5.4.1: Konfigurasjonskontroll

Oh no! No description found. But not to worry. Read from Tasks below how to advance this topic.

Det er en forutsetning at virksomheten har oversikt over dataflyt, datakommunikasjon og integrasjoner og kontroll på alt eget utstyr og programvare som benyttes i behandlingen av helse- og personopplysninger. Dette gjelder også utstyr ved avdelingskontor og hjemmekontor og mobilt utstyr.

Følgende skal ivaretas:

konfigurasjonen skal sikre at utstyret og programvaren kun utfører de funksjonene som er formålsbestemt
virksomheten skal sørge for at all dataflyt, datakommunikasjon og integrasjoner kartlegges og dokumenteres.
kun godkjent utstyr og programvare skal benyttes til behandling av helse- og personopplysninger. Virksomheten skal fastsette hvem som har godkjenningsmyndighet.
maskin- og programvare skal oppdateres slik at den nyeste og mest tidsaktuelle sikkerhetsfunksjonaliteten følger med og nødvendige sikringstiltak benyttes. Oppdateringer bør verifiseres og testes før oppdateringen gjennomføres. Verifisering og testing skal dokumenteres som ledd i virksomhetens endringsstyring (se kap. 5.4.2).
planlagte endringer skal følge virksomhetens rutine for konfigurasjonsendringer.
det skal benyttes separate miljøer for utvikling, test og produksjon slik at helse- og personopplysninger som benyttes ved ytelse av helsehjelp, ikke blir påvirket ved feil i utvikling og test.
konfigurasjonen av utstyr og programvare skal jevnlig sjekkes slik at den kun utfører formålsbestemte funksjoner.
konfigurasjonen skal beskyttes mot skadelig programvare
konfigurasjonen skal beskyttes mot utilsiktede handlinger.

Konfigurasjonsendringer, dvs. endringer i utstyr eller programvare, skal ikke settes i drift før følgende tiltak er gjennomført:

risikovurdering som viser at risiko er akseptabel
test som sikrer at forventede funksjoner er ivaretatt
implementering som sikrer mot uforutsette hendelser
ny konfigurasjon er dokumentert
konfigurasjonsendringer er godkjent av virksomhetens leder eller den ledelsen bemyndiger

Konfigurasjonskontroll skal reguleres gjennom avtale ved

bruk av databehandler.
bruk av fjernaksess for vedlikehold og oppdateringer. Fjernaksess skal kun gjøres over kanaler virksomheten har kontroll med.

See how Cyberday guides you to fulfill this requirement:

This requirement is part of the framework:

Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren (Norge)

Other requirements of the framework

5.4.1: Konfigurasjonskontroll

Best practices

How to implement:

5.4.1: Konfigurasjonskontroll

This policy on

5.4.1: Konfigurasjonskontroll

provides a set concrete tasks you can complete to secure this topic. Follow these best practices to ensure compliance and strengthen your overall security posture.

Følgende skal ivaretas:

konfigurasjonen skal sikre at utstyret og programvaren kun utfører de funksjonene som er formålsbestemt
virksomheten skal sørge for at all dataflyt, datakommunikasjon og integrasjoner kartlegges og dokumenteres.
kun godkjent utstyr og programvare skal benyttes til behandling av helse- og personopplysninger. Virksomheten skal fastsette hvem som har godkjenningsmyndighet.
maskin- og programvare skal oppdateres slik at den nyeste og mest tidsaktuelle sikkerhetsfunksjonaliteten følger med og nødvendige sikringstiltak benyttes. Oppdateringer bør verifiseres og testes før oppdateringen gjennomføres. Verifisering og testing skal dokumenteres som ledd i virksomhetens endringsstyring (se kap. 5.4.2).
planlagte endringer skal følge virksomhetens rutine for konfigurasjonsendringer.
det skal benyttes separate miljøer for utvikling, test og produksjon slik at helse- og personopplysninger som benyttes ved ytelse av helsehjelp, ikke blir påvirket ved feil i utvikling og test.
konfigurasjonen av utstyr og programvare skal jevnlig sjekkes slik at den kun utfører formålsbestemte funksjoner.
konfigurasjonen skal beskyttes mot skadelig programvare
konfigurasjonen skal beskyttes mot utilsiktede handlinger.

Konfigurasjonsendringer, dvs. endringer i utstyr eller programvare, skal ikke settes i drift før følgende tiltak er gjennomført:

risikovurdering som viser at risiko er akseptabel
test som sikrer at forventede funksjoner er ivaretatt
implementering som sikrer mot uforutsette hendelser
ny konfigurasjon er dokumentert
konfigurasjonsendringer er godkjent av virksomhetens leder eller den ledelsen bemyndiger

Konfigurasjonskontroll skal reguleres gjennom avtale ved

bruk av databehandler.
bruk av fjernaksess for vedlikehold og oppdateringer. Fjernaksess skal kun gjøres over kanaler virksomheten har kontroll med.

Read below what concrete actions you can take to improve this ->

Frameworks that include requirements for this topic:

No items found.

How to improve security around this topic

In Cyberday, requirements and controls are mapped to universal tasks. A set of tasks in the same topic create a Policy, such as this one.

Here's a list of tasks that help you improve your information and cyber security related to

5.4.1: Konfigurasjonskontroll

Task name

Priority

Task completes