Vaatimus/Kontrolli Vaatimustenmukaisuuden todentaminen / auditointi

Transkriptio

1 Kansalliset auditointivaatimukset terveydenhuollon organisaatioille (sähköisten reseptien toiminnallisuuksien osalta) Toiminnalliset vaatimukset # Kriteeri / kontrollitavoite Organisaatoriset vaatimukset Vaatimus/Kontrolli Vaatimustenmukaisuuden todentaminen / auditointi Kommentit 1 Sisäinen päätös liittymiselle Organisaation sisäinen hallinnollinen päätös liittymisestä ereseptiin ja KanTa-palvelujen käyttäjäksi on tehty. 2 Auditoitu järjestelmä Organisaatiossa on käytössä auditoitu ereseptikyvykäs järjestelmä, joka on parametroitu ereseptivaatimusten mukaisesti 3 Tietoturvapolitiikka Organisaatiolla on tietoturvapolitiikka laadittuna ja se on otettu käyttöön 4 Nimetty tietosuojavastaava 5 Ohjeet potilastietojen käsittelystä Organisaatiolle on nimetty tietosuojavastaava ja hänen toimenkuvansa on määritelty Organisaatiossa on käytössä kirjalliset ohjeet potilastietojen käsittelystä henkilökunnalle ja huolehtinut henkilökunnan kouluttamisesta ja osaamisesta potilastietojen käsittelyssä Tarkastetaan, että organisaatio on tehnyt sisäisen hallinnollisen päätöksen liittyä Reseptikeskukseen / KanTa-palvelun käyttäjäksi. Esimerkiksi sitoumus käyttöönottoprojektin aloittamisesta, joka viedään tiedoksi th-lautakuntaan Tarkastetaan, että organisaatiolla on käytössään järjestelmä joka on läpäissyt auditoinnin. Tarkastetaan, että organisaatio on voimassaoleva ja ajantasainen tietoturvapolitiikka. Politiikasta tulee mm. ilmetä miten sitä tarkastetaan, kehitetään ja miten tietoturva on vastuutettu ja organisoitu organisaation tavoitteiden ja kansallisten vaatimusten saavuttamiseksi. Tarkastetaan, että organisaatiolle nimetty tietosuojavastaava ja hänen toimenkuvansa on määritelty Tarkastetaan, että organisaatio on laatinut kirjalliset ohjeet potilastietojen käsittelystä henkilökunnalle ja huolehtinut henkilökunnan kouluttamisesta ja osaamisesta potilastietojen käsittelyssä Kansalliset auditointivaatimukset terveydenhuollon organisaatioille 1

2 # Kriteeri / kontrollitavoite Vaatimus/Kontrolli Vaatimustenmukaisuuden todentaminen / auditointi 6 Henkilökunnan koulutus Organisaatio on kouluttanut henkilökunnan uuden Tarkastetaan, että organisaatio on ereseptin toimintamallin käyttöönottoon siltä osin kouluttanut henkilökunnan uuden kuin se otetaan käyttöön toimintayksiköissä toimintamallin käyttöönottoon - esim. reseptin uusimismenettely, suostumusmenettelyt. Koulutus on voinut pohjautua esim. yksityiskohtaisiin toimintamalleihin valtakunnallisessa ohjeessa: ereseptin toimintamallit 7 Tietosuojan valvonta Organisaatiolla on laadittu tietosuojaan liittyvä Tarkastetaan, että organisaatiolla on Kelan seuranta- ja valvontasuunnitelma tai se on ottanut laatiman ohjeen mukainen tietosuojaan käyttöön Kelan laatiman tietosuojaohjeen liittyvä seuranta- ja valvontasuunnitelma (Reseptikeskuksen tietojen käsittelyn seuranta ja valvontaohje terveydenhuollossa ja apteekeissa). Suunnitelmassa otetaan kantaa esim. miten tehdään säännöllistä henkilötietojen käytön seurantaa ja miten on suunniteltu 8 Yksityisten lääkäriasemien toimintayksiköiden ja ammatinharjoittajien vastuut Organisaatiolla on toimintamalli sen järjestelmiä käyttävien omien toimintayksiköiden ja mahdollisten ulkopuolisten ammatinharjoittajien keskinäisten vastuiden osalta. toimittavan, jos väärinkäytöksiä ilmenee. Yksityisen lääkäriaseman liittymisessä ereseptiin on lisäksi sovittava kirjallisesti toimintamallista eli siitä, miten sen järjestelmiä mahdollisesti käyttävät toimintayksiköt tai ammatinharjoittajat liittyvät mukaan ja onko lääkäriaseman ja tiloissa toimivien keskinäisistä vastuista sovittu. Kommentit Kansalliset auditointivaatimukset terveydenhuollon organisaatioille 2

3 Tekniset vaatimukset 9 Viestinvälityksen sopimukset ja lainsäädäntö 10 Tietoliikenneyhteydet ja toiminta teleoperaattoreiden kanssa Viestinvälityksen / tietoliikenteen tietosuojaa koskevat vaatimukset ja vastuiden määrittely tulee olla osa organisaation ja viestinvälitysoperaattorin välistä sopimusta. Mikäli viestinvälitys / tietoliikenne on ulkoistettu ei-suomalaiselle yritykselle, tulee siinä noudattaa Suomen lainsäädäntöä. Mikäli viestinvälityksen / tietoliikenteen alihankkijan tai toteuttajana käytetään amerikkalaisen yrityksen tytäryhtiötä, tulee varmistaa, ettei Yhdysvaltain viranomaisille synny mahdollisuutta päästä käsiksi viestintään ja sen tietoihin. Käytettävien tietoliikenneyhteyksien tietoturva tulee olla toteutettu organisaation tietoturvapolitiikan mukaisesti ja siten, että organisaation oman tietoturvapolitiikan, Kelan laatiman KanTa-tietoliikenteen tietoturva - dokumentin sekä tämän kriteeristön vaatimukset toteutuvat. Tämän toteutuminen tulee myös varmistaa sopimuksin. Tarkastetaan, että organisaatioiden välisissä sopimuksissa on huomioitu vaaditut viestinnän luottamuksellisuuteen liittyvät vaatimukset (tämän auditointipaperin liikenteen salaukseen ja luottamuksellisuuteen liittyvät vaatimukset) ja ulkoistustapauksissa mainittu noudatettava lainsäädäntö. Yhdysvaltain osalta vaatimus voidaan käytännössä toteuttaa vain salaamalla kaikki sinne mahdollisesti siirrettävät tiedot luotettavalla tavalla Tarkastetaan, että sopimuksissa tietoliikenneyhteyksistä on huomioitu tietoturvapolitiikan ja tämän vaatimusdokumentin asettamat vaatimukset. 11 Salaukseen käytettävät avaimet pysyvät vain haluttujen tahojen käytössä Sopimuksista tulee ilmetä mihin toimiin osapuolet ryhtyvät jos tietoturvassa ilmenee puutteita, ongelma tai uhkaava vaara. Organisaation järjestelmien tulee tukea hyvien käytäntöjen mukaista salausavainten ja sertifikaattien hallintaa, jonka tulee kattaa a) Avainten/sertifikaattien luonti (tai siirto Kansalliset auditointivaatimukset terveydenhuollon organisaatioille 3 Salausavainten hallintaan liittyvä dokumentaatio, tarkastetaan että vaaditut hyvät käytännöt a-d toteutuvat

4 12 Käyttövaltuushallinta (Käyttäjän sähköisiin lääkemääräyksiin liittyvän oikeuden asettaminen sekä oikeuksien ja rajoituksien tarkistaminen) 13 Käyttöoikeuksien jako ja hallinta järjestelmään) b) Avainten/sertifikaattien säilytys c) Avainten/sertifikaattien käyttö d) Avainten/sertifikaattien tuhoaminen/arkistointi/poisto Terveydenhuollon tietojärjestelmän tulee hallinnoida käyttäjiensä oikeuksia käyttää sähköiseen lääkemääräykseen liittyviä toimintoja ja reseptikeskuksen tietoja tai vaatimukset tulee toteuttaa ulkoisen järjestelmän, esimerkiksi käyttöoikeuksien hallintajärjestelmän IAM:n avulla. Käyttöoikeuksista ja niihin tehdyistä muutoksista tulee pitää kirjaa/lokia Terveydenhuollon toimintayksikön on omalta osaltaan seurattava ja valvottava, että reseptikeskuksessa olevia tietoja voivat katsella ja käsitellä vain siihen oikeutetut henkilöt. Järjestelmät estävät ei-sallitun käytön silloin, kun se on teknisesti mahdollista ja organisaation ohjeet ja toimintatavat ohjaavat oikeaan toimintaan ja käsittelyyn Käyttöoikeuksien myöntäminen ja käyttöoikeuksienhallintaprosessien tulee perustua roolipohjaisiin käyttöoikeuksiin. Poikkeamat roolikohtaisista oikeuksista tulee asianmukaisesti hyväksyä ja dokumentoida. Ne henkilöt/roolit, joilla on oikeus hyväksyä käyttöoikeuspyyntöjä tulee olla dokumentoitu Organisaation tietojärjestelmästä tulee olla laadittuna dokumentoidut käyttöoikeudet rajauksineen Kansalliset auditointivaatimukset terveydenhuollon organisaatioille 4 Tarkastetaan, että on olemassa sähköinen tai muu kirjanpito, josta voidaan todentaa haetut, hyväksytyt, implementoidut, poistetut jne. käyttöoikeudet Tarkastetaan käyttöoikeuksienhallintaprosessi / menetelmät: Mihin ja miten haetut, myönnetyt ja olemassa olevat käyttöoikeudet dokumentoidaan? Mistä käyttöoikeuksien oikeellisuus on varmistettavissa? Tarkastetaan organisaation toimintaohjeet reseptikeskuksen tietojen käsittelyn osalta sekä todennetaan seuranta ja valvonta, esim. valvontasuunnitelman olemassaolon toteaminen. Tarkastetaan käyttöoikeuksien hallinnan määrittelyt ja kuvaus. Tarkastetaan, että henkilöt/roolit, jotka saavat hyväksyä käyttöoikeuksia, on määritetty. Versio Vastuiden määrittely Kaikkien osapuolien (terveydenhuollon Tarkastetaan osapuolten välisistä Organisaatio + ATK-tekninen

5 toimintayksiköt, apteekit, itsenäiset ammatinharjoittajat, ohjelmistoyritykset ja tietoliikenneoperaattorit) vastuut tulee olla selkeästi määritelty toiminnallisuuden, tietoturvallisuuden ja yhteistoiminnallisuuden osalta. Tällä voidaan tarkoittaa esim. olemassa olevien kolmikantasopimusten (thorganisaatio/teleoperaattori/järjestelmätoimittaja) tapaisia vastuiden määrittelyjä. Tietoturvallisuuden osalta vastuut määritellään osapuolten välisissä toimeksianto- tai muissa sopimuksissa tai niiden liitteissä. sopimuksista että vastuut toiminnallisuuden, tietoturvallisuuden ja yhteistoiminnallisuuden osalta on selkeästi määritetty sopimuksiin. Tarkastetaan eri osapuolten palvelukuvaukset ko. toimintojen osalta Huom.! Kaikkien mainittujen osapuolten välillä ei välttämättä ole sopimussuhdetta. Tällöin vastuut pitää olla selvillä osapuolten tarjoamien palveluiden palvelukuvausten tai muiden vastaavien menettelyjen kautta. Selkeät tietoturvavastuut tulee ulottaa koskemaan myös alihankkijoita ja muita mahdollisia sopimuskumppaneita 15 Muutostenhallintaprosessi Järjestelmille tulee olla määrämuotoinen muutostenhallintaprosessi, joka kattaa versio- ja korjauspäivitykset sekä myös pienemmät toiminnalliset ja muuta vastaavat muutokset. Muutostenhallintaprosessin tulee sisältää ainakin: testauskäytännöt hyväksymiskäytännöt muutosten dokumentoinnin Toimenpiteet muutosta edeltäneeseen tilaan palaamiseksi, mikäli muutos ei toimi odotetulla tavalla Tarkastetaan kyseistä järjestelmää/ järjestelmiä koskeva muutostenhallintaprosessi Tarkastetaan, että tehdyt muutokset on suunniteltu, hyväksytty, testattu ja dokumentoitu Tämä tarkentuu kun KanTa-palveluihin liittyvät ohjeet valmistuvat. Kansalliset auditointivaatimukset terveydenhuollon organisaatioille 5

6 16 Tietoturvapoikkeamien havainnointi ja tietojärjestelmien käytön seuranta Organisaatiolla on oltava olemassa toimiva prosessi ja toimintatavat seuraaviin tietoturvallisuuden kannalta keskeisiin osaalueisiin: Tarkastetaan, että vaaditut prosessit ja toimintatavat on olemassa (dokumentoidusti), ne on henkilöstön tiedossa ja niiden mukaan toimitaan Organisaatio Tietoturvapoikkeamien havainnointi ja eskalointi (incident management) Tietojärjestelmien käytön seuranta (lokienanalysointiproseduurit) 17 Virhetilanteiden hallinta Virhe- ja poikkeustilanteiden varalta tulee olla dokumentoitu ja testattu toimintasuunnitelma (toipumissuunnitelma) Organisaatiolla (ja Kelalla) tulee olla yhteisesti sovittu ja dokumentoitu toimintatapa, miten erilaisista poikkeustilanteista selvitään. [Tarkennus: Apteekkien tapauksessa KELAa koskeva vaatimus ei sovellu] Tämä tarkentuu, kun ohjeet KanTapalveluiden osalta valmistuvat. Tarkastetaan toipumissuunnitelmien olemassaolo. Tarkastetaan, miten järjestelmien toiminnallisuutta valvotaan ja miten poikkeustilanteet ja virhetilanteet havaitaan Tarkastetaan, että organisaatiot (ja Kela) ovat yhdessä sopineet miten poikkeustilanteista selvitään. ATK-tekninen Organisaatio ATK-osasto. 18 Lokitietojen muuttumattomuus Lokitietojen luomisen ja käsittelyn prosessin tulee taata, että tarpeelliset lokit sekä syntyvät että pysyvät muuttumattomina ja todistusvoimaisina. Esim. Vahti 3/2009 Tämä tarkentuu, kun ohjeet KanTapalveluiden osalta valmistuvat. Tarkastetaan miten järjestelmän lokiympäristö on toteutettu, esim. erillisellä lokipalvelimella. Tarkastetaan miten lokitiedot on suojattu käyttöoikeuksin ja muuten. Varmistetaan, että ylläpitäjät ja muut voimakkaita oikeuksia omaavat tahot eivät voi poistaa tai muokata lokeja Kansalliset auditointivaatimukset terveydenhuollon organisaatioille 6

7 19 Käyttäjätunnusten yksilöllisyys Järjestelmissä ei saa olla yhteiskäyttöisiä tunnuksia sähköiseen reseptiin liittyvien toiminnallisuuksien osalta. Vaatimus koskee myös ylläpito ja muista vastaavia voimakkaita käyttöoikeuksia. Tarkastetaan järjestelmän käyttäjätunnukset että käytössä on vain yksilöllisiä tunnuksia. 20 Verkkoyhteyden suojaus Liittyvän organisaation järjestelmien tulee olla palomuurilla suojatut. Kyseeseen voi tulla joko tilallinen palomuuri tai erilliset sovelluspalomuurit. 21 Hallintayhteydet järjestelmään Mikäli organisaatiosta on useita yhteyksiä reseptikeskukseen / arkistoon, riittää kun ne ovat saman palomuurin takana. Mikäli järjestelmään ylläpidollisista tai muista syistä sallitaan etäyhteyksiä, yhteydet järjestelmään tulee olla toteutettu turvallisesti.. Lisäksi etäyhteyksien käyttäjät tulee tunnistaa käyttämällä luotettavaa vahvaa tunnistautumismenetelmää. Tarkastetaan ajantasainen verkkodiagrammi, johon on merkattu järjestelmät ja miten ne on sijoitettu sisäverkkoon. Liittyvien järjestelmien tulee olla yhteisellä palomuurilla tai palomuureilla suojatut Selvitetään miten mahdolliset etäyhteydet järjestelmään on toteutettu 22 Järjestelmän ylläpito Järjestelmissä ei saa olla ylimääräisiä palveluita eikä sovelluksia. Tarkastetaan, miten järjestelmät määritellään ja testataan ennen käyttöönottoa. Järjestelmissä ei saa olla aktiivisia oletustunnuksia ja muita oletuksena tulevia tietoturvallisuuden kannalta huonoja asetuksia. Palvelimet, joilla järjestelmät toimivat, tulee olla suojattu haittaohjelmilta, ja haittaohjelmien Kansalliset auditointivaatimukset terveydenhuollon organisaatioille 7 Jos mahdollista, skannataan palvelut / tarkastetaan alustan konfigurointiasetukset.

8 23 Tunnistautuminen järjestelmiin käytössä olevan torjuntaohjelman tulee olla automaattisesti päivittyvä (mikäli käytössä olevassa ympäristössä torjuntaohjelmia on). Palvelimien tietoturvapäivitysten asentamiseen tulee olla säännöllinen prosessi, jonka mukaan päivitysten kriittisyys ja tarve arvioidaan sekä päivitykset hyväksymistestataan erillisessä ympäristössä ennen tuotantoympäristöön asentamista. Järjestelmien ja sovellusten tulee olla suojattuja tyypillisimmiltä tietoturvapuutteilta ja wwwsovellusten haavoittuvuuksilta (esim. OWASP top 10). Järjestelmiin tulee sallia kirjautuminen sähköiseen reseptiin liittyviin toiminnallisuuksiin ainoastaan vahvaa tunnistusmekanismia käyttäen tai poikkeustapauksessa vahvaa salasanaa käyttäen. Tarkastetaan autentikointimekanismit; joko vahva tunnistautuminen (varmennekortti) tai vahva salasana. Salasanan käytön perustelut tarkastetaan Kansalliset auditointivaatimukset terveydenhuollon organisaatioille 8