Hopp til hovedinnhold
NHN
Gå tilbake til Sikkerhetsarbeid internt i Norsk helsenett

Programvaresikkerhet og innebygget personvern

Informasjon om programvaresikkerhet og innebygget personvern i Norsk helsenett.

Norsk helsenett utvikler, forvalter og drifter nasjonale e-helseløsninger. Informasjonssikkerhet og personvern er kritiske kvalitetsparametere og topp prioritet. For å ivareta informasjonssikkerhet og personvern på en systematisk og helhetlig måte, har Norsk helsenett utviklet policy, standard, veiledere, praksiser og metoder som produktteamene kan anvender for å sikre sine produkter.

Det er etablert en egen policy for Programvaresikkerhet og innebygd personvern som en del av styringssystemet, med obligatoriske krav til hva som må gjøres for å ivareta god programvaresikkerhet og innebygd personvern. I neste nivå, standard for programvaresikkerhet og personvern, er det beskrevet hvordan dette kan gjøres. Standarden bruker i stor grad Datatilsynets veileder for Programvareutvikling med innebygd personvern og NSMs Grunnprinsipper. De ulike aktivitetene er også mappet mot Secure Software Development Lifecycle. Konkrete aktiviteter og leveranser er beskrevet for hver fase i utviklingsløpet. Denne standarden har en rekke veiledere som skal bistå med operasjonalisering.

Med policy, standard og veiledere som grunnlag har produktteamene krav, prinsipper og anbefalinger for å lagre sikre og personvernvennlige produkter. I tillegg benyttes spesialiserte sikkerhetstestere og en verktøykasse med ulike type sikkerhetsverktøy for å sikre løsninger i de ulike utviklingsfasene. Alle deltakere i et produktteam har et ansvar og rolle for sikkerhet og personvern i produktet. En viktig funksjon i arbeidet med innebygd informasjonssikkerhet og personvern er sikkerhetsambassadørene ('Security Champions') i produktteamene. Sikkerhetsambassadørene, som hovedsakelig er arkitekter og utviklere har en utvidet rolle med blant annet både å innhente beste praksiser, holde et ekstra øye med sikkerhetsmålingene, være bindeleddet mot sikkerhetsorganisasjonen. Sikkerhetsambassadørene møtes jevnlig for felles kompetanseheving, erfaringsutvekslinger og nettverksbygging.

Norsk helsenett jobber kontinuerlig med å forbedre veiledere, praksiser og metoder og verktøykasser.