Vaatimus/Kontrolli Vaatimustenmukaisuuden todentaminen / auditointi

Samankaltaiset tiedostot
Kanta- välittäjätahon määrittely löytyy ajantasaisena Tekniset liittymismallit -asiakirjasta, joka löytyy olevasta käsikirjasta.

Auditointi. Teemupekka Virtanen

OMAVALVONTASUUNNITELMA

KanTa. Terveydenhuollon organisaation auditointivaatimusten läpikäynti - eresepti

Sosiaali- ja terveydenhuollon tietojärjestelmiä käyttävien palveluiden antajien omavalvontasuunnitelma

Vaatimus/Kontrolli Vaatimustenmukaisuuden todentaminen / auditointi

Sosiaali- ja terveydenhuollon tietojärjestelmiä käyttävien palveluiden antajien omavalvontasuunnitelma

Osapuolet sitoutuvat noudattamaan e-reseptipalvelun ehtoja ja sen liitteitä.

Kansalliset auditointivaatimukset terveydenhuollon organisaatioille

Kanta-sopimusmalli / Yritys-Yritys. Sopimus eresepti-palveluun liittymisestä

KanTa- (Kansallinen terveysarkisto) palveluiden käyttöönotto. Ensimmäisenä sähköinen lääkemääräys

Kansalliset auditointivaatimukset terveydenhuollon organisaatioille

ERESEPTI TULEE MITÄ PITÄISI TEHDÄ? erespa viitoittaa tietä ereseptiin

ERESEPTI TULEE MITÄ PITÄISI TEHDÄ? Yksityishammaslääkärien talvipäivä Timo Airaksinen, Salivirta & Partners

KanTa-palvelut. Web-reseptisovellukset. versio 1.0

Kysymykset ja vastaukset ereseptiin liittymisen toimenpiteista ja auditointivaatimuksista

Tietosuojakysely 2018

Välittäjän määritelmä:

Sopimus Kanta-palveluihin liittymisestä ja Kanta-palvelujen käytöstä v 1.0

Tietosuojakysely 2019

Tietosuojakysely 2016

Liittyminen eresepti-palveluun. Yksityisten terveydenhuollon toimijoiden ereseptin käyttöönottoon valmistautuminen

Liittyminen eresepti-palveluun. Yksityisten terveydenhuollon toimijoiden ereseptin käyttöönottoon valmistautuminen

Tietosuojakysely 2017

2. päivä. Etätehtävien purku Poikkeamat. Poikkeamat Auditoinnin raportointi Hyvän auditoijan ominaisuudet Harjoituksia

TIETOSUOJASELOSTE Tilhilän palvelutalo Vuokrakiinteistöt

Potilastiedon arkisto Hakemus ja sitoumus. Kela, Kanta-palvelut, Viimeisin versio: kanta.fi > Potilastiedon arkiston käyttöönoton käsikirja

Case VRK: tietosuojan työkirjat osa 2. JUDO Työpaja #4 - tietosuoja Noora Kallio

Sopimus Kanta-palveluihin liittymisestä ja Kanta-palvelujen käytöstä

Apteekista löytyy listaus tärkeimmistä säädöksistä. Apteekista löytyy listaus ydinprosesseista ja niiden vastuuhenkilöistä.

KanTa Asiakastietojen käsittely ja menettelytavat eresepti-palvelua käytettäessä

Liittyminen eresepti-palveluun. Yksityisen terveydenhuollon toimijoiden ereseptin käyttöönottoon valmistautuminen

KanTa. Reseptikeskuksen tietojen käsittelyn seuranta ja valvonta terveydenhuollossa ja apteekissa

Kuka auttaa johtoa sosiaali- ja terveydenhuollon asiakastietojen käytönvalvonnassa?

Omavalvontasuunnitelma ja EU-tietosuojadirektiivi

OHJE LUOKKAAN A KUULUVIEN SOSIAALI- JA TERVEYDENHUOLLON TIETOJÄRJESTELMIEN MUUTOSTEN ILMOITTAMISESTA

Potilastiedot ja tietoturvallisuus Tietoturvaselvitykset ja asiantuntijakonsultointi roolipohjaisen käyttäjähallinnan osalta

SÄHKÖISEN LÄÄKEMÄÄRÄYKSEN TOIMINNALLISUUKSIA TOTEUTTAVIEN TIETO- JÄRJESTELMIEN VAATIMUSTENMUKAISUUS SIIRTYMÄVAIHEESSA

Kanta-sertifiointi ja omavalvonta yleiskuva ja prosessit

Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa

KANTA-PALVELUJEN YLEISET TOIMITUSEHDOT Liite 3

Terveydenhuollon yksiköiden valmiudet liittyä KanTa an

Liittyminen Kanta-palveluihin Valmistelukokous. Kela, Kanta-palvelut,

KanTa-palvelut. Sähköisen lääkemääräyksen testauspalvelun suunnitelma. versio 1.0

Tietosuojavastaavan toiminta ja dokumentointi

TIETOTURVAA TOTEUTTAMASSA

Liite 1 Tietoturvavaatimukset potilastietojärjestelmille ja apteekkijärjestelmille ja järjestelmien käyttöympäristöille

Tietoturvaa verkkotunnusvälittäjille

OHJE YLEISEEN KÄYTTÖÖN TARKOITETTUJEN OHJELMISTOJEN HYÖDYNTÄMISESTÄ SOTE- PALVELUISSA

Kokemuksia sähköisestä lääkemääräyksestä

Kelain-palvelun käyttöehdot

Kelain-palvelun käyttöehdot

Tietosuojavastaavan rooli lokivalvonnassa

Mtech Digital Solutions Oy Minun Maatilani - ohjelmiston palvelusopimus

KanTa-kokonaisuus ja kunnat

Kelain-palvelun käyttöehdot

Naantalin kaupunki Rekisteriseloste

Uuden terveydenhuoltolain toteutumisen edistäminen. ereseptin käyttöönoton suunnittelu ja valmistelu

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus

Omien tietojen katselu. Terveydenhuollon ATK-päivät

Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

eresepti- ja KANTA-hankkeissa

Valmistautuminen potilastiedon arkiston käyttöönottoon. Käyttöönoton käsikirja ja toiminnallisen muutoksen tukeminen Anna Kärkkäinen

Kysymyksiä jä västäuksiä yksityisen terveydenhuollon liittymisestä potilästiedon ärkistoon

KanTa-palvelut, earkisto Terveydenhuollon ATK-päivät Lahti. Erkki Aaltonen

Käytönvalvonnan yhtenäistäminen ja tehostaminen organisaation ja kansalaisen kannalta

Kansallisen arkiston ja ereseptin tilannekatsaus Terveydenhuollon atk päivät Erkki Aaltonen

Kanta-sertifiointi ja omavalvonta yleiskuva ja prosessit

Asiakastietolain ja reseptilain muutokset. Terveydenhuollon atk-päivät Pekka Järvinen, STM

Lappeenrannan kaupungin tietoturvaperiaatteet 2016

Kanta-palvelut, Kelan näkökulma

ISO 9001:2015 JÄRJESTELMÄ- JA PROSESSIAUDITOIN- NIN KYSYMYKSIÄ

Resepti-palvelu. Reseptikeskus. Palvelukuvaus 1 (6) Resepti-palvelu

Määräys sosiaali- ja terveydenhuollon tietojärjestelmien olennaisista toiminnallisista vaatimuksista

Virtu tietoturvallisuus. Virtu seminaari

Kanta. Liittymisohje Kanta-palveluihin

Potilastiedon arkistoon liittyminen 6 kk tukikokous

1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus

Sähköinen allekirjoitus

Aineistosiirron testauksen aloituksen ohje Trafin sopimuskumppaneille

Liite 2 : RAFAELA -aineiston elinkaaren hallinta

Lokitietojen käsittelystä

Naantalin kaupunki Rekisteriseloste

HELIA TIKO ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

Sosiaalihuollon asiakastiedon arkisto. Pirjo Vuorikallas

KanTa-palvelujen tilannekatsaus. Marina Lindgren, KanTa-palvelut, Kela

KanTa. Liittymisohje KanTa-palveluihin

TERVEYDENHUOLLON TOIMINTAYKSIKÖN TIETOTURVAPOLITIIKKA

Suomeksi Potilastiedot valtakunnalliseen arkistoon

Vastuualueen ja tulosyksikön sisäisen valvonnan ja riskienhallinnan arviointi ja järjestäminen (pohjaehdotus)

TIETOJEN TARKASTAMINEN SOTE-ORGANISAATIOREKISTERISTÄ JA IAH-KOODISTOSTA

Ajankohtaista tietoa LähiTapiolan verkkopalvelun pääkäyttäjille

Tämän kyselyn määritelmät on kuvattu sopimuksessa.

TOIMINTA KANTA-PALVELUJEN HÄIRIÖTILANTEESSA

Sairaanhoitopiiri tarjoaa terveydenhuollon järjestelmäpalvelut kunnille

Terveydenhuollon ATK-päivät Logomo, Turku

Mihin varautua, kun sairaala varautuu kyberuhkiin? Perttu Halonen Sosiaali- ja terveydenhuollon ATK-päivät,

Ohje EU:n yleistä tietosuoja-asetusta on sovellettu alkaen. Asetus määrittää henkilötietoja käsittelevien tahojen roolit:

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

Transkriptio:

Kansalliset auditointivaatimukset terveydenhuollon organisaatioille (sähköisten reseptien toiminnallisuuksien osalta) Toiminnalliset vaatimukset # Kriteeri / kontrollitavoite Organisaatoriset vaatimukset Vaatimus/Kontrolli Vaatimustenmukaisuuden todentaminen / auditointi Kommentit 1 Sisäinen päätös liittymiselle Organisaation sisäinen hallinnollinen päätös liittymisestä ereseptiin ja KanTa-palvelujen käyttäjäksi on tehty. 2 Auditoitu järjestelmä Organisaatiossa on käytössä auditoitu ereseptikyvykäs järjestelmä, joka on parametroitu ereseptivaatimusten mukaisesti 3 Tietoturvapolitiikka Organisaatiolla on tietoturvapolitiikka laadittuna ja se on otettu käyttöön 4 Nimetty tietosuojavastaava 5 Ohjeet potilastietojen käsittelystä Organisaatiolle on nimetty tietosuojavastaava ja hänen toimenkuvansa on määritelty Organisaatiossa on käytössä kirjalliset ohjeet potilastietojen käsittelystä henkilökunnalle ja huolehtinut henkilökunnan kouluttamisesta ja osaamisesta potilastietojen käsittelyssä Tarkastetaan, että organisaatio on tehnyt sisäisen hallinnollisen päätöksen liittyä Reseptikeskukseen / KanTa-palvelun käyttäjäksi. Esimerkiksi sitoumus käyttöönottoprojektin aloittamisesta, joka viedään tiedoksi th-lautakuntaan Tarkastetaan, että organisaatiolla on käytössään järjestelmä joka on läpäissyt auditoinnin. Tarkastetaan, että organisaatio on voimassaoleva ja ajantasainen tietoturvapolitiikka. Politiikasta tulee mm. ilmetä miten sitä tarkastetaan, kehitetään ja miten tietoturva on vastuutettu ja organisoitu organisaation tavoitteiden ja kansallisten vaatimusten saavuttamiseksi. Tarkastetaan, että organisaatiolle nimetty tietosuojavastaava ja hänen toimenkuvansa on määritelty Tarkastetaan, että organisaatio on laatinut kirjalliset ohjeet potilastietojen käsittelystä henkilökunnalle ja huolehtinut henkilökunnan kouluttamisesta ja osaamisesta potilastietojen käsittelyssä Kansalliset auditointivaatimukset terveydenhuollon organisaatioille 1

# Kriteeri / kontrollitavoite Vaatimus/Kontrolli Vaatimustenmukaisuuden todentaminen / auditointi 6 Henkilökunnan koulutus Organisaatio on kouluttanut henkilökunnan uuden Tarkastetaan, että organisaatio on ereseptin toimintamallin käyttöönottoon siltä osin kouluttanut henkilökunnan uuden kuin se otetaan käyttöön toimintayksiköissä toimintamallin käyttöönottoon - esim. reseptin uusimismenettely, suostumusmenettelyt. Koulutus on voinut pohjautua esim. yksityiskohtaisiin toimintamalleihin valtakunnallisessa ohjeessa: ereseptin toimintamallit 7 Tietosuojan valvonta Organisaatiolla on laadittu tietosuojaan liittyvä Tarkastetaan, että organisaatiolla on Kelan seuranta- ja valvontasuunnitelma tai se on ottanut laatiman ohjeen mukainen tietosuojaan käyttöön Kelan laatiman tietosuojaohjeen liittyvä seuranta- ja valvontasuunnitelma (Reseptikeskuksen tietojen käsittelyn seuranta ja valvontaohje terveydenhuollossa ja apteekeissa). Suunnitelmassa otetaan kantaa esim. miten tehdään säännöllistä henkilötietojen käytön seurantaa ja miten on suunniteltu 8 Yksityisten lääkäriasemien toimintayksiköiden ja ammatinharjoittajien vastuut Organisaatiolla on toimintamalli sen järjestelmiä käyttävien omien toimintayksiköiden ja mahdollisten ulkopuolisten ammatinharjoittajien keskinäisten vastuiden osalta. toimittavan, jos väärinkäytöksiä ilmenee. Yksityisen lääkäriaseman liittymisessä ereseptiin on lisäksi sovittava kirjallisesti toimintamallista eli siitä, miten sen järjestelmiä mahdollisesti käyttävät toimintayksiköt tai ammatinharjoittajat liittyvät mukaan ja onko lääkäriaseman ja tiloissa toimivien keskinäisistä vastuista sovittu. Kommentit Kansalliset auditointivaatimukset terveydenhuollon organisaatioille 2

Tekniset vaatimukset 9 Viestinvälityksen sopimukset ja lainsäädäntö 10 Tietoliikenneyhteydet ja toiminta teleoperaattoreiden kanssa Viestinvälityksen / tietoliikenteen tietosuojaa koskevat vaatimukset ja vastuiden määrittely tulee olla osa organisaation ja viestinvälitysoperaattorin välistä sopimusta. Mikäli viestinvälitys / tietoliikenne on ulkoistettu ei-suomalaiselle yritykselle, tulee siinä noudattaa Suomen lainsäädäntöä. Mikäli viestinvälityksen / tietoliikenteen alihankkijan tai toteuttajana käytetään amerikkalaisen yrityksen tytäryhtiötä, tulee varmistaa, ettei Yhdysvaltain viranomaisille synny mahdollisuutta päästä käsiksi viestintään ja sen tietoihin. Käytettävien tietoliikenneyhteyksien tietoturva tulee olla toteutettu organisaation tietoturvapolitiikan mukaisesti ja siten, että organisaation oman tietoturvapolitiikan, Kelan laatiman KanTa-tietoliikenteen tietoturva - dokumentin sekä tämän kriteeristön vaatimukset toteutuvat. Tämän toteutuminen tulee myös varmistaa sopimuksin. Tarkastetaan, että organisaatioiden välisissä sopimuksissa on huomioitu vaaditut viestinnän luottamuksellisuuteen liittyvät vaatimukset (tämän auditointipaperin liikenteen salaukseen ja luottamuksellisuuteen liittyvät vaatimukset) ja ulkoistustapauksissa mainittu noudatettava lainsäädäntö. Yhdysvaltain osalta vaatimus voidaan käytännössä toteuttaa vain salaamalla kaikki sinne mahdollisesti siirrettävät tiedot luotettavalla tavalla Tarkastetaan, että sopimuksissa tietoliikenneyhteyksistä on huomioitu tietoturvapolitiikan ja tämän vaatimusdokumentin asettamat vaatimukset. 11 Salaukseen käytettävät avaimet pysyvät vain haluttujen tahojen käytössä Sopimuksista tulee ilmetä mihin toimiin osapuolet ryhtyvät jos tietoturvassa ilmenee puutteita, ongelma tai uhkaava vaara. Organisaation järjestelmien tulee tukea hyvien käytäntöjen mukaista salausavainten ja sertifikaattien hallintaa, jonka tulee kattaa a) Avainten/sertifikaattien luonti (tai siirto Kansalliset auditointivaatimukset terveydenhuollon organisaatioille 3 Salausavainten hallintaan liittyvä dokumentaatio, tarkastetaan että vaaditut hyvät käytännöt a-d toteutuvat

12 Käyttövaltuushallinta (Käyttäjän sähköisiin lääkemääräyksiin liittyvän oikeuden asettaminen sekä oikeuksien ja rajoituksien tarkistaminen) 13 Käyttöoikeuksien jako ja hallinta järjestelmään) b) Avainten/sertifikaattien säilytys c) Avainten/sertifikaattien käyttö d) Avainten/sertifikaattien tuhoaminen/arkistointi/poisto Terveydenhuollon tietojärjestelmän tulee hallinnoida käyttäjiensä oikeuksia käyttää sähköiseen lääkemääräykseen liittyviä toimintoja ja reseptikeskuksen tietoja tai vaatimukset tulee toteuttaa ulkoisen järjestelmän, esimerkiksi käyttöoikeuksien hallintajärjestelmän IAM:n avulla. Käyttöoikeuksista ja niihin tehdyistä muutoksista tulee pitää kirjaa/lokia Terveydenhuollon toimintayksikön on omalta osaltaan seurattava ja valvottava, että reseptikeskuksessa olevia tietoja voivat katsella ja käsitellä vain siihen oikeutetut henkilöt. Järjestelmät estävät ei-sallitun käytön silloin, kun se on teknisesti mahdollista ja organisaation ohjeet ja toimintatavat ohjaavat oikeaan toimintaan ja käsittelyyn Käyttöoikeuksien myöntäminen ja käyttöoikeuksienhallintaprosessien tulee perustua roolipohjaisiin käyttöoikeuksiin. Poikkeamat roolikohtaisista oikeuksista tulee asianmukaisesti hyväksyä ja dokumentoida. Ne henkilöt/roolit, joilla on oikeus hyväksyä käyttöoikeuspyyntöjä tulee olla dokumentoitu Organisaation tietojärjestelmästä tulee olla laadittuna dokumentoidut käyttöoikeudet rajauksineen Kansalliset auditointivaatimukset terveydenhuollon organisaatioille 4 Tarkastetaan, että on olemassa sähköinen tai muu kirjanpito, josta voidaan todentaa haetut, hyväksytyt, implementoidut, poistetut jne. käyttöoikeudet Tarkastetaan käyttöoikeuksienhallintaprosessi / menetelmät: Mihin ja miten haetut, myönnetyt ja olemassa olevat käyttöoikeudet dokumentoidaan? Mistä käyttöoikeuksien oikeellisuus on varmistettavissa? Tarkastetaan organisaation toimintaohjeet reseptikeskuksen tietojen käsittelyn osalta sekä todennetaan seuranta ja valvonta, esim. valvontasuunnitelman olemassaolon toteaminen. Tarkastetaan käyttöoikeuksien hallinnan määrittelyt ja kuvaus. Tarkastetaan, että henkilöt/roolit, jotka saavat hyväksyä käyttöoikeuksia, on määritetty. Versio 1.0 9.9.2010 14 Vastuiden määrittely Kaikkien osapuolien (terveydenhuollon Tarkastetaan osapuolten välisistä Organisaatio + ATK-tekninen

toimintayksiköt, apteekit, itsenäiset ammatinharjoittajat, ohjelmistoyritykset ja tietoliikenneoperaattorit) vastuut tulee olla selkeästi määritelty toiminnallisuuden, tietoturvallisuuden ja yhteistoiminnallisuuden osalta. Tällä voidaan tarkoittaa esim. olemassa olevien kolmikantasopimusten (thorganisaatio/teleoperaattori/järjestelmätoimittaja) tapaisia vastuiden määrittelyjä. Tietoturvallisuuden osalta vastuut määritellään osapuolten välisissä toimeksianto- tai muissa sopimuksissa tai niiden liitteissä. sopimuksista että vastuut toiminnallisuuden, tietoturvallisuuden ja yhteistoiminnallisuuden osalta on selkeästi määritetty sopimuksiin. Tarkastetaan eri osapuolten palvelukuvaukset ko. toimintojen osalta Huom.! Kaikkien mainittujen osapuolten välillä ei välttämättä ole sopimussuhdetta. Tällöin vastuut pitää olla selvillä osapuolten tarjoamien palveluiden palvelukuvausten tai muiden vastaavien menettelyjen kautta. Selkeät tietoturvavastuut tulee ulottaa koskemaan myös alihankkijoita ja muita mahdollisia sopimuskumppaneita 15 Muutostenhallintaprosessi Järjestelmille tulee olla määrämuotoinen muutostenhallintaprosessi, joka kattaa versio- ja korjauspäivitykset sekä myös pienemmät toiminnalliset ja muuta vastaavat muutokset. Muutostenhallintaprosessin tulee sisältää ainakin: testauskäytännöt hyväksymiskäytännöt muutosten dokumentoinnin Toimenpiteet muutosta edeltäneeseen tilaan palaamiseksi, mikäli muutos ei toimi odotetulla tavalla Tarkastetaan kyseistä järjestelmää/ järjestelmiä koskeva muutostenhallintaprosessi Tarkastetaan, että tehdyt muutokset on suunniteltu, hyväksytty, testattu ja dokumentoitu Tämä tarkentuu kun KanTa-palveluihin liittyvät ohjeet valmistuvat. Kansalliset auditointivaatimukset terveydenhuollon organisaatioille 5

16 Tietoturvapoikkeamien havainnointi ja tietojärjestelmien käytön seuranta Organisaatiolla on oltava olemassa toimiva prosessi ja toimintatavat seuraaviin tietoturvallisuuden kannalta keskeisiin osaalueisiin: Tarkastetaan, että vaaditut prosessit ja toimintatavat on olemassa (dokumentoidusti), ne on henkilöstön tiedossa ja niiden mukaan toimitaan Organisaatio Tietoturvapoikkeamien havainnointi ja eskalointi (incident management) Tietojärjestelmien käytön seuranta (lokienanalysointiproseduurit) 17 Virhetilanteiden hallinta Virhe- ja poikkeustilanteiden varalta tulee olla dokumentoitu ja testattu toimintasuunnitelma (toipumissuunnitelma) Organisaatiolla (ja Kelalla) tulee olla yhteisesti sovittu ja dokumentoitu toimintatapa, miten erilaisista poikkeustilanteista selvitään. [Tarkennus: Apteekkien tapauksessa KELAa koskeva vaatimus ei sovellu] Tämä tarkentuu, kun ohjeet KanTapalveluiden osalta valmistuvat. Tarkastetaan toipumissuunnitelmien olemassaolo. Tarkastetaan, miten järjestelmien toiminnallisuutta valvotaan ja miten poikkeustilanteet ja virhetilanteet havaitaan Tarkastetaan, että organisaatiot (ja Kela) ovat yhdessä sopineet miten poikkeustilanteista selvitään. ATK-tekninen Organisaatio ATK-osasto. 18 Lokitietojen muuttumattomuus Lokitietojen luomisen ja käsittelyn prosessin tulee taata, että tarpeelliset lokit sekä syntyvät että pysyvät muuttumattomina ja todistusvoimaisina. Esim. Vahti 3/2009 Tämä tarkentuu, kun ohjeet KanTapalveluiden osalta valmistuvat. Tarkastetaan miten järjestelmän lokiympäristö on toteutettu, esim. erillisellä lokipalvelimella. Tarkastetaan miten lokitiedot on suojattu käyttöoikeuksin ja muuten. Varmistetaan, että ylläpitäjät ja muut voimakkaita oikeuksia omaavat tahot eivät voi poistaa tai muokata lokeja Kansalliset auditointivaatimukset terveydenhuollon organisaatioille 6

19 Käyttäjätunnusten yksilöllisyys Järjestelmissä ei saa olla yhteiskäyttöisiä tunnuksia sähköiseen reseptiin liittyvien toiminnallisuuksien osalta. Vaatimus koskee myös ylläpito ja muista vastaavia voimakkaita käyttöoikeuksia. Tarkastetaan järjestelmän käyttäjätunnukset että käytössä on vain yksilöllisiä tunnuksia. 20 Verkkoyhteyden suojaus Liittyvän organisaation järjestelmien tulee olla palomuurilla suojatut. Kyseeseen voi tulla joko tilallinen palomuuri tai erilliset sovelluspalomuurit. 21 Hallintayhteydet järjestelmään Mikäli organisaatiosta on useita yhteyksiä reseptikeskukseen / arkistoon, riittää kun ne ovat saman palomuurin takana. Mikäli järjestelmään ylläpidollisista tai muista syistä sallitaan etäyhteyksiä, yhteydet järjestelmään tulee olla toteutettu turvallisesti.. Lisäksi etäyhteyksien käyttäjät tulee tunnistaa käyttämällä luotettavaa vahvaa tunnistautumismenetelmää. Tarkastetaan ajantasainen verkkodiagrammi, johon on merkattu järjestelmät ja miten ne on sijoitettu sisäverkkoon. Liittyvien järjestelmien tulee olla yhteisellä palomuurilla tai palomuureilla suojatut Selvitetään miten mahdolliset etäyhteydet järjestelmään on toteutettu 22 Järjestelmän ylläpito Järjestelmissä ei saa olla ylimääräisiä palveluita eikä sovelluksia. Tarkastetaan, miten järjestelmät määritellään ja testataan ennen käyttöönottoa. Järjestelmissä ei saa olla aktiivisia oletustunnuksia ja muita oletuksena tulevia tietoturvallisuuden kannalta huonoja asetuksia. Palvelimet, joilla järjestelmät toimivat, tulee olla suojattu haittaohjelmilta, ja haittaohjelmien Kansalliset auditointivaatimukset terveydenhuollon organisaatioille 7 Jos mahdollista, skannataan palvelut / tarkastetaan alustan konfigurointiasetukset.

23 Tunnistautuminen järjestelmiin käytössä olevan torjuntaohjelman tulee olla automaattisesti päivittyvä (mikäli käytössä olevassa ympäristössä torjuntaohjelmia on). Palvelimien tietoturvapäivitysten asentamiseen tulee olla säännöllinen prosessi, jonka mukaan päivitysten kriittisyys ja tarve arvioidaan sekä päivitykset hyväksymistestataan erillisessä ympäristössä ennen tuotantoympäristöön asentamista. Järjestelmien ja sovellusten tulee olla suojattuja tyypillisimmiltä tietoturvapuutteilta ja wwwsovellusten haavoittuvuuksilta (esim. OWASP top 10). Järjestelmiin tulee sallia kirjautuminen sähköiseen reseptiin liittyviin toiminnallisuuksiin ainoastaan vahvaa tunnistusmekanismia käyttäen tai poikkeustapauksessa vahvaa salasanaa käyttäen. Tarkastetaan autentikointimekanismit; joko vahva tunnistautuminen (varmennekortti) tai vahva salasana. Salasanan käytön perustelut tarkastetaan Kansalliset auditointivaatimukset terveydenhuollon organisaatioille 8

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute