Informationsklassning - Vad är viktigt för att lyckas. Aleksandra Palmqvist Informationssäkerhetsansvarig

Transkript

1 Informationsklassning - Vad är viktigt för att lyckas Aleksandra Palmqvist Informationssäkerhetsansvarig

2 Fora är ett servicebolag som erbjuder administrativa lösningar för kollektivavtalade försäkringar, avgifter för parter på arbetsmarknaden samt tjänstepensionsval för anställda. Registerhållning Basen för Foras verksamhet är ett register som innehåller information om - drygt 200 tusen aktiva företag - drygt 400 tusen vilande försäkringsavtal - ca 3 miljoner individer. Informationen hämtas in, registreras, lagras och underhålls. Vissa uppgifter ska tillhandahållas i 70 år. Pensionsvalhantering och informationstjänster Fora hanterar tjänstepensionsval för anställda, förmedlar information om tjänstepensioner och försäkringar till våra kunder samt förser uppdragsgivare (ett 40- tal) med rapporter. Fakturerings- och betalningstjänster Fora fakturerar utifrån uppgifter i registret och förmedlar betalning mellan parter (även inkassotjänster ingår). Årligen förmedlar Fora 24 miljarder kr.

3

4 1. Ledningens engagemang 2. God förankring i organisationen

5 Sammanhang och flöde Informationsägaren ansvarar för att klassning utförs. Arbetet delegeras normalt till lämplig medarbetare Klassningen genomförs av den som Informationsägaren utsett. Resultatet överlämnas till Informationsägaren Informationsägaren överlämnar resultatet av utförd klassning som krav till de som utformar stödmiljön, ex.vis IT. Stödmiljön utformas för att möta kraven från genomförd klassning Användarna hanterar informationen i enlighet med klassningen och i en miljö som möter dessa krav

6 1. Ledningens engagemang 2. God förankring i organisationen 3. Tydligt ansvar

7 Infomationsägare Komponent Informationsägare på områdesnivå Primärbrukare av informationen Komponent ansvarig Informations/Komponentbeskrivning Pappersarkiv Ekonomihandl. Ekonomi Ekonomi Ej relevant Räkenskapshandlingar i pappers form. SAP R/3 Ekonomi Ekonomi IT Affärsinformation och systemkonfiguration. SAP Ekonomimodul. Personec ESS HR HR IT Personalrelaterad information.självservice på Porten. Personec webbaccess HR HR IT Personalrelaterad information. Arkiverade löneuppgifter. Timecon HR Internservice Niscayah Behörighetsinformation och systemkonfiguration. Styrning av passerkortsläsare, passerkontroll. TIM IT Behörighetsadministr atörer IT Innehåller ej information. Tivoli Identity Manager, paraplyverkltyg för att från ett ställe hantera behörigheter i AD och SAP CUA. Active Directory- FOKUS IT Behörighetsadministr atörer IT Behörighetsinformation. Användar- och behörighetsdatabas av Foras samtliga anställda och konsulter. HW Kylanläggning IT Drift IT Innehåller ej information. Anläggning för kylning av datahall plan 7 och plan 3. HW Net IT Drift IT Innehåller ej information. Fysiska nätverket, switchar och kablage. HW - SAN FOKUS HW - Server FOKUS IT Drift Hardware Bas IT Lagringsyta för data. Storage Area Network. IT Drift Hardware Bas IT Lagringsyta för data. Fysisk hårdvara för Intel och IBM servrar. HW UPS IT Drift Hardware Bas IT Innehåller ej information. Uninteruptable Power Supply, batterier för ev. strömbortfall och strömspikar. Brandväggar IT Drift Software Bas IT Systemkonfiguration. Brandväggar styr åtkomst mellan klient-, produktions- & Test och Utvecklingsnät, DMZ till och från Internet. Internetkoppling IT Drift Software Bas IT Innehåller ej information. Koppling till Internet för samtliga datorer och servrar på Foras nätverk. MS-Office IT Drift Software Bas IT Systemkonfiguration. Officepaketet, Word, Excel, Powerpoint samt

8 1. Ledningens engagemang 2. God förankring i organisationen 3. Tydligt ansvar 4. Styrande riktlinjer

9 Riktlinjer bör vara beslutade av ledningen och styra:

10 Informationsklassificeringsmall Nivå Sekretess Tillgänglighet Riktighet Spårbarhet 1 Ej Verksamhets kritisk Information som är avsedd för allmänheten, är att betrakta som offentlig handling eller som kan komma till allmänhetens kännedom utan att någon person eller organisation lider skada. Information som, på grund av otillräcklig tillgänglighet, bedöms innebära ingen eller en liten negativ effekt Information som, på grund av otillräcklig riktighet, bedöms innebära en lindrig eller måttlig negativ effekt Brister i spårbarheten bedöms innebära en lindrig eller måttlig negativ effekt 2 Viktig Information som endast är avsedd för anställd och inhyrd personal vid Fora AB samt för behöriga externa intressenter. Information som, på grund av otillräcklig tillgänglighet, bedöms innebära en negativ eller betydande negativ effek Information som, på grund av otillräcklig riktighet, bedöms innebära en betydande negativ effekt Brister i spårbarheten bedöms innebära en betydande negativ effekt 3 Verksamhets kritisk Information som endast är avsedd för vissa medarbetare vid Fora AB och i undantagsfall för behöriga externa intressenter. Information som, på grund av otillräcklig tillgänglighet, bedöms innebära en allvarlig eller mycket allvarlig negativ effekt Information som, på grund av otillräcklig riktighet, bedöms innebära en allvarlig eller mycket negativ effekt Brister i spårbarhet bedöms innebära en mycket allvarlig negativ effekt..och gallringsklasser

11 Gallringsklass 1 Gallras vid inaktualitet 2 Informationen ska gallras efter 5 år Innebörd, exempel Information av ringa betydelse som inte kräver arkivering. Informationen gallras när den inte längre behövs, t.ex. Testdata Gammal version av ett dokument som inte längre behövs då den helt ersatts av en ny version och det inte finns uttalade arkiveringskrav. Rutinmässig information till kund eller annan information av ringa betydelse arkiveras för kundtjänstens behov, t.ex.: Påminnelser eller begäran om komplettering Pappersorginal som scannats in och där den elektroniska versionen utgör arkivexemplaret. 3 Informationen ska gallras efter 10 år Information till kund, t.ex.: Informationsbrev om att Fora mottagit underlag från kund och att ärendet är under handläggning Pensionsbesked Annat, t.ex: Intern bokföringsinformation 4 Informationen ska gallras efter 70 år Försäkrings- och pensionsinformation på individnivå, t.ex.: Registeruppgifter Försäkringsinformation på företagsnivå, t.ex.: Registeruppgifter 5 Informationen ska bevaras Information av historiskt eller forskningsvärde, t.ex.: Kollektivavtal

12 1. Ledningens engagemang 2. God förankring i organisationen 3. Tydligt ansvar 4. Styrande riktlinjer 5. Behovsanpassad vägledning

13

14 1. Ledningens engagemang 2. God förankring i organisationen 3. Tydligt ansvar 4. Styrande riktlinjer 5. Behovsanpassad vägledning 6. Effektiva verktyg

15

16

17 Översikt externa gränssnitt från SAP TRR I77 I70 Förbundsrapportering Collectum AFA GIM I237 STINS-fil Individfråga Avtalsfråga Företagsfråga Avtal och ärenden Affärspartnerda ta Premiebefrielse Premiebefrielse återrapport iipax WebSphere SAP XI I283 I273 I7 I282 I272 I6 I271 I603 I502 I505 I102 I135 I501 I504 I506 I602 I161 iipax iipax I102--I120 I259, I262, I265 Fakturaunderlag PBF FTP Byta PNR FTP Val bolag FTP Återbetalningsgkydd Val SFF FTP Premieöverföring FTP Premieöverföring ASL Kapitalflytt FTP Värdebeskedsuppgifter Felfil Värdebeskedsuppgifter Skandia Banker och Försäkringsbolag Astra Zeneka Carrena Netline Arbetsgivarna Infoscandic, TietoEnator, WM-data, Vovlo, BGC Infoscandic UC Svensk Näringsliv Hälsoprövning Kapitalflytt Mottagnings SFF Valfångst LP/AP val Mottagning ASL val Mottagning pensionsval Valstatus Individanmälan / Avanmälan Inrapportering individuppgifter Premieuppgift er Konkurse r Förbundsrapportering iipax I122 I133 I64 I63 I8 I54 I126 I132 I133 I66 I8 I78 I79 I76B SAP CRM I278 I220 SAP R/3 I277 I232 I190/ 194 I19 I93 I219 I214 I201 I233 I22 I215 B I215 I218 I20 Nya fakturer Kostnader från Nova Statusändring kund Bortskrivnig/betalning Händelser CRM Uppdatering från SPAR Avisering SPAR Utbetalning Återrapportering Inbetalning OCR Automatisk avprickning Uppdragsgivarbetalni Återrapportering Leverantörsbetalninga r Inbetalningar OCR Tipsbetalningar NOVA I8 7 I8 8 I9 2 I9 1 I8 9 I9 0 SPAR BGC FSB GiroVision/Nordea PG Betalningsföreläggande Kvittens Utslag Utmätnin g Kvittens U- nummer Skatteverket

18 Utgående e-post System- och använ. dok IC Nova Driftinfo rmation Operativsytstem loggar m.m. Skatte verkiet XI Krono fogden R3 Batchprocess Driftrutiner, dokumentation m.m XI Crom

19

20 Kravbrev Minikrav, NyKrav_BM, NyKrav_BMKredit, NyKrav_BMNytt, NyKrav_BMPresk, NyKrav_HG, NyKrav_HGKredit, NyKrav_HGNytt, NyKrav_HGPresk, NyKravPlan, NyKravPlan_BM, RestKravBM, RestKravHG.

21

22 Klassningsobjektets namn: Nova Klassning utförd av: Katarina Ahlgren Datum: Februari 2009 Information om omfattning och avgränsningar av klassningsobjektet: Omfattning: Brev, menyer, bilder, flikar, manualer, Batch Server och N-katalog, systemdokumentation. Noteringar om klassningsobjektets betydelse för verksamheten och hänvisningar till lagar, förordningar och avtal med relevans m.m.: Nova används för att bedriva Inkassoverksamhet. Verksamheten regleras enligt Inkassolagen samt "god inkassosed". Att detta upprätthålls kontrolleras av Datainspektionen som även beviljar tillståndet att bedriva inkassoverksamhet. Informationsobjektets identitet och innehåll Sekrete ss-nivå Tillgäng lighetsnivå Riktighe ts-nivå Spårbar hetsnivå Gallringsklass Logisk Fysisk Meny Nyregistrering e.a. 2e.a. Meny Visa e.a. 2e.a. Meny Sök e.a. 2e.a. Meny Brevutskrifter e.a. 2e.a. Statistikrapporter e.a. 2e.a. Meny Kommunikation (filhantering) e.a. 2e.a. Export Kostnader till R/ e.a. 2e.a. Export Statusändringar till R/ e.a. 2e.a. Import Nya ärenden från R/ e.a. 2e.a. Import Inbetalningar från R/ e.a. 2e.a. Import Bortskrivningar från R/ e.a. 2e.a. Import Händelser från CRM e.a. 2e.a. Export Betalningsföreläggande till Skatteverket e.a. 2e.a. Export Utmätning till Skatteverket e.a. 2e.a. Import Kvittens av betalningsföreläggande från Skatteverket e.a. 2e.a. Import Kvittens av utmätning från Skatteverket e.a. 2e.a. Import Utslag från Skatteverket e.a. 2e.a.

23

24

25 Allmänt Checklista i nedanstående kapitel skall användas i hela informationsklassningsprocessen tillsammans med Anvisningar för Informationsklassning. Positionsnumren i checklistan nedan följer inte kapitelnumreringen i Anvisningarna. Checklista Pos Aktivitet/Kontroll Kommentarer och noteringar Utförd (Namn+tid) Klassningsprocessen startar när Informationsägaren meddelat kod för tidrapporteringen Välj tid och deltagare för klassningen Relevanta deltagare utsedda Har tidpunkten valts för att säkerställa relevant prioritet Har kallelse skickats Definition av objektet som skall klassas Klargörande av processen i vilken klassningsobjektet ingår Identifiering av gränsytor till och från klassningsobjektet Finns ritningar över kommunikationsflöden till/från klassningsobjektet

26

27 Information om omfattning och avgränsningar av klassningsobjektet Noteringar om klassningsobjektets betydelse för verksamheten och hänvisningar till lagar, förordningar och avtal med relevans m.m. Informationsobjektets identitet och innehåll Sekretess nivå Tillgängli ghetsnivå Riktight snivå Spårbar hetsnivå Gallringsklass Logisk Fysisk Sekretessklasser Ej verksamhetskritisk, nivå 1 Information som är avsedd för allmänheten, är att betrakta som offentlig handling eller som kan komma till allmänhetens kännedom utan att någon person eller organisation lider skada. Spridning av information bedöms inte ge någon negativ effekt på verksamheten, dess tillgångar, enskilda individer eller annan part. Exempel: - Information som är avsedd för allmänheten, ex.vis information som publiceras på Foras publika hemsida, i årsredovisningen, på olika produktblad och tjänstebeskrivningar. - Information om inkassoärenden som hos kronofogden är att betrakta som offentlig handling Viktig, nivå 2 Information som endast är avsedd för anställd och inhyrd personal vid Fora AB samt för behöriga externa intressenter. Information som, om den sprids utanför avsedd grupp, kan resultera i en icke-försumbar negativ effekt på verksamheten, dess tillgångar, enskilda individer eller annan part. Utgångspunkten skall vara att all information, som inte bedöms tillhöra sekretessnivåerna Öppen eller Konfidentiell, skall vara Intern. Exempel: - Information som publiceras på Porten och information som finns tillgänglig för medarbetare med normal grundbehörighet. - Stora delar av kund- och avtalsregistret. Verksamhetskritisk, nivå 3 Information som endast är avsedd för vissa medarbetare vid Fora AB och i undantagsfall för behöriga externa intressenter. Medarbetaren eller intressenten ska, för att få behörighet till denna information, ha ett uttalat behov av åtkomst för att kunna utföra sina arbetsuppgifter eller åtaganden. Information som, om den sprids utanför avsedd grupp, kan resultera i en betydande eller allvarlig negativ effekt på verksamheten, dess tillgångar, enskilda individer eller annan part. Exempel: - Känsliga uppgifter om identifierbar person - Opublicerade strategiska verksamhets- och affärsplaner, organisationsförändringar m - Opublicerade budgetunderlag, ekonomisammanställningar och b - Opublicerade resultat från revisioner, riska

28 1. Ledningens engagemang 2. God förankring i organisationen 3. Tydligt ansvar 4. Styrande riktlinjer 5. Behovsanpassad vägledning 6. Effektiva verktyg 7. Tillgång till relevanta resurser

29