Risikovurdering Delplan IKT Kalnes

Risikovurdering Felles SØ
Risikovurdering Delplan IKT
Endring siden forrige versjon
Redaksjonell endring i overskrift
Deltakerliste
Navn
Tittel
Bengt Erik Thompson
SØ, IKT, Avdelingssjef. Deltatt 21.01.15
Kristian Haug-Årseth
SØ, IKT, Spesialrådgiver. Deltatt 21.01.15
Lars Cato Skaar
SØ, IKT, Informasjonssikkerhetsleder. Deltatt 21.01.15
Utarbeidet av: Informasjonsssikkerhetsleder Lars Cato Skaar
Godkjent av: Adm. dir. Just Ebbesen
Uoffisiell utskrift er kun gyldig på utskriftsdato
Dokument-ID: D30049
Versjonsnummer: 1.01
Gjelder fra: 02.11.2015
Sykehuset Østfold
Dokument-ID: D30049
Sannsynlighetsskala og konsekvensskala
Sannsynlighetsskala
Side 2 av 4
Versjonsnummer: 1.01
1
Tallverdi
Svært stor
Stor
Moderat
Liten
Meget Liten
5
Inntil to ganger per uke (en hendelse for hver 3-4 dager). Hyppig og regelmessig
4
Ca en gang i måneden/regelmessig
3
Omtrent halvårlig/ikke regelmessig, forekommer
2
En gang i året/forekommer av og til, sjeldent
1
Mer sjelden enn hvert år/svært sjelden
Konsekvensskala
Tallverdi
Pasient
(liv, helse)
Ansatt
(liv, helse)
Ressurser
(kapasitet)
Ytre miljø
(luft, avløp, grunn)
Materiell
(materielle verdier)
Omdømme
Tjeneste-produksjon
Svært alvorlig
5
Tap av liv
Tap av liv
Situasjonen kan kreve
mobilisering av eksterne
ressurser
Omfattende miljøskader av
varig karakter
> 10 millioner NOK
-
Hoved- og avhengige
produksjons linjer settes
permanent ut av drift
Alvorlig
4
Betydelig pasientskade.
Fare for tap av liv.
Betydelig fysisk / psykisk
personskade og fare for tap
av liv
Situasjonen kan kreve
mobilisering av ressurser fra
andre enheter
Betydelig miljøskader, fare
for miljøskader av varig
karakter
< = 10 millioner NOK
Betydelig tap av anseelse,
bred negativ medieomtale
nasjonalt og internasj.,
egen granskning fra
myndigheter
Produksjonen settes ut av
drift for lengre tid. Andre
avhengige produksjons linjer
rammes midlertidig.
Moderat
3
Alvorlig pasientskade.
Alvorlig endring i pasientens
medisinske tilstand.
Alvorlig fysisk / psykisk
personskade
Situasjonen kan kreve
ekstraordinær ressursbruk
fra egen enhet
Alvorlig miljøskade som kan
reverseres
< = 1 million NOK
Tap av anseelse, bred
negativ medieomtale
nasjonalt, egen granskning
fra myndigheter
Driftsstans i flere døgn
Lav
2
Mindre alvorlig
pasientskade, mindre
endringer i pasientens
medisinske tilstand
Mindre alvorlig fysisk /
psykisk personskade
Situasjonen kan håndteres
med begrenset ekstra
ressursbruk
Mindre alvorlig miljøskade
som kan reverseres
< = 100.000 NOK
Mindre tap av anseelse,
negativ medieomtale og
oppmerksomhet fra lokale
myndigheter
Produksjonen settes
midlertidig ut av drift. Kan
føre til skader om det ikke
finnes alternativer eller
reserver.
Ubetydelig
1
Ubetydelig pasientskade,
ubetydelige endringer i
pasientens medisinske
tilstand
Ubetydelig fysisk / psykisk
personskade
Situasjonen kan håndteres
med bruk av ordinære
ressurser
Ingen kjente miljøskader
< = 10.000 NOK
Ubetydelig tap av anseelse,
begrenset intern
oppmerksomhet
Produksjonen settes
midlertidig ut av drift. Kun
mindre forsinkelser, ikke
behov for reserver.
Datagrunnlag
Valg av data og datakilder beskrives her.
Data som brukes i risikoanalyser kan eksempevis være; avviksstatistikker, kvalitetsregistre, tilsynsrapporter, forskningsresultater, prognoser/trendanalyser, klagesaker, økonomirapporter med mer.
1
Sannsynlighet og konsekvensskala bygger på modell fra Vestre Viken og er hentet fra FMEA (Failure Mode/Effect Analyses). Bli enig om hvilken konsekvensskala som ligger til grunn, som grunnlag
tallfesting av risikoverdi (5 til 25 poeng)
for
Sykehuset Østfold
Dokument-ID: D30049
Side 3 av 4
Versjonsnummer: 1.01
Risikotabell med vurdering av risiki
Risiko-ID
R1
R2
R3
R4
R5
R6
Risikofaktor (område med fare for svikt/uønsket hendelse)
Sannsynlighet
Konsekvens
Lang responstid på SP’s telefoner
Uklarhet ifh omfang medfører at
innmeldte saker håndteres enkeltvis
og ikke i sammenheng.
2
2
4
4
Taktisk ledelse IKT blir ikke varslet av
SP med en gang.
Manuelle rutiner ved svikt i IKT er
ikke etablert for alle tjenester med
kritikalitet 1, og gjort kjent på
avdelingene
Avtaleendringer med
underleverandører til SP blir ikke
implementert i delplanen
Svikt i HelseCIM
2
4
2
4
Risiko-ID
Risikofaktor
Risikofaktor – fargetabell
Sannsynlighet
Konsekvens
Konsekvensskala
Risikoverdi
Risikoaksept
2
ALARP: as low as reasonably practicabel
Risikoverdi
(max 25 poeng)
8
8
8
8
2
4
8
1
3
Risikoaksept
Tiltak
tiltaksansvarlig
Løpende vurdering av varslingsrutiner
Revidere interne prosesser hos Sykehuspartner
Brukerstøtte.
Måle og vurdere responstiden på SP’s
registrering av hendelser.
Leveranser iht Tjenesteavtalen må tas opp med
SP.
Etablere manuelle rutiner for svikt i kritiske IKTtjenester.
Påse at alle er kjent med manuelle rutiner.
Revidere og test manuelle rutiner årlig.
SP’s avtaleendringer må gjenspeiles i
beredskapsplaner.
3
Numrering av risikofaktorer slik at de blir lettere å identifisere
Handling eller forhold som kan føre til en uønsket hendelse
Lav prioritet
lite behov for endring
Middels prioritet
behov for endring over tid
Høy prioritet
skal endres snarest
Beskriver i hvilken grad det er trolig at en hendelse inntreffer.
Kan uttrykkes med ord eller som tallverdi
Kan ha en beskrivende del og/eller en beregningsmessig del
Beskriver mulige følger av en uønsket hendelse
Kan uttrykkes med ord eller som tallverdi
Kan være knyttet til tap av eller skade på eksempelvis, liv/helse, miljø, matereielle verdier, funksjoner, samfunnverdier eller omdømme
Konsekvensanalysen skal angi umiddelbare konsekvenser samt konsekvenser som viser seg etter en viss tid
Beskriv med uthevet bokstav hvilken konsekvensskala konsekvensverdien bygger på; pasient, ansatt, ressurser, materielle verdier, omdømme eller
tjenesteproduksjon
er et uttrykk for kombinasjonen av sannsyligheten og konsekvensen av en uønsket hendelse
Uttrykkes som hovedregel i tallverdi der laveste poengverdi er 5 og høyeste verdi er 25
Kriterum som legges til grunn for beslutninger om akseptabel risiko
ALARP – prisippet2
Uttrykkes i tallverdi
tidsfrist
Sykehuset Østfold
Dokument-ID: D30049
Versjonsnummer: 1.01
Sannsynlighet
Risikovurderingstabell
Referanser


Vedlegg
Slutt på Risikovurdering
R1
R2
R5
R3
R6
R4
Side 4 av 4