– Styrningen av informationssäkerhetsarbetet inom hälso- och sjukvården är ett komplext uppdrag. Det handlar om stora organisationer som hanterar känslig information i det vardagliga arbetet. Vi hoppas att rapportens rekommendationer blir ett användbart stöd för landstingsledningarnas fortsatta arbete, säger Dan Eliasson, generaldirektör för MSB.

I juni 2017 fick MSB i uppdrag av regeringen att kartlägga och analysera informationssäkerhetsarbetet inom landstingens hälso- och sjukvårds-verksamhet. Uppdraget har genomförts i samverkan med eHälsomyndigheten, Socialstyrelsen och Sveriges Kommuner och Landsting.

Resultatet av detta regeringsuppdrag presenteras i form av rapporten ”En bild av landstingens informationssäkerhetsarbete 2018” som nu finns tillgänglig för nedladdning från MSB.se. I rapporten som sammanställer analysen av styrningen av informationssäkerhetsarbetet i landstingens hälso- och sjukvårdsverksamhet, presenteras åtta rekommendationer till landstingen som ett stöd till ett systematiskt informationssäkerhetsarbete:

1. Informationssäkerhetspolicyn ska hållas aktuell och omfatta all verksamhet, inklusive medicinteknik och ICS/SCADA.
   
   
2. Funktionen för samordning och utveckling av informationssäkerhet i landstinget ska tilldelas tillräckligt med resurser.
   
   
3. Ledningen ska informera sig om hur nuläget och utvecklingen ser ut.
   
   
4. En handlingsplan utifrån informationssäkerhetsmålen, nuläget och tilldelade resurser ska beslutas av ledningen.
   
   
5. Ett etablerat arbetssätt för riskanalyser ska användas.
   
   
6. Klassa informationen som hanteras i verksamheten efter hur allvarliga konsekvenserna skulle bli av bristande informationssäkerhet.
   
   
7. Informationssäkerhetsrelaterade krav ska upprättas och användas vid upphandlingar.
   
   
8. Uppföljning av genomfört arbete ska ske.

Underlaget till rapporten är en enkät till samtliga landsting och djupintervjuer med sex utvalda landsting. I båda fallen svarade personer som på något sätt samordnar informationssäkerhetsarbetet i landstingen. Vid analysen användes en mognadsbedömningsmodell med fyra nivåer.

– Här ser vi att det finns förbättringsområden, exempelvis kring uppföljning, incidenter och upphandling. Det viktigaste är att komma igång, att få processer på plats och påbörja tillämpningen, säger Carl Önne, handläggare och ansvarig för rapporten på MSB.

Källa: MSB