Hensikten med denne prosedyren er å beskrive overordnede krav for organisering og gjennomføring av risikostyring slik at
Hemit HF og Helse Midt-Norge er i stand til å systematisk håndtere informasjonssikkerhetsrisiko på en tilfredsstillende måte gjennom å etablere tekniske og organisatoriske tiltak. Dette inkluderer å sikre både konfidensialitet, integritet, tilgjengelighet og robusthet i informasjonssystemene.
Risikostyring innen informasjonssikkerhet skal omfatte hele Hemit HF og alle endringer i virksomheten som kan påvirke informasjonssikkerheten, inkludert endringer i systemer, prosedyrer og databehandlinger eller endringer i trusselbildet og omgivelsene forøvrig.
Ledere på alle nivåer er risikoeiere og ansvarlig for risikostyring innen informasjonssikkerhet i egen enhet, inkludert å påse at risikoen holdes innenfor akseptabelt nivå og at vedtatte tiltak implementeres.
Prosjektledere, releaseledere, oppdragskoordinator, tjenesteutvikler og andre med ansvar for innføring eller endring system, prosedyre eller databehandling er ansvarlig for å gjennomføre risikovurdering som grunnlag for risikostyring.
Informasjonssikkerhetsrådgiver har ansvar for å vedlikeholde og oppdatere dette dokumentet, samt bistå og være rådgiver for virksomheten knyttet til risikostyring og risikoreduserende tiltak.
Helseforetakenes delegering av myndighet og oppgaver
Hvem som er risikoeier i de øvrige helseforetakene i Helse Midt-Norge er beskrevet i NO-4 Organisering av informasjonssikkerhets og personvern i Helse Midt-Norge. Øvrig delegering av myndighet og utøvende sikkerhetsansvar er nærmere beskrevet i det respektive helseforetaks fullmaktsmatrise.
Se Kilder og definisjoner for informasjonssikkerhet og personvern (Ikke tilgjengelig)
Risikoeiers vurdering av behov for risikovurdering
Det er ikke mulig eller hensiktsmessig å gjennomføre risikovurderinger på absolutt alt i virksomheten. Beslutningen om det skal gjennomføres risikovurdering eller ikke, er risikoeiers ansvar. Risikoeiere skal ha tilstrekkelig oversikt over sitt ansvarsområde for å kunne prioritere risikovurderinger, slik at arbeidet med risikovurdering og -håndtering gjøres på en effektiv måte. Risikoeier er dermed ansvarlig for å identifisere og håndtere risiko som kan medføre utilsiktet eller uautorisert (ulovlig) tilgang, endring, sletting, tap eller utlevering av personopplysninger og/eller annen virksomhetskritisk informasjon. Risikoeier er ansvarlig for at risikovurdering og risikohåndtering dokumenteres.
For å vite hvilke risikoer som er så store at de må prioriteres, og for å få oversikt over helheten, kan risikoeier gjennomføre noen delaktiviteter:
Med bakgrunn i foranalysen kan risikoeier prioritere hvilke risikovurderinger som skal gjøres først. Mer informasjon knyttet til foranalyse av eget ansvarsområde finnes hos Digitaliseringsdirektoratet (Digdir): Digdir-internkontroll i praksis og vurdering av risiko
Risiko vurderes med hensyn på konsekvensene beskrevet i Dokumentet er ikke gyldig (Ikke tilgjengelig). En risikovurdering skal gi kunnskap om hvilke risikoer som eksisterer innenfor et gitt område/omfang for å kunne iverksette risikoreduserende tiltak og dermed oppnå et akseptabelt sikkerhetsnivå.
Informasjonssikkerhet skal ivaretas og dokumenteres i alle faser av en leveranse. Hemit skal som dataansvarlig, databehandler og oppdragsgiver stille krav til sikkerhet ved anskaffelser. Anskaffelser og egenutvikling av programvare (f.eks i prosjekt, oppdrag, release, og systemutvikling) skal identifisere og vurdere sikkerhetsrelaterte føringer som er relevant å ta hensyn til. (Eksempel; Identifiserte verdier som skal beskyttes er helseopplysninger i et behandlingsrettet helseregister, dette vil gi skjerpede føringer for hvilke overordnede sikkerhetskrav som stilles.)
Egenutvikling av programvare som utføres av Hemit skal ivareta personvern som standardinnstilling, dette kan dokumenteres med en risikovurdering.
Skal IT-løsninger tjenesteutsettes til utlandet skal vertslandet vurderes som en del av den totale risikovurderingen.
Veileder for gjennomføring av risikovurdering av informasjonssikkerhet (Ikke tilgjengelig) og Rapportmal for risikovurdering av informasjonssikkerhet i HMN (Ikke tilgjengelig) og Mal Risikovurderingsskjema (Ikke tilgjengelig) er vedlagt prosedyren, og skal gi en praktisk tilnærming til gjennomføring av risikovurderinger av informasjonssikkerhet. Rapportmal for risikovurderinger og risikovurderingsskjema skal benyttes for alle risikovurderinger av informasjonssikkerhet som gjøres i Helse Midt-Norge.
Veileder er ment for støtte for analyseleder og arbeidsgruppe i gjennomføringen av risikovurdering. Det er ikke et krav at veileder skal følges, men det anbefales sterkt at den følges. En risikovurdering skal som minimum følge hovedfasene i veiledningen og minimum inneholde følgende:
Formål og kontekst
Formål for risikovurderingen skal beskrives, samt hvilke avgrensninger og forutsetninger som ligger til grunn.
Analyseobjektet skal beskrives tilstrekkelig til at risiko kan vurderes. Det skal beskrives og begrunnes spesifikt dersom en risikovurdering avviker fra etablert metode.
Usikkerheter og eventuelle antagelser skal beskrives.
Roller og organisering
Det skal defineres hvem som er risikoeier for analyseobjektet i risikovurderingen. Risikoeier(e) skal sørge for at nødvendige ressurser er tilgjengelige.
Avhengig av kontekst kan nødvendige ressurser omfatte helsepersonell og personell med kompetanse innen relevante arbeidsprosesser, IKT-systemer, IKT-arkitektur, kommunikasjon/omdømme, informasjonssikkerhet og personvern.
Verdivurdering
Verdier som er knyttet til analyseobjektet skal identifiseres og dokumenteres i risikovurderingen. Det skal fremgå av risikovurderingen hvilke sikkerhetsrelaterte føringer som er relevante å ta hensyn til, basert på foregående verdivurdering.
Farer og trusler
Risikostyringsprosessen og tilhørende risikovurderinger skal ta utgangspunkt i den til enhver tid gjeldende trusselvurdering. Dokumentet er ikke gyldig (Ikke tilgjengelig)
Kriterier og akseptabel risiko
Nivå for sannsynlighet og konsekvens av hendelser skal angis i tråd med kriteriene beskrevet i Regionalt rammeverk for risikostyring i Helse Midt-Norge, vedlegg A. Nivået for akseptabel risiko som er fastsatt i Dokumentet er ikke gyldig (Ikke tilgjengelig) skal legges til grunn, med mindre det er særskilte omstendigheter som gjør det nødvendig å fravike dette.
Risikoidentifisering
Alle verdier som inngår i analyseobjektet skal identifiseres og angis som informasjon, IKT-system, infrastruktur (nettverk), eller arbeidsprosess. Videre skal det angis hvilke trusselaktører som kan ha interesse i verdiene og hvilke trusler disse kan utøve mot verdiene.
Basert på verdier, trusselaktører og trusler skal potensielle hendelser beskrives. For hver av hendelsene skal det beskrives hvilke trusler og sårbarheter som kan bidra til at hendelsen oppstår og hvilke eksisterende tiltak som kan forhindre dette.
Risikoanalyse
For hver av hendelsene skal sannsynligheten angis i tråd med kriteriene for fastsettelse av sannsynlighet.
Konsekvenser skal vurderes for alle relevante konsekvensområder og angis etter høyeste nivå av konsekvens innen et område i henhold til kriterier for fastsettelse av konsekvensnivå. Eksempel: Endelig konsekvensnivå for en hendelse skal settes lik høyeste identifiserte konsekvensnivå for de ulike konsekvenskategoriene» Eks. Dersom man setter konsekvens 4 på Personvern og 3 på øvrige konsekvenskategorier, skal endelig konsekvens for gitt hendelse settes til 4.
Risikoevaluering
NÅ-risiko (før tiltak) ved hver hendelse sammenlignes og kategoriseres i henhold til nivå for akseptabel risiko, i for eksempel en risikomatrise. Arbeidsgruppens vurdering av oppnåelse av Normens krav og øvrige sikkerhetsmål skal beskrives.
NÅ-risiko skal evalueres ved å sammenligne med gjeldende risikoakseptkriterier i Helse Midt-Norge. Ved moderat, høy eller svært høy risiko skal sikkerhetstiltak etableres slik at:
• tiltakene omfatter både rutiner medarbeiderne forutsettes å følge, og tiltak som i minst mulig grad kan påvirkes eller omgås uaktsomt av medarbeiderne
• tiltakene ikke kan omgås av eksterne, selv om disse opptrer med forsett
• det er liten sannsynlighet for at virksomhetskritisk informasjon og særlige kategorier av personopplysninger kompromitteres
• man får moderat grad av sannsynlighet for kompromittering av øvrige personopplysninger, og intern informasjon, forutsatt at dette ikke øker sannsynligheten for kompromittering av særlige kategorier personopplysninger og/eller virksomhetskritisk informasjon
• det går flere år mellom hendelser som får moderat konsekvens for helsehjelpen, forholdet til pasienten, helseforetaket/-personellet og for øvrige medarbeidere
• hendelser med alvorlig konsekvens blir vanskeligere å forårsake og vil inntreffe sjeldnere
REST-risiko (etter tiltak) ved hver hendelse sammenlignes og kategoriseres i henhold til nivå for akseptabel risiko, i for eksempel en risikomatrise på lik linje som NÅ-risiko.
Handlingsplan
En handlingsplan med anbefalte tiltak, tiltakseffekt, tiltakseier, tidsplan og evt. øvrige omkostninger skal fremkomme i risikovurderingen.
Kvalitetssikring
Arbeidsgruppen skal ha mulighet til å lese rapporten og komme med tilbakemelding om hvorvidt de kan stå inne for innholdet.
Risikovurdering inkludert forslag til risikobehandling kan med fordel kvalitetssikres av personell med tilsvarende kompetanse som de som har utført risikovurderingen. Informasjonssikkerhetsressurser i Hemit skal være tilgjengelig for kvalitetssikring av risikovurderingen.
Høring
Alle risikovurderinger hvor risiko berører to eller flere helseforetak skal presenteres i Regionalt informasjonsssikkerhetsforum (RIF) uavhengig av risikonivå.
Risikovurderinger hvor risiko berører kun et foretak kan presenteres direkte til foretakets informasjonssikkerhetsleder.
Analyseleder, og evt arbeidsgruppen for risikovurderingen, skal vurdere alle kommentarer og innsigleser fremkommet i kvalitetssikringen og ta stilling til om disse tas hensyn til eller ikke. I de tilfeller hvor en kommentar eller innsigelse ikke blir tatt hensyn til, skal dette begrunnes tilstrekkelig og dokumentertes risikovurderingsrapporten.
Avgjørelser om aksept av risiko skal tas på riktig ledernivå, i Hemit så har administrerende direktør delegert fullmakter innen risikostyring, se kapittel "Fullmakter innen sikkerhetsarbeidet/ informasjonssikkerhet og personvern" i Fullmakter, (Fullmaktsmatrise).
For hver hendelse med risiko som ikke kan aksepteres, men som bør eller må reduseres, skal ytterligere tiltak identifiseres. Risikohåndtering kan innebære risikoreduksjon, risikounngåelse eller risikodeling.
Risikoeiers håndtering av risiko
Mulighetene risikoeier har for risikohåndtering faller typisk i en av følgende kategorier:
-Redusere risiko; betyr at det etableres tiltak som reduserer sannsynlighet for at en hendelse inntrer eller som reduserer konsekvensen når en hendelse har inntruffet.
-Aksepterer risiko; betyr at risikoeier velger å leve med risiko. Denne måten å håndtere risiko på er en naturlig følge av at hundre prosent sikkerhet ikke finnes.
-Unngå risiko; innebærer at risikoeier avvikler aktiviteter som gir en for høy risiko. For eksempel at man velger å ikke bruke et system.
-Overføre risiko; betyr at risikoeier håndterer risikoen ved å dele den med andre.
Det skal fremgå skriftlig (f.eks epost) hvordan risikoeier ønsker at identifiserte risikoer skal håndteres.
Dersom risikoeier ønsker å redusere risiko skal det fremgå skriftlig hvilke tiltak risikoeier ønsker gjennomført, prioritet på tiltakene og en aksept av REST-risiko etter at besluttede tiltak er gjennomført.
Beslutning om risikoaksept må også ses i sammenheng med andre forhold som følge av beslutningen. Dette kan for eksempel være nytten analyseobjektet representerer for virksomheten, hvor kritisk det er for virksomheten eller arbeidsprosessen, eventuelle forpliktelser, kostnader, og lignende.
I tilfeller der risikoeiere i andre helseforetak i Helse Midt-Norge aksepterer risiko og risikoeier i Hemit ikke aksepterer risiko, må risikoaksept eskaleres i respektive linjer for avklaring. Regionalt informasjonssikkerhetsforum skal i disse tilfeller rådføres.
Kommunikasjon har som formål å fremme bevissthet og forståelse av risiko til relevante interessenter, det er en sentral del av risikostyring.
Resultatet av risikoeiers håndtering av risiko og evalueringen skal kommuniseres til relevant interessenter. For eksempel; sykehusforetakets IT-sjef og informasjonssikkerhetsleder, tjenesteutvikler Hemit, fagansvarlig Hemit, releaseleder, driftsarkitekt Hemit, avdelingsleder basisdrift Hemit, seksjonsleder Hemit etc.
Fravikstillatelse
Dersom det er identifisert risiko som innbærer avvik fra dokumenterte krav skal det søkes om fravik. Vanligvis for en begrenset tidsperiode eller et begrenset omfang, for eksempel avvik fra myndighetskrav eller avvik fra sikkerhetsmål, så skal analyseleder registrere dette som beskrevet i Fravikstillatelse, prosedyre for forespørsel og behandling (Ikke tilgjengelig)
Arkiv
Risikovurderingsrapport med skriftlig beslutning av risikoer og tiltak fra risikoeier skal arkiveres i arkivsystem iht. Dokumentstyring, utforming og lagring av dokumenter i Hemit.
Endelig beslutning fra risikoeier (for eksempel en e-post) kan med fordel legges inn som en egen journalpost på saken i arkivsystemet.
Særskilt beskyttelse av risikovurdering
Hovedregelen er at alle saksdokumenter er offentlig. Risikovurderinger som inneholder opplysninger av tekniske innretninger og forhold av betydning for sikkerheten i IT-systemer kan skjermes for innsyn, dersom innsyn ville lette gjennomføring av straffbare handlinger, jf Offentleglove 24 tredje ledd.
Dersom det vurderes at det er grunnlag for å unnta dokumentet fra offentlighet, skal man likevel alltid vurdere om det må gjøres. Dersom man unntar risikovurderingen fra offentlighet, skal tilgang begrenses til de med tjenstlig behov.
Analyseleder sammen med arbeidsgruppen skal vurdere om risikovurderingen skal unntas offentlighet. Ved tvil, kan juridisk rådgiver rådføres.
Prinsipper for navnsetting av dokumenter.
Dokumentstyring, utforming og lagring av dokumenter i Hemit
Dato = YYYYMMDD = ÅrMånedDag.
Sak = Risikovurdering <System>
Vnr.= Versjonsnummer (Bruk ”_” i stedet for ”. ” som desimalskilletegn)
For eksempel: 20220401 Risikovurdering Care to translate v1_0.docx
Versjonering av risikovurderingsrapport
For en omforent versjonshåndtering av risikovurderinger i Helse Midt-Norge er følgende versjonering ønskelig:
1.0 Risikovurderingsrapport med skriftlig beslutning fra risikoeier.
0.9 Ferdig Risikovurderingsrapport sendt til risikoeier for beslutning.
0.8 Risikovurderingsrapport behandlet i RIF
Tiltakseier har ansvar for at vedtatte tiltak blir implementerte innen den frist som er satt. Risikoeier skal, ved fristens utløp, kontrollere at tiltakene er implementert.
Risikovurderinger skal re-vurderes ved behov.