Landstingsstyrelsens förslag till beslut. Ny informationssäkerhetspolicy och nya riktlinjer för informationssäkerhet inom Stockholms läns landsting

Relevanta dokument
Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Informationssäkerhetspolicy för Ystads kommun F 17:01

Bilaga 1 - Handledning i informationssäkerhet

Informationssäkerhetspolicy för Ånge kommun

Lokal informationssäkerhetspolicy för hälso- och sjukvårdsförvaltningen

Handledning i informationssäkerhet Version 2.0

Policy för informationssäkerhet

Koncernkontoret Enheten för säkerhet och intern miljöledning

Informationssäkerhet

Lokal informationssäkerhetspolicy, lokala informationssäkerhetsriktlinjer och anvisningar

I Central förvaltning Administrativ enhet

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Stockholms läns landsting 1 O)

Informationssäkerhetspolicy

Informationssäkerhetspolicy KS/2018:260

Lokal informationssäkerhetspolicy

Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

1(6) Informationssäkerhetspolicy. Styrdokument

Fördelning av ansvar för informationssäkerhet. Version: 1. Beslutsinstans: Regiondirektören

Informationssäkerhetspolicy. Linköpings kommun

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Regler och instruktioner för verksamheten

Riktlinjer för Informationssäkerhet Falkenbergs Kommun Kommunledningskontoret

Informationssäkerhetspolicy IT (0:0:0)

Föreskrifter för informationssäkerhet. Kulturnämndens föreskrifter för informationssäkerhet 2007 (utifrån landstingsstyrelsens riktlinjer)

SÅ HÄR GÖR VI I NACKA

Bilaga till rektorsbeslut RÖ28, (5)

POLICY INFORMATIONSSÄKERHET

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Informationssäkerhetspolicy

Myndigheten för samhällsskydd och beredskaps författningssamling

Riktlinjer för IT-säkerhet i Halmstads kommun

Informationssäkerhetspolicy

Riktlinjer för informationssäkerhet inom Stockholms läns landsting

Informationssäkerhet Policy och riktlinjer för Stockholms läns sjukvårdsområde

Riktlinjer för informationssäkerhet. inom. Stockholms läns landsting

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad:

Informationssäkerhetspolicy

IT-Säkerhetsinstruktion: Förvaltning

Riktlinjer för informationssäkerhet inom Stockholms läns landsting. Riktlinjer för informationssäkerhet. inom Stockholms läns landsting

Riktlinjer för informationssäkerhet inom Stockholms läns landsting. Riktlinjer för informationssäkerhet. inom Stockholms läns landsting

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

INFORMATIONSSÄKERHET 1 INLEDNING MÅL FÖR IT-SÄKERHETSARBETET... 2

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

Riktlinjer för dataskydd

Informationssäkerhetspolicy för Umeå universitet

Kommunal författningssamling för Smedjebackens kommun. Informationssäkerhetspolicy. 97 Dnr 2016/00447

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet.

Dnr UFV 2017/93. Informationssäkerhet. Riktlinjer för säkerhetsarbetet vid Uppsala universitet. Fastställda av Universitetsdirektören

Policy för informations- säkerhet och personuppgiftshantering

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Handlingsplan för persondataskydd

Finansinspektionens författningssamling

Regler för användning av Riksbankens ITresurser

Informationssäkerhetspolicy S/~LA KOMMUN KOMMUNFULLMÄKTIGE. Bi l aga KS 2015 / 135/1 INFORMATIONSSÄKERHETSPOLICY FÖR SALA KOMMUN

Myndigheten för samhällsskydd och beredskaps författningssamling

Regel. Användning av Riksbankens IT-resurser. Inledning. Användning av IT-resurser

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Policy för informationssäkerhet

Informationssäkerhet, ledningssystemet i kortform

Organisation för samordning av informationssäkerhet IT (0:1:0)

Informations- och IT-säkerhet i kommunal verksamhet

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

Informationsklassning och systemsäkerhetsanalys en guide

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

Informationssäkerhetspolicy för Katrineholms kommun

Koncernkontoret Enheten för juridik

Granskning av landstingets hantering av personuppgifter

Juridik och informationssäkerhet

Metod för klassning av IT-system och E-tjänster

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

Riktlinjer informationssäkerhet

Sammanfattning av riktlinjer

Finansinspektionens författningssamling

Policy för behandling av personuppgifter

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Plan för informationssäkerhet vid Högskolan Dalarna 2015

Informationssäkerhetspolicy

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Finansinspektionens författningssamling

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Administrativ säkerhet

Policy och strategi för informationssäkerhet

Informationssäkerhetspolicy

Riktlinjer för webbpublicering enligt PuL

Transkript:

FÖRSLAG 2011:92 LS 0910-0859 Landstingsstyrelsens förslag till beslut Ny informationssäkerhetspolicy och nya riktlinjer för informationssäkerhet inom Stockholms läns landsting Föredragande landstingsråd: Torbjörn Rosdahl Ärendet Landstingsdirektören har inkommit med förslag till ny informationssäkerhetspolicy med tillhörande riktlinjer för informationssäkerhet som ska gälla för samtliga förvaltningar, bolag och stiftelser inom Stockholms läns landsting och av samtliga som arbetar på uppdrag av landstinget. Förslag till beslut Landstingsstyrelsen föreslår landstingsfullmäktige besluta att anta ny informationssäkerhetspolicy för Stockholms läns landsting att uppdra åt landstingsstyrelsen att fastställa riktlinjer att uppdra till landstingsstyrelsen att under 2012 återkomma med en omarbetad informationssäkerhetspolicy där bland annat hänsyn tas till transparens, enkelhet och genomförda organisationsförändringar inom Stockholms läns landsting Landstingsstyrelsen har - under förutsättning av fullmäktiges beslut för egen del beslutat att anta nya riktlinjer enligt Förslag till riktlinjer för informationssäkerhet inom Stockholms läns landsting att rekommendera övriga nämnder, styrelser och bolag att för sin del, utifrån de nya riktlinjerna för informationssäkerhet, utforma och anta lokala anvisningar att uppdra åt landstingsdirektören eller den han utser att besluta om ändringar eller tillägg till riktlinjer för informationssäkerhet. Bilagor 1 Förslag till Informationssäkerhetspolicy 2011-10-18 2 Förslag till riktlinjer för informationssäkerhet inom SLL 2011-10-18 3 Stf förvaltningschefens tjänsteutlåtande 2011-11-03

FÖRSLAG 2011:92 2 LS 0910-0859 Inom Stockholms läns landsting används mängder med information som måste skyddas på olika sätt. Det är en viktig integritetsfråga att uppgifter ur exempelvis patientjournaler inte kommer på avvägar. Samtidigt måste annan information göras tillgänglig för såväl medborgare som medarbetare inom landstinget. Landstingets Informationssäkerhetspolicy ska vara ett fungerande instrument för landstingets informationssäkerhetsarbete och samtidigt ta tillvara både skydds- och tillgänglighetsaspekten. Det finns inom landstingets organisation behov av att en ny policy antas. Samtidigt finns i föreliggande förslag en del problem, bland annat vad avser transparens och tydlighet. Informationssäkerhetspolicyn bör vara så tydlig och transparent som möjligt. Inte minst är det viktigt att det klargörs vem som bär det yttersta ansvaret för policyns efterlevande. Detta är angeläget inte minst när Stockholms läns landsting genomgår organisationsförändringar. Mot denna bakgrund bör föreliggande policy antas, samtidigt som ett uppdrag ges att uppdatera policyn när hänsyn till de senaste förändringarna i organisationen kan tas. Behandling i landstingsstyrelsen Landstingsrådsberedningen behandlade ärendet den 9 november 2011. Landstingsstyrelsen behandlade ärendet den 22 november 2011. Ärendet och dess beredning Stf förvaltningschefen har i tjänsteutlåtande den 3 november 2011 (bilaga) föreslagit landstingsstyrelsen dels föreslå landstingsfullmäktige besluta att anta informationssäkerhetspolicy enligt Förslag till informationssäkerhetspolicy för Stockholms läns landsting, att uppdra åt landstingsstyrelsen att fastställa riktlinjer, att uppdra till landstingsstyrelsen att under år 2012 återkomma med en omarbetad informationssäkerhetspolicy där bland annat hänsyn tas till transparens, enkelhet och genomförda organisationsförändringar inom Stockholms läns landsting dels under förutsättning av fullmäktiges beslut för egen del besluta att anta nya riktlinjer för informationssäkerhet enligt Förslag till riktlinjer för informationssäkerhet inom Stockholms läns landsting, att rekommendera övriga nämnder, styrelser och bolag att för sin del, utifrån de nya riktlinjerna för informationssäkerhet, utforma och anta lokala anvisningar, att uppdra åt landstingsdirektören eller den han utser att besluta om ändringar eller tillägg till riktlinjer för informationssäkerhet.

Stockholms läns landsting Informationssäkerhetspolicy inom Stockholms läns landsting 2011-10-18 Beslutad av landstingsfullmäktige 20[XX]-[XX]-[XX]

2(5) Innehållsförteckning Information till informationssäkerhet 3 Mål 3 Omfattning 3 Innebörd 4 Ansvar 4 Uppföljning 5 Revidering 5

Information till informationssäkerhet Stockholms läns landstings verksamhet är grundad på principer om öppenhet liksom personlig integritet och respekt för individen. Medborgarna ska kunna få insyn i landstingets verksamhet. De ska kunna förlita sig på den information som landstinget lämnar och vara förvissade om att information som samlas in får ett tillräckligt skydd. Information är en av landstingets mest strategiska resurser. Alla verksamheter är beroende av tillförlitlig information. Avbrott i tillgången till information kan vara kritiskt för verksamheten och felaktig information kan bokstavligen vara livsfarlig inom vård och trafik. Allt mer komplexa system hanterar känsliga uppgifter om medborgares sociala, medicinska och andra personliga förhållanden. De möjliggör effektivisering av verksamheten och därmed bättre service till medborgarna. Beroendet av informationssystem ökar sårbarheten om inte säkerhetsaspekterna beaktas. Det är därför nödvändigt att ställa säkerhetskrav utifrån ett verksamhetsperspektiv. Kraven ska ställas inför upphandling, utveckling, användning och avveckling av informationssystem och fortlöpande följas upp. Arbetet med informationssäkerhet måste vara medvetet och strukturerat med tydliga mål och riktlinjer. Denna policy beskriver de övergripande principer som ska gälla för informationssäkerheten i Stockholms läns landsting. Mål Målet för landstingets informationssäkerhetsarbete är att skydda informationstillgångarna inom verksamheten. Skyddet ska vara anpassat till skyddsvärde, risk och lagkrav och därigenom möjliggöra för landstingets verksamheter att uppnå sina mål. Omfattning Informationssäkerhetspolicyn gäller för hantering av information, i alla dess former, i Stockholms läns landsting inklusive bolag och stiftelser och av samtliga som arbetar på uppdrag av landstinget. Det sistnämnda regleras genom avtal.

Innebörd Säkerhetsaspekter Informationssäkerhet är den samlade effekten av de administrativa och tekniska åtgärder som vidtas för att skydda information mot de hot som den kan utsättas för. Följande skyddsaspekter ska beaktas: Konfidentialitet (rätt person): Riktighet (rätt information): Tillgänglighet (rätt tid och plats): Information får inte göras tillgänglig eller avslöjas på ett sådant sätt att den personliga integriteten eller sekretessen hotas. Informationen få inte förändras eller gå förlorad, av misstag, genom inverkan av obehörig eller på grund av tekniskt fel. Informationen ska kunna användas i förväntad utsträckning, inom önskad tid och på rätt plats. Skyddsåtgärder Val av skyddsåtgärder ska vara baserade på informationens betydelse för verksamheten och de konsekvenser som bristande säkerhet kan medföra. Lagar och förordningars krav ska utgöra den lägsta nivå som ska uppnås med säkerhetsåtgärderna. Åtgärderna ska dokumenteras på ett sådant sätt att det blir möjligt att kontrollera att rätt skyddsnivå uppnås. En förutsättning för arbetet med informationssäkerhet är att en god säkerhetskultur genomsyrar organisationen. Med detta menas inte bara att medarbetarna har god kunskap om vilka säkerhetsregler som gäller utan att de också har ett högt säkerhetsmedvetande och kritiskt ifrågasätter händelser som kan påverka säkerheten. Landstinget ska arbeta med kontinuitetsplanering, för att kritiska verksamheter ska kunna upprätthållas på fastställd nivå, vid olika typer av katastrofsituationer, störningar och avbrott. Ansvar Landstingsfullmäktige fastställer den informationssäkerhetspolicy som ska gälla för landstinget.

Landstingsstyrelsen ansvarar för att landstingets informationssäkerhetspolicy och riktlinjer för informationssäkerheten utarbetas och hålls aktuella. Informationssäkerhetsarbetet ska så långt som möjligt bedrivs i enlighet med svensk standard, SS-ISO/IEC 27000. Landstingsstyrelsen ansvarar också för samordningen av informationssäkerhetsarbetet i landstinget och ska därför årligen fastställa en handlingsplan för informationssäkerhetsarbetet. Varje nämnd och styrelse är ansvarig för informationssäkerheten inom sitt verksamhetsområde och ska därför utarbeta och anta egna anvisningar och instruktioner för informationssäkerheten i enlighet med policy och riktlinjer. Det åligger också nämnd och styrelse att avsätta medel för informationssäkerhetsarbetet samt att löpande följa upp informationssäkerheten och vidta åtgärder för att uppnå tillräcklig intern kontroll. Ansvaret för informationssäkerheten är kopplat till det delegerade verksamhetsansvaret. Det betyder att varje person som är ansvarig för en verksamhet också är ansvarig för informationssäkerheten inom den verksamheten. I ansvaret ingår, dels att för varje informationsmängd utse en informationsägare med ansvar för alla delar av informationssäkerheten, dels att för varje informationssystem tillse att det finns en systemägare eller motsvarande som ansvarar för att säkerhetskraven på systemet uppfylls. Den som ingår avtal som leder till informationsanvändning eller informationsutbyte ansvarar för att kraven på informationssäkerhet specificeras i avtalet. Varje anställd ansvarar för att uppställda säkerhetsregler följs samt att störningar och fel i informationssystem, utrustningar och informationsinnehåll rapporteras enligt fastställda rutiner. Landstingsrevisorernas uppgift är att granska om den interna kontrollen är tillräcklig. Uppföljning Uppföljning av denna policy ska ske regelbundet. Revidering Revidering av denna policy ska ske regelbundet. I samband med revidering ska handlingsplanen för informationssäkerhet revideras på motsvarande sätt.

IIII 1 O A/i i A l\ r Cr Informationsklass: Jt Stockholms läns landsting L S 10-0 * i <f KIR 2 TI Riktlinjer för informationssäkerhet inom Stockholms läns landsting 2011-10-18

Stockholms läns landsting Informationsklass: K1R2T1 Innehållsförteckning 1 Introduktion till informationssäkerhet i 1.1 Allmänt i 1.2 Mål i 1.3 Syfte och omfattning i 1.4 Vad är informationssäkerhet? 1 1.5 Hot och skyddsåtgärder 2 1.6 Landstingets regelverk för informationssäkerhet 3 2 Organisation av informationssäkerheten 4 2.1 Övergripande informationssäkerhetsansvar 4 2.2 Roller och ansvar i verksamheten 5 2.3 Samordning och uppföljning 8 3 Personalresurser och informationssäkerhet 9 3.1 Rekrytering och anställning 9 3.2 Arbetsbeskrivning och anställningsvillkor 9 3.3 Bisysslor 9 3.4 Sekretess 9 3.5 Utbildning och fortbildning i informationssäkerhet 10 3.6 Avslutande av anställning 10 4 Personlig IT-användning 11 4.1 Användande av internet 11 4.2 E-post och snabbmeddelande 11 4.3 Sociala medier 12 4.4 Användaridentiteter 12 4.5 Användning av IT-utrustning som datorer, mobiltelefoner och surfplattor 12 4.6 Arbete på annan plats 13 4.7 Telefbni 13 4.8 Fax 13 5 Klassificering av tillgångar och riskhantering 14 5.1 Förteckning över tillgångar 14 5.2 Klassificering av information 14 5.3 Märkning av information 16 5.4 Riskbedömning och riskhantering 16 5.5 Hantering av informationssäkerhetsincidenter 16 6 Hantering av information 18 6.1 Offentlighet och sekretess 18 6.2 Hantering av e-post 18 6.3 Hantering av personuppgifter 18

Stockholms läns landsting Informationsklass: KIR2H 6.4 Skyddade personuppgifter 19 6.5 Patientuppgifter inom vården 20 6.6 Hantering av betalkortsinformation 21 6.7 Bevarande, rensning och gallring 22 7 Åtkomst till information 23 7.1 Styrning av åtkomst till elektronisk information 23 7.2 Extern informationsanvändning 24 7.3 Automatisk utloggning 24 7.4 Styrning av åtkomst till övrig information 24 8 Driftsäkerhet 26 8.1 Säkerhetskrav på systemmiljön 26 8.2 Systemförvaltning 26 8.3 Skydd mot skadlig kod 27 8.4 Användning av arbetsstationer, bärbara datorer och övrig utrustning 27 8.5 Säkerhetskopiering och återläsning av data 27 8.6 Drift hos extern part 27 8.7 Systemdokumentation 29 8.8 Illegal kopiering och användning 29 9 Kommunikations- och nätverkssäkerhet 30 9.1 Säkerhetskrav på nätverksmiljön 30 9.2 Trådlösa nätverk 30 9.3 Landstingsgemensamma nätverk 3 1 9.4 Externa nätverk 3* 9.5 Anslutning av IT-utrustning 31 9.6 Hantering av kakor för webbplatsinnehavare 31 10 Utveckling och anskaffning av system 32 10.1 Definition av säkerhetskrav 32 10.2 Säkerhet i systemutvecklingsprojekt 32 10.3 Upphandling av system och systemutveckling 33 10.4 Dokumentation 33 11 Fysisk säkerhet 34 11.1 Slcydd av utrustning och information 34 11.2 Tillträdeskontroll till byggnader och lokaler 34 11.3 Skydd i säkra utrymmen 34 11.4 Kraftförsörjning och el-miljö 35 11.5 Underhåll av utrustning 35 11.6 Säkerhet för utrustning utanför egna lokaler 35 11.7 Avveckling av utrustning 35

Stockholms läns landsting Informationsklass: K1R2T1 12 Kontinuitetsplanering 36 12.1 Kontinuitetsplaneringens mål 36 12.2 Kontinuitetsplaneringens omfattning 36 12.3 Test och underhåll 36 13 Uppföljning och efterlevnad 37 13.1 Legala och externa krav 37 13.2 Verksamhetsspecifik lagstiftning 38 13-3 Uppföljning av informationssäkerheten 40

1(41) i Introduktion till informationssäkerhet 1.1 Allmänt Stockholm läns landstings ansvarar för den offentligt finansierade hälso- och sjukvården, kollektivtrafiken, regionplaneringen och andra viktiga uppgifter i Stockholms län. Verksamheten är omfattande och komplex, med många olika intressenter och med ett stort beroende av information. En effektiv och säker användning av information är en förutsättning för landstingets verksamhet och för förtroendet för förmågan att leverera service till medborgarna. Dessutom ställer offentlighetsprincipen krav på landstingets informationshantering, liksom speciallagstiftning inom verksamhetsområden som hälso- och sjukvård och trafik. Detta sammantaget gör information till en av landstingets mest betydelsefulla resurser. Information är ett vitt begrepp som inkluderar allt från kunskap som enskilda medarbetare besitter till information lagrad i IT-system. Informationssäkerhetsarbetet berör hela landstingets verksamhet. Det utgår från säkerhetsstandarder som är utgivna av standardiseringsorganisationerna, och riktar in sig på de objekt som ska skyddas. Ett sunt och vaket säkerhetsmedvetande hos alla medarbetare är en förutsättning för väl fungerande informationssäkerhet. 1.2 Mål Målet för landstingets informationssäkerhetsarbete är att skydda informationen inom verksamheten. Skyddet ska vara anpassat till skyddsvärde, risk och lagkrav och därigenom möjliggöra för landstingets verksamheter att uppnå sina mål. 1.3 Syfte och omfattning Syftet med detta dokument är att ge riktlinjer och vägledning för informationssäkerheten och säkerhetsarbetet inom landstinget. Dessa riktlinjer, vilka är en konkretisering av landstingets informationssäkerhetspolicy, är styrande för landstingets informationshantering. De ska efterlevas av samtliga förvaltningar, bolag och stiftelser inom landstinget och av samtliga som arbetar på uppdrag av landstinget. Det sistnämnda regleras genom avtal. Den som ingår avtal med extern part, som leder till informationsanvändning eller -utbyte, ansvarar för att: risker relaterade till detta analyseras kraven på informationssäkerhet specificeras i avtalet uppföljning av avtalad skyddsnivå sker För att uppnå målet med informationssäkerheten ska säkerhetsarbetet omfatta samtliga områden behandlade i dessa riktlinjer. 1.4 Vad är informationssäkerhet? Informationssäkerhet innebär skydd av information mot olika slags hot. Ett metodiskt informationssäkerhetsarbete innebär att säkerställa att information i alla dess former finns tillgänglig när den behövs (tillgänglighet), att den är korrekt (riktighet), att obehöriga inte kan få tillgång till den (konfidentialitet) och att händelser i informationsbehandlingen kan

2(41) spåras (spårbarhet), se även avsnitt 5.2. Det kallas informationens säkerhetsaspekter. Informationstillgångar måste identifieras och ges en lämplig skyddsnivå, och risker måste hanteras i enlighet med de säkerhetskrav som fastställts. Informationssäkerhet kan delas upp i två huvudområden, administrativ respektive teknisk säkerhet. Det illustreras i nedanstående bild. Informationssäkerhet Administrativ säkerhet Teknisk säkerhet Utbildning Regler Roller Uppföljning Fysisk säkerhet IT-säkerhet Datasäkerhet Kommunikationssäkerhet Administrativ säkerhet: Teknisk säkerhet: Administrativ säkerhet innefattar skyddsåtgärder av administrativ art. Exempel på det är hur styrning och uppföljning av informationssäkerheten ska ske, hur ansvar för informationssäkerheten ska fördelas, hur åtkomst till informationen ska regleras och hur rutinerna ska utformas. Information och utbildning är också en viktig del. Dessa riktlinjer är en del av den administrativa säkerheten. I begreppet teknisk säkerhet ingår IT-säkerhet, vilket inkluderar åtgärder för att skydda IT-system, informationen i dem liksom data- och telekommunikation. Fysisk säkerhet syftar till att skydda den fysiska miljön som system, information och kommunikationsutrustning finns i. 1.5 Hot och skyddsåtgärder För att bestämma vilka skyddsåtgärder som behövs i verksamheten måste de hot som information kan utsättas för vara kända. I och med att omvärlden är föränderlig ändras hotbilden över tiden. Det innebär att behovet av skyddsåtgärder måste omprövas regelbundet. Det är viktigt att beakta att hotbilden kan förändras när information byter bärare, t.ex. när elektronisk information skrivs ut på papper eller förmedlas via telefon. Bilden nedan visar exempel på olika typer av tänkbara hot liksom skyddsåtgärder för att minska eller eliminera effekterna av dem. Slcydd besående av olika skydds åtgärder och säkerhetslösningar Fel på dator Hackers

3(41) Landstingets samtliga verksamheter måste vidta skyddsåtgärder för att uppnå och vidmakthålla eftersträvad nivå på informationssäkerheten. Med skyddsåtgärder avses i detta sammanhang alla de administrativa och tekniska åtgärder som vidtas för att skydda informationen. Alla skyddsåtgärder ska dokumenteras på ett sådant sätt att det är möjligt att kontrollera att eftersträvad skyddsnivå uppnås. 1.6 Landstingets regelverk för informationssäkerhet Landstingets regelverk för informationssäkerhet är uppbyggd enligt följande struktur: Landstingets informationssäkerhetspolicy Landstingets riktlinjer för informationssäkerhet! I Anvisningar/handlingsplan specifika för nämnd och styrelse IHlllHllllHiHI Verksamhetsnära instruktioner Informationssäkerhetspolicyn beskriver landstingets syn på informationssäkerhet och de övergripande principer som gäller för informationssäkerheten. Informationssäkerhetspolicyn antas av landstingsfullmäktige. Riktlinjer för informationssäkerhet konkretiserar informationssäkerhetspolicyn och ger riktlinjer avseende skyddsåtgärder och -nivåer. Riktlinjerna är framtagna med stöd av standarden för informationssäkerhet, SS-ISO/IEC 27002, och avser inte att i detalj beskriva hur skyddsåtgärderna ska utformas. Riktlinjerna antas av landstingsstyrelsen. Varje nämnd och styrelse ska anta anvisningar som innehåller preciseringar och tillägg till policy och riktlinjer med utgångspunkt från den egna organisationens specifika behov. Införandet av de egna anvisningarna ska konkretiseras i en handlingsplanförinformationssäkerhet. Med utgångspunkt från anvisningarna ska vid behov instruktioner utformas av respektive förvaltning och bolag. De ska beskriva detaljerat hur rutiner och skyddsåtgärder ska utformas och tillämpas för att informationssäkerheten ska kunna realiseras. Ansvaret för informationssäkerheten är enligt landstingets informationssäkerhetspolicy kopplat till det allmänna verksamhetsansvaret. Det betyder att den som är ansvarig för en verksamhet även är ansvarig för informationssäkerheten inom den verksamheten.

4(41) 2 Organisation av informationssäkerheten Detta kapitel beskriver riktlinjerna för hur ansvar ska fördelas och hur informationssäkerhetsarbetet ska organiseras. För att uppnå och bibehålla god informationssäkerhet ska roller och ansvar fördelas. Samordning och uppföljning av informationssäkerhetsarbetet ska ske regelbundet. Vid utredningar om organisationsförändringar, där verksamhetsansvar förs över till annan förvaltning, till bolag eller annan juridisk person, måste en analys genomföras. De rättsliga förutsättningarna för överförandet av information och system ska ingå liksom hur roller och ansvar ska överföras. 2.1 Övergripande informationssäkerhetsansvar 2.1.1 Landstingsfullmäktige Landstingsfullmäktige fastställer den informationssäkerhetspolicy som ska gälla för landstinget. 2.1.2 Landstingsstyrelsen Landstingsstyrelsen ansvarar för att landstingets informationssäkerhetspolicy och riktlinjer för informationssäkerheten utformas och hålls aktuella. Landstingsstyrelsen har ansvaret för samordning samt uppföljning av informationssäkerheten och har därmed det övergripande ansvaretförinformationssäkerheten inom landstinget. 2.1.3 Landstingsdirektören Landstingsdirektören har landstingstingsstyrelsens uppdrag att tillse att informationssäkerhetsarbetet bedrivs så effektivt som möjligt, genom att visa ett tydligt stöd och fördela resurser, så att informationssäkerhetsmålet kan uppnås. I landstingsdirektörens uppdrag ingår även att, i samråd med berörda förvaltningar och bolag, utforma en övergripande handlingsplan för informationssäkerhetsarbetet inom landstinget och tillse att den beaktas i förvaltningars och bolags årliga budgetförslag. Landstingsdirektören ska utse en informationssäkerhetschef med ansvar för samordning och övergripande uppföljning av informationssäkerhetsarbetet inom landstinget. 2.1.4 Informationssäkerhetschefen Informationssäkerhetschefen verkställer samordningen av informationssäkerhetsarbetet inom landstinget och förvaltar landstingets informationssäkerhetspolicy, dessa riktlinjer samt en övergripande handlingsplanförinformationssäkerhet. Dessutom ska denne: bistå förvaltningschef och motsvarande med råd och rekommendationer i samverkan med lokala informationssäkerhetssamordnare vara sammankallande i landstingets informationssäkerhetsråd inhämta uppgifter om informationssäkerhetsläget i landstinget som ett led i uppföljningen av informationssäkerheten rapportera iakttagelser och föreslå åtgärder av övergripande principiell karaktär vara landstingets representant i kontakter med externa organisationer inom informationssäkerhetsområdet vara remissinstans i frågor som rör informationssäkerhet genom aktiv omvärldsbevakning följa och påverka utvecklingen inom informationssäkerhetsområdet.

5(41) 2.1.5 Landstingsrevisorerna Landstingsrevisorernas uppgift är att granska den interna kontrollen, vilket här innefattar att granska om ledning och styrning, uppföljning och kontroll av informationssäkerheten är tillfredställande. 2.2 Roller och ansvar i verksamheten I enlighet med vad som gäller för övrig verksamhet inom landstinget, är ansvaretförinformationssäkerheten kopplat till det delegerade verksamhetsansvaret. Det betyder att varje person som är ansvarig för en verksamhet också är ansvarig för informationssäkerheten i denna verksamhet. Nedan beskrivs informationssäkerhetsansvar för vissa generella roller. Beroende på lokala förhållanden kan även andra roller behöva beskrivas och ansvar fastställas. 2.2.1 Styrelser och nämnder Varje nämnd och styrelse är ytterst ansvarig för informationssäkerheten inom sin förvaltning respektive bolag. Den ska därför anta egna anvisningar för informationssäkerheten, i enlighet med informationssäkerhetspolicyn och dessa riktlinjer. Det åligger också varje nämnd och styrelse att avsätta medel för informationssäkerhetsarbetet, årligen planlägga och löpande följa upp informationssäkerheten och i övrigt vidta de åtgärder som krävs för att uppnå och upprätthålla tillräcklig intern kontroll. Nämnd och styrelse är personuppgiftsansvarig inom sin organisation, enligt personuppgiftslagen (PuL). Personuppgiftsansvarig ska utse ett eller flera personuppgiftsombud. 2.2.2 Personuppgiftsombud Personuppgiftsombud har till uppgift att tillse att personuppgifter behandlas på ett lagligt och korrekt sätt. Personuppgiftsombudet ska bl.a. påpeka eventuella brister i behandlingen. Om inte brister åtgärdas efter påpekande ska ombudet anmäla missförhållanden till Datainspektionen som är tillsynsmyndighet när det gäller behandling av personuppgifter. Personuppgiftsombudet ska föra en förteckning över de behandlingar av personuppgifter, som skulle ha omfattats av anmälningsskyldighet, om ombudet inte funnits. 2.2.3 Förvaltningschef/VD Förvaltningschef/VD har, inom sin verksamhet, ansvaret för att utforma och kommunicera anvisningar, verkställa och följa upp styrelse respektive nämnds beslut och att åtminstone årligen rapportera status på informationssäkerheten till nämnd respektive styrelse. I ansvaret ingår även att säkerställa att all informationshantering sker i enlighet med informationssäkerhetspolicy, riktlinjer och anvisningar, och att vid behov fastställa instruktioner. Förvaltningschef/VD ansvarar även för att det inom organisationen sker en kartläggning och en prioritering av vilka verksamheter som är i behov av en kontinuitetsplan. Dessutom ska det utses en krisorganisation som ska ansvara för att få verksamheterna att återgå till ett normalläge efter katastrofsituationer, störningar och oplanerade avbrott. Krisorganisationen kan antingen vara övergripande eller per respektive verksamhet.

6(41) Alla viktiga tillgångar inom landstinget ska redovisas. Förvaltningschef/VD ansvarar för att förteckning förs över alla viktiga tillgångar. Det åligger även denne att säkerställa att ägare för dessa tillgångar utses, med ansvar för att vidta nödvändiga skyddsåtgärder. Informationssäkerhet är en naturlig del av chefsansvaret och är kopplat till det delegerade verksamhetsansvaret. Det betyder att varje person som får ett delegerat verksamhetsansvar, också ansvarar för informationssäkerheten inom den verksamheten. Förvaltningschef/VD ska avsätta resurser för informationssäkerhet samt utse en informationssäkerhetssamordnare med ansvar för att koordinera arbetet med informationssäkerhet inom den egna organisationen. Inom hälso- och sjukvårdsverksamhet ska förvaltningschef/vd även utse en eller flera personer som har till övergripande uppgift att se till att patientens rättigheter enligt Patientdatalagen och tillhörande regelverk uppfylls. Det ska finnas en instruktion för hur vidtagna åtgärder och brister på området ska rapporteras till förvaltningschef/vd respektive landstingets informationssäkerhetschef, se även avsnitt 6.5.1. 2.2.4 Informationssäkerhetssamordnare Inom varjeförvaltningoch bolag ska utses en informationssäkerhetssamordnare. Denne ska, oavsett inplacering i organisationen, rapportera direkt tillförvaltningschef/vdoch ansvaraförföljande: Utformaförslag till anvisningar för informationssäkerhet som innehåller preciseringar och tillägg till policy och riktlinjer med utgångspunkt från den egna organisationens specifika behov Utformaförslag till handlingsplan för informationssäkerhet i den egna organisationen Sprida kunskap om regler, metoder och tekniker avseende informationssäkerheten Samordna det för organisationen och verksamheten gemensamma informationssäkerhetsarbetet Koordinera arbetet med incidenthantering och riskanalyser Årligen rapportera följande till förvaltningschefen/vd:n: o granskningar och skyddsåtgärder av större betydelse som gjorts i enlighet med informationssäkerhetspolicy, riktlinjer, anvisningar och instruktioner o riskanalyser som utförts avseende informationssäkerheten o förbättringsåtgärder som vidtagits. o efterlevnaden av policy, riktlinjer, anvisningar och instruktioner Vara kontaktperson mot landstingets informationssäkerhetschef Vara representant i landstingets informationssäkerhetsråd Enligt Socialstyrelsens föreskrifter och Patientdatalagen ska vårdgivare utse en eller flera personer som ansvarar för informationssäkerhetsarbetet. Inom SLL har informationssäkerhetssamordnaren det ansvaret. 2.2.5 Informationsägare För varje viktig informationstillgång ska utses en informationsägare, med uppdrag att hantera alla delar av informationssäkerheten. Grunden i detta arbete är klassificering av informationen. Informationsägaren ansvarar för att beslut fattas om användares åtkomsträttigheter och att dessa överensstämmer med deras behörigheter. Dessutom ansvarar denne för att riskanalyser genomförs och att samordning av riskanalyser sker med andra

7(41) informationsägare. Om information innehåller personuppgifter ska det anmälas till personuppgiftsombudet. När information hanteras i IT-system ska informationsägarens krav ligga till grund för systemägarens val av skyddsåtgärder. Kraven ska dokumenteras i ett avtal eller överenskommelse. I de fall personuppgifter hanteras på uppdrag utanför den egna organisationen ska avtal om personuppgiftsbiträde upprättas i enlighet med PuL. Informationsägarskapet växlar när information överlämnas från en organisation till en annan. Det ankommer på respektive informationsägare som överlämnar information, att ställa krav på och skriva avtal om hur mottagaren ska hantera informationen. Syftet är att säkerställa informationssäkerheten i hela informationsbehandlingskedjan. Vid behov kan det för en verksamhetskritisk process utses en informationsägare, med uppdrag att säkerställa att informationssäkerheten beaktas i hela processen. Hanteras patientinformation i s.k. sammanhållen journal ansvarar informationsägaren för att det finns gemensamma rutiner för signering och låsning av uppgifter. 2.2.6 Systemägare För varje IT-system och nätverk ska det utses en systemägare, med uppdrag att ansvara för informationssäkerheten rörande sitt system. Ett IT-system kan bestå av flera olika applikationer beroende på hur informationsägaren avgränsat uppdraget. Systemägaren ska besluta om nyutveckling, vidareutveckling och avveckling. Systemägaren ska vid behov utse systemförvaltare som ges uppdraget att inom givna ekonomiska ramar ta det funktionella ansvaret för systemet. Systemägaren ska tillse att: verksamhetens behov tillgodoses skyddsnivån för systemet specificeras skyddsnivån följs upp före driftsättning krav på informationssäkerhet och funktionalitet beaktas i samband med anskaffning och utveckling av informationssystem 2.2.7 Systemförvaltare Systemförvaltaren utses av systemägaren. Om systemägaren inte utser förvaltare ankommer det på systemägaren att utföra motsvarande uppgifter. Systemförvaltaren ska tillse att: systemförvaltning och förvaltningsplan upprättas driftgodkännande dokumenteras avbrottsplan för systemet utarbetas användarna informeras om vilken skyddsnivå som gäller för systemet och vilka krav som därmed ställs på dem rutin för rapportering och uppföljning av informationssäkerhetsincidenter, funktionsfel och brister utvecklas incidenter, funktionsfel och brister dokumenteras, analyseras och hanteras instruktioner för beviljande och kontroll av rättigheter till systemet utformas

8(41) rutiner för uppföljning av avvikelser eller försök till avvikelser mot åtkomstreglerna utarbetas förteckning förs över vilken information som behandlas av systemet och vem eller vilka som äger den användarna tilldelas rättigheter i enlighet med informationsägarnas beslut förteckning över användare och rättigheter förs och regelbundet följs upp åtgärder vidtas för att hantera identifierade risker utifrån genomförda riskanalyser system- och användardokumentation upprättas och hålls uppdaterad. användarna ges adekvat utbildning före åtkomst. 2.2.8 IT-chef/samordnare I varje organisation där det har utsetts en IT-chef/samordnare, ska denne: införa och upprätthålla informationssäkerheten för de IT-system, den information och den utrustning man givits i uppdrag att hantera, i enlighet med gällande regelverk utforma instruktioner för IT-verksamheten baserade på dessa riktlinjer och fastställda anvisningar tillse att IT-personalen följer gällande regler för informationssäkerheten ansvara för att IT-personalen får den utbildning i informationssäkerhet som krävs avtala om och fortlöpande kontrollera att anlitade leverantörer inom IT-området uppfyller kraven på informationssäkerhet. 2.2.9 Informationsanvändare Informationsanvändare är samtliga personer som i sin yrkesutövning hanterar information inom landstinget, vilket inkluderar såväl anställda som andra användare. Informationsanvändarnas medverkan är väsentlig för en effektiv informationssäkerhet. De ska göras medvetna om sin skyldighet att ta del av och följa uppställda informationssäkerhetsregler liksom att rapportera informationssäkerhetsincidenter, funktionsfel och brister, enligt fastställda rutiner. 2.3 Samordning och uppföljning 2.3.1 Informationssäkerhetsråd För att samordning och uppföljning av informationssäkerhetsarbetet ska kunna bedrivas effektivt ska det finnas ett informationssäkerhetsråd. Utöver informationssäkerhetschefen ska rådet bestå av informationssäkerhetssamordnare från respektive förvaltning och bolag, se 2.2.4. Rådets uppgift är att främja, stödja, samordna och följa upp landstingets informationssäkerhetsarbete på en övergripande nivå. Rådet ska främja erfarenhets- och kunskapsutbyte, bevaka vilket behov av stöd som finns i verksamheterna och föreslå förbättringar, förankra och samordna viktiga informationssäkerhetsaktiviteter samt följa upp efterlevnaden av landstingets riktlinjer för informationssäkerhet.

9(41) 3 Personalresurser och informationssäkerhet Detta kapitel beskriver riktlinjer för informationssäkerhet som ska tillämpas inom personalprocessen, det vill säga i samband med rekrytering, anställning och avslutande av anställning. 3.1 Rekrytering och anställning Arbetsgivaren är enligt personuppgiftslagen ansvarig för behandling av personuppgifter som utförs i samband med en rekryteringsprocess eller i arbetet. En arbetsgivare som samlar in uppgifter om arbetssökande eller anställda får endast samla in och behandla sådana uppgifter som är nödvändiga för registrets ändamål. Om det i lag eller annan författning finns särskilda kompetenskrav för en viss anställning kan det vara nödvändigt att behandla sådana uppgifter. Arbetsgivaren måste ha samtycke från den arbetssökande för att få behandla personuppgifter. Personuppgifterna får registreras och sparas bara så länge de är nödvändiga för ansökningsförfarandet. Personuppgiftslagen innehåller en uttömmande reglering för i vilka fall behandling av personuppgifter är tillåten. Närmare anvisningar finns att hämta i Datainspektionens informationsskrifterförbehandling av personuppgifter i arbetslivet. Se även avsnitt 6.3 och avsnitt 6.4 i dessa riktlinjer. 3.2 Arbetsbeskrivning och anställningsvillkor Samtliga anställda ska göras medvetna om sina skyldigheter enligt anställningsavtal samt om gällande regler för informationssäkerhet och sekretess (policy, riktlinjer, anvisningar och instruktioner). Det ska vara tydligt vilken information som ägs av arbetsgivaren och inte får förstöras eller kopieras vid t.ex. avslutande av tjänst. Samtliga anställda ska även göras medvetna om att bristande efterlevnad av gällande regler för informationssäkerhet och sekretess kan vara misskötsel, vilket är ett brott mot anställningsavtalet. Enligt personuppgiftslagen kan behandling av personuppgifter i samband med kontroll av anställda vara tillåten med arbetstagarens samtycke, ett avtal mellan arbetsgivaren och arbetstagaren, för att fullgöra en rättslig skyldighet eller i vissa fall även efter intresseavvägning. Samtliga anställda ska göras medvetna om detta. Motsvarande ska i förekommande fall gälla uppdragstagare som inte är anställda. Ytterligare information finns att hämta på Datainspektionens hemsida. 3.3 Bisysslor Vägledning för anställda om bisysslor, t ex vilka slags förhållanden som kan göra en bisyssla otillåten, ska finnas lätt tillgänglig för arbetstagaren. 3.4 Sekretess Inom den offentliga sektorn är sekretess för de anställda reglerat i lag. En sekretessförbindelse är därför inte möjlig att använda, utan ersätts av sekretesserinran. Denna skrivs inte under utan, som namnet säger, erinrar om gällande lagstiftning.

10 (41) Man behöver inte vara anställd av landstinget eller dess bolag för att omfattas av sekretessen. Vid anlitande av konsult eller annan extern uppdragstagare måste emellertid klargöras om han eller hon deltar i verksamheten på samma sätt som en anställd. Deltar personen inte i verksamheten på sådant sätt att offentlighets- och sekretesslagen blir tillämplig, ska tystnadsplikten regleras civilrättsligt, d.v.s. i avtal. 3.5 Utbttdning och fortbildning i informationssäkerhet Landstingets målsättning är att en god säkerhetskultur ska genomsyra organisationen. Med detta menas inte bara att medarbetarna har god kunskap om vilka säkerhetsregler som gäller utan att de också använder gott omdöme och kritiskt ifrågasätter händelser som kan påverka säkerheten. Eftersom en anställd oavsiktligt kan orsaka organisationen stor skada på grund av bristande kunskap, är det viktigt att genomföra introduktion och utbildning om gällande regler för informationssäkerhet. Detsamma gäller även vid omplacering av redan anställda och när tillfällig personal och externa konsulter anlitas. Samtliga anställda inom landstinget ska få den utbildning i informationssäkerhet som krävs för att de ska kunna utföra sina arbetsuppgifter ochföratt säkerställa informationssäkerhetsmålet. Utbildningens omfattning ska vara anpassad till det ansvar och de befogenheter som gäller för befattningen. Alla anställda måste minst ha genomgått en grundläggande utbildning som exempelvis DISA. Utbildningen bör följas upp årligen. 3.6 Avslutande av anställning Det skafinnasfastställd rutinförhantering av personal som avslutar sin anställning inom landstinget. Rutinen ska säkerställa att ansvarsuppgifter avlämnas och att åtkomsträttigheter upphör vid anställningens slut. Den ska även säkerställa att nycklar, tjänstekort och övrig utrustning återlämnas.

11 (41) 4 Personlig IT-användning Detta kapitel beskriver de riktlinjer som är direkt relaterade till den anställdes, och där med likställdas, hantering av information. Datorer, internetuppkoppling, telefoner och e-post är exempel på arbetsredskap som användaren erhåller inom ramen för sin anställning eller uppdrag. Det betyder att landstingets utrustning är till för sådant som hör till arbetet. Regler för hur landstinget ska tillhandahålla datorer och internet till kunder, finns under kapitel 9, Kommunikations- och nätverkssäkerhet. 4.1 Användande av internet Landstingets IT-resurser (datorer, nätverk och all annan kringutrustning) är avsedda att användas som arbetsredskap vid tjänsteutövning. Privat användning av internet är tillåten i begränsad omfattning och får inte påverka datorns eller nätverkens funktionalitet, prestanda eller tillgänglighet. Detsamma gäller privat användning av snabbmeddelande. Användaren ska agera etiskt korrekt och i enlighet med svensk lag. Det är inte tillåtet att: besöka webbsidor som innehåller våld, rasism, pornografi, brottslig verksamhet eller annat som av etiska skäl inte ska förekomma i SLL:s verksamhet ladda ner musik, filmer eller andra filer och program för privat bruk från internet till datorer och utrustning som tillhör SLL att utnyttja SLL:s internetuppkoppling eller system för skötande av bisyssla ansluta en dator till landstingets nätverk samtidigt som den är uppkopplad mot annat nätverk. använda integritetskänsliga eller värderande uppgifter om enskild person, eller personuppgifter i strid med personuppgiftslagen 4.2 E-post och snabbmeddelande När e-post skickas finns det alltid en risk att andra än den avsedda mottagaren kan ta del av meddelandet. Information som är klassad enligt säkerhetsnivå K2 eller högre, se avsnitt 5.2, ska skyddas med kryptering då den skickas internt eller externt i e-postsystemet eller via snabbmeddelande. Det är inte tillåtet att: skicka eller spara stötande information innehållande våld, pornografi, diskriminerande ord och bilder samt olika typer av agitation och liknande skicka personuppgifter i strid med personuppgiftslagen skicka eller vidarebefordra skräppost (s k spam) och kedjebrev skicka exekverbara programfiler (t.ex. exe) öppna exekverbara program, inkl komprimerade programfiler automatiskt vidarebefordra e-post från SLL:s e-postsystem till extern e-postadress då detta kan strida mot reglerna om offentlig handling uppge privat e-postadress på landstingets offentliga webbsidor eller i annan offentlig dokumentation. Privat användning av landstingets e-postsystem är tillåten i begränsad omfattning och får inte inverka på användarens arbete. Registrering av landstingets e-postadress i t.ex. diskussionsgrupper eller vid prenumerationer på information, får endast ske om det ingår i SLL:s verksamhet.

12 (41) Medarbetares e-postkonto kan stängas av vid misstanke om brott eller missbruk. Förvaltningschef eller VD ska fastställa instruktionerförinsyn i e-post i sådana situationer. All post, såväl traditionell som i elektronisk form, är att betrakta som allmän handling. Det innebär bland annat att materialet är offentligt. I vissa fall kan uppgifter vara sekretessbelagda och inte lämnas ut, se avsnitt 6.1 och 6.2. 4.3 Sociala medier Med sociala medier menas interaktiva medier på internet som t.ex. bloggar, Facebook, wikis och artikelkommentarer. Idag använder flera av landstingets verksamheter sociala medier för att snabbt och effektivt nå sina målgrupper och skapa dialog. Ingen känslig information får kommuniceras i sociala medier. Det är inte tillåtet att använda samma lösenord till sociala medier som till SLL:s interna system I övrigt gäller motsvarande regler somföre-post. Privat användning av sociala medier är tillåten i begränsad omfattning och får inte inverka på användarens arbete. Registrering av landstingets e-postadress i sociala medier får endast ske om det ingår i SLL:s verksamhet. 4.4 Användaridentiteter Användaridentiteter, lösenord och e-tjänstekort är personliga och får inte lånas ut. Vid misstanke om att ett lösenord kommit i fel händer eller ett e-tjänstekort borttappats måste det omgående rapporteras så att de kan spärras och bytas ut. Utrustning som handdatorer och mobiltelefoner ska förses med en PIN-kod eller ett lösenord som är svårt att gissa och bytas regelbundet. 4.5 Användning av IT-utrustning som datorer, mobiltelefoner och suriplattor SLL:s utrustning ska användas för arbetsrelaterade ändamål. Information ska så fort det är möjligt sparas på anvisad plats i nätverket. För att förhindra obehörig åtkomst till ITsystem ska användaren inte lämna arbetsstationen påloggad. Det är inte tillåtet att ansluta IT-utrustning som datorer, mobiltelefoner och surfplattor som ej ägs av SLL till landstingets nätverk. Det är heller inte tillåtet att installera och köra ickegodkänd mjukvara på utrustning som ägs av SLL. Synkronisering av kalendrar och e-post (s.k. pushmail eller activesync) får endast ske på utrustning som ägs av SLL. Vid ett tydligt behov kan undantag göras, men ett sådant beslut skaföregåsav en riskanalys och godkännas av närmaste chef, se avsnitt 9.5. Dessutom gäller att: Operativsystemet ska ha de senaste säkerhetsuppdateringarna Program (t.ex. MS Office) ska ha de senaste säkerhetsuppdateringarna Antivirusprogrammet ska vara aktiverat och uppdaterat med senaste antivirusdefinitionen Lokal brandvägg i datorn ska vara aktiverad och rätt inställd

13 (41) IT-utrustning som används inom SLL får inte användas för att inhämta, lagra eller sprida information som i någon form innebär en kränkning eller som kan uppfattas som ofördelaktigt för individ, folkgrupp eller annan grupp med anspelning på ålder, kön, handikapp, trosbekännelse, sexuell läggning, hudfärg eller etniskt ursprung. Vid extern lagring av landstingets information som är klassad med förhöjda krav på tillgänglighet, riktighet eller konfidentialitet, ska det säkerställas att de externa lagringstjänsterna kan uppfylla dem. Ett sådant beslut ska föregås av en riskanalys. 4.6 Arbete på annan plats Anslutning från annan plats till SLL:s nätverk ska ske genom en kommunikationslösning som är godkänd av SLL. Ett exempel på detta är distansarbete via SAM. Informationsägaren beslutar om känslig information får förvaras eller hanteras i miljöer utanför SLL:s skalskydd. Det krävs att en riskanalys genomförts och att säkerhetsåtgärder, som t.ex. kryptering, har vidtagits. Information på papper ska ha ett motsvarande skydd. Känslig information, klass K2 eller K3, ska krypteras på bärbara datorer, handdatorer, telefoner och annan typ av flyttbar media. 4.7 Telefoni Känslig information ska inte diskuteras på allmän plats eller där det finns risk för att någon kan ta del av vad som sägs. Detta gäller såväl samtal över telefon, mobiltelefon, telefonsvarare som SMS och MMS. Moderna mobiler är ofta små datorer som innehåller mycket information och ska därför hanteras på samma sätt som datorer. IT-support ska omedelbar kontaktas vid förlust av mobiltelefon. 4.8 Fax Fax är en mycket osäker kommunikationsform som ibland är nödvändig att använda. Det ska finnas lokala instruktioner för faxhantering med krav på avidentifiering av känslig information.

14 (41) 5 Klassificering av tillgångar och riskhantering Detta kapitel beskriver riktlinjer för riskhantering, d.v.s. processen som styr att risker kontinuerligt analyseras och tas om hand med lämpliga skyddsåtgärder. Riskanalys, som innebär att utifrån hotbilder identifiera och bedöma risker, är ett centralt område inom landstingets informationssäkerhetsarbete. Analyserna ska utmynna i att lämpliga åtgärder vidtas för att hantera de identifierade riskerna. 5.1 Förteckning över tillgångar Systematiskt riskhanteringsarbete förutsätter att viktiga informationstillgångar är identifierade och riktigt klassade. Det ska därför finnas en förteckning över viktiga tillgångar inom respektive förvaltning och bolag. Följande tillgångar ska finnas med i förteckningen: Programvaror Informationstillgångar, som databaser, datafiler och dokumentation Fysiska tillgångar Nyckelpersoner Avtal Immateriella tillgångar, som patent och varumärken Personuppgiftslagen och Patientdatalagen ställer härutöver legala krav på förteckningar och register inom landstinget. 5.2 Klassificering av information Klassificeringen av en tillgång sker med utgångspunkt i att information och informationsbehandling är skyddsvärda resurser. Tillgången tilldelas sedan en informationsklass som motsvarar dess betydelse för den aktuella verksamheten. Alla viktiga informationstillgångar inom landstinget ska klassificerasföratt identifiera tillgångar som på ett eller annat sätt ställer högre krav på säkerhet och skyddsnivå. Det är viktigt att detta arbete sker med omsorg och förnuft. Klassificeringen av respektive tillgång ska fungera som underlag för riskanalyser och prioritering av skyddsåtgärder, ska omprövas regelbundet, och vara ett naturligt inslag i det kontinuerliga säkerhetsarbetet. Rutiner för klassificering ska fastställas, där kraven på tillgänglighet, riktighet och konfidentialitet ska vara utgångspunkten: Konfidentialitet (rätt person): Riktighet (rätt information): Tillgänglighet (rätt tid och plats): Information får inte göras tillgänglig eller avslöjas på ett sådant sätt att den personliga integriteten eller sekretessen hotas. Informationen få inte förändras eller gå förlorad, av misstag, genom inverkan av obehörig eller på grund av tekniskt fel. Informationen ska kunna användas i förväntad utsträckning, inom önskad tid och på rätt plats.

15 (41) Nedanstående matris är den klassificeringsmodell som ska användas inom landstinget. Nivåbestämningen utgår från bedömd skada vid obehörig åtkomst, bristande riktighet och bristande tillgänglighet till informationstillgång. Nivå 1 innebär försumbar skada och nivå 3 innebär allvarlig skada. Mycket allvarlig skada om informationen röjs. Mycket allvarliga fel så att förtroendet för SLL minskar Mycket allvarlig tillgänglighetsstörning för hela verksamheten Endast behöriga får tillgång till informationen. Sekretess enligt offentlighets- och sekretesslagen. Information som omfattas av särskild lagstiftning, t.ex. Patientdatalagen * Skyddad identitet. T> Där SLL:s verksamhet skadas i stor utsträckning p.g.a. ej korrekt information. Kan medföra fysisk skada eller olycka som t ex journalsystem eller trafikstyrning Verksamhetskritiska avbrott som ger allvarlig störning i tillgängligheten. Stora produktionsbortfall. E-tjänster mot t ex allmänhet med höga krav på servicenivå. Skada om informationen röjs Information där utelämnande ska föregås av sekretessprövning Personuppgifter i allmänhet eller som enligt PuL är att betrakta som känsliga. Uppgifter av intern karaktär vilka endast egen personal bör ha tillgång till. Fel som kan medföra skada ^ SLL:s verksamhet kan störas. Omfattas av lagrum med riktighetskrav, t ex PuL IT-system eller information som ingår i myndighetsutövning Avbrott i IT-system/ information kan medföra skada ^ IT-system eller informationstillgång som ingår i kärnverksamhet eller myndighetsutövning. E-tjänster mot allmänhet och andra intressenter Ingen/försumbar skada Ingen/försumbar skada. Ingen/försumbar skada ^ Allmän och öppen information som utan skaderisk kan utlämnas till utomstående eller allmänheten. H> SLL:s verksamhet fungerar utan att justering av riktigheten genomförs direkt. * Verksamhetsberoendet är lågt och avbrott medför ringa eller ingen störning.

16 (41) 5*3 Märkning av information Märkning och säker hantering av klassificerad information är ett nyckelkrav vid informationsdelning. Märkning av information ska ske med Landstingets klassificeringssystem. Detta ska gälla för information i såväl fysisk som elektronisk form. 5.4 Riskbedömning och riskhantering Riskbedömning innebär att man på ett systematiskt sätt uppskattar identifierade riskers omfattning (riskanalys) och bedömer riskernas betydelse för verksamheten utifrån fastställda kriterier (riskvärdering). Riskanalyser stödjer verksamhetens säkerhetsarbete. De används som är ett verktyg för att på ett systematiskt sätt identifiera och analysera risker utifrån potentiella hot. Riskerna bedöms utifrån hur stor sannolikheten är att hoten realiseras och bedömda konsekvenser för verksamheten. Riskanalyserna ger underlag för att fastställa de skyddsåtgärder som behöver införas och ska utmynna i prioriterade åtgärdsplaner för att hantera riskerna. De skyddsåtgärder som väljs ska stå i proportion till de olika riskerna som verksamheten kan utsättas för. Värdet på det som ska skyddas ska sättas i relation till kostnaden för att införa och upprätthålla skyddsåtgärderna. Alla skyddsåtgärder ska dokumenteras på ett sådant sätt att det är möjligt att kontrollera att eftersträvad skyddsnivå uppnås. Bilden nedan beskriver processen för riskhantering och riskanalysens roll samt visar hur risker kan reduceras/elimineras med hjälp av skyddsåtgärder. Riskhantering ska vara en kontinuerlig process och riskanalyser bör genomföras i samband med förändringar i verksamheten, processerna och informationssystemen eller motsvarande. Alla verksamhetskritiska system ska analyseras årligen. Analyserna ska kompletteras med en uppföljning av att systemen följer interna och juridiska krav. 5.5 Hantering av informationssäkerhetsincidenter Med säkerhetsincident avses en händelse där någon aspekt av informationssäkerheten hotas t.ex. brott mot sekretess, integritetsförlust, driftavbrott eller brist på tillgång till information.

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss