Finansudvalget 2017-18
SB 4 2
Offentligt
1864939_0001.png
Afdeling:
Strategi & Portefølje
Journal nr.: 17/28942
Dato:
15. januar 2018
Udarbejdet af: Anne Sigh
E-mail:
[email protected]
Telefon:
2921 4612
Notat
Udtalelse fra regionsrådet i Region Syddanmark vedrørende
beretning om 3 regioners beskyttelse af adgange til it-systemer
og sundhedsdata
Region Syddanmark modtog den 4. januar 2018 anmodning om udtalelse vedrørende beretning om 3
regioners beskyttelse af adgange til it-systemer og sundhedsdata fra Sundheds- og Ældreministeriet.
Region Syddanmark kritiseres i beretningen på en række forhold. Region Syddanmark har forholdt sig
til Rigsrevisionens kritikpunkter og har etableret en række indsatser med henblik på, at imødekomme
Rigsrevisionens kritik.
Formålet med nedenstående oversigt er, at give et indblik i de indsatser, samt resultaterne heraf, som
regionen har iværksat.
4.
januar
2017
Politik for it-sikkerhed på udvalgte områder
Politik, retningslinjer og procedurer for grundlæggende
sikringstiltag mod hackerangreb
15.
januar
2018
Aktuel status
Politik, retningslinjer og procedurer for tildeling af
privilegerede rettigheder til medarbejdere
Politik, retningslinjer og procedurer for system- og
servicekonti med privilegerede rettigheder
Politik, retningslinjer og procedurer for logning af konti
med privilegerede rettigheder
Beskyttelse mod hackerangreb
Regionen har begrænset download af programmer
Udformning af generelle
retningslinjer afsluttes i juni 2018.
Aktuelt er de første 6 ud af 15 i
proces.
Indgår i ovenstående.
Indgår i ovenstående.
Indgår i ovenstående.
Regionen har sikret, at kun godkendte programmer kan
afvikles
Regionen har sikret, at de kan hente
sikkerhedsopdateringer fra producenterne for relevante
produkter
Regionen har løbende gennemført
sikkerhedsopdateringer for relevante produkter
Regionen har sikret, at ingen medarbejdere har
lokaladministratorrettigheder
Med overgang til Windows 10
reduceres risikoen, da lokale
administratorrettigheder fjernes.
Endvidere sker download via
sandbox-miljø.
Gennemført.
-
-
Region Syddanmark udruller
Windows 10 til alle PC’er i 2018. I
forbindelse hermed fjernes lokale
administratorrettigheder.
Undersøges aktuelt i forhold til
valg af værktøjer og
investeringsbehov.
Regionen har etableret tiltag, fx segmenteret
netværket, så en inficering i form af hackere eller
malware ikke kan sprede sig ubegrænset
Side 1/2
 Statsrevisorerne beretning SB4/2017 - Bilag 2: Ministerredegørelse
1864939_0002.png
Medarbejdere med privilegerede rettigheder
Regionen har et begrænset antal medarbejdere, der
permanent har privilegerede rettigheder
Regionen har sikret, at alle medarbejdere med
privilegerede rettigheder anvender en personlig
administratorkonto
Regionen har implementeret en regelmæssig kontrol af
medarbejdere med privilegerede adgangsrettigheder.
Regionen har sikret, at personlige passwords, til konti
med privilegerede rettigheder, følger god praksis og er
systemunderstøttet.
Regionen har sikret, at medarbejdere med
privilegerede rettigheder ikke kan tilgå internettet, når
de er logget på med disse rettigheder.
System- og servicekonti med privilegerede rettigheder
Regionen har et begrænset antal system- og
servicekonti med privilegerede rettigheder
Regionen har sikret, at passwords, til system- og
servicekonti med privilegerede rettigheder, følger god
praksis
Logning af konti med privilegerede rettigheder
Regionen har sikret, at konti med privilegerede
rettigheder logges, når de starter programmer, så
sporbarheden sikres
Regionen har sikret, at logfiler gennemgås
regelmæssigt med henblik på at opdage uautoriserede
ændringer eller uhensigtsmæssigheder i it-miljøet
Regionen har sikret, at medarbejdere med
privilegerede rettigheder, der logges, ikke har adgang
til loggen
Gennemført
-
Kontrollen er indført med halvårlig
kontrol – 1. kontrol er gennemført.
-
Løsningen er udrullet til IT i 2017.
Udbredes til resten af regionen i
2018.
-
Gennemført.
Gennemført.
-
-
Region Syddanmark har taget Rigsrevisionens kritik til efterretning. Regionen har inden udgangen af
2018 har etableret de tilstrækkelige tiltag, der imødekommer kritikken.
Side 2/2