Landstingsstyrelsens förslag till beslut. Ny informationssäkerhetspolicy och nya riktlinjer för informationssäkerhet inom Stockholms läns landsting

Transkript

1 FÖRSLAG 2011:92 LS Landstingsstyrelsens förslag till beslut Ny informationssäkerhetspolicy och nya riktlinjer för informationssäkerhet inom Stockholms läns landsting Föredragande landstingsråd: Torbjörn Rosdahl Ärendet Landstingsdirektören har inkommit med förslag till ny informationssäkerhetspolicy med tillhörande riktlinjer för informationssäkerhet som ska gälla för samtliga förvaltningar, bolag och stiftelser inom Stockholms läns landsting och av samtliga som arbetar på uppdrag av landstinget. Förslag till beslut Landstingsstyrelsen föreslår landstingsfullmäktige besluta att anta ny informationssäkerhetspolicy för Stockholms läns landsting att uppdra åt landstingsstyrelsen att fastställa riktlinjer att uppdra till landstingsstyrelsen att under 2012 återkomma med en omarbetad informationssäkerhetspolicy där bland annat hänsyn tas till transparens, enkelhet och genomförda organisationsförändringar inom Stockholms läns landsting Landstingsstyrelsen har - under förutsättning av fullmäktiges beslut för egen del beslutat att anta nya riktlinjer enligt Förslag till riktlinjer för informationssäkerhet inom Stockholms läns landsting att rekommendera övriga nämnder, styrelser och bolag att för sin del, utifrån de nya riktlinjerna för informationssäkerhet, utforma och anta lokala anvisningar att uppdra åt landstingsdirektören eller den han utser att besluta om ändringar eller tillägg till riktlinjer för informationssäkerhet. Bilagor 1 Förslag till Informationssäkerhetspolicy Förslag till riktlinjer för informationssäkerhet inom SLL Stf förvaltningschefens tjänsteutlåtande

2 FÖRSLAG 2011:92 2 LS Inom Stockholms läns landsting används mängder med information som måste skyddas på olika sätt. Det är en viktig integritetsfråga att uppgifter ur exempelvis patientjournaler inte kommer på avvägar. Samtidigt måste annan information göras tillgänglig för såväl medborgare som medarbetare inom landstinget. Landstingets Informationssäkerhetspolicy ska vara ett fungerande instrument för landstingets informationssäkerhetsarbete och samtidigt ta tillvara både skydds- och tillgänglighetsaspekten. Det finns inom landstingets organisation behov av att en ny policy antas. Samtidigt finns i föreliggande förslag en del problem, bland annat vad avser transparens och tydlighet. Informationssäkerhetspolicyn bör vara så tydlig och transparent som möjligt. Inte minst är det viktigt att det klargörs vem som bär det yttersta ansvaret för policyns efterlevande. Detta är angeläget inte minst när Stockholms läns landsting genomgår organisationsförändringar. Mot denna bakgrund bör föreliggande policy antas, samtidigt som ett uppdrag ges att uppdatera policyn när hänsyn till de senaste förändringarna i organisationen kan tas. Behandling i landstingsstyrelsen Landstingsrådsberedningen behandlade ärendet den 9 november Landstingsstyrelsen behandlade ärendet den 22 november Ärendet och dess beredning Stf förvaltningschefen har i tjänsteutlåtande den 3 november 2011 (bilaga) föreslagit landstingsstyrelsen dels föreslå landstingsfullmäktige besluta att anta informationssäkerhetspolicy enligt Förslag till informationssäkerhetspolicy för Stockholms läns landsting, att uppdra åt landstingsstyrelsen att fastställa riktlinjer, att uppdra till landstingsstyrelsen att under år 2012 återkomma med en omarbetad informationssäkerhetspolicy där bland annat hänsyn tas till transparens, enkelhet och genomförda organisationsförändringar inom Stockholms läns landsting dels under förutsättning av fullmäktiges beslut för egen del besluta att anta nya riktlinjer för informationssäkerhet enligt Förslag till riktlinjer för informationssäkerhet inom Stockholms läns landsting, att rekommendera övriga nämnder, styrelser och bolag att för sin del, utifrån de nya riktlinjerna för informationssäkerhet, utforma och anta lokala anvisningar, att uppdra åt landstingsdirektören eller den han utser att besluta om ändringar eller tillägg till riktlinjer för informationssäkerhet.

3 Stockholms läns landsting Informationssäkerhetspolicy inom Stockholms läns landsting Beslutad av landstingsfullmäktige 20[XX]-[XX]-[XX]

4 2(5) Innehållsförteckning Information till informationssäkerhet 3 Mål 3 Omfattning 3 Innebörd 4 Ansvar 4 Uppföljning 5 Revidering 5

5 Information till informationssäkerhet Stockholms läns landstings verksamhet är grundad på principer om öppenhet liksom personlig integritet och respekt för individen. Medborgarna ska kunna få insyn i landstingets verksamhet. De ska kunna förlita sig på den information som landstinget lämnar och vara förvissade om att information som samlas in får ett tillräckligt skydd. Information är en av landstingets mest strategiska resurser. Alla verksamheter är beroende av tillförlitlig information. Avbrott i tillgången till information kan vara kritiskt för verksamheten och felaktig information kan bokstavligen vara livsfarlig inom vård och trafik. Allt mer komplexa system hanterar känsliga uppgifter om medborgares sociala, medicinska och andra personliga förhållanden. De möjliggör effektivisering av verksamheten och därmed bättre service till medborgarna. Beroendet av informationssystem ökar sårbarheten om inte säkerhetsaspekterna beaktas. Det är därför nödvändigt att ställa säkerhetskrav utifrån ett verksamhetsperspektiv. Kraven ska ställas inför upphandling, utveckling, användning och avveckling av informationssystem och fortlöpande följas upp. Arbetet med informationssäkerhet måste vara medvetet och strukturerat med tydliga mål och riktlinjer. Denna policy beskriver de övergripande principer som ska gälla för informationssäkerheten i Stockholms läns landsting. Mål Målet för landstingets informationssäkerhetsarbete är att skydda informationstillgångarna inom verksamheten. Skyddet ska vara anpassat till skyddsvärde, risk och lagkrav och därigenom möjliggöra för landstingets verksamheter att uppnå sina mål. Omfattning Informationssäkerhetspolicyn gäller för hantering av information, i alla dess former, i Stockholms läns landsting inklusive bolag och stiftelser och av samtliga som arbetar på uppdrag av landstinget. Det sistnämnda regleras genom avtal.

6 Innebörd Säkerhetsaspekter Informationssäkerhet är den samlade effekten av de administrativa och tekniska åtgärder som vidtas för att skydda information mot de hot som den kan utsättas för. Följande skyddsaspekter ska beaktas: Konfidentialitet (rätt person): Riktighet (rätt information): Tillgänglighet (rätt tid och plats): Information får inte göras tillgänglig eller avslöjas på ett sådant sätt att den personliga integriteten eller sekretessen hotas. Informationen få inte förändras eller gå förlorad, av misstag, genom inverkan av obehörig eller på grund av tekniskt fel. Informationen ska kunna användas i förväntad utsträckning, inom önskad tid och på rätt plats. Skyddsåtgärder Val av skyddsåtgärder ska vara baserade på informationens betydelse för verksamheten och de konsekvenser som bristande säkerhet kan medföra. Lagar och förordningars krav ska utgöra den lägsta nivå som ska uppnås med säkerhetsåtgärderna. Åtgärderna ska dokumenteras på ett sådant sätt att det blir möjligt att kontrollera att rätt skyddsnivå uppnås. En förutsättning för arbetet med informationssäkerhet är att en god säkerhetskultur genomsyrar organisationen. Med detta menas inte bara att medarbetarna har god kunskap om vilka säkerhetsregler som gäller utan att de också har ett högt säkerhetsmedvetande och kritiskt ifrågasätter händelser som kan påverka säkerheten. Landstinget ska arbeta med kontinuitetsplanering, för att kritiska verksamheter ska kunna upprätthållas på fastställd nivå, vid olika typer av katastrofsituationer, störningar och avbrott. Ansvar Landstingsfullmäktige fastställer den informationssäkerhetspolicy som ska gälla för landstinget.

7 Landstingsstyrelsen ansvarar för att landstingets informationssäkerhetspolicy och riktlinjer för informationssäkerheten utarbetas och hålls aktuella. Informationssäkerhetsarbetet ska så långt som möjligt bedrivs i enlighet med svensk standard, SS-ISO/IEC Landstingsstyrelsen ansvarar också för samordningen av informationssäkerhetsarbetet i landstinget och ska därför årligen fastställa en handlingsplan för informationssäkerhetsarbetet. Varje nämnd och styrelse är ansvarig för informationssäkerheten inom sitt verksamhetsområde och ska därför utarbeta och anta egna anvisningar och instruktioner för informationssäkerheten i enlighet med policy och riktlinjer. Det åligger också nämnd och styrelse att avsätta medel för informationssäkerhetsarbetet samt att löpande följa upp informationssäkerheten och vidta åtgärder för att uppnå tillräcklig intern kontroll. Ansvaret för informationssäkerheten är kopplat till det delegerade verksamhetsansvaret. Det betyder att varje person som är ansvarig för en verksamhet också är ansvarig för informationssäkerheten inom den verksamheten. I ansvaret ingår, dels att för varje informationsmängd utse en informationsägare med ansvar för alla delar av informationssäkerheten, dels att för varje informationssystem tillse att det finns en systemägare eller motsvarande som ansvarar för att säkerhetskraven på systemet uppfylls. Den som ingår avtal som leder till informationsanvändning eller informationsutbyte ansvarar för att kraven på informationssäkerhet specificeras i avtalet. Varje anställd ansvarar för att uppställda säkerhetsregler följs samt att störningar och fel i informationssystem, utrustningar och informationsinnehåll rapporteras enligt fastställda rutiner. Landstingsrevisorernas uppgift är att granska om den interna kontrollen är tillräcklig. Uppföljning Uppföljning av denna policy ska ske regelbundet. Revidering Revidering av denna policy ska ske regelbundet. I samband med revidering ska handlingsplanen för informationssäkerhet revideras på motsvarande sätt.

8 IIII 1 O A/i i A l\ r Cr Informationsklass: Jt Stockholms läns landsting L S 10-0 * i <f KIR 2 TI Riktlinjer för informationssäkerhet inom Stockholms läns landsting

9 Stockholms läns landsting Informationsklass: K1R2T1 Innehållsförteckning 1 Introduktion till informationssäkerhet i 1.1 Allmänt i 1.2 Mål i 1.3 Syfte och omfattning i 1.4 Vad är informationssäkerhet? Hot och skyddsåtgärder Landstingets regelverk för informationssäkerhet 3 2 Organisation av informationssäkerheten Övergripande informationssäkerhetsansvar Roller och ansvar i verksamheten Samordning och uppföljning 8 3 Personalresurser och informationssäkerhet Rekrytering och anställning Arbetsbeskrivning och anställningsvillkor Bisysslor Sekretess Utbildning och fortbildning i informationssäkerhet Avslutande av anställning 10 4 Personlig IT-användning Användande av internet E-post och snabbmeddelande Sociala medier Användaridentiteter Användning av IT-utrustning som datorer, mobiltelefoner och surfplattor Arbete på annan plats Telefbni Fax 13 5 Klassificering av tillgångar och riskhantering Förteckning över tillgångar Klassificering av information Märkning av information Riskbedömning och riskhantering Hantering av informationssäkerhetsincidenter 16 6 Hantering av information Offentlighet och sekretess Hantering av e-post Hantering av personuppgifter 18

10 Stockholms läns landsting Informationsklass: KIR2H 6.4 Skyddade personuppgifter Patientuppgifter inom vården Hantering av betalkortsinformation Bevarande, rensning och gallring 22 7 Åtkomst till information Styrning av åtkomst till elektronisk information Extern informationsanvändning Automatisk utloggning Styrning av åtkomst till övrig information 24 8 Driftsäkerhet Säkerhetskrav på systemmiljön Systemförvaltning Skydd mot skadlig kod Användning av arbetsstationer, bärbara datorer och övrig utrustning Säkerhetskopiering och återläsning av data Drift hos extern part Systemdokumentation Illegal kopiering och användning 29 9 Kommunikations- och nätverkssäkerhet Säkerhetskrav på nätverksmiljön Trådlösa nätverk Landstingsgemensamma nätverk Externa nätverk 3* 9.5 Anslutning av IT-utrustning Hantering av kakor för webbplatsinnehavare Utveckling och anskaffning av system Definition av säkerhetskrav Säkerhet i systemutvecklingsprojekt Upphandling av system och systemutveckling Dokumentation Fysisk säkerhet Slcydd av utrustning och information Tillträdeskontroll till byggnader och lokaler Skydd i säkra utrymmen Kraftförsörjning och el-miljö Underhåll av utrustning Säkerhet för utrustning utanför egna lokaler Avveckling av utrustning 35

11 Stockholms läns landsting Informationsklass: K1R2T1 12 Kontinuitetsplanering Kontinuitetsplaneringens mål Kontinuitetsplaneringens omfattning Test och underhåll Uppföljning och efterlevnad Legala och externa krav Verksamhetsspecifik lagstiftning Uppföljning av informationssäkerheten 40

12 1(41) i Introduktion till informationssäkerhet 1.1 Allmänt Stockholm läns landstings ansvarar för den offentligt finansierade hälso- och sjukvården, kollektivtrafiken, regionplaneringen och andra viktiga uppgifter i Stockholms län. Verksamheten är omfattande och komplex, med många olika intressenter och med ett stort beroende av information. En effektiv och säker användning av information är en förutsättning för landstingets verksamhet och för förtroendet för förmågan att leverera service till medborgarna. Dessutom ställer offentlighetsprincipen krav på landstingets informationshantering, liksom speciallagstiftning inom verksamhetsområden som hälso- och sjukvård och trafik. Detta sammantaget gör information till en av landstingets mest betydelsefulla resurser. Information är ett vitt begrepp som inkluderar allt från kunskap som enskilda medarbetare besitter till information lagrad i IT-system. Informationssäkerhetsarbetet berör hela landstingets verksamhet. Det utgår från säkerhetsstandarder som är utgivna av standardiseringsorganisationerna, och riktar in sig på de objekt som ska skyddas. Ett sunt och vaket säkerhetsmedvetande hos alla medarbetare är en förutsättning för väl fungerande informationssäkerhet. 1.2 Mål Målet för landstingets informationssäkerhetsarbete är att skydda informationen inom verksamheten. Skyddet ska vara anpassat till skyddsvärde, risk och lagkrav och därigenom möjliggöra för landstingets verksamheter att uppnå sina mål. 1.3 Syfte och omfattning Syftet med detta dokument är att ge riktlinjer och vägledning för informationssäkerheten och säkerhetsarbetet inom landstinget. Dessa riktlinjer, vilka är en konkretisering av landstingets informationssäkerhetspolicy, är styrande för landstingets informationshantering. De ska efterlevas av samtliga förvaltningar, bolag och stiftelser inom landstinget och av samtliga som arbetar på uppdrag av landstinget. Det sistnämnda regleras genom avtal. Den som ingår avtal med extern part, som leder till informationsanvändning eller -utbyte, ansvarar för att: risker relaterade till detta analyseras kraven på informationssäkerhet specificeras i avtalet uppföljning av avtalad skyddsnivå sker För att uppnå målet med informationssäkerheten ska säkerhetsarbetet omfatta samtliga områden behandlade i dessa riktlinjer. 1.4 Vad är informationssäkerhet? Informationssäkerhet innebär skydd av information mot olika slags hot. Ett metodiskt informationssäkerhetsarbete innebär att säkerställa att information i alla dess former finns tillgänglig när den behövs (tillgänglighet), att den är korrekt (riktighet), att obehöriga inte kan få tillgång till den (konfidentialitet) och att händelser i informationsbehandlingen kan

13 2(41) spåras (spårbarhet), se även avsnitt 5.2. Det kallas informationens säkerhetsaspekter. Informationstillgångar måste identifieras och ges en lämplig skyddsnivå, och risker måste hanteras i enlighet med de säkerhetskrav som fastställts. Informationssäkerhet kan delas upp i två huvudområden, administrativ respektive teknisk säkerhet. Det illustreras i nedanstående bild. Informationssäkerhet Administrativ säkerhet Teknisk säkerhet Utbildning Regler Roller Uppföljning Fysisk säkerhet IT-säkerhet Datasäkerhet Kommunikationssäkerhet Administrativ säkerhet: Teknisk säkerhet: Administrativ säkerhet innefattar skyddsåtgärder av administrativ art. Exempel på det är hur styrning och uppföljning av informationssäkerheten ska ske, hur ansvar för informationssäkerheten ska fördelas, hur åtkomst till informationen ska regleras och hur rutinerna ska utformas. Information och utbildning är också en viktig del. Dessa riktlinjer är en del av den administrativa säkerheten. I begreppet teknisk säkerhet ingår IT-säkerhet, vilket inkluderar åtgärder för att skydda IT-system, informationen i dem liksom data- och telekommunikation. Fysisk säkerhet syftar till att skydda den fysiska miljön som system, information och kommunikationsutrustning finns i. 1.5 Hot och skyddsåtgärder För att bestämma vilka skyddsåtgärder som behövs i verksamheten måste de hot som information kan utsättas för vara kända. I och med att omvärlden är föränderlig ändras hotbilden över tiden. Det innebär att behovet av skyddsåtgärder måste omprövas regelbundet. Det är viktigt att beakta att hotbilden kan förändras när information byter bärare, t.ex. när elektronisk information skrivs ut på papper eller förmedlas via telefon. Bilden nedan visar exempel på olika typer av tänkbara hot liksom skyddsåtgärder för att minska eller eliminera effekterna av dem. Slcydd besående av olika skydds åtgärder och säkerhetslösningar Fel på dator Hackers

14 3(41) Landstingets samtliga verksamheter måste vidta skyddsåtgärder för att uppnå och vidmakthålla eftersträvad nivå på informationssäkerheten. Med skyddsåtgärder avses i detta sammanhang alla de administrativa och tekniska åtgärder som vidtas för att skydda informationen. Alla skyddsåtgärder ska dokumenteras på ett sådant sätt att det är möjligt att kontrollera att eftersträvad skyddsnivå uppnås. 1.6 Landstingets regelverk för informationssäkerhet Landstingets regelverk för informationssäkerhet är uppbyggd enligt följande struktur: Landstingets informationssäkerhetspolicy Landstingets riktlinjer för informationssäkerhet! I Anvisningar/handlingsplan specifika för nämnd och styrelse IHlllHllllHiHI Verksamhetsnära instruktioner Informationssäkerhetspolicyn beskriver landstingets syn på informationssäkerhet och de övergripande principer som gäller för informationssäkerheten. Informationssäkerhetspolicyn antas av landstingsfullmäktige. Riktlinjer för informationssäkerhet konkretiserar informationssäkerhetspolicyn och ger riktlinjer avseende skyddsåtgärder och -nivåer. Riktlinjerna är framtagna med stöd av standarden för informationssäkerhet, SS-ISO/IEC 27002, och avser inte att i detalj beskriva hur skyddsåtgärderna ska utformas. Riktlinjerna antas av landstingsstyrelsen. Varje nämnd och styrelse ska anta anvisningar som innehåller preciseringar och tillägg till policy och riktlinjer med utgångspunkt från den egna organisationens specifika behov. Införandet av de egna anvisningarna ska konkretiseras i en handlingsplanförinformationssäkerhet. Med utgångspunkt från anvisningarna ska vid behov instruktioner utformas av respektive förvaltning och bolag. De ska beskriva detaljerat hur rutiner och skyddsåtgärder ska utformas och tillämpas för att informationssäkerheten ska kunna realiseras. Ansvaret för informationssäkerheten är enligt landstingets informationssäkerhetspolicy kopplat till det allmänna verksamhetsansvaret. Det betyder att den som är ansvarig för en verksamhet även är ansvarig för informationssäkerheten inom den verksamheten.

15 4(41) 2 Organisation av informationssäkerheten Detta kapitel beskriver riktlinjerna för hur ansvar ska fördelas och hur informationssäkerhetsarbetet ska organiseras. För att uppnå och bibehålla god informationssäkerhet ska roller och ansvar fördelas. Samordning och uppföljning av informationssäkerhetsarbetet ska ske regelbundet. Vid utredningar om organisationsförändringar, där verksamhetsansvar förs över till annan förvaltning, till bolag eller annan juridisk person, måste en analys genomföras. De rättsliga förutsättningarna för överförandet av information och system ska ingå liksom hur roller och ansvar ska överföras. 2.1 Övergripande informationssäkerhetsansvar Landstingsfullmäktige Landstingsfullmäktige fastställer den informationssäkerhetspolicy som ska gälla för landstinget Landstingsstyrelsen Landstingsstyrelsen ansvarar för att landstingets informationssäkerhetspolicy och riktlinjer för informationssäkerheten utformas och hålls aktuella. Landstingsstyrelsen har ansvaret för samordning samt uppföljning av informationssäkerheten och har därmed det övergripande ansvaretförinformationssäkerheten inom landstinget Landstingsdirektören Landstingsdirektören har landstingstingsstyrelsens uppdrag att tillse att informationssäkerhetsarbetet bedrivs så effektivt som möjligt, genom att visa ett tydligt stöd och fördela resurser, så att informationssäkerhetsmålet kan uppnås. I landstingsdirektörens uppdrag ingår även att, i samråd med berörda förvaltningar och bolag, utforma en övergripande handlingsplan för informationssäkerhetsarbetet inom landstinget och tillse att den beaktas i förvaltningars och bolags årliga budgetförslag. Landstingsdirektören ska utse en informationssäkerhetschef med ansvar för samordning och övergripande uppföljning av informationssäkerhetsarbetet inom landstinget Informationssäkerhetschefen Informationssäkerhetschefen verkställer samordningen av informationssäkerhetsarbetet inom landstinget och förvaltar landstingets informationssäkerhetspolicy, dessa riktlinjer samt en övergripande handlingsplanförinformationssäkerhet. Dessutom ska denne: bistå förvaltningschef och motsvarande med råd och rekommendationer i samverkan med lokala informationssäkerhetssamordnare vara sammankallande i landstingets informationssäkerhetsråd inhämta uppgifter om informationssäkerhetsläget i landstinget som ett led i uppföljningen av informationssäkerheten rapportera iakttagelser och föreslå åtgärder av övergripande principiell karaktär vara landstingets representant i kontakter med externa organisationer inom informationssäkerhetsområdet vara remissinstans i frågor som rör informationssäkerhet genom aktiv omvärldsbevakning följa och påverka utvecklingen inom informationssäkerhetsområdet.

16 5(41) Landstingsrevisorerna Landstingsrevisorernas uppgift är att granska den interna kontrollen, vilket här innefattar att granska om ledning och styrning, uppföljning och kontroll av informationssäkerheten är tillfredställande. 2.2 Roller och ansvar i verksamheten I enlighet med vad som gäller för övrig verksamhet inom landstinget, är ansvaretförinformationssäkerheten kopplat till det delegerade verksamhetsansvaret. Det betyder att varje person som är ansvarig för en verksamhet också är ansvarig för informationssäkerheten i denna verksamhet. Nedan beskrivs informationssäkerhetsansvar för vissa generella roller. Beroende på lokala förhållanden kan även andra roller behöva beskrivas och ansvar fastställas Styrelser och nämnder Varje nämnd och styrelse är ytterst ansvarig för informationssäkerheten inom sin förvaltning respektive bolag. Den ska därför anta egna anvisningar för informationssäkerheten, i enlighet med informationssäkerhetspolicyn och dessa riktlinjer. Det åligger också varje nämnd och styrelse att avsätta medel för informationssäkerhetsarbetet, årligen planlägga och löpande följa upp informationssäkerheten och i övrigt vidta de åtgärder som krävs för att uppnå och upprätthålla tillräcklig intern kontroll. Nämnd och styrelse är personuppgiftsansvarig inom sin organisation, enligt personuppgiftslagen (PuL). Personuppgiftsansvarig ska utse ett eller flera personuppgiftsombud Personuppgiftsombud Personuppgiftsombud har till uppgift att tillse att personuppgifter behandlas på ett lagligt och korrekt sätt. Personuppgiftsombudet ska bl.a. påpeka eventuella brister i behandlingen. Om inte brister åtgärdas efter påpekande ska ombudet anmäla missförhållanden till Datainspektionen som är tillsynsmyndighet när det gäller behandling av personuppgifter. Personuppgiftsombudet ska föra en förteckning över de behandlingar av personuppgifter, som skulle ha omfattats av anmälningsskyldighet, om ombudet inte funnits Förvaltningschef/VD Förvaltningschef/VD har, inom sin verksamhet, ansvaret för att utforma och kommunicera anvisningar, verkställa och följa upp styrelse respektive nämnds beslut och att åtminstone årligen rapportera status på informationssäkerheten till nämnd respektive styrelse. I ansvaret ingår även att säkerställa att all informationshantering sker i enlighet med informationssäkerhetspolicy, riktlinjer och anvisningar, och att vid behov fastställa instruktioner. Förvaltningschef/VD ansvarar även för att det inom organisationen sker en kartläggning och en prioritering av vilka verksamheter som är i behov av en kontinuitetsplan. Dessutom ska det utses en krisorganisation som ska ansvara för att få verksamheterna att återgå till ett normalläge efter katastrofsituationer, störningar och oplanerade avbrott. Krisorganisationen kan antingen vara övergripande eller per respektive verksamhet.

17 6(41) Alla viktiga tillgångar inom landstinget ska redovisas. Förvaltningschef/VD ansvarar för att förteckning förs över alla viktiga tillgångar. Det åligger även denne att säkerställa att ägare för dessa tillgångar utses, med ansvar för att vidta nödvändiga skyddsåtgärder. Informationssäkerhet är en naturlig del av chefsansvaret och är kopplat till det delegerade verksamhetsansvaret. Det betyder att varje person som får ett delegerat verksamhetsansvar, också ansvarar för informationssäkerheten inom den verksamheten. Förvaltningschef/VD ska avsätta resurser för informationssäkerhet samt utse en informationssäkerhetssamordnare med ansvar för att koordinera arbetet med informationssäkerhet inom den egna organisationen. Inom hälso- och sjukvårdsverksamhet ska förvaltningschef/vd även utse en eller flera personer som har till övergripande uppgift att se till att patientens rättigheter enligt Patientdatalagen och tillhörande regelverk uppfylls. Det ska finnas en instruktion för hur vidtagna åtgärder och brister på området ska rapporteras till förvaltningschef/vd respektive landstingets informationssäkerhetschef, se även avsnitt Informationssäkerhetssamordnare Inom varjeförvaltningoch bolag ska utses en informationssäkerhetssamordnare. Denne ska, oavsett inplacering i organisationen, rapportera direkt tillförvaltningschef/vdoch ansvaraförföljande: Utformaförslag till anvisningar för informationssäkerhet som innehåller preciseringar och tillägg till policy och riktlinjer med utgångspunkt från den egna organisationens specifika behov Utformaförslag till handlingsplan för informationssäkerhet i den egna organisationen Sprida kunskap om regler, metoder och tekniker avseende informationssäkerheten Samordna det för organisationen och verksamheten gemensamma informationssäkerhetsarbetet Koordinera arbetet med incidenthantering och riskanalyser Årligen rapportera följande till förvaltningschefen/vd:n: o granskningar och skyddsåtgärder av större betydelse som gjorts i enlighet med informationssäkerhetspolicy, riktlinjer, anvisningar och instruktioner o riskanalyser som utförts avseende informationssäkerheten o förbättringsåtgärder som vidtagits. o efterlevnaden av policy, riktlinjer, anvisningar och instruktioner Vara kontaktperson mot landstingets informationssäkerhetschef Vara representant i landstingets informationssäkerhetsråd Enligt Socialstyrelsens föreskrifter och Patientdatalagen ska vårdgivare utse en eller flera personer som ansvarar för informationssäkerhetsarbetet. Inom SLL har informationssäkerhetssamordnaren det ansvaret Informationsägare För varje viktig informationstillgång ska utses en informationsägare, med uppdrag att hantera alla delar av informationssäkerheten. Grunden i detta arbete är klassificering av informationen. Informationsägaren ansvarar för att beslut fattas om användares åtkomsträttigheter och att dessa överensstämmer med deras behörigheter. Dessutom ansvarar denne för att riskanalyser genomförs och att samordning av riskanalyser sker med andra

18 7(41) informationsägare. Om information innehåller personuppgifter ska det anmälas till personuppgiftsombudet. När information hanteras i IT-system ska informationsägarens krav ligga till grund för systemägarens val av skyddsåtgärder. Kraven ska dokumenteras i ett avtal eller överenskommelse. I de fall personuppgifter hanteras på uppdrag utanför den egna organisationen ska avtal om personuppgiftsbiträde upprättas i enlighet med PuL. Informationsägarskapet växlar när information överlämnas från en organisation till en annan. Det ankommer på respektive informationsägare som överlämnar information, att ställa krav på och skriva avtal om hur mottagaren ska hantera informationen. Syftet är att säkerställa informationssäkerheten i hela informationsbehandlingskedjan. Vid behov kan det för en verksamhetskritisk process utses en informationsägare, med uppdrag att säkerställa att informationssäkerheten beaktas i hela processen. Hanteras patientinformation i s.k. sammanhållen journal ansvarar informationsägaren för att det finns gemensamma rutiner för signering och låsning av uppgifter Systemägare För varje IT-system och nätverk ska det utses en systemägare, med uppdrag att ansvara för informationssäkerheten rörande sitt system. Ett IT-system kan bestå av flera olika applikationer beroende på hur informationsägaren avgränsat uppdraget. Systemägaren ska besluta om nyutveckling, vidareutveckling och avveckling. Systemägaren ska vid behov utse systemförvaltare som ges uppdraget att inom givna ekonomiska ramar ta det funktionella ansvaret för systemet. Systemägaren ska tillse att: verksamhetens behov tillgodoses skyddsnivån för systemet specificeras skyddsnivån följs upp före driftsättning krav på informationssäkerhet och funktionalitet beaktas i samband med anskaffning och utveckling av informationssystem Systemförvaltare Systemförvaltaren utses av systemägaren. Om systemägaren inte utser förvaltare ankommer det på systemägaren att utföra motsvarande uppgifter. Systemförvaltaren ska tillse att: systemförvaltning och förvaltningsplan upprättas driftgodkännande dokumenteras avbrottsplan för systemet utarbetas användarna informeras om vilken skyddsnivå som gäller för systemet och vilka krav som därmed ställs på dem rutin för rapportering och uppföljning av informationssäkerhetsincidenter, funktionsfel och brister utvecklas incidenter, funktionsfel och brister dokumenteras, analyseras och hanteras instruktioner för beviljande och kontroll av rättigheter till systemet utformas

19 8(41) rutiner för uppföljning av avvikelser eller försök till avvikelser mot åtkomstreglerna utarbetas förteckning förs över vilken information som behandlas av systemet och vem eller vilka som äger den användarna tilldelas rättigheter i enlighet med informationsägarnas beslut förteckning över användare och rättigheter förs och regelbundet följs upp åtgärder vidtas för att hantera identifierade risker utifrån genomförda riskanalyser system- och användardokumentation upprättas och hålls uppdaterad. användarna ges adekvat utbildning före åtkomst IT-chef/samordnare I varje organisation där det har utsetts en IT-chef/samordnare, ska denne: införa och upprätthålla informationssäkerheten för de IT-system, den information och den utrustning man givits i uppdrag att hantera, i enlighet med gällande regelverk utforma instruktioner för IT-verksamheten baserade på dessa riktlinjer och fastställda anvisningar tillse att IT-personalen följer gällande regler för informationssäkerheten ansvara för att IT-personalen får den utbildning i informationssäkerhet som krävs avtala om och fortlöpande kontrollera att anlitade leverantörer inom IT-området uppfyller kraven på informationssäkerhet Informationsanvändare Informationsanvändare är samtliga personer som i sin yrkesutövning hanterar information inom landstinget, vilket inkluderar såväl anställda som andra användare. Informationsanvändarnas medverkan är väsentlig för en effektiv informationssäkerhet. De ska göras medvetna om sin skyldighet att ta del av och följa uppställda informationssäkerhetsregler liksom att rapportera informationssäkerhetsincidenter, funktionsfel och brister, enligt fastställda rutiner. 2.3 Samordning och uppföljning Informationssäkerhetsråd För att samordning och uppföljning av informationssäkerhetsarbetet ska kunna bedrivas effektivt ska det finnas ett informationssäkerhetsråd. Utöver informationssäkerhetschefen ska rådet bestå av informationssäkerhetssamordnare från respektive förvaltning och bolag, se Rådets uppgift är att främja, stödja, samordna och följa upp landstingets informationssäkerhetsarbete på en övergripande nivå. Rådet ska främja erfarenhets- och kunskapsutbyte, bevaka vilket behov av stöd som finns i verksamheterna och föreslå förbättringar, förankra och samordna viktiga informationssäkerhetsaktiviteter samt följa upp efterlevnaden av landstingets riktlinjer för informationssäkerhet.

20 9(41) 3 Personalresurser och informationssäkerhet Detta kapitel beskriver riktlinjer för informationssäkerhet som ska tillämpas inom personalprocessen, det vill säga i samband med rekrytering, anställning och avslutande av anställning. 3.1 Rekrytering och anställning Arbetsgivaren är enligt personuppgiftslagen ansvarig för behandling av personuppgifter som utförs i samband med en rekryteringsprocess eller i arbetet. En arbetsgivare som samlar in uppgifter om arbetssökande eller anställda får endast samla in och behandla sådana uppgifter som är nödvändiga för registrets ändamål. Om det i lag eller annan författning finns särskilda kompetenskrav för en viss anställning kan det vara nödvändigt att behandla sådana uppgifter. Arbetsgivaren måste ha samtycke från den arbetssökande för att få behandla personuppgifter. Personuppgifterna får registreras och sparas bara så länge de är nödvändiga för ansökningsförfarandet. Personuppgiftslagen innehåller en uttömmande reglering för i vilka fall behandling av personuppgifter är tillåten. Närmare anvisningar finns att hämta i Datainspektionens informationsskrifterförbehandling av personuppgifter i arbetslivet. Se även avsnitt 6.3 och avsnitt 6.4 i dessa riktlinjer. 3.2 Arbetsbeskrivning och anställningsvillkor Samtliga anställda ska göras medvetna om sina skyldigheter enligt anställningsavtal samt om gällande regler för informationssäkerhet och sekretess (policy, riktlinjer, anvisningar och instruktioner). Det ska vara tydligt vilken information som ägs av arbetsgivaren och inte får förstöras eller kopieras vid t.ex. avslutande av tjänst. Samtliga anställda ska även göras medvetna om att bristande efterlevnad av gällande regler för informationssäkerhet och sekretess kan vara misskötsel, vilket är ett brott mot anställningsavtalet. Enligt personuppgiftslagen kan behandling av personuppgifter i samband med kontroll av anställda vara tillåten med arbetstagarens samtycke, ett avtal mellan arbetsgivaren och arbetstagaren, för att fullgöra en rättslig skyldighet eller i vissa fall även efter intresseavvägning. Samtliga anställda ska göras medvetna om detta. Motsvarande ska i förekommande fall gälla uppdragstagare som inte är anställda. Ytterligare information finns att hämta på Datainspektionens hemsida. 3.3 Bisysslor Vägledning för anställda om bisysslor, t ex vilka slags förhållanden som kan göra en bisyssla otillåten, ska finnas lätt tillgänglig för arbetstagaren. 3.4 Sekretess Inom den offentliga sektorn är sekretess för de anställda reglerat i lag. En sekretessförbindelse är därför inte möjlig att använda, utan ersätts av sekretesserinran. Denna skrivs inte under utan, som namnet säger, erinrar om gällande lagstiftning.

21 10 (41) Man behöver inte vara anställd av landstinget eller dess bolag för att omfattas av sekretessen. Vid anlitande av konsult eller annan extern uppdragstagare måste emellertid klargöras om han eller hon deltar i verksamheten på samma sätt som en anställd. Deltar personen inte i verksamheten på sådant sätt att offentlighets- och sekretesslagen blir tillämplig, ska tystnadsplikten regleras civilrättsligt, d.v.s. i avtal. 3.5 Utbttdning och fortbildning i informationssäkerhet Landstingets målsättning är att en god säkerhetskultur ska genomsyra organisationen. Med detta menas inte bara att medarbetarna har god kunskap om vilka säkerhetsregler som gäller utan att de också använder gott omdöme och kritiskt ifrågasätter händelser som kan påverka säkerheten. Eftersom en anställd oavsiktligt kan orsaka organisationen stor skada på grund av bristande kunskap, är det viktigt att genomföra introduktion och utbildning om gällande regler för informationssäkerhet. Detsamma gäller även vid omplacering av redan anställda och när tillfällig personal och externa konsulter anlitas. Samtliga anställda inom landstinget ska få den utbildning i informationssäkerhet som krävs för att de ska kunna utföra sina arbetsuppgifter ochföratt säkerställa informationssäkerhetsmålet. Utbildningens omfattning ska vara anpassad till det ansvar och de befogenheter som gäller för befattningen. Alla anställda måste minst ha genomgått en grundläggande utbildning som exempelvis DISA. Utbildningen bör följas upp årligen. 3.6 Avslutande av anställning Det skafinnasfastställd rutinförhantering av personal som avslutar sin anställning inom landstinget. Rutinen ska säkerställa att ansvarsuppgifter avlämnas och att åtkomsträttigheter upphör vid anställningens slut. Den ska även säkerställa att nycklar, tjänstekort och övrig utrustning återlämnas.

22 11 (41) 4 Personlig IT-användning Detta kapitel beskriver de riktlinjer som är direkt relaterade till den anställdes, och där med likställdas, hantering av information. Datorer, internetuppkoppling, telefoner och e-post är exempel på arbetsredskap som användaren erhåller inom ramen för sin anställning eller uppdrag. Det betyder att landstingets utrustning är till för sådant som hör till arbetet. Regler för hur landstinget ska tillhandahålla datorer och internet till kunder, finns under kapitel 9, Kommunikations- och nätverkssäkerhet. 4.1 Användande av internet Landstingets IT-resurser (datorer, nätverk och all annan kringutrustning) är avsedda att användas som arbetsredskap vid tjänsteutövning. Privat användning av internet är tillåten i begränsad omfattning och får inte påverka datorns eller nätverkens funktionalitet, prestanda eller tillgänglighet. Detsamma gäller privat användning av snabbmeddelande. Användaren ska agera etiskt korrekt och i enlighet med svensk lag. Det är inte tillåtet att: besöka webbsidor som innehåller våld, rasism, pornografi, brottslig verksamhet eller annat som av etiska skäl inte ska förekomma i SLL:s verksamhet ladda ner musik, filmer eller andra filer och program för privat bruk från internet till datorer och utrustning som tillhör SLL att utnyttja SLL:s internetuppkoppling eller system för skötande av bisyssla ansluta en dator till landstingets nätverk samtidigt som den är uppkopplad mot annat nätverk. använda integritetskänsliga eller värderande uppgifter om enskild person, eller personuppgifter i strid med personuppgiftslagen 4.2 E-post och snabbmeddelande När e-post skickas finns det alltid en risk att andra än den avsedda mottagaren kan ta del av meddelandet. Information som är klassad enligt säkerhetsnivå K2 eller högre, se avsnitt 5.2, ska skyddas med kryptering då den skickas internt eller externt i e-postsystemet eller via snabbmeddelande. Det är inte tillåtet att: skicka eller spara stötande information innehållande våld, pornografi, diskriminerande ord och bilder samt olika typer av agitation och liknande skicka personuppgifter i strid med personuppgiftslagen skicka eller vidarebefordra skräppost (s k spam) och kedjebrev skicka exekverbara programfiler (t.ex. exe) öppna exekverbara program, inkl komprimerade programfiler automatiskt vidarebefordra e-post från SLL:s e-postsystem till extern e-postadress då detta kan strida mot reglerna om offentlig handling uppge privat e-postadress på landstingets offentliga webbsidor eller i annan offentlig dokumentation. Privat användning av landstingets e-postsystem är tillåten i begränsad omfattning och får inte inverka på användarens arbete. Registrering av landstingets e-postadress i t.ex. diskussionsgrupper eller vid prenumerationer på information, får endast ske om det ingår i SLL:s verksamhet.

23 12 (41) Medarbetares e-postkonto kan stängas av vid misstanke om brott eller missbruk. Förvaltningschef eller VD ska fastställa instruktionerförinsyn i e-post i sådana situationer. All post, såväl traditionell som i elektronisk form, är att betrakta som allmän handling. Det innebär bland annat att materialet är offentligt. I vissa fall kan uppgifter vara sekretessbelagda och inte lämnas ut, se avsnitt 6.1 och Sociala medier Med sociala medier menas interaktiva medier på internet som t.ex. bloggar, Facebook, wikis och artikelkommentarer. Idag använder flera av landstingets verksamheter sociala medier för att snabbt och effektivt nå sina målgrupper och skapa dialog. Ingen känslig information får kommuniceras i sociala medier. Det är inte tillåtet att använda samma lösenord till sociala medier som till SLL:s interna system I övrigt gäller motsvarande regler somföre-post. Privat användning av sociala medier är tillåten i begränsad omfattning och får inte inverka på användarens arbete. Registrering av landstingets e-postadress i sociala medier får endast ske om det ingår i SLL:s verksamhet. 4.4 Användaridentiteter Användaridentiteter, lösenord och e-tjänstekort är personliga och får inte lånas ut. Vid misstanke om att ett lösenord kommit i fel händer eller ett e-tjänstekort borttappats måste det omgående rapporteras så att de kan spärras och bytas ut. Utrustning som handdatorer och mobiltelefoner ska förses med en PIN-kod eller ett lösenord som är svårt att gissa och bytas regelbundet. 4.5 Användning av IT-utrustning som datorer, mobiltelefoner och suriplattor SLL:s utrustning ska användas för arbetsrelaterade ändamål. Information ska så fort det är möjligt sparas på anvisad plats i nätverket. För att förhindra obehörig åtkomst till ITsystem ska användaren inte lämna arbetsstationen påloggad. Det är inte tillåtet att ansluta IT-utrustning som datorer, mobiltelefoner och surfplattor som ej ägs av SLL till landstingets nätverk. Det är heller inte tillåtet att installera och köra ickegodkänd mjukvara på utrustning som ägs av SLL. Synkronisering av kalendrar och e-post (s.k. pushmail eller activesync) får endast ske på utrustning som ägs av SLL. Vid ett tydligt behov kan undantag göras, men ett sådant beslut skaföregåsav en riskanalys och godkännas av närmaste chef, se avsnitt 9.5. Dessutom gäller att: Operativsystemet ska ha de senaste säkerhetsuppdateringarna Program (t.ex. MS Office) ska ha de senaste säkerhetsuppdateringarna Antivirusprogrammet ska vara aktiverat och uppdaterat med senaste antivirusdefinitionen Lokal brandvägg i datorn ska vara aktiverad och rätt inställd

24 13 (41) IT-utrustning som används inom SLL får inte användas för att inhämta, lagra eller sprida information som i någon form innebär en kränkning eller som kan uppfattas som ofördelaktigt för individ, folkgrupp eller annan grupp med anspelning på ålder, kön, handikapp, trosbekännelse, sexuell läggning, hudfärg eller etniskt ursprung. Vid extern lagring av landstingets information som är klassad med förhöjda krav på tillgänglighet, riktighet eller konfidentialitet, ska det säkerställas att de externa lagringstjänsterna kan uppfylla dem. Ett sådant beslut ska föregås av en riskanalys. 4.6 Arbete på annan plats Anslutning från annan plats till SLL:s nätverk ska ske genom en kommunikationslösning som är godkänd av SLL. Ett exempel på detta är distansarbete via SAM. Informationsägaren beslutar om känslig information får förvaras eller hanteras i miljöer utanför SLL:s skalskydd. Det krävs att en riskanalys genomförts och att säkerhetsåtgärder, som t.ex. kryptering, har vidtagits. Information på papper ska ha ett motsvarande skydd. Känslig information, klass K2 eller K3, ska krypteras på bärbara datorer, handdatorer, telefoner och annan typ av flyttbar media. 4.7 Telefoni Känslig information ska inte diskuteras på allmän plats eller där det finns risk för att någon kan ta del av vad som sägs. Detta gäller såväl samtal över telefon, mobiltelefon, telefonsvarare som SMS och MMS. Moderna mobiler är ofta små datorer som innehåller mycket information och ska därför hanteras på samma sätt som datorer. IT-support ska omedelbar kontaktas vid förlust av mobiltelefon. 4.8 Fax Fax är en mycket osäker kommunikationsform som ibland är nödvändig att använda. Det ska finnas lokala instruktioner för faxhantering med krav på avidentifiering av känslig information.

25 14 (41) 5 Klassificering av tillgångar och riskhantering Detta kapitel beskriver riktlinjer för riskhantering, d.v.s. processen som styr att risker kontinuerligt analyseras och tas om hand med lämpliga skyddsåtgärder. Riskanalys, som innebär att utifrån hotbilder identifiera och bedöma risker, är ett centralt område inom landstingets informationssäkerhetsarbete. Analyserna ska utmynna i att lämpliga åtgärder vidtas för att hantera de identifierade riskerna. 5.1 Förteckning över tillgångar Systematiskt riskhanteringsarbete förutsätter att viktiga informationstillgångar är identifierade och riktigt klassade. Det ska därför finnas en förteckning över viktiga tillgångar inom respektive förvaltning och bolag. Följande tillgångar ska finnas med i förteckningen: Programvaror Informationstillgångar, som databaser, datafiler och dokumentation Fysiska tillgångar Nyckelpersoner Avtal Immateriella tillgångar, som patent och varumärken Personuppgiftslagen och Patientdatalagen ställer härutöver legala krav på förteckningar och register inom landstinget. 5.2 Klassificering av information Klassificeringen av en tillgång sker med utgångspunkt i att information och informationsbehandling är skyddsvärda resurser. Tillgången tilldelas sedan en informationsklass som motsvarar dess betydelse för den aktuella verksamheten. Alla viktiga informationstillgångar inom landstinget ska klassificerasföratt identifiera tillgångar som på ett eller annat sätt ställer högre krav på säkerhet och skyddsnivå. Det är viktigt att detta arbete sker med omsorg och förnuft. Klassificeringen av respektive tillgång ska fungera som underlag för riskanalyser och prioritering av skyddsåtgärder, ska omprövas regelbundet, och vara ett naturligt inslag i det kontinuerliga säkerhetsarbetet. Rutiner för klassificering ska fastställas, där kraven på tillgänglighet, riktighet och konfidentialitet ska vara utgångspunkten: Konfidentialitet (rätt person): Riktighet (rätt information): Tillgänglighet (rätt tid och plats): Information får inte göras tillgänglig eller avslöjas på ett sådant sätt att den personliga integriteten eller sekretessen hotas. Informationen få inte förändras eller gå förlorad, av misstag, genom inverkan av obehörig eller på grund av tekniskt fel. Informationen ska kunna användas i förväntad utsträckning, inom önskad tid och på rätt plats.

26 15 (41) Nedanstående matris är den klassificeringsmodell som ska användas inom landstinget. Nivåbestämningen utgår från bedömd skada vid obehörig åtkomst, bristande riktighet och bristande tillgänglighet till informationstillgång. Nivå 1 innebär försumbar skada och nivå 3 innebär allvarlig skada. Mycket allvarlig skada om informationen röjs. Mycket allvarliga fel så att förtroendet för SLL minskar Mycket allvarlig tillgänglighetsstörning för hela verksamheten Endast behöriga får tillgång till informationen. Sekretess enligt offentlighets- och sekretesslagen. Information som omfattas av särskild lagstiftning, t.ex. Patientdatalagen * Skyddad identitet. T> Där SLL:s verksamhet skadas i stor utsträckning p.g.a. ej korrekt information. Kan medföra fysisk skada eller olycka som t ex journalsystem eller trafikstyrning Verksamhetskritiska avbrott som ger allvarlig störning i tillgängligheten. Stora produktionsbortfall. E-tjänster mot t ex allmänhet med höga krav på servicenivå. Skada om informationen röjs Information där utelämnande ska föregås av sekretessprövning Personuppgifter i allmänhet eller som enligt PuL är att betrakta som känsliga. Uppgifter av intern karaktär vilka endast egen personal bör ha tillgång till. Fel som kan medföra skada ^ SLL:s verksamhet kan störas. Omfattas av lagrum med riktighetskrav, t ex PuL IT-system eller information som ingår i myndighetsutövning Avbrott i IT-system/ information kan medföra skada ^ IT-system eller informationstillgång som ingår i kärnverksamhet eller myndighetsutövning. E-tjänster mot allmänhet och andra intressenter Ingen/försumbar skada Ingen/försumbar skada. Ingen/försumbar skada ^ Allmän och öppen information som utan skaderisk kan utlämnas till utomstående eller allmänheten. H> SLL:s verksamhet fungerar utan att justering av riktigheten genomförs direkt. * Verksamhetsberoendet är lågt och avbrott medför ringa eller ingen störning.

27 16 (41) 5*3 Märkning av information Märkning och säker hantering av klassificerad information är ett nyckelkrav vid informationsdelning. Märkning av information ska ske med Landstingets klassificeringssystem. Detta ska gälla för information i såväl fysisk som elektronisk form. 5.4 Riskbedömning och riskhantering Riskbedömning innebär att man på ett systematiskt sätt uppskattar identifierade riskers omfattning (riskanalys) och bedömer riskernas betydelse för verksamheten utifrån fastställda kriterier (riskvärdering). Riskanalyser stödjer verksamhetens säkerhetsarbete. De används som är ett verktyg för att på ett systematiskt sätt identifiera och analysera risker utifrån potentiella hot. Riskerna bedöms utifrån hur stor sannolikheten är att hoten realiseras och bedömda konsekvenser för verksamheten. Riskanalyserna ger underlag för att fastställa de skyddsåtgärder som behöver införas och ska utmynna i prioriterade åtgärdsplaner för att hantera riskerna. De skyddsåtgärder som väljs ska stå i proportion till de olika riskerna som verksamheten kan utsättas för. Värdet på det som ska skyddas ska sättas i relation till kostnaden för att införa och upprätthålla skyddsåtgärderna. Alla skyddsåtgärder ska dokumenteras på ett sådant sätt att det är möjligt att kontrollera att eftersträvad skyddsnivå uppnås. Bilden nedan beskriver processen för riskhantering och riskanalysens roll samt visar hur risker kan reduceras/elimineras med hjälp av skyddsåtgärder. Riskhantering ska vara en kontinuerlig process och riskanalyser bör genomföras i samband med förändringar i verksamheten, processerna och informationssystemen eller motsvarande. Alla verksamhetskritiska system ska analyseras årligen. Analyserna ska kompletteras med en uppföljning av att systemen följer interna och juridiska krav. 5.5 Hantering av informationssäkerhetsincidenter Med säkerhetsincident avses en händelse där någon aspekt av informationssäkerheten hotas t.ex. brott mot sekretess, integritetsförlust, driftavbrott eller brist på tillgång till information.