Risikovurdering ved lovpålagte tilsyn med informasjonssikkerhet i helseforetak
Master thesis
Permanent lenke
http://hdl.handle.net/11250/143936Utgivelsesdato
2010Metadata
Vis full innførselSamlinger
Sammendrag
NORSK: Både Helsetilsynet og Datatilsynet har ansvar for tilsyn med informasjonssikkerheten
i helsetjenesten. Denne oppgaven inneholder en analyse av Helsetilsynets arbeid med
dette emnet og kommer med forslag til forbedringer av Helsetilsynets virksomhet.
Studien tar utgangspunkt i hvilke forventninger man i dag bør kunne stille til informasjonssikkerhet
i større virksomheter og hvilke utfordringer det statlige tilsynet med
informasjonssikkerheten stilles ovenfor. Det legges her vekt på resultater fra forskningsog
utviklingsarbeid knyttet til informasjonssikkerhet og risikoanalyser.
Videre er det gjennomført en studie av den praksis som Helsetilsynet i dag har når det
gjelder tilsyn med informasjonssikkerheten i helsetjenesten. Det er lagt spesiell vekt på
en vurdering av opplæring av tilsynsførere og gjennomføring av systemrevisjoner. Data
er innsamlet gjennom intervjuer med nøkkelpersoner innenfor og utenfor Helsetilsynets
organisasjon, spørreskjema til Helsetilsynets enheter i fylkene og dokumentanalyse av
tilsynsrapporter.
Studien konkluderer med at Helsetilsynet har systematiske opplegg både for intern
opplæring av tilsynsførere og gjennomføring av tilsyn. Men ingen av disse har et særlig
fokus på informasjonssikkerhet. Dette avspeiles også i det faktum at informasjonssikkerhet
ikke har noen tydelig plass i tilsynsrapportene som skrives.
I forlengelsen av studien tilrås det følgende tiltak:
1. Det etableres systematisk opplæring av tilsynsførere i informasjonssikkerhet.
2. Ved systemrevisjoner bør det benyttes en standardisert sjekkliste om informasjonssikkerhet.
3. Samarbeidet med Datatilsynet bør utvikles videre. ENGELSK: Both Norwegian Board of Health and the Norwegian Data Inspectorate are responsible
for supervising the security of information in health care. This paper contains an
analysis of the Norwegian Board of Health work on this subject and coming with suggestions
for improvements to the Norwegian Board of Health business.
The study is based on the expectations we today should be able to stand for information
security in large enterprises and the challenges faced by the state audit of information
security is set above. Emphasis here focuses on results from research and development
related to information security and risk analysis.
Furthermore, it conducted a study of the practice as Board of Health today regarding
an audit of information security in health care. It placed special emphasis on an assessment
of the training of supervisory drivers and execution of system audits. Data were
collected through interviews with key people within and outside the Norwegian Board of
Health organization, questionnaire to Norwegian Board of Health units in the counties
and document analysis of audit reports.
The study concludes that the Board of Health have systematic arrangements for internal
training of supervisory drivers and conducting inspections. But none of these has a
particular focus on information security. This is also reflected in the fact that information
security has no obvious place in the audit reports as written.
As an extension of the study recommends the following measures:
1. It established a systematic training of supervisory drivers in information security.
2. The system audits should be used a standardized checklist of information security.
3. Cooperation with the Norwegian Data Inspectorate should be further developed