Sisältökirjasto
Norm for informasjonssikkerhet
3.2 (konfidensialitet): Krav for å sikre konfidensialitet
Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren (Norge)
3.2 (konfidensialitet)

Krav for å sikre konfidensialitet

Aloita ilmainen kokeilu

Vaatimuksen kuvaus

Virksomheten skal sørge for at virksomhetens behandlinger av helse- og personopplysninger har et egnet sikkerhetsnivå i tråd med Normens minimumskrav til informasjonssikkerhet og eventuelt egne informasjonssikkerhetsmål. Normen stiller følgende overordnede minimumskrav til informasjonssikkerhet (konfidensialitet, integritet, tilgjengelighet og robusthet).

Virksomheten skal ivareta taushetsplikten og for øvrig sikre mot at uvedkommende får kjennskap til opplysninger

  • hindre uautorisert tilgang til helse- og personopplysninger og annen informasjon med betydning for informasjonssikkerheten
  • avgrense tilgang for autorisert personell iht. tjenstlig behov
  • ha oversikt (logger) over alle som har hatt tilgang til helse- og personopplysninger og annen informasjon med betydning for informasjonssikkerheten.

Kuinka täyttää vaatimus

Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren (Norge)

3.2 (konfidensialitet): Krav for å sikre konfidensialitet

Tehtävän nimi
Prioriteetti
Tila
Teema
Politiikka
Muut vaatimukset

Sähköisten potilastietojen käytön lokitus

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Tekninen tietoturva
Suojausjärjestelmät ja valvonta
4
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
3.2 (konfidensialitet): Krav for å sikre konfidensialitet
Norm for informasjonssikkerhet
9 §: Dokumentation och kontroll av åtkomst till uppgifter
Socialstyrelsens föreskrifter (HSLF FS 2016:40)
10 §: Information till en patient om åtkomst
Socialstyrelsens föreskrifter (HSLF FS 2016:40)
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Sähköisten potilastietojen käytön lokitus
1. Tehtävän vaatimuskuvaus

Organisaation on otettava käyttöön ja ylläpidettävä kattava kirjausjärjestelmä, joka kattaa kaiken sähköisen pääsyn potilastietoihin. Järjestelmän on kirjattava kaikki suorat ja sähköiset käyttöoikeudet ja annettava potilaille pyydettäessä yksityiskohtaiset tiedot.

Kirjauksen on sisällettävä vähintään seuraavat tiedot

  • Kuka on käyttänyt tietoja (esim. nimi, tehtävänimike).
  • Milloin tietoja käytettiin (päivämäärä ja kellonaika).
  • Mistä pääsy tapahtui (esim. sijainti, laitteen tunnus).
  • Tarkoitus, jota varten tietoja käytettiin (esim. potilaan hoito, laskutus, tutkimus).

Näin varmistetaan, että potilaat voivat käyttää oikeuttaan saada tietoa siitä, kenellä on ollut pääsy heidän terveystietoihinsa.

Ohjeistukset henkilötietojen ja muun luottamuksellisen tiedon käsittelyyn liittyen

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Tietosuoja
Käsittelyperiaatteet ja osoitusvelvollisuus
38
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
29. Tietojenkäsittely rekisterinpitäjän ja henkilötietojen käsittelijän alaisuudessa
GDPR
7.2.2: Tietoturvatietoisuus, -opastus ja -koulutus
ISO 27001
11.2.8: Ilman valvontaa jäävät laitteet
ISO 27001
11.2.9: Puhtaan pöydän ja puhtaan näytön periaate
ISO 27001
12.1.1: Dokumentoidut toimintaohjeet
ISO 27001
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Ohjeistukset henkilötietojen ja muun luottamuksellisen tiedon käsittelyyn liittyen
1. Tehtävän vaatimuskuvaus

Tietosuojan vastuuhenkilö on muodostanut toimintaohjeet henkilötietoja käsittelevälle henkilöstölle. Lisäksi tietosuojan vastuuhenkilö on valmiina antamaan neuvoja rekisterinpitäjälle, henkilötietoja käsitteleville kumppaneille tai omalle henkilöstölle tietosuojaan liittyen tietosuoja-asetuksen tai muiden tietosuojavaatimusten noudattamiseen.

Kattavan ePHI-turvallisuusohjelman perustaminen ja ylläpito

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Riskien hallinta ja johtaminen
Digiturvan johtaminen
7
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
5.12: Classificatie van informatie
NEN 7510
Article 26: Processing health data
PDPL
3.2 (konfidensialitet): Krav for å sikre konfidensialitet
Norm for informasjonssikkerhet
3.2 (tilgjengelighet): Krav for å sikre tilgjengelighet og robusthet
Norm for informasjonssikkerhet
3.2 (integritet): Krav for å sikre integritet
Norm for informasjonssikkerhet
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Kattavan ePHI-turvallisuusohjelman perustaminen ja ylläpito
1. Tehtävän vaatimuskuvaus

Organisaation olisi kehitettävä, toteutettava ja jatkuvasti ylläpidettävä kattavaa tietoturvaohjelmaa, joka määrittää hallinnolliset, fyysiset ja tekniset suojatoimet kaikkien sähköisten suojattujen terveystietojen (PHI) luottamuksellisuuden, eheyden ja saatavuuden varmistamiseksi, suojataan aktiivisesti kohtuullisesti ennakoitavissa olevilta uhkilta sekä kielletyiltä luovutuksilta, ja varmistetaan, että henkilöstö noudattaa jatkuvasti kaikkia tietoturvakäytäntöjä.

Salakatselun estäminen

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Fyysinen turvallisuus
Kiinteistöjen turvallisuus
13
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
11.1.3: Toimistojen, tilojen ja laitteistojen suojaus
ISO 27001
F06: Salakatselulta suojautuminen
Katakri
6.6.4: Fyysisten tilojen, laitteiden ja tulosteiden turvallisuus
Omavalvontasuunnitelma
FYY-05.2: Turvallisuusalue - Salaa katselun estäminen
Julkri
7.3: Toimistojen, tilojen ja laitteistojen suojaus
ISO 27001
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Salakatselun estäminen
1. Tehtävän vaatimuskuvaus

Tiedon esiintymismuodosta riippumatta henkilötietoja tai muuta salassa pidettävää tietoa käsitellään niin, ettei tieto näy asiattomille.

Tarve tietää -periaate ja tehtävien eriyttäminen pääsynhallinnassa

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
26
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
9.1.1: Pääsynhallintapolitiikka
ISO 27001
I06: Pääsyoikeuksien hallinnointi
Katakri
PR.AC-4: Access permissions and authorizations
NIST
HAL-02.1: Tehtävät ja vastuut - tehtävien eriyttäminen
Julkri
HAL-14: Käyttö- ja käsittelyoikeudet
Julkri
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Tarve tietää -periaate ja tehtävien eriyttäminen pääsynhallinnassa
1. Tehtävän vaatimuskuvaus

Tarve tietää -periaatteella pääsyoikeus myönnetään ainoastaan sellaiseen tietoon, jota yksilö tarvitsee tehtävänsä suorittamiseen. Eri tehtävillä ja rooleilla on erilaiset tietotarpeet ja täten erilaiset pääsyprofiilit.

Tehtävien eriyttäminen tarkoittaa sitä, että ristiriidassa olevat tehtävät ja vastuualueet on eriytettävä, jotta vähennetään organisaation suojattavan omaisuuden luvattoman tai tahattoman muuntelun tai väärinkäytön riskiä.

Muodollisten pääsynhallintaprosessien toteuttaminen

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
73
vaatimusta
Esimerkkejä muista vaatimuksista, joita tämä tehtävä toteuttaa
Članak 30.1.i (Pristup): Politike kontrole pristupa
NIS2 Croatia
9.7 §: Pääsynhallinta, todentaminen ja MFA
Kyberturvallisuuslaki
4.1.2: Security of authentication
TISAX
30 § 3.9° (l'accès): Contrôle d'accès
NIS2 Belgium
2.6.2: Establish a formal process for administration of accounts, access rights and privileges
NSM ICT-SP
Näe kaikki liittyvät vaatimukset ja muuta tietoa tehtävän omalta sivulta.
Siirry kohtaan >
Muodollisten pääsynhallintaprosessien toteuttaminen
1. Tehtävän vaatimuskuvaus

Varmistaakseen valtuutettujen käyttäjien pääsyn järjestelmiin ja estääkseen luvattoman pääsyn, organisaatio on määritellyt muodolliset prosessit seuraaviin asioihin:

  • Käyttäjien rekisteröinti ja poistaminen
  • Pääsyoikeuksien jakaminen
  • Pääsyoikeuksien uudelleenarviointi
  • Pääsyoikeuksien poistaminen tai muuttaminen

Näiden asioiden toteuttaminen tulee toteutua aina määritellyn, muodollisen prosessin kautta.

Politiikkaan sisältyviä tietoturvatehtäviä

Tehtävän nimi
Prioriteetti
Tila
Teema
Politiikka
Muut vaatimukset
No items found.

Autamme täyttämään vaatimukset tehokkaasti Universal cyber compliance language -teknologialla

Digiturvamallissa kaikki vaatimuskehikkojen vaatimukset kohdistetaan universaaleihin tietoturvatehtäviin, jotta voitte muodostaa yksittäisen suunnitelman, joka täyttää ison kasan vaatimuksia.

Tietoturvakehikoilla on yleensä yhteinen ydin. Kaikki kehikot kattavat perusaiheita, kuten riskienhallinnan, varmuuskopioinnin, haittaohjelmat, henkilöstön tietoisuuden tai käyttöoikeuksien hallinnan omissa osioissaan.
Digiturvamallin "universal cyber compliance language" -teknologia luo teille yksittäisen suunnitelman ja varmistaa, että kehikkojen yhteiset osat tehdään vain kerran. Te voitte keskittyä suunnitelman toteuttamiseen, me automatisoimme compliance-osan - nykyisiä ja tulevia vaatimuksia päin.
Aloita ilmainen kokeilu
Tutustu Digiturvamalliin
Aloita ilmainen kokeilu
Digiturvamallin avulla rakennat tietoturvallisen ja halutut vaatimukset täyttävän organisaation. Halusitko kehittää tietoturvan hallintaa yleisesti, raportoida omasta NIS2-valmiudesta tai hankkia ISO 27001 -sertifioinnin, Digiturvamalli yksinkertaistaa koko prosessia.
AI-pohjaiset parannussuositukset ja käyttäjäystävällinen työkalu varmistavat, että organisaationne voi olla luottavainen vaatimusten täyttymisestä ja keskittyä oman tietoturvan jatkuvaan parantamiseen.
Selkeä suunnitelma vaatimusten täyttämiseen
Aktivoi teille tärkeät vaatimuskehikot ja jalkauta niiden vaatimukset täyttäviä selkeitä toimenpiteitä.
Uskottavat raportit todisteiksi hyvästä tietoturvasta
Etene tehtävien avulla varmistaaksesi turvallisen toiminnan. Luo ammattimaisia ​​raportteja muutamalla napsautuksella.
AI-avusteiset parannussuositukset
Keskity vaikuttavimpiin parannuksiin Digiturvamallin suositusten avulla.

Aloita jo tänään

Aloita ilmaiseksi tutussa Microsoft Teams -ympäristössä.
Jos sinulla on kysymyksiä, varaa palaveri sinulle sopivaan ajankohtaan.

Ilmainen 14 päivän kokeilu
Varaa palaveri
EtusivuHinnastoAsiakkaatTiimiTietoturvaVaraa demoVaraa palaveriKirjauduKokeile
Kuinka se toimii?
YhteenvetoTietoturvatehtävät ja toteutusDokumennoin työkalutHenkilöstön digiturvaohjeetAutomatisoitu raportointi
Käyttötavat
Kehikon mukaanKaikki vaatimuskehikotISO 27001TiedonhallintalakiNIS2-direktiiviNIST CSFCSA CCMISO 27701GDPR, Tietosuoja-asetusISO 27017ISO 27018
Teeman mukaanTietoturvariskien hallintaHenkilöstön tietoisuusCompliance-raportointiHallintakeinojen toteutusSuojattavan omaisuuden hallintaDynaamiset politiikkadokumentitTietosuojan hallinta
Resurssit
AkatemiaWebinaaritTilaa uutiskirjeOhjekeskusBlogiTrust centerVideokurssitViikon digiturvauutisetKäyttöehdotTietosuojaselosteetSisältöpankki: ISO 27001Sisältöpankki: GDPRSisältöpankki: KatakriSisältöpankki: TiedonhallintalakiLabs
Ota yhteyttä
+358 10 231 6010
tiimi@digiturvamalli.fi
Labs
Tarjolla kielillä:
Digiturvamalli tunnetaan kansainvälisesti nimellä Cyberday
© Cyberday Oy, Kalevantie 2 33100 Tampere, Suomi
Digiturvamalli.fi - Moderni alusta tietoturvan hallintaan ja sertifiointiin