Informationssäkerheten och dataskyddet i ett informationssystem är lättast och effektivast att beakta i samband med att man planerar att köpa in systemet Genom att planera upphandlingen noggrant kan man förhindra säkerhetsöverträdelser och undvika dyra rättelser. Inom ramen för Försörjningsberedskapscentralens projekt Kyber-Terveys utvecklades åren 2018–2019 en lista med krav gällande informationssäkerhet och dataskydd för att användas vid upphandlingar inom social- och hälsovården. För att använda listan krävs att den upphandlande organisationen gör sig förtrogen med den. Listan är inte avsedd för att bifogas som sådan till varje anbudsbegäran.
Använd fritt – på ett par villkor
Projektet Kyber-Terveys har publicerat listan under licensen Creative Commons Erkännande 4.0 (CC BY 4.0) (Extern länk). Det innebär att du får använda listan för vilket ändamål du vill, redigera den och dela den som du vill, på följande villkor:
- Ge erkännande – Du måste ange källan på korrekt sätt, tillhandahålla en länk till licensen samt markera de eventuella ändringar du gjort. Du kan göra det ovanstående på vilket rimligt sätt som helst, men inte så att du låter förstå att licensgivaren rekommenderar dig eller din användning av verket.
- Inga övriga begränsningar – Du får inte sätta upp sådana juridiska villkor eller tekniska hinder som juridiskt hindrar andra från att göra något som licensen tillåter.
God praxis, men ingen officiell anvisning
Listan över informationssäkerhets- och dataskyddskrav är till sin natur en gemensam uppfattning om god praxis hos experter på cybersäkerhet och dataskydd inom social- och hälsovården, men den utgör ingen officiell anvisning eller rekommendation. Inom projektet Kyber-Terveys gjordes ett betydande arbete för att listan skulle innehålla exempel på hur framför allt de mål för datasäkerhets- och dataskyddet i informationssystem och utrustning inom hälso- och sjukvården som officiellt krävs skulle kunna förverkligas.
Versioner och upplagor
Cybersäkerhetscentret håller finsk-, svensk- och engelskspråkiga versioner av listan allmänt tillgänglig på denna webbplats. Språkversionerna är identiska. På denna webbplats finns den senaste upplagan av alla versionerna. Om du vill ha tillgång till en tidigare upplaga kan du vända dig till Cybersäkerhetscentret. Kontaktuppgifterna finns nedan.
De finsk- och svenskspråkiga versioner är särskilt användbara när man ska gå igenom och välja ut krav med lokala upphandlingsexperter och medicinska experter som inte är bekanta med cybersäkerhets- och dataskyddsterminologin på engelska. Däremot är det oftast bäst att skicka kraven från den engelskspråkiga versionen till säljaren av den produkt som ska köpas in. De flesta produkter inom social- och hälsovårdsbranschen säljs av internationella företag, så anbudsbegäranden på finska eller svenska är svåra för dem att behandla och kan lätt orsaka fel.
Cybersäkerhetscentret tillhandahåller också en PowerPoint-presentation (endast på finska) som visar organisationer som planerar att köpa in informationssystem eller utrustning hur listan används på ett produktivt och ändamålsenligt sätt. Kom också ihåg att läsa anteckningarna i presentationen (”Speaker’s notes”)! Cybersäkerhetscentret samlar in kommentarer och ändringsförslag gällande listan och utbildningsmaterialet. Cybersäkerhetscentret behandlar responsen regelbundet med SOTE-ISAC och publicerar vid behov nya upplagor av listan och utbildningsmaterialet.
KOMMENTARER, FÖRSLAG OCH BEGÄRANDEN GÄLLANDE KRAVLISTAN
Kontakta: cybersakerhetscentret@traficom.fi.
KRAVLISTA OCH UTBILDNINGSMATERIAL
Listan grundar sig på det ursprungliga arbete som Jari Seppälä utfört vid Tammerfors tekniska högskola och Tammerfors universitet samt på Försörjningsberedskapscentralens datasäkerhetsprojekt för industriell automation COREQ-VE (2011–2012).