Stockholms läns landsting 1 O)

Storlek: px
Starta visningen från sidan:

Download "Stockholms läns landsting 1 O)"

Transkript

1 Stockholms läns landsting 1 O) Landstingsradsberedningen SKRIVELSE LS Landstingsstyrelse- Omarbetad informationssäkerhetspolicy och riktlinjer för informationssäkerhet inom Stockholms läns landsting Föredragande landstingsråd: Torbjörn Rosdahl Ärendebeskrivning Landstingsstyrelsen och landstingsfullmäktige beslutade den 22 november 2011 respektive den 6 december 2011 att anta ny informationssäkerhetspolicy och nya riktlinjer för informationssäkerhet inom Stockholms läns landsting, som började gälla den 1 januari I samband med besluten fick landstingsstyrelsen i uppdrag att återkomma med en omarbetad informationssäkerhetspolicy där bland annat hänsyn tas till transparens, enkelhet och genomförda organisationsförändringar inom Stockholms läns landsting. Landstingsstyrelsens förvaltning har tagit fram ett förslag till omarbetad informationssäkerhetspolicy med tillhörande riktlinjer för informationssäkerhet. Förslag till beslut Landstingsrådsberedningen föreslår landstingsstyrelsen dels föreslå landstingsfullmäktige besluta att anta informationssäkerhetspolicy enligt Förslag till omarbetad informationssäkerhetspolicy för Stockholms läns landsting att uppdra åt landstingsstyrelsen att fastställa Förslag till omarbetade riktlinjer för informationssäkerhet inom Stockholms läns landsting och vid behov fastställa ändringar och tillägg till dessa att uppdra åt landstingsstyrelsen att utarbeta tillämpningsanvisningar för beslut om styrdokument inom informationssäkerhetsområdet hos Stockholms läns landstings nämnder, styrelser och bolag

2 Stockholms läns landsting 2(3) SKRIVELSE LS att uppdra åt nämnder, styrelser och bolag inom Stockholms läns landsting att utarbeta styrdokument för informationssäkerhet i enlighet med landstingsstyrelsens riktlinjer för informationssäkerhet dels - under förutsättning av landstingsfullmäktiges beslut - för egen del besluta att anta riktlinjer för informationssäkerhet enligt Förslag till omarbetade riktlinjer för informationssäkerhet inom Stockholms läns landsting att uppdra åt landstingsdirektören eller den han utser att besluta om ändringar eller tillägg till riktlinjer för informationssäkerhet att uppdra åt landstingsdirektören eller den han utser att utarbeta tillämpningsanvisningar för beslut om styrdokument inom informationssäkerhetsområdet i Stockholms läns landstings nämnder, styrelser och bolag. Landstingsrådsberedningens motivering Stockholms läns landsting behandlar i sina olika verksamheter dygnet runt och årets alla dagar mängder med information. Det är viktigt att denna information behandlas säkert till skydd för såväl landstingets egna system som för medborgarnas och patienternas integritet. Samtidigt är det viktigt att informationen också ska vara lätt åtkomlig för dem som har rätt att ta del av den och att landstingets anställda i övrigt ska kunna inhämta och behandla information på ett smidigt sätt. Landstingsstyrelsen och landstingsfullmäktige beslutade 2011 att anta ny informationssäkerhetspolicy och nya riktlinjer för informationssäkerhet inom Stockholms läns landsting. I samband med beslutet uppdrogs åt landstingsstyrelsen att återkomma med en omarbetad informationssäkerhetspolicy. I det nu liggande förslaget har förbättringar gjorts med hänsyn till enkelhet, tydlighet, transparens och landstingets genomförda organisationsförändringar. Med de nu föreslagna riktlinjerna ges en ökad tydlighet i struktur och kravställning samtidigt som styrning och uppföljning av landstingets informationssäkerhetsarbete underlättas. Avsikten med riktlinjernas utformning är att de ska vara tydliga och att det ska vara enkelt att hitta vad som gäller i enskilda frågor.

3 JIL Stockholms läns landsting 3 (3) SKRIVELSE LS Beslutsunderlag Landstingsdirektörens tjänsteutlåtande den 7 februari 2013 Förslag till omarbetad informationssäkerhetspolicy för Stockholms läns landsting, den 1 februari 2013 Förslag till omarbetade riktlinjer för informationssäkerhet inom Stockholms läris landsting, den 1 februari 2013 Torbjörn Rosdahl ^Hans-Erik JHnnc-TiVmlr Malmros TVTnlmrns C

4 Stockholms läns landsting 1 (6) Landstingsstyrelsens förvaltning TJÄNSTEUTLÅTANDE LS Ankom Stockholms läns landsting Landstingsstyrelsen Omarbetad informationssäkerhetspolicy och riktlinjer för informationssäkerhet inom Stockholms läns landsting Ärendebeskrivning Landstingsstyrelsen och landstingsfullmäktige beslutade den 22 november 2011 respektive den 6 december 2011 att anta ny informationssäkerhetspolicy och nya riktlinjer för informationssäkerhet inom Stockholms läns landsting, som började gälla den 1 januari I samband med besluten fick landstingsstyrelsen i uppdrag att återkomma med en omarbetad informationssäkerhetspolicy där bland annat hänsyn tas till transparens, enkelhet och genomförda organisationsförändringar inom Stockholms läns landsting. Landstingsstyrelsens förvaltning har tagit fram ett förslag till omarbetad informationssäkerhetspolicy med tillhörande riktlinjer för informationssäkerhet. Beslutsunderlag Landstingsdirektörens tjänsteutlåtande den 7 februari 2013 Förslag till omarbetad informationssäkerhetspolicy för Stockholms läns landsting, den 1 februari 2013 Förslag till omarbetade riktlinjer för informationssäkerhet inom Stockholms läns landsting, den 1 februari 2013 Förslag till beslut Landstingsstyrelsen föreslås dels föreslå landstingsfullmäktige besluta att anta informationssäkerhetspolicy enligt Förslag till omarbetad informationssäkerhetspolicy för Stockholms läns landsting att uppdra åt landstingsstyrelsen att fastställa Förslag till omarbetade riktlinjer för informationssäkerhet inom Stockholms läns landsting och vid behov fastställa ändringar och tillägg till dessa Kokl I

5 Stockholms läns landsting 2(6) TJÄNSTEUTLÅTANDE LS att uppdra åt landstingsstyrelsen att utarbeta tillämpningsanvisningar för beslut om styrdokument inom informationssäkerhetsområdet hos Stockholms läns landstings nämnder, styrelser och bolag att uppdra åt nämnder, styrelser och bolag inom Stockholms läns landsting att utarbeta styrdokument för informationssäkerhet i enlighet med landstingsstyrelsens riktlinjer för informationssäkerhet dels - under förutsättning av landstingsfullmäktiges beslut - för egen del besluta att anta riktlinjer för informationssäkerhet enligt Förslag till omarbetade riktlinjer för informationssäkerhet inom Stockholms läns landsting att uppdra åt landstingsdirektören eller den han utser att besluta om ändringar eller tillägg till riktlinjer för informationssäkerhet att uppdra åt landstingsdirektören eller den han utser art utarbeta tillämpningsanvisningar för beslut om styrdokument inom informationssäkerhetsområdet i Stockholms läns landstings nämnder, styrelser och bolag. Förvaltningens förslag och motivering Sammanfattning Ärendet gäller förslag på omarbetad policy och tillhörande riktlinjer för informationssäkerhet inom Stockholms läns landsting. Förändringarna avser förbättringar avseende enkelhet, tydlighet, transparens och genomförda organisationsförändringar. Bakgrund Landstingsstyrelsen och landstingsfullmäktige beslutade den 22 november 2011 respektive den 6 december 2011 att anta ny informationssäkerhetspolicy och nya riktlinjer för informationssäkerhet inom Stockholms läns landsting. De nya styrdokumenten började gälla den 1 januari I samband med beslutet uppdrogs åt landstingsstyrelsen att återkomma med en omarbetad informationssäkerhetspolicy. I det följande ges en kortfattad redogörelse av viktigare principiella förslag till ändringar i policy och riktlinjer.

6 Stockholms läns landsting 3(6) TJÄNSTEUTLÅTANDE LS Informationssäkerhetspolicy Målet för landstingets informationssäkerhetsarbete har förtydligats. Det ingår en beskrivning av hur ledningssystemet för informationssäkerhet är uppbyggt. Tillägg har gjorts gällande vad som är grundläggande för informationssäkerhetsarbete. Ansvar och roller har tydliggjorts. Det klargörs på ett tydligare sätt vem som bär ansvaret för policyns efterlevnad, och det har skapats en ökad transparens i roller samt vad gäller verksamhetsansvar och samordnande ansvar. Riktlinjer för informationssäkerhet Ovan nämnda förändringar i policyn har inarbetats och konkretiserats i riktlinjerna för informationssäkerhet. Strukturen i landstingets ramverk för informationssäkerhet har arbetats om för att underlätta styrning och uppföljning av landstingets informationssäkerhet på såväl övergripande som på lokal nivå. Informationssäkerhetskraven har förtydligats och gjorts mer sammanhängande Det har genomförts redaktionella omarbetningar i dokumentet i syfte att göra innehållet enklare, tydligare och mer läsvänligt. Genomförda omarbetningar syftar till att ge en ökad tydlighet i struktur och kravställning och att underlätta styrning och uppföljning av landstingets informationssäkerhetsarbete. Avsikten med riktlinjernas utformning är att de ska vara tydliga och att det ska vara enkelt att hitta vad som gäller i enskilda frågor. Under året har förvaltningen genomfört en översyn av ledningssystemet för informationssäkerhet, med förslag på anpassningar för att bättre stödja det fortlöpande arbetet i verksamheterna. Förvaltningen föreslår att respektive nämnd, styrelse och bolag, inom ramen för landstingets övergripande ledningssystem för informationssäkerhet, ska styra och leda sitt informationssäkerhetsarbete i ett lokalt ledningssystem inom dess verksamhetsområde. Detta ska innehålla de nödvändiga processer och rutiner som behövs för att säkerställa att verksamheten uppfyller kraven på en god och ändamålsenlig informationssäkerhet. Syftet med förslaget är att skapa förutsättningar för att bedriva ett systematiskt informationssäkerhetsarbete inom landstinget, och etablera nödvändiga stödstrukturer för informationssäkerhet på verksamhetsnivå. Fokus ligger på att skapa en struktur för ledning och styrning på både övergripande och lokal nivå, d.v.s. verksamhetsnivå, och därigenom skapa

7 Stockholms läns landsting 4(6) TJÄNSTEUTLÅTANDE LS förutsättningar för att hålla informationssäkerhetsarbetet levande och målen i policyn tydliga. Att upprätta verksamhetsnära ledningssystem är ett ändamålsenligt sätt att långsiktigt hantera och utveckla landstingets informationssäkerhetsarbete. För att stödja ett systematiskt informationssäkerhetsarbete i verksamheterna och även kunna styra samordning av arbetet föreslår förvaltningen att den ges ett uppdrag att till riktlinjerna utarbeta tillämpningsanvisningar med vägledningar och preciseringar av landstingets övergripande policy och riktlinjer. Arbetet ska bedrivas i samarbete med framförallt landstingets facknämnder för att täcka in sådana frågor som ligger i respektive nämnds ansvarsområde. Styrdokumenten på lokal nivå föreslås bestå av en lokal policy, lokala riktlinjer samt lokala anvisningar för informationssäkerhet. Dessa styrdokument utarbetas med utgångspunkt från den egna organisationens specifika behov och i enlighet med tillämpningsanvisningarna. I Socialstyrelsens föreskrifter om informationshantering och journalföring i hälso- och sjukvården, SOSFS 2008:14, anges att en vårdgivare ska ha en dokumenterad informationssäkerhetspolicy som gör att patientuppgifter hanteras på ett säkert sätt i verksamheten. I det föreslagna regelverket för informationssäkerhet motsvarar detta den lokala informationssäkerhetspolicyn. I övrigt har de omarbetade styrdokumenten tagit över de tidigare styrdokumentens grundregler. Vissa avsnitt och skrivelser i riktlinjerna har förenklats eller utgått då de bedömts motsvara nivån för tillämpningsanvisningar. Omarbetad policy och tillhörande riktlinjer är liksom tidigare utformade med stöd av standarden för informationssäkerhet (SS-ISO/IEC 27002) och i enlighet med organisationens verksamhetskrav samt gällande lagar och föreskrifter. Förslaget har tagits fram i samråd med rådet för informationssäkerhet, ISR, där verksamheternas informationssäkerhetssamordnare ingår. Förtydligande avseende uppdraget till nämnder, styrelser och bolag att utarbeta styrdokument för informationssäkerhet i enlighet med landstingsstyrelsens riktlinjer for informationssäkerhet Landstingsstyrelsen och landstingsfullmäktige antog i slutet av år 2011 en ny informationssäkerhetspolicy och nya riktlinjer för informationssäkerhet. Arbetet med att ta fram anvisningar som konkretiserar kraven pågår men har kommit olika långt inom nämnder, styrelser och bolag. Beslut om omarbetade riktlinjer medför att de nämnder, styrelser och bolag som har kommit längst i sitt anvisningsarbete behöver justera sina anvisningar

8 Stockholms läns landsting 5 (6) TJÄNSTEUTLÅTANDE LS Förtydligande avseende uppdraget till landstingsdirektören att besluta om ändringar och tillägg Med hänsyn till att riktlinjerna kan behöva revideras och uppdateras i enlighet med t.ex. förändringar i författningskrav föreslås landstingsstyrelsen delegera viss beslutskompetens till landstingsdirektören som bemyndigas att i sin tur vidaredelegera beslutanderätten till någon annan anställd. Avsikten är att genomföra justeringar i styrdokumentet som kan anses vara av mindre karaktär och syfta till att förtydliga riktlinjerna eller anpassa dessa till förändrade förutsättningar. En justering som exempelvis kan komma att behövas är att omarbeta texten för att göra riktlinjerna mer överskådliga och läsvänliga och att styra vissa krav eller textmassor till tillämpningsanvisningarna. Andra sådana exempel är justeringar gällande vårdenhetsbegreppet och landstingets informationssäkerhetsutbildning. Beslut om tillägg eller ändringar som fattas med stöd av denna delegation ska anmälas till landstingsstyrelsen. Beslut som fattats med stöd av landstingsdirektörens vidaredelegering skall anmälas till både landstingsdirektören och landstingsstyrelsen. Om ändringar eller tillägg är av sådan karaktär att de kan sägas påverka verksamhetens mål, inriktning, omfattning eller kvalitet ska landstingsstyrelsen fatta beslutet om aktuella ändringar eller tillägg (6 kap 34 Kommunallagen.) Konsekvenser av beslutet för informationssäkerheten Stockholm läns landstings samtliga verksamheter måste vidta skyddsåtgärder för att uppnå och vidmakthålla eftersträvad nivå på informationssäkerheten. Den omarbetade policyn bidrar till en ökad förståelse av innehåll, till en ökad tydlighet vad gäller ansvar för informationssäkerhet samt till bättre förutsättningar att åstadkomma ett systematiskt informationssäkerhetsarbete inom landstinget. Ekonomiska konsekvenser av beslutet Det uppstår inga ekonomiska konsekvenser av beslutet. Kostnaderna för framtagande av tillämpningsanvisningar samt genomförandet av policyn och tillhörande riktlinjer ska rymmas inom respektive verksamhets budget.

9 Stockholms läns landsting TJÄNSTEUTLÅTANDE Miljökonsekvenser av beslutet I enlighet med landstingets Miljöpolitiska program har hänsyn till miljön beaktats och slutsatsen är att det inte är relevant med en miljökonsekvensbedömning i detta ärende. Toivo Heinsoo Landstingsdirektör 7?< iders Nyström Biträdande förvaltningschef

10 Stockholms läns landsting LS Förslag till omarbetad informationssäkerhetspolicy inom Stockholms läns landsting Beslutad av landstingsfullmäktige 20[xx]-[xx]-[xx]

11 Innehållsförteckning 1 Inledning 2 Mål 3 Omfattning 4 Innebörd 5 Ansvar 6 Uppföljning och revidering

12 3 (8) l Inledning Stockholms läns landstings verksamhet är grundad på principer om öppenhet, personlig integritet och respekt för individen. Medborgarna ska kunna få insyn i landstingets verksamhet. De ska kunna förlita sig på den information som landstinget lämnar och vara förvissade om att information som samlas in får ett tillräckligt skydd. Information är en av landstingets mest strategiska resurser. Alla verksamheter är beroende av tillförlitlig information. Avbrott i tillgången till information kan vara kritiskt och felaktig information kan ge allvarliga konsekvenser inom hälso- och sjukvården, kollektivtrafiken och inom landstingets övriga ansvarsområden. Utvecklingen med informationshantering i IT-system och nya funktionaliteter innebär förbättringar i många avseenden. Samtidigt innebär beroendet av informationssystem att sårbarheten och riskexponeringen ökar om inte säkerhetsaspekterna beaktas. Därför arbetar Stockholms läns landsting aktivt med informationssäkerhet. Det innebär att se till att informationstillgångar finns tillgängliga när de behövs, att de är korrekta, och att obehöriga inte får åtkomst till dem. Genom att arbeta systematiskt och långsiktigt upprätthåller vi ett tillräckligt skydd som är anpassat efter våra verksamheters förutsättningar och behov. Informationssäkerhetsarbetet syftar till att stödja och säkerställa landstingets verksamhet. Alla medarbetare deltar i detta arbete. Informationssäkerhetsarbetet är en viktig del i landstingets övergripande arbete med intern styrning och kontroll samt riskhantering. Denna policy beskriver de övergripande principer som ska gälla för informationssäkerhetsarbetet i Stockholms läns landsting.

13 2 Mål Målet för landstingets informationssäkerhetsarbete är att skydda informationen inom verksamheten. Skyddet ska vara anpassat till skyddsvärde, risk och lagkrav och därigenom möjliggöra för landstingets verksamheter att uppnå sina mål. En god informationssäkerhet inom landstinget främjar verksamheternas funktionalitet, kvalitet och effektivitet, medborgares rättigheter och personliga integritet, landstingets förmåga att förebygga och hantera allvarliga störningar och kriser samt förtroendet för landstingets informationshantering och IT-system. 3 Omfattning Informationssäkerhetspolicyn gäller för hantering av information, i alla dess former, i Stockholms läns landsting inklusive bolag och stiftelser och av samtliga som arbetar på uppdrag av landstinget. Det sistnämnda regleras genom avtal. Informationssäkerhetsarbetet styrs med hjälp av landstingets ledningssystem för informationssäkerhet som är framtaget med stöd av standarden för informationssäkerhet, ISO/IEC och utifrån organisationens verksamhetskrav samt gällande lagar och föreskrifter. Vårt ledningssystem är uppbyggt i två nivåer. Nivåerna ger en struktur för ledning och styrning av informationssäkerheten på både övergripande nivå och på verksamhetsnivå. En viktig del av ledningssystemet är regelverket. Det består av styrande dokument som på övergripande nivå utgörs av denna policy och tillhörande riktlinjer och tillämpningsanvisningar. Allt informationssäkerhetsarbete utgår från dessa dokument. Respektive nämnd, styrelse och bolag styr och leder sitt informationssäkerhetsarbete i ett lokalt ledningssystem inom dess verksamhetsområde. Det innehåller de nödvändiga processer och rutiner som behövs för att säkerställa att verksamheten uppfyller kraven på en ändamålsenlig informationssäkerhet. De styrande dokumenten på lokal nivå utformas utifrån de övergripande. Utöver detta krävs att Stockholms läns landsting i tillämpliga delar lever upp till gällande lagar och förordningar samt till landstingets övriga styrande dokument.

14 4 Innebörd Informationssäkerhetsarbetet innebär att värdera all information efter sin känslighet och med hjälp av administrativa och tekniska skyddsåtgärder säkerställa att den finns tillgänglig när den behövs, att den är korrekt och att obehöriga inte kan få tillgång till den. Utöver dessa säkerhetsaspekter måste behov av spårbarhet uppfyllas - att i efterhand kunna avgöra vem som tagit del av informationen, vilka förändringar som skett och av vem dessa utförts. Säkerhetsaspekter Konfidentialitet (rätt person): Riktighet (rätt information): Tillgänglighet (rätt tid och plats): Spårbarhet: Information får inte göras tillgänglig eller avslöjas på ett sådant sätt att den personliga integriteten eller sekretessen hotas. Informationen få inte förändras eller gå förlorad, av misstag, genom inverkan av obehörig eller på grund av tekniskt fel. Informationen ska kunna användas i förväntad utsträckning, inom önskad tid och på rätt plats. Händelser i informationsbehandlingen ska kunna spåras. Skyddet av informationstillgångar och informationssystem ska vara utformat så att verksamhetens krav på dessa säkerhetsaspekter uppfylls. Detta gäller även när landstingets information eller informationssystem hanteras av extern part. Skyddsåtgärder För att hitta relevant skyddsnivå utifrån dessa fyra aspekter ska vi arbeta utifrån nedanstående principer: Vi ska arbeta med informationsklassificering där all information klassificeras och handlingar och dokument märks.

15 All information ska ha en ägare. Informationsägaren ansvarar för att klassificera informationen och ställa de säkerhetskrav som krävs för informationshantering. Alla informationssystem ska ha en systemägare som ansvarar för art säkerhetskraven på systemet uppfylls. Omvärlden förändras. Därför ska vi, utifrån återkommande risk- och sårbarhetsanalyser och inträffade incidenter, vidta nödvändiga åtgärder för att se till att vår information har rätt skydd. Vi ska ställa säkerhetskrav inför upphandling, utveckling, användning och avveckling av informationssystem och vi ska följa upp de krav vi ställt. Vi ska arbeta med kontinuitetsplanering och ha beredskap för avbrott. Våra kritiska verksamheter ska kunna upprätthållas på fastställd nivå vid olika typer av katastrofsituationer, störningar och avbrott. Alla anställda ska veta vad det egna ansvaret omfattar och ha god kunskap om vilka säkerhetsregler som gäller. Detsamma gäller när tillfällig eller extern personal anlitas. Det är viktigt att alla har ett högt säkerhetsmedvetande och kritiskt ifrågasätter händelser som kan påverka informationssäkerheten. Skyddsåtgärder skall vara kostnadseffektiva och stå i proportion till värdet av informationen och de negativa konsekvenser en otillräcklig säkerhet kan medföra. Kontinuerlig uppföljning ska ske mot fastställda regler. 5 Ansvar Landstingsfullmäktige fastställer den informationssäkerhetspolicy som ska gälla för landstinget. Landstingsstyrelsen ansvarar för att landstingets informationssäkerhetspolicy och riktlinjer för informationssäkerheten utarbetas och hålls aktuella. Landstingsstyrelsen ansvarar också för samordningen av informationssäkerhetsarbetet i landstinget och ska därför årligen fastställa en övergripande handlingsplan för informationssäkerhetsarbetet.

16 Landstingsdirektören har landstingstingsstyrelsens uppdrag att sörja för att informationssäkerhetsarbetet bedrivs så effektivt som möjligt. Landstingsdirektören ansvarar för att övergripande tillämpningsanvisningar utarbetas och hålls aktuella i enlighet med policy och riktlinjer. Informationssäkerhetschefen verkställer samordningen av informationssäkerhetsarbetet inom landstinget och förvaltar denna policy, de tillhörande riktlinjerna och tillämpningsanvisningarna samt den övergripande handlingsplanen för informationssäkerhet. Varje nämnd och styrelse är ansvarig för informationssäkerheten inom sitt verksamhetsområde och ska därför, inom ramen för sitt lokala ledningssystem och i enlighet med tillämpningsanvisningar, anta verksamhetsnära styrdokument för informationssäkerhet. Det åligger även varje nämnd och styrelse att årligen planlägga och löpande följa upp informationssäkerheten och i övrigt vidta de åtgärder som krävs för att uppnå och upprätthålla tillräcklig intern kontroll. Ansvaret för informationssäkerheten är kopplat till det delegerade verksamhetsansvaret. Förvaltningschef/VD ska säkerställa att all informationshantering inom den egna verksamheten sker i enlighet med denna policy samt tillhörande riktlinjer och tillämpningsanvisningar för informationssäkerhet. Informationssäkerhetssamordnare ska utses inom varje förvaltning och bolag och ges i ansvar att samordna och följa upp det för organisationen och verksamheten gemensamma informationssäkerhetsarbetet. Varje anställd ansvarar för att uppställda säkerhetsregler följs samt att störningar och fel i informationssystem, utrustningar och informationsinnehåll rapporteras enligt fastställda rutiner. Informationssäkerhetsrådets uppgift är att främja, stödja, samordna och följa upp landstingets informationssäkerhetsarbete på en övergripande nivå. Landstingsrevisorernas uppgift är att granska om den interna kontrollen är tillräcklig.

17 6 Uppföljning och revidering Uppföljning och revidering av denna policy ska ske regelbundet. I samband med revidering ska tillhörande riktlinjer och tillämpningsanvisningar samt handlingsplanen för informationssäkerhet revideras på motsvarande sätt. 8(8)

18 Stockholms läns landsting Informationsklass: K1R2T1 LS Förslag till omarbetade riktlinjer för informationssäkerhet inom Stockholms läns landsting Beslutad av landstingsstyrelsen 20[xx]-[xx]-[xx] och landstingsfullmäktige 20[xx]-[xx]-[xx]

19 Innehallsförteckning 1 Inledande bestämmelser i 1.1 Inledning i 1.2 Mål i 1.3 Syfte och omfattning i 1.4 Grunder Landstingets regelverk för informationssäkerhet 2 2 Bedömning och hantering av risker Riskbedömning och riskhantering 4 3 Organisation av informationssäkerheten Övergripande informationssäkerhetsansvar Roller och ansvar i verksamheten Roller och ansvar gällande samordning och uppföljning 7 4 Personalresurser och informationssäkerhet Rekrytering och anställning Arbetsbeskrivning och anställningsvillkor Sekretess Utbildning och fortbildning i informationssäkerhet Avslutande av anställning 10 5 Hantering av tillgångar ll 5.1 Förteckning över informationstillgångar Klassificering av information Märkning av information Hantering av sekretessbelagd information Bevarande, rensning och gallring av information Personuppgifter Skyddade personuppgifter Patientuppgifter inom vården Betalkortsinformation Kakor (cookies) på webbplatser 15 6 Användning av IT-system Generella regler för användning av landstingets IT-system Anslutning av utrustning i landstingets IT-system Användning av landstingets IT-system Privat användning av landstingets IT-system Användning av internet Användning av e-post Användning av sociala medier Användaridentiteter, lösenord och e-tjänstekort 20

20 6.9 Kontrollåtgärder 20 7 Åtkomst till information Styrning av åtkomst till elektronisk information Extern informationsanvändning Styrning av åtkomst till icke digital information 23 8 Driftsäkerhet Generella krav på systemmilj ö Systemförvaltning Systemdokumentation Säkerhetsuppdateringar Skydd mot skadlig kod Styrning av ändringar i eller kring IT-system Felhantering Kapacitetsplanering Säkerhetskopiering och återläsning av data Driftövervakning Drift hos extern part Gallring av information och avveckling av IT-system 27 9 Kommunikations- och nätverkssäkerhet Säkerhetskrav på nätverksmiljön Utveckling och anskaffning av IT-system Generella regler vid utveckling och anskaffning Systemutvecklingsprojekt Upphandling av IT-system och systemutveckling Fysisk och miljörelaterad säkerhet Generella regler för fysisk och miljörelaterad säkerhet Säkra utrymmen Kraftförsörjning och elmiljö Säkerhet för tillgångar utanför egna lokaler Hantering av incidenter som rör informationssäkerhet Incidenthantering Kontinuitetsplanering Generella regler för kontinuitetsplanering Uppföljning och efterlevnad Uppföljning av regelverket Uppföljning av efterlevnad 37 Bilaga 1: Ansvarsbeskrivningar för särskilda roller i verksamheten Bilaga 2: Klassificeringsmodell

21 Läsanvisning Denna läsanvisning förklarar riktlinjernas innehåll och användning. Varje kapitel inleds med en kort sammanfattning som berättar om innehållet i kapitlet. Sammanfattningarna finns samlade nedan. Kapitel i. Inledande bestämmelser. I detta kapitel finns en förklaring till vad informationssäkerhet innebär, grundläggande bestämmelser och en genomgång av hur regelverket ser ut. Kapitel 2. Bedömning och hantering av risker. Landstingets informationstillgångar måste skyddas oavsett vilken form de har. Om det visar sig att skyddet kan kringgås är det viktigt att vi har en förmåga upptäcka detta. Därför ska vi ha god kunskap om de hot, risker och sårbarheter som kan komma att påverka oss och hur vi kan förebygga och hantera dem. Denna kunskap får vi bland annat genom att arbeta systematiskt med risk- och sårbarhetsanalyser. Kapitel 3. Organisation av informationssäkerheten. För att uppnå och behålla en god informationssäkerhet är det viktigt att roller och ansvar fördelas. I detta kapitel beskrivs vem som ansvarar för vad. Kapitel 4. Personalresurser och informationssäkerhet. Alla som arbetar i landstingets verksamhet måste förstå sitt ansvar för och bidra till att hantera och skydda landstingets informationstillgångar. Hur dessa frågor hanteras i personalprocessen beskrivs i detta tredje kapitel. Kapitel 5. Hantering av tillgångar. I detta kapitel finns det konkreta riktlinjer för hur vi ska hantera våra informationstillgångar. Sekretessbelagda handlingar, patientuppgifter inom vården och betalkortsinformation är exempel på känslig information som vi måste hantera på särskilt sätt. Genom att placera informationstillgångar i olika säkerhetsklasser vet vi vilka som kräver mer skydd än andra. Kapitel 6. Användning av IT-system. Hur får anställda använda datorer, internetuppkoppling, telefoner, e-post och andra arbetsredskap för att vi ska ha god informationssäkerhet? Här finns riktlinjerna för den personliga användningen av landstingets IT-system, och för vad som gäller vid arbete på annat ställe än arbetsplatsen. Kapitel 7. Åtkomst till information. Hur vi ska förhindra att obehöriga får åtkomst till landstingets informationssystem, IT-tjänster och -infrastruktur? Här finns riktlinjer för hur åtkomsten till informationen ska styras så att endast behöriga användare kommer åt information. Kapitel 8. Driftsäkerhet. För att undvika störningar och driftstopp i landstingets ITsystem måste det finnas en god förvaltning med noggranna rutiner för till exempel driftsättning, säkerhetskopiering och loggning.

22 Kapitel 9. Kommunikations- och nätverkssäkerhet. Det finns alltid risker för avlyssning, intrång och för att information förändras när den överförs genom data- och telekommunikation. Hur vi skyddar våra nätverk beskrivs i detta kapitel. Kapitel 10. Utveckling och anskaffning av system. Hur förhåller sig våra informationssystem och processer till de lagar som styr vår verksamhet? Den analysen måste göras innan informationssystem vidareutvecklas eller nya anskaffas. Här fmns riktlinjerna för hur det ska gå till. Kapitel 11. Fysisk och miljörelaterad säkerhet. Tillträdeskontroll, säkra utrymmen, skalskydd och brandskydd - det är några av de rubriker som tas upp under denna rubrik. Det handlar om hur IT-system och informationstillgångar ska skyddas, både i våra egna lokaler och när vi hyr in oss i andras. Kapitel 12. Hantering av incidenter som rör informationssäkerhet. När en allvarlig incident inträffar som påverkar informationssäkerheten är det viktigt att vi agerar snabbt för att begränsa eller avvärja konsekvenserna av den. Störningar kan ha flera orsaker och kan snabbt komma att påverka många delar av vår verksamhet, men också andra aktörer i samhället. I detta kapitel behandlas hur vi hanterar sådana slags händelser. Kapitel 13. Kontinuitetsplanering. Verksamheten ska kunna fortsätta även om till exempel IT-system slås ut, en strömkabel grävs av eller byggnader brinner ner. Därför är det viktigt att planera också hur verksamheten ska fungera om det händer något. Här fmns riktlinjerna för hur vi gör det och planerar för kontinuitet. Kapitel 14. Uppföljning och efterlevnad. Här får vi veta hur och när vi ska göra uppföljningar så att vi vet vad som fungerar bra och vad vi behöver förändra för att hålla en god informationssäkerhet och samtidigt uppfylla den demokratiska uppgift vi har som offentlig myndighet.

23 Definitioner För användningen av dessa riktlinjer gäller följande termer och definitioner: Autentisering Kontroll av uppgiven identitet. Behandling av personuppgifter Varje åtgärd eller serie av åtgärder som någon vidtar med personuppgifter, vare sig det görs på automatiserad väg eller inte. Behörighet Tilldelad åtkomsträttighet i IT-system. Hot Möjlig oönskad händelse med negativa konsekvenser för verksamheten. Information Ett vitt begrepp som inkluderar allt från kunskap som enskilda medarbetare besitter till information lagrad i IT-system. Informationssäkerhet Bevarande av konfidentialitet, riktighet och tillgänglighet hos information. (Härutöver kan begreppet även innefatta t.ex. spårbarhet, autenticitet, oawislighet och tillförlitlighet). Informationssäkerhets- incident En eller flera händelser som kan tänkas få allvarliga konsekvenser för verksamheten och hota informationssäkerheten (t.ex. brott mot sekretess, integritetsförlust, driftavbrott eller brist på tillgång till information). Övergripande avsikt och viljeinriktning formellt uttryckt av en organisations ledning. Anger mål och inriktning för samt styr informationssäkerhetsarbetet inom organisationen. IT-system Konfidentialitet Informationsbehandlingssystem som med informationsteknik hanterar och utbyter information med omgivningen. I begreppet IT-system innefattas även kommunikationsutrustning, datorer, servrar, skrivare och övrig teknisk utrustning som ansluts till landstingets elektroniska kommunikationsnätverk. Egenskap att information inte görs tillgänglig eller avslöjas för obehöriga personer, enheter eller processer. Känsliga personuppgifter Informationssäkerhetspolicy Uppgifter som avslöjar etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa eller sexualliv. Patientuppgifter är känsliga personuppgifter. Mobil enhet Mobiltelefon, surf- eller läsplatta eller liknande teknisk enhet. Bärbar dator innefattas inte i begreppet.

24 All slags information som direkt eller indirekt kan knytas till en fysisk person som är i livet. Bild- och ljuduppgifter om en identifierbar fysisk person räknas som personuppgifter, även om inga namn nämns. Krypterade uppgifter och olika slag av elektroniska identiteter är också personuppgifter om de direkt eller indirekt kan kopplas till fysiska personer som är i livet. Produkten av sannolikheten och konsekvensen för att ett givet hot realiseras. Metodisk process som identifierar säkerhetsrisker och bestämmer dess betydelse. Ett elektroniskt system, som gör det möjligt för en vårdgivare ge eller få direktåtkomst till personuppgifter. Varje slag av otvetydig viljeyttring genom vilken den registrerade godtar att personuppgifter som rör honom eller henne behandlas. Supervisory, Control and Data Acqusition, s.k. digitala kontrollsystem. Datorbaserade system för styrning, reglering och övervakning av fysiska processer som t.ex. el-, gasoch vattenförsörjning samt spårbunden trafik. Otillåten programkod som syftar till för att ändra, röja, förstöra, störa eller avlyssna ett datanät, funktioner eller uppgifter i IT-system. Handling, procedur eller tekniskt arrangemang som genom att minska sårbarheten möter identifierade hot. Autentisering som innebär att identiteten kontrolleras på minst två sätt. Brist i skyddet av en tillgång eller en grupp av tillgångar exponerad för hot. Något som har värde för en organisation. Med informationstillgångar menas informationen i sig och de resurser som används för att hantera den, t.ex. programvaror, tjänster och fysiska tillgångar. Egenskap att vara tillgänglig och användbar på begäran av en behörig aktör.

25 1(37) 1 Inledande bestämmelser Informationssäkerhetspolicyn, antagen av landstingsfullmäktige, styr hur vi arbetar med informationssäkerhet inom Stockholms läns landsting. I detta kapitel finns en förklaring till vad informationssäkerhet innebär, grundläggande bestämmelser och en genomgång av hur regelverket ser ut. 1.1 Inledning Stockholm läns landsting ansvarar för den offentligt finansierade hälso- och sjukvården, kollektivtrafiken, regionplaneringen och andra viktiga uppgifter i Stockholms län. Verksamheten är omfattande och komplex, med många olika intressenter och med ett stort beroende av information. En effektiv och säker användning av information är en förutsättning för landstingets verksamhet och för förtroendet för förmågan att leverera service till medborgarna. Dessutom ställer offentlighetsprincipen krav på landstingets informationshantering, liksom speciallagstiftning inom verksamhetsområden som hälso- och sjukvård och trafik. Detta sammantaget gör information till en av landstingets mest betydelsefulla resurser. Landstingets informationssäkerhetspolicy belyser att informationssäkerhet handlar om kvalitet och att den är en förutsättning för att uppnå exempelvis säkerhet och integritet för patienter och trafikanter. Att förbättra en verksamhets informationssäkerhet innebär inte enbart att tillmötesgå externa krav, utan även att förbättra verksamheten i sig, ett sätt att uppnå god kvalitet och god intern kontroll. Informationssäkerhetsarbetet berör hela landstingets verksamhet. Det utgår från säkerhetsstandarder som är utgivna av standardiseringsorganisationerna, och riktar in sig på de objekt som ska skyddas. Ett sunt och vaket säkerhetsmedvetande hos alla medarbetare är en förutsättning för väl fungerande informationssäkerhet. 1.2 Mål Målet för landstingets informationssäkerhetsarbete är att skydda informationen inom verksamheten. Skyddet ska vara anpassat till skyddsvärde, risk och lagkrav och därigenom möjliggöra för landstingets verksamheter att uppnå sina mål. En god informationssäkerhet inom landstinget främjar verksamheternas funktionalitet, kvalitet och effektivitet, medborgares rättigheter och personliga integritet, landstingets förmåga att förebygga och hantera allvarliga störningar och kriser samt förtroendet för landstingets informationshantering och IT-system. 1.3 Syfte och omfattning [1.3.1] Dessa riktlinjer, vilka är en konkretisering av landstingets informationssäkerhetspolicy, är tillsammans med tillhörande tillämpningsanvisningar, styrande för landstingets informationshantering. De ska efterlevas av samtliga nämnder, styrelse och bolag inom landstinget och av samtliga som arbetar på uppdrag av landstinget. Det sistnämnda regleras genom avtal.

26 2 1.4 Grunder [1.4.1] Inom landstingets nämnder, styrelser och bolag ska ett systematiskt och långsiktigt informationssäkerhetsarbete bedrivas. [1.4.2] Respektive nämnd, styrelse och bolag ansvarar för att det, inom ramen för landstingets övergripande ledningssystem för informationssäkerhet, finns ett lokalt ledningssystem för informationssäkerhet inom dess verksamhetsområde. [1.4.3] Landstingets informationstillgångar ska identifieras, klassificeras och ges en lämplig skyddsnivå med utgångspunkt i att de finns tillgängliga när de behövs (tillgänglighet), att de är korrekta (riktighet), att obehöriga inte kan få tillgång till dem (konfidentialitet) och att händelser i informationsbehandlingen kan spåras (spårbarhet). [1.4.4] Landstingets verksamheter ska, utifrån återkommande risk- och sårbarhetsanalyser och inträffade incidenter, avgöra hur risker ska hanteras och vidta nödvändiga åtgärder för att upprätthålla rätt skyddsnivåer för informationen. [1.4.5] För att uppnå målet med informationssäkerheten ska säkerhetsarbetet omfatta samtliga delar av administrativ respektive teknisk säkerhet, det vill säga samtliga behandlade delar i dessa riktlinjer. [1.4.6] I enlighet med vad som gäller för övrig verksamhet inom landstinget, är ansvaret för informationssäkerheten kopplat till det delegerade verksamhetsansvaret. Det betyder att varje person som är ansvarig för en verksamhet eller får ett delegerat verksamhetsansvar också är ansvarig för informationssäkerheten i denna verksamhet. Kommentar: Riktlinjerna är framtagna med stöd av standarden för informationssäkerhet, ISO/IEC 27000, och i enlighet med organisationens verksamhetskrav samt gällande lagar och föreskrifter, däribland MSB:s föreskrift om informationssäkerhet, Myndigheten för samhällsskydd och beredskap. 1.5 Landstingets regelverk för informationssäkerhet [1.5.1] Landstingets regelverk för informationssäkerhet är uppbyggt enligt följande struktur: Nationella styrdokument Landstingets övergripande styrdokument Verksamhetsnära styrdokument specifika för nämnd och styrelse Lagar, förordningar, författningssamlingar, planer Landstingets informationssäkerhetspolicy Infor (al ssakerhetspolicy Landstingsfullmäktige Allmänna råd, handböcker Landstingets riktlinjer för informationssäkerhet Lokala riktlinjer _r a. I L Landstlngsstyr elsen Landstingets tillämpningsanvisningar för informationssäkerhet Lokala anvisningar for informationssäkerhet Landstingsdirektören Lokala ihstruktloner Bild: Hierarki för dokument med tillhörande ansvarsfördelning som ledningssystemet för informationssäkerhet baseras på.

27 3(37) Nationella styrdokument Alla som arbetar på uppdrag av landstinget kommer i kontakt med informationssäkerhetsfrågor och har att, förutom dessa riktlinjer, följa ett antal lagar, förordningar och andra föreskrifter. Några av dem är stiftade på nationell nivå och gäller för alla myndigheter, landsting och kommuner. Myndigheten för samhällsskydd och beredskap, MSB, har det sammanhållande myndighetsansvaret för samhällets informationssäkerhet enligt Svensk författningssamling SFS 2008:1002. Landstingets övergripande styrdokument Informationssäkerhetspolicyn beskriver landstingets syn på informationssäkerhet och de övergripande principer som gäller för informationssäkerheten. Informationssäkerhetspolicyn antas av landstingsfullmäktige. Riktlinjer för informationssäkerhet konkretiserar informationssäkerhetspolicyn och ger riktlinjer avseende skyddsåtgärder och -nivåer. Riktlinjerna antas av landstingsstyrelsen. Tillämpningsanvisningar för informationssäkerhet innehåller preciseringar till landstingets policy och riktlinjer. Tillämpningsanvisningarna och vägledningar antas av landstingsdirektören, som tillsammans med förvaltningar och bolag även tar fram en övergripande handlingsplan för informationssäkerhet. Lokala styrdokument Varje nämnd och styrelse ska, inom ramen för landstingets övergripande ledningssystem för informationssäkerhet, styra och leda sitt informationssäkerhetsarbete i ett ledningssystem inom dess verksamhetsområde, s.k. lokalt ledningssystem. Styrdokumenten på lokal nivå består av en lokal policy, lokala riktlinjer samt lokala anvisningar för informationssäkerhet. Dessa styrdokument innehåller preciseringar och tillägg till de övergripande styrdokumenten med utgångspunkt från den egna organisationens specifika behov och i enlighet med tillämpningsanvisningar. Med utgångspunkt från anvisningarna utarbetas då behov föreligger lokala instruktioner av respektive förvaltning och bolag. De beskriver detaljerat hur rutiner och skyddsåtgärder utformas och tillämpas för att informationssäkerheten ska kunna realiseras i verksamheten. Införandet ska konkretiseras i en handlingsplan för informationssäkerhet. Kommentar: Socialstyrelsens föreskrifter om informationshantering och journalföring i hälso- och sjukvården, SOSFS 2008:14, anges att en vårdgivare ska ha en dokumenterad informationssäkerhetspolicy som gör att personuppgifter hanteras på ett säkert sätt i verksamheten, se även avsnitt landstingets regelverk för informationssäkerhet motsvarar detta den lokala informationssäkerhetspolicyn. I lokala anvisningar ska lagar och författningar identifieras, som påverkar arbetet med informationssäkerhet.

28 4(37) 2 Bedömning och hantering av risker Landstingets informationstillgångar måste skyddas oavsett vilken form de har. Om det visar sig att skyddet kan kringgås är det viktigt att vi har en förmåga upptäcka detta. Därför ska vi ha god kunskap om de hot, risker och sårbarheter som kan komma att påverka oss och hur vi kan förebygga genom att arbeta systematiskt med risk- och och hantera dem. Denna kunskap får vi bland annat sårbarhetsanalyser. 2.1 Riskbedömning och riskhantering [2.1.1] Varje verteamhet ska, för sin verksamhet, IT-system, processer och motsvarande, genomföra och dokumentera analyser avseende vilka hot, risker och sårbarheter som kan påverka verksamheten, och utifrån dessa analyser vidta lämpliga säkerhetsskyddsåtgärder. [2.1.2] Riskbedömning ska, om inte särskilda skäl föreligger, ske med delprocesserna riskidentifiering, riskanalys, riskvärdering och genomföras i enlighet med landstingets gällande vägledning. [2.1.3] För varje risk som identifieras under riskbedömning ska ett riskhanteringsbeslut fattas. Riskhanteringsbeslut som innebär att risk inte kan godtas ska leda till åtgärdsplan för att minska risken till godtagbar nivå. [2.1.4] Riskbedömning och riskhantering ska vara en kontinuerlig process och stödja informationssäkerhetsarbetet. Riskbedömningar ska revideras när förutsättningar väsentligen förändras. Kommentar: Landstings risk- och sårbarhetsanalyser behandlas i MSB:s föreskrifter för risk- och sårbarhetsanalyser MSBFS 2010:6. Riskanalys inom hälso- och sjukvårdverksamhet behandlas i Socialstyrelsens kvalitetsledningsföreskrifter samt i föreskrifterna SOSF 2008:14.

29 5(37) 3 Organisation av informationssäkerheten För att uppnå och behålla en god informationssäkerhet är det viktigt att roller och ansvar fördelas. Vem är ansvarig för vad - och vad innehåller ansvaret? I detta kapitel beskrivs vad som är politikernas, revisorernas, chefstjänstemännens respektive verksamhetschefernas ansvar. Här ingår också en genomgång av vem som ansvarar för att och system hanteras på rätt sätt med avseende på informationssäkerhet. 3.1 Övergripande informationssäkerhetsansvar information [3.1.1] Landstingsfullmäktige Landstingsfullmäktige fastställer den informationssäkerhetspolicy som ska gälla för landstinget. [3.1.2] Landstingsstyrelsen Landstingsstyrelsen ansvarar för att landstingets informationssäkerhetspolicy och riktlinjer för informationssäkerheten utformas och hålls aktuella. Landstingsstyrelsen har ansvaret för samordning och uppföljning av informationssäkerheten och har därmed det övergripande ansvaret för informationssäkerheten inom landstinget. [3.1.3] Landstingsdirektören Landstingsdirektören har landstingsstyrelsens uppdrag att utforma övergripande tillämpningsanvisningar för informationssäkerhet och tillse att de hålls aktuella. Landstingsdirektören har vidare landstingstingsstyrelsens uppdrag att sörja för att informationssäkerhetsarbetet bedrivs så effektivt som möjligt, genom att visa ett tydligt stöd och fördela resurser, så att informationssäkerhetsmålet kan uppnås. I landstingsdirektörens uppdrag ingår även att, i samråd med berörda förvaltningar och bolag, utforma en övergripande handlingsplan för informationssäkerhetsarbetet inom landstinget och tillse att den beaktas i förvaltningars och bolags årliga budgetförslag. Landstingsdirektören ska utse en informationssäkerhetschef med ansvar för samordning och övergripande uppföljning av informationssäkerhetsarbetet inom landstinget. [3.1.4] Informationssäkerhetschefen Informationssäkerhetschefen verkställer samordningen av informationssäkerhetsarbetet inom landstinget och förvaltar landstingets informationssäkerhetspolicy, dessa riktlinjer, landstingets tillämpningsanvisningar samt den övergripande handlingsplanen för informationssäkerhet. Denne ska arbeta med informationssäkerhetsfrågor på en övergripande och strategisk nivå. I ansvaret ingår omvärldsbevakning, samordning, att vara sammankallande i landstingets informationssäkerhetsråd samt att inhämta information om och rapportera informationssäkerhetsläget i landstinget som ett led i uppföljningen av informationssäkerheten. [3.1.5] Landstingsrevisorerna Landstingsrevisorernas uppgift är att granska den interna kontrollen, vilket här innefattar att granska om ledning och styrning, uppföljning och kontroll av informationssäkerheten är tillfredställande.

30 6(37) 3.2 Roller och ansvar i verksamheten Nedan beskrivs informationssäkerhetsansvar för vissa generella roller. Beroende på lokala förhållanden kan även andra roller behöva beskrivas och ansvar fastställas. [3.2.1] Styrelser och nämnder Varje nämnd och styrelse är ytterst ansvarig för informationssäkerheten inom sin förvaltning och bolag. Den ska därför, inom ramen för sitt ledningssystem och i enlighet med tillämpningsanvisningar, anta styrdokument för informationssäkerhet enligt [1.5.1]. Det åligger också varje nämnd och styrelse att årligen planlägga och löpande följa upp informationssäkerheten och i övrigt vidta de åtgärder som krävs för att uppnå och upprätthålla tillräcklig intern kontroll. Nämnd och styrelse är personuppgiftsansvarig inom sin organisation, enligt personuppgiftslagen (PuL). Personuppgiftsansvarig ska utse ett eller flera personuppgiftsombud. [3.2.2] Personuppgiftsombud Personuppgiftsombud har till uppgift att tillse att personuppgifter behandlas på ett lagligt och korrekt sätt. Personuppgiftsombudet ska bl.a. påpeka eventuella brister i behandlingen. Om inte brister åtgärdas efter påpekande ska ombudet anmäla missförhållanden till Datainspektionen som är tillsynsmyndighet när det gäller behandling av personuppgifter. Personuppgiftsombudet ska föra en förteckning över de behandlingar av personuppgifter, som skulle ha omfattats av anmälningsskyldighet, om ombudet inte funnits. [3.2.3] Förvaltningschef/VD Förvaltningschefs/D har, inom sin verksamhet, ansvaret för att utforma och kommunicera innehållet i lokala styrdokument för informationssäkerhet, verkställa och följa upp styrelse respektive nämnds beslut och att åtminstone årligen rapportera status på informationssäkerheten till nämnd respektive styrelse. FörvaltningschefVD har, inom sin verksamhet, ansvar för att all informationshantering sker i enlighet med fastställda styrdokumenten för informationssäkerhet. Förvaltningschef/VD ansvarar för att det sker en kartläggning och en prioritering av vilka verksamheter som är i behov av en kontinuitetsplan. Dessutom ska det utses en krisorganisation som ska ansvara för att få verksamheterna att återgå till ett normalläge efter katastrofsituationer, störningar och oplanerade avbrott. Krisorganisationen kan antingen vara övergripande eller per respektive verksamhet. Alla viktiga informationstillgångar inom landstinget ska redovisas. Förvaltningschef/VD ansvarar för att förteckning förs över dessa. Det åligger även denne att säkerställa att ägare för dessa tillgångar utses, med ansvar för att vidta nödvändiga skyddsåtgärder. Förvaltningschef/VD ska avsätta resurser för informationssäkerhet samt utse en informationssäkerhetssamordnare. Förvaltningschef/VD ska tillse att det fmns instruktioner för hur vidtagna åtgärder och brister ska rapporteras. Inom hälso- och sjukvårdsverksamhet ska förvaltningschef/vd även utse en eller flera personer som har till övergripande uppgift att se till att patientens rättigheter enligt Patientdatalagen och tillhörande regelverk uppfylls.

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy inom Stockholms läns landsting LS 1112-1733 Informationssäkerhetspolicy inom Stockholms läns landsting 2013-02-01 Beslutad av landstingsfullmäktige 2013-03-19 2 (7) Innehållsförteckning 1 Inledning...3 2 Mål... 4 3 Omfattning... 4 4

Läs mer

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting Informationssäkerhetspolicy för Stockholms läns landsting 1 Innehållsförteckning Inledning... 3 Mål... 4 Omfattning... 4 Innebörd... 4 Ansvar... 6 Uppföljning och revidering... 7 LS 1112-1733 Beslutad

Läs mer

Lokal informationssäkerhetspolicy, lokala informationssäkerhetsriktlinjer och anvisningar

Lokal informationssäkerhetspolicy, lokala informationssäkerhetsriktlinjer och anvisningar Handläggare: Christina Hegefjärd 1 (1) PAN 2015-12-01 P 6 TJÄNSTEUTLÅTANDE 2015-12-01 PaN A1510-0031257 PaN A1510-0031157 PaN A1510-0031057 Lokal informationssäkerhetspolicy, lokala informationssäkerhetsriktlinjer

Läs mer

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet.

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet. Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet. Följande allmänna råd ansluter till förordningen (2006:942) om krisberedskap och

Läs mer

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål. Informationssäkerhetspolicy 2011-2014 1. Bakgrund Detta dokument fastställs av kommunfullmäktige och gäller för all verksamhet inom kommunen. Detta betyder att det inte finns utrymme att besluta om lokala

Läs mer

Lokal informationssäkerhetspolicy för hälso- och sjukvårdsförvaltningen

Lokal informationssäkerhetspolicy för hälso- och sjukvårdsförvaltningen Hälso- och sjukvårdsförvaltningen TJÄNSTEUTLÅTANDE 2016-03-03 1 (3) HSN 1506-0806 Handläggare: Bill Heiding, Carina Landberg Hälso- och sjukvårdsnämnden 2016-04-19, p 11 Lokal informationssäkerhetspolicy

Läs mer

Informationssäkerhetspolicy för Vetlanda kommun

Informationssäkerhetspolicy för Vetlanda kommun 1 (10) Informationssäkerhetspolicy för Vetlanda kommun Dokumenttyp: Policy Beslutad av: Kommunfullmäktige (2015-12-16 202) Gäller för: Alla kommunens verksamheter Giltig fr.o.m.: 2015-12-16 Dokumentansvarig:

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010. Revisionsrapport Gymnastik- och idrottshögskolan Box 5626 114 86 Stockholm Datum Dnr 2011-03-08 32-2010-0728 Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan

Läs mer

Vetenskapsrådets informationssäkerhetspolicy

Vetenskapsrådets informationssäkerhetspolicy Vetenskapsrådets informationssäkerhetspolicy 1 (6) Ändringshistorik Datum Version Beskrivning av ändring Vem 2014-01-07 PA1 Initial version Torulf Lind 2014-01-07 PA2 Uppdatering roller Torulf Lind 2014-01-17

Läs mer

Revidering av policy och regler för informationssäkerhet i Stockholms stad

Revidering av policy och regler för informationssäkerhet i Stockholms stad Utlåtande 2005: RI (Dnr 034-418/2005) Revidering av policy och regler för informationssäkerhet i Stockholms stad Kommunstyrelsen föreslår kommunfullmäktige besluta följande 1. Förslag till policy och riktlinjer

Läs mer

IT-verksamheten, organisation och styrning

IT-verksamheten, organisation och styrning IT-verksamheten, organisation och styrning KPMG Örebro 27 februari 2007 Antal sidor 12 Innehåll 1. Inledning 1 2. Syfte 1 3. Metod 1 4. Sammanfattning 2 5. IT-verksamhet, organisation och ansvar 3 5.1.1

Läs mer

Principer för ny tjänstemannaorganisation under landstingsstyrelsen med anledning av den nya politiska organisationen

Principer för ny tjänstemannaorganisation under landstingsstyrelsen med anledning av den nya politiska organisationen Stockholms läns landsting 1 (2) Landstingsradsberedningen SKRIVELSE 2015-01-21 LS 1411-1350 Landstingsstyrelsen Principer för ny tjänstemannaorganisation under landstingsstyrelsen med anledning av den

Läs mer

Informationssäkerhet - Instruktion för förvaltning

Informationssäkerhet - Instruktion för förvaltning Informationssäkerhet - Instruktion för förvaltning Innehållsförteckning 1. INFORMATIONSSÄKERHET...3 2. ORGANISATION OCH ANSVAR INFORMATIONSSÄKERHET...4 2.1 KOMMUNSTYRELSEN... 4 2.2 NÄMND OCH BOLAG... 4

Läs mer

En bild av kommunernas informationssäkerhetsarbete 2015

En bild av kommunernas informationssäkerhetsarbete 2015 En bild av kommunernas informationssäkerhetsarbete 2015 En bild av kommunernas informationssäkerhetsarbete 2015 En bild av kommunernas informations säkerhetsarbete 2015 Myndigheten för samhällsskydd och

Läs mer

Kommunövergripande riktlinjer för säkerhet och krisberedskap i Östra Göinge kommun mandatperioden 2015-2018

Kommunövergripande riktlinjer för säkerhet och krisberedskap i Östra Göinge kommun mandatperioden 2015-2018 Ansvarig namn Jonas Rydberg, kommunchef Dokumentnamn Riktlinjer säkerhetsarbete Upprättad av Bertil Håkanson, säkerhetssamordnare Reviderad: Berörda verksamheter Samtliga verksamheter Fastställd datum

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy Informationssäkerhetspolicy Dokumentnamn Dokumenttyp Fastställd/upprättad Beslutsinstans Informationssäkerhetspo licy Policy 2013-11-11 KF Dokumentansvarig Diarienummer Giltig till IT-chef KS.2013.182

Läs mer

Beredningen för integritetsfrågor

Beredningen för integritetsfrågor Beredningen för integritetsfrågor Martin X Svensson IT Arkitekt 0736-250609 Martin.X.Svensson@skane.se BESLUTSFÖRSLAG Datum 2012-10-31 Dnr 1202434 1 (3) Regionstyrelsen Aktiviteter för att öka tillgänglighet

Läs mer

RS-riktlinjer för Informationssäkerhet i Västra Götalandsregionen

RS-riktlinjer för Informationssäkerhet i Västra Götalandsregionen Koncernkontoret Säkerhetsenheten Dokumenttyp RS-riktlinjer för informationssäkerhet för Västra Götalandsregionen Dokumentansvarig Övergripande dokument Säkerhetspolicy för Västra Götalandsregionen Kontaktperson

Läs mer

I Central förvaltning Administrativ enhet

I Central förvaltning Administrativ enhet ., Landstinget II DALARNA I Central förvaltning Administrativ enhet ~llaga LS 117,4 BESLUTSUNDERLAG Landstingsstyrelsen Datum 2013-11-04 Sida 1 (3) Dnr LD13/02242 Uppdnr 652 2013-10-21 Landstingsstyrelsens

Läs mer

IT-säkerhetspolicy för Åtvidabergs kommun

IT-säkerhetspolicy för Åtvidabergs kommun Version 2005-01-26 Denna är s övergripande dokument styrning och kvalitetsutveckling av IT-säkerheten i den kommunala verksamheten. n innehåller strategier att uppnå målen. Kommunfullmäktige antar den

Läs mer

Policy för informationssäkerhet

Policy för informationssäkerhet .. - T C Q o,.. e Policy för informationssäkerhet Landstingsdirektörens stab augusti 2015 CJiflt LANDSTINGET BLEKINGE Innehållsförteckning Inledning och bakgrund... 3 Syfte... 3 Mål... 3 Genomförande...

Läs mer

Policy för informationssäkerhet

Policy för informationssäkerhet Policy för informationssäkerhet Informationssäkerhet är den del i organisationens lednings- och kvalitetsprocess som avser hantering av verksamhetens information. Informationssäkerhetspolicyn och särskilda

Läs mer

EBITS 2003-10-14 Energibranschens IT-säkerhetsforum

EBITS 2003-10-14 Energibranschens IT-säkerhetsforum EBITS 2003-10-14 Energibranschens IT-säkerhetsforum Bruksanvisning till malldokument för REGLER OCH RIKTLINJER FÖR INFORMATIONSSÄKERHET Version 0.1 1. Dokumentet skall anpassas specifikt för företaget.

Läs mer

Yttrande över E-delegationens slutbetänkande En förvaltning som håller ihop (SOU 2015:66)

Yttrande över E-delegationens slutbetänkande En förvaltning som håller ihop (SOU 2015:66) Stockholms läns landsting 1 (2) Landstingsradsberedningen SKRIVELSE 2015-11-18 LS 2015-1121 Landstingsstyrelsen Yttrande över E-delegationens slutbetänkande En förvaltning som håller ihop (SOU 2015:66)

Läs mer

FÖRFATTNINGSSAMLING BESLUT GÄLLER FR FLIK SID Kf 83/05 2005-06-13 Kf 26 1. IT-säkerhetspolicy

FÖRFATTNINGSSAMLING BESLUT GÄLLER FR FLIK SID Kf 83/05 2005-06-13 Kf 26 1. IT-säkerhetspolicy FÖRFATTNINGSSAMLING BESLUT GÄLLER FR FLIK SID Kf 83/05 20050613 Kf 26 1 ITsäkerhetspolicy Härjedalens kommuns ramverk för ITsäkerhetsarbete i enlighet med Krisberedskapsmyndighetens Basnivå för ITSäkerhet

Läs mer

STRÖMSTADS KOMMUN SÄKERHETSPOLICY. Antagen av Kommunfullmäktige 2010-10-28 90

STRÖMSTADS KOMMUN SÄKERHETSPOLICY. Antagen av Kommunfullmäktige 2010-10-28 90 STRÖMSTADS KOMMUN SÄKERHETSPOLICY Antagen av Kommunfullmäktige 2010-10-28 90 INNEHÅLLSFÖRTECKNING SIDA 1. Bakgrund 3 2. Inriktningsmål 3 3. Riktlinjer för att uppnå målen 3 3.1 Inriktning 4 3.1.1 Attityder

Läs mer

Rikspolisstyrelsens författningssamling

Rikspolisstyrelsens författningssamling Rikspolisstyrelsens författningssamling ISSN 0347 545X Utgivare: chefsjuristen Lotta Gustavson Rikspolisstyrelsens föreskrifter om säkerhet vid Polisens informationsbehandling med stöd av IT; beslutade

Läs mer

Digital strategi för Strängnäs kommun

Digital strategi för Strängnäs kommun 1/8 Beslutad: Kommunfullmäktige 2016-01-25 8 Gäller fr o m: 2016-01-26 Myndighet: Diarienummer: Kommunstyrelsen KS/2015:646-005 Ersätter: Ansvarig: IT-strateg Digital strategi för Strängnäs kommun 2/8

Läs mer

Vervas kräver ISO 27001 och ISO 27002 av alla statliga myndigheter. Maylis Karlsson, Utvecklingsstrateg Verva 08-04-03

Vervas kräver ISO 27001 och ISO 27002 av alla statliga myndigheter. Maylis Karlsson, Utvecklingsstrateg Verva 08-04-03 Vervas kräver ISO 27001 och ISO 27002 av alla statliga myndigheter Maylis Karlsson, Utvecklingsstrateg Verva 08-04-03 Vervas regeringsuppdrag Utveckla säkert elektroniskt informationsutbyte Leda och samordna

Läs mer

Informationssäkerhet i. Torsby kommun

Informationssäkerhet i. Torsby kommun 2008-09-15 Informationssäkerhet i Torsby kommun Säkerhetsplan 20080915 IT-avdelningen Besöksadress Nya Torget 8, Torsby Torsby kommun 20. IT-avdelningen 685 80 Torsby 0560-160 97 0560-160 25 fax it@torsby.se

Läs mer

FÖRSVARSMAKTENS INTERNA BESTÄMMELSER

FÖRSVARSMAKTENS INTERNA BESTÄMMELSER FÖRSVARSMAKTENS INTERNA BESTÄMMELSER FIB 2006:2 Utkom från trycket 2006-02-16 Försvarsmaktens interna bestämmelser om IT-säkerhet; beslutade den 9 februari 2006. Försvarsmakten föreskriver följande. 1

Läs mer

Riktlinjer för systematiskt säkerhetsarbete och säkerhetsorganisation för Malung-Sälens kommun.

Riktlinjer för systematiskt säkerhetsarbete och säkerhetsorganisation för Malung-Sälens kommun. Riktlinjer för systematiskt säkerhetsarbete och säkerhetsorganisation för Malung-Sälens kommun. Antagna av kommunstyrelsen den 11 mars 2014, 29. 1. INLEDNING Malung-Sälens kommun ska, på demokratisk grund,

Läs mer

Riktlinjer för Kungälvs kommuns styrdokument

Riktlinjer för Kungälvs kommuns styrdokument Riktlinjer för Kungälvs kommuns styrdokument Antagna av kommunfullmäktige 2011-11-10 (2011 201) Gäller för alla nämnder och all verksamhet i Kungälvs kommun Dokumentansvarig: Chef, kommunledningssektorn

Läs mer

HSA Anslutningsavtal. HSA-policy

HSA Anslutningsavtal. HSA-policy HSA Anslutningsavtal HSA-policy Innehållsförteckning Revisionshistorik... 3 Kontaktuppgifter... 3 Övergripande dokumentstruktur för HSA... 4 1. Introduktion... 6 1.1. Översikt... 6 1.2. Terminologi...

Läs mer

Förordnande av verksamhetschef för den medicinska och psykologiska delen av elevhälsan

Förordnande av verksamhetschef för den medicinska och psykologiska delen av elevhälsan Förordnande av verksamhetschef för den medicinska och psykologiska delen av elevhälsan Beskrivning av ärendet I denna skrivelse redogörs för de kompetenskrav som ställs på verksamhetschefen för den medicinska

Läs mer

Motion 2013:4 av Håkan Jörnehed (V) och Gunilla Roxby Cromvall (V) om Stockholms läns landstings ansvar för de nationella minoriteterna

Motion 2013:4 av Håkan Jörnehed (V) och Gunilla Roxby Cromvall (V) om Stockholms läns landstings ansvar för de nationella minoriteterna 1 (2) La ndstingsrådsbered ningen SKRIVELSE 2013-09-25 LS 1303-0417 LANDSTINGSSTYRELSEN Landstingsstyrelsen 1 3 "10-08 00009 * Motion 2013:4 av Håkan Jörnehed (V) och Gunilla Roxby Cromvall (V) om s ansvar

Läs mer

Vad vill MSB? Information till alla medarbetare om verksamheten 2014 med utgångspunkt i det vi vill uppnå i samhället

Vad vill MSB? Information till alla medarbetare om verksamheten 2014 med utgångspunkt i det vi vill uppnå i samhället Vad vill MSB? Information till alla medarbetare om verksamheten 2014 med utgångspunkt i det vi vill uppnå i samhället Vad vill MSB? Information till alla medarbetare om verksamheten 2014 med utgångspunkt

Läs mer

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet 2008:490 kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet Fastställt av kommunfullmäktige 2008-10-02 302 komplettering gjord

Läs mer

Invånarens direktåtkomst till journalinformation samt regelverk för detta

Invånarens direktåtkomst till journalinformation samt regelverk för detta Hälso- och sjukvårdsförvaltningen TJÄNSTEUTLÅTANDE 2016-05-10 1 (7) HSN 2016-2046 Handläggare: Dan Billtorp Hälso- och sjukvårdsnämnden 2016-05-24, p 4 Invånarens direktåtkomst till journalinformation

Läs mer

Landstingsstyrelsens förslag till beslut

Landstingsstyrelsens förslag till beslut FÖRSLAG 2007:57 1 (10) Landstingsstyrelsens förslag till beslut Program för att förebygga, bemöta och följa upp våld och hot i arbetsmiljön Föredragande landstingsråd: Maria Wallhager Ärendet Produktionsutskottet

Läs mer

Tal till Kungl. Krigsvetenskapsakademien

Tal till Kungl. Krigsvetenskapsakademien C LAES N O R G R E N R I K S R E V I S O R Tal till Kungl. Krigsvetenskapsakademien Riksrevisor Claes Norgren talar om informationssäkerhet inför Kungl. Krigsvetenskapsakademien, Försvarshögskolan 27 april

Läs mer

Fördjupning: Juridik vid införande av välfärdsteknik. Jeanna Thorslund, Jurist och Samordnare Informationssäkerhet, SKL Manólis Nymark, Jurist

Fördjupning: Juridik vid införande av välfärdsteknik. Jeanna Thorslund, Jurist och Samordnare Informationssäkerhet, SKL Manólis Nymark, Jurist Fördjupning: Juridik vid införande av välfärdsteknik Jeanna Thorslund, Jurist och Samordnare Informationssäkerhet, SKL Manólis Nymark, Jurist Agenda för dagen 11.00-12.15 Vilka juridiska frågor blir aktuella

Läs mer

Regler för behandling av personuppgifter vid Högskolan Dalarna

Regler för behandling av personuppgifter vid Högskolan Dalarna Regler för behandling av personuppgifter vid Högskolan Dalarna Beslut: Rektor 2015-11-02 Reviderad: - Dnr: DUC 2015/1924/10 Ersätter: Tillämpning av personuppgiftslagen (PUL) inom HDa, DUF 2001/1433/12

Läs mer

Förslag på ny kriskommunikationsplan för Stockholms läns landsting

Förslag på ny kriskommunikationsplan för Stockholms läns landsting Stockholms läns landsting 1 (2) Landstingsradsberedningen SKRIVELSE 2015-04-22 Landstingsstyrelsen Kriskommunikationsplan för Stockholms läns landsting Föredragande landstingsråd: Torbjörn Rosdahl Ärendebeskrivning

Läs mer

1T1 SOLLENTUNA KOMMUN e

1T1 SOLLENTUNA KOMMUN e 1T1 SOLLENTUNA KOMMUN e Sammanträdesprotokoll Sammanträdesdatum 2011-10-19 Sidan 19 av 31 2011 "11" 0 2 125/2011 Dnr 2011/394 KS.033-1 DIARIENR It-policy för Sollentuna kommun I ärendet föreligger tjänsteutlåtande

Läs mer

TJÄNSTEUTLÅTANDE SID 1(2) H A N D L Ä G G A R E D A T U M D I A R I E N R Per-Olov Gustafsson Ledning (Landstingets ledningsstab) +46155247636 2013-02-20 LS-LED13-120-1 Ä R E N D E G Å N G Landstingsstyrelsens

Läs mer

Instruktion för valberedningen

Instruktion för valberedningen 1 Instruktion för valberedningen ALLMÄNT OM VALBEREDNING MM Bolaget skall ha en valberedning bestående av åtta ledamöter. Dessa ska representera kretsarna för val av fullmäktige. Av dessa ska kretsarna

Läs mer

SKRIVELSE 2014-02-19 LS 1312-1593. Handlingsplan för att säkra en positiv utveckling inom landstingets trafikverksamhet

SKRIVELSE 2014-02-19 LS 1312-1593. Handlingsplan för att säkra en positiv utveckling inom landstingets trafikverksamhet Stockholms läns landsti ing 1 (2) Landstingsradsberedningen SKRIVELSE 2014-02-19 LS 1312-1593 Landstingsstyrelsen LANDSTIG GSSTYRc LSEM 14-03- 0 < C G G G 7 Handlingsplan för att säkra en positiv utveckling

Läs mer

Stockholms läns sjukvårdsområde som mottagare av somatisk specialistvård inom ramen för Framtidens hälso- och sjukvård

Stockholms läns sjukvårdsområde som mottagare av somatisk specialistvård inom ramen för Framtidens hälso- och sjukvård Stockholms läns landsting 1 (6) Landstingsstyrelsens förvaltning Handläggare: Christina Widerberg Söderholm TJÄNSTEUTLÅTANDE 2015-04-27 LS 2015-0080 Ägarutskottet Stockholms läns sjukvårdsområde som mottagare

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datum Diarienr 2012-02-06 790-2011 Statens skolinspektion Box 23069 104 35 Stockholm Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datainspektionens beslut Datainspektionen

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datum Diarienr 2013-05-08 646-2012 Socialnämnden i Halmstad kommun Box 230 301 06 Halmstad Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datainspektionens

Läs mer

Tandvårdsnämndens begäran om klargörande ägardirektiv

Tandvårdsnämndens begäran om klargörande ägardirektiv BESLUTSUNDERLAG Landstingstyrelsen Central förvaltning Datum 2013-01-28 Sida 1 (4) Ledningsenhet Dnr LD12/01415 Uppdnr 351 2013-01-14 Landstingsstyrelsens arbetsutskott 2013-01-28 Landstingsstyrelsen 2013-02-18

Läs mer

Bolagspolicy. Ägarroll och ägarstyrning för kommunens bolag. Antagen av kommunfullmäktige den 28 januari 2016, 1

Bolagspolicy. Ägarroll och ägarstyrning för kommunens bolag. Antagen av kommunfullmäktige den 28 januari 2016, 1 Bolagspolicy Ägarroll och ägarstyrning för kommunens bolag Antagen av kommunfullmäktige den 28 januari 2016, 1 Innehåll 1 Inledning 5 2 Ägarroll 6 2.1 Kommunfullmäktige... 6 2.2 Kommunstyrelsen... 6 3

Läs mer

Handlingsplan för att stärka patientens ställning i hälso- och sjukvården :

Handlingsplan för att stärka patientens ställning i hälso- och sjukvården : Handlingsplan för att stärka patientens ställning i hälso- och sjukvården : genom medborgare, patient och Datum: 2015-06-24 Version: 1 Dnr: 150054 Sammanfattning Medborgare, patienter och närståendes

Läs mer

Översyn av bolagsordningar och ägardirektiv för bolagen med anledning av ny politisk organisation

Översyn av bolagsordningar och ägardirektiv för bolagen med anledning av ny politisk organisation Stockholms läns landsting 1 (3) Landstingsradsberedningen SKRIVELSE 2015-01-28 LS 1411-1289 Landstingsstyrelsen Översyn av bolagsordningar och ägardirektiv för bolagen med anledning av ny politisk organisation

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy Styrdokument, policy Kommunledningskontoret 2011-05-03 Per-Ola Lindahl 08-590 970 35 Dnr Fax 08-590 733 40 KS/2015:315 per-ola.lindahl@upplandsvasby.se Informationssäkerhetspolicy Nivå: Kommungemensamt

Läs mer

Ledningssystem för systematiskt kvalitetsarbete inom verksamheterna flykting och HVB

Ledningssystem för systematiskt kvalitetsarbete inom verksamheterna flykting och HVB Ledningssystem för systematiskt kvalitetsarbete inom verksamheterna flykting och HVB -Styrdokument- 2(12) Styrdokument Dokumenttyp Ledningssystem Beslutad av Kommunstyrelsen 2015-08-11, 132 Dokumentansvarig

Läs mer

Yttrande över Landstingsrevisorernas årsrapport 2012 för Hälso- och sjukvårdsnämnden

Yttrande över Landstingsrevisorernas årsrapport 2012 för Hälso- och sjukvårdsnämnden Hälso- och sjukvårdsförvaltningen Handläggare: Tommy Sandegran TJÄNSTEUTLÅTANDE 2013-08-06 Hälso- och sjukvårdsnämnden 2013-09-03, p 6 1 (5) HSN 1304-0474 Yttrande över Landstingsrevisorernas årsrapport

Läs mer

Yttrande över slutbetänkandet Myndighetsdatalagen (SOU 2015:39)

Yttrande över slutbetänkandet Myndighetsdatalagen (SOU 2015:39) PM 1 (9) Justitiedepartementet Grundlagsenheten 103 33 Stockholm Yttrande över slutbetänkandet Myndighetsdatalagen (SOU 2015:39) Ert dnr JU2015/3364/L6 Det är en gedigen utredning som innehåller en omfattande

Läs mer

Instruktion för informationssäkerhetsklassning

Instruktion för informationssäkerhetsklassning 1(9) DNR: SÄK 2014-19 Exp. den: 2014-12-16 STYRANDE DOKUMENT Sakområde: Säkerhet och informationssäkerhet Dokumenttyp: Anvisning/Instruktion Beslutsfattare: Säkerhetschef Avdelning/kansli: SLU Säkerhet

Läs mer

Ledningssystem för kvalitet

Ledningssystem för kvalitet Beslut ks 2011-05-04 GPS Götenes Politiska Styrning Ledningssystem för kvalitet Från mål till årsredovisning Mot högre måluppfyllelse, utveckling och förbättring Kf:s planer Nationella planer, lagar Hur

Läs mer

MER-styrning - Lekeberg kommuns styrmodell

MER-styrning - Lekeberg kommuns styrmodell MER-styrning - Lekeberg kommuns styrmodell Fastställd av: Kommunfullmäktige Datum: 2014-06-11 Ansvarig för revidering: Kommunstyrelsen Ansvarig tjänsteman: Kommundirektör Diarienummer: 13KS231 Program

Läs mer

Hällefors kommun. Uppföljning av intern kontroll Revisionsrapport. Offentlig sektor KPMG AB 2014-05-16 Antal sidor: 13

Hällefors kommun. Uppföljning av intern kontroll Revisionsrapport. Offentlig sektor KPMG AB 2014-05-16 Antal sidor: 13 Revisionsrapport Offentlig sektor KPMG AB Antal sidor: 13 Innehåll 1. Sammanfattning 2. Bakgrund 2.1 Definition av intern kontroll 2.2 Exempel på uppföljning av den interna kontrollen 3. Syfte 4. Avgränsning

Läs mer

Mål- och resultatstyrning i Kungsörs kommun

Mål- och resultatstyrning i Kungsörs kommun Livskraftiga L kompetenta och unika Kungsör lockar företag, boende och besökare med hjälp av attraktiva boendeformer, ett företagsamt förhållningssätt samt en kunglig miljö och historia. Mål- och resultatstyrning

Läs mer

Likabehandlingspolicy och likabehandlingsplan

Likabehandlingspolicy och likabehandlingsplan LANDSTINGET I UPPSALA LÄN FÖREDRAGNINGSPROMEMORIA Sammanträdesdatum Sida Landstingsstyrelsen 2012-02-27 26 (40) Dnr CK 2010-0554 63 Likabehandlingspolicy och likabehandlingsplan Förslag till beslut Landstingsstyrelsen

Läs mer

Riktlinjer för IT-säkerhet i Halmstads kommun

Riktlinjer för IT-säkerhet i Halmstads kommun Riktlinjer för IT-säkerhet i Halmstads kommun VER 1.0 Innehåll Inledning...3 Definition av IT-säkerhet...3 Omfattning...3 Vikten av IT-säkerhet...3 Mål för IT-säkerhetsarbetet...4 Ledning och ansvar...4

Läs mer

Löpande granskning av intern kontroll Läkemedelshantering (PM3)

Löpande granskning av intern kontroll Läkemedelshantering (PM3) Revisionsrapport Löpande granskning av intern kontroll Läkemedelshantering (PM3) Landstinget Gävleborg Lars-Åke Ullström Hanna Franck Emil Ring Februari 2012 Innehållsförteckning Sammanfattning... 3 1.

Läs mer

Riktlinjer för säkerhet i Växjö kommun

Riktlinjer för säkerhet i Växjö kommun Riktlinjer för säkerhet i Växjö kommun Dokumenttyp Styrande dokument Dokumentansvarig Säkerhetsfunktionen Dokumentnamn Riktlinjer för säkerhet i Växjö kommun Fastställd/Upprättad Kommunstyrelsen 2015-03-03,

Läs mer

Ny politisk organisation för Stockholms läns landsting

Ny politisk organisation för Stockholms läns landsting Stockholms läns landsting Landstingsradsberedningen P 12, 2014-11-04 Landstinsstyrelsen i (?) Landstingsstyrelsen Ny politisk organisation för Stockholms läns landsting Föredragande landstingsråd: Torbjörn

Läs mer

Kapitel 8 Personalresurser och säkerhet

Kapitel 8 Personalresurser och säkerhet Kapitel 8 Personalresurser och säkerhet Människorna i en organisation brukar oftast kallas för kunskapskapitalet och betraktas som den viktigaste resursen. Men de är inte enbart en förutsättning för verksamheten

Läs mer

Yttrande över revisionsrapport nr 34/2004, God styrelsesed i nämnder och bolag

Yttrande över revisionsrapport nr 34/2004, God styrelsesed i nämnder och bolag Landstingsstyrelsens förvaltning Landstingsdirektören TJÄNSTEUTLÅTANDE 2005-03-17 Landstingsstyrelsen Yttrande över revisionsrapport nr 34/2004, God styrelsesed i nämnder och bolag Ärendet Landstingsrevisorerna

Läs mer

IT-Systemförvaltningspolicy

IT-Systemförvaltningspolicy n av 5 för Munkfors, Forshaga, Kils och Grums kommun April 2005 av IT-samverkansgruppen n 2 av 5 Inledning Policyn ger en övergripande, generell bild av hur kommunerna ska arbeta med systemförvaltning

Läs mer

Kapitel 7 Hantering av tillgångar

Kapitel 7 Hantering av tillgångar Kapitel 7 Hantering av tillgångar Information och data som skapas, inhämtas, distribueras, bearbetas och lagras i en organisation är en av dess viktigaste tillgångar. Graden av tillgänglighet, sekretess

Läs mer

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation Presentation Informationssäkerhet Kim Strandberg Informationssäkerhetsstrateg/jurist kim.strandberg@regionostergotland.se 010-103 03 385 Region Informationssäkerhet, Östergötland 2015-03-11, Kim Strandberg

Läs mer

Policy avseende sekretess och personuppgiftsbehandling Installationskonfigurator

Policy avseende sekretess och personuppgiftsbehandling Installationskonfigurator Policy avseende sekretess och personuppgiftsbehandling Installationskonfigurator Din integritet är viktig för oss Lexmark Sverige, en filial till Lexmark Nordic L.L.C. Vi inser behovet av lämpligt skydd

Läs mer

Betänkandet Nationell strategi mot mäns våld mot kvinnor och hedersrelaterat våld och förtryck (SOU 2015:55)

Betänkandet Nationell strategi mot mäns våld mot kvinnor och hedersrelaterat våld och förtryck (SOU 2015:55) Stockholms läns landsting 1 (2) Landstingsradsberedningen SKRIVELSE 2015-10-21 LS 2015-0942 Landstingsstyrelsen Betänkandet Nationell strategi mot mäns våld mot kvinnor och hedersrelaterat våld och förtryck

Läs mer

Åklagarmyndighetens författningssamling

Åklagarmyndighetens författningssamling Åklagarmyndighetens författningssamling Åklagarmyndighetens föreskrifter om IT-säkerhet inom åklagarväsendet; beslutade den 29 september 2014. ÅFS 2014:7 Publiceringsdatum: 30 september 2014 Åklagarmyndigheten

Läs mer

Förstudie. Nerikes Brandkår. Arbetsmiljöarbetet för ej utryckande personal 2013-11-28. Anders Pålhed

Förstudie. Nerikes Brandkår. Arbetsmiljöarbetet för ej utryckande personal 2013-11-28. Anders Pålhed Förstudie Arbetsmiljöarbetet för ej utryckande personal Nerikes Brandkår 2013-11-28 Anders Pålhed 1. Sammanfattning... 3 2. Inledning... 5 3. Syfte... 5 3.1 Metod... 5 3.2 Avgränsning... 5 4. Bakgrundsfakta...

Läs mer

Revisionsrapport Mönsterås kommun

Revisionsrapport Mönsterås kommun Revisionsrapport Granskning av hur kommunstyrelsen utövar sin förvaltningskontroll (uppsiktsplikt) Mönsterås kommun Malin Kronmar Caroline Liljebjörn 8 november 2012 Innehållsförteckning 1 Inledning 1

Läs mer

Sammanträde med landstingsstyrelsens arbetsutskott

Sammanträde med landstingsstyrelsens arbetsutskott Stockholms läns landsting 1(6) Landstingsstyrelsen PROTOKOLL Arbetsutskottet Nr 8/2011 Kl 10.30-11.20 48-59 Sammanträde med landstingsstyrelsens arbetsutskott Datum för justering, 52: Datum för anslag

Läs mer

Riktlinje för synpunkts- och klagomålshantering VON 2013/02707 003. Riktlinjerna är antagna av vård- och omsorgsnämnden den 13 maj 2003.

Riktlinje för synpunkts- och klagomålshantering VON 2013/02707 003. Riktlinjerna är antagna av vård- och omsorgsnämnden den 13 maj 2003. Riktlinje för synpunkts- och klagomålshantering VON 2013/02707 003 Riktlinjerna är antagna av vård- och omsorgsnämnden den 13 maj 2003. Reviderade av VOK-lg 2013-09-09, redaktionell ändring 2014-06-30

Läs mer

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet Dnr 1-516/2013 (ersätter Dnr 6255-2012-060) Gäller från och med Informationsklass: K1R2T1 Bilaga 2. Ansvarsbeskrivningar

Läs mer

Gemensamma ägardirektiv för bolag ägda av Lysekils kommun Dnr: LKS 2014-477, antagen av kommunfullmäktige 2014-11-27, 24

Gemensamma ägardirektiv för bolag ägda av Lysekils kommun Dnr: LKS 2014-477, antagen av kommunfullmäktige 2014-11-27, 24 Gemensamma ägardirektiv för bolag ägda av Lysekils kommun Dnr: LKS 2014-477, antagen av kommunfullmäktige 2014-11-27, 24 1. Inledning - ägaridé Kommunen äger bolag och driver bolagsverksamhet för att förverkliga

Läs mer

Granskning av inköpsrutinen och köptrohet

Granskning av inköpsrutinen och köptrohet www.pwc.se Revisionsrapport Malin Kronmar Carl-Magnus Stensson Granskning av inköpsrutinen och köptrohet Mönsterås kommun Innehållsförteckning 1. Inledning... 1 1.1. Bakgrund... 1 1.2. Revisionsfråga...

Läs mer

Ledningssystem för systematiskt kvalitetsarbete

Ledningssystem för systematiskt kvalitetsarbete Datum Socialförvaltningen 2015-10-27 VERKSAMHETSPLAN Diarienummer Diarieplan 2015/95 701 Ledningssystem för systematiskt kvalitetsarbete Beslutat av socialnämnden 2013-11-19, 116. Reviderat av socialnämnden

Läs mer

PERSONUPPGIFTSLAG. Den fysiska person som, efter förordnande av den personuppgiftsansvarige,

PERSONUPPGIFTSLAG. Den fysiska person som, efter förordnande av den personuppgiftsansvarige, PERSONUPPGIFTSLAG Syftet med lagen 1 Syftet med denna lag är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Avvikande bestämmelse i annan författning

Läs mer

Yttrande över Klagomålsutredningens delbetänkande Sedd, hörd och respekterad (SOU 2015:14)

Yttrande över Klagomålsutredningens delbetänkande Sedd, hörd och respekterad (SOU 2015:14) Stockholms läns landsting 1 (2) Landstingsradsberedningen SKRIVELSE 2015-05-06 LS 2015-0474 Landstingsstyrelsen Yttrande över Klagomålsutredningens delbetänkande Sedd, hörd och respekterad (SOU 2015:14)

Läs mer

POLICY INFORMATIONSSÄKERHET

POLICY INFORMATIONSSÄKERHET POLICY INFORMATIONSSÄKERHET Fastställd av Kommunfullmäktige 2016-03-21 56 Bo Jensen Säkerhetsstrateg Policy - Informationssäkerhet Denna policy innehåller Haninge kommuns viljeinriktning och övergripande

Läs mer

Revisionsrapport Miljöarbetet inom Region Östergötland

Revisionsrapport Miljöarbetet inom Region Östergötland BESLUTSUNDERLAG 1/3 Miljö- och säkerhetsenheten Mats E Persson 2015-04-21 Dnr: RS 2015-137 Regionsstyrelsen Revisionsrapport Miljöarbetet inom Region Östergötland Revisorerna i Region Östergötland (dåvarande

Läs mer

Policy och strategi för informationssäkerhet

Policy och strategi för informationssäkerhet Styrdokument Dokumenttyp: Policy och strategi Beslutat av: Kommunfullmäktige Fastställelsedatum: 2014-10-23, 20 Ansvarig: Kanslichefen Revideras: Vart 4:e år eller vid behov Följas upp: Vartannat år Policy

Läs mer

Utbildningsdag om informationssäkerhet

Utbildningsdag om informationssäkerhet Utbildningsdag om informationssäkerhet Jeanna Thorslund, Jurist och Samordnare Informationssäkerhet, SKL & Leif Carlson, Informationssäkerhetschef Inera AB Avdelningen för Digitalisering, Center för esamhället

Läs mer

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr 93-25-09 Kommunikation som tjänst - A

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr 93-25-09 Kommunikation som tjänst - A 2 (14) Innehåll 1 Allmänt 3 2 4 2.1 Administrativa säkerhetskrav 4 2.2 Allmänna tekniska säkerhetskrav 6 3 (14) 1 Allmänt 2 4 (14) Informationssäkerhet och de risker myndigheter utsätts för är frågor som

Läs mer

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhetspolicy IT (0:0:0) Informationssäkerhetspolicy IT (0:0:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd: Direktionen 20130926 Dnr:0036/13 Kommunalförbundet ITSAM, Storgatan 36A, 590 36

Läs mer

HANDIKAPPOLITISKT PROGRAM FÖR LEKEBERGS KOMMUN

HANDIKAPPOLITISKT PROGRAM FÖR LEKEBERGS KOMMUN Förslag antaget av kommunstyrelsens handikappråd 2009-05-28 Rev. KS-AU 2009-10-05 211 Rev. Kommunfullmäktige 2009-11-26 100 Revidering av HANDIKAPPOLITISKT PROGRAM FÖR LEKEBERGS KOMMUN 1 Bakgrund Kommunfullmäktige

Läs mer

Svensk författningssamling

Svensk författningssamling Svensk författningssamling Personuppgiftslag; SFS 1998:204 utfärdad den 29 april 1998. Enligt riksdagens beslut 1 föreskrivs 2 följande. Allmänna bestämmelser Syftet med lagen 1 Syftet med denna lag är

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om informationssäkerhet, it-verksamhet och insättningssystem;

Läs mer

Produktionsutskottet har inkommit med förslag till övergripande riktlinjer för incitamentsprogram i landstingets hälso- och sjukvårdsverksamhet.

Produktionsutskottet har inkommit med förslag till övergripande riktlinjer för incitamentsprogram i landstingets hälso- och sjukvårdsverksamhet. Stockholms läns landsting 1(2) Landstingsradsberedningen SKRIVELSE 2013-02-20 LS 0906-0562 Landstingsstyrelsen LANDSTINGSSTYRELSEN 1 3-03- 02 0001 9 Övergripande riktlinjer för incitamentsmodeller Föredragande

Läs mer

Policy och riktlinjer för inköp vid SLU

Policy och riktlinjer för inköp vid SLU 1(3) DNR: SLU ua 2014.2.4.4-3549 Exp. den: 2014-09-22 STYRANDE DOKUMENT Sakområde: Ekonomiadministration, upphandling, stiftelser och bolag Dokumenttyp: Policy samt riktlinjer Beslutsfattare: Rektor Avdelning/kansli:

Läs mer

Nämndledamöters ansvar. Oxelösund 2015-11-17

Nämndledamöters ansvar. Oxelösund 2015-11-17 Nämndledamöters ansvar Oxelösund 2015-11-17 Dagens program - Nämndens ansvar - Beslutsfattande - Styrelsens särskilda uppdrag - Juridiskt ansvar - Intern kontroll - Ansvarsprövning - God ekonomisk hushållning

Läs mer

Ledning och styrning av sjukskrivningsprocessen

Ledning och styrning av sjukskrivningsprocessen Landstingets kansli 2010-01-11 Planeringsavdelningen Ledning och styrning av sjukskrivningsprocessen Kvalitén inom hälso- och sjukvården ska systematiskt och fortlöpande utvecklas och säkras samt vara

Läs mer