Verktygslåda för systematiskt informationssäkerhetsarbete i kommuner

Storlek: px
Starta visningen från sidan:

Download "Verktygslåda för systematiskt informationssäkerhetsarbete i kommuner"

Transkript

1 Verktygslåda för systematiskt informationssäkerhetsarbete i kommuner

2 Utgiven av: Myndigheten för samhällsskydd och beredskap (MSB) Kontaktpersoner: Kjell Kalmelid Robert Lundberg Michael Patrickson Layout: Advant Produktionsbyrå AB Tryck: DanagårdLiTHO Publ.nr MSB434 - augusti 2012 ISBN

3 Innehåll Inledning...7 Om denna skrift...7 Varför är god informationssäkerhet viktigt?... 8 Geografiskt områdesansvar...9 Kommunernas geografiska områdesansvar...9 Länsstyrelsers geografiska områdesansvar...10 Informationssäkerhet.se Metodstöd för införande av ett LIS Vägledningar Film riktad till kommunledningen...17 Risk- och sårbarhetsanalyser...17 Modell för informationsklassificering Upphandling av IT-tjänster Statliga ramavtal...19 Säkerhetsskyddad upphandling Robust elektronisk kommunikation Service Level Agreement mall för kommunalt it-stöd...21 Molntjänster...21 Säkerhet och personuppgiftslagen Hantering av information inom vård och omsorg Säkerhetsskydd Säkerhet i industriella styrsystem (SCADA) Surfplattor och smarta telefoner IPv Utbildningar...29 SIS Informationssäkerhetsakademi...29 Dataföreningen Kompetens...30

4 E-utbildningar i IPv DISA ISA Informationssäkerhetsskolan Informationssäkerhetskonferens Resurser...37 CERT-SE Säker domän (DNSSEC)...38 Krypto för Skyddsvärda Uppgifter KIS-nätverket Svensk e-legitimation Ineras infrastrukturtjänster...42 Gemensam lägesuppfattning GLU... 43

5

6

7 Inledning Om denna skrift Syftet med denna skrift är att stödja kommuner, och indirekt länsstyrelser, i sitt informationssäkerhetsarbete genom att tydliggöra de ramar som gäller för det arbetet på lokal och regional nivå samt att, samlat på ett ställe, presentera de olika former av stöd som myndigheter och andra utvecklat under de senaste åren. Detta stöd är, med något undantag, lika användbart för centrala myndigheter och i viss utsträckning även för privata aktörer i samhället. Denna skrift riktar sig i första hand till de som är ansvariga för samordning av arbetet med verksamhetens informationssäkerhet. Det samlade stödet i arbetet för ökad informationssäkerhet, syftar ytterst till att aktörerna ska få hjälp att införa och förvalta ett Ledningssystem för informationssäkerhet ( LIS ). För det ändamålet tillhandahåller MSB först och främst Metodstöd för införande av ett LIS. Till hjälp i arbetet med att införa ett LIS och att bedriva ett systematiskt informationssäkerhetsarbete, tillhandahåller MSB och andra myndigheter dessutom tre former av kompletterande stöd: Vägledningar, Utbildningar och Resurser. Vägledningar är informationsmaterial, guider, riktlinjer och mallar som finns tillgängliga i tryckt form, t.ex. faktablad och broschyrer, eller elektroniskt format. De behandlar närmare hur delar av ett LIS kan införas. Utbildningar är kurser eller webbaserade utbildningar med syftet att under lätta inlärning eller kunskapsinhämtning. Resurser är olika former av direkt stöd som aktörerna kan få tillgång till i form av t.ex. rådgivning, analysstöd, teknik och professionella nätverk. Denna skrift är en första utgåva och kommer att uppdateras regelbundet. Richard Oehme Enhetschef Enheten för samhällets informationssäkerhet

8 Varför är god informationssäkerhet viktigt? Verksamhetsansvaret och ansvarsprincipen är utgångspunkten för kommunernas och länsstyrelsernas uppgifter i samhällets krishanteringssystem. Det innebär att ansvaret för olika samhällsviktiga uppgifter under normala förhållanden också gäller under extraordinära händelser. I takt med att informations tekniken blir en alltmer integrerad del av olika verksamheter och i många fall en nödvändig komponent för att verksamheter överhuvudtaget ska fungera, får informationssäkerhetsfrågor allt ökande betydelse. Informationssäkerhet handlar om att ge kommunens information rätt skydd, det vill säga att informationen är tillgänglig när den behövs, att den är korrekt och inte ändras av eller avslöjas för någon obehörig. Eftersom stora delar av informationen hanteras i IT-system så handlar informationssäkerhet delvis om teknik. Men det är viktigt att komma ihåg att informationssäkerhet rör hela kommunens verksamhet och all information oavsett om den finns i datorer, i ett telefonsamtal eller på ett papper. Den snabba tekniska utvecklingen i kombination med krav på rationalisering och kostnadseffektivitet bidrar till att alltfler kommuner outsourcar delar av sin it-verksamhet och/eller köper s.k. molntjänster. Detta ställer ökade krav på kommunerna och andra aktörer att tillse att informationssäkerhet regleras i avtalet med leverantören i samband med upphandlingar av sådana tjänster. Kommunernas ansvar och uppgifter regleras i samma lagar och verksamheten i en kommun skiljer sig därmed inte avsevärt från en annan när det gäller de grundläggande uppgifterna. Arbetet med att styra informationssäkerhet är en sådan uppgift och den kan uppfattas som mer komplex och resurskrävande än den faktiskt är. Även om kommunerna skiljer sig åt i fråga om geografisk storlek, befolkningsmängd och tillgängliga resurser krävs förhållandevis små insatser för att väsentligen öka informationssäkerheten inom en kommun. Genom att arbeta systematiskt med informationssäkerhet med hjälp av metodstödet, tillsammans med de andra vägledningar, verktyg och resurser som presen teras i denna broschyr, får kommunen bland annat följande fördelar: Kommunen får en god informationssäkerhet som är anpassad efter verksamhetens förutsättningar och behov. Det innebär att kommunen får en bra säkerhetsekonomi där nyttan överväger kostnaderna. 8 Systematiskt Informationssäkerhetsarbete i kommuner

9 Genom säkerhet i informationshanteringen kan omvärlden och invånarnas förtroende för kommunen bibehållas och öka. Kommunen säkerställer att rättsliga krav efterlevs och revisioner klaras bättre. Det kan gälla exempelvis skydd av personuppgifter i enlighet med personuppgiftslagen och krav på internkontroll. Kommunledningen får möjlighet att styra och följa upp informations säker - heten så att man kan bevaka att säkerheten är effektiv och ända måls enlig. Kommunen ansluter sig till ett vedertaget sätt att arbeta med informationssäkerhet och anammar en gemensam terminologi. Därigenom blir det lättare att kommunicera och samarbeta om gemensamma informationssäkerhetsfrågor med kollegor i andra kommuner och organisationer. Metodstödet ger kommunen en hjälp att införa ett ledningssystem för informationssäkerhet (LIS) som följer de internationella standarderna. Det vill säga ett system för att leda och styra informationssäkerhetsarbetet. Geografiskt områdesansvar Grunden för vikten av god informationssäkerhetsstyrning inom kommuner och länsstyrelser hänger samman med det geografiska områdesansvaret för samhällets krishantering. Detta ansvar återfinns på tre nivåer lokalt, regionalt och nationellt. Områdesansvaret innebär att det inom ett geografiskt område finns ett organ som verkar för inriktning, prioritering och samordning av tvärsektoriella åtgärder inför, under och efter en kris. Kommunernas geografiska områdesansvar Kommunernas ansvar för krisberedskap följer av lagen (2006:544) om kommuner och landsting åtgärder inför och vid extraordinära händelser i fredstid och höjd beredskap (LEH). Sammanfattningsvis innebär kommunens geografiska områdesansvar att kommunen bland annat ska: göra en samlad analys av sådana risker och sårbarheter i kommunens geografiska område som kan leda till en extraordinär händelse och göra den känd för berörda inledning 9

10 kunna lämna en samlad information till länsstyrelsen om läget i kommunen i fråga om risker och sårbarheter och om de krisaktörernas förberedelser för hantering en av en extraordinär händelse kunna ge länsstyrelsen en samlad rapport om läget i kommunen vid extraordinär händelse om de lokala krisaktörernas vidtagna och planerade åtgärder med anledning av händelsen. Länsstyrelsers geografiska områdesansvar Enligt 9 förordning (2006:942) om krisberedskap och höjd beredskap ska länsstyrelsen analysera om det finns sådan sårbarhet eller sådana hot och risker inom myndighetens ansvarsområde som synnerligen allvarligt kan försämra verksamheten inom området. Detta innebär att länsstyrelsen ansvarar för att sammanställa regionala risk- och sårbarhetsanalyser som bl.a. baseras på landstingens och kommunernas risk- och sårbarhetsanalyser. Länsstyrelsen ska enligt förordning (2007:825) med länsstyrelseinstruktion även följa upp kommunernas tillämpning av LEH. Det innefattar kommunernas arbete med risk- och sårbarhetsanalyser. Slutligen har länsstyrelserna en skyldighet enligt 30a förordning (2006:942) om krisberedskap för att egna informationshanteringssystem uppfyller sådana grundläggande och särskilda säkerhetskrav att myndighetens verksamhet kan utföras på ett tillfredsställande sätt. Med stöd av denna förordning, har MSB utfärdat föreskriften MSBFS 2009:10 om statliga myndigheters informationssäkerhet som närmare anger hur bestämmelsen i 30a ska tillämpas. Informationssäkerhet.se Informationssäkerhet.se är en webbplats som ska ge praktiskt stöd för långsiktigt och systematiskt arbete med informationssäkerhet. Målet med webbplatsen är att ta fram verklighetsnära produkter med bred förankring. Det långsiktiga målet med Informationsäkerhet.se är att skapa en informationssäkerhetsportal och att samla samhällets vägledning för systematiskt informationssäkerhetsarbete. Informationssäkerhet.se erbjuder rekommendationer, vägledningar och annat material som ska underlätta och stödja verksamheters informationssäkerhetsarbete. 10 Systematiskt Informationssäkerhetsarbete i kommuner

11

12

13 Metodstöd för införande av ett LIS För att kunna säkerställa en tillräcklig nivå av informationssäkerhet i en kommuns olika förvaltningar och bolag är det viktigt att informationssäkerhetsarbetet bedrivs systematiskt och långsiktigt. På webbplatsen har MSB, tillsammans med ett antal andra myndigheter, sammanställt metodstöd (se bild nedan) för sådant systematiskt arbete. Metodstödet bygger på rekommendationerna i ett antal internationella standarder på informationssäkerhetsområdet. FÖRBEREDA ANALYSERA UTFORMA INFÖRA FÖLJA UPP FÖRBÄTTRA Introduktion Verksamhet Åtgärder Planera genomförande Övervaka Utveckla LIS och skyddet Ledningens engagemang Risk Processer Konstruera och anskaffa Granska Kommunicera förbättringar Projektplanering GAP Styrdokument Inför Ledningens genomgång Fortsatt arbete KUNSKAPSBANK Bilden beskriver de olika stegen som en organisation behöver gå igenom för att införa ett Ledningssystem för informationssäkerhet ( LIS ). Till varje steg finns ett dokument kopplat som beskriver just det arbetet, i vissa fall finns även bilagor med tilläggsinformation. Dokumenten får man upp genom att klicka på respektive grå ruta, exempelvis riskanalys. Fokus bör riktas mot de steg i processen som främst är kopplade till det praktiska arbetet i kommunen med att få ledningssystemet på plats, det vill säga förberedelsearbetet samt processtegen som är kopplade till analys av verksamheten, utforma nödvändiga styrdokument och rutiner samt införa LIS. Det som beskrivs i metodstödet på är ett etablerat sätt att arbeta som, inom de givna ramarna, ger goda möjligheter att anpassa arbetet till den egna organisationens förutsättningar och behov. Det finns Metodstöd För Införande Av Ett Lis 13

14 givet vis andra sätt att arbeta på och det står också fritt för kommunen att välja bara delar av metodstödet eller endast hämta allmän inspiration till sitt informationssäkerhetsarbete. Många kommuner har arbetat med Krisberedskapsmyndighetens rekommendationer och verktyg BITS och BITS Plus (BITS = Basnivå för Informationssäkerhet). MSB lyfter nu istället fram de internationella standarderna och metod stödet på Redan vidtagna åtgärder enligt BITS kan i de flesta fall användas som en viktig utgångspunkt i det vidare arbetet, exempelvis utformning av skydd för specifika informationssystem och tidigare inventering av kritiska informationstillgångar. Många gånger finns också styrande dokument framtagna enligt BITS-konceptet som ex. informationssäkerhets policy. Det kan då vara bra att utgå från dessa dokument och se om det finns behov av uppdatering. Notera att även om kommunen redan har arbetat med ledningssystem för andra områden, ex. kvalitet och miljö, innebär inte arbetet med LIS att man skapar ett ytterligare och annorlunda sätt att styra verksamheten. Kommunens ledning styr kommunens verksamhet på ett enda sammanhållet sätt. Ledningssystemet ger dock stöd för ledningen att göra den styrningen effektiv genom att se till att de nödvändiga styrdokument och rutiner som behövs och passar för respektive område kommer på plats. Det är viktigt att olika ledningssystemen integreras med varandra. Ta del av metodstödet och dess dokument på 14 Systematiskt Informationssäkerhetsarbete i kommuner

15

16

17 Vägledningar Film riktad till kommunledningen Ledningen har det övergripande ansvaret för informationssäkerheten inom kommunen och är ytterst ansvarig vid incidenter. Att inte ta informations säkerheten på allvar kan medföra negativa konsekvenser för kommunens verksamhet och ekonomi, och drabba invånarna. Det är därför viktigt att kommunens ledning kan se såväl vinsterna med ett systematiskt informationssäkerhetsarbete som vilka risker det finns med avsaknaden av det. En ledning som är engagerad och införstådd med verksamhetsnyttan med ett systematiskt informationssäkerhetsarbete skapar förutsättningar för en hög säkerhetsmedvetenhet i hela kommunen. MSB har tagit fram en film som riktar sig mot ledningen inom en kommun och som betonar vikten av ett bra informationssäkerhetsarbete och vilket nytta det ger. Filmen är på 10 minuter och går igenom de väsentligaste delarna av ett bra informationssäkerhetsarbete. Filmen lämpar sig bäst för att ses i plenum då flera personer ur ledningen är samlad. Genom att i samband med att filmen visas föra en strukturerad diskussion kan ytterligare effekter uppnås. Filmen finns för visning på Risk- och sårbarhetsanalyser Den s.k. kommunöverenskommelsen som tecknades år 2004 mellan staten och Kommunförbundet anger att kommunerna ska genomföra en risk- och sårbarhetsanalys. Senare tecknades även ett avtal med landstingen. Huvuddelarna i överenskommelserna lades därefter fast i LEH. Kommunen ska enligt LEH förebygga och förbereda sig inför olika extraordinära händelser genom sitt riskoch sårbarhetsreducerande arbete. Syftet med risk- och sårbarhetsanalysarbetet är att öka medvetenheten och kunskapen hos beslutsfattare och verksamhetsansvariga om hot, risker och sårbarheter inom det egna verksamhetsområdet samt att skapa ett underlag VäGLEDNINGAR 17

18 för egen planering. Underlaget utgör dessutom en viktig källa för information till medborgare och anställda. De offentliga aktörernas risk- och sårbarhetsanalyser bidrar även till att ge en bild av de risker och sårbarheter som finns i samhället i stort. Det finns således två perspektiv som risk- och sårbarhetsanalyserna måste tillgodose, dels egennyttan för den egna organisationen eller verksamheten och dels att tillgodose behovet av att kunna ge en samlad riskbild för hela samhället. Utöver de riskanalyser som följer av lagstiftningen så bedrivs även säkerhetsarbete som inte regleras i författningar. Det gäller exempelvis internt skydd och kommunernas arbete med informationssäkerhet. I syfte att ta ett helhetsgrepp om säkerhetsarbetet är det en god idé att samordna även denna typ av säkerhetsarbete i arbetet med risk- och sårbarhetsanalyser. Den stora effektivitetsvinsten finns framför allt i riskidentifieringsfasen, i och med att riskanalyser kan samordnas utifrån olika lagstiftningar och riskperspektiv. Enligt MSB:s föreskrifter om kommuners och landstings risk- och sårbarhetsanalyser, MSBFS 2010:6, ska krisberedskapsförmåga bedömas utifrån delförmågorna krishanteringsförmåga och förmåga i samhällsviktig verksamhet att motstå allvarliga störningar. Dessa delförmågor ska bedömas med hjälp av ett antal indikatorer, bland vilka även informationssäkerhet ingår. Förmåga avseende informationssäkerhet beskrivs där som att Det finns tillräcklig förmåga hos kommunen eller landstinget att upprätthålla informationstillgångarnas konfidentialitet, riktighet och tillgänglighet. MSB har publicerat en vägledning om risk- och sårbarhetsanalyser och utgör ett stöd för centrala myndigheter, länsstyrelser, kommuner och landsting i deras arbete med risk- och sårbarhetsanalyser och ger förslag på hur den analytiska processen kan bedrivas. Dokumentet Vägledning för Risk- och sårbarhetsanalyser kan laddas ned från MSB:s webbplats: 18 Systematiskt Informationssäkerhetsarbete i kommuner

19 Modell för informationsklassificering Klassificering av information är en grundläggande aktivitet för att information och resurser ges nödvändigt skydd. Det är informationen som är skyddsobjektet, dvs. det som ska skyddas. MSB har tagit fram en modell för hur information kan klassificeras. I modellen klassificeras information utifrån de konsekvenser som oönskad påverkan på informationens kvalitet bedöms leda till. Konsekvenserna värderas i termer av oönskad påverkan på verksamheten eller annan part till följd av otillräcklig konfidentialitet, riktighet eller tillgänglighet. Dokumentet Modell för informationsklassificering kan laddas ned från Upphandling av IT-tjänster Statliga ramavtal Webbplatsen avropa.se tjänar som en portal för Statens inköpscentral vid Kammar kollegiet för att ge information om de upphandlingar av statliga ramavtal som genomförs av Statens inköpscentral. Webbplatsen ska vara ett verktyg för upphandlare och inköpare inom offentlig sektor i sitt arbete med att anskaffa varor och tjänster inom de områden som Statens inköpscentral upphandlar statliga ramavtal. Statliga myndigheter får avropa från de statliga ramavtalen, men kommuner och landsting har efter särskild anmälan möjlighet att utnyttja de ramavtal som Statens inköpscentral tecknar för information och telekommunikation. Hanteringen av fullmakt för kommun och landsting sker som tidigare via inbjudan inför respektive upphandling. Exempel på ramavtal med anknytning till informationssäkerhet är: E-förvaltningsstödjande tjänster 2010 Elektronisk identifiering (eid) 2008 VäGLEDNINGAR 19

20 IT-Driftstjänster IT-konsulttjänster För mer information se Statens inköpscentrals ramavtalsdatabas: Säkerhetsskyddad upphandling När en myndighet (staten, kommun eller landsting) avser att begära in ett anbud eller träffa avtal om upphandling där det förekommer hemliga uppgifter, ska myndigheten enligt 8 säkerhetsskyddslagen träffa ett skriftligt säkerhetsskyddsavtal med anbudsgivaren eller leverantören om det säkerhetsskydd som behövs i det särskilda fallet. Syftet med denna vägledning är att beskriva handläggningen av säkerhetsskyddsarbetet vid en säkerhetsskyddad upphandling. Den vänder sig i första hand till de myndigheter över vilka Säkerhetspolisen har ett tillsynsansvar. Säkerhetsskyddad upphandling en vägledning kan laddas ned från Säkerhetspolisens webbplats: Robust elektronisk kommunikation PTS har tagit fram en vägledning Robust elektronisk kommunikation vägledning för användare vid anskaffning som förbereder inför upphandling av elektronisk kommuni kation, till exempel telefoni eller internetanslutning. Vägledningen beskriver vad man bör känna till och tänka på när vid upphandling av olika typer av elektronisk kommunikation. Det gäller att kunna ställa rätt krav vid köpet, men också i den dagliga verksamheten, så att kommuni kationen blir säker och robust krav som utgår från verksamhetens behov och genomförd riskanalys. 20 Systematiskt Informationssäkerhetsarbete i kommuner

21 Vägledningen ska underlätta för personer på bl.a. kommuner som har ansvar för anskaffning och upprätthållande av elektronisk kommunikation. I vägledningen finns information om olika slags elektronisk kommunikation och hur den fungerar. Vägledningen tar upp frågor som t.ex. hur man tar reda på och bedömer risker för verksamheten för att på så vis kunna ange rätt krav vid upphandling och avtalstecknande. Robust elektronisk kommunikation vägledning för användare vid anskaffning har rapportnummer PTS-ER-2011:16 och finns att ladda ner från PTS webbplats på adressen Service Level Agreement mall för kommunalt it-stöd Ett SLA kan användas som kontrakt eller som prisöverenskommelse mellan två parter, men ännu viktigare som kommunikationsplattform för viktiga frågor kring informationssäkerhet. Det är den senare delen som denna SLA-mall fokuserar på. Denna mall består av ett ramverk med de olika delar som ett bra SLA bör innehålla. SLA-mallen kan användas som checklista för att uppdatera befintliga SLA och mallens struktur kan också användas som grundstruktur för att skriva nya SLA-avtal. Mallen finns för nedladdning på Informationssäkerhet.se. Molntjänster Cloud Sweden är Sveriges största oberoende kompetensnätverk kring frågor som rör Cloud Computing. Nätverket består av över 1900 intressenter som tar ett nationellt grepp kring frågorna och bygger upp ett kompetenscenter kring molnfrågor med rekommendationer baserat på kvalificerade analyser av ett flertal experter på området. Föreningen verkar för kvalitativ kompetens och samverkan över gränserna. Cloud Computing rör både teknik, affärer och juridik vilket gör det viktigt att samla kompetenser inom flera områden. VäGLEDNINGAR 21

22 Cloud Sweden:s olika arbetsgrupper har tagit fram ett antal dokument som kan vara till hjälp vid införandet av molntjänster. Materialet omfattar såväl tekniska, juridiska, affärsmässiga som säkerhetsmässiga aspekter och har validerats av flera experter på respektive område. Cloud Sweden har bland annat tagit fram en riktlinje benämnd Områden och problem att beakta inom informationssäkerhet och digitalt bevarande vid anskaffning och användning av molntjänster. Man har dessutom tagit fram riktlinjer kring olika delområden som t.ex. affärsnytta, juridik, infrastruktur samt integration. Alla riktlinjer kan laddas ned från Cloud Sweden:s webbplats: Säkerhet och personuppgiftslagen För alla som hanterar och bearbetar personuppgifter är det viktigt att säkerställa att personuppgifterna skyddas på ett bra sätt. Enligt personuppgiftslagen ska den som är personuppgiftsansvarig vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifterna. Till tekniska åtgärder räknas exempelvis brandväggar, krypteringsfunktioner och antivirus, medan organisatoriska åtgärder handlar om säkerhetsarbetets organisation, rutiner, instruktioner och policyer. Generellt gäller att ju känsligare personuppgifterna är eller ju fler personuppgifter som hanteras, desto mer omfattande bör säkerhetsåtgärderna vara. Vid sidan av lagar och förordningar samt de föreskrifter som Datainspektionen utarbetat, ger de även ut allmänna råd med rekommendationer i olika frågor. De allmänna råden är inte bindande men de är rekommendationer om hur de bindande kraven i lagarna kan uppnås. Mot denna bakgrund har Datainspektionen gett ut allmänna råd som preciserar personuppgiftslagens (1998:204) krav på säkerhet vid behandling av personuppgifter. 22 Systematiskt Informationssäkerhetsarbete i kommuner

23 Datainspektionen har även publicerat ett flertal vägledningar för hur säkerheten ska beaktas vid olika former av behandling av personuppgifter, t.ex. Säkerhet för personuppgifter i e-post, IT-säkerhet och myndigheters e-tjänster samt en skrift om molntjänster och personuppgiftslagen. Alla allmänna råd med rekommendationer samt övrigt informationsmaterial om säkerhet och behandling av personuppgifter finns att ladda ned från Datainspektionens webbplats: Hantering av information inom vård och omsorg Den viktigaste aspekten på informationshantering inom vård och omsorg är att tillgodose vård- och omsorgstagarens säkerhet och integritet. Vård- och omsorgs tagarens integritet stöds av åtgärder för att uppnå konfidentialitet i informationshanteringen. Åtgärder för att uppnå riktighet och tillgänglighet i informationen stöder målet att uppnå säkerhet, det vill säga att individen (vårdoch omsorgstagaren) inte ska skadas eller utsättas för felaktig hantering. Med rätt utgångspunkter och med stöd av strukturerad information, som den nationella informationsstrukturen beskriver, kan individens säkerhet och integritet tillgodoses. Socialstyrelsen har gett ut en rapport med titeln Informationssäkerhet Vägledning för hantering av information inom vård och omsorg. Denna rapport belyser viktiga områden och principer för informationssäkerhet. Rapporten vänder sig till dem som behöver få en bredare inblick i informationssäkerhetsområdet och vad som måste beaktas i samband med informationshantering inom vård och omsorg. Rapporten Informationssäkerhet Vägledning för hantering av information inom vård och omsorg kan laddas ned från Socialstyrelsens webbplats: VäGLEDNINGAR 23

24 Säkerhetsskydd Med säkerhetsskydd avses: 1. Skydd mot brott som kan hota rikets säkerhet 2. Skydd av hemliga uppgifter som rör rikets säkerhet 3. Skydd mot terrorism. Säkerhetsskydd innebär alltså att myndigheter och andra som säkerhetsskydds lagstiftningen gäller för ska vidta förebyggande åtgärder för att skydda mot brott som kan hota rikets säkerhet, såsom spioneri och sabotage. Hemliga uppgifter som rör rikets säkerhet ska också skyddas. Eftersom offentlighetsoch sekretesslagen inte ger anvisningar om hur hemliga uppgifter som rör rikets säkerhet ska hanteras, regleras detta i säkerhetsskyddslagstiftningen. Verksamhet som omfattas av säkerhetsskyddslagstiftningen ska ha det säkerhetsskydd som behövs med hänsyn till verksamhetens art, omfattning och övriga omständigheter. Skyddsvärda resurser ska regelbundet inventeras i en säkerhetsanalys, kopplade till hot, risk och sårbarhet. Säkerhetspolisen har publicerat en vägledning kring säkerhetsskydd. Syftet med denna vägledning är att den ska användas vid tillämpningen av säkerhetsskyddslagstiftningen. Den vänder sig i första hand till de myndigheter över vilka Säkerhetspolisen har ett tillsynsansvar. Olika personalkategorier vid myndig heterna kan ha nytta av att använda denna vägledning. Läsaren kan exempelvis vara säkerhetsskyddschef, handläggare eller IT-säkerhetsansvarig. Säkerhetsskydd en vägledning kan laddas ned från Säkerhetspolisens hemsida: Säkerhet i industriella styrsystem (SCADA) Datoriseringen av de system som förser samhället med bränsle, el, värme, vatten och transporter, sker i snabb takt. Olika it-system integreras så att verksamheter kan göras effektivare. Digitaliseringen underlättar också kommunikationen mellan system och användare. Industriella informations- och styrsystem, även kallade Supervisory, Control, and Data Acquisition (SCADA), har 24 Systematiskt Informationssäkerhetsarbete i kommuner

25 traditionellt sett varit fysiskt isolerade och byggt på specialutvecklad teknik. Gränserna mellan administrativa it-system och industriella styrsystem håller på att suddas ut i och med en ökad integrering mellan olika system. För att uppnå hög flexibilitet och effektivitet görs industriella styrsystem även i allt högre grad tillgängliga via internet och andra publika nätverk. Dagens industriella styrsystem bygger dessutom allt mer på tillgängliga standardprodukter och drabbas därmed av samma säkerhetsproblem som adminis trativa it-system. Resultatet av denna utveckling är en radikalt förändrad riskbild i samhället. Ett första steg i arbetet med att öka säkerheten i industriella styrsystem är att följa dessa grundläggande rekommendationer: Öka medvetenheten i hela organisationen om behovet av säkerhet i industriella styrsystem. Genomför grundläggande utbildning om säkerhet i industriella styrsystem. Håll industriella styrsystem separerade från administrativa it-system i så hög grad som möjligt. Ställ säkerhetskrav i all upphandling av industriella styrsystem och i serviceavtal. Vägledning till ökad säkerhet i industriella kontrollsystem kan laddas ned från MSB:s webbplats: Surfplattor och smarta telefoner Användandet av mobila enheter som till exempel surfplattor och smarta mobiltelefoner har ökat starkt de senaste åren och förutspås fortsätta att öka. Men det finns fortfarande en viss osäkerhet hur sådana enheter ska hanteras i organisationen och vilka säkerhetsåtgärder som bör vidtas. En vägledning för smarta telefoner, surfplattor och andra mobila enheter har publicerats av MSB. Vägledningen ska ge stöd till organisationer och dess anställda för säkrare hantering och användning av mobila enheter. VäGLEDNINGAR 25

26 Vägledningen innehåller tre verktyg för säkrare användning: stöd till att utforma organisationens policy på ett ändamålsenligt sätt hanteringsregler för användarna olika tekniska lösningar som kan implementeras för att öka säkerheten. Dokumentet Vägledning för smarta telefoner, surfplattor och andra mobila enheter kan laddas ned från MSB:s webbplats: IPv6 Många verksamheter i samhället blir allt mer beroende av att kommunicera via internet. Men nu håller internets adresser på att ta slut. Snart kommer det inte att finnas fler adresser att dela ut av IPv4, som är den adresserings-standard som används i dag. IPv6 är den senaste versionen av ip-adresser. Antalet IPv6- adresser är enormt mycket större än antalet IPv4-adresser. De olika standarderna IPv6 och IPv4 kan inte kommunicera med varandra. När IPv4-adresserna tar slut samtidigt som allt fler människor börjar använda inter net, så kommer det finnas användare som bara har IPv6-adresser. Att införa IPv6 vid sidan av IPv4 är därför en förutsättning för en organisation att behålla och förbättra sin förmåga att kommunicera via internet. Vid införande av IPv6 är det viktigt med ett ständigt säkerhets- och tillgänglighetsarbete. Tänk på att införa IPv6 på ett kontrollerat sätt och se till att driften av IPv6 sker med hög kvalitet. PTS har på regeringens uppdrag tagit fram en vägledning om hur en organisation kan införa IPv6. För att införa IPv6 bör man läsa hela PTS vägledning. Rapporten Att införa IPv6 internetprotokoll version 6 En praktisk vägledning med nummer PTS-ER-2011:18, kan laddas ned från PTS webbplats: 26 Systematiskt Informationssäkerhetsarbete i kommuner

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy inom Stockholms läns landsting LS 1112-1733 Informationssäkerhetspolicy inom Stockholms läns landsting 2013-02-01 Beslutad av landstingsfullmäktige 2013-03-19 2 (7) Innehållsförteckning 1 Inledning...3 2 Mål... 4 3 Omfattning... 4 4

Läs mer

Informations- och IT-säkerhet i kommunal verksamhet

Informations- och IT-säkerhet i kommunal verksamhet Informations- och IT-säkerhet i kommunal verksamhet En kommuns roll i trygghets och säkerhetsarbetet och var informations- och IT-säkerheten kommer in i detta Vad, vem och hur man kan arbeta med informations-

Läs mer

Juridik och informationssäkerhet

Juridik och informationssäkerhet 2 KAPITEL Juridik och informationssäkerhet Sammanfattning Information som hanteras i socialtjänstens hemtjänstverksamhet (hemtjänst) och i kommunal hälso- och sjukvård (hemsjukvård) innehåller känsliga

Läs mer

Myndigheten för samhällsskydd och beredskaps författningssamling

Myndigheten för samhällsskydd och beredskaps författningssamling Myndigheten för samhällsskydd och beredskaps författningssamling Utgivare: Key Hedström, Myndigheten för samhällsskydd och beredskap ISSN 2000-1886 MSBFS Utkom från trycket den 8 januari 2010 Myndigheten

Läs mer

Strategi för samhällets informationssäkerhet 2010 2015

Strategi för samhällets informationssäkerhet 2010 2015 Strategi för samhällets informationssäkerhet 2010 2015 Strategi för samhällets informationssäkerhet 2010 2015 1 Förord I dagens informationssamhälle bearbetar, lagrar, kommunicerar och mångfaldigar vi

Läs mer

Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm

Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm Vervas allmänna råd till föreskrift om statliga myndigheters arbete med säkert

Läs mer

Bilaga 3 till F:203. Säkerhet. Dnr 93-25-09 Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Bilaga 3 till F:203. Säkerhet. Dnr 93-25-09 Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet Bilaga 3 Säkerhet Säkerhet 2 (8) Innehållsförteckning Bilaga 3 Säkerhet 1 Allmänt 3 2 Säkerhet 4 2.1 Administrativa säkerhetskrav 4 2.1.1 Basnivå för informationssäkerhet 4 2.1.2 Uppföljning och kontroll

Läs mer

Välkommen till enkäten!

Välkommen till enkäten! Sida 1 av 12 Välkommen till enkäten! Enkäten går ut till samtliga statliga myndigheter, oavsett storlek. För att få ett så kvalitativt resultat av uppföljningen som möjligt är varje myndighets svar av

Läs mer

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr 93-25-09 Kommunikation som tjänst - A

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr 93-25-09 Kommunikation som tjänst - A 2 (8) Innehållsförteckning 1 Allmänt 3 2 4 2.1 Administrativa säkerhetskrav 4 2.2 Allmänna tekniska säkerhetskrav 7 3 (8) 1 Allmänt 4 (8) 2 Tele2 bedriver en verksamhet vars produktion till största delen

Läs mer

Myndigheten för samhällsskydd och beredskap MSB Informationssäkerhet

Myndigheten för samhällsskydd och beredskap MSB Informationssäkerhet Myndigheten för samhällsskydd och beredskap MSB Informationssäkerhet Richard Oehme Chef enheten för samhällets informationssäkerhet Internrevisionen Generaldirektör Överdirektör Kommunikationsdirektör

Läs mer

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Riktlinjer för säkerhetsarbetet vid Uppsala universitet Dnr UFV 2010/424 Riktlinjer för säkerhetsarbetet vid Uppsala universitet Fastställda av Universitetsdirektören 2010-03-31 Innehållsförteckning 1 Inledning 3 2 Ansvar 3 3 Underlåtelse 3 4 Definitioner 3

Läs mer

Underlag 2. Direktiv till två pågående utredningar som har bäring på informationssäkerhet. En modern säkerhetsskyddslag 1

Underlag 2. Direktiv till två pågående utredningar som har bäring på informationssäkerhet. En modern säkerhetsskyddslag 1 Underlag 2. Direktiv till två pågående utredningar som har bäring på informationssäkerhet Under denna gransknings gång har två pågående utredningar haft i uppdrag att hantera mer övergripande frågor som

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2009-07-15 1 (9) Informationssäkerhetspolicy Antagen av kommunfullmäktige den 2009-10-21, 110 Kommunstyrelseförvaltningen Postadress Besöksadress Telefon Telefax E-post Hemsida 462 85 Vänersborg Sundsgatan

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688 Revisionsrapport Malmö Högskola 205 06 Malmö Datum Dnr 2012-05-22 32-2011-0688 Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011 Riksrevisionen har som ett led

Läs mer

Informationssäkerhetspolicy för Nässjö kommun

Informationssäkerhetspolicy för Nässjö kommun Författningssamling Antagen av kommunfullmäktige: 2014-11-27 173 Informationssäkerhetspolicy för Nässjö kommun Innehåll 1 Inledning... 3 1.1 Begreppsförklaring... 3 2 Syfte... 4 3 Mål för Informationssäkerhetsarbetet...

Läs mer

Ny samverkan till stöd vid upphandling av kryptolösningar

Ny samverkan till stöd vid upphandling av kryptolösningar Försvarets Materielverk/CSEC 2005 Document ID ED-188 Issue 0.1 Ny samverkan till stöd vid upphandling av kryptolösningar Dag Ströman, Verksamhetschef, Sveriges Certifieringsorgan för IT-säkerhet vid FMV

Läs mer

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet Innehållsförteckning 1. Generell informationssäkerhet... 4 1.1. Styrande dokumentation... 4 1.2. Organisation... 4 Incidenthantering...

Läs mer

SOLLENTUNA FÖRFATTNINGSSAMLING 1

SOLLENTUNA FÖRFATTNINGSSAMLING 1 FÖRFATTNINGSSAMLING 1 IT-STRATEGI FÖR SOLLENTUNA KOMMUN Antagen av fullmäktige 2003-09-15, 109 Inledning Informationstekniken har utvecklats till en världsomspännande teknik som omfattar datorer, telefoni,

Läs mer

SÄKERHETSPOLICY FÖR KÖPINGS KOMMUN

SÄKERHETSPOLICY FÖR KÖPINGS KOMMUN Köping2000, v3.2, 2011-07-04 1 (8) Drätselkontoret Jan Häggkvist 0221-251 11 jan.haggkvist@koping.se SÄKERHETSPOLICY FÖR KÖPINGS KOMMUN 1. Målsättning Målsättning för säkerhetsarbetet är att ett säkerhetsarbete

Läs mer

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet Dnr 1-516/2013 (ersätter Dnr 6255-2012-060) Gäller från och med Informationsklass: K1R2T1 Bilaga 2. Ansvarsbeskrivningar

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2006-09-07 Informationssäkerhetspolicy Antagen av kommunfullmäktige 2006-09-28, 140 Innehåll 1 INLEDNING...3 2 MÅL FÖR INFORMATIONSSÄKERHETSARBETET...4 2.1 LÅNGSIKTIGA MÅL...4 2.2 ÅRLIGA MÅL...4 3 ORGANISATION,

Läs mer

IT-Policy för Tanums kommun. ver 1.0. Antagen av Kommunfullmäktige 2013-03-18

IT-Policy för Tanums kommun. ver 1.0. Antagen av Kommunfullmäktige 2013-03-18 IT-Policy för Tanums kommun ver 1.0 Antagen av Kommunfullmäktige 2013-03-18 1 Inledning Tanums kommuns övergripande styrdokument inom IT-området är IT-Policy för Tanums kommun. Policyn anger kommunens

Läs mer

Strategi Program Plan Policy» Riktlinjer Regler

Strategi Program Plan Policy» Riktlinjer Regler Strategi Program Plan Policy» Riktlinjer Regler Borås Stads Riktlinjer för IT Riktlinjer för IT 1 Fastställt av: Kommunstyrelsen Datum: 20 juni 2011 För revidering ansvarar: Kommunstyrelsen För ev uppföljning

Läs mer

I Central förvaltning Administrativ enhet

I Central förvaltning Administrativ enhet ., Landstinget II DALARNA I Central förvaltning Administrativ enhet ~llaga LS 117,4 BESLUTSUNDERLAG Landstingsstyrelsen Datum 2013-11-04 Sida 1 (3) Dnr LD13/02242 Uppdnr 652 2013-10-21 Landstingsstyrelsens

Läs mer

Molntjänster och utkontraktering av kritisk verksamhet lagar och regler. Alireza Hafezi

Molntjänster och utkontraktering av kritisk verksamhet lagar och regler. Alireza Hafezi Molntjänster och utkontraktering av kritisk verksamhet lagar och regler Alireza Hafezi Säkerhetsskydd?! 2 Säkerhetsskyddslagen, 6 : Med säkerhetsskydd avses: > skydd mot spioneri, sabotage och andra brott

Läs mer

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) INFORMATIONSSÄKERHETSPOLICY Innehållsförteckning Sida 1.1 Informationssäkerhet 1 1.2 Skyddsområden 1 1.3 Övergripande mål 2 1.4 Årliga mål 2 1.5 Organisation

Läs mer

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet 2008:490 kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet Fastställt av kommunfullmäktige 2008-10-02 302 komplettering gjord

Läs mer

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete 2014 En bild av myndigheternas informationssäkerhet 2014 tillämpning av MSB:s föreskrifter Enkätundersökning februari 2014 Utskick

Läs mer

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet RIKTLINJER Riktlinjer för styrning av IT-verksamhet RIKTLINJER 2 Riktlinjer för styrning av IT-verksamhet. 1 Inledning Håbo kommuns övergripande styrdokument inom IT är IT-policy för Håbo kommun. Riktlinjer

Läs mer

IT-strategi-Danderyds kommun 2010-2014

IT-strategi-Danderyds kommun 2010-2014 IT-strategi-Danderyds kommun 2010-2014 Beslutsinstans: Kommunfullmäktige Beslutsdatum: 2010-09-27 Giltighetstid: 2010-09-27 t o m 2014-12-31 Ansvarig nämnd: Kommunstyrelsen Diarienummer: KS 2010/0095 IT-strategi

Läs mer

Digital strategi för Uppsala kommun 2014-2017

Digital strategi för Uppsala kommun 2014-2017 KOMMUNLEDNINGSKONTORET Handläggare Datum Diarienummer Sara Duvner 2014-04-23 KSN-2014-0324 Digital strategi för Uppsala kommun 2014-2017 - Beslutad av kommunstyrelsen 9 april 2014 Postadress: Uppsala kommun,

Läs mer

Yttrande över Informations- och cybersäkerhet i Sverige Strategi och åtgärder för säker information i staten (SOU 2015:23)

Yttrande över Informations- och cybersäkerhet i Sverige Strategi och åtgärder för säker information i staten (SOU 2015:23) REMISSVAR DNR: 5.1.1-2015- 0781 Justitiedepartementet 103 33 Stockholm Yttrande över Informations- och cybersäkerhet i Sverige Strategi och åtgärder för säker information i staten (SOU 2015:23) Riksrevisionen

Läs mer

EBITS 2013. Elförsörjningen i Cyberkriget. Långholmen. 13-14 november 2013 EBITS. Arbetsgruppen för Energibranschens Informationssäkerhet

EBITS 2013. Elförsörjningen i Cyberkriget. Långholmen. 13-14 november 2013 EBITS. Arbetsgruppen för Energibranschens Informationssäkerhet EBITS 2013 Elförsörjningen i Cyberkriget Långholmen 13-14 november 2013 EBITS Arbetsgruppen för Energibranschens Informationssäkerhet Program EBITS 13-14 november 2013 Onsdag 13 november (Konferensvärd,

Läs mer

Kravställning på e-arkiv från informationssäkerhetsperspektiv

Kravställning på e-arkiv från informationssäkerhetsperspektiv Kravställning på e-arkiv från informationssäkerhetsperspektiv Författare: Delprojektgruppen informationssäkerhet Årtal: 2014 Författare: Delprojektgruppen informationssäkerhet Sammanfattning Inom ramen

Läs mer

Ivar Rönnbäck Avdelningschef. Avdelningen för utbildning, övning och beredskap

Ivar Rönnbäck Avdelningschef. Avdelningen för utbildning, övning och beredskap Ivar Rönnbäck Avdelningschef Avdelningen för utbildning, övning och beredskap Ett år med MSB Varför MSB? Att bilda en ny myndighet Vad blev nytt? Var står vi nu? MSB vision och verksamhetsidé Vision Ett

Läs mer

Remissvar till Ju2015/2650/SSK, betänkandet SOU 2015:23 Informations- och cybersäkerhet i Sverige Strategi och åtgärder för säker information i staten

Remissvar till Ju2015/2650/SSK, betänkandet SOU 2015:23 Informations- och cybersäkerhet i Sverige Strategi och åtgärder för säker information i staten REMISSVAR Hanteringsklass: Öppen 2015-09-14 1 (6) Dnr 2015/633 Justitiedepartementet Enheten för samordning av samhällets krisberedskap 103 33 Stockholm Kopia: Fritzes kundservice 106 47 Stockholm Remissvar

Läs mer

Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret

Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret Antagen av Kommunfullmäktige 2009-04-23 57 1. Allmänt... 3 1.1 Inledning... 3 1.2 Begreppet informationssäkerhet

Läs mer

Regler och instruktioner för verksamheten

Regler och instruktioner för verksamheten Informationssäkerhet Regler och instruktioner för verksamheten Dokumenttyp Regler och instruktioner Dokumentägare Kommungemensam ITsamordning Dokumentnamn Regler och instruktioner för verksamheten Dokumentansvarig

Läs mer

Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK)

Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK) Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK) 1. Allmänt Dessa Allmänna villkor reglerar Socialnämndens anslutning till Sammansatt Bastjänst

Läs mer

Syfte - att stödja och utveckla myndigheternas arbete med risk- och sårbarhetsanalyser

Syfte - att stödja och utveckla myndigheternas arbete med risk- och sårbarhetsanalyser Konferens om risk- och sårbarhetsanalyser 2014 Syfte - att stödja och utveckla myndigheternas arbete med risk- och sårbarhetsanalyser Mette Lindahl Olsson Chef på enheten för skydd av samhällsviktig verksamhet

Läs mer

Riktlinjer informationssäkerhet

Riktlinjer informationssäkerhet informationssäkerhet Norrbottens läns landstings riktlinjer för informationssäkerhet beskriver hur hanteringen av information ska ske. All information omfattas oberoende av mediatyp. Styrande dokument

Läs mer

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad: 2013-10-23

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad: 2013-10-23 Informationssäkerhet vid Karolinska Universitetssjukhuset Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad: 2013-10-23 Förlorar vi informationen, om den är felaktig eller manipulerad

Läs mer

Inbjudan till dialog avseende drift och kundstöd

Inbjudan till dialog avseende drift och kundstöd samhällsskydd och beredskap 1 (5) Myndigheten för samhällsskydd och beredskap 651 81 KARLSTAD Telefonväxel: 0771-240 240 E-post: registrator@msb.se Inbjudan till dialog avseende drift och kundstöd Inledning

Läs mer

Säkerhetspolicy för Kristianstad kommun

Säkerhetspolicy för Kristianstad kommun 2007 POLICY OCH RIKTLINJER FÖR SÄKERHETSARBETE Fastställt av kommunstyrelsen 2007-11-21 267. Säkerhetspolicy för Kristianstad kommun Syfte Kristianstads kommun har ett ansvar att upprätthålla sina verksamheter

Läs mer

Organisation för samordning av informationssäkerhet IT (0:1:0)

Organisation för samordning av informationssäkerhet IT (0:1:0) Organisation för samordning av informationssäkerhet IT (0:1:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd: Direktionen 20130926 Dnr: 0036/13 Kommunalförbundet ITSAM,

Läs mer

Några myndigheters rapportering om informationssäkerhet i årsredovisningen INFORMATIONSSÄKERHETEN ÄR TILLRÄCKLIG

Några myndigheters rapportering om informationssäkerhet i årsredovisningen INFORMATIONSSÄKERHETEN ÄR TILLRÄCKLIG Underlag 1. Några myndigheters rapportering om informationssäkerhet i årsredovisningen Årsredovisningar år 2009 Läkemedelsverket Ledningssystemet för informationssäkerhet SS-ISO/IEC 27001:2006 är under

Läs mer

Utforma säkerhetsprocesser

Utforma säkerhetsprocesser Utforma säkerhetsprocesser www.informationssäkerhet.se 2 Upphovsrätt Tillåtelse ges att kopiera, distribuera, överföra samt skapa egna bearbetningar av detta dokument, även för kommersiellt bruk. Upphovsmannen

Läs mer

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhetspolicy IT (0:0:0) Informationssäkerhetspolicy IT (0:0:0) Antagen av kommunfullmäktige 2014-02-24, KF 29 Informationssäkerhetspolicy IT (0:0:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd:

Läs mer

Gemensamma grunder för samverkan och ledning vid samhällsstörningar. - Strategisk plan för implementering

Gemensamma grunder för samverkan och ledning vid samhällsstörningar. - Strategisk plan för implementering Myndigheten för samhällsskydd och beredskap Strategisk plan 1 (6) Datum 20141125 Diarienr 2012-1845 version 1.1 Projekt Ledning och samverkan Enheten för samverkan och ledning Bengt Källberg Patrik Hjulström

Läs mer

Säkerhetsskyddsplan för Piteå kommun

Säkerhetsskyddsplan för Piteå kommun Säkerhetsskyddsplan för Piteå kommun Dokumentnamn Dokumenttyp Fastställd/upprättad Beslutsinstans Säkerhetsskyddsplan för Piteå kommun Plan/Program 2013-11-18, 190 Kommunfullmäktige Dokumentansvarig/processägare

Läs mer

Informationssäkerhet, Linköpings kommun

Informationssäkerhet, Linköpings kommun 1 (6) E-Lin projektet 2013-10-28 Informationssäkerhet, Linköpings kommun Delrapport 2 Innehåll Dokumenthistorik... 3 1. Syfte... 3 2. Bakgrund... 3 2.1 Målgrupp... 3 3. Frågeställningar... 3 4. Undersökning...

Läs mer

Använd molntjänster på rätt sätt

Använd molntjänster på rätt sätt 2013-02-13 E-samhället i praktiken Använd molntjänster på rätt sätt Molntjänster kan spara pengar och göra information mer tillgänglig för kommuner och landsting. Den viktigaste bedömningen vid val av

Läs mer

Outsourcing av it-tjänster i kommuner

Outsourcing av it-tjänster i kommuner Outsourcing av it-tjänster i kommuner Publikationsnummer MSB728 Augusti 2014 2 3 Innehållsförteckning 1. Inledning... 4 1.1 Bakgrund... 4 1.2 Informationssäkerhet och upphandling av it-relaterade tjänster.

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om it-system, informationssäkerhet och insättningssystem;

Läs mer

Internetdagarna 2003-10-07--08. Staffan Karlsson. Informationssäkerhetsenheten. Enhetschef

Internetdagarna 2003-10-07--08. Staffan Karlsson. Informationssäkerhetsenheten. Enhetschef Internetdagarna 2003-10-07--08 Staffan Karlsson Enhetschef Informationssäkerhetsenheten Bakgrund Sårbarhets- och säkerhetsutredningen 2001 Fortsatt förnyelse av totalförsvaret Prop. 2001/02:10 Samhällets

Läs mer

Försvarsdepartementet

Försvarsdepartementet Ds 2006:1 En strategi för Sveriges säkerhet Försvarsberedningens förslag till reformer REGERINGENS PROPOSITION 2005/06:133 Samverkan vid kris - för ett säkrare samhälle Säkerhetsstrategin Arbetet bör bedrivas

Läs mer

Rätt information på rätt plats och i rätt tid (SOU 2014:23) remissvar

Rätt information på rätt plats och i rätt tid (SOU 2014:23) remissvar SOCIAL- OCH ÄLDREOMSORGSFÖRVALTNINGEN 2 september 2014 SN-2014/2986.145 1 (7) HANDLÄGGARE Christina Ring 08-535 378 15 christina.ring@huddinge.se Socialnämnden Rätt information på rätt plats och i rätt

Läs mer

2012-12-12 Dnr 074-11-19

2012-12-12 Dnr 074-11-19 HÖGSKOLAN I BORÅS STYRDOKUMENT 2012-12-12 Dnr 074-11-19 Regler för informationssäkerhet Regler för informationssäkerhet är beslutade av enhetschefen för i enlighet med Högskolans säkerhetspolicy (dnr 288-11-101)

Läs mer

Ledningssystem för IT-tjänster

Ledningssystem för IT-tjänster Styrning och ledning av IT med stöd av internationella standarder Ledningssystem för IT-tjänster sixten.bjorklund@sipit.se 2013-11-05 Sip It AB, Sixten Björklund 1 Kort om Sixten Konsult i eget bolag Ledning

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datum Diarienr 2011-12-12 757-2011 Socialnämnden Lunds Kommun 221 00 Lund Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datainspektionens beslut Datainspektionen

Läs mer

Plan för informationssäkerhet vid Högskolan Dalarna 2015

Plan för informationssäkerhet vid Högskolan Dalarna 2015 Plan för informationssäkerhet vid Högskolan Dalarna 2015 Beslut: 2015-05-04 Reviderad: Dnr: DUC 2015/769/10 Ersätter: Relaterade dokument: Policy för informationssäkerhet Ansvarig: Förvaltningschef Innehållsförteckning

Läs mer

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och beredskap föreskriver. I dokumentet kommer fortsättningsvis

Läs mer

Frågeställningar inför workshop Nationell strategi för skydd av samhällsviktig verksamhet den 28 oktober 2010

Frågeställningar inför workshop Nationell strategi för skydd av samhällsviktig verksamhet den 28 oktober 2010 samhällsskydd och beredskap 1 (8) Ert datum Er referens Avdelningen för risk- och sårbarhetsreducerande arbete Enheten för skydd av samhällsviktig verksamhet Michael Lindstedt 010-2405242 michael.lindstedt@msb.se

Läs mer

Sitic. Informationssäkerhetspolicy. Om detta dokument. Förebyggande Råd från Sveriges IT-incidentcentrum. Om Förebyggande Råd från Sitic

Sitic. Informationssäkerhetspolicy. Om detta dokument. Förebyggande Råd från Sveriges IT-incidentcentrum. Om Förebyggande Råd från Sitic Sitic Sveriges IT-incidentcentrum FR04-01 Informationssäkerhetspolicy Förebyggande Råd från Sveriges IT-incidentcentrum Om Förebyggande Råd från Sitic Bakgrund I uppdraget för Sveriges IT-incidentcentrum

Läs mer

REMISSVAR 1 (12) Rättsenheten 2015-09-14 2015-10768-2 Sven Johnard. Mottagare

REMISSVAR 1 (12) Rättsenheten 2015-09-14 2015-10768-2 Sven Johnard. Mottagare 0 HEMLIG REMISSVAR 1 (12) Rättsenheten Sven Johnard Mottagare Verksjurist Justitiedepartementet 103 33 Stockholm Remissvar: Betänkandet SOU 2015:23 Informationsoch cybersäkerhet Sverige - Strategi och

Läs mer

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation Presentation Informationssäkerhet Kim Strandberg Informationssäkerhetsstrateg/jurist kim.strandberg@regionostergotland.se 010-103 03 385 Region Informationssäkerhet, Östergötland 2015-03-11, Kim Strandberg

Läs mer

Varför ska min organisation införa IPv6 och hur kan vi gå till väga

Varför ska min organisation införa IPv6 och hur kan vi gå till väga Varför ska min organisation införa IPv6 och hur kan vi gå till väga Kommits vårkonferens, 25 april 2013 Erika Hersaeus Post- och telestyrelsen Innehåll Bakgrund Kort om varför behövs adresser på internet?

Läs mer

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ 2006-01-31. Agenda

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ 2006-01-31. Agenda IT governance i praktiken: Styrning och kontroll över ITriskerna med ISO2700X Fredrik Björck Transcendent Group för ADBJ 2006-01-31 Agenda IT governance definierat IT governance i praktiken och infosäk

Läs mer

Vägledning om molntjänster i skolan

Vägledning om molntjänster i skolan 2013-11-xx 1 E-samhället i praktiken Vägledning om molntjänster i skolan För att en skolnämnd i en kommun ska kunna bedöma om de molntjänster som man vill använda inom skolan stämmer överens med kraven

Läs mer

Policy och strategi för informationssäkerhet

Policy och strategi för informationssäkerhet Styrdokument Dokumenttyp: Policy och strategi Beslutat av: Kommunfullmäktige Fastställelsedatum: 2014-10-23, 20 Ansvarig: Kanslichefen Revideras: Vart 4:e år eller vid behov Följas upp: Vartannat år Policy

Läs mer

Årsplan för säkerhetsarbetet 2015

Årsplan för säkerhetsarbetet 2015 Årsplan för säkerhetsarbetet 2015 Dokumentnamn Dokumenttyp Fastställd/upprättad Beslutsinstans Årsplan för säkerhetsarbetet Plan/Program Kommunstyrelsen Dokumentansvarig/processägare Version Senast reviderad

Läs mer

IT-säkerhetsinstruktion Förvaltning

IT-säkerhetsinstruktion Förvaltning IT-säkerhetsinstruktion Förvaltning 2013-09-24 1.0 IT- S Ä K E R H E T S I N S T R U K T I O N IT-säkerhetsinstruktion Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om informationssäkerhet, it-verksamhet och insättningssystem;

Läs mer

Upphandlingssystem och IT-säkerhet. Britta Johansson Sentensia

Upphandlingssystem och IT-säkerhet. Britta Johansson Sentensia Upphandlingssystem och IT-säkerhet Britta Johansson Sentensia 1 Säkerhetsfrågor i fokus dagligen 2 IT-säkerhet i upphandlingssystem Deltagare presenterar sig för varandra Myndighet Erfarenhet av elektronisk

Läs mer

Granskning av informationssäkerhet

Granskning av informationssäkerhet 1(1) DNR: SLU ua 2014.1.1.2-841 Exp. den: 2014-06- Styrelsen BESLUT 2014-06-17 Sändlista Granskning av informationssäkerhet Styrelsen beslutar: att fastställa internrevisionens rapport Informationssäkerhet,

Läs mer

SAMSET dagsläget sommaren 2003

SAMSET dagsläget sommaren 2003 SAMSET dagsläget sommaren 2003 Behovet av elektronisk identifiering och underskrifter Medborgarna och företag ett har stort behov av att kunna ta kontakt med myndigheter snabbt och enkelt. Med Internet

Läs mer

Leanlink Ao LKDATA. Teknik spåret. Föreläsare: Michael Lööw, Linköpings Kommun Michael.Loow@linkoping.se

Leanlink Ao LKDATA. Teknik spåret. Föreläsare: Michael Lööw, Linköpings Kommun Michael.Loow@linkoping.se Samverka effektivare via regiongemensam katalog Teknik spåret Föreläsare: Michael Lööw, Linköpings Kommun Michael.Loow@linkoping.se 1 Ännu inget genombrott för e-legitimation Moment 22 Inte intressant

Läs mer

MSB roll och uppgift i stort och inom informationssäkerhet

MSB roll och uppgift i stort och inom informationssäkerhet MSB roll och uppgift i stort och inom informationssäkerhet Information för EKO på Södertuna slott den 24 maj 2012 Michael Patrickson Kort om MSB Vi är cirka 850 anställda Vi finns i Karlstad, Kristinehamn,

Läs mer

Säkerhetspolicy för Tibro kommun

Säkerhetspolicy för Tibro kommun Datum Beteckning 2010-07-29 2010-000262.16 Säkerhetspolicy för Tibro kommun Antagen av kommunfullmäktige 2010-09-27 46 Tibro kommun Kommunledningskontoret Postadress 543 80 TIBRO Besöksadress Centrumgatan

Läs mer

Räkna med risk! Anne-Marie Eklund Löwinder Säkerhetschef,.SE amel@lowinder.se @amelsec https://www.iis.se

Räkna med risk! Anne-Marie Eklund Löwinder Säkerhetschef,.SE amel@lowinder.se @amelsec https://www.iis.se Räkna med risk! Anne-Marie Eklund Löwinder Säkerhetschef,.SE amel@lowinder.se @amelsec https://www.iis.se Det här är.se Stiftelsen för Internetinfrastruktur grundades 1997. Verka för positiv utveckling

Läs mer

Säkerhetspolicy för Ulricehamns kommun Antagen av Kommunstyrelsen 2012-06-04, 164

Säkerhetspolicy för Ulricehamns kommun Antagen av Kommunstyrelsen 2012-06-04, 164 120417 Säkerhetspolicy för Ulricehamns kommun Antagen av Kommunstyrelsen 2012-06-04, 164 1. Bakgrund Kommunstyrelsen har det övergripande ansvaret för det kommunala säkerhetsarbetet. En säkerhets- och

Läs mer

Varför och hur införa IPv6 och DNSSEC?

Varför och hur införa IPv6 och DNSSEC? Varför och hur införa IPv6 och DNSSEC? SSNF:s Årskonferens den 22 mars 2012 Linköping Erika Hersaeus Nätsäkerhetsavdelningen Post- och telestyrelsen Post- och telestyrelsen Agenda Vad är IPv6? Varför IPv6?

Läs mer

Säkerhet i fokus. Säkerhet i fokus

Säkerhet i fokus. Säkerhet i fokus Säkerhet i fokus Säkerhet i fokus Säkerhet är en av våra viktigaste frågor. Våra hyresgäster bedriver en daglig verksamhet i allt från kriminalvårds anstalter och domstolsbyggnader till speciella vårdhem

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datum Diarienr 2013-05-08 1552-2012 Socialnämnden i Norrköpings kommun Rådhuset 601 81 Norrköping Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datainspektionens

Läs mer

Policy för informationssäkerhet

Policy för informationssäkerhet .. - T C Q o,.. e Policy för informationssäkerhet Landstingsdirektörens stab augusti 2015 CJiflt LANDSTINGET BLEKINGE Innehållsförteckning Inledning och bakgrund... 3 Syfte... 3 Mål... 3 Genomförande...

Läs mer

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 3 RIKTLINJER FÖR ATT UPPNÅ MÅLEN... 3 3.1 ALLMÄNT... 3 3.2 LEDNING OCH ANSVAR FÖR IT-SÄKERHET... 3 3.2.1 Systemägare... 3 3.2.2

Läs mer

Har$ni$koll$på$läget? $

Har$ni$koll$på$läget? $ VAMässan 19September2012 Har ni koll på läget? - en introduktion till Svenskt Vattens checklista för självutvärdering av säkerhetsarbetet med fokus på SCADA VAMässan Göteborgden19september2012 DrErikJohansson(MD)

Läs mer

Att hantera överbelastningsattacker 1

Att hantera överbelastningsattacker 1 Att hantera överbelastningsattacker Att hantera överbelastningsattacker 1 Att hantera överbelastningsattacker Myndigheten för samhällsskydd och beredskap (MSB) Layout: Advant Produktionsbyrå AB Tryck:

Läs mer

Bilaga 1. Definitioner

Bilaga 1. Definitioner 1 (6) Bilaga 1 Definitioner 2 (6) Definitioner inom Ramavtal e-förvaltningsstödjande tjänster Definitionerna gäller även för Leveransavtal under detta Ramavtal. Anbudsgivare Användare Användbarhet Applikation

Läs mer

Revidering av riktlinjer för Informationssäkerhet vid Högskolan i Skövde

Revidering av riktlinjer för Informationssäkerhet vid Högskolan i Skövde Högskoledirektör Beslut 2015-03-01 Dnr Revidering av riktlinjer för Informationssäkerhet vid Högskolan i Skövde Härmed fastställs reviderad version av informationssäkerhetspolicyn vid Högskolan i Skövde.

Läs mer

1. Bakgrund. 2. Parter. 3. Definitioner

1. Bakgrund. 2. Parter. 3. Definitioner Personuppgiftsbiträdesavtal samt fullmakt för såväl direktansluten vårdgivare som Inera AB att teckna personuppgiftsbiträdesavtal enligt 30-31 Personuppgiftslagen (1998:204) Modellavtal 2 riktar sig till

Läs mer

Säkrare kommunikation för alla

Säkrare kommunikation för alla Säkrare kommunikation för alla 2 Säkrare kommunikation för alla Vi använder allt mer elektronisk kommunikation. Med hjälp av telefoner och datorer håller vi kontakten med våra vänner, tar del av vad som

Läs mer

SIS tre produktområden

SIS tre produktområden SIS tre produktområden Standardisering SIS, Swedish Standards Institue En kund till SIS kan: påverka standarders inriktning och innehåll få tillgång till och kunskap om standarder och deras tillämpning

Läs mer

BILAGA 3 Tillitsramverk Version: 1.3

BILAGA 3 Tillitsramverk Version: 1.3 BILAGA 3 Tillitsramverk Version: 1.3 Innehåll Allmänt... 2 A. Generella krav... 2 Övergripande krav på verksamheten... 2 Säkerhetsarbete... 3 Granskning och uppföljning... 3 Kryptografisk säkerhet... 3

Läs mer

Fortsatt utveckling under 2012

Fortsatt utveckling under 2012 Nyhetsbrev - Statens inköpscentral mars 2012 Statens inköpscentral ingår samordnade ramavtal avseende varor och tjänster som myndigheter upphandlar ofta, i stor omfattning eller som uppgår till stora värden.

Läs mer

Metoder för att öka informationssäkerheten. och därmed minska säkerhetsriskerna

Metoder för att öka informationssäkerheten. och därmed minska säkerhetsriskerna Metoder för att öka informationssäkerheten och därmed minska säkerhetsriskerna Mål Att utifrån en riskanalys identifiera förbättringsåtgärder som ökar säkerheten i verksamheten kunna välja lämpliga åtgärder

Läs mer

Att undervisa om informationssäkerhet. ett stöd till dig som lärare

Att undervisa om informationssäkerhet. ett stöd till dig som lärare Att undervisa om informationssäkerhet ett stöd till dig som lärare Att undervisa om informationssäkerhet ett stöd till dig som lärare Utgiven av: Myndigheten för samhällsskydd och beredskap (MSB) Vid frågor

Läs mer

Skolorna visar brister i att hantera personuppgifter

Skolorna visar brister i att hantera personuppgifter Skolorna visar brister i att hantera personuppgifter www.datainspektionen.se Checklista för skolor Personuppgiftslagen (PuL) innehåller en rad bestämmelser som är viktiga att känna till för skolor som

Läs mer