Handleplan for informationssikkerhed 2017 i Region Midtjylland - oversigt over initiativer/faser som forventes afsluttet i 2017

Relaterede dokumenter
Udkast til svar på Rigsrevisionens rapport om it-sikkerheden på SDN [Godkendt af MedComs styregruppe den 12. februar 2016]

Årshjul. Kort sagt beskrives og planlægges mange af de opgaver, der efterfølgende kontrolleres/følges op på i årshjulet, i årsplanen.

Fællesregional Informationssikkerhedspolitik

Struktureret compliance. 9 måneder med GDPR-compliance krav hvordan er det gået?

Persondataforordningen Data Protection Officer. Advokat, Marie Albæk Jacobsen

Status baseret på MedCom s svar og handleplan vedrørende revisionsrapport om it-revision af Sundhedsdatanettet (SDN) 2015

Fællesregional Informationssikkerhedspolitik

Bilag 7.1 Status på handleplan

Informationssikkerhedspolitik for Horsens Kommune

EU s persondataforordning. Chefkonsulent Karsten Vest Nielsen Kontor for It-sikkerhed og Databeskyttelse

Persondataforordningen...den nye erklæringsstandard

Informationssikkerhedspolitik for Region Midtjylland

Databeskyttelsesdagen

Persondataretlig compliance - Hvordan bliver din organisation klar?

Sikkerhedsprogrammet - Agenda

Leverandørstyring: Stil krav du kan måle på

Faxe Kommune. informationssikkerhedspolitik

Plesner Certifikat i Persondataret

2017 Projekt persondataforordningen

Notat om revisionsberetning nr. 35 vedrørende revisionen af Region Midtjyllands regnskab for 2015

LinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK

Datatilsynets udtalelse vedrørende Region Midtjyllands fælles elektronisk patientjournal (MidtEPJ)

Rapport. Anbefaling. Sikkerhedstjekket 2016 Rådet for Digital Sikkerhed

Programbeskrivelse. 7.2 Øget sikkerhed og implementering af EU's databeskyttelsesforordning. 1. Formål og baggrund. August 2016

Workshop om teatrenes arbejde med persondataforordningen

EU-GDPR i ControlManager

Overblik over persondataforordningen

Persondatapolitik for behandling af personoplysninger i Børnecancerfonden Vedtaget af Børnecancerfonden den

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

Persondatapolitik Vordingborg Gymnasium & HF

EU Persondataforordningen, ISO/IEC og de nye privacy-standarder. ItSMF-konferencen, oktober 2017

Plesner Certifikat i Persondataret

OPTION TIL RM OG RN BILAG 14 TIL KONTRAKT OM EPJ/PAS IT-SIKKERHED OG DATABEHANDLERAFTALE

Jesper Andersen / Lone Forsberg Databeskyttelsesrådgiveren September 2018

IT-sikkerhedspolitik. for Social- og Sundhedsskolen Esbjerg

Systemforvaltning for SDN Temadag om SDN og VDX den 9. november Peder Illum, konsulent,

Årshjul for persondata. v/henrik Pors

Regler om persondata Koordinatormøde den 28. nov. 2017

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED

Databeskyttelse i den almene sektor en digital fremtid. 30. august 2018

SOPHIAGÅRD ELMEHØJEN

Målrettet arbejde med persondataforordningen for

Agenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)

Workshop 2. Hvilke processer skal sikre os en god databeskyttelse? Hvordan uddanner vi medarbejdere i det offentlige til at håndtere data forsvarligt?

Persondatapolitik på Gentofte Studenterkursus

General Data Protection Regulation

Persondatapolitik for Tørring Gymnasium 2018

Persondatapolitikken er godkendt på Nykøbing Katedralskoles bestyrelsesmøde den [bliver taget op på bestyrelsesmøde i september 2018].

Kursus: Ledelse af it- sikkerhed

NOTAT. Styr på persondata

Databeskyttelsespolitik for DSI Midgård

Ledelsen har sikret, at der er etableret en hensigtsmæssig itsikkerhedsorganisation

PERSONDATAFORORDNINGEN. DRF s årsmøde, april 2017


Persondataretlig compliance i praksis. Uddannelsesdagen 28. maj 2015 v/ partner Thomas Munk Rasmussen og partner Mikkel Friis Rossa

Er du nu HELT klar til GDPR? Bosted Temadag Rune Andersen, Manager, Product Management, EG

De første 350 dage med den nye databeskyttelsesforordning

Persondataforordningen. Konsekvenser for virksomheder

ITA-konferencen Projektchef: Martin Pedersen. Sikkerhed fra vugge til grav

Persondataforordningen

Persondatapolitik for Aabenraa Statsskole

N. Zahles Skole Persondatapolitik

Må lrettet årbejde med persondåtåforordningen for Gl. Rye Våndværk

Persondatapolitikken er godkendt på Horsens HF & VUCs bestyrelsesmøde den 14. juni 2018.

SIKKERHEDS- PROGRAMMET

Målrettet arbejde med persondataforordningen for

Skanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017

DATABEHANDLERAFTALE. Journalnummer.: Vedrørende Vaskeriydelse

DATABESKYTTELSESPOLITIK

Persondata på Københavns Universitet

Ma lrettet arbejde med persondataforordningen for

Overordnet Informationssikkerhedspolitik

BILAG 14 TIL KONTRAKT OM EPJ/PAS IT-SIKKERHED OG DATABEHANDLERAFTALE

Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Ribe Katedralskole.

EU-persondataforordningen AWARENESS Oplæg til DAK-møde den 22. marts 2018

Persondatapolitik. for Social- og Sundhedsskolen Esbjerg

Målrettet arbejde med persondataforordningen for

Når compliance bliver kultur

IT-sikkerhedspolitik S i d e 1 9

Som bekendt træder EU s nye databeskyttelsesforordning (GDPR) i kraft den 25. maj 2018.

Procedure for tilsyn af databehandleraftale

Persondatapolitik. Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Kolding Gymnasium.

Programbeskrivelse - øget sikkerhed og implementering af sikkerhedsreglerne i EU's databeskyttelsesforordning

Retningslinje om ansvarsfordeling - dataansvarlig vs. databehandler

Informationssikkerhedspolitik

Persondatapolitikken er godkendt på Horsens Statsskoles bestyrelsesmøde den XX.

Overordnet organisering af personoplysninger

Hjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune

SIKKERHEDS- PROGRAMMET

Struktureret Compliance

Birgitte Toxværd Bruun & Hjejle

OS2kravmotor Håndtering af GDPR

Når Compliance Bliver Kultur

Bilag til management letter om it-revision af Sundhedsdatanettet (SDN) hos MedCom 2018 J.nr juni 2018

IT- og informationssikkerheds- politik (GDPR) For. Kontrapunkt Group

Overordnet organisering af personoplysninger

Persondata politik for GHP Gildhøj Privathospital

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

Persondataforordningen fra abstrakt lov til operationelt projekt. Offentlig digitaliseringskonference 14. marts 2018

Persondatapolitikken er godkendt på VUC Roskildes bestyrelsesmøde den 7 juni 2018.

Transkript:

Regionshuset Viborg Regionssekretariatet Skottenborg 26 Postboks 21 DK-8800 Viborg Tel. +45 7841 0000 kontakt@rm.dk www.rm.dk Handleplan for informationssikkerhed 2017 i Region Midtjylland - oversigt over initiativer/faser som forventes afsluttet i 2017 Dato 04-07-2017 Begrebsforklaring Handleplanen for 2017 samler opmærksomhedspunkter dels fra Risikovurdering 2015, dels fra arbejdet med RSI pejlemærket om informationssikkerhed og dels fra Risikoprofilanalysen 2015, der blev afrapporteret til Regionsrådet på møde den 25. maj 2016 som en udvidet forvaltningsrevisionsopgave. Derudover er der inddraget opmærksomhedspunkter fra både eksisterende lovgivning samt den nye EU-persondataforordning, som skal bidrage til, at regionen kan blive parat til de nye love og regler i 2018. Rikke Stein Tel. +4521359030 rikke.stein@rm.dk 1-16-4-63-17 Side 1 I følgende oversigt over de initiativer, som forventes afsluttet i 2017, er der for hvert initiativ angivet, om det er identificeret fra hhv. Risikovurdering 2015, RSI pejlemærket, forvaltningsrevisionsrapporten eller lovgivning ved hjælp af følgende forkortelser: RV = Risikovurdering 2015/Risikovurdering 2016 FR = Forvaltningsrevision RSI = RSI pejlemærket Lov = lovgivninger, EU-persondataforordning m.v.

Initiativer RV FR RSI Lov 5.1 Implementering af fællesregional informationssikkerhedspolitik Formidling af politikken målrettet ledelsen. 5.2 Brugervenlig informationssikkerhedshåndbog Gøre informationssikkerhedshåndbogen mere brugervenlig og lettere tilgængelig for medarbejdere. Opdatere informationssikkerhedshåndbogen i forhold til ISO 27002:13. Udarbejde strategi for publicering og formidling af håndbogen. 5.3 Tilsyn Udarbejdelse af retningslinjer for tilsyn med overholdelsen af interne retningslinjer. Organisering af opgaven. 5.4 Udarbejdelse af manglende retningslinjer Fase 1: Overblik over manglende retningslinjer i forhold til driftens behov og ønsker. Procedure for udarbejdelse af retningslinjer. 5.5 Udarbejdelse af persondatapolitik Fase 1: Udarbejdelse af persondatapolitik med udgangspunkt i tværregionalt samarbejde påbegyndt. Evt. tilretning af den fællesregionale informationssikkerhedspolitik. 6.1 Udbredelse af ISO standarden Udarbejdelse af ramme for SoA dokument (Statement Of Applicability) 6.2 Informationssikkerhed fra start Opdatering af RMs projektmodeller, således at juridisk, organisatorisk og teknisk vurdering af informationssikkerhed indgår og løses i projektets indledende fase inden det sættes i drift. Dernæst udarbejdelse af tjekliste/guideline, der kan anvendes bredt i forbindelse med alle nyanskaffelser og opstart af nye initiativer. Fase 1: It-projektmodel Fase 2: mindre udviklingsopgaver 6.3 Ledelsesmæssig bevågenhed Drøftelse af informationssikkerhed i Regionsrådet én gang årligt. 6.4 Persondataforordning og DPO Analyse af nuværende organisering samt DPO funktion og udarbejdelse af beslutningsoplæg. Tilrette intern organisering i forhold til Persondataforordningen. Beskrivelse og oprettelse af DPO funktionen/stillingen. 6.5 Sikkerhedsfunktionalitet og personoplysninger på mobile enheder m.m. Fase 1: Udarbejdelse af foranalyse med henblik på at en overordnet afklaring af de sikkerhedsmæssige udfordringer og de juridiske rammer i forhold til mobile enheder m.v. Oplysning: awarenesstiltag blandt andet med fokus på hensigtsmæssig adfærd i forhold til mobile enheder. 7.1 Informationskampagne (awarenes) Fase 1: Udarbejdelse af strategi for awareness Gennemførelse af awarenesskampagne for hele Region Midtjylland Side 2

8.2 Udredning af klassifikationssystem Fase 1: Analyse/afklaring af eventuelle gevinster ved at indføre klassifikationssystemet. Herunder Afklaring af hvilke typer klassifikationer, Region Midtjylland skal anvende. Udarbejdelse af beslutningsoplæg 8.3 Kortlægning af personoplysninger Fase 1: Udarbejdelse af ramme for kortlægning af personoplysninger og dokumentation af datastrømme med henblik på overholdelse af gældende lovgivning og fremadrettet i forhold til Persondataforordningen. Analyse af den organisatoriske forankring af opgaven med at udføre datastrømsanalyse. 8.4 Optimering af metoden for den årlige risikovurdering Fase 1: Udarbejdelse af ramme for risikovurdering, herunder: - udvælgelseskriterier og udarbejdelse af flow - revidering af vurderingsskalaer - Implementering af risikovurdering på datastrømme - Udarbejdelse af ramme for risikovurdering af Medicoteknisk udstyr. 9.1 Udarbejdelse af retningslinjer for brugerrolle styring (adgangsstyring) Fase 1: Udarbejdelse af retningslinje og kommunikation om retningslinje til systemejere og øvrige relevante afhængighed i forhold initiativ 9.2 9.4. Styring af Administratorkonti (privilegerede rettigheder) Justering og opdatering af retningslinje for styring af privilegerede adgange både i forhold til interne og eksterne administratorer. Afdække mulighed for central styring af adgange til administratorkonti (f.eks. via BSK). Afhængig af løsningsmuligheder vil der skulle fødes et projekt eller en opgave. 10.2 Administration af sikkerhedscertifikater Afdække nuværende håndtering af sikkerhedscertifikater. Udarbejde en overordnet retningslinje for håndtering af sikkerhedscertifikater. Fase 1: Det er sikret, at at certifikater til vitale services ikke udløber. Det sker gennem implementering af en teknisk løsning, som er underlagt de årlige kontroller. 12.1. ISO 27002 tænkes ind i it-service processer (ITIL) Fortsat implementering af service-management processer (ITIL). Styrkelse af proces for ændringsstyring (change management), herunder at risici og konsekvenser ved ændringer og releases afdækkes, hvilket også er beskrevet i ISO 27002. Fase 1: Som udgangspunkt tager der afsæt i 1-2 processer i 2017, hvor ISO 27002 og ITIL tænkes sammen, men planen er, at samtlige processer skal gennemgås i forhold til, hvordan de behandler personoplysninger og hvorvidt de lever op til standarden men dette vil ske efter en aftalt plan for implementering og som en del af arbejdet med udarbejdelse af nye processer. 12.2 Videre opbygning af konfigurationsdatabase (CMDB) Sikring af, at der er udarbejdet proces og kontrol af opdateringer og sikre at data er retvisende. Initiativet er indeholdt i initiativ 8.1: 'Styring af og overblik over systemer og Side 3

processer (aktiver)', hvorfor dette initiativ afsluttes. 12.3 Virtuelle servere Fase 1: Dette er i 2017 sikret gennem adskillelse af test, udvikling og produktionsmiljø/drift samt udarbejdelse og implementering af retningslinjer og vejledninger i organisationen. Principper, herunder funktionsadskillelse, adskillelse mellem adgang til det interne/eksterne miljø, adskillelse mellem test,/udvikling, produktion og undervisningsmiljø (hvor det giver mening), og krav til testmiljø er identificeret og implementeret i organisationen. Styring, oprettelse og nedlæggelse af virtuelle servere sikres gennem udarbejdelse og implementering af retningslinjer og vejledninger. 12.4 Nøglepersonsafhængighed Fokus på tiltag som minimerer sårbarheden i forhold til nøglepersonsafhængighed både ressourcemæssigt og kompetencemæssigt 12.5 Back-up procedurer Vurdering af, om den nuværende politik for tests af backup er tilstrækkelig, eller om man skal indbygge et minimumsniveau af tests af standardpakkerne, herunder systematisk afprøvning af restore. Afklare om der kan være behov for at ændre på nuværende backup procedure herunder om der f.eks. skal laves en offline kopi. 12.6 Sikkerhedskopi af bærbare Undersøge om der sker opbevaring af interne informationer på bærbare enheder, som burde sikkerhedskopieres. I fald dette er tilfældet skal der udarbejdes relevant instruks eller vejledning. 12.8 Opbevaring af driftslogs Fase 1: Definition og krav til driftlogs klarlagt. Udarbejdelse af anbefalinger og krav til interne og eksterne log/leverandører i forhold til håndtering af de forskellige typer driftslog. Fokus på det, som driftes eksternt, inden der følges op internt, hvilket kan løbe ind i 2018. Udarbejdelse og implementering af retningslinje i organisationen er gennemført for 2017, men eventuel etablering af logningsprodukt vil ske i 2018. 12.9 Gæstenet log Retningslinje for kontrol af gæstenet-log er udarbejdet og publiceret. Første kontrol er gennemført 2. kvartal 2017, og der vil ske kontrol fremadrettet, hvorfor initiativet afsluttes her. 13.3 Bedre styring af eksterne leverandøradgange. Fase 1: Etableret overblik over de IP-adresser, som eksterne har adgang til. Procedure er udarbejdet og implementeret i organisationen. 14.1 Testprocedurer og testdata Generisk testprocedure og tilhørende vejledninger er udarbejdet med udganspunkt i de kritiske systemer og infrastrukturdele identificeret i beredskabet. Udvides løbende, når forretningen efterspørger test af forskellige/yderligere systemer. Side 4

15.1 Krav til leverandører Fase 1: Analyse af hvilke krav, der er nødvendige mhp at sikre, at tekniske og juridiske aspekter bliver vurderet og medtaget ifm udbudsprocesser. 15.2 Databehandleraftaler Fase 1: Formidling og implementering af revideret databehandleraftale. Løbende opfølgning på manglende aftaler og sikring af, at der indgås aftaler for nye løsninger påbegyndt. Foranalyse ifht udarbejdelse af ramme for kontrol af databehandlere. 15.3 SLA aftaler Gennemgang af nuværende SLA aftaler for kritiske systemer, navngivning i ESDH. Revidering af proces for udarbejdelse af SLA. Proces for løbende opfølgning Life cycle management. 16.1 Retningslinje for håndtering af sikkerhedsbrud Fase 1: Udarbejdelse af overordnede retningslinjer for sikkerhedsbrud Analyse af regionens opfyldelse af notifikationspligten efter EU Persondataforordningen, herunder organisering af opgaven. 17.1 It-beredskabsplan - fortsat Videre implementering af it-beredskabsplan Per 1. januar 2017 overgik it-beredskabet til It, hvormed beredskabsplanen er implementeret, og initiativet afsluttes. 18.1 Dokumentation af compliance Fase 1: Udarbejdelse af ramme for årlig vurdering af den juridiske compliance i regionernes kritiske it-systemer. 18.2 Analyse af EU persondataforordningen Fase 1: Afklaring af forordningens krav og affødte initiativer vedr. følgende: - Accountability dokumentationskrav løftes i andet initaitiv - Håndtering af notifikationspligt løftes i andet initiativ - Privacy by design/by default løftes i andet initiativ - Krav til databehandlere løftes i andet initiativ - DPO løftes i andet initiativ - Persondatapolitik løftes i andet initiativ 18.3 Etablering af model for konsekvensanalyse (DPIA - Data Protection Impact Assessment) Fase 1: Analyse af krav til konsekvensanalyse Udarbejdelse af ramme for konsekvensanalyse 18.4 Samtykke Fase 1: Analyse af forordningens krav og afklaring af eksisterende processer 18.5 Den registreredes rettigheder Fase 1: Analyse af de forpligtigelser Region Midtjylland har jvf. gældende ret samt den kommende forordning. Side 5

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback