Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Relevanta dokument
Informationssäkerhetspolicy för Ånge kommun

Informationssäkerhetspolicy

Policy för informations- säkerhet och personuppgiftshantering

Informationssäkerhetspolicy. Linköpings kommun

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Policy för informationssäkerhet

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Remissutgåva. Program för informationssäkerhet

Informationssäkerhetspolicy

Informationssäkerhetspolicy KS/2018:260

1(6) Informationssäkerhetspolicy. Styrdokument

Kommunal författningssamling för Smedjebackens kommun. Informationssäkerhetspolicy. 97 Dnr 2016/00447

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Informationssäkerhetspolicy för Ystads kommun F 17:01

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Informationssäkerhetspolicy S/~LA KOMMUN KOMMUNFULLMÄKTIGE. Bi l aga KS 2015 / 135/1 INFORMATIONSSÄKERHETSPOLICY FÖR SALA KOMMUN

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

1 INLEDNING ALLMÄNT OM INFORMATIONSSÄKERHET MÃL FÖRKOMMUNENS lnformationssäkerhetsarbete ROLLER OCH ANSVAR...

Informationssäkerhetspolicy för Katrineholms kommun

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Informationssäkerhetsinstruktion för användare i Borlänge kommunkoncern

Sammanfattning av riktlinjer

Informationssäkerhetspolicy

Koncernkontoret Enheten för säkerhet och intern miljöledning

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Fördelning av ansvar för informationssäkerhet. Version: 1. Beslutsinstans: Regiondirektören

Policy för informationssäkerhet och dataskydd 2018

Regler och instruktioner för verksamheten

Riktlinjer för Informationssäkerhet Falkenbergs Kommun Kommunledningskontoret

Informationssäkerhetsinstruktion: Användare

Informationssäkerhetspolicy

Informationsklassning och systemsäkerhetsanalys en guide

POLICY INFORMATIONSSÄKERHET

Informationssäkerhet - Informationssäkerhetspolicy

I n fo r m a ti o n ssä k e r h e t

Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13

Informationssäkerhetspolicy

Policy och strategi för informationssäkerhet

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

Dnr

Verksamhetsdriven informationssäkerhet genom informationsklassning och målgruppsanpassade riktlinjer

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

IT-Säkerhetsinstruktion: Förvaltning

SÅ HÄR GÖR VI I NACKA

Informationssäkerhetspolicy IT (0:0:0)

Riktlinjer för IT och informationssäkerhet - förvaltning

Informationssäkerhet, ledningssystemet i kortform

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

Bilaga 1 - Handledning i informationssäkerhet

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

SOLLENTUNA FÖRFATTNINGSSAMLING

IT-säkerhetsinstruktion

Säkerhet i fokus. Säkerhet i fokus

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Informationssäkerhetsanvisning

Hantera nya ENKLA GRUNDER I DATASKYDD. dataskyddsförordningen MAJ. Den nya dataskyddsförordningen träder i kraft.

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

DOKUMENTNAMN: IT-användarpolicy SKAPAT DEN: TYP AV DOKUMENT: Policy SENAST ÄNDRAT DEN:

Bilaga 3 Säkerhet Dnr: /

IT-säkerhetsinstruktion Förvaltning

Handledning i informationssäkerhet Version 2.0

Informationssäkerhetsinstruktion Mora, Orsa och Älvdalens kommuner

Verksamhetsplan Informationssäkerhet

Informationssäkerhet, Linköpings kommun

Administrativ säkerhet

Revidering av riktlinjer för Informationssäkerhet vid Högskolan i Skövde

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

Riktlinjer. Informationssäkerhet. Hultsfreds kommun

I Central förvaltning Administrativ enhet

Dnr UFV 2017/93. Informationssäkerhet. Riktlinjer för säkerhetsarbetet vid Uppsala universitet. Fastställda av Universitetsdirektören

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad:

IT-policy. Förvaltningen Björn Sandahl, förvaltningschef

Kravställning på e-arkiv från informationssäkerhetsperspektiv

IT-plan för Söderköpings kommun

IT-regler Användare BAS BAS-säkerhet Gislaveds kommun

VGR-RIKTLINJE FÖR ÅTKOMST TILL INFORMATION

Policy för användande av IT

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun

Vägledande råd och bestämmelser för Användare av ITsystem inom Timrå kommun

Lösenordsregelverk för Karolinska Institutet

Riktlinjer informationssäkerhet

Informations- säkerhet

Kommunstyrelsens förslag till antagande av reviderad informationssäkerhetspolicy Ärende 11 KS 2017/336

Lokal informationssäkerhetspolicy, lokala informationssäkerhetsriktlinjer och anvisningar

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Informationssäkerhetspolicy

Ansvarsförbindelse för Stockholms Läns Landstings Elektroniska Katalog (EK)

Hur värnar kommuner digital säkerhet?

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

Informationssäkerhet och earkiv Rimforsa 14 april 2016

Juridik och informationssäkerhet

5 säkerhetsaspekter att tänka på vid skapandet av din digitala assistent

GDPR POLICY Behandling av personuppgifter

Transkript:

Informationssäkerhet Hur skall jag som chef hantera detta?? Vad är det??

Vad är informationssäkerhet? Informationssäkerhet handlar om att skapa och upprätthålla ett lämpligt skydd av information. Information finns i många former; text, ljud, bilder, film o s v. IT-säkerhet handlar i första hand om ITbaserad informationshantering. Informationssäkerhet handlar om all information oavsett form. Informationssäkerhet skall gälla oavsett hur informationen kommuniceras, bearbetas och lagras.

Informationssäkerhet innebär en strävan att skydda all information så att: Endast behöriga personer får ta del av informationen (konfidentialitet), o Får alla se den eller bara någon/några, öppettider bibliotek patientjournal Informationen går att lita på, att den är korrekt och inte manipulerad (riktighet), o Kan alla skriva och ändra eller bara någon/några, att ändra bibliotekets öppettider kräver inte samma säkerhet som patientjournal (olika inloggning/siths-kort) Informationen finns tillgänglig när den behövs (tillgänglighet) o Att information är åtkomlig och användbar av behörig. Olika krav öppettider, patientjournal Att hanteringen av informationen i väsentliga delar är spårbar (spårbarhet). o Skall gå att se vem som gjort vad i systemen. Ändrat öppettider eller ändrat i journal. Konfidentialitet Riktighet Tillgänglighet Spårbarhet Informationssäkerhet Teknisk säkerhet Administrativ säkerhet

Teknisk säkerhet Administrativ säkerhet IT-säkerhet Hur säkerheten hanteras i olika ITresurser, datasystem, hård och mjukvara. Även hur information loggas och kan spåras. Brandväggar, virusprogram Dessa två faktorer går hand i hand. Idag har den tekniska handen blivit starkare och därför ger man sig på oss vanliga arbetare för att komma åt vår information. Här måste vi alla bli medvetna om vilka risker som finns och hur man bör skydda sig. Samtidigt måste vi lära oss att IT-kontoret inte kan lösa allt Grå och svart listad Utbildning!!?? Alla vi användare av ITsystemen. Hur och när tänker jag på informationssäkerhet i vardagen? Vi måste alla bli bättre. Lösenord, mobiler, lagring, privat jobb IT-kontoret löser inte detta

Finns lite dokumentation kring informationssäkerhet som styr Varför och vilka roller - strategisk nivå Vad skall göras - taktisk nivå Policy Riktlinje Hur och vem gör vad - operativ nivå Instruktioner, rutiner och anvisningar Policy, ger svar på varför vi behöver informationssäkerhet. Pekar ut roller och ansvar Riktlinjer, ger svar på vad som behöver göras för att efterleva policyn Rutiner & Instruktioner, hur och vem gäller det Vilka rutiner, anvisningar och säkerhetslösningar skall utformas och tillämpas

Policy Roller Riktlinje Instruktioner, rutiner och anvisningar

Din roll o Kommunfullmäktige uttrycker sin viljeinriktning i denna policy. o Kommunstyrelsen har det yttersta ansvaret för kommunens informationssäkerhetsarbete. o Kommunchef ansvarar att tillse att kvalitets- och informationssäkerhetsarbetet bedrivs så effektivt som möjligt, genom att visa ett tydligt stöd och för-dela resurser. Kommunchefen (eller förvaltningschef) ansvarar för att systemägare utses. o Varje chef ansvarar för att det finns rutiner som säkerställer att underställda kan efterleva kommunens regelverk för informationssäkerhet. o Informationssäkerhetssamordnaren har det övergripande och strategiska ansvaret att leda, utveckla och samordna informationssäkerhetsarbetet. o Informationsägarna har ansvaret för informationen. Informationsägaren avgör vilken information som får hanteras, hur den hanteras (klassas) och av vem. All information ska ha en informationsägare.

Din roll Systemägarna har ansvar för respektive system och dess användning. System ska uppfylla informationssäkerhetskraven i förhållande till verksamhetens behov, legala krav och säkerhetskrav. Systemen ska stödja informationens klassificering. o Alla som hanterar informationstillgångar har ett ansvar för att informationssäkerheten upprätthålls. o Dataskyddsombud (tidigare personuppgiftsombud) enligt Dataskyddsförordningen. Kommunen har skyldighet att tillsätta ett dataskyddsombud med sak-kunskap om lagstiftning och praxis om dataskydd. Rollen skall vara självständig, rådgivande och övervakande i att kommunen följer reglerna i Data-skyddsförordningen.

Policy Riktlinje Vad skall göras? 18 kapitel tung text Instruktioner, rutiner och anvisningar

Kapitel 1 6 Här tar man upp det som rör vår vardag. Kapitel 7 9 Ledningens ansvar Före, under och efter anställning Disciplinära åtgärder Hantering av information Hantering av utrustning Klassning av information Hantering av lagringsmedia Mobil utrustning PIN-koder, SITHS-kort Inloggningsuppgifter Lösenordshantering Kapitel 10 Kapitel 11 17 Kapitel 18 Dessa kapitel beskriver övergripande anledningen till att riktlinjerna finns, olika termer och definitioner, lagar som styr samt vilka roller som finns och vilket ansvar dessa har. Dessa kapitel är de viktiga och beskriver praktiskt hur vi alla medarbetare och chefer skall hantera informationssäkerhet. Här pekar man ut att alla har ett stort ansvar, som medarbetare har jag ett egenansvar och som chef har jag ett ansvar över mina anställda för att informationssäkerheten skall bibehållas. Kapitlet beskriver kryptering och vad som skall beaktas vid detta. Dessa kapitel riktar främst in sig på IT-säkerhet. Fysisk placering av server, driftsäkerhet, skydd mot avlyssning och intrång, säkerhetskrav vid utveckling av system. De handlar också om upphandling om IT-tjänster hur man hanterar olika informationsincidenter Detta kapitel beskriver hur kommunen skall efterleva riktlinjerna.

Policy Riktlinje Instruktioner, rutiner och anvisningar Hur detta skall nå ut till alla chefer och medarbetare.

Teknisk säkerhet Administrativ säkerhet Utbildning Mycket fokus har legat och ligger på den tekniska delen. Jag tror att de flesta - precis som jag tror att IT-avdelningen löser det mesta vad gäller hot och risker. Brandväggar, virusskydd, återskapa dokument o s v Vi måste försöka höja medvetenheten i vardagen hos våra medarbetare. Hur? Utbildning? chefer anställda Utbildningen måste vara givande, intressant och rolig annars blir den inte av. Inte tjocka buntar med papper som skall läsas Som chef kanske du måste vara drivande Hur skall detta gå till? Riktlinjer DISA alla anställda??

MSB har tagit fram en datorstödd informationssäkerhetsutbildning för användare (DISA), kanske är detta lösningen Utbildningen vänder sig till alla på en arbetsplats och kan användas som introduktion för nyanställda, vikarier, konsulter och annan inhyrd personal. DISA kombinerar film, text och frågor som berör de olika områdena. Utbildningen tar ca 30 minuter att genomföra. DISA innehåller tio olika avsnitt som berör olika områden inom informationssäkerhet: Lösenord Mobila enheter Skadlig kod Sociala medier E-post Säkerhetskopiering Spårbarhet och loggning Smarta telefoner Surfplattor Säkert beteende Utbildning Att koppla denna utbildning till våra riktlinjer kommer att vara en mycket bra väg att gå för att höja lägstanivån hos chefer och anställda vad gäller informationssäkerhet.

Exempel på påbörjat utbildningsmaterial Avsnitt 1: Lösenord Användar-ID och Lösenord används för att skydda information som kan vara intern eller konfidentiell. Hultsfreds kommun använder både användar-id och lösenord för att logga in i olika IT-system. Lösenord är personliga och får inte delas med andra. Om obehöriga kommer över ditt lösenord kan den personen göra saker i ditt namn. Tänk på att lösenordet i sig är konfidentiell information och användar-id är intern information. Det är viktigt att du som användare följer nedanstående regler och anvisningar. Ett lösenord ska vara starkt, vilket innebär att det inte skall kunna förknippas med dig som person eller lätt att gissa (namn, ålder, intresse, barn). Lösenordet skall också ha en viss längd och komplexitet. I Hultsfreds kommuns riktlinjer för informationssäkerhet går att läsa följande: 9.3.1 Användning av inloggningsuppgifter Hantering av inloggningsuppgifter som t.ex. lösenord, PIN-koder och SITHS-kort, ska ske på ett sådant sätt att uppgifterna inte röjs. Om dessa uppgifter röjs ska detta omgående anmälas och spärras. 9.4.2 Säkra in- och utloggningsrutiner Regler för att logga in och ut ska finnas för att minimera risken för obehörig åtkomst. Information med hög konfidentialitet som t.ex. känsliga personuppgifter bör skyddas med stark autentisering eller så kallad tvåfaktorsinloggning. Om åtkomst till känsliga personuppgifter sker över öppet nät ska stark autentisering användas. Tips för en säker lösenordshantering Hur skapar man ett starkt lösenord som går att komma ihåg? o Tänk ut en mening (som inte direkt går att förknippa med dig) o Ta första bokstaven i varje ord i meningen och skapa ett lösenord. Försök att få med stora och små bokstäver samt siffror och något specialtecken. o Mening: I min tyska bil från -15 finns en hundbur o Lösenord: Imtbf-15feh o Minst åtta tecken långt lösenordet ska inte gå att förknippa med dig. o Namn på barn, hund, man o Siffror i personnr o Plats där du bor o Yrke, idrottsklubb eller bilmärke Lösenord ska inte vara synliga, se lösenordet som en värdehandling och personligt. Inga lappar med lösenord under datorn och dela inte lösenord med en kollega. DISA Datorstödd informationssäkerhetsutbildning för användare Nu är du redo att göra första avsnittet i DISA på datorn.

Datorstödd informationssäkerhetsutbildning för användare DISA https://disa.msb.se/

Sammanfattning Ansvaret för informationssäkerhet följer det ordinarie verksamhetsansvaret från kommunledning ner till alla medarbetare. Den som är ansvarig för en viss verksamhet är också ansvarig för informationssäkerheten inom denna verksamhet (avdelning, enhet, process, projekt)

IT-jätten Apple är mån om att hålla sina planer hemliga, men med tusentals anställda kan det vara svårt att lägga locket på. Apple har t ex skickat ut ett internt PM till sina anställda där de uppmanas att inte läcka intern information ett meddelande som ironiskt nog sedan läckte ut. Mejl med länk där det slutade med att kommunen blev grålistad.

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss