Risikovurdering ved lovpålagte tilsyn med informasjonssikkerhet i helseforetak

Abstract

NORSK: Både Helsetilsynet og Datatilsynet har ansvar for tilsyn med informasjonssikkerheten i helsetjenesten. Denne oppgaven inneholder en analyse av Helsetilsynets arbeid med dette emnet og kommer med forslag til forbedringer av Helsetilsynets virksomhet. Studien tar utgangspunkt i hvilke forventninger man i dag bør kunne stille til informasjonssikkerhet i større virksomheter og hvilke utfordringer det statlige tilsynet med informasjonssikkerheten stilles ovenfor. Det legges her vekt på resultater fra forskningsog utviklingsarbeid knyttet til informasjonssikkerhet og risikoanalyser. Videre er det gjennomført en studie av den praksis som Helsetilsynet i dag har når det gjelder tilsyn med informasjonssikkerheten i helsetjenesten. Det er lagt spesiell vekt på en vurdering av opplæring av tilsynsførere og gjennomføring av systemrevisjoner. Data er innsamlet gjennom intervjuer med nøkkelpersoner innenfor og utenfor Helsetilsynets organisasjon, spørreskjema til Helsetilsynets enheter i fylkene og dokumentanalyse av tilsynsrapporter. Studien konkluderer med at Helsetilsynet har systematiske opplegg både for intern opplæring av tilsynsførere og gjennomføring av tilsyn. Men ingen av disse har et særlig fokus på informasjonssikkerhet. Dette avspeiles også i det faktum at informasjonssikkerhet ikke har noen tydelig plass i tilsynsrapportene som skrives. I forlengelsen av studien tilrås det følgende tiltak: 1. Det etableres systematisk opplæring av tilsynsførere i informasjonssikkerhet. 2. Ved systemrevisjoner bør det benyttes en standardisert sjekkliste om informasjonssikkerhet. 3. Samarbeidet med Datatilsynet bør utvikles videre.

ENGELSK: Both Norwegian Board of Health and the Norwegian Data Inspectorate are responsible for supervising the security of information in health care. This paper contains an analysis of the Norwegian Board of Health work on this subject and coming with suggestions for improvements to the Norwegian Board of Health business. The study is based on the expectations we today should be able to stand for information security in large enterprises and the challenges faced by the state audit of information security is set above. Emphasis here focuses on results from research and development related to information security and risk analysis. Furthermore, it conducted a study of the practice as Board of Health today regarding an audit of information security in health care. It placed special emphasis on an assessment of the training of supervisory drivers and execution of system audits. Data were collected through interviews with key people within and outside the Norwegian Board of Health organization, questionnaire to Norwegian Board of Health units in the counties and document analysis of audit reports. The study concludes that the Board of Health have systematic arrangements for internal training of supervisory drivers and conducting inspections. But none of these has a particular focus on information security. This is also reflected in the fact that information security has no obvious place in the audit reports as written. As an extension of the study recommends the following measures: 1. It established a systematic training of supervisory drivers in information security. 2. The system audits should be used a standardized checklist of information security. 3. Cooperation with the Norwegian Data Inspectorate should be further developed