Informationssäkerhet, säker identifikation och KLASSA. Webbseminarium

Relevanta dokument
Säker roll- och behörighetsidentifikation. Ulf Palmgren, SKL Webbseminarium

Informationssäkerhet och SKLs verktyg KLASSA. Avdelningen för Digitalisering Sektionen för Informationshantering och Digital Arbetsmiljö (IDA)

Rätt informationssäkerhet är A&O vid införande av välfärdsteknologi. Jeanna Thorslund, Sveriges Kommuner och Landsting Thomas Nilsson, Certezza

Riktlinjer för dataskydd

Informationsklassning och systemsäkerhetsanalys en guide

Strukturerat informationssäkerhetsarbete

Roller för information behöver också fastställas, använd gärna nedanstående roller som kommer från SKL och deras verktyg

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Juridik och informationssäkerhet

Ledningens informationssäkerhet

Policy för informations- säkerhet och personuppgiftshantering

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Riktlinjer för IT och informationssäkerhet - förvaltning

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Informationssäkerhetspolicy KS/2018:260

Informationssäkerhetspolicy

Tjänstelegitimation och privata aktörer i offentlig regi. E-legitimationsdagen :15 14:45 Ulf Palmgren

RIKTLINJER FÖR HANTERING AV PERSONUPPGIFTSINCIDENT

Datainspektionens granskningar av integritetsskyddet inom vård och omsorg. Erik Janzon Datainspektionen

Pratpunkter. Siths och Efos godkänd som Svensk e-legitimation Sambi Förtida utbyte av kort Prisbild för Efos.

Tillgång till patientuppgifter - krav på spärrar och aktiva val. Katja Isberg Amnäs Magnus Bergström Datainspektionen

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Koncernkontoret Enheten för säkerhet och intern miljöledning

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Verksamhetsplan Informationssäkerhet

Informationssäkerhet med logghantering och åtkomstkontroll av hälso- och sjukvårdsjournaler i Vodok och nationell patientöversikt (NPÖ)

DATASKYDD (GDPR) Del 4: Kärnverksamheterna

1(6) Informationssäkerhetspolicy. Styrdokument

Identifieringstjänst SITHS. - Beskrivning och tjänstespecifika villkor

Nitha IT-stöd för händelseanalys. Beskrivning och tjänstespecifika villkor

Vägledning för upphandling av välfärdsteknik

Informationssäkerhetspolicy inom Stockholms läns landsting

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

Informationssäkerhet och earkiv Rimforsa 14 april 2016

Tillsyn - äldreomsorg

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Informationskartläggning och Säkerhetsklassning

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Infrastruktur med möjligheter

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Guide för säker behörighetshantering

Introduktion. September 2018

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Sentrion och GDPR Information och rekommendationer

Svensk författningssamling

ehälsomyndigheten Kristina Fridensköld & Stephen Dorch

Varför Sambi, för vad och vem, samexistens med andra lösningar, svensk e-leg, SITHS, HSA, Skolfederation et cetera (Ulf Palmgren, SKL, CeSam)

Riktlinjer för logghantering, kontroll och åtkomst enligt Patientdatalagen (PDL) och SOSFS 2008:14 (Vodok och NPÖ)

Personuppgiftsbiträdesavtal

PERSONUPPGIFTSBITRÄDESAVTAL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

I lagens namn Så harmoniserar vi juridikens krav med verksamhetens behov

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

BILAGA 3 Tillitsramverk Version: 1.2

Patientdatalagen (PdL) och Informationssäkerhet

I de fall du är direkt kund hos NS är NS den personuppgiftsansvarige.

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Myndigheten för samhällsskydd och beredskaps författningssamling

Policy för informationssäkerhet

Informationssäkerhetspolicy för Ystads kommun F 17:01

Informationssäkerhet i patientjournalen

Fördjupning: Juridik vid införande av välfärdsteknik. Jeanna Thorslund, Jurist och Samordnare Informationssäkerhet, SKL Manólis Nymark, Jurist

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Säkerhet vid behandling av personuppgifter i forskning

Verktygsstöd för Informationssäkerhet KLASSA

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Agenda Bakgrunden till Sambi Vad Sambi är Krav som ställs på medlemmarna Erfarenheter från pågående arbeten

Behandling av personuppgifter vid Göteborgs universitet

Sekretess, lagar och datormiljö

Logghantering för hälso- och sjukvårdsjournaler

Svensk e-legitimation

Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

Dataintrång - åtgärder vid misstanke om olovlig åtkomst

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Bilaga 3 Säkerhet Dnr: /

Informationssäkerhet en förutsättning för effektiv digitalisering. Moderator: William Linnefell, Ekonomistyrningsverket

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Regelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga D. Personuppgiftsbiträdesavtal. Version: 2.

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Policy för informationssäkerhet

ORGANISATIONSNUMMER: ADRESS: NORDENSKIÖLDSGATAN 14, GÖTEBORG

Mobilt Efos och ny metod för stark autentisering

Myndigheten för samhällsskydd och beredskaps författningssamling

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

RIKTLINJE FÖR JOURNALSYSTEM LOGGKONTROLLER I PROCAPITA

Checklista. För åtkomst till Svevac

ehälsomyndighetens nya säkerhetskrav

Riktlinjer informationssäkerhetsklassning

I n fo r m a ti o n ssä k e r h e t

VGR-RIKTLINJE FÖR ÅTKOMST TILL INFORMATION

Svevac - Beskrivning och tjänstespecifika villkor

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Transkript:

Informationssäkerhet, säker identifikation och KLASSA Webbseminarium 181114

Elisabeth Miles, Örebro kommun Ulrika Stefansson, Västerås stad

Lagkrav på informationssäkerhet? LSS Säkerhetsskydd Patientdata GDPR Dataskydd NIS OSL

Vad är informationssäkerhet? Informations -säkerhet Flytta fokus från IT till verksamhet! Administrativ säkerhet Teknisk säkerhet Rutiner Riktlinjer Uppföljning Ansvar Fysisk säkerhet IT-säkerhet Datasäkerhet Kommunikationssäkerhet Informationssäkerhet SIS-standard ISO 27000-serien En organisationsresa från datahallen till ledningsrummet

Informationssäkerhet på alla nivåer Ledningssystem för informationssäkerhet, LIS Styrdokument Strategisk kommunnivå Anpassade rutiner Klassning Instruktioner medarbetare Socialtjänst Skola m.m. IT-säkerhet Säkerhetsnivåer Krav på leverantörer IT-drift Leverantörer Leverantör Kommunikation m.m.

Vad är målet med informationssäkerhetsarbetet? Lagkrav Bevara tillit Kvalitet Undvika negativa händelser Verksamhetens behov

Säker roll- och behörighetsidentifikation

Bakgrund Socialstyrelsens rapport E-hälsa och välfärdsteknik i kommunerna 2018 Socialtjänsten stack ut gällande Säker roll- och behörighetsidentifikation Presentation från 2018-07-09 finns på: https://ehalsa2025.se/2025-podden/e-halsa-och-valfardsteknik-kommunerna- 2018/

Socialstyrelsens rapport E-hälsa och välfärdsteknik i kommunerna 2018 Socialtjänstpersonalen har inte i lika hög utsträckning som hälsooch sjukvårdspersonalen tillgång till säker roll- och behörighetsidentifikation. När det gäller personal i myndighetsutövningen är det 52 procent av kommunerna som anger att all personal använder en säker roll- och behörighetsidentifikation i sitt arbete

Vad är Säker roll- och behörighetsidentifikation?

Säker roll- och behörighetsidentifikation Stark Autentisering (Säker inloggning) Vem du är Behörighetsstyrning (Aktiv och behovsprövad) Vad du kan göra Åtkomstkontroll (Systematisk logguppföljning) Uppföljning om du hade behov Även privatpersonen har rätt till loggutdrag

Stark autentisering (Säker inloggning) Om (integritets-) känsliga personuppgifter är åtkomliga över öppet nät, till exempel Internet, ska användarnas identitet säkerställas med en teknisk funktion som ger en stark autentisering Stark autentisering ett samlingsnamn för tekniska funktioner som säkerställer en användares identitet genom användarcertifikat, engångslösenord eller motsvarande, det vill säga mer än enbart användarnamn och lösenord. Om en autentiseringslösning innefattar fler än en faktor sägs vanligen att den kan uppnå en stark autentisering av användaren.

Stark Autentisering Säker inloggning 2-faktors autentisering Två av följande faktorer ska vara uppfyllda: Något du kan (lösenord, PIN-kod) Något du har (eid-kort, dosa, skraplott, telefon/sms) Något du är (fingeravtryck, röst, retina-scan) Exempel 1, kort/pin PIN Exempel 2, mobil/pin PIN Exempel 2, SMS/engångslösenord Användarnamn Lösenord Engångs lösenord

Behörighetsstyrning Utgångspunkten är att behörigheten ska begränsas till vad som behövs för att användaren ska kunna fullgöra sina arbetsuppgifter. Krav på att organisationen ska ha rutiner för att tilldela, förändra, ta bort och regelbundet följa upp individuella (tekniska) behörigheter för åtkomst till patientuppgifter.

GDPR Artikel 29 Säkerhet i samband med behandling säkerställa att personer som är behöriga att använda ett automatiserat behandlingssystem endast har tillgång till personuppgifter som omfattas av deras behörighet (åtkomstkontroll), säkerställa att det är möjligt att i efterhand kontrollera och fastställa vilka personuppgifter som förts in i ett automatiserat behandlingssystem, samt när och av vem personuppgifterna infördes (indatakontroll), förhindra obehörig läsning, kopiering, ändring eller radering av personuppgifter i samband med överföring av sådana uppgifter eller under transport av databärare (transportkontroll),

Systematisk logguppföljning Informera personalen Informera personalen om att logguppföljning sker, under vilka omständigheter personalen får ta del av uppgifter, att personalen har ett eget ansvar att endast ta del av uppgifter som de behöver i arbetet samt om följderna av att olovligen ta del av uppgifter. Kontrollera de tekniska förutsättningarna Ta fram rutiner för loggarna genom att bestämma urval och omfattning av loggposterna Fastställ en skriftlig rutin för hur loggposterna följs upp och där urvalet av vilka loggposter som kontrolleras framgår. Dokumentera logguppföljningen och följ upp rutinen

GDPR Artikel 25 Loggning 1. Medlemsstaterna ska säkerställa att loggar förs över: insamling, ändring, läsning, utlämning inbegripet överföringar, sammanförande och radering. Loggarna över läsning och utlämning ska göra det möjligt att fastställa motivering, datum och tidpunkt för sådan behandling och i möjligaste mån vem som har läst eller lämnat ut personuppgifter, samt vilka som har fått tillgång till personuppgifterna. 2. Loggarna bör endast användas för att kontrollera om behandlingen är tillåten, för egenkontroll, för att säkerställa personuppgifternas integritet och säkerhet, samt inom ramen för straffrättsliga förfaranden.

Vilka lösningar finns idag?

Verksamhetens önskemål: En säkerhetslösning, inte många Kommun Ekonomi Miljö & Hälsa Vård & Omsorg Skola Bygglov Socialtjänst Barn-omsorg Gata & Park Överförmyndare Användarnamn lösenord Sms Dosor E-tjänstelegitimation Privat e-legitimation

Vad kan vi göra idag? Se till att E-legitimationer i tjänsten uppfyller Svensk e- legitimation Godkänd av E- legitimationsnämnden som utfärdare av Svensk e- legitimation Fördelar Alla uppfyller ett gemensamt tillitsramverk för e-leg Möjliggör att kunna ingå i federationer E-legitimationer som uppfyller kraven kan notifieras för eidas. Komplettera gärna med leverantör av eid-tjänst för privat användning

Inera: Säker inloggning SITHS-kort Dagens lösning med ID-Kort försett med e-legitimation EFOS (E-identitet för offentlig sektor) Tillsammans med myndigheterna morgondagens gemensamma lösning Ersätter både SITHS-kortet och myndigheternas MCA-kort Mobilt EFOS Inera kommer att leverera en mobil lösning som gör det möjligt för en användare att logga in i e-tjänster med mobiltelefoner och surfplattor.

KLASSA SKL:s metodstöd för informationssäkerhet

KLASSA SKL:s metodstöd för informationssäkerhet KLASSA används för att Bestämma skyddsnivåer för konfidentialitet, riktighet och tillgänglighet Välja lagrum, t.ex. GDPR, PDL, NIS Bedöma befintligt skydd för informationen KLASSA ger Upphandlingskrav säkerhetskrav som ska uppfyllas av leverantören (bör ingå i avtalen) Handlingsplan GAP-analys till den ansvariga verksamhetens förvaltningsplan KLASSA är Fritt tillgängligt för SKL:s medlemmar Använt av 206 kommuner och 6 landsting (okt 2018) över 4000 handlingsplaner har gjorts Webb: klassa-info.skl.se Frågor: klassa@skl.se

Tre steg i KLASSA (processen) Osäkert verksamhets system Säkert verksamhets system

Så genomför vi en informationsklassning Resultatet av informationsklassningen i detta exempel är: K2R1T3 Verksamhetens krav är högst för tillgänglighet, sedan för konfidentialitet och lägst för informationens riktighet Källa: informationssäkerhet.se

Skadenivåer Nivå 0 ingen eller försumbar skada Nivå 1 måttlig skada, exempelvis minskad förmåga att genomföra verksamhetens uppdrag, effektiviteten är påvisbart reducerad Nivå 2 betydande skada, exempelvis tillgänglighetsstörningar, brott mot regelverk, rättsliga krav och avtal, eller förlust av skapat förtroende Nivå 3 allvarlig skada, exempelvis massiv informationsförlust, verksamhetsförlust, oöverskådliga konsekvenser, eller fara för liv och hälsa

Skadenivåer konfidentialitet begränsningar i åtkomst till information Nivå 0 inga svårigheter för verksamheten, ingen eller liten påverkan på samhällsviktiga funktioner Nivå 1 inga större svårigheter för verksamheten att nå målen, störningen kan noteras eller upplevas ge lindriga besvär Nivå 2 trolig risk för kännbar påverkan (t.ex. ekonomiskt), andra myndigheter/organisationer kan påverkas, konsekvenser för enskilda individer Nivå 3 stora svårigheter för verksamheten, samhällsviktiga funktioner påverkas, allvarlig kränkning av den personliga integriteten

Skadenivåer riktighet informationen ska vara tillförlitlig, korrekt och fullständig Nivå 0 inga svårigheter för verksamheten, ingen eller liten påverkan på samhällsviktiga funktioner Nivå 1 inga större svårigheter för verksamheten, störningen kan noteras eller upplevas ge lindriga besvär Nivå 2 trolig risk för kännbar påverkan (t.ex. ekonomiskt), andra myndigheter/organisationer kan påverkas, konsekvenser för enskilda individer Nivå 3 stora svårigheter för verksamheten, samhällsviktiga funktioner påverkas, individers liv och hälsa äventyras

Skadenivåer tillgänglighet informationen ska kunna nyttjas efter behov, i förväntad utsträckning samt av rätt person med rätt behörighet Nivå 0 inga svårigheter för verksamheten, ingen eller liten påverkan på samhällsviktiga funktioner Nivå 1 inga större svårigheter för verksamheten, störningen kan noteras eller upplevas ge lindriga besvär Nivå 2 trolig risk för kännbar påverkan (t.ex. ekonomiskt), andra myndigheter/organisationer kan påverkas, konsekvenser för enskilda individer Nivå 3 stora svårigheter för verksamheten som påverkas i allvarlig/katastrofal omfattning, samhällsviktiga funktioner påverkas, individers liv och hälsa äventyras

Exempel på upphandlingskrav (avtalsbilagor) # Krav ISO kapitel ISO kravområde Kon. Rik. Til. 3501 Leverantören ska för de delar av verksamheten som berörs i leveransen ha ett ledningssystem för informationssäkerhet (LIS) som baseras på SS-EN ISO/IEC27001:2017 eller motsvarande. Leverantören ska ha en policy som beskriver hur de 3504 anställda får arbeta på distans avseende drift, förvaltning och support av de levererade tjänsterna. A.6.1 Intern organisation A.6.2 Mobila enheter och distansarbete A.6.1.1 Informationssäkerhetsroller och ansvar 2 2 2 A.6.2.2 Distansarbete 2 2 Leverantören ska ha processer och rutiner på plats för 3505 relevant bakgrundskontroll av personal. A.7.1 Före anställning A.7.1.1 Bakgrundskontroll 2 2 3506 3507 3510 3512 Leverantören ska ha avtal om tystnadsplikt med sina anställda. Tystnadsplikten ska omfatta information om leverantörens kunder. Via avtal ska leverantören även säkerställa tystnadsplikt för underleverantörer. Leverantören ska för sin personal regelbundet genomföra utbildningar för ökad medvetenhet kring informationssäkerhet samt hålla sig uppdaterad kring beställarens policys, regler och rutiner. Leverantören ska ha dokumenterade regler, rutiner och roller som beskriver tillåten användning av de resurser som ingår i leveransen. Leverantören ska under kontraktstiden, dock minst vart tredje år, ha genomfört en riskbedömning för systemet. Identifierade brister ska åtgärdas enligt en dokumenterad plan och kunna redovisas för beställaren. A.7.1 Före anställning A.7.1.2 Anställningsvillkor 2 A.7.2 Under anställning A.8.1 Ansvar för tillgångar A.8.2 Informationsklassning A.7.2.2 Medvetenhet, utbildning och fortbildning vad gäller informationssäkerhet A.8.1.3 Tillåten användning av tillgångar 2 2 2 A.8.2.1 Klassning av information 2 2 2 2

Resultat per system

Klassa v 3.5 systemkravkarta Nytt i version 3.5 är att en organisations olika handlingsplaner kan presenteras och bearbetas som helhet

Tre steg i KLASSA enkelt som ABC Osäkert verksamhets system 1..n Säkert verksamhets system 1..n

Beställarnätverk välfärdsteknik Elisabeth Miles, Örebro kommun Ulrika Stefansson, Västerås stad

Syfte med workshop genom beställarnätverket Ge stöd till kommuner att använda verktyget KLASSA för ett ändamålsenligt arbete med informationssäkerhet och välfärdsteknik genom att Genomföra workshops kring välfärdstekniktjänster Göra steg 1 i KLASSA verktyget (steg 2 och 3 gör varje kommun för sig) Analysera den skada som kan uppstå för individer och verksamheter vid brister i informationssäkerheten Dokumentera resonemanget som fördes under workshopen Resultatet kommer att publiceras i nästa version av Vägledning för upphandling av trygghetsskapande teknik.

Välfärdstekniktjänst Visuell tillsyn på distans Definition Visuell tillsyn på distans Att en person, som i detta fall är en vård-och omsorgspersonal, tittar på en individ med teknik. Att denna individ/brukare/klient är i behov av tillsyn på natten. Vid vår workshop var det trygghetskamera som utgjorde den tekniska lösningen.

Scenario Gösta, 87 år Hälsa Demenssjukdom. Risk för fall. Boende Gösta bor ensam i ett hus på landet. Behov av vård och omsorgsinsatser Insats av hemtjänst 3 gånger/dag. Kan på natten ha svårigheter att klara sin hygien i samband med toalettbesök. Ramlat i badrummet vid några tillfällen och då hittats av hemtjänst. Behov av tillsyn Visuell tillsyn på distans kl 22, kl 01 och kl 04.

Riktighet visuell tillsyn på distans Vilken skada innebär det om det visas en gammal videoström från Göstas bostad det visas en videoström från en annan persons tekniklösning det visas en videoström som är så dålig att man inte kan urskilja det man behöver Riktighet att informationen ska vara tillförlitlig, korrekt och fullständig

Riktighet att informationen ska vara tillförlitlig, korrekt och fullständig Nivå 0 ingen eller försumbar skada Nivå 1 måttlig skada Ingen eller försumbar skada Måttlig skada - ex minskad förmåga att genomföra verksamhetens uppdrag, effektiviteten är påvisbart reducerad Information som obehörigen, av misstag eller på grund av en funktionsstörning ändrats medför ingen eller försumbar skada. Inga märkbara större svårigheter för verksamheten att nå målen. Ingen påverkan på samhällsviktiga funktioner vid egen eller annan organisation. Röjande av informationen medför måttlig skada. Inga märkbara större svårigheter för verksamheten att nå målen. Ingen påverkan på samhällsviktiga funktioner vid egen eller annan organisation. Enskilda individer eller andra myndigheter och organisationer kan notera störningen eller uppleva lindriga besvär men utan påvisbar ekonomisk påverkan. Nivå 2 betydande skada Betydande skada - ex tillgänglighetsstörningar, brott mot regelverk, rättsliga krav och avtal, eller förlust av skapat förtroende Röjande av informationen medför betydande skada. Verksamheten kan fullfölja sina uppdrag, men med trolig risk för kännbar påverkan (ekonomiskt eller genom behovet av att vidta extraordinära åtgärder). Andra myndigheter och organisationer kan påverkas (ekonomiskt eller genom behovet av att vidta extraordinära åtgärder). Samhällsviktiga funktioner i egen eller annan organisation påverkas troligen inte. Enskilda individer kan uppleva konsekvenser, såsom stora besvär eller stor ekonomisk påverkan, av störningen. Nivå 3 allvarlig skada Allvarlig skada - ex massiv informationsförlust, verksamhetsförlust, oöverskådliga konsekvenser, eller fara för liv och hälsa Röjande av information medför allvarlig skada. Skapar stora svårigheter för organisationens verksamhet. Omöjligt eller nästan omöjligt att fullfölja uppdragen. Samhällsviktiga funktioner i egen eller annan organisation påverkas sannolikt. Individers liv och hälsa äventyras. (Nivå 4 rör endast säkerhetsskydd) Synnerligen allvarlig skada Skada för rikets säkerhet som inte endast är ringa. Röjande av informationen medför skada för rikets säkerhet som inte endast är ringa. Systemet behandlar information som omfattas av sekretess och rör rikets säkerhet (hemliga uppgifter) där röjande av information kan ge oöverskådliga konsekvenser där t ex omfattande fara för liv och hälsa föreligger. Informationen omfattas av t ex säkerhetsskyddslagstiftningen. Källa: klassa-info.skl.se

Tillgänglighet visuell tillsyn på distans Vilken skada innebär det om personalen inte kan göra tillsynen då den är planerad? 10 minuter 1 timme på hela natten Tillgänglighet att informationen ska kunna nyttjas efter behov, i förväntad utsträckning samt av rätt person med rätt behörighet

Konfidentialitet visuell tillsyn på distans Vilken skada innebär det om obehöriga kan se videoströmmen från tillsynslösningen? se en lista över vilka som har visuell tillsyn på distans? se logglistor över vem som använt systemet och när det gjorts? Konfidentialitet att informationen åtkomstbegränsas

Vad lärde vi oss Workshopledare/expert på distans fungerar mycket bra Informationssäkerhet gäller inte bara it-stöd Det är viktigt att definiera vad det är för tjänst som erbjuds, vilket leveranskrav som är rimligt och vem som ansvarar för olika delar i tjänsten Manuella backup-rutiner kan kompensera för tekniken i vissa fall

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss