Du benytter en nettleser vi ikke støtter. Se informasjon om nettlesere

5.4. Sikker IT-drift

5.4.1 Konfigurasjonskontroll

Det er en forutsetning at virksomheten har oversikt over dataflyt, datakommunikasjon og integrasjoner og kontroll på alt eget utstyr og programvare som benyttes i behandlingen av helse- og personopplysninger. Dette gjelder også utstyr ved avdelingskontor og hjemmekontor og mobilt utstyr.

Følgende skal ivaretas:

  • Konfigurasjonen skal sikre at utstyret og programvaren kun utfører de funksjonene som er formålsbestemt
  • Virksomheten skal sørge for at all dataflyt, datakommunikasjon og integrasjoner kartlegges og dokumenteres.
  • Kun godkjent utstyr og programvare skal benyttes til behandling av helse- og personopplysninger. Virksomheten skal fastsette hvem som har godkjenningsmyndighet.
  • Maskin- og programvare skal oppdateres slik at den nyeste og mest tidsaktuelle sikkerhetsfunksjonaliteten følger med og nødvendige sikringstiltak benyttes. Oppdateringer bør verifiseres og testes før oppdateringen gjennomføres. Verifisering og testing skal dokumenteres som ledd i virksomhetens endringsstyring (se kap. 5.4.2).
  • Planlagte endringer skal følge virksomhetens rutine for konfigurasjonsendringer.
  • Det skal benyttes separate miljøer for utvikling, test og produksjon slik at helse- og personopplysninger som benyttes ved ytelse av helsehjelp, ikke blir påvirket ved feil i utvikling og test.
  • Konfigurasjonen av utstyr og programvare skal jevnlig sjekkes slik at den kun utfører formålsbestemte funksjoner.
  • Konfigurasjonen skal beskyttes mot skadelig programvare
  • Konfigurasjonen skal beskyttes mot utilsiktede handlinger.

Konfigurasjonsendringer, dvs. endringer i utstyr eller programvare, skal ikke settes i drift før følgende tiltak er gjennomført:

  • Risikovurdering som viser at risikoen er akseptabel
  • Test som sikrer at forventede funksjoner er ivaretatt
  • Implementering som sikrer mot uforutsette hendelser
  • Ny konfigurasjon er dokumentert
  • Konfigurasjonsendringer er godkjent av virksomhetens leder eller den ledelsen bemyndiger

Konfigurasjonskontroll skal reguleres gjennom avtale ved

  • bruk av databehandler
  • bruk av fjernaksess for vedlikehold og oppdateringer. Fjernaksess skal kun gjøres over kanaler virksomheten har kontroll med.

5.4.2 Endringsstyring

Alle endringer med betydning for informasjonssikkerheten i organisasjon, informasjonssystem og infrastruktur skal forankres på relevant ledernivå.

Virksomheten skal utarbeide rutiner for endringsledelse som skal omfatte følgende temaer:

  • identifisering av vesentlige endringer
  • planlegging og testing av endringer
  • vurdering av potensielle konsekvenser, for eksempel ved å gjennomføre en risikovurdering og eventuelt en personvernkonsekvensvurdering
  • godkjennelsesrutiner for endringer
  • kommunikasjon av plan til aktuelle personer/roller
  • reserverutiner om endringen må avbrytes, feiler eller uønskede hendelser oppstår
  • endringslogg med relevante opplysninger
  • opplæring av berørte brukere/roller

5.4.3 Sikkerhetskopiering

Virksomhetens ledelse skal sørge for sikkerhetskopiering av helse- og personopplysninger og annen informasjon som er nødvendig for gjenoppretting av normal drift.

Sikkerhetskopier skal oppbevares avlåst og brannsikret, og adskilt fra driftsutstyret.

Det skal jevnlig testes at sikkerhetskopiene er korrekte og kan tilbakeføres.

Minimum en sikkerhetskopi skal beskyttes mot skadelig programvare og uønskede hendelser.

5.4.4 Logging

For å oppdage brudd eller forsøk på brudd skal det som minimum logges:

  • Autorisert bruk av informasjonssystemene.
  • All system- og administratorbruk til informasjonssystemer og infrastrukturen.
  • Endring av konfigurasjon og programvare.
  • Sikkerhetsrelevante hendelser i sikkerhetsbarrierer.
  • Forsøk på uautorisert bruk av informasjonssystemer og infrastrukturen.
  • Bruk av selvautorisering.

Følgende skal som minimum registreres i loggene ved autorisert bruk av behandlingsrettet helseregister:

  • Identiteten til den som har lest, rettet, registrert, endret og/eller slettet helse- og personopplysninger,
  • organisatorisk tilhørighet,
  • grunnlaget for tilgjengeliggjøringen, og
  • tidsperioden for tilgjengeliggjøringen.

Ved behandling av helse- og personopplysninger for andre formål enn ytelse av helse- og omsorgstjenester skal kravene til logging besluttes på grunnlag av en risikovurdering.

Følgende bør vurderes logget i tillegg til minimumskravene:

  • Rollen den autoriserte brukeren har ved tilgangen,
  • Virksomhetstilhørighet,
  • Type opplysninger det er gitt tilgang til, og
  • Hvem som har fått utlevert helseopplysninger som er knyttet til pasientens eller brukerens navn eller fødselsnummer

Loggene skal enkelt kunne analyseres ved hjelp av analyseverktøy med henblikk på å oppdage brudd.

Det skal etableres rutiner for å analysere loggene slik at hendelser oppdages før de får alvorlige konsekvenser. Dersom brudd avdekkes, skal dette håndteres som et avvik.

Det skal etableres rutiner for ved behov å kunne sammenholde loggene med autorisasjonsregister.

Loggene og autorisasjonsregister skal sikres mot endring og sletting.

Logger skal ha korrekt tidsstempel.

Logger som genereres ved ytelse av helsehjelp, skal lagres til det ikke antas å være bruk for dem.

Logger av sikkerhetsmessig betydning bør oppbevares så lenge som nødvendig for å oppnå formålet.

5.4.5 Styring og håndtering av tekniske sårbarheter 

Styring og håndtering av tekniske sårbarheter skal følge rutinene for endringsstyring. Virksomheten skal ha rutine for å skaffe seg informasjon om tekniske sårbarheter i utstyr og programvare.

Utgangspunktet for styring og håndtering er oversikt over

  • IKT-utstyr
  • programvare: programvaren, leverandør, versjonsnumre, hvilken versjon som er installert hvor, og hvem som har ansvaret for programvaren

Det skal etableres rutiner og operative tiltak som ivaretar

  • ansvaret for overvåkning, risikovurdering, korrigering og koordinering
  • hvordan virksomheten skal reagere og varsle om sårbarheter
  • prioritering og etablering av tidslinje for korrigering
  • at alle korrigeringer bør testes før de implementeres

5.4.6 Sikkerhetsrevisjon

Virksomhetens ledelse skal følge opp at sikkerheten ivaretas ved jevnlige og minimum årlige sikkerhetsrevisjoner. Formålet med sikkerhetsrevisjon er å gjennomføre kontrollaktiviteter og kvalitetssikring av etablerte tiltak og fastsatte rutiner. Det skal foreligge en godkjent plan for sikkerhetsrevisjoner.

For å gjennomføre tilstrekkelige sikkerhetsrevisjoner i virksomheter bør vurderingene som minimum omfatte:

  • Plassering av ansvar og organisering av sikkerhetsarbeidet
  • Overholdelse av rutiner for bruk av informasjonssystemer og behandling av helse- og personopplysninger
  • Vurdering av hvor effektive sikkerhetstiltakene er
  • Tilgang til helse- og personopplysninger og tiltak mot uautorisert innsyn
  • Opplæring og kompetanse i personvern og informasjonssikkerhet
  • Gjennomgang av dokumentasjon for ivaretakelse av informasjonssikkerhet hos kommunikasjonspartnere, databehandlere og leverandører

Resultatene, konklusjonene og avvik fra sikkerhetsrevisjonene skal dokumenteres og håndteres av virksomheten.

Normen

Normen er godkjent og forvaltes av styringsgruppen for Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren.

Siste faglige endring: 22. november 2022