Informationsklassning och systemsäkerhetsanalys en guide

Relevanta dokument
Guide för säker behörighetshantering

Informationssäkerhet och SKLs verktyg KLASSA. Avdelningen för Digitalisering Sektionen för Informationshantering och Digital Arbetsmiljö (IDA)

Roller för information behöver också fastställas, använd gärna nedanstående roller som kommer från SKL och deras verktyg

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

Rätt informationssäkerhet är A&O vid införande av välfärdsteknologi. Jeanna Thorslund, Sveriges Kommuner och Landsting Thomas Nilsson, Certezza

Informationssäkerhetspolicy för Ånge kommun

Riktlinjer för informationssäkerhet

Informationssäkerhetspolicy för Ystads kommun F 17:01

Koncernkontoret Enheten för säkerhet och intern miljöledning

SÅ HÄR GÖR VI I NACKA

Informationssäkerhetspolicy inom Stockholms läns landsting

Riktlinjer för informationssäkerhet

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

I n fo r m a ti o n ssä k e r h e t

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

Riktlinjer för IT-säkerhet i Halmstads kommun

VÄGLEDNING INFORMATIONSKLASSNING

Dnr

Informationssäkerhetsanvisningar Förvaltning

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Metod för klassning av IT-system och E-tjänster

Informationssäkerhetspolicy

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

Informationssäkerhetspolicy KS/2018:260

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Strukturerat informationssäkerhetsarbete

Myndigheten för samhällsskydd och beredskaps författningssamling

Verktygsstöd för Informationssäkerhet KLASSA

Regler och instruktioner för verksamheten

Administrativ säkerhet

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Handlingsplan för persondataskydd

BESLUT. Instruktion för informationsklassificering

Informationssäkerhetspolicy

DATASKYDD (GDPR) Del 4: Kärnverksamheterna

Välkommen till enkäten!

Ledningens informationssäkerhet

Riktlinjer för IT och informationssäkerhet - förvaltning

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Rapport Informationsklassning och riskanalys Mobila enheter Umeå Fritid

Informationssäkerhetspolicy. Linköpings kommun

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Informationssäkerhetspolicy för Katrineholms kommun

Informationssäkerhet vid upphandling och inköp av IT-system och tjänster

Riktlinjer. Informationssäkerhetsklassning

Informationssäkerhet, säker identifikation och KLASSA. Webbseminarium

Myndigheten för samhällsskydd och beredskaps författningssamling

Rikspolisstyrelsens författningssamling

Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13

Riktlinjer för Informationssäkerhet Falkenbergs Kommun Kommunledningskontoret

I Central förvaltning Administrativ enhet

Sammanfattning av riktlinjer

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad:

Säkerhetsskydd en översikt. Thomas Palfelt

Riktlinjer informationssäkerhetsklassning

Riktlinje för informationssäkerhet

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Informations- och IT-säkerhet i kommunal verksamhet

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Nya krav på systematiskt informationssäkerhets arbete

Säkerhetsskyddsplan. Fastställd av kommunfullmäktige

Juridik och informationssäkerhet

Policy för informations- säkerhet och personuppgiftshantering

Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet

POLICY FÖR E-ARKIV STOCKHOLM

Informationsklassning , Jan-Olof Andersson

Informationssäkerhetsgranskning. ISO ledningssystem för informationssäkerhet

Informationssäkerhetspolicy för Umeå universitet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Verksamhetsplan Informationssäkerhet

Informationssäkerhet och earkiv Rimforsa 14 april 2016

Informationssäkerhetspolicy

Informationssäkerhet - Informationssäkerhetspolicy

1 Risk- och sårbarhetsanalys

Bilaga nr 2: Internkontrollplan för 2016

Riktlinjer för dataskydd

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Användarinstruktion för säkra meddelanden Innehåll

Dnr UFV 2017/93. Informationssäkerhet. Riktlinjer för säkerhetsarbetet vid Uppsala universitet. Fastställda av Universitetsdirektören

Informationssäkerhet vid Lunds Universitet. Mötesplats Rydberg 3:e oktober Lennart Österman

Enligt livsmedelslagstiftningen

1(6) Informationssäkerhetspolicy. Styrdokument

Informationssäkerhetspolicy

POLICY FÖR E-ARKIV STOCKHOLM

Resultat från uppföljning av internkontrollplan 2016

GÖTEBORGS UNIVERSITET IT-policy version sid 2 av Syfte Övergripande Styrning av IT... 3

Protokollsutdrag. 346 Revisionsrapport Uppföljning IT-säkerhet och införande av dataskyddsförordningen - svar Dnr KS/2018:384

Remissutgåva. Program för informationssäkerhet

IT-Policy. Tritech Technology AB

Säkerhetshöjande åtgärder inom VA Några exempel från Kretslopp och vatten i Göteborg

Styrning och compliance för informationssäkerhet

Internkontrollplan för 2017

Informationssäkerhet - Instruktion för förvaltning

UTKAST. Riktlinjer vid val av molntjänst

Informationssäkerhetspolicy

Finansinspektionens författningssamling

Finansinspektionens författningssamling

Transkript:

2018-06-18 1 (7) GUIDE Digitaliseringsenheten Informationsklassning och systemsäkerhetsanalys en guide Innehåll Informationsklassning och systemsäkerhetsanalys en guide... 1 Kort om informationssäkerhet... 2 Informationsklassning och systemsäkerhetsanslys en inledning... 2 Steg 1: Informationsklassning VAD ska skyddas?... 2 Steg 2: Systemsäkerhetsanalys: HUR ska det skyddas?... 3 Informationsklassning (VAD)... 3 Ansvar för informationsklassningen... 3 Om säkerhetsaspekter... 3 Om säkerhetsnivåer... 4 Informationsklassning gör så här:... 5 Systemsäkerhetsanalys (HUR)... 6 Vad är KLASSA?... 6 Så använder ni KLASSA... 6 Förberedelser:... 6 Så arbetar ni i verktyget... 7 POSTADRESS BESÖKSADRESS TELEFON E-POST SMS WEBB ORG.NUMMER Nacka kommun, 131 81 Nacka Stadshuset, Granitvägen 15 08-718 80 00 info@nacka.se 716 80 www.nacka.se 212000-0167

2 (7) Kort om informationssäkerhet Informationssäkerhet är de åtgärder vi vidtar för att skydda den information vi hanterar. Vi vill säkerställa att informationen är tillgänglig när den behövs och hindra att den läcker ut (vid sekretess och känslig information), förvanskas eller förstörs. Informationen som ska skyddas kan vara både analog och digital information i form av personuppgifter, filer, e- postmeddelanden, filmer, och bilder. Även källkoden i våra system måste skyddas. Hanteringen av information styrs av avtal, lagar och förordningar. Utöver lagar så finns det rekommendationer från MSB (ISO 2700-serien) som tolkas om och sätter en standard för hur Nacka kommun arbetar med informationssäkerhet. Denna guide beskriver kort hur du gör en informationsklassning och en systemsäkerhetsanalys med verktyget KLASSA. Informationsklassning och systemsäkerhetsanslys en inledning För att ta reda på hur informationen ska hanteras och skyddas bör informationen klassas enligt en informationsklassningsmodell och därefter bör en systemsäkerhetsanalys genomföras. Informationsklassningen tittar på VAD som ska skyddas, systemsäkerhetsanalysen ger svaret HUR informationen bör skyddas. Steg 1: Informationsklassning VAD ska skyddas? All informationsbehandling bör genomgå en informationsklassning. (När det gäller system som hanterar skyddsvärd information SKA en informationsklassning genomföras.) En informationsklassning är en metod som hjälper verksamheten att kartlägga vilka uppgifter som behandlas och vilket skydd uppgifterna ska ha. Oavsett om det är fysisk eller digital information är kraven på skyddet likvärdigt. Informationen klassas, det vill säga bedöms, utifrån tre kriterier: Tillgänglighet - att den alltid är tillgänglig när vi behöver den Riktighet - att vi kan lita på att den är korrekt och inte manipulerad eller förstörd Konfidentialitet - endast behöriga personer får ta del av den Det är enheten som upphandlat systemet eller använder systemet mest, som ska göra informationsklassningen. Systemägaren ansvarar för att klassningen blir gjord. I samband med informationsklassningen kommer man ofta in på risker och hur de ska hanteras. Man kan även genomföra en riskanalys separat vid behov.

3 (7) Steg 2: Systemsäkerhetsanalys: HUR ska det skyddas? Efter informationsklassningen bör verksamheten även genomföra en systemsäkerhetsanalys i verktyget KLASSA. Systemsäkerhetsanalysen kartlägger brister och styrkor i systemet och miljön kring systemet. En systemsäkerhetsanalys analyserar både den tekniska säkerheten och processerna runtomkring. För att säkerställa att skyddet för uppgifterna är tillräckligt starkt så måste hanteringen kring uppgifterna vara starkt. Ett starkt skydd fungerar inte om hanteringen runtomkring är svag i form av exempelvis bristfälliga rutiner. Informationsklassning (VAD) Informationsklassning genomförs i första hand för att identifiera vilka typ av information som hanteras inom verksamheten och vilka krav som ställs vid hanteringen av informationen. Den beskriver vad som ska skyddas. Det ligger i verksamhetens intresse att göra en informationsklassning för att säkerställa att skyddet för uppgifterna är på lämplig nivå. Informationen och skyddet bedöms utifrån säkerhetsaspekterna och säkerhetsnivåer. Ansvar för informationsklassningen Det är lämpligt att ansvaret för informationsklassningen tilldelas en enhetschef, då ansvaret för informationen som Nacka kommun behandlar, förvaltar och lagrar inte kan tilldelas till någon med en tjänstetitel lägre än enhetschef. Om säkerhetsaspekter Utifrån säkerhetsaspekterna beskriver du konsekvenserna av en oönskad negativ påverkan. Säkerhetsaspekter Konfidentialitet Riktighet Tillgänglighet Beskrivning Skydd mot obehörig insyn. Beskriv hur stora konsekvenserna skulle bli för verksamheten om informationen sprids till obehöriga under hantering, lagring, bearbetning, kommunikation eller transport. Skydd mot oönskad förändring. Beskriv hur stora konsekvenser skulle bli för verksamheten om informationens riktighet förvanskas eller ändras under behandling, lagring, bearbetning, kommunikation eller transport. Informationen ska kunna nyttjas i rätt tid, av rätt person. Beskriv hur stora konsekvenserna skulle bli för verksamheten om informationen inte var tillgänglig vid bearbetning i kommunikationssyfte eller exempelvis nedladdning vid externa uppdrag.

4 (7) Om säkerhetsnivåer Säkerhetsnivån sätts genom att bedöma hur omfattande konsekvenserna blir om informationen utsätts för oönskad negativ påverkan. Nivå 0 innebär att uppgifterna kan anses som öppna och konsekvenserna är försumbara. Nivå 4 är den högsta nivån och konsekvenserna innebär skada eller hot mot rikets säkerhet. I vanliga fall finns det inte behov av nivå 4 inom Nacka kommuns verksamheter. Om ni känner behov av att skydda informationen högre än nivå 3, kontakta informationssäkerhetsamordaren på digitaliseringsenheten. Nivå 4 Synnerligen allvarlig Skydd mot spioneri, sabotage och andra brott som kan hota rikets säkerhet, och skydd mot terrorism Nivå 3 Allvarlig Massiv informationsförlust, verksamhetsförlust, oöverskådliga konsekvenser, eller fara för liv och hälsa. Nivå 2 Betydande Tillgänglighetsstörningar, brott mot regelverk, rättsliga krav och avtal, eller förlust av skapat förtroende. Nivå 1 Måttlig Minskad förmåga att genomföra verksamhetens uppgifter, men effektiviteten är påvisbart reducerad Nivå 0 Försumbar Inga eller försumbara konsekvenser Det finns en mer beskrivande guide gällande säkerhetsnivåerna på www.nacka.se/informationssakerhet (Informationsklassning enkel mall) Vid en analys ska många aspekter tas med och det finns inga självklara svar i en bedömning om rätt säkerhetsnivå. Exempel på frågeställningar att utgå från: - Hur känsliga är uppgifterna? - Vilka risker är ni beredda att ta? - Hur kostsamt blir det att införa alla skyddsåtgärder? - Hur mycket information handlar det om? - I vilket sammanhang finns informationen? - Hur allvarlig blir konsekvensen för individen eller verksamheten om uppgifterna röjs?

5 (7) Informationsklassning gör så här: Workshop med olika kompetenser För att uppnå bästa möjliga resultat i en informationsklassning bör ni ha ett arbetsmöte eller workshop med ett flertal personer med kompetens inom olika områden av verksamheten ni bedriver. Syftet med mötet är att identifiera vilken typ av information som hanteras och hur känslig informationen är. Exempel på kompetenser som bör delta på mötet: Enhetschef, systemägare, systemförvaltare, informationsägare, sakkunnig handläggare. Steg 1 ladda ner guider och mallen för informationsklassning Ladda ner rätt instruktioner från Nacka.se eller kontakta digitaliseringsenheten för att få tillgång till senaste dokumentationen. Dokument som behövs är Informationsklassning mall Beskrivning av säkerhetsnivåer (vid behov) Guide informationsklassificering och systemsäkerhetsanalys (detta dokument) Steg 2 fyll i mallen I informationsklassningssmallen finns beskrivningar och exempel på hur hela klassificeringen går till. Fyll i/kryssa i de svar som efterfrågas och skicka sedan mallen till informationssäkerhetssamordnaren på digitaliseringsenheten. Om ni hanterar känslig eller sekretessbelagd information ska ni även göra en systemsäkerhetsanalys.

6 (7) Systemsäkerhetsanalys (HUR) Vad är KLASSA? KLASSA är ett digitalt verktyg som SKL har tagit fram. Med hjälp av verktyget kan du göra en informationsklassning, ta fram en handlingsplan och skapa en lista med informationssäkerhetskrav vid upphandling. Informationsklassning - Du kan klassa informationen i ett verksamhetssystem utifrån vilka konsekvenser som uppstår om till exempel informationen inte kan nås, om den förvanskas eller om det finns brister i vem som får komma åt informationen. Obsevera! Gör informationsklassningen med vår mall först (dokumentet heter Informationsklassning mall) och för sedan in resultatet i KLASSA. Handlingsplan - Utifrån klassningen kan du ta fram en handlingsplan med krav på förvaltning av systemet och hantering av dess informationsinnehåll. Upphandlingskrav - Du kan också få ut en lista med förslag på informationssäkerhetskrav som stöd vid upphandling. En verksamhetsnära systemförvaltare genomför klassningen tillsammans med systemägare, användare och informationssäkerhetssamordnare och får sedan ett förslag på handlingsplan. Därefter görs en självskattning av hur väl åtgärderna i handlingsplanen är uppfyllda. Klassningen kan även användas i samband med upphandling för att få förslag på krav. Handlingsplanen kan användas både i det praktiska arbetet med förvaltning av enskilda verksamhetssystem och i det systematiska kvalitetsarbetet på övergripande nivå. KLASSA ska anses som ett levande dokument då regler, föreskrifter och andra säkerhetslösningar ständigt uppdaterats. Systemförvaltaren ska uppdatera KLASSA regelbundet samt vid större förändringar av systemet eller i verksamheten. Så använder ni KLASSA Förberedelser: 1. Ansök om inloggningsuppgifter till KLASSA genom att maila informationssäkerhetssamordnaren hos digitaliseringsenheten. I mailet bör det framgå för- och efternamn, e-postadress och telefonnummer. 2. Boka en workshop på cirka 2-2,5 timmar. Deltagare som bör vara med på mötet är systemförvaltaren, driftsansvarige (om systemet driftas på plats), informationsägaren och sakkunnig på systemet och verksamheten i stort. Ta även kontakt med informationssäkerhetssamordnaren vid behov.

7 (7) a. Exempel på vem och vilka som svarar på olika frågor i KLASSA: Så arbetar ni i verktyget Organisation Enhetens ansvar Hantering av tillgångar Enhetens ansvar Kontinuitetshantering Enhetens ansvar Personalsäkerhet Incidentrapportering Efterlevnad Styrning av åtkomst Kryptografiska säkerhetsåtgärder Leverantören Fysisk säkerhet Leverantören Driftsäkerhet Leverantören Kommunikationssäkerhet Leverantören Anskaffning, utveckling och underhåll Leverantören 1. Logga in och gå in på länken Mina handlingsplaner. Skrolla tills ni hittar era namn och systemnamn. Välj Skapa handlingsplan. 2. Välj aktuella säkerhetsnivå på konfidentialitet, riktighet och tillgänglighet (lär mer om detta i informationsklassningsmallen). Välj sedan lagrum och efter det tryck på självutvärdering. 3. Läs frågeställningen och klicka i ett av svarsalternativen. Försök undvika att inte svara på frågorna, kryssa hellre i att ni inte uppfyller kraven. Använd kommentarsfältet för att ge en närmare beskrivning och ange om någon är ansvarig för frågan. 4. När frågorna är besvarade: Klicka på spara (längst upp i högra hörnet), sedan resultat. Längst ner på sidan finns en handlingsplan att arbeta efter, för att uppfylla de krav som ställs på systemet. Det är upp till systemägaren och systemförvaltaren att besluta om vilka åtgärder som anses nödvändiga och om de ska genomföras.

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss