Bilag 2. Kundens IT-miljø. Til Kontrakt. Den Nationale Henvisningsformidling

Relaterede dokumenter
MedComs informationssikkerhedspolitik. Version 2.2

Fællesregional Informationssikkerhedspolitik

Fællesregional Informationssikkerhedspolitik

7. maj 2012/Lars Hulbæk. Status på Sundhedsdatanettet (SDN)

MedCom Systemforvaltning (SDN/VDX/KIH) Danske Regioner

Fremdrift og fælles byggeblokke

BILAG 14 TIL KONTRAKT OM EPJ/PAS IT-SIKKERHED OG DATABEHANDLERAFTALE

UDKAST: MedCom Systemforvaltning (SDN/VDX/KIH) Danske Regioner

VDX i overskrifter. Peder Illum

MedCom, Mødelokale C, Forskerparken 10, 5230 Odense M

Basisbidrag: De 3 ejere finansierer MedComs basisbidrag med hver 1/3. Finansieringsmodellen er aftalt i økonomiaftalerne for 2015.

Sikkerhed i en digitaliseret sundhedssektor. Sikkerhed og Revision 8. September 2017

Certifikatpolitik. For den fællesoffentlige log-in-løsning. Side 1 af 9 2. december Version 1.1

Basisbidrag: De 3 ejere finansierer MedComs basisbidrag med hver 1/3. Finansieringsmodellen er aftalt i økonomiaftalerne.

UDKAST: Sundhedsdatanettet (SDN) Danske Regioner

Titel Område National/Regional Periode Resumé Den fællesoffentlige digitaliseringsstrategi. Digitalisering i det offentlige National

Tillid og sikkerhed om data

Udkast til svar på Rigsrevisionens rapport om it-sikkerheden på SDN [Godkendt af MedComs styregruppe den 12. februar 2016]

Systemforvaltning for SDN Temadag om SDN og VDX den 9. november Peder Illum, konsulent,

Regionernes politiske linje for informationssikkerhed

Bilag 7. Drift. Til Kontrakt. Den Nationale Henvisningsformidling

Strategi 2020 Helhed - Sammenhæng - Tryghed

Oversigt telemedicinske retningslinjer

SDN-brugergruppemøde 2. februar Peder Illum, konsulent,

Certifikatpolitik for NemLog-in

Sundheds-it i Danmark

Viden til tiden. om patienten er til stede, når der er brug for dem. INDSATSOMRÅDE 2

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

MedCom, Mødelokale C, Forskerparken 10, 5230 Odense M

VDX VIDEOKNUDEPUNKTET. medcom

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november

TILSLUTNINGSAFTALE FOR SUNDHEDSDATANETTET (SDN)

OPTION TIL RM OG RN BILAG 14 TIL KONTRAKT OM EPJ/PAS IT-SIKKERHED OG DATABEHANDLERAFTALE

It-revision af Sundhedsdatanettet januar 2016

Sundhedsaftalen Med forbehold for yderligere ændringer, opdatering af handleplan og politisk godkendelse HANDLEPLAN.

Tilstrækkelig sikker dataudveksling via Sundhedsdatanettet (SDN) Ved Kåre Kjelstrøm

REGIONERNES POLITISKE LINJE FOR INFORMATIONSSIKKERHED

IT infrastruktur og standarder

REGIONERNES POLITISKE LINJE FOR INFORMATIONSSIKKERHED

Informationssikkerhedspolitik. DokumentID / Dokumentnr /

Handleplan for Sundheds-it og digitale arbejdsgange

Faxe Kommune. informationssikkerhedspolitik

Ledelsen har sikret, at der er etableret en hensigtsmæssig itsikkerhedsorganisation

Sundhedsdatanet (SDN) Tilslutningsaftale

Udbud af RIPA - Syd. Bilag 1 - Tidsplan

Status baseret på MedCom s svar og handleplan vedrørende revisionsrapport om it-revision af Sundhedsdatanettet (SDN) 2015

Sundhedsministeren. Statsrevisorerne Sekretariatet Folketinget Christiansborg 1240 København K

Bilag 7.1 Status på handleplan

Høringssvar vedrørende udkast til Informationssikkerhed vejledning for sundhedsvæsenet

Nationale sikkerhedsinitiativer

MedComs systemforvaltning MedCom10 temadag, mandag den 14. marts 2016

Assens Kommune Sikkerhedspolitik for it, data og information

Videoknudepunktet (VDX) UDKAST Danske Regioner

Digitalisering på tværs. IT-arkitekturkonferencen april 2009 Stigende modenhed fælles løsninger

Digitaliseringsstrategi

De tre nationale initiativer er udmøntet i tre MedCom9 projektlinjer med i alt syv del-projekter:

Mål- og resultatplan. December 2018

Fællesregional Informationssikkerhedspolitik

MedCom, Mødelokale C, Forskerparken 10, 5230 Odense M

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Roadmap for Regionernes fælles strategi for digitalisering af sundhedsvæsenet. Version 1.0

Evidensbaseret digitalisering af sundhedsvæsenet. Sidsel Villumsen PhD.-studerende ved Mærsk McKinney Møller Instituttet, SDU

MedCom, Mødelokale C, Forskerparken 10, 5230 Odense M

Ikast-Brande Kommune Vision for digitalisering og velfærdsteknologi

(Dataansvarlig og Databehandler herefter under et benævnt Parterne og enkeltvis Part )

National infrastruktur - nu skal den implementeres. Flemming Christiansen kst. direktør, National Sundheds-IT

Overordnet Informationssikkerhedspolitik

Bilag 13. Ophørsbistand. Til Kontrakt. Den Nationale Henvisningsformidling

Det overordnede formål med indsatsområdet sundheds-it og digitale arbejdsgange er:

LOKAL OG DIGITAL ET SAMMENHÆNGENDE DANMARK

Styregruppe for modernisering af MedCom infrastruktur (POC)

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Funktionsevne Sundhedsaftaler

FÆLLESOFFENTLIG DIGITALISERINGSSTRATEGI

Kommunens nuværende politik stammer fra 2008 og bygger på en gammel dansk standard, DS484.

AuthorizationCodeService

Mål- og resultatplan 2015 Uddannelses- og Forskningsministeriets

Arbejdet er afgrænset af de aftalte rammer for det samlede projekt:

Årskonference, Carsten Sørensen, 4. oktober 2019 (10-15 minutter)

Programbeskrivelse - øget sikkerhed og implementering af sikkerhedsreglerne i EU's databeskyttelsesforordning

TID: Den 31. maj 2017 kl MedCom, Mødelokale C, Forskerparken 10, 5230 Odense M

Notat om teknisk opgradering af sundhed.dk til MedComs kommunikation-standard for Den Gode Webservice

Affødte krav til SDN fra Arkitekturen. Ved Esben P. Graven, Digital sundhed (SDSD)

Telemedicinsk hjemmemonitorering til borgere med KOL. Projektinformation til kommuner, hospitaler og praktiserende læger i Region Midtjylland

Status på opkoblinger til SDN I skemaet herunder ses en oversigt over institutioner med fungerende forbindelse til SDNs knudepunkt.

Udgangspunktet for anbefalingerne er de grundlæggende principper for ordningen om vederlagsfri

Programbeskrivelse. 7.2 Øget sikkerhed og implementering af EU's databeskyttelsesforordning. 1. Formål og baggrund. August 2016

Projektbeskrivelse for sundhedsdataprogrammets initiativ

Ny vision for sundhedsvæsenet i Region Syddanmark

Fællesoffentlig digitaliseringsstrategi

SDN implementering af sikkerhedsinitiativer Den 22. november Peder Illum, konsulent,

Digitalisering og sikkerhed i den offentlige sektor. Om Digitaliseringsstyrelsen Sikkerhedsopgaverne i Digitaliseringsstyrelsen Projekter Dilemmaer

Politik for informationssikkerhed i Plandent IT

Rigsrevisionens notat om beretning om brugervenlighed og brugerinddragelse. digitale løsninger

Til: Forretningsudvalget. FU temadrøftelse om ressourcepolitikken Fakta om og Udbud og Indkøb.

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

2.4 Initiativbeskrivelse

Bilag 10. Samarbejdsorganisation. Udbud af Medical Device Information Collection

Hvorfor bekymrer læger sig om it?

MedCom. Året Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr Weidekampsgade 6 Postboks København C

Transkript:

Bilag 2 Kundens IT-miljø Til Kontrakt OM Den Nationale Henvisningsformidling Bilag 2 Kundens IT-miljø Side 1/10

INSTRUKTION TIL TILBUDSGIVER: Teksten i dette afsnit er ikke en del af Kontrakten og vil blive fjernet ved indgåelse heraf. Formål med bilag: Formålet med Bilag 2 er at give et overblik over nuværende, samt planlagt/strategisk IT infrastruktur, der anvendes af Kunden. Bilaget med underbilag indeholder ikke egentlige krav og skal ikke besvares. Instruks vedrørende bilag: Bilag 2 og Underbilag hertil skal ikke udfyldes af Tilbudsgiver. Evaluering af besvarelse: Bilaget indgår ikke i tilbudsevalueringen. Udbudsbetingelsernes bilag X: Det vil være muligt at angive forbedringsforslag i Udbudsbetingelsernes bilag X, Leverandørens forbedringsforslag. Sådanne forslag kan blive drøftet i forhandlingsfasen, men vil ikke nødvendigvis blive det. Bilag 2 Kundens IT-miljø Side 2/10

Indholdsfortegnelse 2.1 INDLEDNING... 4 2.1.1 FORMÅL... 4 2.2 SUNDHEDSDATANETTET (SDN)... 4 2.2.1 ØKONOMIFAKTA... 4 2.2.2 SYSTEMFAKTA... 5 2.2.3 DRIFTSFAKTA... 5 2.3 NEMLOG-IN OG CERTIFIKAT INFRASTRUKTUR... 5 2.4 VÆSENTLIGE INTEGRATIONSKOMPONENTER HOS KUNDEN... 6 2.4.1 SOR-REGISTRET... 6 2.4.2 AUTORISATIONSREGISTERET... 6 2.4.3 YDERREGISTERET... 7 2.4.4 GODKENDTE BRANCHESYSTEMER... 7 2.4.5 DEN NATIONALE SERVICEPLATFORM (NSP)... 7 2.5 STRATEGI OG SIKKERHED... 8 2.5.1 DEN FÆLLESOFFENTLIGE DIGITALISERINGSSTRATEGI 2016-2020... 8 2.5.2 DANSKE REGIONERS SUNDHEDSDATAPOLITIK... 8 2.5.3 REGIONERNES POLITISKE LINIE FOR INFORMATIONSSIKKERHED... 9 2.5.4 DEN FÆLLESREGIONALE INFORMATIONSSIKKERHEDSPOLITIK... 9 Bilag 2 Kundens IT-miljø Side 3/10

2.1 Indledning I dette bilag angiver Kunden sit nuværende IT-miljø, strategi og planer for det fremtidige IT-miljø, samt de øvrige resourcer Kunden kan stille til rådighed vedr. IT-miljøet. 2.1.1 Formål Formålet med nærværende bilag er, at give et overblik over nuværende, samt planlagt/strategisk IT infrastruktur, der anvendes af Kunden. Nærværende bilag beskriver elementer i Kundens it-miljø, som leverandøren skal forholde sig til. 2.2 Sundhedsdatanettet (SDN) SDN er et sikret netværk til datakommunikation i den danske sundhedssektor (offentlige og private parter). SDN binder lokale, sikrede net sammen i en fælles infrastruktur. SDN anvendes bl.a. af NSP, FMK, sundhed.dk, VDX, KIH-database og en række lokale tværsektorielle og tværregionale driftsløsninger. SDN supplerer det kommercielle VANS-net, der anvendes til tværsektoriel udveksling af XML- og EDImeddelelser. SDN blev sat i drift af MedComs styregruppe i 2003 i forlængelse af MedComs internetstrategi. Yderligere informationer om SDN kan findes her: http://medcom.dk/systemforvaltning/sundhedsdatanetsdn 2.2.1 Økonomifakta Finansieringen af SDN er fælles med videoknudepunktet (VDX). SDN inkl. VDX er underlagt udgiftsneutral brugerfinansiering. Hovedfinansieringen stammer fra landets kommuner og regioner, der alle bidrager med fast ørebeløb pr. indbygger. Øvrige tilsluttede parter, herunder statslige organisationer, it-leverandører og øvrige, medfinansierer efter særlige regler. Da driften udelukkende er brugerfinansieret, betyder det, at følgende omkostninger skal dækkes af de parter, der tilslutter sig: - Omkostninger til driftsoperatør, herunder husning, driftsafvikling, teknisk support til tilsluttende netværk, overvågning og sikkerhedslogning - MedComs administrative omkostninger ved tilslutning, statistik og vedligeholdelse af aftaler - Teknisk udvikling og vedligeholdelse, herunder udskiftning og opgradering af teknisk udstyr og teknologisk tilpasning til nye services. Driften skal økonomisk hvile i sig selv, og anvendelsen af de opkrævede midler indgår som selvstændig post i MedComs revisorpåtegnede regnskab. De fastsatte tilslutnings- og abonnementspriser reguleres årligt med den statsligt udmeldte pris- og lønreguleringstakst. Regulering herudover kan kun ske efter konkret beslutning i MedComs styregruppe. Fordelingen på drift, videreudvikling og administration indgår i MedComs løbende budgetlægning og - opfølgning. Bilag 2 Kundens IT-miljø Side 4/10

2.2.2 Systemfakta MedCom er fællesoffentlig systemforvalter for SDN. Den fællesoffentlige systemforvaltning er aktuelt organiseret under MedComs styregruppe, der fra og med 2015 er underlagt den Nationale Bestyrelse for Sundheds-it. I tilknytning til SDN er der nedsat en brugergruppe, som har til opgave at følge driften af nettet og sikre den tekniske og sikkerhedsmæssige udvikling. SDN-brugergruppen mødes fast ifm. årlig SDN-temadag og ved behov. MedCom har ansvaret for bl.a. sekretariatsbetjening af styregruppe i forhold til SDN, opfølgning på drift og vedligehold samt videreudvikling. 2.2.3 Driftsfakta Driften af SDN varetages af TDC A/S og underleverandøren Netic A/S. MedComs kontrakt med TDC A/S er indgået i 2016 efter afholdt offentligt EU-udbud. 2.3 NEMLOG-IN og Certifikat Infrastruktur Den fællesoffentlige føderation for NEMLOG-IN og Certifikat infrastruktur er baseret på en dansk profil af SAML 2.0 standarden [OIO-SAML]. Denne foreskriver brug af signering og kryptering af meddelelser samt etablering af SSL / TLS forbindelser med henblik på at opnå en række sikkerhedsmæssige egenskaber som autenticitet, integritet og konfidentialitet. Parternes offentlige nøgler udveksles via X509 certifikater, men profilen definerer ikke nærmere krav til certifikaterne, herunder de politikker, de skal udstedes under. Sådanne krav er overladt til de føderationer, der anvender profilen. Politikker og retningslinier vedr. den fællesoffentlige log-in-løsning definerer hvilke certifikater, der må anvendes til kryptering og signering af meddelelser, samt etablering af sikre transportkanaler via SSL / TLS protokollen. Politikkerne udstikker tillige retningslinjerne for validering af certifikater. Politikkerne omfatter ligeledes krav til Integrationstest, Logning, Timeout af brugersessioner, support i forbindelse med opkobling og løbende drift af løsning, fælles beredskabsprocedure for varsling og recovery samt tidssætning af servere i den fællesoffentlige føderation. Politikker, retningslinier vedr. den fællesoffentlige log-in-løsning kan læses i følgende underbilag til dette bilag: - Underbilag 2A Integrationstest V1.7.pdf - Underbilag 2B Integrationstest V1.6.pdf - Underbilag 2C Integrationstestrapport-1_7.doc - Underbilag 2D Integrationstestrapport-1_7.pdf - Underbilag 2E Integrationstestrapport 1_4 pdf.pdf - Underbilag 2F Integrationstestrapport-1_4.doc - Underbilag 2G Politik fortidsstningv11.pdf - Underbilag 2H TimeoutpolitikV11.pdf - Underbilag 2I CertifikatpolitikV12.pdf Bilag 2 Kundens IT-miljø Side 5/10

- Underbilag 2J Logningspolitik.pdf - Underbilag 2K Drifts- og supportpolitik.pdf - Underbilag 2L Beredskabspolitik.pdf - Underbilag 2M Sundhedsdata i spil - Underbilag 2N Den Fællesoffentlige digitaliseringsstrategi 2016-2020 - Underbilag 2O regionernes politiske lin je for informationssikkerhed - Underbilag 2P Fællesregional Informationssikkerhedspolitik 29-06-2016 2.4 Væsentlige Integrationskomponenter hos Kunden 2.4.1 SOR-registret Sundhedsvæsenets Organisationsregister (SOR) er et register, der indeholder organisations- og adressedata om sundhedsvæsenet. Registeret anvendes af en række fagsystemer i sundhedsvæsenet. SOR indeholder data om hospitaler, primærsektoren (fysioterapeuter, praktiserende læger, tandlæger mv.) og i mindre grad om kommunernes sundhedsorganisation. Sundhedsdatastyrelsen administrerer og tildeler lokationsnumre til Sundhedsvæsenets parter. Regionerne administrerer og vedligeholder deres egne data i SOR. Yderligere informationer on SOR kan findes her: http://services.nsi.dk/en/services/sor.aspx 2.4.2 Autorisationsregisteret I Styrelsen for Patientsikkerheds offentlige register er det muligt at finde oplysninger om alle sundhedspersoner med en dansk autorisation. Sundhedspersoner, ansættelsesmyndigheder og private kan således ved opslag i registeret kontrollere den enkelte sundhedspersons autorisationsstatus. Sundhedspersoner kan i registeret samtidig finde frem til deres autorisationsid. I registeret kan endvidere findes oplysninger om: - Tilsyn med private behandlingssteder - Tilsyn med kosmetiske behandlere og kosmetiske behandlingssteder Yderligere informationer om Autorisationsregistret kan findes her: https://stps.dk/da/sundhedsprofessionelle-og-myndigheder/autorisationsregister Bilag 2 Kundens IT-miljø Side 6/10

2.4.3 Yderregisteret Yderregisteret opdateres hvert kvartal og har til formål, at give information om fx yders praksisadresser, speciale samt lægetypen. En yder udøver virksomhed i henhold til loven om offentlig sygesikring, dvs. alment praktiserende læger, speciallæger, tandlæger, fysioterapeuter, psykologer etc. Ved hjælp af Yderregisteret er det muligt at få oplysninger om fx yders praksisadresse, speciale samt lægetype. Registret opdateres hvert kvartal. Yderligere informationer om Yderregistret kan findes her: http://sundhedsdatastyrelsen.dk/da/registre-og-services/om-de-nationalesundhedsregistre/personoplysninger-og-sundhedsfaglig-beskaeftigelse/yderregisteret 2.4.4 Godkendte Branchesystemer I forbindelse med afvikling af Leverancen vil der skulle skabes komm unikation med de af MedCom godkendte brancehesystemer. En oversigt over disse systemer kan findes her: http://medcom.dk/standarder/godkendte-systemer 2.4.5 Den Nationale Serviceplatform (NSP) Den Nationale Serviceplatform skal gøre det muligt, at anvende nationale registre og services direkte i patientbehandlingen ved, at sikre den nødvendige tilgængelighed og driftsstabilitet. Det sikres gennem: en robust infrastruktur med høj grad af forsyningssikkerhed, der sikrer at eventuelle driftsproblemer i de bagvedliggende kilder ikke påvirker adgang til data og forretningsservices indbygget skalérbarhed oppetids- og svartidsgarantier og løbende monitorering af disse overvågning af den samlede infrastruktur, med henblik på at fange eventuelle drifts-forstyrrelser før det når at blive et problem for brugerne Ud over at give adgang til nationale services er NSP'en også en teknisk infrastruktur, der har indbygget en række komponenter, som understøtter de tilkoblede services. For eksempel sikres den fornødne robusthed og svartid på platformen ved, at der distribueres NSP instanser ud over hele landet. For mange parter i sundhedsvæsenet vil NSP derfor kunne betragtes som et lokalt system. Desuden giver den Nationale Serviceplatform et højere sikkerhedsniveau samt mulighed for at vurdere forsyningssikkerheden. Læs mere om NSP en på følgende link: https://sundhedsdatastyrelsen.dk/da/registreog-services/om-nsp. Bilag 2 Kundens IT-miljø Side 7/10

2.5 Strategi og sikkerhed 2.5.1 Den Fællesoffentlige Digitaliseringsstrategi 2016-2020 Offentlig digitalisering skaber værdi, vækst og effektivisering og fastholder danskernes tillid til det digitale samfund. Digitalisering kan både give mere kvalitet i den offentlige service og en mere sammenhængende og effektiv offentlig sektor, der skaber værdi for borgere og virksomheder. Danmark er kommet langt med den digitale omstilling af den offentlige sektor, men der ligger fortsat et stort arbejde forude. Med den fællesoffentlige digitaliseringsstrategi 2016-2020 sætter den offentlige sektor tre ambitiøse, men realistiske mål for udviklingen mod en mere digital offentlig sektor de kommende år: - Det digitale skal være let, hurtigt og sikre god kvalitet - Offentlig digitalisering skal give gode vilkår for vækst - Tryghed og tillid skal i centrum De fællesoffentlige digitaliseringsstrategier vedrører myndigheder i både stat, kommuner og regioner dvs. både de administrative led i form af ministerier, styrelser samt kommunernes og regionernes forvaltninger og de udførende institutioner som fx hospitaler, folkeskoler, universiteter mv. Digitaliseringsstrategien kan læses i sin helhed i underbilag til dette bilag: Underbilag 2N Den fællesoffentlige digitaliseringsstrategi 2016-2020. 2.5.2 Danske Regioners Sundhedsdatapolitik Regionernes vision er, at sundhedsdata skal bringes i spil til gavn for sundhedsfremme og behandling samt til fortsat udvikling af sundhedsvæsenet. Det kan ske, ved at bruge sundhedsdata til en række forskellige formål, som f.eks. patientbehandling, kvalitetsudvikling, planlægning, styring, forskning og innovation. Derfor har Danske Regioner inden for seks områder opstillet politiske målsætninger for realisering af visionen: - Vi bruger sundhedsdata proaktivt til at styrke behandlingskvaliteten og synliggøre resultater. - Vi gør det nemt for sundhedsprofessionelle at bruge sundhedsdata til patientbehandling. - Vi bruger sundhedsdata til at få mere sundhed for pengene. - Vi udvikler vores sundhedsvæsen ved at anvende sundhedsdata i sundhedsforskning, innovation og offentlig-privat samarbejde. - Vi udvikler nye digitale løsninger sammen med borgerne, som understøtter borgernes brug af sundhedsdata. - Vi håndterer borgernes sundhedsdata sikkert og transparent. Visionen om at bruge sundhedsdata hviler på en præmis om, at data håndteres sikkert og forsvarligt. Borgerne skal være trygge ved at afgive deres helbredsoplysninger, når de er i kontakt med sundhedsvæsenet. I regionerne vil vi gerne stå på mål for, at det sker. Samtidig skal borgerne kunne følge med i, hvordan deres sundhedsdata håndteres. Derfor vil vi i regionerne være åbne om, hvordan sundhedsvæsenet indsamler, opbevarer og bruger sundhedsdata. Danske Regioners Sundhedsdatapolitik kan læses i sin helhed i underbilag til dette bilag: Underbilag 2M Sundhedsdata i spil Bilag 2 Kundens IT-miljø Side 8/10

2.5.3 Regionernes Politiske Linie for Informationssikkerhed Hver eneste dag behandles fortrolige oplysninger af medarbejdere i de 5 regioner. Medarbejdernes adgang til relevante data er helt afgørende for en god og sammenhængende behandling af den enkelte borger, ligesom data er vigtige for at vi kan have et moderne og effektivt sundhedsvæsen. Borgerne skal kunne være trygge ved at deres personfølsomme oplysninger behandles sikkert og med den nødvendige fortrolighed. Danske Regioners bestyrelse har derfor den 22. januar 2015 vedtaget "Regionernes politiske linje for informationssikkerhed". Den politiske linje for informationssikkerhed indebærer at regionerne fremover skal have en risikobaseret tilgang til informationssikkerhed inden for sikkerhedsstandarden ISO 27001. Sikkerhedsstandarden hviler på to principper.: Det ene er at indsatsen for informationssikkerhed er baseret på en konkret vurdering og afvejning af risici. Det indebærer en prioritering af indsatsen for at forebygge sikkerhedsbrister. Heri indgår en analyse af, hvad der er organisationens mest kritiske systemer. Endvidere skal der være en handlingsplan for håndtering af risici. Det andet princip er, at informationssikkerhed er forankret i topledelsen for at sikre den nødvendige ledelsesmæssige bevågenhed. Derfor er det en del af den politiske linje at der skal foregå en årlig drøftelse af den enkelte regions informationssikkerhed i regionsrådet. RSI pejlemærke om informationssikkerhed For at kunne realisere implementeringen af den politiske linje for informationssikkerhed er det vigtigt at regionerne har en fælles tilgang til området. Regionernes Sundheds-IT (RSI) har derfor igangsat et pejlemærke, som skal understøtte implementeringen af regionernes politiske linje for informationssikkerhed. Regionernes politiske linje for informationssikkerhed kan læses i sin helhed i underbilag til dette bilag: Underbilag 2O Regionernes politiske linje for informationssikkerhed 2.5.4 Den Fællesregionale Informationssikkerhedspolitik Kundens IT-miljø er underlagt den Fællesregionale Informationssikkerhedspolitik, der er udledt af "Regionernes politiske linje for informationssikkerhed". Den Fællesregionale Informationssikkerhedspolitik er udarbejdet i et samarbejde mellem Region Hovedstaden, Region Sjælland, Region Syddanmark, Region Midtjylland og Region Nordjylland. Formålet med informationssikkerhed er at beskytte oplysninger, så fortrolighed, integritet og tilgængelighed bevares. Følsomme persondata, herunder sundhedsdata, er personlige, og når regionerne behandler dem, har de et særligt ansvar for, at sikkerheden er høj. Danske Regioner har i 2015 lagt en politisk linje for informationssikkerhed, som den Fællesregionale Informationssikkerhedspolitik skal udmønte. Den politiske linje lægger vægt på at: - Informationssikkerhed bruges som fundament for et stadig bedre sundhedsvæsen. - Regionerne sætter et tilstrækkeligt højt niveau for informationssikkerhed. - Informationssikkerhed og brugervenlighed går hånd i hånd. - Alle medarbejdere forstår, at deres adfærd er fundament for informationssikkerhed. - Regionerne samarbejder og lærer af hinanden. - Regionerne stiller krav til leverandører. Bilag 2 Kundens IT-miljø Side 9/10

Den politiske linje for informationssikkerhed sætter desuden krav til at regionerne skal efterleve ISO 27001- standarden som rammeværktøj forarbejdet med informationssikkerhed i regionerne. Den fællesregionale politik skal sammen med den enkelte regions egen politik understøtte og sikre et ensartet sikkerhedsniveau. Det skal ske ved, at den enkelte region etablerer, implementerer, vedligeholder og løbende forbedrer et ledelsessystem for informationssikkerhed inden for rammerne af informationssikkerhedsstandarden ISO 27001. Den Fællesregionale Informationssikkerhedspolitik er godkendt af RSI den 8. juni 2016. Den Fællesregionale Informationssikkerhedspolitik kan læses i sin helhed i underbilag til dette bilag: Underbilag 2P Fællesregional informationssikkerhedspolitik 29-06-2016. Bilag 2 Kundens IT-miljø Side 10/10

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback