelsen har sikret, at Styregruppen vil fremadrettet have et 15. marts: Årshjul version 1 der er etableret en hensigtsmæssig itsikkerhedsorganisation i forhold til at ledelsen løbende tager stilling til væsentlige forhold om itsikkerheden vedrørende SDN og i forlængelse heraf sikrer, at det tværgående itsikkerhedsarbejde i SDN-brugergruppen formaliseres og effektiviseres. øget fokus på it-sikkerhedsarbejdet med godkendelse af sikkerhedspolitik, itrevision, behandle den årlige risikovurdering, følge op på eventuelle iværksatte udbedringer af sårbarheder m.v. Der vil i relation til systemforvaltningen og it-sikkerhedsarbejdet blive udarbejdet et årshjul, hvor styregruppen både periodevist og løbende vil blive orienteret og involveret. Der etableres en brugergruppe med kommissorium i forhold til rolle og opgaver baseret på den kommende fællesoffentlige systemadministrationsmodel. (foreløbig) 1. juni 2016: Forslag til kommissorium for brugergruppe 22. juni 2016: Forslag til kommissorium behandlet i MedComs styregruppe. 1. september 2016: Brugergruppe udpeget. 1. november 2016: Første møde i relanceret brugergruppe afholdt. Foreløbigt forslag til revideret kommissorium er Revision, behandling af forslaget og igangsætning af udpegning afventer den fællesoffentlige styringsmodel for systemforvaltning. 1
2015-2 Ledelsen har sikret, at MedCom udarbejder en årlig risikovurdering af SDN, som ledelsen tager stilling til. at MedCom årligt udarbejder en risikovurdering af SDN, der både omfatter interne sårbarheder og eksterne trusler. Ledelsen skal efterfølgende tage stilling til risikovurderingens resultater og anbefalinger, og En opdateret risikovurdering med forslag til handlingsplan forelægges MedComs styregruppe den 22. juni 2016. Risikovurderingen inkl. anbefalinger vil årligt blive opdateret og forelagt styregruppen som del af årshjulet. Forinden vil materialet blive kvalificeret af den kommende brugergruppe. 15. marts 2016: Aftale med leverandør om konsulentbistand indgået. 1. april 2016: Møder med relevante aktører udsendt og fastlagt. 15. maj 2016: Relevante workshops og interviews afholdt (FMK, NSP, PPJ, Netic, NetDesign og Med- Com). sikre at der igangsættes 1. juni 2016: Opdateret risikovurdering inkl. anbefalinger relevante sikkerhedsinitiativer. 22. juni 2016: Risikovurdering og anbefalinger behandlet i styregruppen herefter som del af årshjul. 2015-3 Ledelsen har på baggrund af risikobilledet sikret, at MedCom har udarbejdet en dækkende beredskabsplan for at Medcom, med udgangspunkt i det samlede risikobillede, udarbejder en dækkende beredskabsplan for MedCom udarbejder i forlængelse af risikovurderingen en beredskabsplan for Forslag til beredskabsplan behandles på styregruppemøde den 22. juni 2016. Fremadrettet vil MedComs styregruppe årligt behandle behovet for at opdatere beredskabsplanen ud fra den aktuelle risikovurdering. 15. marts 2016: Aftale med leverandør om konsulentbistand indgået. 1. april 2016: Møder med relevante aktører udsendt og fastlagt. 1. juni 2016: Relevante workshops og interviews afholdt.(netic, NetDesign, MedCom). 15. juni 2016: Beredskabsplan 22. juni 2016: Beredskabsplan behandlet i styregruppen - herefter som del af årshjul. 2
2015-4 Ledelsen har sikret, MedCom indfører ISO27001 som ramme (foreløbige) at der er udarbejdet at MedCom, udar- for arbejdet med informationssikkerhed relevante politikker, bejder politiker, retningslinjer for MedCom vil, når risikovurde- 1. juli 2016: Aftale med leverandør om konsulentbi- retningslinjer og og procedurer mv. ring er gennemført, i efteråret 2016 stand indgået. procedurer, der inden for de relevante udarbejde relevante politikker, retningslinjer og procedurer. Disse vil udbygge tager udgangspunkt områder. 15. september 2016: Omfang og behov kortlagt og i MedComs rolle den eksisterende praksis med involvering af de relevante parter - herunder procesplan beskrevet. som systemejer for styregruppen og den relancerede brugergruppe. 31. december 2016: Sikkerhedspolitik samt relevante retningslinjer og procedurer 22. februar 2017: Relevante dele behandlet i Med- Coms styregruppe og brugergruppe. 2015-5 Ledelsen har sikret, at de dataansvarlige har indgået databehandleraftaler med MedCom. 2015-6 Ledelsen har sikret, at MedCom har indgået en databehandleraftale med leverandøren i forbindelse med driften af at ledelsen sikrer, at alle dataansvarlige indgår databehandleraftaler med MedCom, så der kan etableres et fælles grundlag for itsikkerhed i og omkring Revisionen har ikke givet anledning til bemærkninger. Den eksisterende tilslutningsaftale inkl. 15. marts 2016: Revision af tilslutningsaftale inkl. databehandleraftale revideres. databehandleraftaler. Herefter opfordres parterne i foråret 15. april 2016: Udsendelse til alle relevante parter. 2016 til indgåelse af en revideret fælles databehandleraftale. Status på antallet 1. juni 2016: Opfølgning på tilsluttede parters databehandleraftaler gennemført. af indgåede aftaler vil blive forelagt MedComs styregruppe den 22. juni 2016 med henblik på drøftelse af eventuelle 22. juni 2016: Status på tilsluttede parters databehandleraftaler og drøftelse på MedComs styregrup- yderligere initiativer. pemøde. Tilslutningsaftaler udsendt til relevante parter med forsinkelse. Tilslutningsaftale til regionerne inkl. databehandleraftale revideret pga. baggrund af den fællesregionale databehandleraftale, instruks, fælles informationssikkerhedspolitik.. 3
2015-7 Ledelsen har sikret, at MedCom har stillet og har fulgt op på relevante itsikkerhedskrav til ekstern leverandør. at MedCom på baggrund af en risikovurdering opdaterer og konkretisere deres itsikkerhedskrav til leverandøren, og etablerer en systematisk opfølgning heraf. Opfølgning på it-sikkerhed bliver et fast punkt på de månedlige statusmøder med leverandørerne. MedCom vil på baggrund af risikovurderingen opdatere og konkretisere itsikkerhedskravene til leverandørerne og. etablere en eventuel yderligere systematisk opfølgning heraf. 15. marts 2016: Revision af standarddagsorden for driftsmøder revideret med relevante punkter for opfølgning på it-sikkerhedskrav. 1. juli 2016: Opdatering og konkretisering af itsikkerhedskrav er udført og opfølgning vurderet eksempelvis ift. driftsmøder, driftsrapporteringen m.v. Opfølgning på SDNs tekniske niveau fast del af dagsorden herunder teknisk tegning. Fremadrettet vil MedCom have et særligt fokus på veldefinerede sikkerhedskrav i forbindelse med det kommende udbud af SDN eventuelt via specifikke sikkerhedskrav i SLA og eventuelle krav til genstandsfeltet for den kommende leverandørs revisionserklæring. 2015-8 Ledelsen har sikret, at SDN er beskyttet mod uautoriseret adgang. at MedCom gennemfører dokumenterede og regelmæssige gennemgange af institutionernes SDNadministratorer, og sikrer sig, at institutionerne på tilsvarende vis fører kontrol med de almindelige brugeradgange. MedCom vil gennemføre dokumenterede og kvartalsvise gennemgange af institutionernes SDN-administratorer som del af årshjulet. Samtidig vil MedCom følge op på, at de tilsluttede institutioners SDNadministratorer på tilsvarende vis fører dokumenteret kontrol med de lokale brugeres adgange. 5. februar 2016: Aftale med Netic om fortolkning af eksisterende logdata via Splunk. 15. marts 2016: Loggennemgang for aftalesystemet udført. 1. april 2016: Procesbeskrivelse for logopfølgning 15. april 2016: Logfiler udsendt til SDNadministratorer. Endvidere anbefaler vi, at MedCom tager stilling 1. maj 2016: Logopfølgning gennemført herefter kvartalsvis som del af årshjul. 4
til hvilke af leverandørens MedCom vil forespørge leverandøren 15. marts 2016: Adgangsniveau med Netic om Tilgængelighed på SDN medarbejdere, der Netic om relevansen af det aktuelle antal brugeradgange aftalt. vægtes højt. Derfor er det skal have adgang til medarbejdere, der har adgang til Aftalesystemet og i samarbejde med leveran- påkrævet, at et stort antal døren aftale et passende og afgrænset medarbejdere har adgang. arbejdsbetinget adgangsniveau. Det sikrer den tilstrækkelige fleksibilitet til at kunne supportere kunderne på SDN 24/7. MedCom vurderer antallet af administratorer hos Netic som passende og 2015-9 Ledelsen har sikret en hensigtsmæssig ændringsstyring af at MedCom bliver informeret om alle ændringer, der kan påvirke Det er aftalt, at ændringer på de virtuelle maskiner, der benyttes til støttesystemerne på SDN, finder sted i aftale med MedCom. MedCom bliver derudover altid adviseret ved ændringer på de underliggende netværks- og filsystemer. 15. marts 2016: Formaliserede procedurer inkl. dokumentation iværksat. acceptabelt. Ændringer på den delte platform med relevans for SDN meddeles MedCom. 5
2015-10 Ledelsen har sikret, at SDN har en tidssvarende teknisk løsning. at MedCom tager stilling til de risici, der er forbundet med en delvis utidssvarende teknisk løsning af MedCom har forventet at nyanskaffet udstyr har en levetid svarende til kontraktens løbetid og at spørgsmål om at sikre en tidssvarende teknisk løsning behandles gennem periodiske udbudsprocesser der sikrer en udskiftning af nødvendigt udstyr. 15. marts 2016: Formaliserede procedurer inkl. dokumentation iværksat. Nr. Kontrolmål Anbefaling Svar til Rigsrevisionen Milepæle (hvor relevant) Status Eventuelle bemærknin- Gen- ger nemført MedCom vil sikre, at kommende opgraderinger af software/firmware på både SDN, Aftalesystemet og støttesystemerne beskrives i forhold til eksisterende niveau med angivelse af anbefalinger til opgradering eller undladelse af opgradering. Løsningens tekniske niveau behandles fremadrettet på de månedlige driftsmøder med leverandørerne. 2015-11 Ledelsen har sikret en tilstrækkelig backup af 2015-12 Ledelsen har sikret en tilstrækkelig overvågning og logning af SDNnetværket. 2015-13 Ledelsen har sikret en tilstrækkelig overvågning og logning af SDN s støttesystemer. Revisionen har ikke givet anledning til bemærkninger. Revisionen har ikke givet anledning til bemærkninger. at MedCom tager stilling til, hvad der er væsentligt at overvåge og logge i forhold til SDN s støttesystemer. MedCom vil på kort sigt og under nuværende kontrakt undersøge, om overvågning af støttesystemerne kan indpasses i den eksisterende smokepingovervågning eller via Kiwi CatTools. I et kommende udbud vil det blive et krav, at der etableres et andet system (f.eks. 5. februar 2016: Undersøgelse af, om overvågning af støttesystemer kan lægges op på smokeping, er iværksat. 15. marts 2016: Resultat af undersøgelse med henblik på eventuelle aftaler om næste skridt. På smokeping kan nu tilgås overvågning af støttesystemer. 6
Vi anbefaler endvidere, at MedCom finder en løsning på funktionsadskillelsesproblematikken sammen med leverandøren. Splunk) til at overvåge driften på interne systemer. Fremadrettet vil MedComs styregruppe ud fra risikovurderingen tage stilling til det nødvendige logningsniveau. Med- Com vil igangsætte gennemgang af eksisterende logs og vurdere anvendeligheden i forhold til kontrol af brugeradgange. På denne baggrund iværksættes logning/logopsamling (evt. via Splunk) for at kunne monitorere brugeradgange. MedCom vil udfordre leverandøren Netic på problemerne med funktionsadskillelse. 15. marts 2016: Svar fra leverandøren på funktionsadskillelse. Funktionsadskillelse først mulig ved udvikling af aftalesystemet. MedCom accepterer en kalkuleret risiko om den manglende funktionsadskillelse hos leverandøren, da leverandøren har etableret gode kontroller vedrørende den generelle adgangsstyring i driftscentret. 2015-14 Ledelsen har identificeret hvilke ricisi, der kan forekomme i forbindelse med SDN s eksponering på internettet. at MedCom foretager relevante sikkerhedstest eller -analyser og, på den baggrund, tager stilling til de identificerede risci i forbindelse med SDN s eksponering mod internettet. MedCom tager initiativ til, at alle servere inkl. støttesystemerne, der kan tilgås, skal sårbarhedsscannes som en del af it-revisionen. De fundne risici vil indgår i risikovurderingen, som behandles af MedComs styregruppe. MedCom definerer de IP-adresser, der skal skannes. 10. februar 2016: IP-adresser defineret. 1. maj 2016: Ordinær it-revision (2015) med udvidet scope 22. juni 2016: Ordinær it-revision behandlet i Med- Com styregruppe. 7