I Normen er det flere krav til logging, oppfølging av logg og innsyn i logg. I dette faktaarket sammenstilles og utdypes disse kravene. Som for alle sikkerhetstiltak, skal også tiltak knyttet til logging baseres på en vurdering av risiko og forholdsmessighet. Derfor redegjøres det i faktaarket også for en rekke anbefalinger til tiltak virksomheter kan vurdere å implementere innen logging, for å håndtere identifisert risiko.
Faktaarket inkluderer det som tidligere var faktaark 50 om innsyn i hendelsesregistre.
Avgrensning
Faktaarket er avgrenset til logging som gjøres av hensyn til informasjonssikkerhet og personvern knyttet til pasientjournaler og andre behandlingsrettede helseregistre for etterlevelse av pasientjournalloven § 22 og pasientjournalforskriften § 14. Dette gjelder eksempelvis logger av tilgang til informasjonssystem, men også sikkerhetslogger fra IKT-infrastruktur for behandlingsrettede helseregistre.
I Normen er det også krav til generell logging i bredere forstand enn hva som behandles i dette faktaarket. For veiledning om hvordan disse kravene kan etterleves vises det til annet veiledningsmateriell som NSMs grunnprinsipper for IKT-sikkerhet. Videre omtales ikke direkte forhold knyttet til bruk av logger for annen beslutningsstøtte eller feilsøking. Disse formålene er imidlertid belyst i Helsedirektoratet sine retningslinjer for logging ved data- og dokumentdeling.
Kompletterende veiledningsmateriell
For en kompletterende veiledning til dette faktaarket kan det være særlig aktuelt å se på grunnprinsipp 3.2 og 3.3 med tilhørende tiltak, i NSMs grunnprinsipper for IKT-sikkerhet 2.0, samt CIS Control 8. Disse rammeverkene gir en generell, men praktisk tilnærming til logging, og vil være nyttige hjelpemidler for å oppnå kravene til logging i Normen.
Faktaarket er bygget opp som følger
- Logging og hendelsesregistrering
- Oppfølging og bruk av logger
- Innsyn i logg
- Sikring, oppbevaring og sletting av logger
