I n fo r m a ti o n ssä k e r h e t

Relevanta dokument
Informationssäkerhetspolicy för Ystads kommun F 17:01

1(6) Informationssäkerhetspolicy. Styrdokument

Riktlinje för informationssäkerhet

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy

Informationssäkerhetspolicy KS/2018:260

Kommunal författningssamling för Smedjebackens kommun. Informationssäkerhetspolicy. 97 Dnr 2016/00447

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Verksamhetsplan Informationssäkerhet

K ri sb ered ska p. Riktlinje

Informationssäkerhetspolicy

VGR-RIKTLINJE FÖR ÅTKOMST TILL INFORMATION

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Informationssäkerhetspolicy IT (0:0:0)

Riktlinjer informationssäkerhetsklassning

Informationssäkerhetspolicy

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Koncernkontoret Enheten för säkerhet och intern miljöledning

BESLUT. Instruktion för informationsklassificering

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad:

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Informationssäkerhetspolicy för Ånge kommun

Verksa m h etssky d. Riktlinje

Informationsklassning och systemsäkerhetsanalys en guide

Kommunstyrelsens förslag till antagande av reviderad informationssäkerhetspolicy Ärende 11 KS 2017/336

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

I Central förvaltning Administrativ enhet

POLICY INFORMATIONSSÄKERHET

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

Informationssäkerhetspolicy S/~LA KOMMUN KOMMUNFULLMÄKTIGE. Bi l aga KS 2015 / 135/1 INFORMATIONSSÄKERHETSPOLICY FÖR SALA KOMMUN

Riktlinjer för informationssäkerhet

VGR-RIKTLINJE FÖR FYSISK SÄKERHET

Informationssäkerhetspolicy

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Dnr

Informationssäkerhetspolicy

Informationssäkerhetspolicy för Umeå universitet

VÄGLEDNING INFORMATIONSKLASSNING

Policy och strategi för informationssäkerhet

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Riktlinjer för informationssäkerhet

Förstudie e-arkiv Begreppslista Begreppslista 1.0

Fördelning av ansvar för informationssäkerhet. Version: 1. Beslutsinstans: Regiondirektören

Informations- och IT-säkerhet i kommunal verksamhet

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Processorienterad informationsklassning

1 INLEDNING ALLMÄNT OM INFORMATIONSSÄKERHET MÃL FÖRKOMMUNENS lnformationssäkerhetsarbete ROLLER OCH ANSVAR...

Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

Riktlinjer för IT-säkerhet i Halmstads kommun

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Myndigheten för samhällsskydd och beredskaps författningssamling

Modell för klassificering av information

Katrineholms kommuns. Informationssäkerhetspo licy. IZatrineholms kommun "- Antagen av kommunfullmäktige , 106

Lokal informationssäkerhetspolicy för hälso- och sjukvårdsförvaltningen

Finansinspektionens författningssamling

Policy för informationssäkerhet

Informationssäkerhetspolicy. Linköpings kommun

Riskanalys och informationssäkerhet 7,5 hp

RS-riktlinjer för Informationssäkerhet i Västra Götalandsregionen

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Finansinspektionens författningssamling

POLICY FÖR E-ARKIV STOCKHOLM

Revidering av riktlinjer för Informationssäkerhet vid Högskolan i Skövde

Policy för informations- säkerhet och personuppgiftshantering

Finansinspektionens författningssamling

Myndigheten för samhällsskydd och beredskaps författningssamling

Remissutgåva. Program för informationssäkerhet

Säker informationshantering utifrån ett processperspektiv

POLICY FÖR E-ARKIV STOCKHOLM

Bilaga 3 Säkerhet Dnr: /

Rutin vid kryptering av e post i Outlook

Handbok Informationsklassificering

Administrativ säkerhet

Juridik och informationssäkerhet

Informationssäkerhet i patientjournalen

Hantering av behörigheter och roller

Roller för information behöver också fastställas, använd gärna nedanstående roller som kommer från SKL och deras verktyg

Handlingsplan för persondataskydd

SÅ HÄR GÖR VI I NACKA

Riktlinjer för IT och informationssäkerhet - förvaltning

Kravställning på e-arkiv från informationssäkerhetsperspektiv

Ledning och styrning av IT-tjänster och informationssäkerhet

Sekretess, lagar och datormiljö

Västra Götalandsregionens stöd till Informationssäkerhetsprogram Riktlinjer för sökande kommuner

Policy för informationssäkerhet

Riktlinjer. Informationssäkerhetsklassning

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Säkerhetsskydd en översikt. Thomas Palfelt

Koncernkontoret Enheten för juridik

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

K om m u n i k a ti on s- och p å ve r k a n sp ol i cy

Rutin för distansmöte via video vid samordnad vårdoch omsorgsplanering

Informationssäkerhet en patientsäkerhetsfråga. Maria Jacobsson Socialstyrelsen

Nya krav på systematiskt informationssäkerhets arbete

styrning i Västra Götalandsregionen

Transkript:

Beslutad av: regionstyrelsen, 2018-12 - 11 349 Diarienummer: RS 2018-00129 Giltighet: från 2019-01 - 01 till 2023-12 - 31 Riktl in je I n fo r m a ti o n ssä k e r h e t Riktlinjen gäller för: Västra Götalandsregionen Innehå llsansvar: Koncernstab utf örarstyrning och samordning, enhet säkerhet och beredskap

2 Innehållsförteckning Inledning... 3 Utgångspunkter för informationssäkerhet... 3 Skyddsområden informationssäkerhet... 3 Förteckning över informationssystem... 3 Informationsklassning... 3 Modell för informationsklassning... 5 Åtkomst till information... 6 Utbildning... 6 Upphandling och inköp av IS/IT system... 6 Portallagstiftning... 6 Definitioner... 6

3 Inledning Den regionövergripande dokumentstrukturen för säkerhet- och beredskapsarbetet tar sin utgångspunkt i Västra Götalandsregionens (VGR) policy för säkerhet och beredskap. Policy för säkerhet och beredskap anger värderingar, förhållningssätt och principer för arbetet med säkerhet och beredskap i Västra Götalandsregionen. Policyn lägger grunden för styrande dokument/styrning på en mer detaljerad nivå; regionstyrelsens (RS) riktlinjer för krisberedskap, informationssäkerhet, civilt försvar samt verksamhetsskydd. Riktlinjerna anger förutsättningarna för arbetet med säkerhet och beredskap i VGR. Till riktlinjerna kopplas i sin tur rutiner/planer på tjänstemannanivå, såväl regiongemensam nivå som förvaltningsnivå, samt skrivningar i reglementen och ägardirektiv. Utgångspunkter för informationssäkerhet Information är en av VGR:s viktigaste tillgångar och är en förutsättning för att kunna bedriva verksamhet. Riktlinje för informationssäkerhet är regionövergripande ram för området och utgår från standarden för informationssäkerhet ISO 27 000. För ett framgångsrikt arbete med informationssäkerhet ska en följsamhet mot standarden upprätthållas. Nämnder och styrelser ansvarar för att information behandlas och skyddas på ett ändamålsenligt sätt, samtidigt som tillgången till information och öppenhet säkerställs enligt offentlighetsprincipen. Nämnder och styrelser ansvarar för hantering av informationssäkerhetsincidenter. Skyddsområden informationssäkerhet Det övergripande målet för informationssäkerhet är att rätt och riktig information ska nå rätt mottagare i rätt tid och vara skyddad för obehörig åtkomst och förstörelse. Skyddsområden och arbetet med informationssäkerhet syftar till att upprätthålla: Tillgänglighet: Information kan utnyttjas efter behov i förväntad utsträckning och inom önskad tid. Konfidentialitet: Information är tillgänglig endast för den medarbetare som är behörig att ta del av den. Riktighet: Skydd av information så att den är och förblir korrekt och fullständig. Spårbarhet: Hanteringen av informationstillgången är spårbar. Förteckning över informationssystem Nämnder och styrelser ansvarar för att det finns en förteckning över informationssystem inom sitt område. Förteckningen ska bland annat innehålla beskrivning av innehåll, syfte, ändamål, informationsägare och systemägare. Informationsklassning Nämnder och styrelser ska klassificera sina informationstillgångar, i syfte att avgöra lämpliga skyddsåtgärder. Skyddsåtgärderna ska skydda informationen på rätt sätt utifrån perspektiven riktighet, konfidentialitet och tillgänglighet. Klassificering av information ska genomföras vid förändringar i organisation, process och teknik samt etablering av nya IS/IT-system eller

4 IS/IT-tjänster som kan påverka informationshanteringen. Rutin ska finnas för märkning av handlingar med detaljerade anvisningar hur klassning av information ska genomföras. I VGR klassificeras information i fyra klasser och informationens skyddsbehov avgör skyddsnivå. har ett utökat skyddsbehov och är kopplat till hot mot Sveriges säkerhet hanteras i särskild ordning enligt säkerhetsskyddslagen. Följande bild illustrerar processen vid klassning av information.

5 Modell för informationsklassning Följande modell utgår från Myndigheten för samhällsskydd- och beredskaps mall och ska användas vid informationsklassificering inom VGR. Konsekvensnivå Konfidentialitet Riktighet Tillgänglighet Spårbarhet Vägledning 1 Baskrav Allmän information medföra försumbara om den ej är riktig och fullständig kan medföra försumbara medföra försumbara medföra försumbara är allmän för publik användning OSL 2 Normala krav Intern information om den ej är riktig och fullständig kan Intern information som är allmän alt. sekretessbelagd enligt OSL. 3 Höga krav Känslig information medföra allvarliga Viktig information riktig och fullständig kan medföra allvarliga Viktig information medföra allvarliga Viktig information medföra allvarliga Känslig information exv. journaler, patientuppgifter enligt gällande lagstiftning och socialstyrelsens föreskrifter. Sekretess enligt OSL 4 Mycket höga krav medföra mycket allvarliga/katastrofala riktig och fullständig kan medföra mycket allvarliga/katastrofala medföra mycket allvarliga/katastrofa la medföra mycket allvarliga/katastrofa la Mycket känslig information exv. journaler, patientuppgifter enligt gällande lagstiftning och Socialstyrelsens föreskrifter. Sekretess enligt OSL, skyddad information enl. SäkL

6 Åtkomst till information Nämnder och styrelser ska ansvara för att behörighet till informationstillgångar ges restriktivt och styras utifrån krav som arbetssituationen kräver. Styrning av åtkomst till patientdata syftar till att endast den som deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården kan ta del av dem. För IS/IT-baserade system ska det finnas skyddsåtgärder mot oönskad programkod och obehörigt nyttjande. Ett fåtal medarbetare ska ha särskild behörighet och åtkomst till källprogramarkiv, operativsystem, systemhjälpmedel och revisionshjälpmedel. Utbildning Nämnder och styrelser ansvarar för att medarbetare regelbundet får utbildning om vilka regler som gäller vid hantering av information. Upphandling och inköp av IS/IT system Nämnder och styrelser ansvarar för att informationssäkerhetskraven säkerställs vid upphandling eller vid ny- och vidareutveckling av IS/IT-system. Kraven ska säkerställas och följas upp utmed systemets hela livscykel. Information med särskilda skyddsbehov, efter en genomförs risk- och sårbarhetsanalys/ informationsklassning, ska hanteras genom säkerhetsskyddsavtal med leverantörer och underleverantörer innan de beviljas åtkomst till VGR:s informationstillgångar. Portallagstiftning Lag om informationssäkerhet för samhällsviktiga och digitala tjänster (SFS 2018:1174) Hälso- och sjukvårdslagen (2017:30) Patientdatalagen (2008:355) Dataskyddsförordningen Arkivlagen (1990:782) Definitioner Behörighet Informationssäkerhet Informationstillgång En persons åtkomsträttigheter till information i IT-system Säkerhet för informationstillgångar avseende förmågan att upprätthålla önskad konfidentialitet, riktighet och tillgänglighet samt spårbarhet (även oavvislighet). En organisations information och de resurser som används för att hantera informationen.

7 Behörighet Informationsägare Konfidentialitet Riktighet Tillgänglighet Spårbarhet En persons åtkomsträttigheter till information i IT-system Den aktör som ansvarar för informationen. Informationssägarskapet definieras och utses i respektive Respektive nämnd och styrelse företräder regionen inom sitt ansvarsområde, som informationsägare, och ansvaret följer ordinarie linjeansvar. Avsikten att innehållet i ett informationsobjekt, ibland även dess existens, inte bör göras tillgängligt eller avslöjas för obehöriga. Egenskapen att skydda exaktheten och fullständigheten gällande tillgångar. Skyddsmål där informationstillgångar skall kunna utnyttjas i förväntad utsträckning och inom önskad tid. Åtgärder som kan härledas till en användare i informationssystem som är helt eller delvis automatiserade.

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss