NORDISKT SAMARBETE OM INFORMATIONSSÄKERHET I KOMMUNER, LANDSTING OCH REGIONER

Relevanta dokument
NORDISKT SAMARBETE OM INFORMATIONSSÄKERHET I KOMMUNER, REGIONER OCH LANDSTING

Informationssäkerhetspolicy för Ystads kommun F 17:01

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

E-strategi för Strömstads kommun

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

Informationssäkerhetspolicy för Ånge kommun

Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen

Offentlig sektor sackar efter i IT-användningen Svenska myndigheter behöver bli Smarta Myndigheter

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Informations- och IT-säkerhet i kommunal verksamhet

Nordens ledande företag gör kundresan digital. Hur undviker du att hamna på efterkälken?

Gemensamma grunder för samverkan och ledning vid samhällsstörningar. - Strategisk plan för implementering

CIO-barometern En undersökning bland CIO:er och IT-chefer i Sverige kring IT-infrastruktur. Om CIO-barometern

Informationssäkerhetspolicy

Migration to the cloud: roadmap. PART 1: Möjligheter och hinder för att migrera till molnet

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Välkommen till Det digitala Malmö

Informationssäkerhetspolicy KS/2018:260

Policy för informations- säkerhet och personuppgiftshantering

Allmänna Råd. Datainspektionen informerar Nr 3/2017

IT-säkerhet Externt och internt intrångstest

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Kommunikationspolicy för Botkyrka kommuns förvaltningsorganisation

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Myndigheten för samhällsskydd och beredskaps författningssamling

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Rätt informationssäkerhet är A&O vid införande av välfärdsteknologi. Jeanna Thorslund, Sveriges Kommuner och Landsting Thomas Nilsson, Certezza

Förslag till Myndigheten för samhällsskydd och beredskaps föreskrifter om kommuners och landstings risk- och sårbarhetsanalyser

Informationssäkerhet

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

1(7) Digitaliseringsstrategi. Styrdokument

IT-säkerhet Internt intrångstest

1 (5) Informationssäkerhetspolicy Informationssäkerhetspolicy. Ver 3.0

Informationssäkerhetspolicy

Ett eller flera dataskyddsombud?

Informationssäkerhet en förutsättning för effektiv digitalisering. Moderator: William Linnefell, Ekonomistyrningsverket

Ledningssystem för Informationssäkerhet

Policy för informationssäkerhet

Hur värnar kommuner digital säkerhet?

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun

Myndigheten för samhällsskydd och beredskap MSB Informationssäkerhet

IKT plan för utbildningsnämnden 2015

Informationssäkerhetspolicy

Fördelning av ansvar för informationssäkerhet. Version: 1. Beslutsinstans: Regiondirektören

Policy och strategi för informationssäkerhet

KVALITETSPOLICY. Fastställd av kommunstyrelsen 24 maj 2010 POLICY

Program Strategi Policy Riktlinje. Digitaliseringsstrategi

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Bilaga Från standard till komponent

Strategi för digitala kanaler

Örebro kommuns digitaliseringssatsning ställer höga krav på en välfungerande förvaltningsstyrning

Välkommen till enkäten!

ehälsomyndigheten Kristina Fridensköld & Stephen Dorch

Sammanfattning av riktlinjer

Myndigheten för samhällsskydd och beredskaps författningssamling

Ledningssystem för Informationssäkerhet

SÄKERHETSPOLICY FÖR VÄSTERVIKS KOMMUNKONCERN ANTAGEN AV KOMMUNFULLMÄKTIGE , 8

Dnr

Informationssäkerhet och offentlig upphandling

Håbo kommuns förtroendevalda revisorer

Juridik och informationssäkerhet

Yttrande över slutbetänkande Reboot omstart för den digitala förvaltningen (SOU 2017:114)

Verksamhetsplan Informationssäkerhet

Information om dataskyddsförordningen

Kommunstyrelsens förslag till antagande av reviderad informationssäkerhetspolicy Ärende 11 KS 2017/336

GDPR. General Data Protection Regulation

Informationssäkerhetspolicy. Linköpings kommun

Strategi Program Plan Policy» Riktlinjer Regler

Sveriges Företagshälsor och Svenskt Kvalitetsindex: Jobbhälsobarometern De anställdas syn på jobbet inom vård- och omsorgssektorn

Ställningstagande Digital identitetshantering

Stadsrevisionen. Projektplan. Hanteringen av personuppgifter i skolans it-system. goteborg.se/stadsrevisionen

Gräns för utkontraktering av skyddsvärd information

Informationssäkerhetspolicy S/~LA KOMMUN KOMMUNFULLMÄKTIGE. Bi l aga KS 2015 / 135/1 INFORMATIONSSÄKERHETSPOLICY FÖR SALA KOMMUN

ENHETENS NAMN OCH ANSVARIG CHEF:

Kartlägg, registrera & administrera behandling av personuppgifter

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

Rapport Informationsklassning och riskanalys Mobila enheter Umeå Fritid

Analys av Öppna Jämförelser gällande Social barn- och ungdomsvård

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Svar på revisionsskrivelse informationssäkerhet

Informationssäkerhet, Linköpings kommun

Smarta företag

Kvalitet och verksamhetsutveckling

YTTRANDE 1 (5) Riskarkivets föreskrifter anger att överenskommelse eller avtal ska upprättas när handlingar hanteras av annan än myndigheten.

Bilaga 2 till Digitaliseringen av det offentliga Sverige en uppföljning (ESV 2018:31)

Medborgardialog i Gnesta. Gnesta stadens lugn och landets puls

En virtuell expert som hjälper dig med dataskyddsjuridik

PM DANDERYDS KOMMUN Kommunledningskontoret Johan Haesert KS 2008/0177. Översyn av IT- och telefonidrift - lägesrapport.

Säkra medarbetarnas kompetens inom GDPR genom e-learning

Sårbarhetsanalyser. för kommuner. - numera en nödvändighet

Enkät om IT-stress 600 yrkesarbetande svenskar om psykisk belastning på grund av IT. Genomförd oktober 2011.

Ett verktyg för att utvärdera & åtgärda regelefterlevnad av GDPR

FÖRFATTNINGSSAMLING Flik Säkerhetspolicy för Vingåkers kommun

15648/17 mh/sk 1 DGD 1C

Mjölby Kommun PROTOKOLLSUTDRAG. Kommunstyrelsens åtaganden med mått för år 2019 Sammanfattning

Båstads kommuns. meda rbeta rund ersök ning en sammanfattning

Policy och riktlinjer för användning av informationsteknik inom Göteborgs Stad

Transkript:

NORDISKT SAMARBETE OM INFORMATIONSSÄKERHET I KOMMUNER, LANDSTING OCH REGIONER PROMEMORIA OM INFORMATIONSSÄKERHET OCH DIGITALISERING 2015 2008 2015 Promemorian är utarbetad för: Augusti 2015

INLEDNING Digitalisering i form av självbetjäningslösningar för medborgare och verksamheter, nya möjligheter till virtuell kommunikation med omvärlden, mobila och flexibla arbetsplatser och användningen av sociala medier i yrkesmässiga och privata sammanhang betyder att databehandlingen flyttas från stora system och manuella processer till nya digitala plattformar. Riskbilden för den kommunala informationsanvändningen framstår på flera områden som mer omfattande och komplex än förut: Datas pålitlighet och trovärdighet kontrolleras oftare genom system än av människor. Data- och systemtillgänglighet är i fokus när åtkomsten till information sker genom system. Data kan vara belägna på många olika IT-plattformar i kommunen som oftast endast delvis är under kommunens kontroll. Informationssäkerhet är ett område som får stor uppmärksamhet bland allmänheten: En kommande EU-förordning skärper kraven på behandling av känsliga personuppgifter och fastställer bland annat krav på ansvarsskyldighet. En rad händelser har visat hur sårbara IT-system är för kriminella handlingar samt interna fel och internt missbruk. God praxis för informationssäkerhet beskrivs i standarden ISO 27001 som tar utgångspunkt i en närmare förbindelse mellan förvaltningsorganisationen och den nödvändiga nivån av informationssäkerhet, men utan att föreskriva konkreta minimiinsatser. SKL rekommenderar att kommunerna använder ISO-standarden i syfte att få en gemensam hög säkerhetsstandard inom den offentliga sektorn. Detta innebär en rad förväntningar på organisationens kompetens och förmåga att arbeta med informationssäkerhet gällande den övre ledningens ansvar för mål och uppföljning av organisationens informationssäkerhet förvaltningsorganisationens ansvar för att organisera en säker IT-användning. Promemorian visar hur långt svenska kommuner har kommit inom dessa områden och hur ramverket för informationssäkert har organiserats. Undersökningens frågetema är utformat så att det avspeglar organisationens samlade fokus på informationssäkerhet från den övre ledningen till det konkreta arbetet. Dessutom har frågetemat fokus på kommunernas användning av IT och de riskanalyser som utförs. Undersökningen har kvar frågor som knyter tillbaka till 2012 och tidigare, men strävar även efter att hitta trender i IT-användning och initiativ till säkrare alternativ. Tidigast 2017 planeras en rad bestämmelser om skydd av personuppgifter att träda i kraft i enlighet med EU:s personuppgiftsförordning. Undersökningen innehåller en genomgång av tre av de fyra huvudområdena i förordningen. För dem som vill ha full täckning av det fjärde området finns det möjlighet att svara på extrafrågor. I KOMMUNER, LANDSTING OCH REGIONER 1

Slutligen innehåller undersökningen en rad frågor om upplevda händelser och följderna av dessa. Förhållandet mellan användning av system och information i verksamhetssyfte och kommunernas bedömning av informationssäkerhet visas i modellen nedan. Denna promemoria har utformats med svenska kommuner i åtanke. I januari februari 2015 erbjöds kommuner och landsting att svara på frågorna: Två av tre kommuner svarade på undersökningen vilket motsvarar nästan 70 %. 16 av 21 landsting deltog. I Danmark finns en motsvarande rapport, framtagen av PRIMO Danmark (http://www.primodanmark.dk/) och KIT@ (Foreningen af Kommunale it-chefer), http://www.komdir.dk/nyheder/news_1.aspx. Kommuner och landsting har tillgång till självskattningsverktyget NordSec som användes för undersökningen och de organisationer som inte deltog kan även under 2016 svara på frågorna, se sin egen status och jämföra sig med övriga svenska och nordiska organisationer. I KOMMUNER, LANDSTING OCH REGIONER 2

INFORMATIONSSÄKERHET OCH DIGITALISERING Det samlade arbetet NordSecs undersökning ger möjlighet att sätta den yrkesmässiga användningen av IT för tjänster riktade till medborgare eller företag i förhållande till säkerhetsinitiativen. De senaste åren har kommunerna fokuserat på att införa digitala plattformar och medborgarorienterade tjänster, och diagrammet visar en tydlig förflyttning mot en större grad digitalisering sedan 2012. Under samma period kan man se att uppmärksamheten på informationssäkerhet har sjunkit för den största andelen kommuner. Tre av fyra kommuner utför fortfarande ett begränsat arbete inom detta område. I KOMMUNER, LANDSTING OCH REGIONER 3

Resursinsatser Deltagarna tillfrågades om hur många personresurser som arbetar med informationssäkerhet. Resultatet visar att kommuner med färre än 3 000 medarbetare har svårt att hålla fast vid samma nivå som 2012. Där emot har de större kommunerna kunnat öka resursinsatserna. Digitalisering I samband med omläggningen av medborgartjänster från personalstyrda processer till digitaliserade och automatiserade tjänster som finns tillgängliga via internet ändras riskbilden på flera områden. Hot mot tjänsternas tillgänglighet och informationens konfidentialitet samt konsekvenserna av överträdelse skiftar alla karaktär vid fel, missbruk m.m. Antalet kommuner som utför risk- och konsekvensanalyser för digitala tjänster har ökat 2014 i jämförelse med 2012. 60 % av kommunerna har inte påbörjat detta. I KOMMUNER, LANDSTING OCH REGIONER 4

I och med omläggningen till digitala tjänster ligger kraven inte uteslutande på medarbetares och systems tillgänglighet utan även på medborgares och verksamheters tillgång till digitala tjänster. Siffrorna för riskhantering visar att en liten del av kommunerna har fokuserat på tillgången till tjänster. Två av tre kommuner har inga garantier för att digitala tjänster ska vara tillgängliga om det inträffar större driftproblem. Kommunerna är i ökande omfattning uppmärksamma på att kritiska processer måste kunna hållas igång om det uppstår problem med tillgång till IT eller andra kritiska resurser. Var tredje kommun har en Business Continuity Plan, dvs. en plan för hur tjänster ska kunna utföras om kritiska resurser inte finns tillgängliga. En fungerade Business Continuity Plan förutsätter lokala handlingsplaner för enskilda förvaltningsområden: en fjärdedel av kommunerna har sådana på plats. Av de kommuner som har en beredskap arbetar var tredje med en regelbunden utbildning och kontroll av beredskapen. I KOMMUNER, LANDSTING OCH REGIONER 5

Digital dialog 2012 utnyttjade en del av kommunerna informationsteknik till en digital dialog med medborgarna. Digital dialog omfattar bland annat användning av de sociala nätverkens chattfunktioner, information via Facebook och likande. Denna trend har fortsatt under 2014 där varannan kommun arbetar med detta. Var femte kommun arbetar i en viss omfattning med användning av ljud/videoprogram, som till exempel Skype, som en plattform för dialog med medborgare och verksamheter. Antalet är oförändrat från 2012. Ny teknik Under de senaste åren har det skett en betydlig spridning av den utrustning som används tillsammans med informationssystemen (mobila arbetsplatser, telefoner osv.). Denna trend förstärks av att medarbetare i allt större omfattning efterfrågar möjligheten att använda sin egen utrustning på organisationernas nät både privat och för uppgifter. I undersökningen för 2012 svarade 7 kommuner att de i en viss omfattning tillät medarbetare att använda egen utrustning. 2014 tillåter 2/3 det. I KOMMUNER, LANDSTING OCH REGIONER 6

Det är främst för tillgång till e-postsystemet och på Intranätet som de anställda har möjlighet att använda sin egen utrustning. 7 % av kommunerna har get tillgång till applikationer med känsliga uppgifter. I bland de kommuner som tillåter att medarbetare använder egen utrustning till kommunens nät och system har fem riktlinjer för detta och tio har gjort en riskanalys. Ingen av de kommuner som tillåter att medarbetare har tillgång till känsliga uppgifter från egen utrustning har riktlinjer för användningen eller har utfört en riskanalys på området. Användning av molntjänster Tillgången till molnbaserade tjänster är uppdelade i dedikerade tjänster (Private Cloud) och offentligt tillgängliga tjänster. Som framgår av diagrammet är det enskilda kommuner som använder dedikerade molntjänster oavsett om det är inom områden med känsliga uppgifter eller ej. När det gäller användningen av offentliga molnlösningar framgår att kommunerna till viss del använder dem för områden med icke-känsliga uppgifter. I KOMMUNER, LANDSTING OCH REGIONER 7

Det finns ett antal rekommendationer för säkerhetshantering i samband med användningen av molnlösningar. Det är avgörande att organisationer tar ställning till de risker som är kopplade till de molnbaserade tjänsterna och man kan se att långt flera kommuner arbetar med detta. Kompetenskrav för organisationen I och med användningen av digitala tjänster och digitala plattformar e-post, digital dialog, m.m. möts medarbetare av andra och annorlunda utmaningar än förr. Det framgår att 4 av 10 kommuner har slagit fast ett formellt ansvar inom organisationen för att medarbetare ska ha tillräcklig och relevant kompetens för säker användning och att knappt hälften inte har arbetat med detta. I KOMMUNER, LANDSTING OCH REGIONER 8

Var fjärde kommun har upprättat ett ramverk för genomförandet av personalutbildning en ökning jämfört med 2012 då det var femte kommun hade upprättat ett. Mer än hälften av kommunerna färre än 2012 arbetar inte med detta område. 4 % av kommunerna har avsatt medel till initiativ som kan göra medarbetarna uppmärksammare på säker IT-användning 90 % av kommunerna har inte tagit några initiativ på detta område. Undersökningen 2012 visade att 5 % av de deltagande kommunerna genomförde mätningar gällande om medarbetarna hade tillräcklig kompetens för säker användning av system och information. Dessa siffror är oförändrade 2014 och 9 av 10 kommuner har inte arbetat med detta. Informationssäkerhet inom organisationen Införandet av digitala tjänster och användningen av digitala plattformar genomförs i nära samarbete med kommunernas förvaltningsområden. Förändringsprocesserna och den framtida hanteringen är alltså i hög grad kopplade till förvaltningsområdenas uppgifter och ansvar. I KOMMUNER, LANDSTING OCH REGIONER 9

Varannan kommun arbetar med en faktisk strategi för informationssäkerhet. Förankringen av informationssäkerhetsarbetet inom organisationen omfattar i var fjärde kommun etableringen av styrgrupper som har samlad fokus på området en ökning i förhållande till 2012. I KOMMUNER, LANDSTING OCH REGIONER 10

Informationssäkerhet som ledningsområde Ledningens synliga stöd för organisationens informationssäkerhetsarbete framhävs ofta som en avgörande faktor för god praxis. Detta är fallet i fyra av tio kommuner en minskande andel i jämförelse med 2012. Siffrorna ser annorlunda ut för om ledningens stöd för informationssäkerhetsarbete följs upp av regelbunden och systematisk statusrapportering till ledningen. Under 10 % av kommunerna arbetar systematiskt med detta. I KOMMUNER, LANDSTING OCH REGIONER 11

Riskhanteringsunderlag är ett av de områden där ledningen kan ha inflytande över säkerhetsarbetet. Detta inflytande kan utövas genom att säkerställa att de metoder som används är välkända och liknar organisationens övriga riskhantering samt att de risker som identifieras övervägs enhetligt. Mindre än hälften av kommunerna har genomfört en riskanalys för IT-användning som stämmer överens med organisationens övriga riskhantering, och nio av tio kommuner har inte utarbetat kriterier för vad som är acceptabla risker. För de kommuner som inte har samlad fokus på risker kan riskhanteringen av ITanvändning bli avskuren från resten av riskhanteringen i organisationen. I KOMMUNER, LANDSTING OCH REGIONER 12

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss