Återkoppling säkerhetsredovisning 2013 en kunskapsöversikt agenda:
DESCRIPTION
Återkoppling Säkerhetsredovisning 2013 En kunskapsöversikt Agenda: Säkerhetsarbetet 2013 – resultat av enkätsvar Frågor och diskussion Redovisning av 2014 års säkerhetsarbete – synpunkter? Övrigt Gullbergsvass 2014-05-21. Säkerhetsredovisning 2013 Lång hela VGR ver. 1.0 - PowerPoint PPT PresentationTRANSCRIPT
Återkoppling Säkerhetsredovisning 2013En kunskapsöversikt
Agenda:• Säkerhetsarbetet 2013 – resultat av enkätsvar• Frågor och diskussion • Redovisning av 2014 års säkerhetsarbete – synpunkter?• Övrigt
Gullbergsvass 2014-05-21
Säkerhetsredovisning 2013Lång hela VGR ver. 1.0
Redovisning av säkerhetsarbetet och säkerhetsläget i Västra Götalandsregionens verksamheter
under 2013
Diagram i denna redovisning bygger i huvudsak på svar i en webb-enkät i från 44 verksamheter
2014-05-19
Rapport 2014-03-11 “Redovisning av säkerhetsarbetet och säkerhetsläget i Västra Götalandsregionens verksamheter 2013” finns på regionens webb-plats Insidan.http://intra.vgregion.se/sv/Insidan/amnesomraden/Krisberedskap-och-sakerhet/Sakerhet/
1. Förvaltningar och bolag1. Medverkande och redovisning till nämnd och styrelse
2. Sammanfattningar 1. Sammanfattning 1 extra kort version – 1 sida och samma som till ÅR (RS 2014-03-25)
2. Sammanfattning 2 kort version – 1 sida
3. Utgångspunkter för redovisning av 2013 års säkerhetsarbete1. Politiska beslut, säkerhetsstrategi och tjänstemannaansvaret
2. IT-säkerheten 2013
3. Handlingsplan för informationssäkerhet
4. Uppföljning av 7 Mål i Regional strategi för säkerhetsarbetet 2013-2014
4. Sammanfattning – måluppfyllelse1. Starka och mindre starka säkerhetsområden i relation till uppsatta mål
5. Krishanteringsförmåga
6. Regionövergripande och gemensamma risker
7. Personsäkerhet
8. Informationssäkerhet
9. Hälso- och sjukvård
10. Övrigt
Innehåll
1. Förvaltningar och bolag
Förvaltning och bolag
1. Alingsås lasarett inkl styrelsen2. Angereds Närsjukhus inkl styrelsen3. Film i Väst AB4. Folkhälsokommitténs sekretariat inkl folkhälsokommittén5. Folkhögskola: Agnesbergs folkhögskola6. Folkhögskola: Billströmska folkhögskolan7. Folkhögskola: Dalslands folkhögskola8. Folkhögskola: Fristads folkhögskola9. Folkhögskola: Grebbestads folkhögskola10. Folkhögskola: Göteborgs folkhögskola11. Folkhögskola: Vara folkhögskola12. Folktandvården inkl tandvårdstyrelsen13. Frölunda specialistsjukhus inkl styrelsen14. Naturbrukskansliet inkl styrelsen15. Göteborgs botaniska trädgård16. Göteborgs Symfoniker AB17. GöteborgsOperan AB18. Habilitering & Hälsa inkl styrelsen19. Hälsan och Stressmedicn inkl styrelsen20. Hälso- och sjukvårdsnämndernas kansli inkl HSN 1-1221. Kollektivtrafiksekretariatet inkl kollektivtrafiknämnd22. Kultur i Väst23. Kultursekretariatet inkl kulturnämnden24. Kungälvs sjukhus inkl styrelsen25. Miljösekretariatet inkl miljönnämnden
26. NU-sjukvården inkl styrelsen27. Närhälsan inkl Primärvårdsstyrelsen28. Närhälsan inkl styrelsen för beställd primärvård29. Patientnämndernas kansli inkl patientnämnder30. Regionarkiv inkl arkivnämnden31. Regionkansliet inkl regionstyrelsen och regionfullmäktige32. Regionkansliet inkl regionstyrelsen och regionfullmäktige31. Regionarkiv inkl arkivnämnden32. Regionkansliet och VGR IT33. Regionservice inkl servicenämnd34. Regionteater Väst AB35. Regionutvecklingssekretariatet inkl regionutvecklingsnämnden36. Revisionsenhet inkl revisorskollegiet37. Rättighetskommitténs kansli inkl kommittén för rättighetsfrågor38. Sahlgrenska Universitetssjukhuset inkl styrelsen39. SICAB inkl styrelsen40. Skaraborgs sjukhus41. Södra Älvsborgs sjukhus (SÄS) inkl styrelse42. Västarvet43. Västfastigheter inkl fastighetsnämnden44. Västsvenska Turistrådet AB45. Västtrafik AB
OBS att begrepp verksamhet och förvaltning betyder samma sak i denna presentation
Verksamhet inom hälso- och sjukvård
Namn Antal %
A. Ja, min verksamhet är inom hälso och sjukvård
13 29,5
B. Nej, min verksamhet är inte inom hälso- och sjukvård och frågor inom hälso- och sjukvård är inte tillämpbara
31 70,5
Total 44 100
Svarsfrekvens
100% (44/44)
OBS att 13 verksamheter inom sjukvård är inklusive 2 beställare (Närhälsan och HSN-kansliet)
Svar i denna rapport/enkät har redovisats till nämnd, styrelse eller bolagsstyrelse
Namn Antal %
A. Nej 27 61,4
B. Ja 17 38,6
Total 44 100
Svarsfrekvens
100% (44/44)
Svar i denna rapport/enkät kommer att redovisas till nämnd, styrelse eller bolagsstyrelse
Namn Antal %
A. Nej 2 4,5
B. Ja 24 54,5
C. Har redovisat ja enligt tidigare fråga
18 40,9
Total 44 100
Svarsfrekvens
100% (44/44)
Notera att två verksamheter har inte och kommer inte att redovisa säkerhetsarbetet 2013 till nämnd eller styrelse
Svar i denna rapport/enkät har tagits fram
Namn Antal %
A. Nej, inte i samråd med andra förvaltningar
40 90,9
B. Ja, i samråd med andra förvaltningar
4 9,1
Total 44 100
Svarsfrekvens
100% (44/44)
Det finns potential till ökad samverkan mellan förvaltningar
Antal personer har medverkat och påverkat svar i denna rapport
Namn Antal %
A. 1 person 7 15,9
B. 2-4 personer 20 45,5
C. 5-10 personer 12 27,3
D. 11-20 personer 3 6,8
E. 21-50 personer 2 4,5
F. 51-100 personer 0 0
G. fler än 100 personer 0 0
Total 44 100
Svarsfrekvens
100% (44/44)
Totalt kan beräknas att ca 250 personer varit inblandade i enkätsvar och påverkat innehållet i denna rapport
Fråga: Hur många personer har varit inblandade?
2. Två sammanfattningar
1. Säkerhetsläget i Västra Götalandsregionens verksamheter är huvudsak stabilt men det finns utvecklingspotential inom olika säkerhetsområden.
2. Problemet med IT-säkerheten – trots problem med IT-säkerheten, nya hot och risker är bedömningen att åtgärder under året och planerade aktiviteter och brutit en negativ trend.
3. Handlingsplan för informationssäkerhet (beslutad av RS) – åtgärder fortsätter under 2014 med bl.a. åtgärder som stärker ägar- och verksamhetsstyrning, säkerhetskultur och utbildningsinsatser.
4. Starka säkerhetsområden (i relation till uppsatt mål) är avvikelsehantering, rutiner som kan tillämpas vid IT-avbrott och genomgång av säkerhetsfrågor och upprättandet av kontinuitetsplan och/eller beredskapsplan
5. Mindre starka säkerhetsområden är klassificering av information, handlingsplan för säkerhetsarbetet, klassificering av lokaler, utbildning i personsäkerhet övningsverksamhet kring operativ ledning av kris- och katastrofer och identifiering av rutiner som kan effektiviseras och/eller automatiseras.
Sammanfattning 1 – extra kort version 1(1)
1. Säkerhetsläget i Västra Götalandsregionens verksamheter är huvudsak stabilt men det finns utvecklingspotential inom olika säkerhetsområden för verksamheter som inte verkar inom hälso- och sjukvård.
2. Problemet med IT-säkerheten – trots problem med IT-säkerheten, nya hot och risker är bedömningen att åtgärder under året och planerade aktiviteter och brutit en negativ trend kring IT, eller åtminstone bromsat upp denna trend.
3. Handlingsplan för informationssäkerhet (beslutad av RS) – åtgärder fortsätter under 2014 med bl.a. åtgärder som stärker ägar- och verksamhetsstyrning, säkerhetskultur och utbildningsinsatser för tekniker, särskild högskolebaserad utbildning och interaktiv utbildning informationssäkerhet.
4. Starka säkerhetsområden är avvikelsehantering, rutiner som kan tillämpas vid IT-avbrott, genomgång av säkerhetsfrågor, upprättandet av kontinuitetsplan och/eller beredskapsplan
5. Mindre starka säkerhetsområden är klassificering av information, handlingsplan för säkerhetsarbetet, klassificering av lokaler, utbildning i personsäkerhet övningsverksamhet kring operativ ledning av kris- och katastrofer och identifiering av rutiner som kan effektiviseras och/eller automatiseras.
6. Övrig säkerhet i korthet:a. Systematiskt säkerhetsarbetet bedrivs inom hälso- och sjukvård i allt ökande omfattning och det finns
utvecklingspotential för andra verksamheterb. Fler Risk- och sårbarhetsanalyser (RSA) har genomförts under 2013 jämfört med tidigare år.c. Intresset för administrativa säkerhetstjänster har ökat d. Förståelsen för säkerhetsfrågor har ökat.e. Samverkan mellan verksamheter har ökatf. Lokal TiB-funktion – fler verksamheter har inrättat denna funktion under 2013g. Personsäkerhet – fler personer än tidigare har medverkat i personsäkerhetsutbildningarh. Investeringar I Windows 7 inkl Office 2013 har gjort den personliga arbetsplatsen säkrare
Sammanfattning 2 – kort version 1(2)
Andra iakttagelser
Omfattning• Alla förvaltningar och bolag i VGR har besvarat webbenkät I EsMaker• 11 utförarverksamheter inom hälso- och sjukvård har 43 536 personer – 85,2 % av anställda i VGR• 34 verksamheter – 14,8 % av anställda i VGR• Svarsfrekvens – alla förvaltningar och bolag har besvarat frågor och lämnat synpunkter på
säkerhetsarbetet under 2013
RSA och Intresset• Fler RSA (Risk- och sårbarhetsanalyser) har genomförts 2013 än under tidigare år• Intresset för administrativa säkerhetstjänster har ökat • Intresset och förståelsen för säkerhetsfrågor har ökat
Annat• Samverkan mellan förvaltning har identifierats - folkhögskolorna har nu gemensam förvaltning• Personsäkerhet – fler personer än tidigare har medverkat i personsäkerhetsutbildningar• Fler verksamheter har inrättat lokal TiB-funktion
3. Utgångspunkter för redovisning av 2013 års säkerhetsarbete
1. Politiska beslut, säkerhetsstrategi och tjänstemannaansvaret2. Handlingsplan för informationssäkerhet – RS beslut 2013-03-263. IT-säkerheten 20134. Regional säkerhetsstrategi för 2013-2014
1. Nämnder, styrelser och bolagsstyrelser ska årligen redovisa sitt säkerhetsarbete till Regionstyrelsen och i respektive årsredovisning enligt Regionfullmäktiges beslut den 22 april 2008, dnr RSK 636-2006.
2. Utgångspunkt för redovisningen är Regional strategi för säkerhetsarbetet i Västra Götalandsregionens verksamheter 2013-2016 fastställd av Regionfullmäktige den 14 maj 2013, dnr RS 572-2011.
3. Förvaltningschef, säkerhetschef/motsvarande eller av förvaltningschef utsedd kontaktperson ansvarar för att svar och bedömningar i frågeformuläret ger en rättvisande bild av förvaltningens säkerhetsarbete och säkerhetsläge under 2013.
Politiska beslut, säkerhetsstrategi och tjänstemannaansvaret
För att åtgärda problem med IT-säkerheten har övergripande handlingsplan för informationssäkerhet tagits fram och beslutats av regionstyrelsen 2013-03-26. Åtgärder i denna plan handlar om att:
• Stödja nationellt informationssäkerhetsarbete inom vård- och omsorg
• Förstärka ägarstyrning bl.a. genom
a) revidering av riktlinjer för informationssäkerhet och policy och
b) utformning av regelverk för medicintekniska system och tekniska styrsystem (SCADA)
• Förstärka verksamhetsstyrning genom att
a) föreslå funktion för operativt säkerhetsarbete
b) genomföra utbildningsinsatser för tekniker
c) genomföra särskild högskolebaserad utbildning som ett stöd för införande av ledningssystem
d) ta fram en interaktiv utbildning (film med lärmoment) inom området informationssäkerhet
• Åtgärder som stärker säkerhetskulturen inom VGR IT
Handlingsplan för informationssäkerhet
• Trots problem med IT-säkerheten, nya hot och risker är bedömningen att vidtagna åtgärder under året, planerade aktiviteter och strategier brutit en negativ trend kring IT, eller åtminstone bromsat upp denna trend.
• IT-säkerheten ökar succesivt när planerade åtgärder genomförs och när IT-säkerheten ökar försvåras bland annat dataintrång och skadlig kod i våra IT-system.
• Genomförda och planerade åtgärder handlar om uppgradering av IT-system, befintlig IT-infrastruktur och utbildningsinsatser till IT-tekniker.
• Exempel på åtgärder är: SSO (Singel Sign On), projekt kring säker identitetshantering, säkrare nät och etablering av process för larmhantering för IT-system
• IT-säkerhetsstrategi och IS/IT-strategi har tagits fram under 2013 och investeringar I Windows 7 inkl Office 2013 har gjort den personliga arbetsplatsen säkrare
• IT-säkerheten kan utvecklas i de mindre förvaltningarna
IT-säkerheten 2013 1(2)
“Trots att IT-säkerheten har förbättrats till en viss del men större delen, upplever medarbetare att IT-säkerheten ej har förbättrats. System införs utan möjligheter till utbildning. Systemen ej kompatibla vilket skapar frustration och tär på IT-säkerheten och medarbetare.”
Konstateranden:
• Verksamheter är beroende av kompetens från VGR IT men otydliga regler, rutiner och otydlig tillämpning av eventuella regler skapar missförstånd – dialog och förståelse måste utvecklas mellan VGR IT:s tekniker och verksamheten
• IT-problem och IT-avbrott kan påverka patientsäkerheten
• Att IT-system tas i drift utan att vara tillräckligt testade är ett problem
• IT-problem i verksamheter tar tid från arbetet med patienter
IT-säkerheten 2013 2(2)
Regional strategi för säkerhetsarbetet 2013-2014
• Regionfullmäktige har 2013-05-14 fastställt Regional strategi för säkerhetsarbetet i Västra Götalandsregionens verksamheter 2013-2016.
• Säkerhetsstrategin består av 7 strategiska mål som följs upp varje år utifrån beslutade måltal. De beslutade 7 strategiska målen med 13 måltal är:
• Mål 1 Att förebygga mänskligt lidande, skador, skadeverkningar och kostnader samt säkerhetsklassificering av lokaler.
• Mål 2 Att säkerhetsarbetet i Västra Götalandsregionens verksamheter blir en ledningsfråga.• Mål 3 Att Västfastigheter ansvarar för fastighetsbunden säkerhet.• Mål 4 Att Regionservice, på särskilda villkor, tillhandahåller administrativa säkerhetstjänster.• Mål 5 Att förvaltningar, var för sig eller i samverkan, etablerar ändamålsenlig risk- och
krishanteringsorganisation och upprättar kontinuitetsplaner• Mål 6 Att säkerhetskultur och utbildning i patient- och personsäkerhet• Mål 7 Att rätt och riktig information når rätt mottagare i rätt tid.
4. Sammanfattningar – måluppfyllelse 7 mål
1. Starka och svaga säkerhetsområden2. Säkerhetsindex för 20133. Illustrationer av starka och svaga säkerhetsområden4. Behov av säkerhetstjänster och VF:s ansvar m.m.
Sammanfattning 1(3)Starka och mindre starka säkerhetsområden i relation till
uppsatta mål i den regionala säkerhetsstrategin
Definitioner:
Starkt säkerhetsområde = svar stämmer helt eller nästan helt dvs svar i nivå 3-5
Mindre starkt säkerhetsområde = svar stämmer inte alls helt eller nästan inte alls dvs svar i nivå 1-3
• Mål 1 – Avvikelsehantering Måltal 2013 är att minst 75 % av alla verksamheter har en systematisk avvikelsehantering
Resultat för 2013 är 91 % svar i intervallet 3-5 = starkt säkerhetsområde
• Mål 1 – Klassificering av lokaler Måltal 2013 är att minst 25 % av alla verksamheter har påbörjat arbetet med att klassificera lokaler
Resultat för 2013 är 45 % svar i intervallet 3-5 = starkt säkerhetsområde (pga lågt satt mål)
• Mål 2 – Regelbunden genomgång av säkerhetsfrågor Måltal 2013 är att minst 75 % av alla verksamheter har regelbunden genomgång av säkerhetsfrågor
Resultat för 2013 är 80 % svar i intervallet 3-5 = starkt säkerhetsområde
• Mål 3 – Västfastigheters ansvar för fastighetsbunden säkerhet Måltal 2013 är att för 75 % av alla verksamheter har Västfastigheter tagit över ansvar för fastighetsbunden
säkerhet
Resultat för 2013 är 50 % svar i intervallet 3-5 = mindre starkt säkerhetsområde
Definitioner:
Starkt säkerhetsområde = svar stämmer helt eller nästan helt dvs svar i nivå 3-5
Mindre starkt säkerhetsområde = svar stämmer inte alls helt eller nästan inte alls dvs svar i nivå 1-3
• Mål 4 – Administrativa säkerhetstjänster – om det finns behov av säkerhetstjänsterResultat för 2013 är 73 % svar i intervallet 3-5 vilket innebär att det finns behov av tjänster kopplat till tjänstekort,
larm, avtal, passagesystem, vakthållning och kameraövervakning = bra utgångspunkter för LTC
• Mål 5 – Handlingsplan för säkerhetsarbetet som är fastställd av nämnd eller styrelseMål 2013 är att minst 75 % av alla verksamheter har en beslutad handlingsplan för säkerhetsarbetet
Resultat för 2013 är 68 % svar i intervallet 3-5 = mindre starkt säkerhetsområde
• Mål 5 – Kontinuitetsplan eller kris- och beredskapsplan som är fastställd av nämnd eller styrelse
Mål 2013 är att minst 25 % av alla verksamheter har en beslutad kontinuitetsplan eller kris- och beredskapsplan
Resultat för 2013 är 57 % svar i intervallet 3-5 = starkt säkerhetsområde (pga lågt satt mål)
• Mål 6 – Förvaltningar utbildar sin personal i personsäkerhetMål 2013 är att minst 75 % av alla förvaltningar utbildar sin personal i personsäkerhet
Resultat för 2013 är 53 % svar i intervallet 3-5 = mindre starkt säkerhetsområde
Sammanfattning forts. – 1(2)Starka och mindre starka säkerhetsområden
Definitioner:
Starkt säkerhetsområde = svar stämmer helt eller nästan helt dvs svar i nivå 3-5
Mindre starkt säkerhetsområde = svar stämmer inte alls helt eller nästan inte alls dvs svar i nivå 1-3
• Mål 7 – De viktigaste processerna och informationsmängderna är identifieradeResultat för 2013 är 82 % svar i intervallet 3-5 = starkt säkerhetsområde
• Mål 7 – Förvaltningens skyddsvärda information har identifierats och klassificeratsMål 2013 är att minst 50 % av alla verksamheter har klassificerat skyddsvärd information
Resultat för 2013 är 73 % svar i intervallet 3-5 = starkt säkerhetsområde
• Mål 7 – Skyddsvärd information lagras och kommuniceras på ett säkert sättResultat för 2013 är 91 % svar i intervallet 3-5 = starkt säkerhetsområde
• Mål 7 - Rutiner som kan tillämpas vid IT-avbrottMål 2013 är att 50 % av alla verksamheter har kända rutiner som kan tillämpas i händelse av IT-avbrott
Resultat för 2013 är 75 % svar i intervallet 3-5 = starkt säkerhetsområde
Sammanfattning forts. – 1(3)Starka och mindre starka säkerhetsområden
TOTALT: 8 starka områden och 3 mindre starka områden
25
Hälso- och sjukvård
Index utifrån 12 svar kopplat till 7 strategiska mål
Not. Genomsnittligt index = 3,58
Mål 1 - Avvikelser i förvaltningens verksamheter hanteras på ett systematiskt sätt
Namn Antal %
A. 1 - Stämmer inte alls 2 4,5
B. 2 2 4,5
C. 3 14 31,8
D. 4 21 47,7
E. 5 - Stämmer helt 5 11,4
Total 44 100
Svarsfrekvens
100% (44/44)
Mål 1 – Avvikelsehantering
Måltal 2013 är att 75 % av alla verksamheter har en systematisk avvikelsehantering Resultat för 2013 är 91 % svar i intervallet 3-5 = starkt säkerhetsområde
Mål 1 - Arbetet med att säkerhetsklassificera lokaler har påbörjats
Namn Antal %
A. 1 - Stämmer inte alls 14 31,8
B. 2 10 22,7
C. 3 10 22,7
D. 4 6 13,6
E. 5 - Stämmer helt 4 9,1
Total 44 100
Svarsfrekvens
100% (44/44)
Mål 1 – Klassificering av lokaler
Måltal 2013 är att 25 % av alla verksamheter har påbörjat arbetet med att klassificera lokaler Resultat för 2013 är 45 % svar i intervallet 3-5 = starkt säkerhetsområde (pga lågt satt mål)
Mål 2 - Ledningen har regelbunden genomgång av säkerhetsfrågor
Namn Antal %
A. 1 - Stämmer inte alls 5 11,4
B. 2 4 9,1
C. 3 19 43,2
D. 4 12 27,3
E. 5 - Stämmer helt 4 9,1
Total 44 100
Svarsfrekvens
100% (44/44)
Mål 2 – Regelbunden genomgång av säkerhetsfrågor
Måltal 2013 är att 75 % av alla verksamheter har regelbunden genomgång av säkerhetsfrågorResultat för 2013 är 80 % svar i intervallet 3-5 = starkt säkerhetsområde
Mål 3 - Västfastigheter har tagit över ansvar för fastighetsbundna säkerhetsanläggningar
Namn Antal %
A. 1 - Stämmer inte alls 17 38,6
B. 2 5 11,4
C. 3 8 18,2
D. 4 6 13,6
E. 5 - Stämmer helt 8 18,2
Total 44 100
Svarsfrekvens
100% (44/44)
Mål 3 – Västfastigheters ansvar för fastighetsbunden säkerhet Måltal 2013 är att för 75 % av alla verksamheter har Västfastigheter tagit över ansvar för fastighetsbunden säkerhetResultat för 2013 är 50 % svar i intervallet 3-5 = mindre starkt säkerhetsområde
Mål 4 - Det finns behov av administrativa säkerhetstjänster som ex vis hantering av tjänstekort, larm, avtal, passagesystem, vakthållning och kameraövervakning
Namn Antal %
A. 1 - Stämmer inte alls 7 15,9
B. 2 5 11,4
C. 3 5 11,4
D. 4 8 18,2
E. 5 - Stämmer helt 19 43,2
Total 44 100
Svarsfrekvens
100% (44/44)
Mål 4 – Administrativa säkerhetstjänster – behov av säkerhetstjänster
Resultat för 2013 är 73 % svar i intervallet 3-5 vilket innebär att det finns behov av tjänster kopplat till tjänstekort, larm, avtal, passagesystem, vakthållning och kameraövervakning
Mål 4 - Det finns behov av följande säkerhetstjänster
Namn Antal %
A. Hantering av tjänstekort 25 56,8
B. Hantering av larm 29 65,9
C. Administration av passagesystem
21 47,7
D. Hjälp med vakthållning (ex vis ordningsvakter)
17 38,6
E. Hantering av kameraövervakning
14 31,8
F. Hjälp med avtal och avtalsbevakning säkerhetstjänster
17 38,6
G. Annat 15 34,1
Total 138 313,6
Svarsfrekvens
100% (44/44)
Mål 4 – Administrativa säkerhetstjänster – om det finns behov av säkerhetstjänster
Resultat för 2013 är 73 % svar i intervallet 3-5 vilket innebär att det finns behov av tjänster kopplat till tjänstekort, larm, avtal, passagesystem, vakthållning och kameraövervakning
• Hantering av larm
• Kompletterande säkerhetsutbildningar
• FSS har tecknat avtal med Västfastigheter och andra leverantörer
• Bolaget har bevakningsföretag
• Allt utförs i egen regi
• Beror på samordningsvinster och ekonomisk påverkan
• Akut behov av ombyggnation av lokaler, gäller elsäkerhet m.m.
• Kompletterande säkerhetsutbildningar
• Oklar fråga, vi har redan tjänstkort och liknande och därför inget ytterligare behov.
• Inget
• Brandlarm, hissar etc i Regionens Hus
• Adm säkerhetstjänster hanteras inom kansliet resp Regionservice
• Behov finns, men vi sköter detta själva i dagsläget
Mål 4 - Det finns behov av följande säkerhetstjänster
Mål 5 - Handlingsplan för säkerhetsarbetet finns och är fastställd av nämnd, styrelse eller bolagsstyrelse
Namn Antal %
A. 1 - Stämmer inte alls 7 15,9
B. 2 7 15,9
C. 3 6 13,6
D. 4 7 15,9
E. 5 - Stämmer helt 17 38,6
Total 44 100
Svarsfrekvens
100% (44/44)
Mål 5 – Handlingsplan för säkerhetsarbetet som är fastställd av nämnd, eller styrelse
Mål 2013 är att minst 75 % av alla verksamheter har en beslutad handlingsplan för säkerhetsarbetetResultat för 2013 är 68 % svar i intervallet 3-5 = mindre starkt säkerhetsområde
Mål 5 - Kontinuitetsplan eller kris- och beredskapsplan finns och är fastställd av nämnd, styrelse eller bolagsstyrelse
Namn Antal %
A. 1 - Stämmer inte alls 10 22,7
B. 2 9 20,5
C. 3 7 15,9
D. 4 5 11,4
E. 5 - Stämmer helt 13 29,5
Total 44 100
Svarsfrekvens
100% (44/44)
Mål 5 – Kontinuitetsplan eller kris- och beredskapsplan som är fastställd av nämnd eller styrelse
Mål 2013 är att minst 25 % av alla verksamheter har en beslutad kontinuitetsplan eller kris- och beredskapsplanResultat för 2013 är 57 % svar i intervallet 3-5 = starkt säkerhetsområde (pga lågt satt mål)
Mål 6 - Anställda i förvaltningen får utbildning i personsäkerhet
Namn Antal %
A. 1 - Stämmer inte alls 12 27,3
B. 2 9 20,5
C. 3 12 27,3
D. 4 6 13,6
E. 5 - Stämmer helt 5 11,4
Total 44 100
Svarsfrekvens
100% (44/44)
Mål 6 – Förvaltningar utbildar sin personal i personsäkerhet
Mål 2013 är att 75 % av alla förvaltningar utbildar sin personal i personsäkerhet Resultat för 2013 är 53 % svar i intervallet 3-5 = mindre starkt säkerhetsområde
Mål 7 - De viktigaste processerna och informationsmängderna är identifierade
Namn Antal %
A. 1 - Stämmer inte alls 4 9,1
B. 2 4 9,1
C. 3 9 20,5
D. 4 21 47,7
E. 5 - Stämmer helt 6 13,6
Total 44 100
Svarsfrekvens
100% (44/44)
Mål 7 – De viktigaste processerna och informationsmängderna är identifierade
Resultat för 2013 är 82 % svar i intervallet 3-5 = starkt säkerhetsområde
Mål 7 - Förvaltningens skyddsvärda information har klassificerats
Namn Antal %
A. 1 - Stämmer inte alls 6 13,6
B. 2 6 13,6
C. 3 15 34,1
D. 4 10 22,7
E. 5 - Stämmer helt 7 15,9
Total 44 100
Svarsfrekvens
100% (44/44)
Mål 7 – Förvaltningens skyddsvärda information har identifierats och klassificerats
Mål 2013 är att minst 50 % av alla verksamheter har klassificerat skyddsvärd informationResultat för 2013 är 73 % svar i intervallet 3-5 = starkt säkerhetsområde
Mål 7 - Skyddsvärd information lagras och kommuniceras internt och extern (via ex vis e-post) på ett säkert och tillfredsställande sätt
Namn Antal %
A. 1 - Stämmer inte alls 2 4,5
B. 2 2 4,5
C. 3 16 36,4
D. 4 15 34,1
E. 5 - Stämmer helt 9 20,5
Total 44 100
Svarsfrekvens
100% (44/44)
Mål 7 – Skyddsvärd information lagras och kommuniceras på ett säkert sätt
Resultat för 2013 är 91 % svar i intervallet 3-5 = starkt säkerhetsområde men å andra sidan.... nästa bild!
Mål 7 – Det finns problem att kommunicera skyddsvärd information på ett säkert sätt
Namn Antal %
A. 1 - Stämmer inte alls 0 0
B. 2 5 38,5
C. 3 7 53,8
D. 4 - Stämmer helt 1 7,7
Total 13 100
Svarsfrekvens
29,5% (13/44)
Sjukvården upplever problem med att kommunicera skyddsvärd information
7 av 13 eller 61,5 % anser att påståendet stämmer helt eller stämmer nästan
Mål 7 - Det finns rutiner som kan tillämpas vid IT-avbrott
Namn Antal %
A. 1 - Stämmer inte alls 7 15,9
B. 2 4 9,1
C. 3 16 36,4
D. 4 9 20,5
E. 5 - Stämmer helt 8 18,2
Total 44 100
Svarsfrekvens
100% (44/44)
Mål 7 - Rutiner som kan tillämpas vid IT-avbrott
Mål 2013 är att 50 % av alla verksamheter har kända rutiner som kan tillämpas i händelse av IT-avbrottResultat för 2013 är 75 % svar i intervallet 3-5 = starkt säkerhetsområde
5. Krishanteringsförmåga
Konstateranden:
• Beläggningen på sjukhus har ökat och påverkat krishanteringsförmågan
• Användning av sociala medier innebär ökade möjligheter att sprida information och samtidigt en ökad risk när felaktig information får spridning som kan innebära hot och risker som inte är förutsägbara
• Hotbilden har förändrats vilket inneburit säkerhetshöjande åtgärder och ökad samverkan med polisen
• Problem med IT-säkerhet har påverkat krishanteringsförmågan
• Fler verksamheter har inrättat tjänsteman i beredskap (L-TiB) vilket ökar krishanteringsförmågan
Har risk- och sårbarhetsanalyser (RSA) genomförts under 2013 i syfte att förbättra krishanteringsförmågan?
Namn Antal %
A. Nej 25 56,8
B. Ja och antalet RSA vs krishanteringsförmåga som har genomförts är
19 43,2
Total 44 100
Svarsfrekvens
100% (44/44)
• >3• 2
• EN sjukhusövergripande RSA med fokus på social oro, SEXTON mer specifikt verksamhetsknutna (vårdmetoder, lokalförändringar, MT, organisationsförändringar)
• 1
• 2
• 2 st
• 3
• 1
• diskussioner inom nya folkhögskolekansliet
• två
• 1
• 1 st medieförsörjning
• 1
• PKMC har tittat beläggning på sjukhus och ambulansberedskap. Smittskydd allm ROS för enheten (2009) samt en specifik IT ROS (2011) finns dock ej textmässigt reviderade 2013. Epedemiberedskapsplan reviderad och antagen av RS 2013.
• 2 st• 2 skriftlig, fler sker kontinuerligt
• 1
• 1
• 4
Så här har verksamheter svarat:
Har risk- och sårbarhetsanalyser (RSA) genomförts under 2013 i syfte att förbättra informationssäkerheten?
Namn Antal %
A. Nej 29 65,9
B. Ja och antalet RSA vs informationssäkerheten som har genomförts är
15 34,1
Total 44 100
Svarsfrekvens
100% (44/44)
• 2
• 8
• 2
• 3 st
• Handlingsplaner. Riktlinjer avseende kommunikation med tydlig ansvarsfördelning.
• 1
• 1
• diskussioner inom nya folkhögskolekansliet
• PKMC har tittat på kommunikationssystem. Smittskyddet arbetar kontinuerligt med RSA.
Så här har verksamheter svarat:
• 3 st
• 1
• 4
• 1 elevhantering Avanti
• 1
Har skydds- och förbättringsåtgärder genomförts under 2013 som påverkat krishanteringsförmågan?
Namn Antal %
A. Nej 15 34,1
B. Ja och exempel på åtgärder är
29 65,9
Total 44 100
Svarsfrekvens
100% (44/44)
Genomförda åtgärder handlar för många om utvecklings- och utbildningsinsatser
Planering för sommarsituationen 2013.Brandutbildning• SBA
Uppdatering av det systematiska brandskyddsarbetet (SBA)Utveckling av åtgärdskort för tjänsteman i beredskap (TIB).Utveckling, Uppdatering av kris och katastrofplan. Utbildning i kris och katastrof. • Arbetet pågår med att förtydliga åtgärdskorten/avdelning.
• Hälsan och arbetslivet / psykolog inkopplad vid allvarlig sjukdom hos medarbetare.
• Avbrottsfri kraft från dieselgenerator till datahall
• Krishanteringsplan för folkhögskolekansliet och övergripande plan för fölkhögskolorna
• Nya rutiner för trafikstörningar.
• En kommunikationsplan har upprättats för förvaltningen
• Utbildningsinsatser för medarbetare och chefer, utveckling av rutiner/riktlinjer, sektionering av lokaler i samband med ombyggnation eller vid händelse samt utökade larm funktioner.
• Avvikelshanteringssystemet används nu av de flesta enheter. Förbättrar åtgärdsplanering och uppföljning.
• Uppdatering av krisplan
• Gjort en analys av krishanteringsförmågan och informationssäkerheten inom ramen för krishanteringsplan som hanteras av miljönämnden 31 januari 2014. Analysen har gjorts i samråd med en säkerhetsstrateg (Anneli Kivi) och tjänstemän från andra förvaltningar inom Tillväxt & Utveckling.
• Tillsammans med Säkerhetsstrategiska påbörjat arbete med MVA
Så här har verksamheter svarat 1(4):
• Nämnderna har utsett en säkerhetsansvarig (förvaltningschef). Förvaltningen har utsett en funktion som har ansvar för kriskommunikationsfrågorna
• Riktlinjer har antagits gällande personsäkerhet i samband med patientbesök till patientnämndernas kansli
Åtgärdslista efter strömavbrott MölndalKomponentbyten i tekniska system som förenklat hantering.• Preliminär åtgärdslista efter strömavbrott Sahlgrenska
Ny datahall i BoråsNya säkerhetstjänsterUtbildning i krishantering• Säkerhetshandlingsplan via bransch
• Åtgärdat mindre felaktigheter inom arbetsmiljön.
• påbörjat arbete med krishanteringspärm
• Utökning av LTiB funktion. Kan nu vid behov finnas i tjänst även nattetid.
• Årlig genomgång och information om krishantering både för personalen och kursdeltagare
utbildning och övningar (brandskydd, personsäkerhet, katastrofmedicin mm)• säkerhetsanpassningar i lokaler i samband med ombyggnationer och flyttar
• åtgärdsplaner verksamheter, ändrad organisation bla införskaffat RKK samordnare och RKK ombud
Handlingsplan vid elavbrott, Stabsövningar och larmövningar har genomförts. Utbildning inom katastrofövning,Nya funktioner och rutiner för medicinska larm, • Händelseanalys IT,
• Påbörjat arbete med krishanteringspärm
• Utbildningsinsatser för medarbetare och chefer, utveckling av rutiner/riktlinjer, sektionering av lokaler i samband med ombyggnation eller vid händelse samt utökade larm
Framtagande av systematiskt brandskyddsarbete (SBA)• Brandutbildning
Så här har verksamheter svarat 2(4):
• Katastrofmedicinska utbildningar i syfte att öka personalens kompetens.
• Kontinuerliga utbildningar och övningar i saneringsenheten på NÄL med fokus på saneringsmetodik och personlig skyddsutrustning. Dessa övningar har medfört en förbättring av åtgärdskort för saneringsarbetet.
• Samverkansövningar med Högskolan Väst i form av 3ns övningar med deltagare från räddningstjänst, polis, ambulanssjukvård och enheten för säkerhet och beredskap.
• CBRNE-nätverk i Fyrbodal och i NU-sjukvården, som utvecklar och förbättrar arbetet inom området farliga ämnen.
• Regional temadag i smittskydd/B-händelser
• Deltagande i samrådsgrupp för sjöräddning i SAR-område Skagerack där sjöräddningsenheter och landbaserade blåljusorganisationer samverkar och övar. SAR = Search and Rescue.
• Krisledningsövning/seminarium oktober 2013 genomfördes av PKMC med stöd av MSB. Målet var att öka och stärka samverkan mellan olika myndigheter i krisstödsarbetet.
• Medverkande från NU-sjukvården var PKL, Säkerhet och beredskap och informatör.
• Ökad krishanteringsförmåga mellan PKMC och sjukhusområdena vid exempelvis vädervarningar och vårdplatsbrist via gemensamma telefonkonferenser.
• Funktionen NU-TiB har en central roll i krishanteringsförmågan.
Så här har verksamheter svarat 3(4):
• Scenarioövningar och stabsövningar har genomförts med alla medarbetare i TIB-funktionen.
• Omorganisation med tydligare ledningsstruktur och tydligare ansvarsfördelning.
• Smittskyddet och PKMC vidtagit åtgärder.
• PKMC: Har tittat på olika kontaktnät, Tib-funktion för hela regionen och gemensamt med Länsstyrelsen.
• Smittskyddet: Har reviderat epedemiberedskapsplanen. Hela enheten har genomgått stabsutbildning och övat praktiskt under handledning i stabsmetodik.
• IHR beredskapsarbetet fortskrider inom VGR och nationellt tillsammans med PLMC och Socialstyrelsen
Så här har verksamheter svarat 4(4):
Har skydds- och förbättringsåtgärder genomförts under 2013 som påverkat informationssäkerheten?
Namn Antal %
A. Nej 24 54,5
B. Ja och exempel på åtgärder är
20 45,5
Total 44 100
Svarsfrekvens
100% (44/44)
Ytterligare datamängder om Västarvets foto- och föremålssamlingar har lagts in i ett säkrare system, PRIMUS.• Förvaltningens IT har lagts in i Vgrs gemensamma IT- plattform.
• Uppgradering och förbättringsåtgärder i syfte att säkerställa information i PN ärendehanteringssystem, tillika diariesystem, för inkomna patientklagomål.
Automation av behörigheter• Certifikathantering på datorer
• All personal har blivit påmind om sin tystnadsplikt och vad denna innebär. Vid osäkerheter kontakta chef.• Åtgärder kring server och intrångsfrågor
• Införande av GIT plattform
• Reservtelefon extern om IP- telefonin går ner, revisioner ute i verksamheterna har påbörjats, loggranskningsrutiner har förbättras
• Styrdokument för loggning-loggranskning, Utbildning nyanställd personal samt AT läkare
RSA inför teknikbyte vid 1177 (SVR) Förändringar genomförs under våren för att säkra kommunikationerna.RSA av införande av Asynja-Visph gav förändring/utveckling av utbildning, rutiner, införanderutin och teknik.• RSA av konverktering av gamla data.
Riskanalys för riskminimering vid migrering till IP-telefoni.Införande av Windows 7 som förutsättning för en säker IT-basmiljö samt testarbeten för att klara övergången.• Nya och reviderade dokument kring informationssäkerhet.
Obligatorisk säkerhetsutbildning/ fysisk säkerhet, ges två gånger per år. Mer än hälften av medarbetarna har tagit del av utbildningen.Översyn av behörigheter samt arbete som pågår kring uppdatering av behörighetstilldelning.• Pågående arbete av uppdatering av rutiner för loggranskning för alla system som innehåller patientinformation
• Genomgång gjord med konsult som servar administrationsprogrammen vad gäller löne och bokföringsprogram.
• Förbättrade återställningsrutiner
• diskussioner inom nya folkhögskolekansliet
• Utbildat all personal i informationssäkerhet
Så här har verksamheter svarat (som genomfört åtgärder) 1(2):
RSA inför teknikbyte vid 1177 (SVR) Förändringar genomfördes under våren för att säkra kommunikationerna.RSA av införandet av Asynja-Visph gav förändringar/utveckling av utbildning, rutiner, införanderutin och teknik.• RSA av konverting av gamla data.
SIHTS-kort inloggning till vissa system, KIV och KLARAÖversyn av behörighetshanteringen i journalsystemet Melior. Loggningsgranskning utförs i verksamhetenGenomgång av Informationssäkerhet för sjuksköterskestudenter.Användare måste identifiera med tjänstekort i samband med lösenordsbyte• Nya regionala rutiner för behörighetsbeställning
• Ek avd: Betalterminaler för verksamheter.• PKMC: Möten med Gbg kommun, SU och säkerhetsdirektören.
Smittskydd: Skaffat analoga uttag för tel/fax, förbättrade telefoner (IP-telefoni på två kontor har ibland upplevts som att det ökade sårbarheten).• Smittskydd: Mobila bredband i flera datorer. Mångårigt arbete med en dokumenthanteringsplan för enheten
fortskrider och blir troligen klar inom ett halvår.
• Reviderat riktlinjer för loggranskning och tilldelning av behörigheter.
• Bildat en dataintrångsgrupp som ska vara en stödjande funktion till chefer vid informationssäkerhetsincidenter.
Säkerställa att vi följer PuL när det gäller våra kvalitetsregister.Säkerställt trygg lagring av data på servernivå.• Vi ska se över personberoendet angående systemadministration inom förvaltningen
Så här har verksamheter svarat 2(2):
Har skydds- och förbättringsåtgärder genomförts under 2013 som påverkat säkerheten i övrigt?
Namn Antal %
A. Nej 14 31,8
B. Ja, och exempel på åtgärder är
30 68,2
Total 44 100
Svarsfrekvens
100% (44/44)
Aktiviteter som ex vis; uppdatering av riktlinjer, regler, rutiner (brandlarm) översyn, inköp av teknisk utrustning (lås, kortläsare m.m.), roller & ansvar, brandskyddskontroller m.m.
• Gemensam utveckling av riktlinjer för fysisk och teknisk säkerhet men FTV och HH. Avtal slutet med VF angående stöd i säkerhetsteknik.
• Översyn av larmsystem på några av enheterna. • Inspektion av träd och trädsäkring, utredning dagvatten, skydsgaller fönster.• Vi har bytt kontorslokaler två gånger och vid senaste flytten har vi på egen hand fått ordna beställning och adm av
passerkort och andra säkerhetstjänster. • Nu har vi ett hjälpligt fungerade system för in- och utpassering, men fortfarande inte full koll på brandsäkerhet och
utrymning.
• Avtal Västfastigheter och Riktlinjer för fysiskt och tekniskt skydd
• Anhöriglistor.• Genomgång och översyn av skalskydd och personlarm i förhyrda lokaler samt inom regionens hus.Tillstängning av vissa kulvertar.Planerat underhållUppgradering av system.Revidering av brandskyddsstandard.Framtagande av arbetssätt för säkerhet och brand.• Brandriskanalyser för kulvertsystem.
Nytt verktyg för systemövervakning• Extra UPS-kraft för driftcentralen• Installation av ringklocka i entre för att uppmärksamma på att någon kommer. • Byte av låscylindrar i skalskyddet då misstanke om att nyckel varit i omlopp.• Personalen har genomgått utbildning i hjärt- lungräddning. Brandöversyn och brandövning har genomförts.
Defibrillator har köpts in till kontoret.
Så här har verksamheter svarat 1(3):
Utbildning våld och hot, Brandskyddsutbildningar.Allmän säkerhetsutbildning till nyanställda• Tillsammans med SP reviderat Regionens brandskyddstandard (högre krav inom Psykiatrin)
• Brandskyddsutbildning
• Gemensam utveckling av riktlinjer för fysisk och teknisk säkerhet med FTV och HH. • Avtal slutet med VF angående stöd i säkerhetsteknik.LarmövervakningElrevisionNy brandlarmscentralUppgraderad ventilation• Brandtätningar
• Brandövning på Norra Hamngatan i Göteborg.
Utökat antal kortläsare i dörrmiljön för ökad säkerhet i skalskydd samt ökad spårbarhet.Kontinuerligt SBA i verksamheten.• Kontinuerliga skyddsronder.
Utökning av passage för att säkra upp tillgängligheten till lokaler.Framtagande av "Säkerhetshandbok" som ska vara till hjälp för alla medarbetare.• Genomgång och diskussion kring inträffade händelser.
• Regelbunden brandskyddskontroll.
• Seminarie för att öka säkerheten vid eventuella bussbränder
• I samband med inbrott på Institutet för stressmedicin förbättrades insynsskyddet och säkerhetsrutinerna reviderades.
• Omorganisation med tydligare ledningsstruktur och tydligare ansvarsfördelning.
Så här har verksamheter svarat 2(3):
• HR avd: Medarbetarenkät som resulterar i en Handlingsplan på avdelningsnivå. Före sommaren ska en handlingsplan vara klar på förvaltningsnivå och därefter en plan på koncernnivå.
• HSA: Förbättrat inpassage system till Vita huset.
• PKMC: Kontakt med Säpo och fördjupad samaverkan med polisen.
• Smittskydd: Brandlarm i nytt konferensrumm, uppdaterad utrymningsplan samt beslut om nytt B-larm på Uddevallakontoret.
Inventering av teknisk säkerhet är påbörjad.
• Utbildningar för medarbetare och chefer pågår kontinuerligt inom brand, person och patientsäkerhet.
• Rollbeskrivningar, förtydligande av ansvar, befogenheter och mandat.
• Planering av riskanalys inom informationssäkerhet pågår.
Möten har genomförts mellan Regionservice LTiB funktion och andra förvaltningars beredskap/ LTib org.• Regionservice LTiB finns numera med i vid möten med PKMC
• Brandövningar
• Eliminering och / eller förbättring av incidentorsaker
• Utbildning av personal i riskanalyser, skalskydd har setts över, övervakningskameror i entréer, fler väktare under helger, lokala åtgärdskort framtagna, säkerhetsutbildning, överfallslarm på akutmottagningarna
Så här har verksamheter svarat 3(3):
STRATEGISK LEDNING
Förvaltningen har handlingsplaner för systematiskt säkerhetsarbete och tydliga roller och tydligt ansvar för säkerhetsarbetet
Namn Antal %
A. 1 - Stämmer inte alls 4 9,1
B. 2 8 18,2
C. 3 21 47,7
D. 4 - Stämmer helt 11 25
Total 44 100
Svarsfrekvens
100% (44/44)
SAMVERKAN MED ANDRA AKTÖRER
Förvaltningen samverkar med andra förvaltningar, kommuner, polis, räddningstjänst m.fl
Namn Antal %
A. 1 - Stämmer inte alls 5 11,4
B. 2 5 11,4
C. 3 21 47,7
D. 4 - Stämmer helt 13 29,5
Total 44 100
Svarsfrekvens
100% (44/44)
EXTERN INFORMATION / KOMMUNIKATION
Förvaltningen samverkar i externa nätverk och med andra landsting
Namn Antal %
A. 1 - Stämmer inte alls 12 27,3
B. 2 9 20,5
C. 3 13 29,5
D. 4 - Stämmer helt 10 22,7
Total 44 100
Svarsfrekvens
100% (44/44)
INTERN INFORMATION / KOMMUNIKATION
Förvaltningen samverkar i interna nätverk och med andra aktörer inom VGR
Namn Antal %
A. 1 - Stämmer inte alls 5 11,4
B. 2 3 6,8
C. 3 15 34,1
D. 4 - Stämmer helt 21 47,7
Total 44 100
Svarsfrekvens
100% (44/44)
OPERATIV LEDNING
Förvaltingen genomför övningar inom området kris- och katastrofledning
Namn Antal %
A. 1 - Stämmer inte alls 18 40,9
B. 2 14 31,8
C. 3 8 18,2
D. 4 - Stämmer helt 4 9,1
Total 44 100
Svarsfrekvens
100% (44/44)
6 . Regionövergripande och gemensamma risker
Regionövergripande och regiongemensamma risker som behöver hanteras över förvaltnings- och bolagsgränser inom VGR
Namn Antal %
A. Inget behöver hanteras 14 31,8
B. Följande behöver hanteras 30 68,2
Total 44 100
Svarsfrekvens
100% (44/44)
I huvudsak risker och problem kopplat till IT och telefoni som ex vis IT-infrastruktur, IT-nätverk, IT-avbrott, driftstörningar, rutiner och processer mot verksamheterna (kunden), roller och ansvar, datakommunikation, att IT-system inte är kompatibla med varandra, Pascal, behörighetstilldelning, personsäkerhetsfrågor m.m.
• Gemensamma regler för regionens lokaler, ex miniminivå för säkerheten. • Önskemål om förvaltningsövergripande trygghetscentral eller liknande för stöd i att hantera oönskade händelser.IT-säkerhet (drift o adm)Ogentligheter • Medicinska risker
Så här har verksamheter svarat 1(5):
• Hur ska informationssäkerhetsarbetet med tillhörande roller, ansvar, befogenheter och mandat gå tillväga i linje med styrmodell IS/IT framledes?
• Förtydliganden krävs. Exempelvis: Vem är ytterst informationsägare i regiongemensamma objekt t. ex Melior?
Telefoni och datakommunikation/infrastruktur• Kravställning av nationella applikationer, (Pascal, DOS, , 1177. säkerhetstjänster gällande SITHS-kort), ordination och
leveranser av läkemedell.
• IT- struktur, IT-nätverk, fungerande e-post, ansvar för utemiljöer
• Gemensam stödfunktion för säkerhetsfrågorna för mindre, administrativa verksamheter är önskvärd, enligt dialog med andra mindre förvaltningar inom Tillväxt & Utveckling. En kort, enkel rutin och checklista att tillämpa vid byte av kontorslokaler är ett exempel på vad vi skulle ha behövt under hösten 2013 när vi flyttade.
• Vi måste hitta gemensamma system för extern åtkomst av intern data. Så behöver inte information ligga i en inbox för att vara tillgänglig. Känns osäkrare.
Säkerhetsarbetet i Regionens Hus dvs Regionservice.• Säkerställa att inga avbrott sker i IT- miljön, dvs VGR-IT
IT- störningar som påverkar informationskanaler och ärendehanteringssystemTelefoniDriftstörningar som påverkar säkerhet, såsom el värme, ventilation• Skalskydd ( inkl reception ) och personsäkerhet i regionens lokaler vid regionen hus.
KontinuitetsplaneringInformationssäkerhetIT-säkerhetVGR-net• Otydligheter i roller och ansvar
• Informationsklassificering
• Drift av IT system generellt.
• Påbörjat genomlysning
• Fungerande och robusta informations/ kommunikationsvägar behöver utvecklas och säkerställas
• IT-system
Så här har verksamheter svarat 2(5):
• Brister i informationssäkerhet, gemensam klassning av information som hanteras i regiongemensamma IT-system, medieförsörjning (el, tele, IT, vatten, avlopp mm) och andra försörjningsflöden (livsmedel, tvätt, läkemedel mm)
• Evakueringsmöjligheter vid större incidenter som påverkar större delar av ett eller flera sjukhus eller andra förvaltningars lokaler.
• Regional översyn av Västfastigheter och VGR-ITs förmåga att hantera och utveckla och hantera säkerhetssystemen inom den rättspsykiatriska vården utifrån SOSFS 2006:9, IT krasch backup system behöver etableras, organiserad brottslighet, rutiner vid IT och telefonstopp, störningar i försörjningssystem
Regionala vårdsystem, Regionala informationssystem, • Regionala säkerhetssystem (Kameraövervaknings), Läkemedelsförsörjning
• Påbörjat genomlysningTelefoni och datakommunikation/infrastruktur• Kravställning och nationella applikationer, (Pascal, DOS, 1177, säkerhetstjänster gällande SITHS-kort), ordination
• FSS kommer att samverka med PKMC om uppdatering av kris- och katastrofplan• Vet ejRisker inom IS/IT-området, ex nät, serverdrift, klientutskick.Risker vid kemolycka.• Risker i samband med att antalet vårdplatser inom VGR blir otillräckliga vid allvarlig händelse
• Fortsatt bristande förtroende och osäkerhet för IT-organisation och ny IS/IT-styrmodell. • Det upplevs som att roller och ansvar är otydliga samt styrning av implementering av nya system
hanteras
• Avsaknad av delaktighet från regionens verksamheter vid kravställning kan och gör att lösningar tas fram för snabbt innan verksamhetsbehovet är kartlagt.
• Vid införande av nya system eller vid uppgradering där förändringen är betydlig, saknas möjlighet till utbildning av medarbetare. ”Learning by doing” tar mkt energi och tid för en redan ansträngd verksamhet/förvaltning.
• Att IT-system/applikationer ej är kompatibla med andra IT-system, exempelvis journalsystemen. Det skapr frustration och ger kvalitetsbristkostnader (att öppna fler fönster samt dubbeldokumentation).
• Den ökande hot- och våldssituation, speciellt på våra akut- och psykiatriska mottagningar även IVA upplever ökad hot och våld.
Så här har verksamheter svarat 3(5):
Spridning av sekretessbelagd information på nätet, via mail mm.Ökad användning av sociala medier Nya och gamla IT-system, som vid implementering och uppdatering ej följer lagkraven. Införande av nya system utan driftsättningscheck mellan verksamhet och IT.Att reservnummer ej samordnas regionalt eller nationellt.Att inte se oss som en vårdgivare med vad det innebär.• Öka vårt samarbete kring rutiner/riktlinjer som gällerför alla förvaltningar speciellt inom Häls- och sjukvård. • Viktigt att patienter/personal/besökare mm känner igen sig och behandlas lika oberoende var man befinner sig. • Att vi på allvar tar till oss att vi är en region och arbetar med leanfilosofin
• Ekonomiska risker, exempelvis överenskommelsen om bidrag till pensionskostnaderna
Elavbrott, Oväder, Rymdväder, Terroratacker• Större olyckor och samhällskriser, eventuella evakueringar
• Tydliggöra närhälsans samordnings- och ledningsansvar mot sjukhusen vid inträffad allvarlig händelse. Samma krav gäller för offentlig och privat verksamhet
• IT, fastighetsfrågor
• Vi väljer att svara på samma sätt som i fjol: Mycket svåra frågor att besvara i en liten verksamhet. Se fortsättning föregående år.
Så här har verksamheter svarat 4(5):
• Personlarm och hantering av sekretessbelagd information.
• Bör finnas en gemensam handlingsplan för regionkansliets säkerhetsarbete.
• Personsäkerhetsfrågor som ex vis rutiner kring hot och våld på samma sätt regionens Krishanteringsplan
• IT-säkerheten inom hälso- och sjukvården
• Kapacitetsfrågor inom hälso- och sjukvård.
• Som det är nu har ny styrmodell ännu inte bidragit med ökad tydlighet inom säkerhetsområdet vad gäller roller och ansvar.
• Beläggningen på sjukhus.
• Ökad samverkan mellan sjukhus.
• Regiongemensamt resursutnyttjande som ex vis ambulanser och ökad samverkan akutintag.
• IT-frågor
Så här har verksamheter svarat 5(5):
Ny styrmodell och förvaltningsmodell (pm3) för IS/IT har bidragit till ökad effektivisering och tydlighet inom säkerhetsområdet vad gäller roller och ansvar
Namn Antal %
A. 1 - Stämmer inte alls 20 45,5
B. 2 19 43,2
C. 3 4 9,1
D. 4 - Stämmer helt 1 2,3
Total 44 100
Svarsfrekvens
100% (44/44)
7. Personsäkerhet
Befintliga personsäkerhetsutbildningar (regional eller lokala utbildningar) är ett bra stöd i arbetet med personsäkerhet
Namn Antal %
A. 1 - Stämmer inte alls 3 6,8
B. 2 13 29,5
C. 3 16 36,4
D. 4 - Stämmer helt 12 27,3
Total 44 100
Svarsfrekvens
100% (44/44)
Andel av personalen som har fått någon form av säkerhetsutbildning
Namn Antal %
A. Ca 0-9 % av personalen har fått utbildning
17 38,6
B. Ca 10-19 % av personalen har fått utbildning
3 6,8
C. Ca 20-29 % av personalen har fått utbildning
4 9,1
D. Ca 30-39 % av personalen har fått utbildning
7 15,9
E. Ca 40-49 % av personalen har fått utbildning
1 2,3
F. Ca 50-59 % av personalen har fått utbildning
2 4,5
G. Ca 60-69 % av personalen har fått utbildning
1 2,3
H. Ca 70-79 % av personalen har fått utbildning
3 6,8
I. Ca 80-89 % av personalen har fått utbildning
4 9,1
J. Ca 90-99 % av personalen har fått utbildning
1 2,3
K. 100 % av personalen har fått utbildning
1 2,3
Total 44 100
Svarsfrekvens
100% (44/44)
Typ av händelse Antal
2013 2012 2011
Registrerade inträffade händelser 707 597 612
hot & våld
Registrerade polisanmälningar 32 36 20
hot & våld
Registrerade arbetsskador 156 139 146
relaterade till hot & våld
Registrerade arbetsskadeanmälningar 111 115 87
på grund av hot & våld
Personsäkerhet - statistik
8. Informationssäkerhet
Informationssäkerhet handlar om samverkan mellan teknisk och administrativ säkerhet
Teknisk säkerhet består av fysisk säkerhet och IT-säkerhet och omfattar krav på tekniska skyddsåtgärder för information och omfattar bland annat brandskydd, redundans i datahallar och databaser, virusskydd, krypteringsfunktion och övervakning kommunikation
Administrativ säkerhet omfattar bland annat regelverk, rutiner, omfattning av övervakning och kontroll samt revision och uppföljning.
Säkerhetsarbetet i VGR styrs av ett regelverk som består av policy, strategi, riktlinjer, mål, anvisningar, instruktioner och beskrivningar. Detta regelverk behöver utvecklas.
Namn Antal %
A. 1 - Stämmer inte alls 9 20,5
B. 2 9 20,5
C. 3 21 47,7
D. 4 - Stämmer helt 5 11,4
Total 44 100
Svarsfrekvens
100% (44/44)
Regelverk för säkerhetsarbetet behöver utvecklas tycker 26 verksamheter
Ange exempel på hjälp/stöd som skulle underlätta det egna/lokala säkerhetsarbetet och som borde a) utvecklas, b) förtydligas eller c) avvecklas.
Namn Antal %
A. a) Följande behöver utvecklas
21 47,7
B. b) Följande behöver förtydligas
7 15,9
C. c) Följande kan avvecklas 0 0
D. Inget behöver utvecklas, förtydligas eller avvecklas
7 15,9
E. Frågan är inte relevant för min förvaltning
9 20,5
Total 44 100
Svarsfrekvens
100% (44/44)
Följande förslag (7 sidor) är en källa på åtgärder (utifrån ett verksamhetsperspektiv) men behöver prioriteras och grupperas
Så här har verksamheter svarat 1(7):
• Bättre kontroll på in- och utpassering (med tjänste-id) och att alla har tjänsteid synligt för kontroll av att bara behörig personal finns i våra lokaler.
• Vi har väldigt mycket KA-konton och avvikande datorer vilket gör VGR-nät sårbart och mer okontrollerat. Verksamhetens behov kan idag inte fyllas om de inte är administratörer på dessa datorer.
• Man behöver utveckla möjligheten att individanpassa en PC utan att man behöver vara admin.
• Det finns många tekniska brister man kan fixa men kommunikation och information till medarbetare skulle avhjälpa många risker som beror på den mänskliga faktorn.
• Samverkan mellan förvaltningar
• Regional samordning av reservnummer.
• Säker mail för känslig information, även webmail, så att de flsta användare kan nyttja tjänsten.
• Webutbildningar inom alla säkerhetsoråden för chefer och medarbetare.
• Alternativ till analog fax.
• Mer hjälp och stöd överhuvudtaget när det gäller säkerhetsarbetet. Vi är en liten förvaltning och har inte resurser eller kompetens för att hantera säkerhetsfrågorna på ett tillfredsställande sätt.
• Säkerhetsredovisningen med dess krav på handlingsplaner, krishanteringsplaner, RSA m m är för omfattade för den lilla administrativa verksamhet vi bedriver på miljösekretariatet.
• Att det finns stöd som går att anpassa.
• Reservnummerhanteringen• Säkra kort till journalinloggning
• Ansvarsfördelningen vad gäller säkerhet mellan Regionens Hus, Regionservice och HSNK
• Komprimera och integrera mål och redovisning med t e x uppföljning via Cockpit
• Allt, stödet är i huvudsak anpassat till sjukvården och är svårapplicerat i stödverksamhet.
• Informationsklassificering
• Brandövningar och krishantering
• För många steg och för mycket information rent generellt, från policy till beskrivning är det för många steg och för mycket information.
• Minska andelen steg och information för att tydliggöra vad som är viktigt.
• Frågor kring eget ansvar och förståelse varför det är viktigt att följa regelverk
Så här har verksamheter svarat 2(7):
• Styrmodellen PM3 vilket inbegriper beslutsvägar, roller och mandat. • Ej tydligt för verksamheten. I övrigt krävs specifika risk- och sårbarhetsanalyser för att kunna svara på frågan.
• Löpande utbildning för IT frågor
• Gemensamt operativet arbete, ex. tolkning av regelverk
Regional samordning av reservnummer.Säker mail för känslig information, även webmail, så att de flesta användare kan nyttja tjänsten.Webutbildningar inom alla säkerhetsområden för chefer och medarbetare.• Alternativ till analog fax
• Kris- och katastrofplanen• Roller och ansvar för säkerhetsarbetet
• Vore bra med en utbildning anpassad för oss som hanterar säkerhetsfrågorna på förvaltningarna. • Saknar även ett nätverk med liknande förvaltningar i dessa frågor.
• SLA (Serice layer agreement) för viktiga IS/IT-system. Krypteringsfunktion för säker kommunikation. Säker autentisiering utifrån PDL.
• Informationssäkerhetskompetens inom Objekten (enl styrmodell för IS/IT).• Förtydligande av VGR ITs process för säkerställande av att säkerhetskopierad information är korrekt och fullständig
och går att återläsa. • På vilken nivå kan VGR ITs övervaka IS/IT-system och på vilken nivå sker övervakning idag.
Så här har verksamheter svarat 3(7):
• IT-resurser- med den föränderlighet inom IT som finns inom VGR/våra förvaltningar så krävs it-resurser(support) för att hantera "krångel".
• Idag försvinner ”den egna supporten/kunskapen” till It-förvaltning för att arbeta regionalt. Detta försvårar arbetet på ”hemmaplan” och det tar lång tid för att åtgärda ”krångel”.
• Samordning av reservnummer regionalt.
• Säkra upp mailfunktionen för att kunna hantera sekretessbelagd information som skickas över nätet.
• Ökat samarbete och samsyn mellan våra förvaltningar speciellt inom vårdgivaren där övergripande riktlinjer/broschyrer mm bör tas fram gemensamt.
• Viktigt att både patienter och medarbetare känner igen sig och behandlas på samma sätt.
• Stöd och hjälp vid genomförande av RSA och /eller rutin för hur vi kan hjälpa och stödja varandra över förvaltningsgränserna.
• Kommunikation och information om nya avta som skrivs. Viktigt även att berörda parter får lämna synpunkter. Exempel: Västfastigheters övertag av parkeringsverksamheten i VGR
Så här har verksamheter svarat 4(7):
Följande behöver förtydligas:• Vad gäller för förvaltningar som lämnar ifrån sig kompetens till objekten, objektspecialister, samordnad
objektspecialister?• Hanteringen och förutsättningar borde vara kommunicerat innan start. • För små förvaltningar är det sårbart att förlora kompetens utan ersättning. • Att anställa en ersättare, som oftast är en förutsättning för att klara uppdraget resulterar i dubbla kostnader för
förvaltningen.
Öka samverkan mellan våra förvaltningar och speciellt mellan hälsa-och sjukvårdsförvaltningar.• Hur vi ska utföra säkerhetsklassning av lokaler med hjälp av Västfastigheters mall samt VF engagemang i mål 3.
Genomgång av mall för säkerhetsklassning. Finns den och är den beslutad?
• HLR kommer att ske under 2014.
• Hur ofta och på olika nivåer bör man göra företagsövergripande riskanalyser?
• Roller och ansvar. Säkerhetsarbetet mellan Västtrafik och våra entreprenörer. Det finns idag rutiner men de behöver samordnas i respektives krisplaner.
• Utbildning behövs till nyanställd och redan anställd personal• Följande behöver förtydligas:• Utbildningsmaterial/manualer behöver göras mer tillgängligt på intranätet.
Så här har verksamheter svarat 5(7):
Olika former av beredskap samt kompetenshöjning avseende brand och HLR.• Hur vi skall agera när problem med diabetes, allergier och epilepsi uppstår.
• Vissa delar av förvaltningens regelverk avseende informationssäkerhet är föråldrade.
• Vi hoppas på en ökad insats på detta området iom att skolorna har en gemensam förvaltning. Detta gäller såväl samverkan som förtydliganden.
• Gemensam hantering (regler) vid behandling av sekretessbelagd information.
• Roller, ansvar och rutiner behöver utvecklas
• Checklistor behöver tas fram som kan användas vide ex vis hot och våld samt vid IT-avbrott - jämför befintliga åtgärdskort som används av politiker.
• Inget behöver avvecklas men vissa saker behöver förtydligas coh förenklas.
• Regelverk kring säkerhet behöver synliggöras.
• Aktivt arbete och uppdateringar av regelverk behövs.
• Former och rutiner för digitala möten behöver utvecklas.
• Fax kan avvecklas.
Så här har verksamheter svarat 6(7):
• Behörighetsstyrning för att få ut/ta del av data/information behöver förtydligas.
• Regler och anvisningar bör vara mer ändamålsenliga (förtydligas och förenklas) och mer anpassade mot verksamheter som de riktas mot.
• Befintligt regelverk bör förenklas.
• Mer regelverk behövs inte - förenkla det rgelverk som redan finns.
• Ta fram mall/exempel på en handlingsplan som beskriver hur säkerhetsarbetet ska bedrivas.
• Kortfattad säkerhetsutbildning (1-2 timmar) för all personal skulle underlätta säkerhetsarbetet.
• Kommunicera var uitbildningar, riktlinjer finns tillgängliga eftersom det är svårt att hitta på nätet.
• Säkerhetsarbetet är komplext och om uppföljning kan förenklas är det en hjälp.
• Förslag från HR inom regionkansliet: Populärutgåva borde finnas för säkerhetsarbetets regler och anvisningar.
Så här har verksamheter svarat 7(7):
Regler, råd och anvisningar för hur säkerhetsarbetet ska bedrivas är komplexa och omfattande och behöver förenklas.
Namn Antal %
A. 1 - Stämmer inte alls 1 2,3
B. 2 9 20,5
C. 3 13 29,5
D. 4 - Stämmer helt 21 47,7
Total 44 100
Svarsfrekvens
100% (44/44)
Nära 77,2% svarar att vårt regelverk är komplext och behöver förenklas
Mål 7 - arbetet med informationssäkerhet är att säkerställa att information finns tillgänglig när den behövs, att den är korrekt, att obehöriga inte har tillgång till den (konfidentialitet) och att den kan spåras. Innebörd och konsekvenser av dessa mål är kända för all personal.
Namn Antal %
A. 1 - Stämmer inte alls 3 6,8
B. 2 15 34,1
C. 3 20 45,5
D. 4 - Stämmer helt 6 13,6
Total 44 100
Svarsfrekvens
100% (44/44)
För 79,6 % är mål och innebörd känd
IT-säkerheten har förbättrats under 2013.
Namn Antal %
A. Nej, IT-säkerheten har inte förbättrats
24 54,5
B. Ja, IT-säkerheten har förbättrats bland annat genom följande åtgärder
20 45,5
Total 44 100
Svarsfrekvens
100% (44/44)
“Trots att IT-säkerheten har förbättrats till en viss del men större delen, upplever medarbetare att IT-säkerheten ej har förbättrats. System införs utan möjligheter till utbildning. Systemen ej kompatibla vilket skapar frustration och tär på IT-säkerheten och medarbetare.”
• Agnesbergs folkhögskola har nu en fast uppkoppling mot regionen. • Detta underlättar arbetet samt säkerställer på sikt en övergång till datorer som är git:ade.• Personal kan nu även få tillgång till Insidan.
• Server och intrångsfrågor
• Införande av GIT plattform
• Controlling inom verksamheterna, flexibla manuella rutiner har etablerats
• Utbildningsinsatser för nyanställda, nya chefer, AT-ST läkare.
Nya system har tagits i bruk.• Förstärkning på personalsidan.
• Genom användandet at Tjänste-Id i IS/IT-system
Så här har verksamheter svarat 1(2):Genom att vi nu finns i den gemensamma IT-plattformen, GIT har IT-säkerheten ökat• Ytterligare datamänger om våra foto- och föremålssamlingar finns i ett säkert system, PRIMUS.
• Låsning av journalanteckningar efter 14 dagar
• Migrering av tekniska IT-system.
• Aktiviteter enligt godkänd handlingsplan från bransch
• Ökad möjlighet till att använda SITHS-korten samt uppdatering av Windows 7 och mail (outlook) stärker IT-säkerheten.
• Alingsås lasarett följer de beslut som tas i regionen och utför inga systemutvecklingar på ”egen hand”
• Trots att IT-säkerheten har förbättrats till en viss del men större delen, upplever medarbetare att IT-säkerheten ej har förbättrats. System införs utan möjligheter till utbildning. Systemen ej kompatibla vilket skapar frustration och tär på IT-säkerheten och medarbetare.
• Flera virituella miljöer
• Utbildning av all personal
Säkrare lösenordsbyte på VGR IT• VGR IT ansvarar för den tekniska säkerheten.
• Införandet av Ping Pong har förtydligat det interna informationsflödet
• Gemensam IT/IS för folkhögskolorna.
• Förbättringar har genomförts under 2013 men dock återstår en lång resa.
• Lösenordshanteringen har blivit bättre.
Så här har verksamheter svarat 2(2):
Personalen behöver utbildning i informationssäkerhet
Namn Antal %
A. 1 - Stämmer inte alls 1 2,3
B. 2 7 15,9
C. 3 16 36,4
D. 4 - Stämmer helt 20 45,5
Total 44 100
Svarsfrekvens
100% (44/44)
Informationssäkerhet och olika utbildningsområden. Ange viktiga och mindre viktiga områden. 6 står för viktigaste område/områden och 1 står för minst viktigt område/områden.
Policy, riktlinjer och anvisningar
Namn Antal %
A. 1 1 2,3
B. 2 4 9,1
C. 3 14 31,8
D. 4 9 20,5
E. 5 2 4,5
F. 6 14 31,8
Total 44 100
Svarsfrekvens
100% (44/44)
Informationssäkerhet och olika utbildningsområden. Ange viktiga och mindre viktiga områden. 6 står för viktigaste område/områden och 1 står för minst viktigt område/områden.
Rutiner och instruktioner
Namn Antal %
A. 1 1 2,3
B. 2 1 2,3
C. 3 6 13,6
D. 4 7 15,9
E. 5 13 29,5
F. 6 16 36,4
Total 44 100
Svarsfrekvens
100% (44/44)
Informationssäkerhet och olika utbildningsområden. Ange viktiga och mindre viktiga områden. 6 står för viktigaste område/områden och 1 står för minst viktigt område/områden.
Övervakning och kontroll
Namn Antal %
A. 1 3 6,8
B. 2 10 22,7
C. 3 13 29,5
D. 4 11 25
E. 5 4 9,1
F. 6 3 6,8
Total 44 100
Svarsfrekvens
100% (44/44)
Informationssäkerhet och olika utbildningsområden. Ange viktiga och mindre viktiga områden. 6 står för viktigaste område/områden och 1 står för minst viktigt område/områden.
Revision och uppföljning
Namn Antal %
A. 1 2 4,5
B. 2 5 11,4
C. 3 12 27,3
D. 4 13 29,5
E. 5 4 9,1
F. 6 8 18,2
Total 44 100
Svarsfrekvens
100% (44/44)
Informationssäkerhet och olika utbildningsområden. Ange viktiga och mindre viktiga områden. 6 står för viktigaste område/områden och 1 står för minst viktigt område/områden.
Grundläggande om säkerhetskultur
Namn Antal %
A. 1 1 2,3
B. 2 3 6,8
C. 3 1 2,3
D. 4 14 31,8
E. 5 9 20,5
F. 6 16 36,4
Total 44 100
Svarsfrekvens
100% (44/44)
Informationssäkerhet och olika utbildningsområden. Ange viktiga och mindre viktiga områden. 6 står för viktigaste område/områden och 1 står för minst viktigt område/områden.
Grundläggande om administrativ säkerhet
Namn Antal %
A. 1 1 2,3
B. 2 3 6,8
C. 3 8 18,2
D. 4 13 29,5
E. 5 7 15,9
F. 6 12 27,3
Total 44 100
Svarsfrekvens
100% (44/44)
Informationssäkerhet och olika utbildningsområden. Ange viktiga och mindre viktiga områden. 6 står för viktigaste område/områden och 1 står för minst viktigt område/områden.
Grundläggande om fysisk säkerhet
Namn Antal %
A. 1 2 4,5
B. 2 5 11,4
C. 3 10 22,7
D. 4 15 34,1
E. 5 5 11,4
F. 6 7 15,9
Total 44 100
Svarsfrekvens
100% (44/44)
Informationssäkerhet och olika utbildningsområden. Ange viktiga och mindre viktiga områden. 6 står för viktigaste område/områden och 1 står för minst viktigt område/områden.
IT-säkerhet och hur vi kommunicera information på ett säkert sätt
Namn Antal %
A. 1 0 0
B. 2 2 4,5
C. 3 8 18,2
D. 4 7 15,9
E. 5 16 36,4
F. 6 11 25
Total 44 100
Svarsfrekvens
100% (44/44)
Informationssäkerhet och olika utbildningsområden. Ange viktiga och mindre viktiga områden. 6 står för viktigaste område/områden och 1 står för minst viktigt område/områden.
IT-säkerhet och hur vi skyddar informationen på ett säkert sätt
Namn Antal %
A. 1 1 2,3
B. 2 2 4,5
C. 3 5 11,4
D. 4 8 18,2
E. 5 14 31,8
F. 6 14 31,8
Total 44 100
Svarsfrekvens
100% (44/44)
Informationssäkerhet och olika utbildningsområden. Ange viktiga och mindre viktiga områden. 6 står för viktigaste område/områden och 1 står för minst viktigt område/områden.
Grundläggande om IT-säkerhet
Namn Antal %
A. 1 0 0
B. 2 1 2,3
C. 3 10 22,7
D. 4 10 22,7
E. 5 11 25
F. 6 12 27,3
Total 44 100
Svarsfrekvens
100% (44/44)
Den regionala säkerhetsstrategin för perioden 2013-2016 är ett stöd i arbetet med säkerhetsfrågor.
Namn Antal %
A. 1 - Stämmer inte alls 3 6,8
B. 2 11 25
C. 3 17 38,6
D. 4 - Stämmer helt 13 29,5
Total 44 100
Svarsfrekvens
100% (44/44)
Övriga synpunkter och kommentarer på säkerhetsarbetet och säkerhetsläget 2013.
Namn Antal %
A. Kommentar säkerhetsarbetet
14 31,8
B. Kommentat säkerhetsläget 8 18,2
C. Inga synpunkter eller kommentarer
30 68,2
Total 52 118,2
Svarsfrekvens
100% (44/44)
Några synpunkter är;
• Vår förvaltning har få anställda och förväntas leva upp till samma krav som de större. • De åtgärder vi vidtar och åläggs oss tar längre tid att införa eller utföra i kalendertid än de förvaltningar som drar
nytta av skalfördelar i termer av högre bemanning, resurser etc. • Detta bör beaktas i samverkan med mindre förvaltningar.
• Det pågår flera aktiviteter för att uppnå ett strukturerat informationssäkerhetsarbete.
• Regional årsredovisning bör ha betydligt mindre antal frågor.
• Integritesfrågor ökar liksom hot och våldssituationer. Ställer högre krav på en grunläggande säkerhet i våra lokaler.
• Fråga 40 är omöjlig att svara på korrekt då målgrupp inte framkommer.
• Ostrukturerat och sporadiskt, reaktivt, impulsivt.
• Instabilt med otydliga roller och otydliga arbetssätt.
• Önskvärt med ökat fokus på riskhantering och analys på verksamhetssidan så att IT kan möta upp på bästa sätt (kontinuitetsplaner, informationsklassificering m m)
• Agnesbergs folkhögskola är en väldigt liten enhet och arbetet med säkerhet i dess olika former är oerhört komplext. • Skolan önskar att det nybildade folkhögskolekansliet samordnade/ledde säkerhetsarbetet för regionens
folkhögskolor.
Så här har verksamheter svarat 1(4):
• Det finns behov av att återuppta högskoleutbildningen i säkerhetsarbete
• Generellt sett upplevs intresset för säkerhetsfrågor ha ökat. • Verksamheterna efterfrågar i ökad omfattning utbildningar, råd och stöd från B&S. • Antalet handlagda ärenden för lokal TiB uppgick under 2013 till 403, varav den enskilt största kategorin rörde
IT/tele/teknik. • På SkaS arbetar vi aktivt för att integrera patientsäkerhetsfrågor och andra säkerhetsfrågor med varandra.
• Regional årsredovisning bör ha betydligt mindre antal frågor
Integritetsfrågor ökar liksom hot och våldsituationer.• Ställer högre krav på en grundläggande säkerhet i våra lokaler
Så här har verksamheter svarat 2(4):
• Det finns behov av att återuppta högskoleutbildningen i säkerhetsarbete
• Generellt sett upplevs intresset för säkerhetsfrågor ha ökat. • Verksamheterna efterfrågar i ökad omfattning utbildningar, råd och stöd från B&S. • Antalet handlagda ärenden för lokal TiB uppgick under 2013 till 403, varav den enskilt största kategorin rörde
IT/tele/teknik. • På SkaS arbetar vi aktivt för att integrera patientsäkerhetsfrågor och andra säkerhetsfrågor med varandra.
• Regional årsredovisning bör ha betydligt mindre antal frågor
Integritetsfrågor ökar liksom hot och våldsituationer.• Ställer högre krav på en grundläggande säkerhet i våra lokaler
• Viktigt att komma vidare med Västfastigheters övertagande av fastighetsbundna säkerhetsanläggningar. • En stor del av informationssäkerhetsarbetet kommer att bedrivas i Objekten vilket innebär att kompetens och tid
behöver finnas för dessa frågor.
• Det pågår dagligen arbete med att stärka säkerheten på sjukhuset. • Förbättrad kommunikation, utveckling av intranätet, utbildningar, händelseanalyser, olika projekt som syftar till att
förbättra vården mm • Vi ser att det är svårt för verksamheterna idag att få tid eller ta tid från den operativa verksamheten för övningar
eller benchmarking där vi kan dela erfarenheter mellan varandra. • Det är även svårt för medarbetare att komma till informationsmöten/utbildningar eller dialogmöten där
säkerhetsfrågor kan lyftas. • Verksamheten prioriterar det operativa arbetet. Det ställs allt större krav på att utföra vård till minskade resurser
som tär på medarbetarna vilket i förlängningen ger minskatakt utrymme för utveckling. • Trots pressat läge så pågår ett ständigt arbete med att förbättra och öka förståelsen för säkerheten.• Hur vi ska bedriva säkerhetsarbetet beskrivs i sjukhusets verksamhetsmål.
• Medarbetarna upplever säkerhetsläget relativt gott, men det finns en osäkerhet kring hur vi kan hanterar kriser då vi inte har åtkomst till patientinformationsystem, telefoni.
• Idag ser vi att krångel med system väcker frustration och det blir stora fördröjningar i patientarbetet. Exempel vid införande av Windows 7 som sammanföll med el- incidenten som drabbade SU, även påverkade patientadministrativt system för AL med resultat att patienterna fick vänta och kunde ej registreras.
• Det innebar även merarbete för en redan pressad verksamhet.• Idag förlitar vi oss på att tekniken ska fungera och ge oss tid över till ökad patientvård, men det har visat sig att
ju fler system vi måste använda desto mindre patientvård upplever vi att vi kan klara av.• Viktigt att vi ser implementering av IS/IT-system som en verksamhetsutveckling vilket bör/ska och
måste planeras i god tid
Så här har verksamheter svarat 3(4):
• Säkerhetskontroll sker kontinuerligt vid varje nyproduktion.• Regelbunde översyn av våra lokaler, eftersom vi hanterar publik.
• Vi bedömer det som gott.
• Förvaltningen har i dagsläget svårt att se vilka arbetsuppgifter som ska utföras lokalt på förvaltningen resp. regionalt.
Kommentarer från regionkansliet:Säkerhetsläget är bra och vi kommer snart igång med ett systematiskt arbete.Säkerheten borde vara ett ämne för en kanslidag.En person bör utses/ tillsättas för regionkansliets säkerhetsarbete.Utse en säkerhetssamordnare för hela regionkansliet.Mer fokus på patiensäkerhetsfrågor.Överbeläggningar skapar patientsäkerhetsrisker.Ledningskansliet bör utveckla arbetet med årliga risk- och sårbarhetsanalyser med utgångspunkt från sittt uppdrag och de risker som kan hota det skyddsvärda.• Riskanalys ska vara utgångspunkt för en handlingsplan. Identifierade avvikelser ska hanteras och
åtgärder ska genomföras och därefter följas upp.
Så här har verksamheter svarat 4(4):
9. Hälso- och sjukvård
Det finns god följsamhet kring regler för spärr av vårddokumentation.
Namn Antal %
A. 1 - Stämmer inte alls 1 7,7
B. 2 3 23,1
C. 3 4 30,8
D. 4 - Stämmer helt 5 38,5
Total 13 100
Svarsfrekvens
29,5% (13/44)
Det finns god följsamhet kring regler och hantering av behörigheter
Namn Antal %
A. 1 - Stämmer inte alls 0 0
B. 2 2 15,4
C. 3 6 46,2
D. 4 - Stämmer helt 5 38,5
Total 13 100
Svarsfrekvens
29,5% (13/44)
Om vårdskador - dvs undvikbara skador
Namn Antal %
A. Antal vårdskador har minskat
7 53,8
B. Antal tillfällen när "vårdskada kunnat inträffa" har minskat
2 15,4
C. Antal vårdskador har ökat 6 46,2
D. Antal tillfällen när "vårdskada kunna inträffa" har öka
2 15,4
Total 17 130,8
Svarsfrekvens
29,5% (13/44)
Granskningar, skyddsåtgärder av större betydelse, riskanalyser och förbättringsåtgärder som har vidtagits men inte redovisats tidigare.
Namn Antal %
A. Inget ytterligare att redovisa
5 38,5
B. Ex på ytterligare granskningar är
5 38,5
C. Ex på ytterligare skyddsåtgärder är
1 7,7
D. Ex på ytterligare riskanalyser är
5 38,5
E. Ex på ytterligare förbättringsåtgärder är
3 23,1
Total 19 146,2
Svarsfrekvens
29,5% (13/44)
Några synpunkter är;
Markörbaserad journalgranskningInförandet av SBARRiskanalyser multiresistenta bakterier.• Gröna korset
Sjukhusledning och samtliga chefer genomfört utbildning LEAN, optimerade akuta somatiska flöden.SÄS förbättringsarbete;• Införande och arbete med styrtavlor och förbättringstavlor m.m.
Strukturell journalgranskning• 20 journaler/månad
Så här har verksamheter svarat 1(2):
• Riskanalyser i samband med större omorganisation (patientperspektiv, HR-perspektiv och samverkansperspektiv). Riskanalyserna sammanställs och utmynnar i gemensam handlingsplan.
• Patientsäkerhetsmätning, där resultatet analyseras och åtgärder vidtas.
• Säkerhetsanalys av lokaler, säkerhetsanalys av vissa patienter tex kriminella gäng
• Lokaler, farliga patienter
• Ordningsvakter, kameraövervakning
Sterilprocess• Kemikalier: Klorhexidin, formalin
• Framtagande av åtgärdskort enligt H-MIMMS på akutmottagningen. • Framtagande av åtgärdskort för kemolyckor eller andra CBRN-händelser.
Behörighetstilldelning- följsamhet till behörighetsstyrningen (RSK 771-2008) Kartläggning av de system som används vid sjukhuset.• Vid basgranskning av revisionen har visat sig att det finns förbättringspotential för hur styrelsen
behandlar frågor avseende IT-säkerhetlöpande under året och säkerställa att regionens policy/riktlinjer för informationssäkerhet efterlevs av verksamheterna D.nr AL32-2013
• Fem risk- och konsekvensanalyser geonomfördes under 2013.- • Konsekvensanalyserna gällde olika former av omorganisationer risker och möjligheter belystes utifrån patient-
verksamhet-, medarbetar- och ekonomiperspektivet.• Fem händelseanlyser har genomförts under 2013 där vårdskada inträffat. • Uppföljning av åtgärdsförslagen gjordes 6-7 månader efter geonomgång av rapport.
• Förslag till nytt arbetssätt kring hantering och återkoppling av avvikelser är framtaget och kommer att testas inom ett klinikområde våren 2014 med utvärdering till hösten.
• Riskanalyser har genomförts vid större verksamhetsförändringar
Så här har verksamheter svarat 2(2):
Arbete har påbörjats att identifiera rutiner som kan effektiviseras och/eller automatiseras i perspektiven övervakning, styrning, ledning, beslutsstöd, kontroll och analys i syfte att öka IT-säkerheten och tryggheten för patienter och personal.
Namn Antal %
A. 1 - Stämmer inte alls 2 15,4
B. 2 4 30,8
C. 3 4 30,8
D. 4 - Stämmer helt 3 23,1
Total 13 100
Svarsfrekvens
29,5% (13/44)
Bättre än väntat
10. Övrigt
Tack för uppmärksamheten
SLUT
Frågor kan ställas till:Jan S Svensson, tfn 0708-630 [email protected]