Passwordsikkerhed
For at sikre klinikkens data skal der benyttes passwords.
Ansættelsesforholdet
Alle medarbejdere har et medansvar for at opretholde det ønskede sikkerhedsniveau i klinikken. For at kunne leve op til medansvaret, er det ledelsens ansvar at sørge for instruktion i forhold til anvendelse af systemer i det daglige arbejde samt i forhold til den ønskede adfærd for IT-sikkerhed. Alle medarbejdere skal:
- Have et generelt kendskab til IT-sikkerhed
- Kende deres ansvar forsikkerheden
- Sikre deres personlige adgangskoder, samt personligt udleveredesystemadgangskoder.
- Passe på it-udstyr
- Deltage aktivt i rettelse af fejl, løsning af problemer og forbedringer af sikkerheden
- Rapportere hændelser, der kan indikere brud på sikkerheden
Som afhjælpningsforanstaltninger til at minimere vurderede risici, skal retningslinjerne revurderes og opdateres årligt eller ved større forandringer. Overtrædelser af IT-sikkerhedspolitikken vil efter omstændighederne kunne medføre ansættelsesmæssige sanktioner.
Funktionsadskillelse
Der er etableret egentlig funktionsadskillelse, hvor det er nødvendigt. Det betyder, at ved installering af programmel, vurderes det i forbindelse med oprettelse af medarbejder, hvilke programmer vedkommende medarbejder skal have adgang til.
Ansættelsens ophør
Der er procedurer, der sikrer, at it-aktiver returneres, og at adgange og rettigheder ophører ved ansættelsesforholdets ophør. Nøgler afleveres, personlige brugerkonti de-aktiveres, og evt. fælles systempasswords skiftes.
6 Fysisk sikkerhed
Adgangen til alle fysiske lokaliteter er sikret mod uvedkommendes adgang.
Sikre områder
Klinikken er aflåst uden for klinikkens åbningstider. Der er etableret alarm.
Fysisk adgangskontrol
Adgang til klinikken tildeles ved udlevering af nøgler og kun på baggrund af underskrevet ansættelseskontrakt, eller som gæste nøgle til fx håndværkere.
Beskyttelse af udstyr
It-udstyr er ikke i særlig grad beskyttet mod ødelæggelse og skade, der følger af brand, vandskade, strømsvigt og andre skader, som udspringer af hændelser i det omkringliggende miljø. Back-up foretages af ekstern samarbejdspartner, som klinikken har outsourcet it til.
Ved bortskaffelse, reparation eller genbrug af it-udstyr sikres det, at udstyret er forsvarligt renset for alle data.
7 Styring af netværk og drift
Foretages af ekstern samarbejdspartner, som klinikken har outsourcet it til.
Eksterne serviceleverandører
I aftaler med de eksterne serviceleverandører skal det fremgå, at disse skal varetage kontroller, som udføres på vegne af klinikken hensigtsmæssigt og i overensstemmelse med det aftalte.
Skadevoldende programmer (vira, orme, spy- og malware)
Skadevoldende programmer kan sætte hele klinikken ud af drift, og det kan være meget dyrt at rense it- systemerne, hvis de er blevet ramt af ransomware, virus eller et hackerangreb.
Alt godkendt it-udstyr, der er tilsluttet klinikkens netværk har installeret et aktivt og opdateret antivirusprogrammel, der kan opdage, rense og beskytte mod forskellige former for skadevoldende programmer. Det gælder også eksterne brugere, der tilsluttes netværket via fjernopkobling. Det overvåges, at antivirusprogrammerne hele tiden er opdaterede.
Det er ikke tilladt at installere egne programmer på klinikkens maskiner. Det er kun administrator der har rettigheder til at installere programmer.
Netværkssikkerhed
For at undgå uautoriseret adgang, skal vores netværk sikres. Sikring af vores netværk imod uautoriseret adgang styres af ekstern samarbejdspartner, som klinikken har outsourcet it til.
Informationsudveksling
Regler i forbindelse med informationsudveksling af fortrolig information sker via sikker e-mail, journalprogram, EDI-portalen eller brev.
8 Adgangsstyring
De forretningsmæssige krav til adgangsstyring
Alle informationsaktiver (papir sager, elektroniske sager, programmel, udstyr, data, informationer og databærende medier) skal i nærmere specificeret omfang være beskyttet mod uautoriseret adgang.
Ud over den nødvendige adgangskontrol til bygninger og lokaler, anvendes der elektroniske/-programmel- baserede adgangskontrolsystemer.
Administration af brugeradgang
Tildeling, ændring og sletning af brugeradgang til systemer og data sker ud fra arbejdsbetingede behov i overensstemmelse med datas klassifikation. Fysiske adgange og brugerrettigheder til netværk og systemer inddrages, når brugeren ikke længere skal have adgang.
Brugerensansvar
Alle medarbejdere er ansvarlige for at holde de udleverede adgangskoder hemmelige.
Mobilt udstyr og fjernarbejdspladser
IT-sikkerhedspolitikken gælder for alt it-udstyr tilhørende klinikken. I IT-sikkerhedshåndbogen for medarbejdere fastlægges de regler, som skal overholdes ved evt. brug af mobilt udstyr og hjemmearbejdspladser.
9 Anskaffelse, udvikling og vedligeholdelse af it-systemer
Sikkerhedskrav til informationsbehandlingssystemer
De sikkerhedskrav, der stilles til systemers behandling af data, skal indgå i vurderingen, som foretages ved indkøb af nye systemer. Ved indkøb af nye it-systemer skal analyse af behandling af persondata og sikkerhed vurderes.
Kryptering
Behovet forbrug af kryptering skal identificeres ud fra en vurdering af, hvor kryptering som sikringsforanstaltning kan imødekomme behovet for sikring af datas fortrolighed og/eller integritet. Det sker på grundlag af datas klassifikation.
It-beredskabsstyring
Klinikken har udarbejdet en it-beredskabsplan med en praktisk strategi for, hvordan klinikken organisatorisk skal håndtere en beredskabssituation. Beredskabets arbejde består i at begrænse konsekvenserne af tab af data og systemer forårsaget af sikkerhedsbrister.
Der henvises i øvrigt til klinikkens beredskabsplan.
10 Overensstemmelse med lovbestemte krav
Da der er flere lovgivninger, der påvirker vores daglige administration, skal der tages højde for disse i vores IT-sikkerhedspolitik og de dertilhørende retningslinjer. Klinikkens retningslinjer og procedurer skal være i overensstemmelse med alle sikkerhedskrav i lovgivning og med indgåede kontrakter.
11 Godkendelse
IT-sikkerhedspolitikken er godkendt af Lars Rasch og forelagt på personalemøde