Säker informationshantering utifrån ett processperspektiv

Relevanta dokument
Processorienterad informationsklassning

Informations- och IT-säkerhet i kommunal verksamhet

Kommunal författningssamling för Smedjebackens kommun. Informationssäkerhetspolicy. 97 Dnr 2016/00447

Juridik och informationssäkerhet

Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen

Informationssäkerhetspolicy IT (0:0:0)

Verksamhetsplan Informationssäkerhet

Informationssäkerhetspolicy

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

I n fo r m a ti o n ssä k e r h e t

Informationssäkerhetspolicy för Ystads kommun F 17:01

Informationssäkerhetspolicy KS/2018:260

Informationssäkerhetspolicy inom Stockholms läns landsting

1(6) Informationssäkerhetspolicy. Styrdokument

Informationssäkerhet en förutsättning för effektiv digitalisering. Moderator: William Linnefell, Ekonomistyrningsverket

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Regler för lagring av Högskolan Dalarnas digitala information

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

DATASKYDD (GDPR) Del 4: Kärnverksamheterna

Administrativ säkerhet

Riktlinjer informationssäkerhet

Informationssäkerhet och SKLs verktyg KLASSA. Avdelningen för Digitalisering Sektionen för Informationshantering och Digital Arbetsmiljö (IDA)

Informationssäkerhetspolicy

Riktlinjer för IT-säkerhet i Halmstads kommun

SÄKERHETSPOLICY FÖR VÄSTERVIKS KOMMUNKONCERN ANTAGEN AV KOMMUNFULLMÄKTIGE , 8

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Från process och information till system. Från process till information. Från process och information till skyddsåtgärder

Dnr

Policy och riktlinjer för användning av informationsteknik inom Göteborgs Stad

Riktlinjer för informationssäkerhet

VÄGLEDNING INFORMATIONSKLASSNING

Hur värnar kommuner digital säkerhet?

Informationssäkerhetspolicy IT (0:0:0)

Säkerhetspolicy för Tibro kommun

Myndigheten för samhällsskydd och beredskaps författningssamling

Myndigheten för samhällsskydd och beredskaps författningssamling

Riktlinje för informationssäkerhet

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Säkerhetspolicy i Linköpings kommun

I Central förvaltning Administrativ enhet

Informationssäkerhetspolicy. Linköpings kommun

Reglemente för krisledningsnämnden

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Policy och strategi för informationssäkerhet

IT-konsekvensanalys dataskyddsförordning

Informationsklassning

Reglemente för krisledningsnämnd KS/2014:322

E-strategi för Strömstads kommun

Revisionsrapport Stadsrevisionen. Granskning av informationssäkerhetsarbetet. goteborg.se/stadsrevisionen

IT-säkerhet Externt och internt intrångstest

Informationsklassning och systemsäkerhetsanalys en guide

Riktlinjer för informationssäkerhet

NYKVARNS KOMMUNS FÖRFATTNINGSSAMLING. Reglemente för Krisledningsnämnd. Antagen av kommunfullmäktige den [månad_år]

Arkivregler för Uppsala kommun

Från: Kent Sangmyr och Charlene Holmström Datum: 9 maj 2012 Angående: Utredning angående regelverket kring vårdens intyg till Försäkringskassan

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

Säkerhetspolicy för Västerviks kommunkoncern

Stö rningsjöuren i Gö tebörg AB. Riskanalys avseende informationssäkerhet för. Införandet av EU Dataskyddsförordning i Göteborgs Stad

Det föreslagna beslutet medför inga kända ekonomiska konsekvenser för kommunen.

Arkivregler för Uppsala kommun

Lagstiftning kring samverkan

Rätt informationssäkerhet är A&O vid införande av välfärdsteknologi. Jeanna Thorslund, Sveriges Kommuner och Landsting Thomas Nilsson, Certezza

Bilaga 1. Preliminär juridisk rapport

1(12) Dokumentation inom SoL, LSS och HSL. Styrdokument

Informationssäkerhetsanvisningar Förvaltning

Lagstiftning Obs listan är inte komplett, utan visas som exempel.

Lagstiftning om samverkan kring barn och unga

Dataskyddsförordningen och Stadens styrsystem. Jan A Svensson Informationssäkerhetschef

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Metod för klassning av IT-system och E-tjänster

Guide för säker behörighetshantering

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Informationssäkerhetspolicy

Bilaga till rektorsbeslut RÖ28, (5)

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Policy för informations- säkerhet och personuppgiftshantering

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

Informationssäkerhet, Linköpings kommun

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Informationssäkerhetspolicy för Ånge kommun

Riktlinje för kriskommunikation tillika kriskommunikationsplan

Programmet för säkerhet i industriella informations- och styrsystem

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Riktlinjer för IT och informationssäkerhet - förvaltning

Katrineholms kommuns. Informationssäkerhetspo licy. IZatrineholms kommun "- Antagen av kommunfullmäktige , 106

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Stockholm den 9 november 2017 R-2017/1875. Till Utrikesdepartementet UD2017/15958/HI

Herman Pettersson Inspektör / Jurist. Karin Dahlberg Inspektör / Nationell ämnessamordnare för elevhälsa på IVO

Så behandlar vi dina personuppgifter

Granskning av landstingets hantering av personuppgifter

Riktlinjer och rutin för hälso- och sjukvård, socialtjänst och LSS om Egenvård

Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

Rätt information på rätt plats i rätt tid

1 (7) Arbetsgången enligt BITS-konceptet

Riktlinjer för dataskydd

Viktigt förtydligande angående användningen av fråga-svarsfunktionen

Informationssäkerhet vid upphandling och inköp av IT-system och tjänster

Transkript:

Säker informationshantering utifrån ett processperspektiv

En metodik med utgångspunkt ifrån verksamhetens processer och arbetssätt Identifiera och kartlägg processer för aktuellt verksamhetsområde Identifiera informationen som hanteras i aktuella processer Identifiera i vilka informationssystem som informationen hanteras Identifiera vilka krav som finns på informationen Klassa informationen Tydliggöra vilka skyddsåtgärder som behöver vidtas

Översikt Skyddsåtgärder.

Identifiera och avgränsa Informationsklassningen omfattar informationen som hanteras inom hälsooch sjukvårdsprocessen Processkartläggningen tillsammans med informationskartläggningen beskriver informationslagret

Gruppering av information Gruppera informationen för att underlätta klassningen.

Gruppering av information Gruppera informationen för att underlätta klassningen.

Identifiera krav Lagkrav Andra externa krav Interna krav

Tydliggör giltiga lagkrav Urval av lagar som påverkar informationssäkerhetsområdet Personuppgiftslag (känsliga pu) Offentlighets- och sekretesslag (sekretess) Hälso- och sjukvårdslag Patientdatalag Socialtjänstlagen Säkerhetsskyddslagen Ställer krav som leder till kompletterande åtgärder Förhöjd säkerhetsnivå Arkivlag Lag om kommunal redovisning Lagen om skydd av företagshemligheter Lag om upphovsrätt Lag om kommuners och landstings åtgärder inför och vid extraordinära händelser i fredstid och höjd bereds Föreskrift om kommuners och landstings risk- och sårbarhetsanalyser Lag om skydd mot olyckor Tryckfrihetsförordningen Förvaltningslagen Patientsäkerhetslag Personuppgiftslag Ställer krav som hanteras av grundläggande åtgärder Grundsäkerhetsnivå Konfidentialitet(K): Information åtkomlig endast för behöriga Riktighet(R): Information förändras kontrollerat Tillgänglighet(T): Information åtkomlig vid behov

Giltiga lagkrav Konfidentialitet(K): Information åtkomlig endast för behöriga Riktighet(R): Information förändras kontrollerat Tillgänglighet(T): Information åtkomlig vid behov

Tydliggör andra giltiga externa krav Undersök om det finns det styrande avtal, överenskommelser eller andra styrande förutsättningar (såsom nationella eller regionala initiativ ) som har en direkt påverkan på informationshanteringen! Konfidentialitet(K): Information åtkomlig endast för behöriga Riktighet(R): Information förändras kontrollerat Tillgänglighet(T): Information åtkomlig vid behov

Giltiga externa krav Konfidentialitet(K): Information åtkomlig endast för behöriga Riktighet(R): Information förändras kontrollerat Tillgänglighet(T): Information åtkomlig vid behov

Tydliggör interna krav Baseras på konsekvenser för verksamhet vid informationsförluster Konsekvensnivå Allvarlig skada Skada Ingen skada Kravnivå Höga säkerhetskrav på informationshanteringen Grundläggande säkerhetskrav på informationshanteringen Inga krav Exempel på hur verksamheten kan påverkas när informationen - sprids till obehöriga (Konfidentialitet) - ändras felaktigt (Riktighet) - inte finns tillhands (Tillgänglighet) Långa och allvarliga avbrott i verksamheten Processproblem måste hanteras med stöd av extern hjälp. Stora förseningar. Avgörande betydelse för verksamhetens trovärdighet Har stor ekonomisk påverkan Missnöjd nyttjare/brukare/kund överväger att lämna och övergå till konkurrent Nyttjare/brukare/kunder kan drabbas av allvarlig fysisk eller psykisk skada. I värsta fall dödsfall Stor påverkan på personal Medarbetare befaras att på lång sikt lämna företaget/bli sjukskriven/drabbas av allvarlig fysisk eller psykisk skada. Kan leda till dödsfall Mindre avbrott i verksamheten, stör en del eller delar av bolagets verksamhet Processproblem kan hanteras av ordinarie personal eller med visst extern stöd. Vissa förseningar Kan påverka verksamhetens trovärdighet Missnöjd nyttjare/brukare/kund får reducerat förtroende, men överväger ej att lämna Viss ekonomisk påverkan Viss personell påverkan Medarbetare påverkas negativt på kort sikt Nivåindelningen baseras på stadens klassningsmodell

Samlad kravbild Konfidentialitet(K): Information åtkomlig endast för behöriga Riktighet(R): Information förändras kontrollerat Tillgänglighet(T): Information åtkomlig vid behov

Stadens beslutade klassningsmodell Tillämpliga lagar och andra giltiga styrdokument skall alltid uppfyllas och vägas in Konfidentialitet(K): Information åtkomlig endast för behöriga Riktighet(R): Information förändras kontrollerat Tillgänglighet(T): Information åtkomlig vid behov

Genomför klassningen Konfidentialitet(K): Information åtkomlig endast för behöriga Riktighet(R): Information förändras kontrollerat Tillgänglighet(T): Information åtkomlig vid behov

Koppling informationsklass skyddsåtgärd Giltiga för nivå1 och 2 Råd gällande hantering av information i Göteborgs Stad Råd för hantering av skyddade personuppgifter Råd - Förslag på lokala anvisningar/bestämmelser för informationshantering och IT-användning Råd för säkerhet i molntjänster Råd - Myndigheten i sociala medier Råd till IT-användare Råd Användarutbildning Råd Generella IT-kontroller i kommungemensamma system Råd - Uppföljning och analys av IT-incidenter Råd - Säkerställande av program (appar) för smarta mobiler/surfplattor Giltiga för nivå 2 Utöver det som gäller för grundsäkerhetsnivå ska specifika kompletterande åtgärder utformas och införas. Råd - IT-säkerhetsåtgärder för information som klassats i nivå 2 Giltiga för nivå 1 Riktlinjer för informationssäkerhet Riktlinjer för tillämpningen av personuppgiftslagen Regler gällande informationssäkerhetsansvar för chefer Regler gällande driftsdokumentation för IT-baserade informationssystem Regler för IT-användare.

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss