Styrning och compliance för informationssäkerhet

Storlek: px

Starta visningen från sidan:

Download "Styrning och compliance för informationssäkerhet"

Johan Isaksson
för 5 år sedan
Visningar:

1 Styrning och compliance för informationssäkerhet SWERMA 26 mars 2015 Markus Ekbäck CISO/Informationssäkerhetssamordnare Kvalitet och Patientsäkerhet

2 Innovation och inspiration Innovationer för informationssäkerhet? Bild: Tesco Virtual Supermarket, Sydkorea juni 2011

3 En stor del av vår information är mycket värdefull och ofta livsviktig, t.ex. information i patientjournaler Om vi förlorar information eller om den är felaktig så kan det få förödande konsekvenser

4 Informationssäkerhet vid Karolinska Mål för det långsiktiga arbetet: Informationssäkerhet ingår naturligt i verksamheterna. Ansvariga ska utifrån sina verksamheters behov bedöma vilket skydd som informationen behöver ha. Karolinskas ledningssystem för informationssäkerhet Beslut Kshd 19/2012 Ett högt risk- och säkerhetsmedvetande utgör grunden för en trygg och högkvalitativ vård.

5 Vad är informationssäkerhet? Informationssäkerhet är åtgärder för att hindra att information läcker ut, förvanskas eller förstörs. Informationen ska vara riktig, tillgänglig och spårbar när den behövs. Känslig information ska präglas av konfidentialitet, dvs. att endast behöriga får ta del av dessa uppgifter. Informationen behöver skyddas för att säkerställa verksamhetens kontinuitet. Informationen som ska skyddas kan yttras i en konversation vara tryckt på papper vara lagrad elektroniskt överföras med post eller med elektroniska hjälpmedel visas på film

6 Informationssäkerhet övergripande mål Målet för landstingets informationssäkerhetsarbete är att skydda informationen inom verksamheten. Skyddet ska vara anpassat till skyddsvärde, risk och lagkrav och därigenom möjliggöra för landstingets verksamheter att uppnå sina mål. SLL ska bedriva ett systematiskt informationssäkerhetsarbete både på övergripande nivå (centralt) och på verksamhetsnivå (lokalt).

7 Process för informationssäkerhet Klassificering (informationsägare) Säkerhetskrav (avstämning) Riskanalys Åtgärdsplan Genomförande Uppföljning

8 Exempel på krav Krav, fysiskt skydd Miljökrav ISO14000 Lokala styrdokument Säkerhetsstandard för betalkortdata, PCI DSS Arbetsmiljö Informationssäkerhet ISO27000 Förvaltningskrav Verksamhetens överordnade riktlinjer för informationssäkerhet Krav från Myndigheten för samhällsskydd och beredskap Tillämpningsanvisningar för informationssäkerhet Krav för upphandlingar Brandskyddskrav Finansinspektionens krav ex. Basel II

9 Grundidén med modern Compliance Göra kravdokument och policies interaktiva Klicka för att rapportera! Feedback i text! Ladda upp bevis!

10 Traditionell säkerhetsstyrning? Säkerhetskrav Informationssäkerhetschef Objektägare/systemägare/ verksamhetschefer?

11 En effektivare säkerhetsstyrning Informationssäkerhetschef Objektägare/systemägare/ verksamhetschefer Status Risker Åtgärder

12 Effektiv styrning & rätt IT-stöd Informationssäkerhetschef Respondenter Objektägare/systemägare/ Status verksamhetschefer Risker Åtgärder

Kravkatalogägare Respondenter Ansvarig Delegerat till Ansvarig Delegerat till Förvaltnings-/bolagsnivå Landstingsdirektören Förvaltningschef/VD

Informationssäkerhetssamordnare Ansvarig Förvaltningschef/ VD Delegerat till Funktionsområdes-/stabs-/ avdelningsnivå Administrativ

delegerat till Informationssäkerhetssamordnare/CISO Informationssäkerhetskoordinatorer el. motsvarande Ansvarig* Objektägare Ev.

13 Kravkatalogägare Respondenter Ansvarig Delegerat till Ansvarig Delegerat till Förvaltnings-/bolagsnivå Landstingsdirektören Förvaltningschef/VD Administrativ informationssäkerhet Perspektiv: Organisation, processer Decentraliserad informationssäkerhetsstyrning Informationssäkerhetschef Informationssäkerhetssamordnare Ansvarig Förvaltningschef/ VD Delegerat till Funktionsområdes-/stabs-/ avdelningsnivå Administrativ informationssäkerhet Perspektiv: Medarbetare/ Personal Ansvarig Verksamhetschef, process-/ projektledare Ev. delegerat till Informationssäkerhetssamordnare/CISO Informationssäkerhetskoordinatorer el. motsvarande Ansvarig* Objektägare Ev. delegerat till* Objektägare IT Objekt-/systemnivå Teknisk, logisk säkerhet Perspektiv: System, IT-komponenter Ansvarig Förvaltningsledare Ev. delegerat till Förvaltningsledare IT SLL-gemensamt perspektiv Lokalt perspektiv

Verksamhetschef Kvalitet & Patientsäkerhet/ chefsläkare

Ansvarar för att respektive verksamhet efterlever de informationssäkerhetskrav

Koordinator/ verksamhet Ansvarar för att personalen inom respektive verksamhet

14 Verksamhetschef Kvalitet & Patientsäkerhet/ chefsläkare Informationssäkerhetssamordnare Koordinator/ division Verksamhetschefer Ansvarar för att respektive verksamhet efterlever de informationssäkerhetskrav som definieras i Riktlinjer för Informationssäkerhet och dess bilagor Koordinator/ verksamhet Ansvarar för att personalen inom respektive verksamhet får tillräcklig utbildning i informationssäkerhet och att de efterlever fastställda informationssäkerhetsregler Bilaga 3

15 Synliggör förbättringsområden!

Resultat 1 2 3 4 Möjliggör efterlevnadsarbete

16 Resultat Möjliggör efterlevnadsarbete Ökat ansvarstagande och delaktighet Central överblick

17 Resilient information elastisk, spänstig, töjbar Reason modified by Ekbäck

18 Karolinskas arbete med informationssäkerhet All säkerhet utgår från verksamhetens behov Informera, skapa engagemang och stöd verksamheten i förbättringsarbeten Delaktighe t Diskutera och synliggöra lyckade exempel så väl som risker med informationshantering

Relevanta dokument

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad: 2013-10-23

Informationssäkerhet vid Karolinska Universitetssjukhuset Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad: 2013-10-23 Förlorar vi informationen, om den är felaktig eller manipulerad