Landstingsgemensamma Informationssäkerhetstermer

Transkript

1 LS Direktören för landstingskontoret 1(37) Till Förvalatning/bolagschefer IT-Chefer Landstingsgemensamma Informationssäkerhetstermer IA-SLL är ett landstingsövergripande kompetensnätverk för framtagande av gemensamma begrepp, begreppssamband och definitioner. IA-SLL har fått i uppdrag av landstingets ITsäkerhetschef att definiera termer och begrepp inom informationssäkerhetsområdet. För detta arbete bildade IA-SLL en arbetsgrupp benämnd IA-IS. Arbetgruppen har bestått av ITsäkerhetssamordnare, jurist, assistent, IT-samordnare och säkerhetschef. Då termerna var definierade våren 1997 gick de ut på remiss. Under 1998 har arbetsgruppen arbetat vidare med en ny metod för kvalitetssäkring och tagit fram en begreppsmodell. Materialet har remitterats till samtliga förvaltningschefer inom Stockholms läns landsting. Undertecknad har fastställt och godkänt begreppsdefinitionerna som ska gälla som standard inom Stockholms läns landsting. Det är viktigt att termerna sprids och används inom hela förvaltningen/bolaget. Gemensamma begrepp är en förutsättning för att vi inom landstingets verksamheter på ett tillförlitligt sätt ska kunna byta information med varandra. Säkerhetstermerna finns tillgängliga på: & begrepp För information om säkerhetstermerna kontakta Gullbritt Gustavsson, Södersjukhuset, e-post gullbritt.gustavsson@soso.sll.se eller Yngve Eriksson, Landstingskontoret, e-post, yngve.eriksson@lk.sll.se För ytterligare information om arbetet med definition av begrepp inom landstinget, kontakta Ingela Jonstrup-Wilken, Landstingskontoret IT strategi, tel , fax eller e-post: ingela.jonstrup-wilken@lk.sll.se Sven Andrèason Yngve Eriksson Bilaga: Informatonssäkerhetstermer, Terminologi för Stockholms läns landsting certifierade , IA-SLL-SÄK01.

2 BEGREPPSMODELL FÖR SÄKERHET Terminologi för Stockholms läns landsting Certifierad IA-SLL SÄK01

3 LS Direktören för landstingskontoret 3(37) Beställare: Yngve Eriksson, Säkerhetschef, Stockholms läns landsting Utarbetad av: Sakkunniga i arbetsgruppen har varit: Gullbritt Gustavsson, projektledare IT-strateg SÖS Kerstin Jansson jurist SVPO Lars-Åke Larsson IT-strateg SSPO Ann Catrine Thellnér IT-ansvarig Färdtjänsten Sören Wassbrant Kanslichef NÖSO Eva Djerf IThandläggare Locum Arbetet med att se över definitionernas lydelse och skissera en struktur mellan begreppen i form av en begreppsmodell har utförts under en serie modelleringsseminarier under Metodstöd Astrakan Strategisk Utveckling AB. Remissinstanser: TNC IA-SLL Förvaltningschefer Certifierad av: Sven Andréason, Direktör för Landstingskontoret Yngve Eriksson, Säkerhetschef för Stockholms läns landsting Information: Gullbritt Gustavsson, Södersjukhuset, e-post, gullbritt.gustavsson@sos.sll.se Yngve Eriksson säkerhetschef för Stockholms läns landsting, e-post, yngve.eriksson@lk.sll.se Dokumentex, information om IA-arbete : Ingela Jonstrup-Wilken, Landstingskontoret-IT strategi, telefon , Litteraturreferenser Personuppgiftslag, SFS 1998:204 e-post, ingela.jonstrup-wilken@lk.sll.se SOU 1996:40 "Elektronisk dokumenthantering" Ds 1998:14 "Digitala signaturer - en teknisk och juridisk översikt" IA-SLL, Ärendehanteringstermer, version 2 Terminologi för Informationssäkerhet, ITS Rapport Svenska Akademins ordlista

4

5 Innehåll Arbetsgrupp... 3 Litteraturreferenser... 3 Bakgrund... 6 Begreppsmodellens presentation... 6 Läsanvisningar till begreppsmodell... 6 Definitioner... 8 aktör användaridentifiering...9 användaridentitet...10 autenticering...10 autenticeringssymbol...11 avidentifiering...11 behörighetsidentifiering...11 behörighetskontroll...12 behörighetskontroll-system...13 behörighetsloggning...13 behörighetsnivå...14 digital signatur...14 digital stämpel...14 digitalt dokument...15 elektronisk handling...16 handling informationskvalitet informationssäkerhet...18 informationsteknik...19 informationstillgänglighet...19 informationsägare...20 IT-system...21 IT-säkerhet...22 IT-säkerhetssamordnare...22 IT-utrustning...23 konfidentialitet...23 lösenord...24 MI-system...24 MI-säkerhet...25 MI-säkerhetssamordnare...25 personregister...26 personuppgift...26 personuppgiftsansvarig...27 personuppgiftsombud...28 skyddsområde...28 skyddsåtgärd...29 systemförvaltare...29 systemägare...30 teknisk plattform...31 utrustningsförvaltare...32 åtkomststyrning

6 Bakgrund Landstingsdirektören har beslutat om Riktlinje för informationsadministrativt arbete inom Stockholms läns landsting. Ur denna saxar vi: En entydig begreppsapparat är nödvändig vid all tolkning och utbyte av information. Den behövs vid sammanställningar och jämförelser av prestationer, kostnader och resultat. Här presenterar vi den överenskomna begreppsapparaten inom säkerhetsområdet. Begreppen beskrivs med hjälp av en begreppsmodell. I en begreppsmodell beskrivs begreppen både verbalt och grafiskt. Den grafiska beskrivningen gör det möjligt att skapa överblick, att se strukturer, att hitta näraliggande och kompletterande begrepp. Begreppsmodellens presentation För att göra beskrivningen överskådlig har begreppsmodellen delats upp i ett antal mindre grafer. na uttrycks med IA-SLLs språk för begreppsmodellering (se läsanvisning nedan). Varje begrepp beskrivs med en rad i efterföljande tabell. I tabellens första kolumn anges begreppets. I den andra kolumnen ges en kortfattad verbal definition av begreppet. Dessutom anges begreppets alla samband till andra begrepp verbalt. I den fjärde och sista kolumnen beskrivs dessa samband grafiskt. I den tredje kolumnen visas några exempel på hur andra har definierat motsvarande begrepp. Läsanvisningar till begreppsmodell Här ges en kort sammanfattning av hur symbolerna i begreppsmodellens graf ska tolkas. Begreppsmodellen är uttryckt med det språk som finns beskrivet i IA-SLLs språk för begreppsmodellering. Varje rektangel i grafen representerar ett begrepp vars innebörd definieras av begreppsmodellen. Begreppets skrivs i rektangelns övre del. Detta skrivs i alla typer av dokument alltid med fet stil. I rektangelns nedre del skrivs begreppets definition. I en begreppsmodell definieras begreppen till stor del av sina relationer till omgivande begrepp. Dessa relationer visas med pilar mellan begreppen. har rätt att utnyttja visst under viss tidsperiod och som innehar viss användaridentitet, viss autenticeringssymbol och viss behörighetsnivå verifierar (verifieras vid) autenticering verifiering av att en fysisk person är den som den utger sig för att vara Pilens riktning anger i vilken riktning sambandet ska läsas, t.ex. autenticering verifierar. I motsatta riktningen används det sambands som är skrivet inom parenteser, t.ex. verifieras vid autenticering. I löpande text skrivs sambandsen kursivt. För att förtydliga sambandet mellan begreppen anges hur många av respektive begrepp som är kopplat till det andra. Både det minimala antalet och det maximala antalet anges med 0, 1 eller M (som i många). Detta kallar vi kardinalitet. behörighetsnivå nivå för rättighet till åtkomst till en eller flera resurser inom ett på angivet sätt (läsa, skriva, radera) och under angiven tidsperiod innehar 1:1 (innehas av 0:M) har rätt att utnyttja visst under viss tidsperiod och som innehar viss användaridentitet, viss autenticeringssymbol och viss behörighetsnivå Exempelvis innehas en viss behörighetsnivå av ingen (0) eller maximalt många (M). D.v.s. en behörighetsnivå behöver inte innehas av någon och kan innehas av flera. En däremot innehar alltid exakt en behörighetsnivå. Detta minimum och maximum har stor betydelse för begreppens innebörd. digitalt dokument hör ihop med 0:M (hör ihop med 0:M) Vissa samband startar och slutar i samma begrepp som i ovanstående figur. Detta innebär i detta fall att ett visst digitalt dokument kan höra ihop med andra digitala dokument. En annan typ av relation mellan begrepp visar delmängdsförhållanden. Med hjälp av dem kan man uttrycka, t.ex. att alla är antingen MI-system eller IT-system och att vissa IT-system är behörig-

7 hetskontrollsystem. Därmed har behörighetskontrollsystem alla egenskaper och samband som IT-system har och ITsysterm och MI-system har alla egenskaper som. system för behandling av information IT-system MI-system (manuellt ) som baseras på informationsteknik som är baserat på manuella rutiner behörighetskontrollsystem IT-system som utför behörighetskontroll I ovanstående exempel kopplades delmängderna MI-system och IT-system ihop med den totala mängden via en fylld cirkel. Denna fyllda cirkel visar att varje element i den totala mängden måste återfinnas i någon av delmängderna, d.v.s. varje är antingen ett MI-system eller ett ITsystem. För att uttrycka att inte alla element i den totala mängden finns i delmängderna används en ofylld cirkel. Det kan alltså finnas andra IT-system än behörighetskontrollsystem. Då ett samband pekar ut ett begrepp som finns definierat i en annan graf ritar vi in en kopia av detta begrepp. Dessa kopior visas med en grå rektangel. begrepps De begrepp som inte definieras inom IA-SLL-säkerhet, men som behövs för att förtydliga definitionen av andra begrepp visas med streckad ram. begrepps En mer utförlig beskrivning av detta språk finns i IA-SLLs språk för begreppsmodellering

8 Landstingskontoret BEGREPPSMODELL FÖR SÄKERHET 8(37) Definitioner aktör fysisk person i viss roll aktör Aktör avser exakt en fysisk person. fysisk person avser 1:M fysisk person i viss roll antar 1:1 roll Aktör antar exakt en roll. Exempel på aktörer är personuppgiftsombud, personuppgiftsansvarig, informationsägare, utrustningsförvaltare, systemförvaltare, systemägare,, MI-säkerhetssamordnare och IT-säkerhetssamordnare. systemägare ansvarar för förvaltning, nyutveckling, vidareutveckling och avveckling av inom antagna mål och ekonomiska ramar systemförvaltare på uppdrag av systemägaren handhar IT-säkerhetssamordnare samordnar IT-säkerheten motsvarande utrustningsförvaltare ansvarar för att bevaka att den IT-utrustning inklusive basprogramvara, för vilken hon/ han ansvarar, klarar fastställt skydd MI-säkerhetssamordnare samordnar MIsäkerheten mot-svarande som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter personuppgiftsansvarig ansvar för information i informationsägare personuppgiftsombud fysiska person som, efter förordnande av den personuppgiftsansvarig, självständigt skall se till att personuppgifter på ett korrekt och lagligt sätt

9 Landstingskontoret BEGREPPSMODELL FÖR SÄKERHET 9(37) (user) har rätt att utnyttja visst under viss tidsperiod och som innehar viss användaridentitet, viss autenticeringssymbol och viss behörighetsnivå Användare verifieras vid autenticering. Användare har rätt att utnyttja exakt ett. Användare innehar exakt en behörighetsnivå. Användare innehar exakt en användaridentitet. Användare innehar exakt en autenticeringssymbol. En obehörig är INTE en av systemet. system som omfattar et och den information som har rätt att utnyttja 1:1 (är möjligt att utnyttjas av 1:M) behörighetsnivå nivå för rättighet till åtkomst till en eller flera resurser inom ett på angivet sätt (läsa, skriva, radera) och under angiven tidsperiod aktör fysisk person i viss roll innehar 1:1 (innehas av 0:M) autenticering verifiering av att en fysisk person är den som den utger sig för att vara verifierar (verifieras vid) har rätt att utnyttja visst under viss tidsperiod och som innehar viss användaridentitet, viss autenticeringssymbol och viss behörighetsnivå användaridentitet beteckning som innehas av viss och som möjliggör användaridentifiering innehar 1:1 (innehas av 1:1) innehar 1:1 (innehas av 1:1) autenticeringssymbol teckensträng, bild, ljud eller mönster som innehas av viss och som möjliggör autenticering användaridentifiering kontroll av att angiven beteckning finns som användaridentitet i et Användaridentifiering är en del av behörighetsidentifering. Användaridentifiering möjliggörs med användaridentitet. Användaridentifiering kontrollerar användaridentitet. behörighetsidentifiering identifiering av behörighet genom användaridentifiering och autenticering användaridentitet beteckning som innehas av viss och som möjliggör användaridentifiering är en del av (omfattar) kontrollerar (kontrolleras vid) möjliggör (möjliggörs med) kontroll av att angiven beteckning finns som användaridentitet i et användaridentifiering

10 Landstingskontoret BEGREPPSMODELL FÖR SÄKERHET 10(37) användaridentitet beteckning som innehas av viss och som möjliggör användaridentifiering Användaridentitet är giltig i exakt ett. Användaridentitet kontrolleras vid användaridentifiering. Användaridentitet möjliggör användaridentifiering. system som omfattar et och den information som Användaridentitet innehas av exakt en. har rätt att utnyttja visst under viss tidsperiod och som innehar viss användaridentitet, viss autenticeringssymbol och viss behörighetsnivå kontroll av att angiven beteckning finns som användaridentitet i et användaridentifiering är giltig i 1:1 (har giltig 1:M) innehar 1:1 (innehas av 1:1) möjliggör (möjliggörs med) kontrollerar (kontrolleras vid) användaridentitet beteckning som innehas av viss och som möjliggör användaridentifiering autenticering verifiering av att en fysisk person är den som den utger sig för att vara Autenticering är en del av behörighetsidentifering Autenticering möjliggörs med autenticeringssymbol. Autenticering verifierar. Autenticering sker t.ex. genom att kontrollera kopplingen mellan en användaridentitet och en autenticeringssymbol. behörighetsidentifiering identifiering av behörighet genom användaridentifiering och autenticering har rätt att utnyttja visst under viss tidsperiod och som innehar viss användaridentitet, viss autenticeringssymbol och viss behörighetsnivå är en del av (omfattar) verifierar (verifieras vid) autenticering verifiering av att en fysisk person är den som den utger sig för att vara möjliggör (möjliggörs med) autenticeringssymbol teckensträng, bild, ljud eller mönster som innehas av viss och som möjliggör autenticering

11 Landstingskontoret BEGREPPSMODELL FÖR SÄKERHET 11(37) autenticeringssymbol teckensträng, bild, ljud eller mönster som innehas av viss och som möjliggör autenticering Autenticeringssymbol innehas av exakt en. Autenticeringssymbol möjliggör autenticering. Exempel på autenticeringssymbol är lösenord. Andra exempel på autenticeringssymboler är handflatemönster och smartcardinnehåll. har rätt att utnyttja visst under viss tidsperiod och som innehar viss användaridentitet, viss autenticeringssymbol och viss behörighetsnivå innehar 1:1 (innehas av 1:1) autenticeringssymbol teckensträng, bild, ljud eller mönster som innehas av viss och som möjliggör autenticering möjliggör (möjliggörs med) autenticering verifiering av att en fysisk person är den som den utger sig för att vara lösenord autenticeringssymbol som utgörs av en teckensträng avidentifiering behörighetsidentifiering borttag av personuppgifter som gör det möjligt att identifiera viss fysisk person i en handling Avidentifiering bidrar till konfidentialitet. Avidentifiering innebär t.ex. borttag av personnummer och. identifiering av behörighet genom användaridentifiering och autenticering Behörighetsidentifiering är en del av behörighetskontroll Behörighetsidentifiering registreras vid behörighetsloggning. Behörighetsidentifiering omfattar användaridentifiering. konfidentialitet säkerhet mot obehörig åtkomst och användning samt förlust och oönskad förändring av information och andra resurser behörighetsidentifiering identifiering av behörighet genom användaridentifiering och autenticering är en del av (omfattar) behörighetskontroll Behörighetsidentifiering omfattar autenticering. övervakning av ett för skydd mot oönskad åtkomst uppnås delvis genom registrerar (registreras vid) är en del av (omfattar) är en del av (omfattar) behörighetsloggning registrering av behörighetsidentifiering samt av använd-ning av et avidentifiering borttag av personuppgifter som gör det möjligt att identifiera viss fysisk person i en handling kontroll av att angiven beteckning finns som användaridentitet i et användaridentifiering autenticering verifiering av att en fysisk person är den som den utger sig för att vara

12 Landstingskontoret BEGREPPSMODELL FÖR SÄKERHET 12(37) (access control) övervakning av ett för skydd mot oönskad åtkomst Behörighetskontroll kan utföras av behörighetskontrollsystem. Behörighetskontroll omfattar behörighetsidentifiering, åtkomststyrning och behörighetsloggning. Behörighetskontroll bidrar till konfidentialitet. Behörighetskontroll övervakar. övervakar (övervakas av) system som omfattar et och den information som konfidentialitet säkerhet mot obehörig åtkomst och användning samt förlust och oönskad förändring av information och andra resurser uppnås delvis genom behörighetskontroll övervakning av ett för skydd mot oönskad åtkomst behörighetsidentifiering identifiering av behörighet genom användaridentifiering och autenticering är en del av (omfattar) utför (kan utförs av) behörighetskontroll behörighetskontrollsystem IT-system som utför behörighetskontroll är en del av (omfattar) är en del av (omfattar) behörighetsloggning registrering av behörighetsidentifiering samt av användning av et åtkomststyrning styrning som ger åtkomst endast till resurs som omfattas av tilldelad behörighetsnivå

13 Landstingskontoret BEGREPPSMODELL FÖR SÄKERHET 13(37) behörighetskontrollsystem (access control system) IT-system som utför behörighetskontroll Behörighetskontrollsystem utför behörighetskontroll. Eftersom behörighetskontrollsystem är ett så gäller: Behörighetskontrollsystem är en del av. Eftersom behörighetskontrollsystem är ett IT-system så gäller: Behörighetskontrollsystem har som grund teknisk plattform. Behörighetskontrollsystem berörs av IT-säkerhet. Behörighetskontrollsystem omfattar IT-utrustning. Behörighetskontrollsystem baseras på informationsteknik. Behörighetskontrollsystem kan vara både inbyggda och fristående. IT-utrustning hård- och mjukvara för elektroniska system omfattar (kan vara en del av) är grund för (har som grund) teknisk plattform sammanhållen och gemensam grund för verksamhetens IT-system IT-säkerhet avser säkerhet i säkerhet i IT-system, avseende funktion, hanterad information och använd IT-utrustning system för behandling av information IT-system omfattar (är en del av) MI-system (manuellt ) som baseras på informationsteknik IT-system som utför behörighetskontroll utför (kan utförs av) behörighetskontroll övervakning av ett för skydd mot oönskad åtkomst system som omfattar et och den information som som är baserat på manuella rutiner baseras på (är bas för) informationsteknik (IT) teknik för insamling, lagring, bearbetning och överföring av information med elektroniska medel behörighetskontrollsystem behörighetsloggning registrering av behörighetsidentifiering samt av användning av et Behörighetsloggning är en del av behörighetskontroll. Behörighetsloggning registrerar användning av. Behörighetsloggning registrerar behörighetsidentifiering. Notera att vi inte här talar om vilket system som utför denna loggning, bara att behovet finns. Denna loggning gör det möjligt att upptäcka fall då överskrider sin befogenhet. Med användning avses här t.ex. läsning, ändring och radering. behörighetskontroll övervakning av ett för skydd mot oönskad åtkomst system som omfattar et och den information som behörighetsidentifiering identifiering av behörighet genom användaridentifiering och autenticering är en del av (omfattar) behörighetsloggning registrering av behörighetsidentifiering samt av användning av et registrerar användning av (får användning registrerad genom) registrerar (registreras vid)

14 Landstingskontoret BEGREPPSMODELL FÖR SÄKERHET 14(37) behörighetsnivå nivå för rättighet till åtkomst till en eller flera resurser inom ett på angivet sätt (läsa, skriva, radera) och under angiven tidsperiod Behörighetsnivå kan innehas av flera. Behörighetsnivå är grund för åtkomststyrning. Behörighetsnivå definierar åtkomsträttighet till. system som omfattar et och den information som behörighetsnivå nivå för rättighet till åtkomst till en eller flera resurser inom ett på angivet sätt (läsa, skriva, radera) och under angiven tidsperiod åtkomststyrning styrning som ger åtkomst endast till resurs som omfattas av tilldelad behörighetsnivå styr åtkomst enligt definierar åtkomsträttighet till 1:1 (är grund för) (har definierad åtkomsträttighet enligt 1:M) innehar 1:1 (innehas av 0:M) har rätt att utnyttja visst under viss tidsperiod och som innehar viss användaridentitet, viss autenticeringssymbol och viss behörighetsnivå digital signatur garanti för att ett digitalt dokument inte har förändrats och att en eller flera fysiska personer utgör det digitala dokumentets utställare Digital signatur tillhör exakt ett digitalt dokument. digitalt dokument elektronisk handling med digital signatur eller digital stämpel innehåller 0:1 (tillhör 1:1) digital signatur garanti för att ett digitalt dokument inte har förändrats och att en eller flera fysiska personer utgör det digitala dokumentets utställare Definition i SOU 1996:40: resultatet av en omvandling av en elektronisk handling som gör det möjligt att kontrollera om innehållet härrör från den fysiska person som framstår som utställare Definition i Ds 1998:14 "Digitala signaturer - en teknisk och juridisk översikt" sid 11. digital stämpel garanti för att ett digitalt dokument inte har förändrats och att en eller flera juridiska personer utgör det digitala dokumentets utställare Digital stämpel tillhör exakt ett digitalt dokument. Detta begrepp är inte juridiskt fastställt. Utredning pågår. digitalt dokument elektronisk handling med digital signatur eller digital stämpel innehåller 0:1 (tillhör 1:1) digital stämpel garanti för att ett digitalt dokument inte har förändrats och att en eller flera juridiska personer utgör det digitala dokumentets utställare Definition i SOU 1996:40 "Elektronisk dokumenthantering" förslag till ändring i förvaltningslagen, legaldefinitioner, sid 39.

15 Landstingskontoret BEGREPPSMODELL FÖR SÄKERHET 15(37) digitalt dokument elektronisk handling med digital signatur eller digital stämpel Digitalt dokument kan höra ihop med andra digitala dokument. Digitalt dokument kan innehålla endera av en digital signatur eller en digital stämpel. Eftersom digitalt dokument är en handling så gäller: Digitalt dokument kan utgöras helt eller delvis av flera personregister. Eftersom digitalt dokument är en elektronisk handling så gäller: Digitalt dokument är tillgängligt endast med hjälp av IT-utrustning. Definition i SOU 1996:40: en elektronisk handling med digital signatur eller digital stämpel handling sammanställning av information som som en enhet och som är lagrad på ett eller flera media (Ärendehanteringstermer) elektronisk handling handling som är lagrad på elektroniskt medium digitalt dokument elektronisk handling med digital signatur eller digital stämpel hör ihop med 0:M (hör ihop med 0:M) utgör hel eller del av 1:1 (utgörs helt eller delvis av 0:M) är tillgänglig endast med hjälp av (ger tillgång till) endera av innehåller 0:1 (tillhör 1:1) innehåller 0:1 (tillhör 1:1) personregister förekomst av en eller flera personuppgifter i en handling IT-utrustning hård- och mjukvara för elektroniska system digital signatur garanti för att ett digitalt dokument inte har förändrats och att en eller flera fysiska personer utgör det digitala dokumentets utställare digital stämpel garanti för att ett digitalt dokument inte har förändrats och att en eller flera juridiska personer utgör det digitala dokumentets utställare

16 Landstingskontoret BEGREPPSMODELL FÖR SÄKERHET 16(37) elektronisk handling handling som är lagrad på elektroniskt medium Elektronisk handling är tillgänglig endast med hjälp av IT-utrustning Eftersom elektronisk handling är en handling så gäller: Elektronisk handling kan utgöras helt eller delvis av flera personregister. Vissa elektroniska handlingar är digitala dokument. handling sammanställning av information som som en enhet och som är lagrad på ett eller flera media (Ärendehanteringstermer) elektronisk handling handling som är lagrad på elektroniskt medium utgör hel eller del av 1:1 (utgörs helt eller delvis av 0:M) personregister förekomst av en eller flera personuppgifter i en handling Exempel på elektroniska medier är hårddisk, CD och diskett. Definition i SOU 1996:40: en bestämd mängd data som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel Se även Ds 1998:14 digitalt dokument elektronisk handling med digital signatur eller digital stämpel är tillgänglig endast med hjälp av (ger tillgång till) IT-utrustning hård- och mjukvara för elektroniska system handling Se certifierad definition i IA-SLL, Ärendehanteringstermer. Handling kan utgöras helt eller delvis av flera personregister. handling sammanställning av information som som en enhet och som är lagrad på ett eller flera media (Ärendehanteringstermer) Vissa handlingar är elektroniska handlingar. Definition i IA-SLL, Ärendehanteringstermer, version 2: sammanställning av information som som en enhet och som är lagrad på ett eller flera media, t.ex. papper, hårddisk, CD, diskett, film, band, microfiche elektronisk handling handling som är lagrad på elektroniskt medium utgör hel eller del av 1:1 (utgörs helt eller delvis av 0:M) personregister förekomst av en eller flera personuppgifter i en handling

17 Landstingskontoret BEGREPPSMODELL FÖR SÄKERHET 17(37) informa- system för bearbetning, lagring och distribution av information tionsbehand- lingssystem Informationsbehandlingssystem är en del av. Alla är antingen MI-system eller IT-system. system som omfattar et och den information som omfattar (är en del av) system för bearbetning, lagring och distribution av information IT-system som baseras på informationsteknik MI-system (manuellt ) som är baserat på manuella rutiner (information quality) riktighet hos information Informationskvalitet berörs av informationssäkerhet och skyddsområde. Innebär att informationen blir användbar och tillförlitlig för en given och ett givet problem. skyddsområde område som är föremål för skyddsåtgärder avser informationskvalitet riktighet hos information informationssäkerhet informationskvalitet säkerhet för information avseende informationstillgänglighet, infomationskvalitet och konfidentialitet avser

18 Landstingskontoret BEGREPPSMODELL FÖR SÄKERHET 18(37) system som omfattar och den information som Informationssystem har definierad åtkomsträttighet enligt minst en behörighetsnivå. Informationssystem övervakas av behörighetskontroll. Informationssystem får användning registrerad genom behörighetsloggning. Informationssystem har minst en giltig användaridentitet. Informationssystem är möjligt att utnyttjas av minst en. Informationssystem omfattar. behörighetskontroll registrerar användning av (får användning registrerad genom) övervakar (övervakas av) övervakning av ett för skydd mot oönskad åtkomst system för bearbetning, lagring och distribution av information behörighetsloggning registrering av behörighetsidentifiering samt av användning av et system som omfattar och den information som omfattar (är en del av) har rätt att utnyttja 1:1 (är möjligt att utnyttjas av 1:M) är giltig i 1:1 (har giltig 1:M) definierar åtkomsträttighet till 1:1 (har definierad åtkomsträttighet enligt 1:M) har rätt att utnyttja visst under viss tidsperiod och som innehar viss användaridentitet, viss autenticeringssymbol och viss behörighetsnivå användaridentitet beteckning som innehas av viss och som möjliggör användaridentifiering behörighetsnivå nivå för rättighet till åtkomst till en eller flera resurser inom ett på angivet sätt (läsa, skriva, radera) och under angiven tidsperiod informationssäkerhet (information security) säkerhet för information avseende informationstillgänglighet, infomationskvalitet och konfidentialitet Informationssäkerhet uppnås delvis med IT-säkerhet och/eller MIsäkerhet. Informationssäkerhet avser konfidentialitet, informationstillgänglighet och informationskvalitet. Definition i ITS6: säkerhet vid hantering av information avseende önskad tillgänglighet, kvalitet, sekretess och spårbarhet konfidentialitet säkerhet mot obehörig åtkomst och användning samt förlust och oönskad förändring av information och andra resurser informationstillgänglighet tillgång till information i förväntad utsträckning och inom önskad tid informationskvalitet riktighet hos information avser avser avser IT-säkerhet säkerhet i IT-system, avseende funktion, hanterad information och använd IT-utrustning informationssäkerhet säkerhet för information avseende informationstillgänglighet, infomationskvalitet och konfidentialitet uppnås delvis med uppnås delvis med MI-säkerhet säkerhet i MI-system, avseende funktion, hanterad information och använd utrustning

19 Landstingskontoret BEGREPPSMODELL FÖR SÄKERHET 19(37) informationsteknik (IT) (information technology) teknik för insamling, lagring, bearbetning och överföring av information med elektroniska medel Informationsteknik är bas för IT-system. Elektroniska medel kan t.ex. vara datorteknik, e-post, Internet, intranät, telefax, telefoni. informationsteknik (IT) teknik för insamling, lagring, bearbetning och överföring av information med elektroniska medel baseras på (är bas för) IT-system som baseras på informationsteknik Definition i Svenska datatermgruppen: Informationsteknik är ett ganska vagt begrepp; ofta avses utnyttjande av datorer och Internet för informationshantering. Den engelska termen information technology kan också stå för informationsteknologi som står för läran om informationsteknik. (availability) tillgång till information i förväntad utsträckning och inom önskad tid Informationstillgänglighet berörs av skyddsområde och informationssäkerhet. skyddsområde område som är föremål för skyddsåtgärder avser informationstillgänglighet tillgång till information i förväntad utsträckning och inom önskad tid informationssäkerhet informationstillgänglighet säkerhet för information avseende informationstillgänglighet, infomationskvalitet och konfidentialitet avser

20 Landstingskontoret BEGREPPSMODELL FÖR SÄKERHET 20(37) informationsägare (information owner) ansvarar för information i Eftersom informationsägare är en aktör så gäller: Informationsägare avser minst en fysisk person. fysisk person avser 1:M aktör fysisk person i viss roll antar 1:1 roll Informationsägare avser exakt en roll. Inom säkerhetsområdet ansvarar informationsägaren för informationskvalitet, informationstillgänglighet och konfidentialitet att utse och tilldela dem behörighetsnivå. Utses av och rapporterar till verksamhetsansvarig eller enhetsansvarig systemägare ansvarar för förvaltning, nyutveckling, vidareutveckling och avveckling av inom antagna mål och ekonomiska ramar på uppdrag av systemägaren handhar systemförvaltare IT-säkerhetssamordnare samordnar IT-säkerheten motsvarande utrustningsförvaltare ansvarar för att bevaka att den IT-utrustning inklusive basprogramvara, för vilken hon/ han ansvarar, klarar fastställt skydd MI-säkerhetssamordnare samordnar MIsäkerheten mot-svarande som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter personuppgiftsansvarig ansvar för information i informationsägare personuppgiftsombud fysiska person som, efter förordnande av den personuppgiftsansvarig, självständigt skall se till att personuppgifter på ett korrekt och lagligt sätt

21 Landstingskontoret BEGREPPSMODELL FÖR SÄKERHET 21(37) IT-system (informationstekniksystem) som baseras på informationsteknik IT-system omfattar IT-utrustning. IT-system har som grund teknisk plattform. IT-system berörs av IT-säkerhet. IT-system baseras på informationsteknik. Eftersom IT-system är ett så gäller: IT-system är en del av. Exempel på IT-system är behörighetskontrollsystem teknisk plattform sammanhållen och gemensam grund för verksamhetens IT-system IT-säkerhet säkerhet i IT-system, avseende funktion, hanterad information och använd IT-utrustning avser säkerhet i informationsteknik (IT) teknik för insamling, lagring, bearbetning och överföring av information med elektroniska medel baseras på (är bas för) är grund för (har som grund) system som omfattar et och den information som IT-utrustning hård- och mjukvara för elektroniska system omfattar (kan vara en del av) IT-system som baseras på informationsteknik omfattar (är en del av) behörighetskontrollsystem system för bearbetning, lagring och distribution av information MI-system (manuellt ) som är baserat på manuella rutiner IT-system som utför behörighetskontroll

22 Landstingskontoret BEGREPPSMODELL FÖR SÄKERHET 22(37) IT-säkerhet (IT-security) säkerhet i IT-system avseende funktion, hanterad information och använd ITutrustning IT-säkerhet bidrar till informationssäkerhet. IT-säkerhet uppnås delvis med skyddsåtgärder. IT-säkerhet avser säkerhet i IT-system. IT-säkerhet säkerhet i IT-system, avseende funktion, hanterad information och använd IT-utrustning uppnås delvis med skyddsåtgärd åtgärd som bidrar till IT-säkerhet och /eller MI-säkerhet uppnås delvis med avser säkerhet i informationssäkerhet säkerhet för information avseende informationstillgänglighet, infomationskvalitet och konfidentialitet IT-system som baseras på informationsteknik IT-säkerhetssamordnare samordnar IT-säkerheten motsvarande Eftersom IT-säkerhetssamordnare är en aktör så gäller: fysisk person avser 1:M aktör fysisk person i viss roll antar 1:1 roll IT-säkerhetssamordnare avser minst en fysisk person. IT-säkerhetssamordnare avser exakt en roll. IT-säkerhetssamordnaren ansvarar för framtagning (förslag till) av strategi för IT-säkerhet samordning av arbetet kring IT-säkerhet informationsspridning och utbildning kring IT-säkerhet genomförande av analys av IT-säkerheten, t.ex. med sårbarhetsanalys. IT-säkerhetssamordnare utses av och rapporterar till verksamhetens ledning. systemägare ansvarar för förvaltning, nyutveckling, vidareutveckling och avveckling av inom antagna mål och ekonomiska ramar på uppdrag av systemägaren handhar systemförvaltare IT-säkerhetssamordnare samordnar IT-säkerheten motsvarande utrustningsförvaltare ansvarar för att bevaka att den IT-utrustning inklusive basprogramvara, för vilken hon/ han ansvarar, klarar fastställt skydd MI-säkerhetssamordnare samordnar MIsäkerheten mot-svarande som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter personuppgiftsansvarig ansvar för information i informationsägare personuppgiftsombud fysiska person som, efter förordnande av den personuppgiftsansvarig, självständigt skall se till att personuppgifter på ett korrekt och lagligt sätt

23 Landstingskontoret BEGREPPSMODELL FÖR SÄKERHET 23(37) hård- och mjukvara för elektroniska system IT-utrustning kan vara en del av IT-system. IT-utrustning kan vara en del av teknisk plattform. IT-utrustning ger tillgång till elektronisk handling. IT-utrustning inkluderar datorer, magnetband, telefoni, telekommunikation etc. är tillgänglig endast med hjälp av (ger tillgång till) elektronisk handling handling som är lagrad på elektroniskt medium teknisk plattform omfattar (kan vara en del av) sammanhållen och gemensam grund för verksamhetens IT-system IT-utrustning hård- och mjukvara för elektroniska system omfattar (kan vara en del av) IT-system IT-utrustning som baseras på informationsteknik konfidentialitet säkerhet mot obehörig åtkomst och användning samt förlust och oönskad förändring av information och andra resurser Konfidentialitet uppnås delvis genom behörighetskontroll och avidentifiering. Konfidentialitet berörs av skyddsområde och informationssäkerhet. avidentifiering borttag av personuppgifter som gör det möjligt att identifiera viss fysisk person i en handling uppnås delvis genom skyddsområde område som är föremål för skyddsåtgärder avser konfidentialitet säkerhet mot obehörig åtkomst och användning samt förlust och oönskad förändring av information och andra resurser behörighetskontroll övervakning av ett för skydd mot oönskad åtkomst uppnås delvis genom avser informationssäkerhet säkerhet för information avseende informationstillgänglighet, infomationskvalitet och konfidentialitet

24 Landstingskontoret BEGREPPSMODELL FÖR SÄKERHET 24(37) lösenord autenticeringssymbol som utgörs av en teckensträng (password) Eftersom lösenord är en autenticeringssymbol så gäller: Lösenord innehas av exakt en. Lösenord möjliggör autenticering. Definition i ITS6: teckensträng som anges för att verifiera användaridentitet Anmärkning: Lösenord används ofta i samband med inloggning och kan vara genererat av systemet, n eller av bägge. har rätt att utnyttja visst under viss tidsperiod och som innehar viss användaridentitet, viss autenticeringssymbol och viss behörighetsnivå innehar 1:1 (innehas av 1:1) autenticeringssymbol teckensträng, bild, ljud eller mönster som innehas av viss och som möjliggör autenticering möjliggör (möjliggörs med) autenticering verifiering av att en fysisk person är den som den utger sig för att vara lösenord autenticeringssymbol som utgörs av en teckensträng MI-system (manuellt ) som är baserat på manuella rutiner MI-system berörs av MI-säkerhet. Eftersom MI-system är ett så gäller MI-system är en del av. Definition i Svenska akademins ordlista: Manuell: som skötes för hand system som omfattar et och den information som omfattar (är en del av) system för bearbetning, lagring och distribution av information MI-säkerhet säkerhet i MI-system, avseende funktion, hanterad information och använd utrustning avser säkerhet i IT-system som baseras på informationsteknik MI-system (manuellt ) som är baserat på manuella rutiner

25 Landstingskontoret BEGREPPSMODELL FÖR SÄKERHET 25(37) MI-säkerhet (säkerhet för manuella ) säkerhet i MI-system avseende funktion, hanterad information och använd utrustning MI-säkerhet bidrar till informationssäkerhet. MI-säkerhet uppnås delvis med skyddsåtgärder. MI-säkerhet avser säkerhet i MI-system. MI-säkerhet säkerhet i MI-system, avseende funktion, hanterad information och använd utrustning uppnås delvis med skyddsåtgärd åtgärd som bidrar till IT-säkerhet och MI-säkerhet uppnås delvis med avser säkerhet i informationssäkerhet säkerhet för information avseende informationstillgänglighet, infomationskvalitet och konfidentialitet MI-system (manuellt ) som är baserat på manuella rutiner MIsäkerhetssamordnare samordnar MI-säkerheten motsvarande Eftersom MI-säkerhetssamordnare är en aktör så gäller: fysisk person avser 1:M aktör fysisk person i viss roll antar 1:1 roll MI-säkerhetssamordnare avser minst en fysisk person. MI-säkerhetssamordnare avser exakt en roll. MI-säkerhetssamordnaren ansvarar för framtagning av (förslag till) strategi för MI-säkerhet samordning av arbetet kring MI-säkerhet informationsspridning och utbildning kring MI-säkerhet genomförande av analys av MI-säkerhet. MI-säkerhetssamordnaren utses av och rapporterar till verksamhetens ledning. systemägare ansvarar för förvaltning, nyutveckling, vidareutveckling och avveckling av inom antagna mål och ekonomiska ramar på uppdrag av systemägaren handhar systemförvaltare IT-säkerhetssamordnare samordnar IT-säkerheten motsvarande utrustningsförvaltare ansvarar för att bevaka att den IT-utrustning inklusive basprogramvara, för vilken hon/ han ansvarar, klarar fastställt skydd MI-säkerhetssamordnare samordnar MIsäkerheten mot-svarande som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter personuppgiftsansvarig ansvar för information i informationsägare personuppgiftsombud fysiska person som, efter förordnande av den personuppgiftsansvarig, självständigt skall se till att personuppgifter på ett korrekt och lagligt sätt

26 Landstingskontoret BEGREPPSMODELL FÖR SÄKERHET 26(37) personregister förekomst av en eller flera personuppgifter i en handling Personregister utgör hel eller del av exakt en handling. Personregister innehåller minst en personuppgift. I har begreppet utgått, men återinförts i bl. a. vårdregisterlagen utan att ges en tydlig definition. utgör hel eller del av 1:1 (utgörs helt eller delvis av 0:M) handling sammanställning av information som som en enhet och som är lagrad på ett eller flera media (Ärendehanteringstermer) personregister förekomst av en eller flera personuppgifter i en handling innehåller 1:M (förekommer i 0:M) personuppgift all slags information som direkt eller indirekt kan hänföras till viss fysisk person (PuL 3) personuppgift se 3. Personuppgift kan förekomma i flera personregister. Personuppgift behöver inte fästas på medium. Den kan t.ex. vara muntligt uttalad. Personuppgift som inte fästs på något medium finns inte i personregister. personregister förekomst av en eller flera personuppgifter i en handling innehåller 1:M (förekommer i 0:M) personuppgift all slags information som direkt eller indirekt kan hänföras till viss fysisk person (PuL 3) Definition i 3: all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet

27 Landstingskontoret BEGREPPSMODELL FÖR SÄKERHET 27(37) personuppgiftsansvarig se 3 fysisk person avser 1:M aktör fysisk person i viss roll antar 1:1 roll Eftersom personuppgiftsansvarig är en aktör så gäller: Personuppgiftsansvarig avser minst en fysisk person. Personuppgiftsansvarig avser exakt en roll. den gamla datalagen benämns denne registeransvarig. Personuppgiftsansvarig utgörs av nämnd eller styrelse. Definition i som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter systemägare ansvarar för förvaltning, nyutveckling, vidareutveckling och avveckling av inom antagna mål och ekonomiska ramar systemförvaltare på uppdrag av systemägaren handhar IT-säkerhetssamordnare samordnar IT-säkerheten motsvarande utrustningsförvaltare ansvarar för att bevaka att den IT-utrustning inklusive basprogramvara, för vilken hon/ han ansvarar, klarar fastställt skydd MI-säkerhetssamordnare samordnar MIsäkerheten mot-svarande som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter personuppgiftsansvarig ansvar för information i informationsägare personuppgiftsombud fysiska person som, efter förordnande av den personuppgiftsansvarig, självständigt skall se till att personuppgifter på ett korrekt och lagligt sätt

28 Landstingskontoret BEGREPPSMODELL FÖR SÄKERHET 28(37) personuppgiftsombud se 3 fysisk person avser 1:M aktör fysisk person i viss roll antar 1:1 roll Eftersom personuppgiftsombud är en aktör så gäller Personuppgiftsombud avser minst en fysisk person. Personuppgiftsombud avser exakt en roll. Definition i fysiska person som, efter förordnande av den personuppgiftsansvarige, självständigt skall se till att personuppgifter på ett korrekt och lagligt sätt systemägare ansvarar för förvaltning, nyutveckling, vidareutveckling och avveckling av inom antagna mål och ekonomiska ramar systemförvaltare på uppdrag av systemägaren handhar IT-säkerhetssamordnare samordnar IT-säkerheten motsvarande utrustningsförvaltare ansvarar för att bevaka att den IT-utrustning inklusive basprogramvara, för vilken hon/ han ansvarar, klarar fastställt skydd MI-säkerhetssamordnare samordnar MIsäkerheten mot-svarande som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter personuppgiftsansvarig ansvar för information i informationsägare personuppgiftsombud fysiska person som, efter förordnande av den personuppgiftsansvarig, självständigt skall se till att personuppgifter på ett korrekt och lagligt sätt skydds - område område som är föremål för skyddsåtgärder Skyddsområde avser konfidentialitet, informationstillgänglighet och informationskvalitet. Skyddsområde är föremål för skyddsåtgärd är föremål för (används inom) skyddsåtgärd åtgärd som bidrar till IT-säkerhet och MI-säkerhet skyddsområde område som är föremål för skyddsåtgärder avser avser informationskvalitet riktighet hos information avser informationstillgänglighet tillgång till information i förväntad utsträckning och inom önskad tid konfidentialitet säkerhet mot obehörig åtkomst och användning samt förlust och oönskad förändring av information och andra resurser

29 Landstingskontoret BEGREPPSMODELL FÖR SÄKERHET 29(37) skydds - åtgärd åtgärd som bidrar till IT-säkerhet och/eller MI-säkerhet Skyddsåtgärd används inom skyddsområde. Skyddsåtgärd bidrar till IT-säkerhet och MI-säkerhet. Exempel på skyddsåtgärder är fysiska, administrativa och tekniska skyddsåtgärder. skyddsområde område som är föremål för skyddsåtgärder IT-säkerhet säkerhet i IT-system, avseende funktion, hanterad information och använd IT-utrustning är föremål för (används inom) uppnås delvis med skyddsåtgärd åtgärd som bidrar till IT-säkerhet och MI-säkerhet uppnås delvis med MI-säkerhet säkerhet i MI-system, avseende funktion, hanterad information och använd utrustning fysisk skyddsåtgärd administrativ skyddsåtgärd teknisk skyddsåtgärd systemförvaltare på uppdrag av systemägaren handhar Eftersom systemförvaltare är en aktör så gäller: fysisk person avser 1:M aktör fysisk person i viss roll antar 1:1 roll Systemförvaltare avser minst en fysisk person. Systemförvaltare avser exakt en roll. Systemförvaltare utses av och rapporterar till systemägaren. systemägare ansvarar för förvaltning, nyutveckling, vidareutveckling och avveckling av inom antagna mål och ekonomiska ramar på uppdrag av systemägaren handhar systemförvaltare IT-säkerhetssamordnare samordnar IT-säkerheten motsvarande utrustningsförvaltare ansvarar för att bevaka att den IT-utrustning inklusive basprogramvara, för vilken hon/ han ansvarar, klarar fastställt skydd MI-säkerhetssamordnare samordnar MIsäkerheten mot-svarande som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter personuppgiftsansvarig ansvar för information i informationsägare personuppgiftsombud fysiska person som, efter förordnande av den personuppgiftsansvarig, självständigt skall se till att personuppgifter på ett korrekt och lagligt sätt

30 Landstingskontoret BEGREPPSMODELL FÖR SÄKERHET 30(37) systemägare ansvarar för förvaltning, nyutveckling, vidareutveckling och avveckling av inom antagna mål och ekonomiska ramar fysisk person avser 1:M aktör fysisk person i viss roll antar 1:1 roll Eftersom systemägare är en aktör så gäller Systemägare avser minst en fysisk person. Systemägare avser exakt en roll. Inom säkerhetsområdet ansvarar systemägaren för överensstämmelse mellan fastställd strategi och funktioner för ITsäkerhet tillhandahållande av utbildning av fysiska personer, t.ex. om skyddskrav och skyddsåtgärder framtagning av rutiner för administration av framtagning av rutiner för behörighetskontroll tillsättande av systemförvaltare. systemägare ansvarar för förvaltning, nyutveckling, vidareutveckling och avveckling av inom antagna mål och ekonomiska ramar systemförvaltare på uppdrag av systemägaren handhar IT-säkerhetssamordnare samordnar IT-säkerheten motsvarande utrustningsförvaltare ansvarar för att bevaka att den IT-utrustning inklusive basprogramvara, för vilken hon/ han ansvarar, klarar fastställt skydd MI-säkerhetssamordnare samordnar MIsäkerheten mot-svarande som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter personuppgiftsansvarig ansvar för information i informationsägare personuppgiftsombud fysiska person som, efter förordnande av den personuppgiftsansvarig, självständigt skall se till att personuppgifter på ett korrekt och lagligt sätt Systemägare är i allmänhet chef för den organisatoriska enhet som använder sig av systemet och är också ansvarig för informationssäkerheten i systemet. Systemägare utses av och rapporterar till ledningen.

31 Landstingskontoret BEGREPPSMODELL FÖR SÄKERHET 31(37) teknisk plattform sammanhållen och gemensam grund för verksamhetens IT-system Teknisk plattform omfattar IT-utrustning. Teknisk plattform är grund för IT-system. System1 System3 System2 Plattform1 Teknisk plattform omfattar IT-utrustning, exempelvis nät, servrar, operativsystem, basprogramvara, skrivare, arbetsplatsutrustning, kommunikationsprotokoll. Teknisk plattform omfattar även principer för hur det ska fungera och vilka typer av utrustning som ska användas. IT-utrustning hård- och mjukvara för elektroniska system omfattar (kan vara en del av) är grund för (har som grund) teknisk plattform sammanhållen och gemensam grund för verksamhetens IT-system IT-system som baseras på informationsteknik

32 Landstingskontoret BEGREPPSMODELL FÖR SÄKERHET 32(37) utrustningsförvaltare ansvarar för att bevaka att den IT-utrustning inklusive basprogramvara, för vilken hon/han ansvarar, klarar fastställt skydd Eftersom utrustningsförvaltare är en aktör så gäller: fysisk person avser 1:M aktör fysisk person i viss roll antar 1:1 roll Utrustningsförvaltare avser minst en fysisk person. Utrustningsförvaltare avser exakt en roll. Utrustningsförvaltare ska t.ex. analysera driftstörningar och tillse att de åtgärdas, bevilja och kontrollera fysisk behörighet till utrustningen i samverkan med respektive systemägare. Utrustningsförvaltare utses av och rapporterar till verksamhetsansvarig eller enhetsansvarig. systemägare ansvarar för förvaltning, nyutveckling, vidareutveckling och avveckling av inom antagna mål och ekonomiska ramar systemförvaltare på uppdrag av systemägaren handhar IT-säkerhetssamordnare samordnar IT-säkerheten motsvarande utrustningsförvaltare ansvarar för att bevaka att den IT-utrustning inklusive basprogramvara, för vilken hon/ han ansvarar, klarar fastställt skydd MI-säkerhetssamordnare samordnar MIsäkerheten mot-svarande som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter personuppgiftsansvarig ansvar för information i informationsägare personuppgiftsombud fysiska person som, efter förordnande av den personuppgiftsansvarig, självständigt skall se till att personuppgifter på ett korrekt och lagligt sätt åtkomststyrning styrning som ger åtkomst endast till resurs som omfattas av tilldelad behörighetsnivå Åtkomststyrning är en del av behörighetskontroll. Åtkomststyrning styr åtkomst enligt behörighetsnivå. behörighetskontroll övervakning av ett för skydd mot oönskad åtkomst behörighetsnivå nivå för rättighet till åtkomst till en eller flera resurser inom ett på angivet sätt (läsa, skriva, radera) och under angiven tidsperiod är en del av (omfattar) styr åtkomst enligt (är grund för) åtkomststyrning styrning som ger åtkomst endast till resurs som omfattas av tilldelad behörighetsnivå