Kommunikasjon av retningslinjer for informasjonssikkerhet
Master thesis
Permanent lenke
http://hdl.handle.net/11250/2617736Utgivelsesdato
2019Metadata
Vis full innførselSamlinger
Sammendrag
Sykehuset Østfold HF har en av de mest moderne IKT-plattformene i helsesektoren iNorge og har en målsetning om å utnytte moderne teknologi og nytt sykehus for å bliledende innenfor definerte områder innen forskning og tjenesteinnovasjon (SykehusetØstfold HF, 2017).Ett av målene er å øke modenhetsnivået i hvordan sykehuset utnytter IKT-verktøy ipasientbehandling i retning av papirløst sykehuset.Personvern og informasjonssikkerhet er viktige verdier som sykehuset skal ivareta i enbehandlingshverdag som i stadig økende grad benytter moderne informasjons- ogkommunikasjonstekniske løsninger. Kvalitet og forutsigbarhet i ivaretakelsen avpersonvern og informasjonssikkerhet er viktig i en virksomhet som er underlagt strengelovreguleringer og som ønsker å møte pasientene med empati, profesjonalitet, godkommunikasjon og rett kompetanse (Sykehuset Østfold HF, 2017).Informasjon om retningslinjer for å ivareta krav til informasjonssikkerhet er etavgjørende bidrag for at medarbeidere ved sykehuset skal ha forutsetninger for åbehandle personopplysningene på en sikker måte.Informasjonen må forstås, aksepteres og etterleves av medarbeiderne.Informasjonskilder, informasjonskanaler og selve formuleringen av budskapet må væretilrettelagt den enkelte medarbeiders sikkerhetsutfordringer. Denne oppgaven søker åfinne svar på om informasjonen er godt nok tilpasset mottakeren av innholdet.Oppgaven bruker utvalgt teori for å sammenligne sykehusets erfaringer fra eksisterendeinformasjonsutbredelse med hvordan kravene til informasjonssikkerhet etterleves.Diskusjonene i oppgaven viser at grunnleggende krav til informasjonssikkerhet etterlevesi stor grad og informasjonskildene er nært knyttet til den enkeltes avdeling hvornærmeste leder er den foretrukne kilden til informasjon om retningslinjer.Lederens kunnskap er en forutsetning for at retningslinjene blir etterlevd korrekt.Lederne har god oversikt over retningslinjene men praksisen gjør lederen til en heltavgjørende – og sårbar – brikke i informasjonssikkerhetsarbeidet.Å tilpasse informasjonen til alle medarbeidere vil være en krevende men viktig oppgavefor at ikke medarbeiderne ikke bare skal etterleve grunnleggende retningslinjer, menogså skal kunne tolke situasjoner og ta egne vurderinger som gagnerinformasjonssikkerheten. Kunnskap om konsekvenser er en forutsetning for å kunne takvalifisert vurderinger.Grensesnittet mellom menneske og maskin var et prioritert område da sykehusetmoderniserte IKT-porteføljen i 2015. Allikevel viser resultatene i denne oppgaven atdette grensesnittet bør få jevnlig fokus. Det er den helhetlig IKT-opplevelsen sommedarbeiderne må håndtere som bør gjennomgås ved innføringen ethvert nytt IKTsystem.Dette vil da inkludere alle tidstyvene og alt ekstraarbeidet manuelle rutinerrepresenterer. Hospital Østfold Trust has a highly modern ICT platform within the health sector in theNorwegian context and has the goal of utilizing modern technology and a new hospital tobecome a leader in defined areas within research and service innovation (SykehusetØstfold HF, 2017).One of the goals is to increase the level of maturity in how the hospital utilizes ICT toolsin patient treatment in the direction of the paperless hospital.Privacy and information security are important values that the hospital should take careduring patient treatment that increasingly uses modern information and communicationtechnology solutions. The need to safeguard privacy and information security isimportant in a business that is subject to strict regulations and that wants to meet thepatients with empathy, professionalism, good communication and the right competence(Sykehuset Østfold HF, 2017).Information on guidelines for safeguarding information security requirements is adecisive contribution for employees at the hospital to have the prerequisites for safelyprocessing personal data.The employees must understand, accept and comply the information. Informationsources, information channels and the actual formulation of the message must beadapted, and this thesis seeks to find answers to whether this is well organized.The thesis uses selected theory to compare the hospital's experiences from existinginformation dissemination with how the requirements for information security arecomplied.The discussions in the thesis show that the basic requirements for information securityare in compliance in a large extent and the sources of information are closely linked tothe individual's department, where the manager is the preferred source of information onguidelines.The manager's knowledge is a prerequisite for compliance with the guidelines. Themanagers have a good overview of the guidelines, but the practice makes the manager acompletely decisive - and vulnerable - piece.Adapting the information to all employees will be a demanding but important task foremployees not only to comply with basic guidelines, but also to be able to interpretsituations and perform their own assessments in a way that benefit information security.Knowledge of consequences is a prerequisite for being able to take qualifiedassessments.The interface between man and machine was a priority area as the hospital modernizedthe ICT portfolio in 2015. Nevertheless, the results in this thesis show that this interfacemust receive regular focus. The employees need to handle the holistic ICT experience,including all the timelines and all the extra work manual routines and “workarounds”represent.