Du benytter en nettleser vi ikke støtter. Se informasjon om nettlesere

10.4. Eksempel 4: Momenter i en sikkerhetsinstruks

Eksempelet gjelder sikkerhetsinstruks for leverandørens personell for fjernaksess:

Sikkerhetsinstruks

Regler for bruk av IT-utstyr og programvare:

  • IT-utstyret som benyttes ifm. fjernaksess skal være tilknyttet leverandørens nettverk og skal være logisk adskilt fra leverandørens bedriftsinterne nettverk og øvrige kunder
  • Det ikke tillatt å koble opp eller bruke privat IT-utstyr eller programvare mot <virksomheten>
  • Du som medarbeider plikter å forhindre at uautoriserte får tilgang til løsninger som kan benyttes mot <virksomheten>
  • Det er ikke tillatt å laste ned helse- og personopplysninger fra <virksomheten> uten at dette er regulert av en databehandleravtale og i tråd med de metoder som framgår av databehandleravtalen

Brukerkonto og passord

  • Du er forpliktet til å beskytte autentiseringsinformasjon (for eksempel brukernavn, passord og mv.) slik at dette ikke blir kjent for andre.
  • Det er ikke tillatt å skaffe seg uautorisert tilgang til fjernaksess, <virksomhetens> fagsystemer eller infrastruktur ved å benytte andre medarbeideres autentisering.
  • Det er regler for krav til passord i <virksomheten> som skal følges.

Arbeidsplassen – sikkerhet i lokalene - utlogging

  • Logg alltid ut eller aktiver skjermsparer med passord når du forlater arbeidsstasjonen
  • Sørg for å få oversikt over de helse- og personopplysningene du håndterer. Ikke la helse- og personopplysninger flyte rundt, men sikre opplysningene etter gjeldende rutine.

Feil sletting av informasjon

  • Skulle du være så uheldig å feilaktig slette informasjon, skal <virksomheten> varsles uten opphold.

Logging

  • <virksomheten> har plikt til å logge datatrafikk og aktiviteter i nettverket for å kunne ivareta informasjonssikkerheten.

Utskrifter og kopiering

  • La ikke utskriftene bli liggende på skriver slik at uautoriserte kan få tilgang til innholdet.
  • Utskifter med helse- og personopplysninger skal makuleres på en betryggende måte, når det ikke lenger er bruk for dem.

Håndtering av avvik

  • Oppdager du brudd på sikkerheten eller det oppstår et uhell skal dette uten opphold meldes som et avvik til <virksomheten>. Vær oppmerksom på gjeldende rutine for avvikshåndtering.
Normen

Veileder til Normen er godkjent og forvaltes av styringsgruppen for Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren.

Siste faglige endring: 02. juni 2022