Åpne rapport

Versjon 1.0 28. april 2000 KITH Rapport 4/00

ISBN 82-7846-081-7

Temahefte nr. 6 Sikker informasjonsbehandling i

helsevesenet

KITH-rapport

Tittel

Kvalitetssystemer og informasjonssikkerhet

Forfatter(e)

Annebeth Askevold, Arnstein Vestad

Oppdragsgiver(e) Sosial og helsedepartementet

Kompetansesenter for IT i helsevesenet AS Postadresse

Sukkerhuset 7005 Trondheim Besøksadresse

Sverresgt 15, inng G Telefon

73 59 86 00 Telefaks

73 59 86 11 e-post

[email protected] Foretaksnummer

959 925 496 Rapportnummer

R 4/00 URL

http://www.kith.no/rapportarkiv/si_temah6.pdf Prosjektkode

S-SV-TEMA ISBN

82-7846-081-7 Dato

28. april 2000 Antall sider

29. Kvalitetssikret av

Tor Olav Grøtan Gradering

Godkjent av

Kenneth R. IversenKst. direktør

Sammendrag Mange fellestrekk mellom arbeid med kvalitetsutvikling og informasjonssikkerhet blir tyde-ligere etter hvert som man arbeider med områdene, noe som gjelder både organisasjonsmes-sig og praktiske aspekter. Dette temaheftet ser på hvordan arbeidet med informasjonssik-kerhet i helsevesenet kan integreres i et kvalitetssystem, i den tro at en slik integrering kan gi effektivitet og besparelser for den enkelte helseinstitusjon. Temaheftet tar utgangspunkt i Datatilsynets ”Retningslinjer for informasjonssikkerhet” og Helsetilsynets arbeid med kva-litetsledelse i helsesektoren. Det er kun sett på hovedtrekkene i oppbygging av og innhold i et kvalitetssystem og det er ingen lærebok eller veiledning i kvalitetsarbeid. Det er fokusert på veien frem til et kvalitetssystem og likhetsstrekk mellom informasjonssikkerhet og kva-litetsutvikling. Vi har fokusert på likheter og sammenfallende tankegang og metodikk, og påpekt eventuelle motsetningsforhold og utfordringer i integreringen.

Innhold INNLEDNING .................................................................................... 1

Kvalitetsutvikling i helsevesenet 1 Informasjonssikkerhet 2 Dette temaheftet 2

KVALITETSUTVIKLING....................................................................... 3 Bakgrunn 3 Noen definisjoner 4 Hva er kvalitet 4 Kvalitetsledelse 5 Helsetilsynets kvalitetsprinsipper 6 Kvalitetssystem 7 Systematikk i kvalitetsarbeid 9 Måling og avviksbehandling 10 Ledelsens ansvar 11 Utfordringer (og kritisk blikk) 11

DATATILSYNET OG INFORMASJONSSIKKERHET ................................. 13 Sikkerhetskrav for helsevesenet 14

FELLESTREKK – SIKKERHET OG KVALITET ....................................... 16 Sammenfallende organisasjon 17 Prosedyrer 18 Måling og indikatorer 19 Synergieffekter 19 Utfordringer for helsevesenet 19

INTEGRERING ................................................................................ 21 Indikatorer for informasjonssikkerhet 21 Risikoanalyse 23 Internkontroll og avvikshåndtering 23 Rutiner for informasjonssikkerhet 24

1

Det er mange fellestrekk i kvalitetsutvikling og informasjons-sikkerhet, både organisasjonsmessig og i praktisk utføring. Vi har sett på hvordan arbeidet med informasjonssikkerhet i hel-sevesenet kan integreres i et kvalitetssystem med bakgrunn i de tidligere utgitte temaheftene om informasjonssikkerhet. Det er kun sett på hovedtrekkene i oppbygging av og innhold i et kva-litetssystem og er ingen lærebok eller veiledning i kvalitetsar-beid. Det er fokusert på veien frem til et kvalitetssystem og likhetsstrekk mellom informasjonssikkerhet og kvalitetsutvik-ling, og påpekt eventuelle motsetningsforhold og utfordringer i integreringen.

Kvalitetsutvikling i helsevesenet Det ble i 1995 utarbeidet en nasjonal strategi for kvalitetsutvikling i hel-setjenesten (IK-2482). Det overordnede målet i strategien er at alle virk-somheter innen norsk helsetjeneste skal ha etablert helhetlige og effektive internkontroll-/kvalitetssystemer innen år 2000.

Lov om statlig tilsyn med helsetjenesten sier at

”Enhver som yter helsetjeneste skal etablere internkontroll for virksomheten og sørge for at virksomhet og tjenester planlegges, utføres og vedlikeholdes i samsvar med allment aksepterte faglige normer og krav fastsatt i medhold av lov eller forskrifter med virkning fra 1.1 1994”.

Internkontrollsystem og kvalitetssystem griper inn i hverandre og supple-re hverandre på forskjellige og nødvendige måter, og internkontrollsys-temet vil ofte være den bærende delen av kvalitetssystemet. Det som tidligere har vært skrevet om informasjonssikkerhet i de tidligere tema-heftene vil være naturlig å se på som en del av internkontrollsystemet. Begge systemene baserer seg på den lukkede kontrollsløyfens prinsipp.

Det lovpålagte internkontrollsystemet vil utgjøre det bærende deler av kvalitetssystemet, og vil være et minimumskrav til innhold i et hvert KS-system i helsetjenesten.

Kapittel

Innledning

I N N L E D N I N G

2

Informasjonssikkerhet Informasjonssikkerhet handler om å definere og implementere mål og strategier for å sikre informasjonens konfidensialitet, kvalitet/integritet og tilgjengelighet. Disse generelle konseptene kan tjene flere ulike for-mål:

•= Personvern, som handler om enkeltindividets rettigheter og stil-ling i forhold til fellesskapets interesser, og i som i hovedsak pe-ker mot konfidensialiteten og kvaliteten til personopplysninger.

•= Pasientvern, som legger føringer på de samme personopplysning-enes kvalitet og tilgjengelighet for å legge grunnlaget for trygg og vellykket pasientbehandling.

•= Prosessvern, som skal sikre kvalitet og tilgjengelighet for å bygge opp under tjenestene og primærprosessene i helsetjenesten holder god nok kvalitet og effektivitet.

•= Systemvern, som skal sørge for at institusjonene enkeltvis og i samarbeid kan organisere sine virksomheter på en effektiv måte.

Å utlede gode sikkerhetsmål i en helseinstitusjon er en kompleks oppga-ve som må ta utgangspunkt i mange ulike hensyn og sammenhenger som ofte kan være motstridende. Eksempelvis, mens personvernperspektivet kan begrenses til å ta ansvar for selve personopplysningene, kjennetegnes særlig prosess- og pasientvernet av at bruken av personopplysninger gjerne må foregå samtidig med, og prosessuelt i nær tilknytning til (sik-ker) bruk av informasjon på åpne, eksterne nettverk

Dette temaheftet Det eksisterer flere fellestrekk mellom arbeidet med kvalitetssikring i en virksomhet og innføringen av en organisasjon for og arbeid med infor-masjonssikkerhet. I dette temaheftet ønsker vi å trekke fram i lyset en del av disse likhetene og sammenhengene, for dermed å identifisere områder hvor en samstemt tenking vil være formålstjenlig og hvor det kan være gevinster å hente på samordning av organisering og systemer. Temaheftet inngår som en naturlig del i KITH’s temaserie ”Sikker in-formasjonsbehandling i helsevesenet”, hvor særlig hefte 4 og 5 retter søkelyset mot organisasjonsutvikling og endringsmetodikk. Heftet må også ses i sammenheng med det regime for informasjonssikkerhet som Datatilsynet legger opp til i sine Retningslinjer, samt det arbeidet som pågår i helsesektoren med kvalitetsledelse og kvalitetssystemer.

3

Hensikten med dette kapittelet er å gi en kortfattet oversikt over hva kvalitet og kvalitetsledelse er og peker på en del punk-ter som må være tilstede for å drive med kvalitetsutvikling. En del ord og begreper innenfor temaet kvalitetsutvikling blir de-finert.

Bakgrunn Kvalitet er kommet i fokus i 1990-årene i alle typer virksomheter, og i 1995 ble Nasjonal strategi for kvalitetsutvikling i helsetjenesten (IK-2482) utgitt. Det overordnede målet i denne strategien er at alle virksom-heter innen norsk helsetjeneste skal ha etablert helhetlige og effektive internkontroll-/kvalitetssystem innen år 2000.

Et kvalitetssystem er prinsipielt et styringssystem som kan brukes av ledelsen for alle typer aktiviteter og organisasjoner. Mye av kvalitetstan-kegangen er tradisjonelt bundet opp i å forbedre produkter, men mange av prinsippene kan overføres til tjenesteytende næring, og bevisstgjøring i forhold til kvalitetstenkning benyttes i økende grad også innenfor tje-nesteytende næring. Kvalitetsarbeid bør dekke relasjoner mellom produk-ter/tjenester og kunder/brukere.

Internkontrollforskriftene pålegger den som er ansvarlig for virksomhe-ten å sørge for systematisk oppfølging av krav som er fastsatt i flere lover som berører helse, miljø og sikkerhet. Interkontrollsystem kalles gjerne kvalitetssikring etter lover og forskrifter.

Det lovpålagte internkontrollsystemet vil utgjøre det bærende deler av kvalitetssystemet, og vil være et minimumskrav til innhold i et hvert KS-system i helsetjenesten.

I helsevesenet vil det være tjenester og mellommenneskelige forhold som må vektlegges, og brukerne som må være i fokus, både interne og ekster-ne. En ekstern bruker i helsevesenet er en pasient eller pårørende, even-tuelt andre samarbeidspartnere utenfor organisasjonen.

Kapittel

Kvalitetsutvikling

K V A L I T E T S U T V I K L I N G

4

Noen definisjoner

Hva er kvalitet Kvalitet er et subjektivt begrep som kan ilegges flere betydninger. Ordet kvalitet kan både knyttes opp mot egenskaper og kjennetegn ved et pro-dukt eller tjeneste eller opp mot verdier og verdinormer. Ordet kvalitet kan presiseres i minst to retninger:

- overensstemmelse med krav - grad av fortreffelighet (”excellence).

ISO har denne definisjonen på kvalitet (NS-ISO 8402):

”Helhet av egenskaper og kjennetegn et produkt eller en tjeneste har, som vedrører dets evne til å tilfredsstille fastsatte krav eller behov som er antydet”

I produksjon- og markedssammenheng kan man forenklet si at

Kvalitet = samsvar med spesifiserte krav.

Denne definisjonen egner seg dårlig i mer tjenesteytende næring der mel-lommenneskelig kontakt, holdninger og gjensidig forståelse er viktig. Da kan denne definisjonen være bedre:

Kvalitet = samsvar mellom opplevd resultat og forventet resultat

Siden kvalitet ikke bare er et objektivt begrep med målbare egenskaper, men også med mindre målbare verdier (fortreffelighet, evne til å tilfreds-stille krav), er det viktig å være enige om målene for helsetjenesten. Å sikre tilfredsstillende kvalitet i helsesektoren vil innebære trygghet for brukerne ved at en oppnår ønskede resultater med minst mulig risiko.

Med kvalitet i forbindelse med informasjonssikkerhet forstås trygghet for at både informasjon, og eventuelt informasjonssystemene, forblir full-stendige, riktige og gyldige både i systemet og under forsendelsen. For medisinsk informasjon kan konsekvensene av manglende kvalitet være at pasienten blir feilbehandlet. Kvalitetskontroll, -styring og –sikring Kvalitetskontroll vil si å vurdere tjenesten eller produktet opp mot spesi-fiserte krav.

Med kvalitetssikring forstår en alle de styringstiltakene som er nødvendig for prosessen som helhet og for de enkelte leddene for at det skal ble samsvar mellom det som er avtalt eller forventet i utgangspunktet og det som til slutt ble levert.

Med kvalitetsstyring menes alle de driftsmessige teknikker og aktiviteter som produsenten/leverandøren bruker for å styre selve utviklings-, salgs-, produksjons- og installasjonsprosessen slik at kravene til samsvar og tillit blir oppfylt.


5

Kvalitetsledelse Begrepet kvalitetsledelse kommer av at kvalitetssikring og kvalitetssik-ringssystem i prinsippet er et ledelses- og styringsverktøy. Kvalitetsledel-se angår hele organisasjonen, må være drevet av toppledelsen og omfatter typiske aktiviteter som kvalitetsplanlegging, kvalitetsstyring, kvalitetssik-ring og kvalitetsforbedring.

Kvalitet er ”alles ansvar” og kvalitetsledelse vil i praksis være et samspill mellom ulike aktiviteter som teknologi, økonomi, organisasjon, administ-rasjon og metode. Kvalitetsledelse dreier seg om å hindre at problemer oppstår slik at organiserte aktiviteter skjer som planlagt.

Kvalitetsarbeid er en kontinuerlig prosess som aldri må slutte.

Det er to strømninger innefor kvalitetsarbeid som har kommet sterkt i fokus de senere år, ISO 9000 og TQM (Total Quality Management). En kort karakteristikk kan være at ISO 9000 er prosedyreorientert og TQM er endringsorientert. ISO 9000 ISO er en forkortelse for International Organization for Standardization som er en verdensomspennende organisasjon for standardiseringsarbeid. ISO 9000 er en serie standarder for kvalitetssystemer i bedrifter (NS-ISO 9000 i norsk versjon). ISO 9000 kan sammenfattes til å være en måle-stokk som en bedrift eller organisasjon kan vurderes mot når det gjelder deres kvalitetssystem.

Kvalitet og ISO 9000 sertifisering er ikke synonyme begreper. Det er en fare ved ensidig å fokusere på sertifiseringsbiten da det kan fremme holdninger som gjør det viktigere å tilfredsstille sertifiseringsorganet enn kunden/brukeren, samt en oppfatning av at når sertifiseringen er foretatt – så er man i mål!

ISO 9000 er svært prosedyreorientert og legger liten vekt på forbedring. Et sentralt punkt i ISO-standardene er at ansvar, myndighet og samar-beidsforhold er klarlagt og dokumentert. Dette skal bidra til å hindre av-vik og feilkostnader. Standarden kan være et godt utgangspunkt for å utvikle sitt eget kvalitetssystem. TQM (Total Quality Management) Total kvalitetsledelse er en lederstil og en ledelsesform som skal føre virksomheten mot total kvalitet. Kvalitetsledelse dreier seg derfor om å styre alle tekniske, administrative, kreative og sosiale prosesser. Total kvalitetsledelse er kunde-/brukerfokusert, vektlegger systematisk kvali-tetsforbedring og den menneskelige faktor. Total kvalitet gjelder for alle trinn i organisasjonens strøm av aktiviteter, og for alle ansatte i organisa-sjonen.

En kvalitetsstyrt bedrift er karakterisert ved at alle prosesser fokuserer på ”kvalitet først” når det gjelder å tilfredsstille brukerens behov.


6

Kvalitetsstyrte bedrifter sies ideelt å skulle la mål vedrørende service og kvalitet få prioritet over (kortsiktige) økonomiske mål. Dette er ment å bidra til økt tillit blant kundene, som i siste instans vil øke bedriftens lønnsomhet.

Aktiviteter som er nødvendige i arbeidet for å fremskaffe kvalitet er:

•= Kvalitetsvedlikehold - daglig drift

•= Kvalitetsforbedring - organisering og drift av kontinuerlige forbedringsaktiviteter

•= Kvalitetsfornying - aktiviteter knyttet til planlegging med utgangspunkt i brukerbehov

Kvalitets-fornying

Kvalitets-vedlikehold

Kvalitets-forbedring

Kvalitetssystem

Total kvalitetsledelse

Total kvalitetsledelse eller det som kjennetegner en kvalitetstyrt helsetje-neste kan sammenfattes i

•= Pasient/brukerfokus

•= Systematisk forbedring av alle prosesser

•= Helhetlig lederskap og tverrfaglig samarbeid

•= Fokus på erfaringslæring og felles organisasjonskultur

•= Høy kvalitet på tjenester

•= Vekt på kontinuerlig forbedring

•= Kommunikasjon og gruppetilhørighet

•= Vektlegging av de ansatte som bedriftens viktigste ressurs

Helsetilsynets kvalitetsprinsipper Helsetilsynet har utarbeidet følgende grunnprinsipper i sin nasjonale plan for kvalitetsutvikling i helsetjenesten.

1. Brukeren i fokus

2. Engasjert og forpliktende ledelse

3. Målrettet deltakelse fra alle


7

4. Beslutninger basert på fakta

5. Prosessorientering

6. Kontinuerlig forbedring

Kvalitetssystem Tillit er vesentlig i kvalitetsutvikling og alle foretak og organisasjoner trenger et kvalitetssystem i en eller annen form. Hovedhensikten med et kvalitetssystem er å skape og vedlikeholde tillit hos brukeren, og å være et verktøy for å realisere bedriftens målsetting. Kvalitetsarbeid bør dekke relasjoner mellom produkter/tjenester og kunder/brukere. Kvalitet er ikke noe man kan kjøpe seg. Kvalitet skapes ved målbevisst arbeid i egen organisasjon støttet av kompetente og kreative medarbeidere.

Et kvalitetssystem må være bygget opp med basis i en kvalitetsfilosofi. Et kvalitetssystem har både en teknisk og en kulturell (menneskelig) side der begge er like viktige. Skal man arbeide med å forbedre kvalitetene må man arbeide med å forbedre begge sidene.

Et kvalitetssystem må ha et sett med metoder og verktøy som redskaper i kvalitetssikringsarbeidet.

ISO’s definisjon av et kvalitetssystem er:

”Organisasjonsstruktur, ansvar, prosedyrer, prosesser og ressurser ved gjennomføring av kvalitetsledelse”.

Et kvalitetssystem kan ivareta mange formål:

•= sikre at lover og forskrifter holdes,

•= gi kunden/brukeren tillitt til produktet/tjenesten

•= skire at tjenesten/produktet ivaretar brukerens behov og forventninger

•= sikre at egne ressurser benyttes på en effektiv og riktig måte. Kvalitet må bygges inn i alle systemer og deler av organisasjonen, og kvalitetssystemet bør ikke være mer omfattende enn det som er nødven-dig for å oppnå målene for kvalitet. Vi kan forenklet si at vi kan ha kvali-tetssystem på tre nivåer:

•= system for oppfylling av rammevilkår (internkontrollforskriftene)

•= kvalitetssystem (med vekt på sikring og avviksbehandling)

•= utvidet kvalitetssystem (med vekt på kvalitetsforbedring og –fornying).

Et godt kvalitetssystem må ha en lukket styringssløyfe med muligheter for å korrigere avvik. Veien frem til et kvalitetssystem kan fremstilles skjematisk som i figuren under:


8

Målsetting/ kartlegging Planlegg

Implementer teknisk program

Implementer kulturprogram

Evaluer og vurder

Korrigerende tiltak

Figur 1 Trinnene frem til et kvalitetssystem Et effektivt kvalitetssystem baserer seg på gode prinsipper om:

•= Forhindring

•= Tidlig korreksjon

•= Finn og eliminer årsaker, ikke bare symptomer

•= Definerte roller og ansvar Et kvalitetssystem uten et opplegg for avviksregistrering, -behandling og-melding er ikke fullstendig.

Internkontrollsystem og kvalitetssystem griper inn i hverandre og supple-re hverandre på forskjellige og nødvendige måter, og internkontrollsys-temet vil ofte være den bærende delen av kvalitetssystemet.

Internkontrollsystem er i Kommunal og arbeidsdepartementets forskrift om internkontroll definert som : ”Systematiske tiltak som skal sikre og dokumentere at aktivitetene utøves i samsvar med krav fastsatt i eller i medhold av lov eller forskrift. De systematiske tiltakene skal være beskrevet i administrative prosedyrer.”

Viktige elementer i et kvalitetssystem vil være:

•= Bedriftens kvalitetspolitikk og kvalitetsmål

•= Organisasjonsplan og ansvarsfordeling

•= Dokumentstyring

•= Standarder

•= Prosedyrer

•= Intern og ekstern revisjon

•= Avviksbehandling og opplysninger om oppnådd kvalitet

•= Opplæring – kvalitet er alles ansvar

•= Kontinuitet (”Never-ending”)

Dokumentasjonen av kvalitetssystemet vil være samlet i en kvalitets-håndbok som kan være en eller flere mapper eller ringpermer som skal være lett å slå opp i. Det beste alternativet er likevel et elektronisk doku-menthåndteringssystem, f.eks. i form av intranett. Slike løsninger vil også


9

kunne integreres tettere med organisasjonens arbeidsprosesser. Kvalitets-håndboken skal være det daglige verktøyet i kvalitetsarbeidet og brukes som en oppslagsbok som hele tiden må holdes oppdatert og vise alle ved-tatte regler som skal sikre at besluttet kvalitet oppnås. Den vil også være et virkemiddel overfor omverdenen for å vise at organisasjonen har orden på alle prosesser. Strukturen på en kvalitetshåndbok kan være som vist på figuren under:

Kvalitetsmål og

organisasjonsplan

Prosedyrer med ansvarsfordeling

Detaljert metodebeskrivelse (etter behov)

Kvalitetshåndbok

Figur 2 Kvalitetshåndboken i dokumentasjonshierarkiet

Systematikk i kvalitetsarbeid I praksis trengs metoder til å systematisere kvalitetsarbeidet. Systematik-ken Planlegg – Utfør – Kontroller - Korriger (PDCA-løkken, Plan – DO – Check – Act) benyttes ofte i kvalitetsarbeid. Den er et organisatorisk prinsipp som kan benyttes i mange sammenhenger som for eksempel ved avviksbehandling i daglig drift, problemløsningssyklus i forbedringsar-beid eller bedriftledelse.

Planlegg

Utfør

Kontroller

Korriger

Elementer i de ulike trinnene kan være:

P Planlegg Hva? Definer problem Analyser problem Hvorfor Identifiser Årsaker Hvordan Planlegg tiltak

U Utfør Implementer

K Kontroller Bekreft resultater


10

K Korriger Standardiser, ev. revider

Det er viktig å kartlegge hvor forbedringspotensialet er størst og begynne der.

I systematisk forbedringsarbeid er det viktig å fokusere på kjerneproses-sene. En prosess kan sees på som en samling av aktiviteter og ressurser som skal sørge for å fremstille de produkter eller tjenester som skal til-fredsstille en kundens/brukerens behov. Kontinuerlig prosessforbedring har tre faser:

•= Overvåke prosessen

•= Kontrollere prosessen

•= Forbedre prosessen

Måling og avviksbehandling Kvalitetsarbeid må være basert på fakta og ikke på gjetninger. For å kun-ne benytte et kvalitetssystem som et styringssystem er det avhengig av tilbakemelding basert på kontroll- og inspeksjonstiltak. Innsamling, bear-beiding og tolkning av data er nødvendige aktiviteter som må planlegges og systematiseres.

Kontroll tar tid og krever ressurser. Det er derfor viktig å finne de rette tingene å måle, måle de på riktig måte og sette inn tiltak ved avvik. Det er viktig å fokusere på kjerneprosessene. Finn ut hvilke prosesser dette er, hva som påvirker disse, hvem som deltar og hvordan disse prosessene kan analyseres og forbedres.

Viktige krav til et målesystem som er egnet for kvalitetsledelse er:

•= måling for forbedring, ikke overvåkning,

•= måling er relativt, ikke absolutt,

•= måling er i første rekke til for prosesseier,

•= måling må reflektere kundebehov,

•= måling er alles ansvar,

•= måling må synliggjøre fremgang. Det er viktig å vite hva man skal måle, hvorfor man måler og hvordan man skal måle.Viktige prinsipper for datainnsamling er:

•= Bestem hensikten

•= Bestem typen av data som skal samles inn

•= Finn egenskapen til dataene

•= Bestem hvem som skal samle dataene og når

•= Vurder påvirkningen fra mennesker


11

Hva slags mål som er egnet i en gitt situasjon vil kunne avhenge av rele-vans, pålitelighet, tigjengelig tid og/eller ressurser (økonomiske, tekniske og menneskelige). For at datagrunnlaget skal kunne utnyttes best mulig er det viktig å sikre at datakvaliteten er god. (at data ikke mangler, at data som fins blir brukt, at data ikke tolkes feil, at riktig tolkning fører til rik-tig handling). Hensikten med datainnsamling er å øke forståelsen, kunne evaluere, kontrollere og forutsi.

Statistiske verktøy benyttes ofte som et hjelpemiddel i kvalitetsarbeid. De kan benyttes til:

•= Oppsummere og beskrive egenskaper ved prosessen

•= Finne årsak til variasjon og problemer i prosesser

•= Forenkle og forbedre arbeidsprosedyrer

•= Øke innflytelse på beslutningsprosessen

•= Evaluere endringer

•= Forhindre i stedet for å oppdage.

•= Styring gjennom fakta, ikke tro

Ledelsens ansvar Det er umulig å få til forbedringer med mindre toppledelsen er engasjert og demonstrere forpliktelse og lederskap. Kvalitet og prosessforbedringer er en evigvarende og kontinuerlig aktivitet. Det er også viktig at kvali-tetssystemet er tilpasset organisasjonen. Det er ikke mulig å kopiere et kvalitetssystem fra en annen bedrift, det må skreddersys for å bli effek-tivt.

Det er viktig at toppledelsen utformer en klar kvalitetspolitikk som blir bekjentgjort og forstått i alle ledd i organisasjonen. Dette innebærer for-ståelsen av at kvalitet er alles ansvar, avsetting av tid og ressurser til opp-læring og forpliktelse for at strukturen blir etablert, vedlikeholdt og for-bedret.

For at kvalitetssystemet skal være et effektivt og lønnsomt verktøy, må det være nøye integrert i hele organisasjonen og akseptert av ledere og ansatte på alle nivåer. Det må legges til rette for og oppmuntres til egen-utvikling og personlig kvalitet for alle medarbeidere.

Utfordringer (og kritisk blikk) Det er lett å enes om prinsippene rundt og viktigheten av kvalitetsledelse og kvalitetsutvikling og å skaffe seg et teoretisk fundament. Mye av prin-sippene rundt kvalitetsarbeid og kvalitetsledelse baserer seg på sunn for-nuft og å sette ting i system. Like fullt kan kvalitetspersonell lett oppfat-tes som moralister og pekefingre (”ikke gjør det sånn, men ...). Det kan også lett oppfattes som mye ekstra papirarbeid, begrensning av kreativi-tet, at det er kjedelig, at det har lav status etc. Det er derfor viktig at kva-


12

litetsarbeid tar utgangspunkt i et realistisk bilde av organisasjonen, søker aktiv deltagelse av ansatte på alle plan og det ikke gjøres forsøk på å ”tre” et ferdig system over de ansatte, og at det ikke fremstilles som en ”trosbekjennelse” som eneste farbare vei.

Det er viktig å være klar over at kvalitetsarbeid krever langsiktighet og utholdenhet og huske på at det er viktig å tilpasse arbeidet til organisa-sjonen. Samtidig er det viktig at det ikke bare snakkes om kvalitetledelse, men at det også gjøres konkrete utspill.

13

Datatilsynet ble opprettet i 1980 og skal sikre gjennomføringen av Lov om personregistre av 1978 (personregisterloven). Per-sonregisterloven er ment å beskytte individrettede og sam-funnsorienterte personvernhensyn, og Datatilsynet er med dette utgangspunkt bl.a. gitt myndighet til å utstede konsesjoner for personregistre som inneholder sensitive personopplysninger. I den forbindelse kan det også som vilkår for konsesjonen gis pålegg om sikring av personopplysningene. De påleggene som gis tar utgangspunkt i Datatilsynets Retningslinjer for informa-sjonssikkerhet ved behandling av personopplysninger, som er Datatilsynets grunnlag for vurdering av informasjonssikkerhe-ten. Retningslinjene benyttes ved utarbeidelse av sikkerhetsvil-kår, i Datatilsynets kontrollarbeid og er også ment til hjelp for den enkelte virksomhet i arbeidet med å etablere tilfredsstillen-de sikring av personopplysninger.

Det har tidligere vært påkrevd at registre i helseinstitusjoner som inne-holder sensitive personopplysninger, skal føres i dedikerte informasjons-system. Ved søknad om dispensasjon fra dette vil Retningslinjene være Datatilsynets grunnlag for vurdering av informasjonssikkerheten og sik-kerhetsvilkår i dispensasjoner har disse retningslinjene som utgangs-punkt. Datatilsynet skriver derfor at virksomheter som søker dispensasjon fra vedtaket om føring av sensitive personopplysninger i dedikert infor-masjonssystem bør legge disse retningslinjene til grunn ved beskrivelse av egen informasjonssikkerhet.

Datatilsynets ”Retningslinjer for informasjonssikkerhet” gir utgangs-punkt for et regime for informasjonssikkerhet som en organisasjon må etablere ved behandling av personopplysninger, og benyttes som under-lag ved kontroll. Hovedelementene i dette regimet er:

•= Ledelsen har ansvaret for virksomhetens informasjonssikkerhet og skal definere mål og strategi for dette. Sikkerhetsmålene skal angi overordnede krav til konfidensialitet, integritet og tilgjengelighet samt henvise til offentlige krav som gjelder for virksomheten. Strate-gien skal angi prioriteringer og valg i sikkerhetsarbeidet og retnings-linjer for organisering og sikkerhet knyttet til informasjonssystemet.

•= Det må etableres rutiner for arbeidet med informasjonssystemet.

Kapittel Datatilsynet og informasjons-sikkerhet

D A T A T I L S Y N E T O G I N F O R M A S J O N S S I K K E R H E T

14

•= Det skal utføres jevnlige internkontroller. Internkontrollen skal kontrollere at beskrevne ansvars- og myndighetsforhold er i samsvar med de virkelige forhold, at rutiner benyttes og er hensiktsmessige, samt at planlagte sikkerhetstiltak er iverksatt og effektive.

•= Det må utføres risikoanalyse for informasjonssystemet. Risikoanaly-sen skal vurdere trusler mot informasjonssikkerheten, vurdere effek-tiviteten av eksisterende sikkerhetstiltak og beskrive tiltak for forbed-ring. Risikoanalyse må gjentas ved endringer i informasjonssystemet eller endringer i trusselbildet.

•= Det må finnes rutiner for avvikskontroll som beskriver hvordan av-vik skal rapporteres og retningslinjer for iverksettelse av strakstiltak og korrigerende tiltak.

•= Det stilles systemtekniske krav knyttet til f.eks. tilgangskontroll og dataoverføring.

Til sammen gir disse elementene en organisering av sikkerhetsarbeidet, samt verktøy for å kontrollere og tilpasse arbeidet med personopplys-ningene.

Sikkerhetskrav for helsevesenet Datatilsynets krav til informasjonssikkerhet fokuserer i stor grad på å beskytte konfidensialiteten til sensitive personopplysninger, og legger stor vekt på personvern. I helseinstitusjoner vil også andre sikkerhetsbe-hov gjøre seg vel så gjeldende, så som høy tilgjengelighet, behov for

Mål

Strategi

Rutiner

Systemteknisk sikkerhet

Internkontroll

Figur 3 - Regime for informasjonssikkerhet

D A T A T I L S Y N E T O G I N F O R M A S J O N S S I K K E R H E T

15

langtidslagring av f.eks. journalinformasjon og sporbarhet ved endring i informasjonen. Informasjonssikkerhet i helsevesenet dreier seg derfor vel så mye om sikring av pasienters medisinske behov og helseinstitusjone-nes arbeidsprosesser som om personvern. Innen helsevesenet vil it-systemer i første rekke være verktøy som benyttes for å nå medisinske mål. Derfor er tilgangen til nødvendig informasjon når informasjonskri-tiske beslutninger tas med konsekvenser for pasienters liv og helse vel så mye målestokken for om sikker informasjonsbehandling er innført.

Behovet for sikring av helseopplysninger blir også slått fast i utkastet til ny lov om helseregistre, og det åpnes også for at informasjonssikkerheten kan reguleres ved forskrift, slik det også åpnes for i utkast til ny lov om personregistre. I begge utkastene legges det opp til at arbeidet med in-formasjonssystemet skal underlegges internkontroll og det skal kunne dokumenteres at det eksisterer systemer og rutiner som sikrer overholdel-se av reglene i lovene. Det forventes at Datatilsynets ”Retningslinjer” vil ligge til grunn for slike forskrifter.

16

Informasjonssikkerhet har både tekniske og organisatoriske aspekter, og det er først og fremst det siste en tilnærming ba-sert på kvalitetssystemer vil søke å ivareta. Dette kapittelet vil derfor fokusere på hvilke organisatoriske strukturer og proses-ser som gir et utgangspunkt for å samordne informasjonssik-kerhet med allerede eksisterende tiltak for kvalitetssikring og internkontroll.

Likheten mellom kvalitetssikring og informasjonssikkerhet ligger bl.a. i at begge:

•= Handler om kontinuerlig forbedring – nye trusler og svakheter av-dekkes stadig.

•= Handler om å redusere og forhindre usikkerhet og risiko Metodene som benyttes for å oppnå disse hovedmålene har også mye til felles. Fire kjennetegn som ofte knyttes til kvalitetsstyrte organisasjoner er brukerfokus, systematisk forbedring, helhetlig lederskap og et fokus på kontinuerlig forbedring, som beskrevet i kapittel 2. Disse kjennetegnene har også relevans for informasjonssikkerhet:

•= Brukerfokus – informasjonssikkerhet skal bidra til at den enkelte bruker av informasjonssystemene kan utføre sitt arbeide på en sikker og effektiv måte.

•= Systematisk forbedring – informasjonssikkerhet må innføres utfra et helhetsperspektiv og kan ikke innføres kun på enkeltområder eller kun som tekniske løsninger.

•= Helhetlig lederskap og tverrfaglighet – Effektiv informasjonssikker-het må ta hensyn til en rekke faglige behov og vil påvirkes av faktorer som er både eksterne og interne for organisasjonen.

•= Fokus på erfaringslæring og kontinuerlig forbedring er nødvendig for sikkerhetsorganisasjoner som skal forholde seg til stadig nye trusler og skiftende rammebetingelser.

Kvalitetsarbeid og informasjonssikkerhet er avhengig av og vil benytte en rekke ulike ressurser i tilknytning til organisasjonen, hvor de viktigste vil være teknologi, kunnskap og kompetanse, medarbeidere og ledelse.

Teknologien vil i mange tilfeller være den ressurs som mest synlig vil legemliggjøre de valg en organisasjon gjør for sin informasjonssikkerhet.

Kapittel

Fellestrekk – sikkerhet og kvalitet

F E L L E S T R E K K – S I K K E R H E T O G K V A L I T E T

17

Særlig vil teknologien i siste instans gi tilgang til konkrete elementer i informasjonssystemet, basert på valg og prioriteringer fra organisasjo-nens ledelse. Teknologien må derfor være et resultat av administrative valg og organisasjonens arbeidsprosesser og ikke omvendt. Det siste er selvsagt den ideelle situasjonen, og av mange grunner, både organisato-riske, økonomiske og tekniske, uheldigvis lite realistisk.

Stadig flere arbeidsoppgaver stiller høye krav til kompetanse. Kravene til oppdatert kunnskap er tydelig innenfor de enkelte profesjonene, men også kunnskap innen mer generelle områder, og da særlig informasjons-teknologi, gjør seg gjeldende. Informasjonssikkerhet er intet unntak i så henseende, og årvåkenhet for hvilke kunnskapsområder som vil være kritiske er påkrevd. Den kunnskapen som kreves for å bygge en vedva-rende og robust organisering av informasjonssikkerheten vil i stor grad være tverrfaglig, med store innslag særlig fra organisasjonsteori og ledel-se samt informasjonsteknologi. Den tverrfaglige orienteringen skal sikre at beslutningstagere med et begrenset synsfelt ikke i unødig grad omdefi-nerer alle problemer til sin egen referanseramme (ser alle problemer som en spiker som må slås inn…), men at ulike perspektiver og behov tas hensyn til. Særlig er det viktig at perspektivet løftes opp fra teknisk flise-spikkeri, og på den andre siden at visjonære organisasjonsteoretikere får føttene plantet blant de tekniske realiteter.

I siste instans er det er virksomhetens ledelse som er ansvarlig for at in-formasjonsressursene er tilstrekkelig sikret på samme måte som for kvali-teten på den tjenesten eller produktet som organisasjonen leverer. Initia-tiver for informasjonssikkerhet må ha solid støtte fra toppledelsen for å inneha nok legitimitet og handlekraft til å skape endringer der det er nød-vendig.

Sammenfallende organisasjon Likhetstrekkene mellom den tankegangen som kommer til uttrykk i Data-tilsynets Retningslinjer og tankegangen vi finner i mye av litteraturen om kvalitetssystemer kommer tydelig fram i hvordan arbeidet med informa-sjonssikkerhet, hhv. kvalitet organiseres. I begge tilfeller fokuseres det på klare linjer og forutsigbarhet i organisasjonen, og kontinuerlig forbedring gjennom avvikshåndtering og tilpassing av rutiner.

Retningslinjene vektlegger at det er ledelsens ansvar at de personopplys-ningene som behandles er sikret på en tilfredsstillende måte. Dette skal ledelsen gjøre gjennom å utarbeide mål for informasjonssikkerheten samt strategi for å oppnå målene. Ledelsen blir også pålagt å gjennomføre jevnlig gjennomgang av organiseringen og vurdere de signaler som kommer fra internkontroll, risikoanalyser og endringer i krav f.eks. fra det offentlige eller fra brukerne av informasjonssystemet.

Endringer i hvordan organisasjonen opererer og forholder seg til omgi-velsene vil først og fremst effektueres gjennom mekanismene for intern-kontroll og avvikshåndtering. Disse skal sørge for at de fastsatte rutinene følges, og at rutinene og planlagte sikkerhetstiltak benyttes og fungerer


18

etter sin hensikt. På denne måten skapes en slags tilbakekobling fra de laveste nivåene (rutiner og systemtekniske sikringstiltak) til de styrende nivåene (mål og strategi).

Prosedyrer Dokumentasjon av prosesser og prosedyrer ligger til grunn for ISO 9000, og standarden har av enkelte blitt oppsummert som ”Si hva du gjør. Gjør det du sier. Skriv det ned.” Dokumenterte prosedyrer skal bl.a. gi klare ansvarsforhold og reproduserbare resultater. Når alle funksjoner og pro-sesser er dokumentert vil organisasjonen kunne ivareta kunnskap som tidligere har vært låst til enkeltpersoner og være mindre følsom overfor endringer i organisasjonen. Det samme prinsippet gjelder for informa-sjonssikkerhet hvor prosedyrer skal skape oversiktlige, ryddige forhold for å sikre informasjonsbehandlingen.

For at informasjonssikkerhet skal bli en del av linjeansvaret må rutiner for informasjonssikkerhet legges inn i kvalitetssystemet, og eksisterende rutiner endres til å ta hensyn til informasjonssikkerheten.

Etter som større og større deler av hva bedriften gjør dokumenteres i kvalitetssystemet, settes det høye krav til håndteringen av denne informa-sjonen. Stadig flere innser at denne informasjonen er deres viktigste akti-

Styrende dokumentasjon

Prosedyrer

Mål og strategi for informasjonssikkerhet

Område 1 Område 2 Område 3 IT-organisasjon

Figur 4 - Generell modell for kvalitetssystemet


19

va og at håndteringen av den er kritisk for organisasjonens suksess og overlevelsesevne. Dokumentasjon skal skrives, lagres, endres og leses, og alle disse aktivitetene kan være arbeidsintensive og utsatt for feil. Særlig vil prosedyrer som er utsatt for hyppige endringer kreve effektive systemer for å håndtere de ulike versjonene og for å sikre at siste versjon til en hver tid er tilgjengelig for den som trenger informasjonen. Dette medfører at et dokumentsystem for elektronisk håndtering av kvalitets-systemet raskt vil bli nødvendig.

Måling og indikatorer For å kunne evaluere virkningen av kontrolltiltak og endringer / innfø-ringer av nye rutiner er det nødvendig å ha et sett av måleområder og indikatorer som gjør det mulig å se effekten av endringene. Innenfor HMS-området kan en slik indikatorer være antall personskader av en viss type pr. år, for informasjonssikkerhet f.eks. antall ganger systemer med sensitive personopplysninger har blitt forlatt uten utlogging fra systemet. I begge tilfeller må indikatorene være meningsfylte for de egenskapene de skal måle og gi verdifull merinformasjon for de avgjørelser organisa-sjonen tar.

Synergieffekter Motivasjonen for å bruke kvalitetssystemet i arbeidet med informasjons-sikkerheten ligger i hovedsak i verdien av å kunne benytte en eksisteren-de struktur for håndtering av prosedyrer samt administrasjon og ledelse. I tillegg er det viktig å vektlegge at informasjonssikkerhet er en sentral komponent i kvalitet, kanskje spesielt i helsevesenet. Organisatoriske endringer av det omfang som innføring av et robust og helhetlig regime for informasjonssikkerhet utgjør vil normalt være både komplisert og stille store krav til organisasjonen. Hvis en eksisterende struktur med tilstrekkelig likhetstrekk eksisterer og har aksept innad i organisasjonen vil det være mye å tjene på å integrere disse.

Utfordringer for helsevesenet En sammenkobling av kvalitetssystemet og regimet for informasjonssik-kerhet er en potensielt effektiv løsning for å håndtere to organisatoriske behov på en helhetlig og samkjørt måte. Forutsetningen for at dette skal ha en positiv effekt på innføringen og den videre styringen av organisa-sjonens informasjonssikkerhet er naturligvis at kvalitetssystemet og den-ne formen for organisasjonstenking allerede har vunnet innpass. Ikke alle organisasjonskulturer har like gode forutsetninger for å kunne bygge opp og utnytte et effektiv kvalitetssystem. Intuitivt er det kanskje byråkratiet som vil ses som den mest åpenbare rollemodellen for en or-ganisasjon med dokumenterte rutiner og klar hierarkiske struktur. Denne rollemodellen er lite karakteristisk for helsesektoren, som i større grad er inndelt etter profesjoner enn etter ledelse/arbeidstager. Dette er selvsagt


20

utfordringer som må tas på alvor, og erfaring viser at arbeid som kartleg-ging av arbeidsprosesser, dokumentasjon av rutiner og håndtering av dette i ettertid er meget krevende. En felles organisering av arbeidet med kvalitet og internkontroll og arbeidet med informasjonssikkerhet kan forhåpentligvis redusere kompleksiteten og ressurskravene noe.

21

Dette kapittelet beskriver de områdene hvor integrasjon av kvalitetssystem og system for informasjonssikkerhet er mest synlig. Dette gjelder indikatorer og målinger, risikoanalyse, internkontroll og avvikshåndtering samt rutiner.

Indikatorer for informasjonssikkerhet Måling er et nødvendig verktøy for å avgjøre om innføringen av et kvali-tetssystem er vellykket og om progresjonen er til stede. Målinger er nød-vendige for å finne områder som kan forbedres og for å prioritere disse. Resultatene skal brukes til å avgjøre hvor vi ønsker å gå, og vise om vi har kommet dit. For informasjonssikkerheten vil et godt system for å måle frekvens og type for sikkerhetsrelevante hendelser være viktig for å avgjøre hvilke tiltak som bør innføres og for å synliggjøre behovet for tiltak innad i organisasjonen. Det første steget i en måleprosess er å avgjøre hva som skal måles. In-nenfor kvalitetsledelse retter man da fokuset mot produktet eller proses-sens primære kvalitetsegenskaper. Dette er de egenskapene som er av størst betydning for produktet eller prosessen, og har størst betydning for produktets kunder/brukere. Eksempel på dette for informasjonssikkerhet kan være at konfidensiell informasjon ikke blir sendt til uvedkommende, eller at prosedyrer for informasjonssikkerhet ikke medfører komplikasjo-ner i brukernes hverdag. Når det er avgjort hvilke primære kvalitetsegenskaper som skal måles er det nødvendig å gi disse klare, operasjonelle definisjoner. Dette betyr egenskapene må bindes til konsepter som kan måles. Eksempelvis kan egenskapen ”høy pålitelighet” operasjonaliseres til ”gjennomsnittlig tid mellom alvorlige systemfeil”. Prosessen med å finne operasjonelle defi-nisjoner er en del av arbeidet med å avgjøre hvordan vi skal måle kvali-tetsegenskapene. Før selve målingsprosessen igangsettes må det også avgjøres hvilke kriteria som skal ligge til grunn for analysen av målere-sultatene, og eventuelt hvilke resultater som er tilfredsstillende. En anvendelse av denne tenkemåten for informasjonssikkerhet kan være å klassifisere alle sikkerhetshendelser basert på deres egenskaper. Et godt system for klassifikasjon vil være et nyttig verktøy for å måle frekvensen av ulike typer hendelser, noe som vil gi viktige innspill til valg av sikker-hetstiltak og hvorvidt tiltakene er effektive. Et viktig element i dette ar-beidet vil være å benytte en god taksonomi for informasjonssikkerhet,

Kapittel

Integrering

I N T E G R E R I N G

22

som gir klare og entydige klassifiseringer av hendelser. Det er gjort flere forsøk på å skape et klassifiseringssystem eller takso-nomi over angrep på datasystemer. Et system er gjengitt i [Howard97]. Dette tilfredstiller de krav som må stilles til taksonomier, som at katego-riene skal være gjensidig utelukkende, uttømmende og at gjentatte klassi-fikasjoner skal gi samme resultat og være utvetydige. Denne taksonomi-en er basert på et prosessorientert synspunkt. Med dette synspunktet sø-ker en angriper å oppnå endelige mål eller objektiver, gjennom en opera-sjonell sekvens av verktøy, tilgangsmåter og resultater. Først klassifiseres angriperne i 6 kategorier: Hackere, spioner, terrorister, selskapskaprere (finansielt motiverte), profesjonelle kriminelle og vandaler, altså ulike typer angripere, med ulike motivasjoner. Videre klassifiseres verktøyene i 6 kategorier: brukerkommandoer, script eller programmer, autonome agenter, "verktøykasser", distribuerte verktøy og datatapping fra elektro-nisk støy. En angriper må utnytte visse svakheter i systemet. Disse blir foreslått klassifisert som designsvakhet, implementeringssvakhet eller konfigura-sjonssvakhet, henholdsvis at en feil har blitt gjort under designet, at de-signet ikke har blitt korrekt implementert, eller at systemet ikke har blitt satt opp forskriftsmessig. Videre kan vi generelt si at informasjonen kan utsettes for angrep mot når den befinner seg i to slags ”faser”, mens det befinner seg i ro på maski-nen, eller under transport mellom ulike systemer. Resultatene som kan oppnås gjennom denne prosessen er ødeleggelse av data, avsløring av innholdet i data, tyveri eller nektelse av tilgang, altså henholdsvis tap av integritet, konfidensialitet og tilgjengelighet. Til slutt kan angrepet klassifiseres etter hvilket motiv angriperen har, kategoriene som foreslås er utfordring og status, politiske mål, finansielle mål eller ønske om å påføre skade. Totalt gir dette en effektiv måte å klassifisere angrep på informasjonssys-

Hackere

Spioner

Terrorister

Selskapspirater

Prof. kriminelle

Vandaler

Brukerkommandoer

Scripts/programmer

Autonome agenter

”Verktøykasser”

Distribuerte verktøy

Elektronisk støy

Designsvakhet

Implementeringssvakhet

Konfigurasjonssvakhet

Informasjonsflyt

Informasjonslager

Integritet

Konfidensialitet

Tilgjengelighet

Status

Politiske mål

Økonomisk

Skadepåføring

Angriper Svakhet ”Fase” Resultat MotivVerktøy

Figur 5 - taksonomi for angrep


23

temer, men modellen tar ikke hensyn til sikkerhetsrelevante hendelser som forårsakes av uforsiktighet eller svakheter som avdekkes på andre måter en ved angrep, og den er i stor grad fokusert på eksterne trusler mot informasjonssystemet. Dette er selvsagt momenter som det bør tas hensyn til ved valg av et system for klassifisering og beskrivelse av sik-kerhetshendelser i en organisasjon.

Risikoanalyse I tillegg til den løpende håndteringen og klassifiseringen av sikkerhetsre-levante hendelser vil det være nødvendig å utføre risikoanalyse når det utføres endringer i informasjonssystemet som har betydning for sikkerhe-ten. Dette kan være endringer i informasjonens mengde eller klassifise-ring, endringer i trusselbildet, systemets konfigurasjon eller i organisa-sjonen. Risikoanalyse bør ideelt sett foregå som en kontinuerlig prosess hvor trusselbilde og sikringstiltak jevnlig vurderes opp mot hverandre og mot kostnader og verdi av de ulike tiltakene. Hovedstegene i en risikoanalyse vil være:

•= Beskriv analyseobjektet og utfør en avgrensing mot omgivelsene for å klargjøre hva analysen omfatter.

•= Beskriv trusler rettet mot de sikkerhetskrav som er satt for systemet.

•= Anslå konsekvens/hvor alvorlig de ulike truslene er.

•= Anslå sannsynligheten for at trusselen utløses (evt. hvor lett en trussel kan utløses)

•= Foreslå mottiltak og anslå nytte vs. kostnad for disse.

Internkontroll og avvikshåndtering Rutinene omkring avvikshåndtering og internkontroll vil på mange måter være kjerneelementene i organisasjonens løpende håndtering av informa-sjonssikkerheten. Disse prosessene vil være avgjørende for hvor effektivt organisasjonen reagerer på trusler og hendelser av betydning, og i hvil-ken grad organisasjonen er i stand til å håndtere de krav til sikkerhet og kvalitet som stilles internt og fra omgivelsene. Avgjørende for kvalitets- og informasjonssikkerhetssystemets effektivitet er den enkelte medarbeiders innstilling og holdninger. Særlig viktig er det med tilstrekkelig opplæring i nyinnførte rutiner og nye systemer, slik at den enkelte settes i stand til å kunne avgjøre enkelthendelsers betyd-ning for informasjonssikkerheten og se helheten i arbeidet med informa-sjonssikkerheten. Ledelsens innstilling til informasjonssikkerhet og kvali-tet vil også kunne ha stor påvirkningskraft og bør utnyttes positivt. Avviksrutiner for kvalitet og informasjonssikkerhet bør utformes på en uniform måte for å sikre korrekt og effektiv behandling av avvik. Et tiltak kan være å definere et felles rapporteringspunkt for alle avvik. Et slikt


24

rapporteringspunkt vil dermed kunne dra nytte av den kollektive kunn-skapen som de som bemanner rapporteringspunktet besitter og effektivt vurdere trusler og tiltak etter hvert som det er nødvendig. Siden rapporte-ringspunktet blir et kritisk punkt i organisasjonens avvikshåndtering er det nødvendig å sikre gode rutiner rundt arbeidet og sørge for at nødven-dig personell er tilgjengelig ved behov.

Rutiner for informasjonssikkerhet Datatilsynets retningslinjer identifiserer en rekke områder hvor det må etableres sikringstiltak og rutiner knyttet til sikkerheten til informasjons-systemet. Det følgende skisserer disse, samt antyder på hvor disse prose-dyrene kan høre hjemme i et kvalitetssystem. Det siste må ikke forstås dogmatisk, men er ment som en antydning av hvem prosedyrene mest naturlig vil utføres av. 1. Risikoanalyse Organisasjonen må ha en prosedyre som dokumenterer de minstekrav som settes til en risikoanalyse og ved hvilke anledninger en risikoanalyse er påkrevd. Risikoanalyse vil normalt utføres ved større endringer enten i informasjonssystemet eller i dets omgivelser, og da i utgangspunktet av systemets eier. Det kan være gunstig å ha en prosedyre som beskriver framgangsmåten for dette arbeidet på et overordnet nivå i kvalitetssyste-met, eksempelvis som en del av strategi for informasjonssikkerhet. En annen tilnærming kan være å lage en generell prosedyre for risikoanalyse innen alle felt som omfattes av kvalitetssystemet, som helse, miljø osv. 2. Internkontroll For å kontrollere at besluttet sikkerhetsstrategi følges må organisasjonen utføre internkontroll. Rutinen for internkontrollen skal kontrollere at:

•= beskrevne ansvars- og myndighetsforhold er i samsvar med de virke-lige forhold

•= beskrevne arbeidsoppgaver er i samsvar med de oppgaver som utfø-res i praksis

•= rutiner benyttes og fungerer etter sin hensikt planlagte sikkerhetstiltak er iverksatt og fungerer etter sin hensikt. Internkontrollen kan f.eks. utføres av organisasjonens ansvarlige for in-formasjonssikkerhet, og kan beskrives i strategi for informasjonssikker-het, eller i annen dokumentasjon på sentralt ledelsesnivå. 3. Ledelsens gjennomgang Prosedyren for ledelsens gjennomgang er ment å sikre at ledelsen gis mulighet til å vurdere statusen for informasjonssikkerheten og gi grunn-lag for nødvendig revisjon av sikkerhetsmål og -strategi. Beskrivelsen av denne gjennomgangen kan ligge i strategi for informasjonssikkerhet eller lignende dokument.


25

4. Konfigurasjonsendringer Hvis det gjøres store endringer i informasjonssystemets konfigurasjon kan det være nødvendig å utføre en risikoanalyse (jf. prosedyre 1) for å avklare hvordan endringer vil påvirke informasjonssikkerheten. En pro-sedyre for konfigurasjonsendring må videre omfatte:

•= retningslinjer for behovs- og kompatibilitetsanalyse

•= retningslinjer for installasjon, utprøving og avvikling av utstyr og program

•= beskrivelse av ansvar og myndighet, herunder hvordan konfigura-sjonsendringer godkjennes.

Arbeidet med organisasjonens sikkerhetsbarrierer, og endringer i konfi-gurasjonen av disse må særlig underlegges kontroll. Alle endringer må dokumenteres, og det må etableres klare ansvars- og myndighetsforhold slik at alle endringer er et resultat av beslutninger tatt på bakgrunn av organisasjonens sikkerhetspolicy og eventuelle pålegg fra eksterne myn-digheter. Mye av dette vil best ivaretas gjennom konkrete rutiner for de enkelte systemer. 5. Utilsiktet avbrudd I den grad det er nødvendig må det etableres en prosedyre for alternativ informasjonsbehandling ved kritisk avbrudd i driften. Prosedyren må omfatte:

•= retningslinjer for bedømmelse av avbruddets virkning på informa-sjonssystemet og informasjonssikkerheten

•= angivelse av alternative informasjonssystemer

•= alternative (manuelle) rutiner

•= retningslinjer for gjenoppretting av normal drift

•= beskrivelse av ansvar og myndighet I den grad informasjonssystemene er en nødvendig del av driften i en krisesituasjon, må disse tas med i eventuelle eksisterende beredskapspla-ner. 6. Sikkerhetskopiering Det må eksistere prosedyrer som fastslår hvilke deler av organisasjonens informasjonssystem det skal tas sikkerhetskopi av, hvor ofte dette skal gjøres, og hva slags lagringsmedium som skal benyttes. Videre må med jevne mellomrom sikkerhetskopienes integritet kontrolleres. Ansvarsforhold knyttet til gjenoppretting må også beskrives. Disse ruti-nene må i stor grad knyttes til de systemer de gjelder for, det vil f.eks. kunne være ulike krav til sikkerhetskopiering av e-postsystem og system for pasientjournaler.


26

7. Avviksbehandling Det må finnes en prosedyre for hvordan sikkerhetsavvik skal rapporteres, og alle som benytter systemene må være pålagt å rapportere sikkerhets-avvik så hurtig som mulig. Sikkerhetsavvik vil i denne sammenhengen være konkrete innbrudd eller mistanke om dette, brudd på konfidensiali-tet, integritet eller tilgjengelighet, trusler eller potensielle trusler, svakhe-ter eller feil. Det bør også informeres om at brukere ikke skal forsøke å bevise at svakheter eksisterer, da dette lett kan misforstås som innbrudds-forsøk eller misbruk av systemet. Prosedyren for avvikshåndtering må spesielt:

•= Definere et fast rapporteringspunkt for sikkerhetsrelevante hendelser

•= Beskrive hvordan avviksmeldingen håndteres

•= Slå fast hvem som er ansvarlig for håndteringen Prosedyren bør dekke:

•= Analyse og identifikasjon av årsaken til avviket

•= Planlegging og implementering av tiltak for å forhindre gjentagelse

•= Innsamling av loggspor og lignende bevis

•= Kommunikasjon med brukere som berøres av eller er involvert i gjenopprettingen.

Prosedyrer bør eksistere for å sikre at prosessen med gjenoppretting etter sikkerhetsbrudd foregår nøye og kontrollert. Det må sikres at alle hand-linger som utføres er dokumentert i detalj for å kunne gjennomgås i etter-tid, og at systemenes integritet kontrolleres og gjenopprettes på et mini-mum av tid. Ved avvik som har sitt utspring internt i organisasjonen kan det være aktuelt med disiplinære tiltak, og klare rutiner omkring dette bør eksistere for å virke preventivt samt å sikre rettferdig behandling av medarbeidere som mistenkes å stå bak alvorlige sikkerhetsbrudd. Avvikshåndtering er et generelt aspekt ved kvalitetssystemer, og avvik må håndteres på alle områder kvalitetssystemet omfatter. Det er derfor naturlig at avviksmekanismene defineres på et overordnet nivå, f.eks. i organisasjonens kvalitetshåndbok, også for informasjonssikkerhet. 8. Partnere og leverandører Det vil i mange tilfeller være ønskelig å gi eksterne partnere og leveran-dører tilgang til IT-systemene for drift og vedlikehold. I slike tilfeller bør behovet vurderes opp mot risikoen knyttet til å gi slik tilgang, og det bør defineres klare prosedyrer og kriterier for tilgangen. Det bør eksistere prosedyrer for å avgjøre:

•= Lovlige tilgangsmetoder


27

•= Hvem som skal ha tilgang, og hvem som er autorisert til å godkjenne tilgang.

•= Hvilke tidspunkt tilgangen er gyldig

•= Hvorvidt tilgangen kan/skal overvåkes

•= Ordninger for å rapportere sikkerhetsbrudd

•= Krav til dokumentasjon på endringer som gjøres Generelle regler for organisasjonens forhold til eksterne leverandører vil normalt defineres på et overordnet nivå i kvalitetssystemet, f.eks. i strate-gi for informasjonssikkerhet eller en kvalitetshåndbok. I tillegg vil det også kunne være spesielle forhold knyttet til det enkelte system. 9. Fysisk sikring/adgangskontroll Det må etableres prosedyrer for kontroll med adgangen til områder og utstyr hvor sensitiv informasjon behandles, eller informasjon om sikring av slike opplysninger behandles. Prosedyrene må omfatte:

•= retningslinjer for tildeling, tilbaketrekking og periodisk revurdering av den enkelte medarbeiders autorisasjon.

•= krav til låsing eller annen sikring av områder og utstyr, eventuelt tilsyn.

•= retningslinjer for registrering av adgang og forsøk på uautorisert ad-gang

10. Systemteknisk sikkerhet Organisasjonens klassifisering av sine informasjonsressurser, samt beho-vet for tilgang og dataoverføring mellom enheter i informasjonssystemet må gi opphav til en soneinndeling. Det må etableres en prosedyre rundt kontroll med tilgang til sone hvor sensitive personopplysninger eller in-formasjon om sikring av slike opplysinger behandles. Denne må omfatte:

•= retningslinjer for etablering og revurdering av soneinndeling

•= retningslinjer for å opprette soner med angivelse av teknisk sikker-hetsløsning

•= retningslinjer for ekstern tilgang med krav om at den del av informa-sjonssystemet som benyttes for ekstern tilgang etableres i egen sone

•= retningslinjer for å registrere forsøk på uautorisert tilgang

•= beskrivelse av ansvar og myndighet I tillegg må det etableres en prosedyre for kontroll med tilgang til data og program som benyttes for behandling av sensitive personopplysninger eller informasjon om sikring av slike opplysninger. Denne må omfatte:

•= retningslinjer for tildeling, tilbaketrekking og periodisk revurdering av den enkelte medarbeiders autorisasjon

•= retningslinjer for identifisering og autentisering av medarbeidere


28

•= retningslinjer for automatisk avstengning av utstyr som ikke er i bruk

•= retningslinjer for registrering av utstyr benyttet for tilgang og forsøk på uautorisert tilgang

•= beskrivelse av ansvar og myndighet Hvis sensitive personopplysninger skal overføres eksternt må det eksiste-re prosedyrer for kontroll med dette som sikrer at informasjonens konfi-densialitet, integritet og tilgjengelighet er sikret under transporten samt at overføringen er godkjent og blir registrert. Ondsinnet programvare utgjør en stadig større trussel ettersom informa-sjonsspredning over e-post, web og lignende kanaler brer om seg, og organisasjonen må ha klare policyer for hvordan dette skal håndteres. For tiden er hovedtruslene:

•= Mobil kode som Java, Active X, og ulike scriptspråk som JavaScript ol.

•= Virus som infiserer programvare

•= Trojanske hester

•= Makrovirus Truslene knyttet til mobil kode må vurderes, og det må avgjøres hvorvidt slik kode skal slippes inn igjennom organisasjonens sikkerhetsbarriere. Det må informeres om hvordan brukeren skal reagere hvis et virusangrep oppdages. Det er da viktig at:

•= Symptomer og skjermmeldinger noteres ned

•= Bruken av systemet stanses, og riktig enhet (brukerstøtte el.) kontak-tes så raskt som mulig.

•= Sikkerhetsansvarlig varsles gjennom de definerte kanaler Hvis/når personopplysninger skal slettes skal dette styres av en prosedyre for sletting som gir retningslinjer for dette, beskriver tekniske hjelpemid-ler, ansvar og myndighet i forbindelse med slettingen og hvorvidt lag-ringsmediet skal destrueres. 11. Dokumentsikkerhet Det må etableres en prosedyre for sikring av dokumenter som inneholder sensitive personopplysninger. Prosedyren må dekke retningslinjer for intern og ekstern forsendelse av dokumenter, oppbevaring og makule-ring. 12. Dokumentasjonskontroll Organisasjonen må ha en prosedyre for kontroll og distribusjon av den dokumentasjonen som utarbeides. Denne må omfatte entydig utforming og identifikasjon, hvordan nye og endrede dokumenter skal implemente-res og spres til alle relevante medarbeidere, og hvordan og av hvem do-


29

kumentene godkjennes. En slik prosedyrer hører hjemme i kvalitetshånd-boken eller lignende dokument.

Filnavn: temahefte kv og sikk.doc Katalog:

\\Hippokrates\NyKITH\Sikker_infobehandling\kvalitetssystem

Mal: \\HIPPOKRATES\NYKITH\KITH-internt\Datasystem\OfficeMaler\Rapport.dot

Tittel: Rapport Emne: Forfatter: Arnstein Vestad Nøkkelord: Merknader: Opprettelsesdato: 12/16/99 4:43 Versjonsnummer: 17 Sist lagret: 4/27/00 10:00 Sist lagret av: Arnstein Vestad Samlet redigeringstid: 2,414 minutter Sist skrevet ut: 4/28/00 8:55 Ved siste fullstendige utskrift Antall sider: 32 Antall ord: 8,408 (ca.) Antall tegn: 47,927 (ca.)

Åpne rapport

Documents