Informationssäkerhet

Ledningssystem med instruktioner för informationssäkerhet.

Ledningssystem för informationssäkerhet är indelat i olika områden och innehåller Region Skånes samlade informationssäkerhetskrav.

Instruktionerna anger hur information ska hanteras. Alla användare och yrkeskategorier som hanterar information ska analysera hot och risker och vidta de skyddsåtgärder som krävs.

Instruktioner

Områden

  • Riktlinjer för informationssäkerhet i Region Skåne

    Regionstyrelsen antog 2017-12-07 (§ 277) riktlinjer för informationssäkerhet. 

    I riktlinjerna står bland annat att informationssäkerhetsarbetet i Region Skåne syftar till att informationen ska vara: 

    • Tillgänglig – behörig användare ska få tillgång till den information som behövs för att utföra sina arbetsuppgifter
    • Skyddad – informationen ska vara skyddad mot obehörig åtkomst
    • Riktig – informationen ska vara skyddad mot förvanskning eller otillåten förändring

    Säkerhetspolicy

    Riktlinjerna ingår som en del i den övergripande säkerhetspolicyn för Region Skåne och gäller för all informationshantering.

    Säkerhetspolicy för Region Skåne (pdf)

  • Krav på riskanalyser ställs i Socialstyrelsens föreskrifter och allmänna råd (HSLF-FS 2016:40) om journalföring och behandling av personuppgifter i hälso- och sjukvården.

    Riskhantering är en grundläggande aktivitet inom informationssäkerhet för att verksamheten ska kunna skydda information och resurser på ett adekvat sätt.

    • Vid riskhantering för informationssystem finns en metod som är en kombinerad informationsklassnings- och riskanalysmetod.

      Riskhantering (Region Skånes intranät)

      Syftet med riskhantering för informationssystem kan sammanfattas i följande punkter:

      • Identifiera skyddsvärd information i informationssystemet
      • Bedöma konsekvenser för verksamheten vid brister eller avsaknad av Konfidentialitet, Riktighet, Tillgänglighet och Spårbarhet
      • Identifiera möjliga risker kopplat till informationssystemet
      • Föreslå åtgärder för identifierade risker
    • Exempel på andra analyser som också förekommer i Region Skåne.

      RSA

      Förebyggande risk- och sårbarhetsarbete ska bedrivas på alla nivåer i verksamheten och styrs av samordningsfunktion för RSA i Region Skåne.

      Krisberedskap och risk- och sårbarhet (Region Skånes intranät)

      Risk- och händelseanalyser

      I Region Skåne genomförs dessa enligt nationell handbok "Riskanalys & Händelseanalys" för att identifiera och värdera risker, identifiera orsaker till dessa, ta fram åtgärder som eliminerar eller minskar riskerna eller mildrar konsekvenserna av negativa händelser.

      Riskanalys och händelseanalys

      Medicinsk teknik

      Riskanalyser ska också genomföras inom medicinsk teknik avseende medicintekniska produkter och användning av dessa i Region Skånes miljö. Region Skånes ansvar för att bedöma risker som är förknippade med användning av produkten är extra viktigt när den ansluts i Region Skånes nätverk.

  • Region Skåne är en organisation med cirka 36 000 anställda. I Region Skåne hanteras stora mängder information, varav en stor del omfattas av sekretess.

    Säkerhetsarbete är en fortlöpande process, vars syfte är att bygga upp och vidmakthålla en medveten och anpassad säkerhetsnivå. Informationssäkerheten ska vara organiserad med beaktande av detta för att bibehålla medborgarnas och patienternas förtroende för Region Skåne.

    Informationssäkerhetsorganisation och dataskyddsorganisation

    I Region Skåne finns en informationssäkerhetsorganisation som leds av informationssäkerhetschefen. Organisationens uppdrag är bland annat att leda, utveckla och följa upp informationssäkerhetsarbetet i regionen. Till hjälp i detta arbete används ledningssystem för informationssäkerhet.

    Region Skåne har även en dataskyddsorganisation som leds av ett dataskyddsombud (DSO), vars uppgifter är reglerade i dataskyddsförordningen (DSF) art. 37-39. DSO har en slags myndighetsställning som Integritetsskyddsmyndighetens förlängda arm.

    DSO ska självständigt och fristående gentemot ledning och förvaltningar se till att personuppgifter behandlas på ett lagligt och korrekt sätt samt påpeka eventuella brister. Med DSO följer att förteckning ska föras över personuppgiftsbehandlingar, se "Hantering av tillgångar".

    Informationssäkerhetschefen har ett nätverk med informationssäkerhetssamordnare på förvaltningarna. DSO har ett nätverk med dataskyddssamordnare på förvaltningarna. I verksamheten ska finnas kontaktpersoner både för informationssäkerhets- och dataskyddsfrågor.

    I dataskyddsorganisationen ingår även handläggare för registerutdrag dvs ärenden som kommer av DSF art. 15.

    Informationssäkerhets- och dataskyddsorganisationerna samverkar med hela Region Skåne med målet att informationssäkerhet och dataskydd ska genomsyra alla processer.

    Informationssäkerhetschef och DSO ingår i central prövningsinstans i Region Skåne även kallad KVB samt i nationella nätverk och samarbetsformer med bland annat andra landsting/regioner.

  • Erfarenheter visar att hotet mot informationssäkerheten ofta kommer inifrån den egna verksamheten och beror på bristande organisation som till exempel brister i ansvarsfördelning eller i kunskap. Hot kan emellertid också uppstå utanför verksamheten, från personer med anknytning till organisationen som exempelvis konsulter, praktikanter/studenter och leverantörer/företag.

    • Då personal anställs följs Region Skånes process för rekrytering.

      Innan anställning ska vissa uppgifter kontrolleras, exempelvis att giltigt körkort finns i förekommande fall. Ett annat exempel är att för befattningar som omfattas av legitimationskrav kontrollera att legitimationen är utfärdad, inte är återkallad samt om det finns begränsningar i receptförskrivningsrätten.

      Vid anställning ska anställda informeras om hur Region Skåne behandlar personuppgifter om anställda. Anställda som ska hantera sekretessbelagd information ska ta del av Sekretess inom hälso- och sjukvården.

      Sekretess i hälso- och sjukvården

      Vid anställning ska personal registreras i Skånekatalogen och därmed tilldelas HSA-ID som är en global unik identitet. Eventuella yrkestitlar läggs också in i Skånekatalogen samt kontaktuppgifter. För Skånekatalogen finns organisation och anvisningar/instruktioner för administration. Vissa uppgifter från Skånekatalogen är också tillgängliga i den nationella HSA-katalogen.

      Skånekatalogen och HSA

      Vid anställning ska personal få ett eTjänstekort (RS-kort). Detta är Region Skånes elektroniska ID-kort som används för att identifiera personal fysiskt och i IT-stöd.

      eTjänstekort (RS-kort) - IT-stöd och tjänster

      Vid anställning ska personal få tillgång till de resurser och bli tilldelade de rättigheter som behövs för att kunna utföra sina arbetsuppgifter. Läs mer i avsnittet om styrning av åtkomst till information.

    • Arbetstagare som hanterar känslig information är skyldiga att ta del av och följa gällande regelverk för informationssäkerhet. Bristande hantering, både avsiktlig men också oavsiktlig, hanteras på samma sätt som annan misskötsamhet som sker i anställningen.

      Bristande informationshantering kan påverka anställningen och i allvarligare fall medföra disciplinpåföljd eller andra arbetsrättsliga åtgärder. Vid misstanke om att personal har tagit del av mer information än vad han/hon har rätt till ska Dataintrång - åtgärder vid misstanke om olovlig åtkomst följas.

      Dataintrång - åtgärder vid misstanke om olovlig åtkomst (pdf)

      Vårdgivaren har ansvar för att gällande författningar och interna regelverk finns tillgängliga.

      Verksamhetschef/chef/arbetsledare har ansvar för att dennes personal blir informerad om gällande författningar och regelverk.

      Personal har ett egenansvar att följa gällande författningar och regelverk. Alla anställda ska vara uppmärksamma på om något misstänkt eller oförutsett inträffar dels i sin omgivning och dels i IT-stödet och kontakta platsansvarig respektive IT Servicedesk.

    • Då personal slutar eller ändrar sin anställning ansvarar närmaste chef för att de resurser, rättigheter och hjälpmedel som getts vid anställning tas bort eller ändras. Personal som slutar har också ett eget ansvar att så sker.

  • Information är en av Region Skånes viktigaste tillgångar och utgör en förutsättning för att kunna bedriva verksamhet. Våra informationstillgångar ska därför hanteras och skyddas på ett tillfredsställande sätt mot de risker som förekommer.

    Avbrott i tillgången till information kan vara kritiskt och felaktig information kan ge allvarliga konsekvenser inom hälso- och sjukvården, kollektivtrafiken och inom Region Skånes övriga ansvarsområden.

    Riktlinjer för tillgång till och utlämnande av patientinformation

    Regionstyrelsen antog 2009-05-12 (§ 161) riktlinjer för tillgång till och utlämnande av patientinformation.

    I riktlinjerna anges att Region Skåne ska utnyttja de möjligheter patientdatalagen ger för tillgång till patientinformation mellan vårdenheter inom det inre sekretessområdet mellan Region Skåne och vårdgivare som väljer att ingå i sammanhållen journalföring till patient genom direktåtkomst till delar av dennes journalinformation samt logguppgifter

    Riktlinjer för tillgång till och utlämnande av patientinformation (pdf)

    • Personuppgiftsbehandlingar

      Dataskyddsförordningen innehåller en skyldighet för den personuppgiftsansvarige att föra ett register över alla pågående personuppgiftsbehandlingar. Dataskyddsombudet (DSO) ansvarar för registret.

      Registret baseras på ett underlag, anmälan om behandling av personuppgifter, som innehåller uppgifter om i vilken verksamhet personuppgiftsbehandlingen används, vilken typ av uppgifter det är och för vilket ändamål de används mm. Den som initierar en personuppgiftsbehandling ansvarar för att den anmäls.

      Anmälan om behandling av personuppgifter (dsf.i.skane.se)

      Genom denna anmälan har Region Skånes en översikt över vilka behandlingar av personuppgifter som finns. 

      Allmänna handlingar

      Allmänna handlingar som inkommer eller upprättas i Region Skåne ska registreras i diariet. Dokument under pågående arbete definieras som arbetsmaterial och är inte allmän handling förrän arbetet är avslutat. Ansvarig tjänsteman har ett eget ansvar för att allmänna handlingar diarieförs.

      Mer information om Allmänna handlingar i Region Skånes Arkivhandbok

      Var och en har rätt att begära ut en allmän handling. Innan ett utlämnande ska det alltid göras en bedömning om handlingen omfattas av sekretess. Varje tjänsteman ansvarar för att ta emot och hantera en begäran om utlämnande.

      Utrustning och applikationer/tjänster

      I Region Skåne ska följande tillgångar finnas förtecknade:

      • Utrustning anslutet till RS Net – PC, medicintekniska produkter, skrivare men även applikationer/tjänster ska finnas förtecknade. Ansvarig för att hålla förteckningen är den regionala IT-verksamheten. Förteckningen innehåller uppgifter om inom vilken verksamhet utrustningen och applikationen/tjänsten används samt ansvarig. För hantering av programvaror se Anvisning för programvarutillgångars hantering från anskaffning till avveckling.
      • Medicintekniska produkter finns även förtecknade i inventariesystem oavsett om de är anslutna till RS Net eller inte. Ansvar för detta åvilar Medicinsk service. Förteckningen innehåller uppgifter om inom vilken verksamhet produkten används samt ansvarig.
    • Region Skånes informationstillgångar ska identifieras, klassificeras och ges en lämplig skyddsnivå med utgångspunkt i att de finns tillgängliga när de behövs (tillgänglighet), att de är korrekta (riktighet), att obehöriga inte kan få tillgång till dem (konfidentialitet) och att händelser i informationsbehandlingen kan spåras (spårbarhet).

      Region Skånes verksamheter ska, utifrån återkommande risk- och sårbarhetsanalyser och inträffade incidenter, avgöra hur risker ska hanteras och vidta nödvändiga åtgärder för att upprätthålla rätt skyddsnivå för informationen.

      För att uppnå målet med informationssäkerheten ska säkerhetsarbetet omfatta samtliga delar av administrativ respektive teknisk säkerhet.

    • Mål: Att förhindra obehörigt avslöjande, förändring, borttagning eller förstörande av tillgångar samt avbrott i verksamhet.

      Lagringsmedia, exempelvis USB-minnen, hårddiskar eller minneskort som innehåller för verksamheten väsentlig information, ska förvaras i utrymme som är konstruerade för ändamålet. Lagringsmedia med känslig information får inte avlägsnas från utrymme konstruerat för ändamålet utan annan skyddsmekanism, till exempel kryptering. Lagringsmedia och säkerhetskopior av dessa ska förvaras på geografiskt skilda platser.

      Avveckling/förstöring av informationsmedia

      Gallringsbart material och informationsmedium som innehåller personuppgifter - vare sig uppgifterna är av sekretessbelagd natur eller ej – och som inte längre ska användas för sitt ändamål ska avvecklas/förstöras på sådant sätt att uppgifterna inte kan återskapas eller komma i orätta händer. Dokumenterade rutiner ska finnas för detta.

      Fysiska/analoga media

      Pappershandlingar som får gallras ska förstöras i dokumentförstörare eller hanteras som sekretessavfall. För gallring av röntgenbilder gäller särskilda anvisningar.

      Digitala media

      Det ska finnas en anvisning för avveckling av lagringsmedia som använts av Region Skåne. Lagringsmedia inkluderar band som används för säkerhetskopiering, hårddiskar, minneskort, flyttbara hårddiskar, CD och DVD, och annan media med beständig lagringskapacitet.

      Anvisningen ska omfatta bland annat hur hårddiskar som använts i stationära och bärbara persondatorer, servrar, lagringskabinett, och skrivare ska hanteras vid avveckling. I de fall datamedia inte ägs av Region Skåne ska avtal med leverantör reglera hur avveckling av media hanteras.

      Datorer som utrangeras överlåts ibland till utomstående. Överlämnas utrustningen till ett företag, som förstör eller tar till vara delar, räcker det med att reglera frågan om förstörande av informationen på hårddisken i avtalet med företaget. Överlåts dator till enskild bör programmets F-disk köras och hårddisken därefter formateras så att informationens läsbarhet försvinner.

  • Grundkrav på säkerhet i informationssystem är att informationen ska vara tillgänglig och skyddas mot sekretessförlust, obehörigt utnyttjande, obehörig ändring, förvanskning samt vara spårbar.

    Enligt Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSLF-FS 2016:40) har hälso- och sjukvårdspersonal och andra befattningshavare följande ansvar:

    • För att personliga lösenord och hjälpmedel för autentisering inte kan bli tillgängliga för andra.
    • Datorer eller andra enheter som används för att hantera uppgifter
      om patienter inte lämnas utan att uppgifterna är skyddade mot obehörig åtkomst.
    • Endast ta del av patientuppgifter om han eller hon deltar i vården av patienten och behöver uppgifterna för sitt arbete.
    • Patient

      Som unik identitet på patient utnyttjas personnummer. För personer som saknar personnummer används ett så kallat reservnummer. Se Identitetskontroll - legitimering. Regiongemensamma system ska göra kontroll av personnummer mot befolkningsregistret och/eller PASiS, se Befolkningsregistret inom Region Skåne, tillgång och användning.

      Om personnummer saknas ska gällande regler för reservnummeranvändning i Region Skåne följas, se Identitetshantering för patient.

      Patienten har rätt att spärra sin information så att åtkomst begränsas för personal utanför aktuell vårdenhet/vårdprocess. Detta tas upp i Anvisningar för spärrhantering av elektronisk patientinformation. Anvisningarna är generella och gäller oberoende av enskilda IT-stöd/system.

      Personal

      Personal i Region Skåne ska vara unikt identifierad med identitet i form av HSA-ID från Nationell katalogtjänst HSA. HSA-ID är en global unik identitet, som byggs upp av beteckning för Sverige, Region Skånes organisationsnummer och ett unikt löpnummer. Identiteten verifieras elektroniskt med hjälp av eTjänstekort, Region Skånes elektroniska ID-kort.

      Hälso- och sjukvårdspersonal får ta del av de patientuppgifter som är
      nödvändiga för att utföra sitt arbete inom hälso- och sjukvård. Vad som ingår i arbetet bestäms ytterst av verksamhetschef. Läs mer under avsnittet om styrning av åtkomst till information.

      Åtkomst till information

      Utomstående parter

      Med utomstående parter avses inhyrd personal, hälso- och sjukvårdsstuderande, externa vårdgivare och leverantörer. Dessa ska vara unikt identifierade på samma sätt som Region Skånes personal.

      För utomstående parter som hanterar sekretessbelagd information ska Avtal om tystnadsplikt skrivas.

      Avtal om tystnadsplikt (pdf)

      Inhyrd personal

      För inhyrd personal gäller samma förfarande som för anställda i Region Skåne vid administration av åtkomst till information.

      Hälso- och sjukvårdsstuderande

      Hälso- och sjukvårdsstuderande behöver för sin utbildning tillgång till patientinformation i varierande grad och ges tillgång utifrån samma kriterier som för anställda och inhyrd personal. Se Instruktion om styrning av behörigheter för åtkomst till uppgifter om patienter. 

      Externa vårdgivare

      Verksamhets- och organisationsförändringar inom Hälso- och sjukvård innebär en utveckling mot ökad samverkan och därmed ett ökat behov av tillgång till information mellan vårdgivare. Med vårdgivare avses exempelvis kommun, privata vårdgivare med eller utan avtal med Region Skåne, andra landsting samt statliga verksamheter som bedriver hälso- och sjukvård.

      Vid åtkomst till information mellan vårdgivare ska Riktlinjer för tillgång till patientuppgifter följas.

      Riktlinjer tillgång till patientuppgifter (pdf)

      Åtkomst till information mellan Region Skåne och andra vårdgivare ska vara särskilt reglerat i avtal om Sammanhållen journalföring.

      Sammanhållen journalföring mellan Region Skåne och andra vårdgivare (pdf)

    • All tillgång till Region Skånes information, ska styras med hjälp av nedanstående administrativa och tekniska skyddsåtgärder.

      Åtkomstadministration

      Verksamhetschef inom hälso- och sjukvården eller motsvarande chef i annan verksamhet ansvarar för tilldelning och avregistrering av behörigheter. Systemägaren ansvarar för behörighetstilldelning för leverantörer. Behörigheten ska vid varje tillfälle baseras på användarens arbetsuppgifter och organisatorisk tillhörighet. Innan en användare tilldelas behörigheter ska:

      • En behovs- och riskbedömning göras
      • Användaren ha tillräckliga kunskaper och utbildning

      Styrning av behörigheter för åtkomst till uppgifter om patienter (pdf)

      Hantering av patientuppgifter för kvalitetssäkring inom vård och behandling i Region Skåne (pdf)

      All tilldelning av behörigheter ska dokumenteras och regelbundet följas upp. Detta ska även ske efter varje större organisations- eller systemförändring.

      Åtkomst med utvidgade behörigheter, s k administratörsbehörigheter, ska begränsas till så få personer som möjligt.

      Systemadministrativa arbetsuppgifter ska utföras av starkt autentiserad personal för att säkerställa spårbarhet. Teknisk personal bör vara starkt autentiserad.

      Kvalitetsregister

      Inom Region Skåne har vårdenhet som registrerar/rapporterar in till kvalitetsregister endast rätt till åtkomst till sina egna uppgifter och beroende på behörigheter även till andra vårdenheters uppgifter i registret.

      Åtkomst till andra vårdgivares uppgifter i ett regionalt eller nationellt register kan endast ges i avidentifierad form. I de fall då Region Skåne är centralt personuppgiftsansvarig för ett regionalt eller nationellt kvalitetsregister har den av Region Skåne utsedd ansvarig för kvalitetsregistret tillgång till samtliga personuppgifter.

      Åtkomstkontroll

      Tillgång till IT-system ska styras med hjälp av åtkomstkontroll. Varje användares identitet ska verifieras, såväl personal som utomstående parter.

      Stark autentisering

      För åtkomst till patientuppgifter över öppna nätverk krävs stark autentisering enligt HSLF-FS 2016:40 Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården. Stark autentisering innebär att identiteten kontrolleras på två olika sätt.

      I Region Skåne använder personalen eTjänstekort (RS-kort) och tillhörande SITHS certifikat för att uppfylla stark autentisering. Medborgare/patient samt utomstående parter använder e-legitimation tillsammans med en personlig säkerhetskod för att uppfylla stark autentisering.

      Extern åtkomst

      Fjärranslutning till IT-resurser på Region Skånes nätverk ska ske via särskild hänvisad tjänst för extern åtkomst. Se också anvisning för åtkomst till vårdtjänst via RSVPN.

      Innan tjänsten används ska anställda och samverkansparter ska ta del av Ansvarsförbindelse.

      Extern åtkomst - Ansvarsförbindelse (pdf)

      Loggning och uppföljning

      För att säkerställa att endast behöriga användare har åtkomst till viss information, ska åtkomst loggas och tilldelade rättigheter följas upp. 

      Loggning görs även med syfte för driftövervakning, felsökning, incidentspårning, för att ta fram statistik samt för uppföljning vid misstanke om brottsligt beteende.

      Verksamhetschef inom hälso- och sjukvården eller motsvarande chef i annan verksamhet ansvarar för att följa upp loggar. Systemägaren ansvarar för uppföljning av åtkomsten för leverantörer.

      Alla användare ska vara informerade om att loggning sker och på vilket sätt samt att uppföljning sker av loggningen.

      Loggkontroll - instruktion (Region Skånes intranät)

      Verksamhetschef/motsvarande chef ska vid misstanke agera enligt instruktion om åtgärder vid misstanke om olovlig åtkomst.

      Dataintrång - åtgärder vid misstanke om olovlig åtkomst (pdf)

  • Sekretessbelagd information ska skickas med säker e-post. Det innebär att informationen är krypterad och signerad och att sändare och mottagare är säkert identifierade. Ärendemeningen krypteras inte och får därför inte innehålla några känsliga uppgifter eller information som omfattas av sekretess.

  • Verksamheten ska ha en anpassad säkerhet beroende på vilken information och utrustning som hanteras. Detta ställer krav på att lås, dörrar, övrig byggnadskonstruktion, inbrottslarm mm anpassas till den säkerhetsnivå som bedömts nödvändig.

    Säkrade utrymmen

    Ett av målen är att förhindra obehörigt fysiskt tillträde, skador och störningar i organisationens lokaler och information.

    Kritiska eller känsliga informationsbehandlingsresurser bör inrymmas i säkra utrymmen inom ett avgränsat skalskydd med lämpliga säkerhetsspärrar och tillträdeskontroller. De bör fysiskt skyddas mot otillåten åtkomst, skada och störning. Skyddets nivå bör stå i proportion till förekommande risker.

    Skydd av utrustning

    Ett annat mål är att förhindra förlust, skada, stöld eller skadlig påverkan på tillgångar och avbrott i organisationens verksamhet.

    Utrustning bör skyddas mot fysiska hot och miljömässiga hot. Skydd av utrustning (även sådan som används utanför organisationens lokaler och vid bortflyttning av egendom) krävs för att minska risken för obehörig åtkomst av information och skydda mot förlust och skada.

    Det bör också beaktas var utrustning installeras och hur den avvecklas. Särskilda åtgärder kan krävas för att skydda mot fysiska hot och för att skydda försörjningsutrustning, till exempel elförsörjning och kablage.

    Tillträdesbegränsning

    Ett mål är också att förhindra obehöriga att få tillgång till lokaler eller andra utrymmen dit de ej är behöriga. Detta gäller såväl Region Skånes egna lokaler som förhyrda.

    Regionservice är ansvarig för fysiska skyddsåtgärder i Region Skåne och samverkar med funktionerna för IT, krisberedskap och säkerhet liksom företrädare för respektive verksamhet. Tillträdesbegränsning består i sina grunddelar av passersystem och RS-kortet.

    Anvisningar för utförande ska följas. Därutöver har Region Skåne fastställt strategi och övergripande mål för fysisk säkerhet.

    • Mål: Att säkerställa korrekt och säker drift av informationsbehandlingsresurser.

      Det ska finnas dokumenterade rutiner och instruktioner för hur driften av Region Skånes informationssystem sköts. Inom Region Skåne används ITIL (Information Technology Infrastructure Library) samt Verksamhetsstyrd styr- och förvaltningsmodell.

      Det ska finnas en dokumenterad rutin för hantering av säkerhetsincidenter och funktionsfel och det ska finnas regler för delegering av resurser för incidentberedskap och ledning/åtgärder vid en inträffad incident. Denna rutin beskrivs närmare i kapitlet om Hantering av informationssäkerhetsincidenter.

      Det ska finnas driftdokumentation för varje informationssystem som minst omfattar:

      • säkerhetskopiering
      • återstarts- och återställningsrutiner
      • hantering av revisionsspår och logginformation

      Driftdokumentationen ska innehålla instruktioner om hur informationssystemet installeras och konfigureras, och en kopia av driftdokumentationen ska förvaras skyddad och åtskild från driftstället. Driftsdokumentationen får alltså inte endast finnas lagrad på samma fysiska plats som informationssystemet.

      Tjänstespecifika krav på innehållet i driftsdokumentation för varje informationssystem ska regleras i SLA.

      Det ska finnas driftsdokumentation för samtliga Region Skånes informationssystem. Dokumentationen ska omfatta all utrustning som används av eller har påverkan på varje informationssystem.

      Vid förändringar av informationssystem i Region Skånes drift ska regler finnas för

      • identifiering och registrering av viktiga ändringar
      • planering och test av ändringar
      • rutin för formellt godkännande av föreslagna ändringar
      • driftdokumentation som i rimlig omfattning och grad ska vara fullständig och aktuell samt uppdateras vid förändringar
      • beslut om tidpunkt för installation av nya programversioner (systemägaren beslutar)
      • dokumentation av installation av nya programversioner

      Test och utveckling av informationssystem inom Region Skåne ska ske åtskilt från driftsmiljö, i särskild test och utvecklingsmiljö. Data som används i test och utvecklingsmiljö ska skiljas från produktionsdata och innan produktionsdata får användas för test och utveckling ska informationen granskas och vid behov förändras, till exempel avidentifiering av personuppgifter.

      Behörigheter ska sättas separat för test och utveckling, så att behörighet till ett informationssystems testmiljö inte automatiskt också ger behörighet till produktionsmiljö.

    • Mål: Att säkerställa systemintegritet för programvara och riktighet i information.

      Det ska finnas en automatiserad rutin för uppdatering av sårbarheter funna i operativsystem och applikationsprogram.

      Det ska finnas rutiner för skydd mot skadlig programkod som:

      • minst detekterar förekomsten av sådan
      • kontinuerligt bevakar och implementerar nya uppdateringar
      • gäller både för servrar och klienter
      • startar skyddet automatiskt

      Skydd mot skadlig programkod ska installeras på olika ställen i driftsmiljön för att uppnå ett så heltäckande skydd som möjligt. Det ska finnas skydd på datorer och om möjligt på kringutrustning.

      Det ska finnas skydd på e-postservrar och i filter för nätverkstrafik (webbfilter). Det heltäckande skyddet bör koordineras så att inte en enda antivirusmotor används för skydd på samtliga nivåer.

      En av de primära spridningsvägarna för skadlig kod är via nätverk. Det ska finnas en anvisning för vilken utrustning som får anslutas till Region Skånes nätverk, RSnet, samt vilken utrustning som får anslutas till annan utrustning som i sin tur är ansluten till nätverket.

      I anvisningen ska beskrivas i vilken mån användare får installera program på utrustningen, samt vilket godkännande som krävs för att ansluta utrustning av olika typ till nätverket.

    • Mål: Att bevara informationens och informationsbehandlingsresursers riktighet respektive systemintegritet samt tillgänglighet.

      Det ska finnas en gemensam, dokumenterad, basnivå för säkerhetskopiering av information inom Region Skåne. Basnivån ska omfatta:

      • intervallen för kopiering
      • hur många generationer säkerhetskopior som ska finnas
      • hur säkerhetskopior ska förvaras
      • om och när kontroll av säkerhetskopiornas läsbarhet ska genomföras

      Driftsdokumentationen för informationssystem ska innehålla krav på säkerhetskopiering. I dokumentationen ska ingå:

      • vilken information som ska omfattas av säkerhetskopiering
      • intervallen för kopiering
      • hur många generationer säkerhetskopior som ska finnas
      • hur säkerhetskopior ska förvaras
      • om och när kontroll av säkerhetskopiornas läsbarhet ska genomföras
      • hur och hur ofta test av att informationssystem kan återstartas från säkerhetskopior ska genomföras

      Säkerhetskopior ska förvaras på plats geografiskt skild från driftstället. Utrustning som behövs för läsning av säkerhetskopia ska finnas på plats geografiskt skild från driftstället.

      Källkod till egenutvecklade informationssystem, installations- och konfigurationsfiler för installation av i informationssystem ingående delar och driftsdokumentation ska säkerhetskopieras vid införande och vid förändring.

    • Mål: Att säkerställa skyddet av information i nätverk och i tillhörande infrastruktur.

      Region Skånes nätverk ska skyddas mot hot från omgivande nätverk med lämpliga skyddsmekanismer, såsom brandväggar och intrångsskydd.

      Vid åsidosättande av skyddsmekanism, såsom öppning i brandvägg, ska riskanalys genomföras och dokumenteras. Riskanalysen ska ta hänsyn till den sammantagna skyddsnivån för nätverket som helhet. Penetrationstester av skyddsmekanismer ska genomföras vid förändringar där dokumenterad riskanalys visat att så behövs.

      Region Skånes nätverk ska vara segmenterat, det vill säga avdelat i olika segment med skyddsmekanismer, till exempel brandväggar.

      Segmenteringen syftar dels till att dela upp nätverket för att underlätta återställande efter större virusangrepp, dels till att ge tillgång till skyddsmekanismer på nätverksnivå mellan olika system och mellan delar av samma system – till exempel mellan klienter och centrala servrar.

    • Mål: Att bibehålla säkerheten för information och programvara som utbyts inom organisationen och med externa enheter.

      Informationsutbyte äger rum när en part får tillgång till information som annan part förfogar över och avser inte endast traditionell meddelandeöverföring utan också åtkomst till information eller att distribution/hämtande av information sker via internet/intranät.

      Vid allt informationsutbyte finns ett antal gemensamma hot och risker. Informationen kan bli förändrad eller förvanskad, tappas bort, dubbleras felaktigt, göras åtkomlig för obehörig, mottagning och sändning kan förnekas samt en avsändaradress kan vara felaktig.

      Krav måste därför ställas på informationens:

      • tillgänglighet – att behöriga användare ska få tillgång till den information som behövs för att utföra sina arbetsuppgifter och att skydd ska finnas mot förlust och fördröjning
      • sekretess – att skydd ska finnas mot obehörig åtkomst
      • riktighet/integritet – att skydd ska finnas mot förvanskning eller förändring
      • spårbarhet – att möjlighet ska finnas att följa upp hur informationssystemet används.

      Vid utbyte av information inom Region Skåne gäller de åtkomstregler som anges i kapitlet om Styrning av åtkomst. Vid överföring av patientuppgifter ska informationen vara krypterad om överföringen sker över öppet nätverk. Region Skånes nätverk som helhet definieras som ett öppet nätverk.

      Krav på stark autentisering och kryptering gäller även vid utbyte av patientuppgifter mellan olika informationssystem samt mellan delar av samma informationssystem. Delar av Region Skånes nätverk kan, under förutsättning att andra skyddsmekanismer som skyddar informationen finns på plats, betraktas som icke öppet nätverk.

      Vid utbyte av patientuppgifter mellan informationssystem och mellan delar av samma i informationssystem ska åtkomst ske med autentisering där identitet styrks med SITHS-certifikat.

      Vid införande eller förändring av informationssystem ska riskanalys utifrån skyddsvärdet av den aktuella informationen genomföras. Om överföring av information sker via annat än Region Skånes nätverk ska det vid riskanalysen även göras bedömning av den sammantagna skyddsnivån för Region Skånes nätverk som helhet.

    • Internet, e-post, telefoni såväl som digitala plattformar är arbetsredskap. Användningen ska följa gällande lagar och regelverk och ska ske på ett etiskt och korrekt sätt. Endast utrustning och tjänster som tillhandahålls av Region Skåne ska användas och information som omfattas av sekretess ska hanteras på lagringsytor som är avsedda för denna typ av information. I yrkesutövningen ska den mejladress som tilldelats i tjänsten användas. 

      För e-post, liksom för fax och konventionell post, gäller reglerna om allmänna handlingar inom Region Skåne. Det betyder att användare är skyldiga att hantera e-post enligt gängse postrutiner.

      Detta innebär att såväl inkommande som utgående e-postmeddelanden samt även i förekommande fall bifogade bilagor, som uppfyller förutsättningarna för att kallas allmänna handlingar, ska överlämnas till registrator för registrering eller hållas ordnade på annat sätt.

      För att kunna fullgöra den rättsliga skyldigheten att lämna ut allmän handling kan arbetsgivaren ha rätt att ta del av uppgifter som finns i ett e-postmeddelande.

      Sekretessbelagd information ska skickas med säker e-post. Det innebär att informationen är krypterad och signerad och att sändare och mottagare är säkert identifierade. Ärendemeningen krypteras inte och får därför inte innehålla personuppgifter.

      E-post och bilagor ska hanteras med försiktighet, på grund av spridning av datorvirus. Vid misstanke om virus ska bilagan inte öppnas och inte vidarebefordras. Utrustning som används för åtkomst till Internet och för hantering av e-post och bilagor ska ha uppdaterat virusskydd.

      Användningen av Internet och e-post registreras med möjlighet att spåra aktiviteter under en begränsad tid. För Internet loggas användarens RSID, IP-adress, destinationsadress och tidpunkt. För e-post loggas avsändare, mottagare, tidpunkt och ärendemening.

      Även nätverks/domäninloggning registreras. Loggningen görs för driftövervakning, för att ta fram statistik samt vid misstanke om brottsligt beteende eller användning som strider mot dessa regler. 

  • Då verksamheten har behov eller krav på förändring av systemstöd startar en process för utveckling. Det kan innefatta både utveckling av befintligt systemstöd, men också utveckling av nya systemstöd.

    Informationssäkerhet och IT-säkerhet ska beaktas och byggas in under utvecklingsfasen av ett IT-stöd och ingå som krav vid upphandling.

    Vid utveckling av nya tjänster som hanterar personuppgifter ska regler och krav för behandling av personuppgifter i Region Skåne följas. Personuppgiftsbehandling i Region Skåne innehåller en sammanställning av dessa regler och krav.

    Personuppgiftsbehandling i Region Skåne - Sammanställning av regler och krav (pdf)

  • Leverantörer/personuppgiftsbiträde

    Leverantörer som sköter drift/underhåll av system/IT-tjänster/applikationer för Region Skånes räkning är personuppgiftsbiträde. Deras tillgång till regionens information innehållande personuppgifter ska regleras i tjänsteavtal och personuppgiftsbiträdesavtal. 

    Instruktion och mall för upprättande av Personuppgiftsbiträdesavtal

    Hantering av tredjepartsleverantör av tjänster

    Det ska finnas en anvisning för hur Region Skåne följer upp och granskar utomstående leverantörers tjänster. Vid förändringar i utförande av utomstående leverantörs tjänster ska en förnyad bedömning av risker med förändringen göras.

  • Informationssäkerhetsincidenter ska fångas upp för användning i uppföljnings- och förbättringsarbete.

    Incidenter och avvikelser

    Det är viktigt i ett strukturerat säkerhetsarbete att kunna identifiera och lära av ofta förekommande eller större incidenter och avvikelser.

    Region Skånes instruktion för hantering av informationssäkerhetsincidenter anger på vilket sätt Region Skåne ska hantera informationssäkerhetsincidenter utifrån den klassificering som görs.

    Informationssäkerhetsincidenter - Instruktion (pdf)

    För att rapportera avvikelser används ett regiongemensamt avvikelsehanteringssystem, AViC.

    Avvikelsehantering i AvIC

    Incidenter fångas även upp i andra processer.

  • Region Skånes verksamhet är samhällsviktig. Eftersom samhällsviktig verksamhet måste kunna upprätthållas även under allvarliga och extraordinära händelser, ska sådan verksamhet planera för kontinuitet. Funktion för krisberedskap och säkerhet leder och samordnar det regionala arbetet.

    Verksamhetsansvariga för samhällsviktiga funktioner och verksamheter ansvarar för att kontinuitetsplanera den egna verksamheten.

    Informationssäkerhetsaspekter

    Respektive förvaltningschef/motsvarande ansvarar för kontinuitetsplanering i den egna verksamheten.

    Verksamhetens krav på tillgänglighet för regiongemensamma informationssystem finns definierade i tillgänglighetsnivåer (SLA). Kontinuitetsplanering för IT-stöd förekommer i vissa Tjänste-SLA, exempelvis möjlighet att läsa journalinformation i ett läge då ordinarie journal inte är åtkomlig att arbeta i.

    Tillgänglighetsnivåerna ska användas i verksamhetens kontinuitetsplanering.

    Verksamheten ska ha reservrutiner för att kunna hantera allvarliga händelser, störningar och andra oplanerade avbrott. Funktionsförvaltare för IT-stöd ska bistå verksamheten med alternativa lösningar.

  • Myndigheters verksamheter regleras av lagar och föreskrifter. Dessa påverkar krav som ställs på informationshanteringen i IT-stöd såväl som i pappersburen form. I detta ledningssystem är de rättsliga kraven i huvudsak inriktade på hur sekretessbelagd/känslig information ska hanteras och skyddas.

    • Granskning av informationssäkerhets-, IT-säkerhets- och personuppgiftsfrågor utövas på olika nivåer.

      Extern nivå

      Integritetsskyddsmyndigheten, IMY

      IMY är tillsynsmyndighet för hantering av personuppgifter enligt dataskyddsförordningen samt även patientdatalagen och kontrollerar att regler om åtkomst, information till de registrerade samt säkerhetsåtgärder följs.

      IMY samverkar med Inspektionen för vård och omsorg avseende informationssäkerhetsansvaret för informationshanteringen inom hälso- och sjukvården.

      Inspektionen för vård och omsorg, IVO

      IVO är tillsynsmyndighet för patientsäkerhet inklusive informationssäkerhet i vården samt journaldokumentation. Grunder i tillsynen finns i Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSLF-FS 2016:40) och Socialstyrelsens föreskrifter och allmänna råd om ledningssystem för systematiskt kvalitetsarbete (SOSFS 2011:9).

      IVO samverkar med IMY enligt ovan.

      Region- och förvaltningsnivå

      Revisionen

      Region Skånes revisorer har fullmäktiges uppdrag att årligen granska all verksamhet. Revisionens mål är att verka för ändamålsenlig verksamhet, hög effektivitet, god ordning samt korrekt redovisning. Läs mer om revisionen på www.skane.se/revisionen .

      Informationssäkerhetsorganisationen

      Informationssäkerhetschef ska en gång per år rapportera om händelser och åtgärder av större betydelse till regionstyrelsen. Förvaltningarnas informationssäkerhetssamordnare ska följa upp informationssäkerhetsarbetet inom förvaltningen.

      Dataskyddsombudet och förvaltningarnas dataskyddssamordnare ska se till att uppföljningar görs så att personuppgifter behandlas korrekt enligt IMY:s krav.

      En hjälp för att följa upp informationssäkerheten och hanteringen av personuppgifter är inrapporterade och sammanställda informationssäkerhetsrelaterade incidenter/avvikelser.

      Verksamhetsnivå

      Den interna tillsynen – i själva verket den viktigaste - genomförs av den egna verksamheten och är en ständigt pågående process som omfattar

      • felanmälan av IT incidenter.
      • avvikelserapportering av negativa händelser eller tillbud i vården men också rapportering av förbättringsförslag.
      • att i verksamhetsuppföljningen beskriva vilka säkerhetsåtgärder som vidtagits.
  • Samverkan mellan verksamheter inom Region Skåne med hjälp av IT-stöd ökar, liksom behovet av samverkan med omvärlden. Hälso- och sjukvården förväntas samverka med privata vårdgivare, kommuner, andra regioner och myndigheter.

    Patientdatalagen (2008:355) ger förutsättningar för samverkan, men ställer krav. I Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSLF-FS 2016:40) preciseras kraven som bland annat innebär ett strukturerat arbete med informationssäkerhet.

    Enligt Region Skånes riktlinjer för informationssäkerhet ska ett ledningssystem för informationssäkerhet finnas i Region Skåne som ett instrument för ett strukturerat arbete.
     
    Ledningssystemet för informationssäkerhet utgår ifrån SIS standard Ledningssystem för informationssäkerhet SS-ISO/IEC 27001 samt Riktlinjer för informationssäkerhetsåtgärder SS-ISO/IEC 27002. För förklaringar av termer och begrepp inom området finns en terminologi för informationssäkerhet som SIS har tagit fram.

    Standarden och terminologin finns tillgänglig på Svenska institutet för standarders (SIS) webbsida.

    Våra standarder (sis.se)

    Ledningssystemet fokuserar på informationshantering med IT-stöd, men berör också manuell hantering. Ledningssystemet är uppdelat i ett antal områden som sammanfattar vad som gäller avseende informationssäkerhet i Region Skåne.

    Det innehåller också tillämpningsanvisningar, instruktioner, anvisningar och rutiner som konkretiserar krav inom respektive område. 

    Ledningssystemet för informationssäkerhet är ett levande instrument som utvecklas fortlöpande.

    Informationssäkerhet

Fick du hjälp av informationen på sidan?

Tänk på att

Informationen på webbplatsen är till för offentlig och privat vårdpersonal i Skåne.

Tack för din hjälp att förbättra webbplatsen, dina synpunkter har skickats till webbredaktionen.