Informations- och IT-säkerhet i kommunal verksamhet

Transkript

1 Informations- och IT-säkerhet i kommunal verksamhet

2 En kommuns roll i trygghets och säkerhetsarbetet och var informations- och IT-säkerheten kommer in i detta Vad, vem och hur man kan arbeta med informations- och IT-säkerhet

3 Kommunens roll i trygghets- och säkerhetsarbetet Skydd mot olyckor Hantera räddningsinsatser samt brandförebyggande och olycksförebyggande arbete Hantera extraordinära händelser Egen krishanteringsförmåga och geografiskt områdesansvar Brottsförebyggande arbete Till stor del socialt arbete och lokal förankring av polisverksamhet samt samverkan i brottsförebyggande råd Internt säkerhetsarbete Säkerställa och skydda den egna verksamheten och dess tjänster Källa: MSB/SKL

4 Områden inom internt säkerhetsarbete Internt säkerhetsarbete Personsäkerhet Fysisk säkerhet Informationssäkerhet Teknik IT-säkerhet Processer Organisation Människor Riktighet Konfidentialitet Tillgänglighet Riktighet Konfidentialitet (sekretess) Tillgänglighet Förändring/påverkan sker endast på ett önskat och kontrollerat sätt Åtkomst endast för behöriga Tillgång efter behov i förväntad utsträckning/inom önskad tid

5 Verksamhetsperspektivet Styrning och krav INFORMATIONSSÄKERHET IT-verksamhet IT-SÄKERHET Driftleverantör

6 En kommuns roll i trygghets och säkerhetsarbetet och var informations- och IT-säkerheten kommer in i detta Vad, vem och hur man kan arbeta med informations- och IT-säkerhet

7 Vad behöver göras?

8 Vad behöver göras? Internt Externt Externt/Internt Färdriktning Önskvärda framtida läge Vad man ska uppnå Prioriteringar. Förhållningssätt Värden som ska beaktas Principer som ska gälla Sätter gränser. Förhållningssätt Förhållningssätt (t ex DI:s råd) Färdriktning (t ex Digital Agenda)

9 Vad behöver göras? Viljeyttring, värdeyttring. Livscykel 5 år Hur & på vilket sätt. Konkreta. Livscykel 3 år Vad som skall göras, anger ramar. Livscykel 3-5 år Viktigt att definiera och besluta om styrdokumentens hierarki!

10 Vad behöver göras? Exempel: Säkerhetspolicy Exempel: Regler för chefers informationssäkerhetsansvar Regler för IT-användare Regler för Driftsdokumentation Regler för E-post Exempel: Riktlinjer för informationssäkerhet Exempel: Arkivlag ( Allmänna handlingar ska skyddas mot förstörelse, skada, tillgrepp och obehörig åtkomst) Personuppgiftslag (Skydd av personuppgifter som behandlas) Offentlighets- och sekretesslag (Sekretessbelagda uppgifter får ej röjas) Tryckfrihetsförordningen (Tillhandahållande av allmän handling ) Lag om kommuners och landstings åtgärder inför och vid extraordinära händelser i fredstid och höjd beredskap (Minska sårbarheten och kunna hantera extraordinära händelser) Lag om skydd mot olyckor (Tillfredsställande skydd för egendom) Patientdatalag (Informationshantering inom hälso- och sjukvården ska tillgodose patientsäkerheten, god kvalitet samt främja kostnadseffektivitet) Lag om kommunal redovisning(beskrivningar över genomförda bearbetningar ska upprättas så att man kan följa och förstå de enskilda bokföringsposternas behandling) Exempel: Strategi för samhällets informationssäkerhet Nationell strategi för skydd av samhällsviktig verksamhet DI:s råd Socialstyrelsens föreskrifter Nationell ehälsa Strategi för esamhället Digital agenda för Sverige Lokala styrdokument Avtal och överenskommelser

11 Hur gör man? Verksamhetsanalys Riskanalys GAP-analys Riskmedvetenhet Tydliggörande av risker för ansvariga Analysera Klassificering Genomgång och återrapportering Analys Förtroende Uppfyllande av lagar och krav från ledning, nyttjare, medborgare, kunder, intressenter mfl Kontroll Mätning gentemot indikatorer Följa upp Realisera försäkringslösningar Införa Utforma Införa säkerhetsprocesser Fastställa säkerhetsåtgärder Införa säkerhetsåtgärder Utforma säkerhetsprocesser Kris- & kontinuitetshantering Incidenthantering Förändringshantering Service och supporthantering Behörighetshantering Patch-hantering Övervakning & logghantering Information & utbildning Verksamhetsanpassning Inte högsta utan tillräcklig säkerhet

12 Riskägare Vem gör vad? Respektive nämnd/förvaltning och styrelse/bolag är ansvarig för riskhanteringen och säkerheten inom respektive verksamhet (KS ytterst ansvarig) Övergripande ledning och samordning Stadsledningskontor (motsv) med uppdrag att stödja kommunstyrelsens ledning och samordning av kommunens verksamhet Uppföljning och granskning Revisionsförvaltning (motsv) med uppdrag att granska och bedöma den interna kontrollen i verksamheten såsom att tillämpliga lagar, föreskrifter, styrdokument mm följs Stadsledningskontor (motsv) med uppdrag att stödja kommunstyrelsen att fullfölja sin uppsiktsplikt

13 Exempel på hur delegation/verkställighet av ansvar/skyldigheter kan göras inom en förvaltning Verksamhetsansvarig Processägare Informationsägare Systemägare Systemansvarig Personuppgiftsansvarig (PuL) Riskanalysera Besluta om säkerhetsnivå Säkerställa processer och informationshantering Riskanalysera Informationsklassa Besluta om säkerhetsnivå åtkomst Säkerställa processer att informationssystem och uppfyller informationshantering Informationsklassa beslutade krav Organisera och planera den operativa Informationsklassa Besluta om åtkomst förvaltningen vilket inkluderar uppföljning av Besluta Säkerställa definierade om att åtkomst informationssystem säkerhetskrav uppfyller beslutade krav Organisera och planera den operativa förvaltningen Säkerställa att vilket informationssystem inkluderar uppföljning av uppfyller definierade beslutade säkerhetskrav krav Säkerställa att informationssystem uppfyller Organisera beslutade och planera krav den operativa förvaltningen vilket inkluderar uppföljning av Organisera definierade och säkerhetskrav planera den operativa förvaltningen vilket inkluderar uppföljning av definierade säkerhetskrav Säkerhetsfunktion Utveckla/förvalta handlingsplan Utveckla/förvalta styrdokument Utveckla/förvalta processer och metoder Incidentutredningar Uppföljningar/revisioner Utbilda och informera Stöd Delegation Verkställighet Om en nämnd uppdrar åt en förvaltningschef inom nämndens verksamhetsområde att fatta beslut, får nämnden överlåta åt förvaltningschefen att i sin tur uppdra åt en annan anställd inom kommunen att besluta i stället Beslut som fattas enligt i förväg fastställda direktiv och som inte innehåller något moment av självständig bedömning

14 Exempel på hur fördelning av ansvar/skyldigheter för system inom en förvaltning/bolag kan göras Nämnd Förvaltningsschef Förvaltningar/Bolag Verksamhetsansvarig Personuppgiftsansvarig Styrelse VD Verksamhetschef IT-chef Processägare Genomföra riskanalyser Besluta säkerhetsnivå Säkerställa processer Informationsägare Informationsklassning Hanteringsregler (åtkomst, behörighet,..) Systemägare Säkerställa att beslutade krav på säkerhet uppfylls Affärsområdeschef IT-chef Systemansvarig Organisera, planera, utarbeta och koordinera Uppföljning Xx Systemförvaltning Drift Yy = Delegation (max två led för fv) = Verkställighet

15 En kommuns roll i trygghets och säkerhetsarbetet och var informations- och IT-säkerheten kommer in i detta Vad, vem och hur man kan arbeta med informations- och IT-säkerhet

16