Opdateret 26. juni 2018

Rigsrevisionens IT-revision grøn-stempler Sundhedsdatanettet (SDN)

Rigsrevisionen har i maj måned 2018 gennemført en it-revision af MedComs styring af it-sikkerheden i og omkring Sundhedsdatanettet (SDN).

Revisionen er en opfølgning på den kritiske it-revision af SDN fra 2015 – og er baseret på 22 kontrolmål inden for styring, governance, adgangsstyring og sikker drift. Kontrolmålene er opstillet med udgangspunkt i den internationalt anerkendte sikkerhedsstandard ISO27001. Revisionen i 2015 havde fokus på ledelsens styring af SDN, mens revisionen i 2018 derudover også har omfattet en uddybende teknisk gennemgang.

Resultatet af Rigsrevisionens it-revision 2018 er, at MedCom samlet set har etableret en tilfredsstillende og dokumenteret styring af it-sikkerheden i og omkring SDN.

Fuldt ud tilfredsstillende opfølgning på kritikken fra 2015

Af de 22 kontrolmål i den nye revision, vedrører de 15 kontrolmål opfølgning på manglende opfyldelse i revisionen fra 2015. På alle 15 kontrolmål opfylder MedCom nu fuldt ud Rigsrevisionens krav.

Rigsrevisionen konkluderer således samlet, at MedCom på tilfredsstillende vis har fulgt op på anbefalingerne fra 2015, der i høj grad havde fokus på etablering af en klarere governance, dokumenteret leverandørstyring samt et større fokus på sikkerheden for SDNs støttesystemer.

Disse anbefalinger blev udmøntet i en tids- og handleplan, som MedComs styregruppe godkendte i februar 2016. MedComs styregruppe har efterfølgende løbende prioriteret og fulgt op på tids- og handleplanen, i takt med implementeringen internt hos MedCom. Implementeringen er sket i tæt samarbejde med SDN-leverandørerne TDC NetDesign og Netic.

Nye kontrolmål om sikker SDN-drift også opfyldt

Udover opfølgningen fra 2015 har Rigsrevisionen i 2018-revisionen tilføjet 5 nye kontrolmål, der vedrører etablering af sikker drift i SDN - med særligt fokus på sikkerhedsopdatering, logning, overvågning, kryptering, incidenthåndtering samt redundans. Også på alle disse nye kontrolpunkter opfylder MedCom fuldt ud Rigsrevisionens krav.

Med SDN version 3 er pladen fuld

På 2 nye kontrolmål om opdatering af den samlede SDN-dokumentation og anvendelse af stærke passwords på alt netværksudstyr vurderer Rigsrevisionen, at MedCom kun delvist opfylder de opstillede kontrolmål.

Da disse allerede er i proces med den sidste færdiggørelse af den igangværende overgang fra SDN version 2 til SDN version 3, har Rigsrevisionen ikke fundet anledning til yderligere opfølgning på de 2 punkter.

MedComs styregruppe og daglige ledelse følger implementeringen af SDN version 3 tæt, frem mod udgangen af 2018. Herefter styrer og vurderer MedCom løbende IT-sikkerheden i SDN efter sikkerhedsstandarden ISO27001.

Med afsæt i Rigsrevisionens vurdering af SDN er MedCom godt rustet til at bidrage til det netop igangsatte arbejde med nye nationale krav til cyber- og informationssikkerhed i sundhedssektoren.

Du kan læse Rigsrevisionens afrapportering her: managementletter og revisionsrapport.

Du kan læse mere om SDN: https://www.medcom.dk/systemforvaltning/sundhedsdatanet-sdn