Bilag 7.1 Status på handleplan

Relaterede dokumenter
Status baseret på MedCom s svar og handleplan vedrørende revisionsrapport om it-revision af Sundhedsdatanettet (SDN) 2015

Udkast til svar på Rigsrevisionens rapport om it-sikkerheden på SDN [Godkendt af MedComs styregruppe den 12. februar 2016]

Ledelsen har sikret, at der er etableret en hensigtsmæssig itsikkerhedsorganisation

Bilag til management letter om it-revision af Sundhedsdatanettet (SDN) hos MedCom 2018 J.nr juni 2018

Systemforvaltning for SDN Temadag om SDN og VDX den 9. november Peder Illum, konsulent,

It-revision af Sundhedsdatanettet januar 2016

SDN-brugergruppemøde 2. februar Peder Illum, konsulent,

UDKAST: Sundhedsdatanettet (SDN) Danske Regioner

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

Leverandørstyring: Stil krav du kan måle på

MedCom, Mødelokale C, Forskerparken 10, 5230 Odense M

MedCom Systemforvaltning (SDN/VDX/KIH) Danske Regioner

SDN implementering af sikkerhedsinitiativer Den 22. november Peder Illum, konsulent,

SDN-BRUGERGRUPPEMØDE TID: STED: VIDEOMØDERUM: DELTAGERE: AFBUD: DAGSORDEN Tidspunkt

TID: Den 31. maj 2017 kl MedCom, Mødelokale C, Forskerparken 10, 5230 Odense M

UDKAST: MedCom Systemforvaltning (SDN/VDX/KIH) Danske Regioner

Beredskabsstrategi for SDN

SDN-BRUGERGRUPPEMØDE. Brugergruppen anbefalede, at oplysninger opbevares 2 år og herefter slettes.

MedCom, Mødelokale C, Forskerparken 10, 5230 Odense M

MedComs informationssikkerhedspolitik. Version 2.2

IT- og informationssikkerheds- politik (GDPR) For. Kontrapunkt Group

Mødelokale C hos MedCom, Forskerparken 10, 5230 Odense M

SDN et generelt overblik. Peder Illum

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED

MedCom. Året Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C

Kl Indledning v. Lone Strøm, Rigsrevisor

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

It-sikkerhedspolitik for Farsø Varmeværk

Videoknudepunktet (VDX) UDKAST Danske Regioner

MedCom. Marts Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C

Sikkerhed i cloud computing

MedCom, Mødelokale C, Forskerparken 10, 5230 Odense M

Skanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017

Halsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune.

(Dataansvarlig og Databehandler herefter under et benævnt Parterne og enkeltvis Part )

IT-sikkerhedspolitik. for Social- og Sundhedsskolen Esbjerg

7. maj 2012/Lars Hulbæk. Status på Sundhedsdatanettet (SDN)

Præsentation af Curanets sikringsmiljø

Handleplan for informationssikkerhed 2017 i Region Midtjylland - oversigt over initiativer/faser som forventes afsluttet i 2017

DATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig )

SDN et generelt overblik Den 22. november Peder Illum, konsulent,

Procedure for tilsyn af databehandleraftale

Fællesregional Informationssikkerhedspolitik

SDN-BRUGERGRUPPEMØDE TID: STED: VIDEOMØDERUM: DELTAGERE: DAGSORDEN Tidspunkt

TILSLUTNINGSAFTALE FOR SUNDHEDSDATANETTET (SDN)

MedComs systemforvaltning MedCom10 temadag, mandag den 14. marts 2016

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Faxe Kommune. informationssikkerhedspolitik

Mødelokale C hos MedCom, Forskerparken 10, 5230 Odense M

Udtalelse fra regionsrådet i Region Hovedstaden til Sundheds- og Ældreministeriets redegørelse til Statsrevisorerne

MedComs systemforvaltning. MedCom 11-temadag, den 21. marts 2018

For så vidt angår Statsrevisorernes og Rigsrevisionens konkrete bemærkninger, skal jeg bemærke følgende:

Årshjul. Kort sagt beskrives og planlægges mange af de opgaver, der efterfølgende kontrolleres/følges op på i årshjulet, i årsplanen.

Notat til Statsrevisorerne om beretning om forebyggelse af hackerangreb. Februar 2014

Videotolkeerfagruppemøde 15. juni Peder Illum, konsulent,

Fællesregional Informationssikkerhedspolitik

SDN/VDX-brugergruppemøde 13. december Peder Illum, konsulent,

Bekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.

VDX-brugergruppemøde 6. februar Peder Illum, konsulent,

Bilag 1 Databehandlerinstruks

Vi har etableret et brancheledende informationssikkerhedsprogram. vores kunder den bedste beskyttelse og højeste grad af tillid.

Informationssikkerhedspolitik

Beredskabsplan for SDN

Revision af firewall. Jesper B. S. Christensen. Sikkerhed og Revision 6/7 September 2018

Patientrettet forebyggelse og kronisk sygdom: Afrapportering 2015 og Årsplan 2016

Årshjul for persondata. v/henrik Pors

KOMBIT sikkerhedspolitik

Arbejdsmiljøcertificering Selvevaluering i forhold til DS/OHSAS og bek. 87

VDX-BRUGERGRUPPEMØDE DAGSORDEN

1. Introduktion til SoA Indhold og krav til SoA 4

MedCom, Mødelokale C, Forskerparken 10, 5230 Odense M

Referat af 2. møde i styregruppen for MedCom 10 den 22. juni 2016

Overordnet it-sikkerhedspolitik for Rødovre Kommune

MedCom, Mødelokale C, Forskerparken 10, 5230 Odense M

Referat af 3. møde i styregruppen for MedCom 10 den 6. oktober 2016

Behandling af sundhedsstyrelsens svarbrev - Oversigt over opmærksomhedspunkter og dertil tilknyttet handling

SIKKERHEDS- PROGRAMMET

2. marts Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Informationssikkerhedspolitik for Horsens Kommune

Punkter som ikke synes relevante for det givne projekt besvares med: ikke relevant

SURFTOWNS SIKRINGSMILJØ. Databehandleraftalen - Bilag 1

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)

IT-sikkerhedspolitik S i d e 1 9

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring

Bilag til dagsordenspunkt "Revisionsberetninger for regnskabsåret 2015"

Dagsorden til møde i styregruppen for Program for digital almen praksis

Produktspecifikationer Cloud Connect Version 1.1. Cloud Connect. Side 1 af 7

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

Hjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune

Dagsorden til møde i styregruppen for Program for digital almen praksis

MedCom, Mødelokale C, Forskerparken 10, 5230 Odense M

Referat af 4. møde i styregruppen for MedCom10 den 28. november

Kontraktbilag 7: Databehandleraftale

Rigsrevisionens notat om beretning om beskyttelse mod ransomwareangreb

1. Ledelsens udtalelse

Region Hovedstadens Ramme for Informationssikkerhed

Rapport. Anbefaling. Sikkerhedstjekket 2016 Rådet for Digital Sikkerhed

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november

Transkript:

Bilag 7.1 Status på handleplan Status baseret på MedCom s svar og handleplan vedrørende revisionsrapport om it-revision af Sundhedsdatanettet (SDN) 2015 Status = projektstatus ud fra milepæle Følger plan Ved korrigerende handlinger muligt igen at følge plan Selv ved korrigerende handlinger ikke muligt igen at følge plan Initiativ i handlingsplanen er gennemført = 2015-1 Ledelsen har sikret, at Styregruppen vil fremadrettet have et 15. marts: Årshjul version 1 der er etableret en hensigtsmæssig itsikkerhedsorganisation i forhold til at ledelsen løbende tager stilling til væsentlige forhold om itsikkerheden vedrørende SDN og i forlængelse heraf sikrer, at det tværgående itsikkerhedsarbejde i SDN-brugergruppen formaliseres og effektiviseres. øget fokus på it-sikkerhedsarbejdet med godkendelse af sikkerhedspolitik, itrevision, behandle den årlige risikovurdering, følge op på eventuelle iværksatte udbedringer af sårbarheder m.v. Der vil i relation til systemforvaltningen og it-sikkerhedsarbejdet blive udarbejdet et årshjul, hvor styregruppen både periodevist og løbende vil blive orienteret og involveret. Der etableres en brugergruppe med kommissorium i forhold til rolle og opgaver baseret på den kommende fællesoffentlige systemadministrationsmodel. (foreløbig) 1. juni 2016: Forslag til kommissorium for brugergruppe 22. juni 2016: Forslag til kommissorium behandlet i MedComs styregruppe. 1. september 2016: Brugergruppe udpeget. 1. november 2016: Første møde i relanceret brugergruppe afholdt. Foreløbigt forslag til revideret kommissorium er Revision, behandling af forslaget og igangsætning af udpegning afventer den fællesoffentlige styringsmodel for systemforvaltning. 1

2015-2 Ledelsen har sikret, at MedCom udarbejder en årlig risikovurdering af SDN, som ledelsen tager stilling til. at MedCom årligt udarbejder en risikovurdering af SDN, der både omfatter interne sårbarheder og eksterne trusler. Ledelsen skal efterfølgende tage stilling til risikovurderingens resultater og anbefalinger, og En opdateret risikovurdering med forslag til handlingsplan forelægges MedComs styregruppe den 22. juni 2016. Risikovurderingen inkl. anbefalinger vil årligt blive opdateret og forelagt styregruppen som del af årshjulet. Forinden vil materialet blive kvalificeret af den kommende brugergruppe. 15. marts 2016: Aftale med leverandør om konsulentbistand indgået. 1. april 2016: Møder med relevante aktører udsendt og fastlagt. 15. maj 2016: Relevante workshops og interviews afholdt (FMK, NSP, PPJ, Netic, NetDesign og Med- Com). sikre at der igangsættes 1. juni 2016: Opdateret risikovurdering inkl. anbefalinger relevante sikkerhedsinitiativer. 22. juni 2016: Risikovurdering og anbefalinger behandlet i styregruppen herefter som del af årshjul. 2015-3 Ledelsen har på baggrund af risikobilledet sikret, at MedCom har udarbejdet en dækkende beredskabsplan for at Medcom, med udgangspunkt i det samlede risikobillede, udarbejder en dækkende beredskabsplan for MedCom udarbejder i forlængelse af risikovurderingen en beredskabsplan for Forslag til beredskabsplan behandles på styregruppemøde den 22. juni 2016. Fremadrettet vil MedComs styregruppe årligt behandle behovet for at opdatere beredskabsplanen ud fra den aktuelle risikovurdering. 15. marts 2016: Aftale med leverandør om konsulentbistand indgået. 1. april 2016: Møder med relevante aktører udsendt og fastlagt. 1. juni 2016: Relevante workshops og interviews afholdt.(netic, NetDesign, MedCom). 15. juni 2016: Beredskabsplan 22. juni 2016: Beredskabsplan behandlet i styregruppen - herefter som del af årshjul. 2

2015-4 Ledelsen har sikret, MedCom indfører ISO27001 som ramme (foreløbige) at der er udarbejdet at MedCom, udar- for arbejdet med informationssikkerhed relevante politikker, bejder politiker, retningslinjer for MedCom vil, når risikovurde- 1. juli 2016: Aftale med leverandør om konsulentbi- retningslinjer og og procedurer mv. ring er gennemført, i efteråret 2016 stand indgået. procedurer, der inden for de relevante udarbejde relevante politikker, retningslinjer og procedurer. Disse vil udbygge tager udgangspunkt områder. 15. september 2016: Omfang og behov kortlagt og i MedComs rolle den eksisterende praksis med involvering af de relevante parter - herunder procesplan beskrevet. som systemejer for styregruppen og den relancerede brugergruppe. 31. december 2016: Sikkerhedspolitik samt relevante retningslinjer og procedurer 22. februar 2017: Relevante dele behandlet i Med- Coms styregruppe og brugergruppe. 2015-5 Ledelsen har sikret, at de dataansvarlige har indgået databehandleraftaler med MedCom. 2015-6 Ledelsen har sikret, at MedCom har indgået en databehandleraftale med leverandøren i forbindelse med driften af at ledelsen sikrer, at alle dataansvarlige indgår databehandleraftaler med MedCom, så der kan etableres et fælles grundlag for itsikkerhed i og omkring Revisionen har ikke givet anledning til bemærkninger. Den eksisterende tilslutningsaftale inkl. 15. marts 2016: Revision af tilslutningsaftale inkl. databehandleraftale revideres. databehandleraftaler. Herefter opfordres parterne i foråret 15. april 2016: Udsendelse til alle relevante parter. 2016 til indgåelse af en revideret fælles databehandleraftale. Status på antallet 1. juni 2016: Opfølgning på tilsluttede parters databehandleraftaler gennemført. af indgåede aftaler vil blive forelagt MedComs styregruppe den 22. juni 2016 med henblik på drøftelse af eventuelle 22. juni 2016: Status på tilsluttede parters databehandleraftaler og drøftelse på MedComs styregrup- yderligere initiativer. pemøde. Tilslutningsaftaler udsendt til relevante parter med forsinkelse. Tilslutningsaftale til regionerne inkl. databehandleraftale revideret pga. baggrund af den fællesregionale databehandleraftale, instruks, fælles informationssikkerhedspolitik.. 3

2015-7 Ledelsen har sikret, at MedCom har stillet og har fulgt op på relevante itsikkerhedskrav til ekstern leverandør. at MedCom på baggrund af en risikovurdering opdaterer og konkretisere deres itsikkerhedskrav til leverandøren, og etablerer en systematisk opfølgning heraf. Opfølgning på it-sikkerhed bliver et fast punkt på de månedlige statusmøder med leverandørerne. MedCom vil på baggrund af risikovurderingen opdatere og konkretisere itsikkerhedskravene til leverandørerne og. etablere en eventuel yderligere systematisk opfølgning heraf. 15. marts 2016: Revision af standarddagsorden for driftsmøder revideret med relevante punkter for opfølgning på it-sikkerhedskrav. 1. juli 2016: Opdatering og konkretisering af itsikkerhedskrav er udført og opfølgning vurderet eksempelvis ift. driftsmøder, driftsrapporteringen m.v. Opfølgning på SDNs tekniske niveau fast del af dagsorden herunder teknisk tegning. Fremadrettet vil MedCom have et særligt fokus på veldefinerede sikkerhedskrav i forbindelse med det kommende udbud af SDN eventuelt via specifikke sikkerhedskrav i SLA og eventuelle krav til genstandsfeltet for den kommende leverandørs revisionserklæring. 2015-8 Ledelsen har sikret, at SDN er beskyttet mod uautoriseret adgang. at MedCom gennemfører dokumenterede og regelmæssige gennemgange af institutionernes SDNadministratorer, og sikrer sig, at institutionerne på tilsvarende vis fører kontrol med de almindelige brugeradgange. MedCom vil gennemføre dokumenterede og kvartalsvise gennemgange af institutionernes SDN-administratorer som del af årshjulet. Samtidig vil MedCom følge op på, at de tilsluttede institutioners SDNadministratorer på tilsvarende vis fører dokumenteret kontrol med de lokale brugeres adgange. 5. februar 2016: Aftale med Netic om fortolkning af eksisterende logdata via Splunk. 15. marts 2016: Loggennemgang for aftalesystemet udført. 1. april 2016: Procesbeskrivelse for logopfølgning 15. april 2016: Logfiler udsendt til SDNadministratorer. Endvidere anbefaler vi, at MedCom tager stilling 1. maj 2016: Logopfølgning gennemført herefter kvartalsvis som del af årshjul. 4

til hvilke af leverandørens MedCom vil forespørge leverandøren 15. marts 2016: Adgangsniveau med Netic om Tilgængelighed på SDN medarbejdere, der Netic om relevansen af det aktuelle antal brugeradgange aftalt. vægtes højt. Derfor er det skal have adgang til medarbejdere, der har adgang til Aftalesystemet og i samarbejde med leveran- påkrævet, at et stort antal døren aftale et passende og afgrænset medarbejdere har adgang. arbejdsbetinget adgangsniveau. Det sikrer den tilstrækkelige fleksibilitet til at kunne supportere kunderne på SDN 24/7. MedCom vurderer antallet af administratorer hos Netic som passende og 2015-9 Ledelsen har sikret en hensigtsmæssig ændringsstyring af at MedCom bliver informeret om alle ændringer, der kan påvirke Det er aftalt, at ændringer på de virtuelle maskiner, der benyttes til støttesystemerne på SDN, finder sted i aftale med MedCom. MedCom bliver derudover altid adviseret ved ændringer på de underliggende netværks- og filsystemer. 15. marts 2016: Formaliserede procedurer inkl. dokumentation iværksat. acceptabelt. Ændringer på den delte platform med relevans for SDN meddeles MedCom. 5

2015-10 Ledelsen har sikret, at SDN har en tidssvarende teknisk løsning. at MedCom tager stilling til de risici, der er forbundet med en delvis utidssvarende teknisk løsning af MedCom har forventet at nyanskaffet udstyr har en levetid svarende til kontraktens løbetid og at spørgsmål om at sikre en tidssvarende teknisk løsning behandles gennem periodiske udbudsprocesser der sikrer en udskiftning af nødvendigt udstyr. 15. marts 2016: Formaliserede procedurer inkl. dokumentation iværksat. Nr. Kontrolmål Anbefaling Svar til Rigsrevisionen Milepæle (hvor relevant) Status Eventuelle bemærknin- Gen- ger nemført MedCom vil sikre, at kommende opgraderinger af software/firmware på både SDN, Aftalesystemet og støttesystemerne beskrives i forhold til eksisterende niveau med angivelse af anbefalinger til opgradering eller undladelse af opgradering. Løsningens tekniske niveau behandles fremadrettet på de månedlige driftsmøder med leverandørerne. 2015-11 Ledelsen har sikret en tilstrækkelig backup af 2015-12 Ledelsen har sikret en tilstrækkelig overvågning og logning af SDNnetværket. 2015-13 Ledelsen har sikret en tilstrækkelig overvågning og logning af SDN s støttesystemer. Revisionen har ikke givet anledning til bemærkninger. Revisionen har ikke givet anledning til bemærkninger. at MedCom tager stilling til, hvad der er væsentligt at overvåge og logge i forhold til SDN s støttesystemer. MedCom vil på kort sigt og under nuværende kontrakt undersøge, om overvågning af støttesystemerne kan indpasses i den eksisterende smokepingovervågning eller via Kiwi CatTools. I et kommende udbud vil det blive et krav, at der etableres et andet system (f.eks. 5. februar 2016: Undersøgelse af, om overvågning af støttesystemer kan lægges op på smokeping, er iværksat. 15. marts 2016: Resultat af undersøgelse med henblik på eventuelle aftaler om næste skridt. På smokeping kan nu tilgås overvågning af støttesystemer. 6

Vi anbefaler endvidere, at MedCom finder en løsning på funktionsadskillelsesproblematikken sammen med leverandøren. Splunk) til at overvåge driften på interne systemer. Fremadrettet vil MedComs styregruppe ud fra risikovurderingen tage stilling til det nødvendige logningsniveau. Med- Com vil igangsætte gennemgang af eksisterende logs og vurdere anvendeligheden i forhold til kontrol af brugeradgange. På denne baggrund iværksættes logning/logopsamling (evt. via Splunk) for at kunne monitorere brugeradgange. MedCom vil udfordre leverandøren Netic på problemerne med funktionsadskillelse. 15. marts 2016: Svar fra leverandøren på funktionsadskillelse. Funktionsadskillelse først mulig ved udvikling af aftalesystemet. MedCom accepterer en kalkuleret risiko om den manglende funktionsadskillelse hos leverandøren, da leverandøren har etableret gode kontroller vedrørende den generelle adgangsstyring i driftscentret. 2015-14 Ledelsen har identificeret hvilke ricisi, der kan forekomme i forbindelse med SDN s eksponering på internettet. at MedCom foretager relevante sikkerhedstest eller -analyser og, på den baggrund, tager stilling til de identificerede risci i forbindelse med SDN s eksponering mod internettet. MedCom tager initiativ til, at alle servere inkl. støttesystemerne, der kan tilgås, skal sårbarhedsscannes som en del af it-revisionen. De fundne risici vil indgår i risikovurderingen, som behandles af MedComs styregruppe. MedCom definerer de IP-adresser, der skal skannes. 10. februar 2016: IP-adresser defineret. 1. maj 2016: Ordinær it-revision (2015) med udvidet scope 22. juni 2016: Ordinær it-revision behandlet i Med- Com styregruppe. 7

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback