Prosjekt KomUtKommunal utbredelse av

meldingerNormen – hva og for hvem?

Roller og ansvar i en kommune

Norm for informasjonssikkerhet i helse-, omsorgs- og sosialsektoren - Normen

Normen…• Basisdokumentet (42 sider) er utarbeidet

av representanter for sektoren, blant annet Legeforeningen, Sykepleierforbundet, Tannlegeforeningen, KS, Apotekerforeningen og regionale helseforetak.

• Alle aktører i sektoren som er tilknyttet Norsk Helsenett er avtalerettslig forpliktet til å følge Normen.

• Nettsider: www.normen.no

Normen• Normforinformasjonssikkerhetihelse-,omsorgs-ogsosialsektorenerensamlingkravogretningslinjersomskalbidratiltilfredsstillendeinformasjonssikkerhethosdenenkeltevirksomhetogisektorengenerelt.

• Normenomfatterallekravsommåtilfredsstillesforåoppfyllelov-ogforskriftskravtilinformasjonssikkerhetihelse-,omsorgs-ogsosialsektoren.Normenkanogsåstillestrengerekravenndetsomfølgeravlovverket.

Fra papir/telefon/faks/muntlig overlevering til eMeldinger

• Etavmåleneifm.innføringaveMeldingereråsørgeforatinnføringenskjerinnenforderammersomNormensetter

• Brukavnyteknologiførertilnyearbeidsmetoder/prosesser–ogkrevernykompetanse

• Bevisstforholdtilpersonvernersentraltifm.atmanbytterpapirbaserteprosessermedelektroniskmeldingsutveksling

• «Normen»erutvikletforåivaretadissekravene

Forankring i ledelsen i kommunen

• StrengekravtilatarbeidetmedNormenharenforankringiledelsen• Noenklippfra«virksomhetsledersansvar»(faktaark1og2):

«Virksomhetens leder skal påse at informasjons-behandlingen og informasjonssikkerheten organiseres slik at det er tydelig hvem som har ansvar for de ulike deler av informasjonsbehandlingen.»

«Virksomhetens ledelse er ansvarlig for å etablere og innføre et styringssystem for informasjonssikkerhet.»

Fra Normen3.1 Ansvar

Detervirksomhetenvedledelsensomharansvarforåetablereogopprettholdetilfredsstillendeinformasjonssikkerhet.Detteerblantforpliktelsenetildatabehandlingsansvarlig.Detskalangisimelding/konsesjonssøknadtilDatatilsynethvilkenstillingsomhardetdagligeansvaretforoppfyllelseavvirksomhetensplikter,herunderforinformasjonssikkerheten.Detdagligeansvarettilliggersomoftestdagliglederivirksomheten.Densomhardetdagligeansvaretforinformasjonssikkerheten,kanoverføreoppgavertilegneansatte.Oppgaverkanogsåoverførestileksterne,f.eks.kanmandelegereoppgavertilleverandører.Dettemågjøresiformavskriftligeavtaler.Uansettomoppgavererdelegertellerikke,liggerdetjuridiskeansvarethosdatabehandlingsansvarlig.Arbeidetmedinformasjonssikkerhetmåomfattestyring,gjennomføringogkontroll.Kapitlene4til6iDelIIerbyggetoppetterdennestrukturenmedenstyrendedel,engjennomførendedelogenkontrollerendedel.

Ansvarsfordeling for informasjonssikkerhet i en kommune

• Enkortgjennomgangavansvarsfordelinginnenforhelsesektoren.(LagetforSiO-samarbeidetavIngerMarieØien,Hitrakommune.)

Adobe Acrobat Document

IKT-ansvarligesansvar• EransvarligfordriftavIT-systemer(internt)ogforatbesluttedetiltakeroperativeogfungereretterhensikten

• Ansvarforatinformasjonssystemetdriftesogsikresiht.fastsattekrav

• Ansvarforåetablereberedskapsløsninger• Ansvarforåvurdereeventuellløsningforfjernaksessihenholdtilveilederforfjernaksess

• Ansvarforåfølgeoppleverandørerogdatabehandler• SeforøvrigfaktaarkforrollenIT-ansvarlig

Hvor skal vi starte?!

• ISiOanbefaltevikommuneneåstartemedåtaenavsjekkift.faktaark6,Sikkerhetsrevisjon

• Herliggerdeten8-punktssjekklistemedminimumskravsommåoppfylles

• Dettevilgiengodpekepinnpåhvormanståroghvasombørtastaki

• Ellersliggerdetendeldokumenterfritttilgjengeligpåwww.siohelse.noundergruppeNormensomkanskjekanværetilnytte