Gå til indhold
Forsiden | Kontakt | Ledige job | For ansatte | Presse og nyheder | Web-TV | Besuchen Sie unsere deutsche Website Visit our English website |
Region Syddanmark logo, link til forsiden

Digitaliseringsudvalget - Referat - 22. maj 2018

Mødedato
22-05-2018 kl. 13:00 - 15:00

Mødested
Regionshuset, mødelokale 6

Deltagere
  • Mette Bossen Linnet, V
  • Pia Tørving, A
  • Meho Selman, A
  • Bent Olsen, F
  • Carsten Sørensen, O
  • Mustapha Itani, V
  • Lars Mogensen, Ø

  • Afbud

    Luk alle punkter Referat


    1. Introduktion til mødetema
    2. Opfølgning på Rigsrevisionens kritikpunkter
    3. Status på EPJ SYD
    4. Mødekalender 2018
    5. Eventuelt
    6. Lukket punkt: Den nationale henvisningsformidling


    Sagsnr. 18/180
    1. Introduktion til mødetema
    fold dette punkt ind Resume

    Introduktion til mødetema.

    fold dette punkt ind Sagsfremstilling

    Digitaliseringsudvalget præsenteres på mødet for arbejdet med informations- og cybersikkerhed (operationel it-sikkerhed) af afdelingschef Brian Nyborg Halager og afdelingschef Flemming Brink og møder regionens databeskyttelsesrådgiver Mia Bekker Leimand.

    Region Syddanmark har ansvar for store mængder data, som indeholder både fortrolige og personfølsomme oplysninger. Øget digitalisering betyder samtidig en tiltagende sårbarhed over for brud på informationssikkerheden, blandt andet i form af it-kriminalitet som hacking, ransomware og cyberspionage.

    Informationssikkerhed handler om organisationers og medarbejderes omgang med elektroniske og ikke-elektroniske oplysninger. Informationssikkerhed har fokus på at sikre, at oplysninger er korrekte og tilgængelige for de rette personer samt opbevares forsvarligt over for uvedkommende.

    Udvalget præsenteres for arbejdet med at sikre, at regionen lever op til gældende og kommende lovgivning, herunder retningslinjer for informationssikkerhed, brugen af awareness kampagne og databeskyttelsesforordningen.

    Herudover gives et billede af de trusler, som regionen står overfor på cybersikkerhedsområdet, inkl. aktuel beskyttelse imod sikkerhedsbrud, som opstår som følge af angreb mod data eller systemer.

    fold dette punkt ind Indstilling

    Til orientering.

    fold dette punkt ind Beslutning i Digitaliseringsudvalget den 22-05-2018

    Til orientering.

    Udvalget drøftede de konkrete tiltag, der blev præsenteret, herunder sikring af at borgerne kan være trygge ved håndteringen af data, og at medarbejderne fortsat har gode arbejdsforhold.

     

    Præsentation vedlagt.

    fold dette punkt ind Bilag

    Sagsnr. 17/28942
    2. Opfølgning på Rigsrevisionens kritikpunkter
    fold dette punkt ind Resume

    På baggrund af Rigsrevisionens kritikpunkter i Beretning om tre regioners beskyttelse af adgangen til it-systemer og sundhedsdata etablerede Region Syddanmark en række initiativer med henblik på at imødekomme kritikken.

    Digitaliseringsudvalget præsenteres for status på fremdriften med at rette op på kritikpunkterne.

    fold dette punkt ind Sagsfremstilling

    Rigsrevisionen offentliggjorde i november 2017 Beretning om 3 regioners beskyttelse af adgangen til it-systemer og sundhedsdata. Region Syddanmark bliver i beretningen kritiseret på en række forhold, hvor regionen efterfølgende har etableret indsatser med henblik på at imødekomme Rigsrevisionens kritik.

    Digitaliseringsudvalget godkendte på mødet den 24. januar 2018 svarskrivelse til Sundheds- og Ældreministeriet, og udvalget efterspurgte i den forbindelse en kvartalsvis opfølgning på fremdriften med at rette op på kritikpunkterne fra Rigsrevisionen.

    Med afsæt i nedenstående oversigt over indsatser samt resultater gives en status på kritikpunkter, hvor regionen endnu ikke er i mål:

     

    ˜˜˜

    4. januar 2017

    15. januar 2018

    22.

    maj 2018

    Aktuel status

    Politik for it-sikkerhed på udvalgte områder

    Politik, retningslinjer og procedurer for grundlæggende sikringstiltag mod hackerangreb.

    ˜

    ˜

    ˜

    Aktuelt er de første 13 ud af 15 retningslinjer godkendt.

    Politik, retningslinjer og procedurer for tildeling af privilegerede rettigheder til medarbejdere.

    ˜

    ˜

    ˜

    Gennemført.

    Politik, retningslinjer og procedurer for system- og servicekonti med privilegerede rettigheder.

    ˜

    ˜

    ˜

    Gennemført.

    Politik, retningslinjer og procedurer for logning af konti med privilegerede rettigheder.

    ˜

    ˜

    ˜

    Gennemført.

    Beskyttelse mod hackerangreb

    Regionen har begrænset download af programmer.

    ˜

    ˜

    ˜

    Med overgang til Windows 10 reduceres risikoen, da lokale administratorrettigheder fjernes.

    Regionen har sikret, at kun godkendte programmer kan afvikles.

    ˜

    ˜

    ˜

    Der pågår et arbejde med at undersøge mulighederne for whitelisting. Det forventes, at sag vedr. whitelisting kommer på udvalgsmøde i efteråret.

    Regionen har sikret, at de kan hente sikkerhedsopdateringer fra producenterne for relevante produkter.

    ˜

    ˜

    ˜

    -

    Regionen har løbende gennemført sikkerhedsopdateringer for relevante produkter.

    ˜

    ˜

    ˜

    -

    Regionen har sikret, at ingen medarbejdere har lokaladministratorrettigheder.

    ˜

    ˜

    ˜

    Region Syddanmark fremskynder udrulning af Windows 10 til alle PC’er. I forbindelse hermed fjernes lokale administratorrettigheder.

    Regionen har etableret tiltag, fx segmenteret netværket, så en inficering i form af hackere eller malware ikke kan sprede sig ubegrænset.

    ˜

    ˜

    ˜

    Der er identificeret et værktøj til segmentering af netværk. Det forventes at det kan tages i brug i 2018.

    Medarbejdere med privilegerede rettigheder

    Regionen har et begrænset antal medarbejdere, der permanent har privilegerede rettigheder.

    ˜

    ˜

    ˜

    Gennemført

    Regionen har sikret, at alle medarbejdere med privilegerede rettigheder anvender en personlig administratorkonto.

    ˜

    ˜

    ˜

    -

    Regionen har implementeret en regelmæssig kontrol af medarbejdere med privilegerede adgangsrettigheder.

    ˜

    ˜

    ˜

    Kontrollen er indført med halvårlig kontrol – 1. kontrol er gennemført.

    Regionen har sikret, at personlige passwords, til konti med privilegerede rettigheder, følger god praksis og er systemunderstøttet.

    ˜

    ˜

    ˜

    -

    Regionen har sikret, at medarbejdere med privilegerede rettigheder ikke kan tilgå internettet, når de er logget på med disse rettigheder.

    ˜

    ˜

    ˜

    Løsningen forventes udrullet i midten af 2018 i Regional IT.

    System- og servicekonti med privilegerede rettigheder

    Regionen har et begrænset antal system- og servicekonti med privilegerede rettigheder.

    ˜

    ˜

    ˜

    -

    Regionen har sikret, at passwords, til system- og servicekonti med privilegerede rettigheder, følger god praksis.

    ˜

    ˜

    ˜

    Gennemført.

    Logning af konti med privilegerede rettigheder

    Regionen har sikret, at konti med privilegerede rettigheder logges, når de starter programmer, så sporbarheden sikres.

    ˜

    ˜

    ˜

    Gennemført.

    Regionen har sikret, at logfiler gennemgås regelmæssigt med henblik på at opdage uautoriserede ændringer eller uhensigtsmæssigheder i it-miljøet.

    ˜

    ˜

    ˜

    -

    Regionen har sikret, at medarbejdere med privilegerede rettigheder, der logges, ikke har adgang til loggen.

    ˜

    ˜

    ˜

    -

     

    Uddybning af fokusområder

    -      Retningslinjer

    Der udarbejdes 15 overordnede retningslinjer for informationssikkerhed, som tager udgangspunkt i ISO 27001 standarden for informationssikkerhed. Aktuelt er 13 ud af 15 retningslinjer godkendt. Det forventes, at godkendelse af retningslinjer er afsluttet i juni 2018. Da samtlige retningslinjer endnu ikke er godkendt, er punktet fortsat markeret gult.

    -      Begrænset download af programmer samt lokale administratorrettigheder

    I forbindelse med opgradering til Windows 10 fjernes lokale administratorrettigheder. Dette sikrer, at it-sikkerheden højnes som følge af, at risikoen for download af skadelige programmer reduceres. Opgraderingen til Windows 10 sker i 2018/2019, så regionen er endnu ikke i mål med at imødekomme kritikpunktet, hvorfor punkterne fortsat er markeret gule.

    -      Segmenteret netværk

    Der er identificeret et værktøj, som kan opdele et netværk, således at hackere/malware ikke kan sprede sig ubegrænset. Det forventes, at værktøjet tages i brug i indeværende år efter en testperiode. Værktøjet er endnu ikke implementeret, hvorfor punktet fortsat er markeret gult.

     

    -      Medarbejdere med privilegerede rettigheder kan ikke tilgå internettet når de er logget på med disse rettigheder

    Der er fundet en løsning som forventes implementeret i 2018 i Regional IT.

    Løsningen er endnu ikke implementeret, hvorfor punktet fortsat er markeret gult.

    fold dette punkt ind Indstilling

    Til orientering.

    fold dette punkt ind Beslutning i Digitaliseringsudvalget den 22-05-2018

    Til orientering.

    Udvalget ønskede, at status fremover udvides til at indeholde informations- og cybersikkerhed mere generelt.


    Sagsnr. 18/14529
    3. Status på EPJ SYD
    fold dette punkt ind Resume

    Digitaliseringsudvalget præsenteres for status på EPJ SYD.

    fold dette punkt ind Sagsfremstilling

    Digitaliseringsudvalget præsenteres for status på forløbet efter godkendelse af EPJ SYD leverandør samt fremadrettet plan for afklaringsfasen og forventet implementering.

    fold dette punkt ind Indstilling

    Til orientering.

    fold dette punkt ind Beslutning i Digitaliseringsudvalget den 22-05-2018

    Til orientering.


    Sagsnr. 18/180
    4. Mødekalender 2018
    fold dette punkt ind Resume

    Oversigt over digitaliseringsudvalgets møder i 2018.

    fold dette punkt ind Sagsfremstilling

     

    Mødedato

    Emne

    Sted

    Bemærkning

    Den 11. juni 2018, kl. 13-15

    Tværsektorielt samarbejde

    Regionshuset, Vejle

    Møde i udvalg for regional udvikling, kl. 15-18

    Den 10. september 2018, kl. 15-17

    Internetpsykiatri

    Telepsykiatrisk Center, Odense

    Den 22. oktober 2018, kl. 15-17

    Digital kommunikation med borgerne

    Sydvestjysk Sygehus (SVS)

    Den 19. november 2018, kl. 15-17

    Logistik

    Sygehus Sønderjylland (SHS)

    Den 18. december 2018, kl. 16-18

    Digitaliserings-strategi

    Regionshuset, Vejle

    Møde i psykiatri- og socialudvalg,

    kl. 12-14

    fold dette punkt ind Indstilling

    Til orientering.

    fold dette punkt ind Beslutning i Digitaliseringsudvalget den 22-05-2018

    Til orientering.


    Sagsnr. 18/180
    5. Eventuelt
    fold dette punkt ind Resume
    fold dette punkt ind Sagsfremstilling
    fold dette punkt ind Indstilling
    fold dette punkt ind Beslutning i Digitaliseringsudvalget den 22-05-2018

    Ingen bemærkninger.


    Sagsnr.
    6. Lukket punkt: Den nationale henvisningsformidling
    fold dette punkt ind Resume
    fold dette punkt ind Sagsfremstilling
    fold dette punkt ind Indstilling

    Siden er sidst opdateret 23-05-2018
    Kontakt Region Syddanmark

    Region Syddanmark | Tlf: 76 63 10 00 | CVR nr. 29190909 | Skriv til Regionen | Om hjemmesiden | Sitemap | Tilgængelighedserklæring