Tillväxtverkets interna regler (2017:4) om informationssäkerhet Tillväxtverkets tillämpning av MSBFS 2016:1 och ISO/IEC 27001:2014 och 27002:2014

Transkript

1 Datum Upprättad av Gunnar Wennerholm Version 2.0 Diarienr/Projektnr Ä Godkänd av Lena Carlsson Tillväxtverkets interna regler (2017:4) om informationssäkerhet Tillväxtverkets tillämpning av MSBFS 2016:1 och ISO/IEC 27001:2014 och 27002:2014 Detta styrdokument konkretiserar Tillva xtverkets informationssa kerhetspolicy och beskriver myndighetens tilla mpning av fo reskriften MSBFS 2016:1 och standarderna ISO/IEC 27001:2014 och ISO/IEC 27002:2014. Ma let fo r Tillva xtverkets informationssa kerhetsarbete a r att sa kersta lla konfidentialitet, riktighet och tillga nglighet i verksamhetens information. Dokumentet inneha ller dels interna regler som ska fo ljas av respektive ansvarig, dels plan med uppfo ljningsbara krav och ma l fo r att sa kra att informationssa kerhetsarbetet a r a ndama lsenligt. Ba de interna regler samt krav och ma l a r sorterade under de sa kerhetsomra dena som anges i ovan na mnda standarder. Interna regler har paragrafnumrering. Krav och ma l identifieras med lo pnummer inom aktuellt avsnitt. De interna reglerna och kraven va nder sig till chefer och medarbetare pa Tillva xtverket och bero r a ven externa anva ndare samt leveranto rer av it-tja nster och it-produkter. Reglerna har beslutats av Lena Carlsson. Gunnar Wennerholm har varit fo redragande. Inledning Styrdokument för informationssäkerhet Organisation av informationssäkerheten Personal och säkerhet Hantering av tillgångar Styrning av åtkomst Kryptering Fysisk och miljörelaterad säkerhet Driftsäkerhet Kommunikationssäkerhet Anskaffning, utveckling och underhåll av system Leverantörsrelationer Hantering av incidenter Kontinuitetsplanering Efterlevnad... 8 Referenser... 9 Begrepp (11) Godkänd av: Lena Carlsson

2 Inledning En sa ker informationsfo rso rjning a r avgo rande fo r Tillva xtverkets fo rma ga att uppna verksamhetsma len. Informationssa kerheten a r den samlade effekten av organisatoriska, administrativa och tekniska a tga rder som vidtas fo r att skydda informationstillga ngar. Informationssa kerhetsarbetet ska leda till a ndama lsenliga sa kerhetslo sningar och vara anpassat till skyddsva rde, risk, lagkrav och standarder och mo jliggo ra fo r verksamheten att uppna sina ma l. Utvecklingen av informationsteknik a r snabb och dynamisk och sa kerhetsarbetet bo r baseras pa ett synsa tt med sta ndiga fo rba ttringar utifra n fortlo pande riskbedo mningar. De krav som sa tts upp ha r ska fo ljas upp och fo rba ttringsa tga rder vidtas vid brister. Status pa sa kerhetsarbetet ska regelbundet ga s igenom med Tillva xtverkets ledning. Styrdokumentet utga r fra n vad som fo reskrivs i Myndigheten fo r samha llsskydd och beredskaps (MSB) fo reskrift MSBFS 2016:1, som anger att varje myndighet ska bedriva ett systematiskt och riskbaserat informationssa kerhetsarbete med sto d av ett ledningssystem fo r informationssa kerhet, da r standarderna ISO/IEC 27001:2014 och ISO/IEC 27002:2014 ska beaktas. En anpassning har gjorts utifra n Tillva xtverkets verksamhet men strukturen fo ljer standardernas uppla gg (avsnitt 1 14 ha r motsvaras av standardernas avsnitt 5 18). Standarderna kan konsulteras i de fall det beho vs en precisering av vad som anges i detta styrdokument. Dataskyddslagstiftningen som fo ljer av GDPR har ocksa beaktats, men fo r mer specifika instruktioner ha nvisas till andra dokument. 1 Styrdokument för informationssäkerhet 1.1 Styrdokument fo r Tillva xtverkets informationssa kerhet ska vara godka nda och kommunicerade till ansta llda och relevanta parter. De ska regelbundet kontrolleras sa att de har god aktualitet. 2 Organisation av informationssäkerheten 2 (11) 2.1 Ansvar fo r informationssa kerhet utga r fra n verksamhetsansvaret, da r a garen av en informationsresurs a r ansvarig fo r dess sa kerhet. Ytterst a r generaldirekto ren ansvarig. Specifika ansvarsroller fo r informationssa kerhet ska vara definierade i arbetsordning. Ansvar och ansvarsomra den som kan ha motstridiga intressen bo r vara a tskilda. Informationssa kerhetsansvarig svarar fo r ledning och samordning och ska till sitt sto d ha en intern informationssa kerhetsgrupp. Av dataskyddslagstiftningen framga r dataskyddsombudets ansvar i att o vervaka att dataskyddsfo rordningen fo ljs. Av arbetsordningen ska framga att it-chefen ansvarar fo r it-sa kerheten, chefen fo r intern service ansvarar fo r fysisk sa kerhet och att varje medarbetare uto ver detta har ett ansvar fo r informationssa kerheten utifra n sitt arbets- och ansvarsomra de. 2.2 Samverkan ska ske med relevanta myndigheter, specialister och andra externa grupper fo r att sa kra aktualitet i informationssa kerhetsarbetet.

3 3 Personal och säkerhet Intern regel 1 Ansvarig chef har ansvar fo r att nya och utomsta ende anva ndare kontrolleras enligt rutin. Detta ska framga av arbetsordningen. 3.1 Det ska finnas rutiner fo r att uppra ttha lla en god niva av sa kerhetsmedvetande hos medarbetare vid nyansta llning, under ansta llning och na r en ansta llning uppho r, liksom fo r extern personal och utomsta ende anva ndare. Medarbetare ska ha genomga tt grundla ggande utbildning inom informationssa kerhet samt ytterligare utbildning da r arbetsuppgifterna sa kra ver. 3.2 Det ska finnas rutiner fo r kontroll av nya och utomsta ende anva ndare info r ansta llningens eller engagemangets start. Det ska finnas rutiner fo r att utrustning och passerkort a terla mnas och beho righeter avslutas vid avslut av ansta llning eller engagemang. Ansvar efter ett engagemang ska tydliggo ras. 3.3 Det ska finnas en formell disciplina r process fo r a tga rder mot ansta llda som har brutit mot regler som a r kopplade till informationssa kerheten. 4 Hantering av tillgångar Interna regler System och informationsma ngder 2 Informationssa kerhetsansvarig ska tillse att Tillva xtverkets system finns fo rtecknade och har utsedda ansvariga. 3 Systema garen ska tillse att de informationsma ngder som man har ansvar fo r informationsklassas enligt Tillva xtverkets angivna modell samt att riskanalyser regelbundet genomfo rs. 4 Systema garen ska tillse att det finns en aktuell fo rvaltningsplan och systemdokumentation fo r it-systemet. 5 Om personuppgifter behandlas i ett land utanfo r EU/EES ska personuppgiftsansvarig se till att undantag fra n fo rbudet mot o verfo ring till tredje land kan tilla mpas. Externa tja nster bo r som grundregel inte upphandlas om det a r oklart var personuppgifter kommer att lagras eller bearbetas. Anva ndarens utrustning och information 6 Tillva xtverkets dator och telefon a r arbetsverktyg. Privat anva ndning av dessa a r tilla ten under fo rutsa ttning att det inte negativt pa verkar utfo randet av arbetsuppgifterna och inte inneba r extra kostnader eller andra negativa konsekvenser fo r Tillva xtverket. 3 (11)

4 7 Medarbetare ska i arbetet i fo rsta hand anva nda Tillva xtverkets utrustning. Anva ndning av andra enheter a r tilla ten da r it-enheten tillhandaha ller eller har godka nt en teknisk lo sning fo r detta (som RSA-dosa eller MDM-lo sning). 8 Det a r inte tilla tet att beso ka webbplatser med diskriminerande, rasistiskt, pornografiskt eller annat ola mpligt eller olagligt inneha ll. 9 It-utrustningen ska hanteras sa att risken minimeras att obeho riga fa r tillga ng till den. Fo rlust av it-utrustning ska snarast anma las till it-enheten. Vid sto ld av utrustning ska polisanma lan ocksa go ras, i normalfallet av den ansta llde. 10 Anva ndarna ska se till att datorer och mobila enheter a r ska rmla sta na r de a r pa men inte anva nds. Information som a r ka nslig fa r inte la mnas obevakad. 11 It-systemens skyddsmekanismer ska ha llas uppdaterade och fa r inte avaktiveras. Mobila enheter ska vara anslutna till Tillva xtverkets MDMlo sning. Om skadlig kod eller andra hot pa enheterna uppta cks ska itenheten kontaktas. 12 Endast Tillva xtverkets egen utrustning fa r anslutas till det interna na tverket. Eventuella undantag ska valideras av it-enheten. 13 Information med ho gt skyddsva rde fo r konfidentialitet ska inte fo rmedlas, lagras eller hanteras i na gon extern tja nst, sa vida inte sa rskilda skyddsa tga rder vidtagits som kryptering, sa krad a tkomstkontroll och juridiskt kvalitetssa krade avtal med leveranto ren. Detta ga ller fo ljande: sekretessreglerad information enligt OSL, känsliga personuppgifter eller information som kan skada Tillväxtverket eller tredje man om den sprids. 14 Medarbetare ska ha lla en tydlig a tskillnad mellan arbetsrelaterad och privat information. E-postadressen pa Tillva xtverket bo r inte anva ndas i privata sammanhang. 15 Personuppgifter ska behandlas enligt tilla mplig dataskyddslagstiftning och enligt Tillva xtverkets regler och anvisningar. 16 Tillva xtverkets regler fo r dokumenthantering ska fo ljas. Allma nna handlingar fa r enbart gallras enligt gallringsplaner eller efter sa rskilt beslut. Arbetsmaterial och liknande dokument kan rensas vid behov. 4.1 Information i samarbeten med externa akto rer, som inte a r ka nslig och som betraktas som offentlig handling, fa r hanteras i molntja nst, med normal aktsamhet men utan formella restriktioner. E-post ska betraktas som oskyddad och med risk att andra a n avsedd mottagare tar del av inneha llet. Arbetsmaterial som go rs tillga ngligt utanfo r Tillva xtverket blir normalt allma n handling. Arbetsmaterial som bo r beha lla sin status som arbetsmaterial/internt material ska da rfo r inte go ras tillga ngligt utanfo r Tillva xtverket. 4.2 Det ska finnas anvisningar fo r hantering av informationen utifra n informationsklassningen. Informationens skyddsva rde besta ms utifra n beskrivningen av den konsekvens som kan uppsta vid en brist i hanteringen. 4.3 I fo rvaltningsplanen eller i annan dokumentation ska systemets a ndama l samt informationens klassning framga. Dokumentation som inneha ller ka nslig information ska fo rvaras sa att den endast a r a tkomlig fo r beho rig personal. 4.4 Sa kerheten ska bibeha llas fo r den information som go rs a tkomlig fo r eller styrs av utomsta ende parter. 4 (11)

5 4.5 Av dataskyddsfo rordningen framga r att den personuppgiftsansvarige, dvs. i detta fall Tillva xtverket, ska fo ra en fo rteckning o ver de personuppgiftsbehandlingar som myndigheten utfo r. Dessutom ska ett personuppgiftsbitra de fo ra en fo rteckning o ver den behandling som de utfo r fo r na gon annans ra kning. I samband med insamling av personuppgifter ska den enskilde informeras om sina ra ttigheter. 4.6 Personuppgifter bo r anva ndas i begra nsad omfattning och endast utifra n ra ttslig grund och faststa llt a ndama l. Detta ga ller oavsett medium och teknik och exempelvis a ven fo r fritext i e-post, chatt och i dokumentfiler. Personuppgifter bo r raderas na r deras syfte och a ndama l inte la ngre a r aktuellt, sa vida det inte finns krav pa att de ska sparas och arkiveras. 4.7 Fo r att uppfylla Dataskyddsfo rordningens krav kan Tillva xtverket komma att genomso ka medarbetarnas information avseende personuppgifter. 4.8 Tillva xtverket ska uppra ttha lla god kvalitet och sa kerhet i informations- och dokumenthanteringen. Allma nna handlingar ska registreras och sparas i enlighet med ga llande lagstiftning och internt faststa llda rutiner. 4.9 Loggning av ha ndelser och datatrafik go rs fo r drifto vervakning och felso kning och medarbetarnas omfattning av anva ndning av olika verktyg kan da rmed komma att fo ljas upp i syfte att fo rba ttra drifteffektiviteten. Obeho rig informationsbehandling, liksom andra hot ska kunna uppta ckas i loggar. Medarbetares anva ndning av it-system kan da rfo r komma att fo ljas upp vid misstanke om brott mot lag eller andra oegentligheter A ndringar i it-system ska planeras noga. Beslut fattas av systema gare i egenskap av beho rig chef, i samra d med tekniskt ansvarig. Vid sto rre och mer generella a ndringar ska fra gan lyftas till utvecklingsra d fo r rekommendation info r beslut. 5 Styrning av åtkomst 5.1 Regler fo r styrning av a tkomst till data och system ska dokumenteras, exempelvis i det aktuella systemets fo rvaltningsplan. A tkomstreglerna ska beskrivas fo r de typer av anva ndare och akto rer som a r bero rda. 5.2 Registrering av anva ndare och tilldelning av ra ttigheter, liksom fo r a ndring och uppho rande av dessa, ska ske enligt faststa llda processer. Anva ndarnas a tkomstra ttigheter ska regelbundet fo ljas upp. 5.3 Anva ndarkonton ska vara personliga. Sa kra lo senord ska anva ndas. Endast i undantagsfall fa r opersonliga konton (eller motsvarande tilla mpning) anva ndas. 5.4 A tkomst med utvidgade ra ttigheter, sa som administrato rsra ttigheter, ska begra nsas till sa fa personer som mo jligt. 5.5 Medarbetarnas datorer och mobila enheter ska vara insta llda pa att la sas automatiskt efter en viss tids inaktivitet, liksom utloggning ur system. 5.6 Mobil utrustning ska ha a tkomstskydd utifra n informationstillga ngarnas skyddsbehov. 5.7 System fo r lo senordshantering ska vara interaktiva och sa kersta lla kvalitativa lo senord. 5.8 Ra ttsliga fra gor, arbetssa tt och a tkomstrestriktioner ska vara tydliggjorda fo r personal som arbetar med system med ka nslig information, exempelvis na r det ga ller sekretess, s.k. Eget utrymme mm. 5 (11)

6 6 Kryptering 6.1 Kryptografiska sa kerhetsa tga rder ska utnyttjas utifra n informationsma ngdens skyddsva rde. Regler fo r anva ndning, skydd och giltighetstid fo r kryptografiska nycklar ska finnas da r krypto tilla mpas. 7 Fysisk och miljörelaterad säkerhet 7.1 Tilltra deskontroll ska finnas till lokaler da r Tillva xtverkets information hanteras. Tilltra de ska vara behovsbaserat och beho righetsstyrt. Beso kare till Tillva xtverket utan egen beho righet ska ha en ansvarig beso ksmottagare. 7.2 Informationsbehandling i Tillva xtverkets infrastruktur och servermiljo (dvs. inte medarbetares utrustning) fa r endast ske i lokaler med sa kra tekniska fo rso rjningssystem, och med redundans da r sa kra vs, oavsett om det a r drift i egen regi eller utkontrakterad. 7.3 Utrustning ska placeras och skyddas fo r att minska risker fo r hot, obeho rig a tkomst samt sto rningar pa grund av fel i tekniska fo rso rjningssystem. 7.4 Utrustning ska underha llas korrekt fo r att sa kersta lla fortsatt funktionalitet. 7.5 Medarbetarnas utrustning med lagringsmedia ska fo re kassering eller a teranva ndning granskas av it-enheten sa att ka nsliga data och program har avla gsnats eller o verskrivits. 8 Driftsäkerhet 8.1 Administration, drift och underha ll av it-system ska ske pa ett strukturerat och systematiskt sa tt, enligt en faststa lld modell fo r systemfo rvaltning. Rutiner bo r anges i en systemfo rvaltningsplan. Risk- och sa rbarhetsanalyser bo r genomfo ras regelbundet och info r viktiga fo ra ndringar. 8.2 Samma sa kerhetsregler fo r drift ska ga lla oavsett leveranto r och driftplats. Vid nyttjande av extern leveranto r ska Tillva xtverket ha ra tt att genomfo ra revision av informationssa kerheten, alternativt att leveranto ren tillhandaha ller dokumentation fra n annan part som genomfo rt sa kerhetsrevision. 8.3 Driftsrutiner ska dokumenteras och finnas tillga ngliga fo r anva ndare som beho ver dem. Det ska finnas rutiner fo r att styra installation i driftsystem. Fo ra ndringar av produktionsmiljo n ska vara testade, godka nda och dokumenterade. Leveranto rers sa kerhetsuppdateringar ska installeras skyndsamt. 8.4 Drift och anva ndning av it-system ska o vervakas fo r att sa kersta lla no dva ndig prestanda och fo r att uppta cka hot. Loggar ska skyddas mot radering, manipulation och obeho rig a tkomst. 8.5 It-system som skapar, levererar eller sparar logginformation ska vara tidssynkroniserade. 6 (11)

7 8.6 Utvecklings-, test- och driftmiljo er ska vara separerade pa adekvat sa tt. 8.7 Informationssystemen ska ha fullgott skydd mot skadlig kod. 8.8 Sa kerhetskopior ska tas och testas regelbundet. Fo rvaring ska ske fysiskt a tskilt fra n original. Eventuell sekretess ska beaktas vid hantering av sa kerhetskopior. 9 Kommunikationssäkerhet 9.1 Sa kerheten ska bibeha llas hos information som utbyts inom Tillva xtverket och med extern part och, da r sa kra vs, vara reglerad genom avtal. 9.2 Styrning, sa kerhetsmekanismer och tja nsteniva er fo r na tverkstja nster ska identifieras och dokumenteras samt inkluderas i avtal om tja nsterna tillhandaha lls av extern leveranto r. 10 Anskaffning, utveckling och underhåll av system 10.1 Informationssa kerhet ska vara en integrerad del av it-systemen. Info r nya eller fo ra ndrade informationssystem ska bedo mning av sa kerhetskrav inga i kravanalysen. Utvecklings- och fo ra ndringsarbete ska ske enligt Tillva xtverkets angivna metoder eller enligt sa rskilt beslut om metod Planering fo r framtida avveckling av system bo r go ras i ett tidigt skede, da r en bedo mning bo r go ras om hur informationen ska hanteras vid systemets avveckling. Tillva gaga ngssa tt framga r i Tillva xtverkets styrdokument fo r dokumenthantering Det ska finnas la mpliga skydd och tilla mpningar fo r att fo rhindra fel, fo rlust, obeho rig fo ra ndring eller missbruk av informationen i systemen. A tkomst till databaser, filer och ka llkod till programmen ska styras Utvecklings- och testmiljo er ska styras sa att sa kerhetskraven a r sa kersta llda pa systemens program och den information som hanteras. Fo ra ndringar i driftsatta system ska styras i en formell dokumenterad a ndringshantering. Detta ga ller fo r sa va l internt som externt utvecklingsarbete Testdata ska va ljas ut noggrant, skyddas och styras. Produktionsdata med identifierbara personuppgifter ska avidentifieras innan de fa r a teranva ndas som exempelvis testdata i testmiljo er Avtal ska utformas sa att Tillva xtverket erha ller a gande och o vriga immateriella ra ttigheter till resultat i uppdrag. Om detta inte a r mo jligt bo r avtal finnas om deponering av ka llkod. 11 Leverantörsrelationer 11.1 Risker pa grund av leveranto rsberoende ska minimeras. Bedo mning och la mpliga a tga rder bo r inga i en riskanalys. 7 (11)

8 11.2 Sa kerhetskrav ska avtalas med leveranto rer fo r att reducera risker kopplade till leveranto rers a tkomst till Tillva xtverkets tillga ngar. A ndringar i avtal och leverans ska styras och dokumenteras Tillva xtverket ska regelbundet o vervaka och granska leveranto rernas tja nsteleverans. 12 Hantering av incidenter Interna regler 17 Ansta llda och leveranto rer som anva nder Tillva xtverkets system ska rapportera uppkomna incidenter och hot enligt rutin fo r incidentrapportering. Rutinen omfattar ba de informationssa kerhets- och personuppgiftsincidenter 12.1 Det ska finnas rutiner fo r rapportering av incidenter och svagheter hos informationssystemen samt rutiner fo r korrigerande a tga rder. Det ska finnas rutiner fo r insamling av information som kan tja na som bevis Hanteringen av incidenter ska vara proaktiv. Kunskap baserade pa hanterade incidenter ska anva ndas fo r att minska risk och effekter av framtida incidenter. 13 Kontinuitetsplanering 13.1 Planering ska go ras fo r att minimera sannolikheten fo r skador i it-miljo n och minimera konsekvenserna fo r verksamheten. I planeringen bo r riskanalyser go ras fo r att identifiera hot Det ska finnas planer och rutiner fo r att kunna a terskapa tillga ngligheten till informationstillga ngarna inom den tid verksamheten kra ver. Planerna bo r regelbundet testas Verksamheten bo r uppra ttha lla egna planer och manuella rutiner fo r att sa la ngt mo jligt klara avbrott i system och infrastruktur. 14 Efterlevnad 14.1 Den informationssa kerhetsansvarige har ett o vergripande ansvar fo r uppfo ljningen av informationssa kerhetsarbetet Informationssystem ska granskas regelbundet avseende efterlevnad av organisationens informationssa kerhetspolicy och regler A garen av en informationsresurs, som system eller informationsma ngd, a r ansvarig fo r uppfo ljning och efterlevnad av informationssa kerhetskraven fo r sin specifika informationsresurs Ledningen ska regelbundet granska efterlevnaden av informationssa kerhetspolicy och ga llande regler. 8 (11)

9 Referenser Tillväxtverkets styrdokument och vägledningar (urval) Informationssa kerhetspolicy It-strategi Va gledning fo r systemfo rvaltning Lagar och förordningar (urval) Tryckfrihetsfo rordningen (1949:105) Offentlighets- och sekretesslagen (2009:400) Fo rvaltningslagen (2017:900) Europaparlamentets och ra dets fo rordning (EU) 2016/679 av den 27 april 2016 om skydd fo r fysiska personer med avseende pa behandling av personuppgifter och om det fria flo det av sa dana uppgifter och om uppha vande av direktiv 95/46/EG (allma n dataskyddsfo rordning) (GDPR). Fo rordningen (1995:1300) om statliga myndigheters riskhantering Sa kerhetsskyddslagen (1996:627) Sa kerhetsskyddsfo rordningen (1996:633) Arkivlagen (1990:782) Arkivfo rordningen (1991:446) Föreskrifter och allmänna råd (urval) Myndigheten fo r samha llsskydd och beredskaps fo reskrifter (MSBFS 2016:1) om statliga myndigheters informationssa kerhet Myndigheten fo r samha llsskydd och beredskaps fo reskrifter (MSBFS 2016:2) om statliga myndigheters rapportering av it-incidenter Myndigheten fo r samha llsskydd och beredskaps fo reskrifter (MSBFS 2016:7) om statliga myndigheters risk- och sa rbarhetsanalyser. Riksarkivets fo reskrifter och allma nna ra d (RA-FS 2009:1) om elektroniska handlingar (upptagningar fo r automatiserad behandling) Riksarkivets fo reskrifter och allma nna ra d (RA-FS 2009:2) om tekniska krav fo r elektroniska handlingar (upptagningar fo r automatiserad behandling) Riksarkivets fo reskrifter och allma nna ra d (RA-FS 1991:1) om arkiv hos statliga myndigheter Standarder, utredningar och vägledningar (urval) ISO/IEC 27001:2014 och ISO/IEC 27002:2014 om informationssa kerhet, SIS Nationell strategi fo r samha llets informations- och cybersa kerhet, Regeringen 2017 Webbplatsen informationssakerhet.se, MSB Rapport med fo rslag till fortsatt arbete , esams expertgrupp fo r sa kerhet. (Ha r inga r en o versikt o ver intressanta rapporter och utredningar.) Va gledning fo r fysisk informationssa kerhet i it-utrymmen (Publ.nr. MSB629) 9 (11)

10 Begrepp Begrepp Förklaring Allma n handling Handling som har inkommit till eller uppra ttats av en myndighet och som fo rvaras da r. En allma n handling kan i sin tur vara offentlig eller sekretessbelagd. Arbetsmaterial Utkast, tidiga versioner och annat underlag vid exempelvis fo rberederande av beslut kan i regel betraktas som arbetsmaterial och inte allma n handling. (Om det arkiveras, pa annat sa tt fa rdigsta lls eller skickas till annan myndighet blir det a nda normalt en allma n handling.) Behandling av A tga rd som na gon vidtar med personuppgifter, vare sig det personuppgifter go rs pa automatiserad va g eller inte. Beho righet Tilldelad a tkomstra ttighet i IT-system. Dataskyddsfo rordningen bena mnd GDPR. Ersatte den 25 maj 2018 PUL. Reglerar personuppgiftsbehandling inom EU. Ocksa Fo rvaltningsplan Styrdokument fo r fo rvaltningsorganisationens arbete. Gallring Att fullsta ndigt ta bort och fo rsto ra information. Fo r att fa fo rsto ra en allma n handling kra vs gallringsbeslut och sto d i lag och fo reskrift. Gallring a r ofta no dva ndig fo r uppra ttha lla god informationskvalitet. (Se a ven Rensning.) Handling Framsta llning i skrift eller bild samt upptagning som kan la sas, avlyssnas eller pa annat sa tt uppfattas endast med tekniskt hja lpmedel. En handling kan vara allmän. En allma n handling a r offentlig om den inte a r sekretessbelagd. Information Generell beteckning fo r det meningsfulla inneha ll som o verfo rs vid kommunikation i olika former. Informationsklassning Att genom konsekvensanalys identifiera skyddsbehovet fo r en viss informationsma ngd. Informationsma ngd Information som a r avgra nsad fo r ett visst a ndama l. Informationssa kerhet Bevarande av konfidentialitet, riktighet och tillgänglighet hos information. Incident Ha ndelse som kan inneba ra allvarliga konsekvenser fo r verksamheten. Informationssa kerhetspolicy en organisations ledning. Anger ma l och inriktning fo r samt O vergripande avsikt och viljeinriktning formellt uttryckt av styr informationssa kerhetsarbetet inom organisationen. Informationstillga ng All information, oavsett om den behandlas manuellt eller automatiserat och oberoende av i vilken form eller miljo den fo rekommer. Informationsa gare Ansvarig fo r en informationstillga ng oavsett i vilket system informationen behandlas. Sammanfaller ibland med systema gare. Ofta en chef fo r ett verksamhetsomra de. It-system Teknik da r man anva nder datorer och telekommunikation fo r att samla in, bearbeta och o verfo ra information. Konfidentialitet Att information inte go rs tillga nglig eller avslo jas fo r obeho riga personer, enheter eller processer. Kontinuitetsplan Dokumenterad plan som beskriver hur verksamheten ska bedrivas na r identifierade, kritiska verksamhetsprocesser allvarligt pa verkas under en la ngre, specificerad tidsperiod 10 (11)

11 Begrepp Förklaring Kryptering Omvandling av klartext till kryptotext i syfte att fo rhindra obeho rig a tkomst av konfidentiell information Ka nslig information Information som, uto ver sekretessreglerade uppgifter och (begreppet anva nds i vissa personuppgifter, av andra ska l beho ver hanteras med vid bema rkelse) fo rsiktighet och da r man bo r undvika spridning, exempelvis arbetsmaterial i pa ga ende a renden Ka nsliga personuppgifter / Sa rskilda etniskt ursprung, politiska a sikter, religio s eller filosofisk Enligt dataskyddsfo rordningen uppgifter om ras eller kategorier o vertygelse, medlemskap i en fackfo rening, ha lsa, en persons sexualliv eller sexuella la ggning, genetiska uppgifter och biometriska uppgifter som entydigt identifierar en person. Ledningssystem fo r Ett systematiskt sa tt fo r ledingen att styra, genomfo ra, fo lja informationssa kerhet upp och fo rba ttra arbetet med informationssa kerhet. MDM-lo sning Mobile device management. System fo r att administrera mobila enheter. Offentlig handling En allma n handling som inte a r sekretessbelagd. OSL Offentlighets- och sekretesslagen (2009:400) Personuppgifter Information som direkt eller indirekt kan knytas till en fysisk person som a r i livet. A ven bild- och ljuduppgifter, krypterade uppgifter och olika elektroniska identiteter a r personuppgifter om de kan kopplas till fysiska personer. Rensning Vid rensning tas o verflo dig information bort, exempelvis arbetsmaterial. Man kan rensa arbetsmaterial men inte allma nna handlingar. (Se a ven Gallring.) Risk Produkten av sannolikheten och konsekvensen fo r att ett givet hot realiseras. Riskanalys Metodisk process som identifierar sa kerhetsrisker, besta mmer deras betydelse och identifierar skyddsa tga rder. RSA-dosa Sa kerhetslo sning fo r sa ker inloggning. SAMFI-myndigheter Samverkansgruppen fo r informationssa kerhet, da r FMV, FRA, Fo rsvarsmakten, MSB, Polisen, PTS och Sa po, inga r. Samtycke Otvetydig viljeyttring genom vilken den registrerade godtar att personuppgifter som ro r honom eller henne behandlas. Sekretess Sekretess inneba r fo rbud att ro ja en uppgift. OSL reglerar vilka handlingar som kan skyddas av sekretess. Finns inte sto d i OSL fo r sekretess a r en handling som regel offentlig Systema gare Ansvarar fo r ett systems omfattning, ekonomi, sto rre fo ra ndringar (efter samra d med Tekniskt ansvarig) samt om fo rvaltningsorganisationen. Ansvar och befogenheter fo ljer i regel ett chefsansvar. Systema garen kan a ven vara informationsa gare, men rollerna sammanfaller inte alltid. Tekniskt ansvarig Tekniskt ansvarig a r som regel it-chefen med o vergripande ansvar fo r resurser fo r drift, systemutveckling och support. Utvecklingsra d Ra dgivande grupp fo r Tillva xtverkets inriktning pa itverksamhet och it-miljo. A rende Avgra nsad fra ga som tas upp till formell behandling. I myndigheter registreras vanligen a renden i diarium med unika diarienummer. I a renden inga r oftast handlingar. 11 (11)