Styrning och compliance för informationssäkerhet

Relevanta dokument
Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad:

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Informationssäkerhetspolicy för Ystads kommun F 17:01

Informationssäkerhetspolicy. Linköpings kommun

Lokal informationssäkerhetspolicy för hälso- och sjukvårdsförvaltningen

Policy för informationssäkerhet

1(6) Informationssäkerhetspolicy. Styrdokument

I Central förvaltning Administrativ enhet

Informationssäkerhetspolicy för Ånge kommun

Policy för informationssäkerhet

Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13

POLICY INFORMATIONSSÄKERHET

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Informationsklassning och systemsäkerhetsanalys en guide

Koncernkontoret Enheten för säkerhet och intern miljöledning

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Informationssäkerhetspolicy

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

Välkommen till enkäten!

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Riktlinjer informationssäkerhet

Policy och strategi för informationssäkerhet

Informationssäkerhetspolicy

Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen

Informationssäkerhetspolicy KS/2018:260

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Verksamhetsplan Informationssäkerhet

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Policy för informations- säkerhet och personuppgiftshantering

Handlingsprogram för informationssäkerhet

myndigheter En andra granskning av informationssäkerhet i staten RiR 2016:8 Informationssäkerhetsarbete

Kravställning på e-arkiv från informationssäkerhetsperspektiv

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

PROJEKTRAPPORT NR 14/2014. Ledningssystem för informationssäkerhet, förutsättningar för en god intern kontroll?

I n fo r m a ti o n ssä k e r h e t

Förstudie e-arkiv Begreppslista Begreppslista 1.0

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Säkerheten före allt? Åsa Hedenberg, vd Specialfastigheter

Ledningssystem vad varför hur. Ledningssystem JLL. Roland Frisdalen , Version 0.2

Informations- och IT-säkerhet i kommunal verksamhet

Informationssäkerhetspolicy

Informationssäkerhetspolicy för Umeå universitet

Rätt informationssäkerhet är A&O vid införande av välfärdsteknologi. Jeanna Thorslund, Sveriges Kommuner och Landsting Thomas Nilsson, Certezza

Myndigheten för samhällsskydd och beredskaps författningssamling

Riktlinje - Ledningssystem för systematisk kvalitetsarbete

Myndigheten för samhällsskydd och beredskaps författningssamling

1 Landstingsstyrelsens förvaltning. Strategisk IT i SLL. Vad ska vi vara för vem och vad ska vi göra för dem?

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola Sammanfattning

Informationssäkerhetspolicy för Katrineholms kommun

Kommunal författningssamling för Smedjebackens kommun. Informationssäkerhetspolicy. 97 Dnr 2016/00447

Transportstyrelsens föreskrifter om hantering av kryptografiska nycklar och certifikat för tillverkning av digitala färdskrivare;

Yttrande över landstingsrevisorernas projektrapport nr 9/2015, Ledningssystem för informationssäkerhet - arbetet med genomförande

Hur värnar kommuner digital säkerhet?

Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet

Riktlinjer för informationssäkerhet

VGR-RIKTLINJE FÖR FYSISK SÄKERHET

Utbildningsdag om informationssäkerhet

Granskning av informationssäkerhet inom Landstinget i Kalmar län

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

System- och objektförvaltning - roller

Beslut HSN HSN BILAGA 2 Intern kontrollplan för Hälso- och sjukvårdsförvaltningen 2014

Transportstyrelsens föreskrifter om hantering av kryptografiska nycklar och certifikat med mera för tillverkning av digitala färdskrivare;

Yttrande över landstingsrevisorernas rapport 9/2015 Ledningssystem för informationssäkerhetsarbetet med genomförande

BESLUT. Instruktion för informationsklassificering

Kommunrevisionen KS 2016/00531

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Stockholms läns landsting 1 (6)

Regelverk och myndighetsstöd för ökad informationssäkerhet inom dricksvattenförsörjningen (NIS) Anders Östgaard

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

Kommunstyrelsens förslag till antagande av reviderad informationssäkerhetspolicy Ärende 11 KS 2017/336

Fördelning av ansvar för informationssäkerhet. Version: 1. Beslutsinstans: Regiondirektören

Finansinspektionens författningssamling

Handledning i informationssäkerhet Version 2.0

SÄKERHETSPOLICY FÖR VÄSTERVIKS KOMMUNKONCERN ANTAGEN AV KOMMUNFULLMÄKTIGE , 8

Informationssäkerhet vid upphandling och inköp av IT-system och tjänster

Ledningssystem för Informationssäkerhet

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Informationssäkerhetspolicy

Ledningssystem för Informationssäkerhet

Vad gör Landstingsrevisorerna?

Göran Engblom IT-chef

Informationssäkerhet, ledningssystemet i kortform

Patientsäkerhetsberättelse för. Daglig Verksamhet, Nytida AB. År Ewa Sjögren

Informationssäkerhetspolicy

Handlingsprogram för informationssäkerhet i syfte att säkerställa ett strukturerat och långsiktigt arbete inom området

Finansinspektionens författningssamling

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Finansinspektionens författningssamling

Informationssäkerhet Policy och riktlinjer för Stockholms läns sjukvårdsområde

Anpassade riktlinjer för intern kontroll inom Hälso- och sjukvårdsnämndens ansvarsområde

Informationssäkerhetsgranskning. ISO ledningssystem för informationssäkerhet

Ansvarsförbindelse för Stockholms Läns Landstings Elektroniska Katalog (EK)

Informationshantering och journalföring. nya krav på informationssäkerhet i vården

Att införa LIS. Förberedelser inför anpassning till ISO/IEC 17799

Vilket mervärde ger certifiering dig?

Transkript:

Styrning och compliance för informationssäkerhet SWERMA 26 mars 2015 Markus Ekbäck CISO/Informationssäkerhetssamordnare Kvalitet och Patientsäkerhet

Innovation och inspiration Innovationer för informationssäkerhet? Bild: Tesco Virtual Supermarket, Sydkorea juni 2011

En stor del av vår information är mycket värdefull och ofta livsviktig, t.ex. information i patientjournaler Om vi förlorar information eller om den är felaktig så kan det få förödande konsekvenser

Informationssäkerhet vid Karolinska Mål för det långsiktiga arbetet: Informationssäkerhet ingår naturligt i verksamheterna. Ansvariga ska utifrån sina verksamheters behov bedöma vilket skydd som informationen behöver ha. Karolinskas ledningssystem för informationssäkerhet Beslut 2012-07-03 Kshd 19/2012 Ett högt risk- och säkerhetsmedvetande utgör grunden för en trygg och högkvalitativ vård.

Vad är informationssäkerhet? Informationssäkerhet är åtgärder för att hindra att information läcker ut, förvanskas eller förstörs. Informationen ska vara riktig, tillgänglig och spårbar när den behövs. Känslig information ska präglas av konfidentialitet, dvs. att endast behöriga får ta del av dessa uppgifter. Informationen behöver skyddas för att säkerställa verksamhetens kontinuitet. Informationen som ska skyddas kan yttras i en konversation vara tryckt på papper vara lagrad elektroniskt överföras med post eller med elektroniska hjälpmedel visas på film

Informationssäkerhet övergripande mål Målet för landstingets informationssäkerhetsarbete är att skydda informationen inom verksamheten. Skyddet ska vara anpassat till skyddsvärde, risk och lagkrav och därigenom möjliggöra för landstingets verksamheter att uppnå sina mål. SLL ska bedriva ett systematiskt informationssäkerhetsarbete både på övergripande nivå (centralt) och på verksamhetsnivå (lokalt).

Process för informationssäkerhet Klassificering (informationsägare) Säkerhetskrav (avstämning) Riskanalys Åtgärdsplan Genomförande Uppföljning

Exempel på krav Krav, fysiskt skydd Miljökrav ISO14000 Lokala styrdokument Säkerhetsstandard för betalkortdata, PCI DSS Arbetsmiljö Informationssäkerhet ISO27000 Förvaltningskrav Verksamhetens överordnade riktlinjer för informationssäkerhet Krav från Myndigheten för samhällsskydd och beredskap Tillämpningsanvisningar för informationssäkerhet Krav för upphandlingar Brandskyddskrav Finansinspektionens krav ex. Basel II

Grundidén med modern Compliance Göra kravdokument och policies interaktiva Klicka för att rapportera! Feedback i text! Ladda upp bevis!

Traditionell säkerhetsstyrning? Säkerhetskrav Informationssäkerhetschef Objektägare/systemägare/ verksamhetschefer?

En effektivare säkerhetsstyrning Informationssäkerhetschef Objektägare/systemägare/ verksamhetschefer Status Risker Åtgärder

Effektiv styrning & rätt IT-stöd Informationssäkerhetschef Respondenter Objektägare/systemägare/ Status verksamhetschefer Risker Åtgärder

Kravkatalogägare Respondenter Ansvarig Delegerat till Ansvarig Delegerat till Förvaltnings-/bolagsnivå Landstingsdirektören Förvaltningschef/VD Administrativ informationssäkerhet Perspektiv: Organisation, processer Decentraliserad informationssäkerhetsstyrning Informationssäkerhetschef Informationssäkerhetssamordnare Ansvarig Förvaltningschef/ VD Delegerat till Funktionsområdes-/stabs-/ avdelningsnivå Administrativ informationssäkerhet Perspektiv: Medarbetare/ Personal Ansvarig Verksamhetschef, process-/ projektledare Ev. delegerat till Informationssäkerhetssamordnare/CISO Informationssäkerhetskoordinatorer el. motsvarande Ansvarig* Objektägare Ev. delegerat till* Objektägare IT Objekt-/systemnivå Teknisk, logisk säkerhet Perspektiv: System, IT-komponenter Ansvarig Förvaltningsledare Ev. delegerat till Förvaltningsledare IT SLL-gemensamt perspektiv Lokalt perspektiv

Verksamhetschef Kvalitet & Patientsäkerhet/ chefsläkare Informationssäkerhetssamordnare Koordinator/ division Verksamhetschefer Ansvarar för att respektive verksamhet efterlever de informationssäkerhetskrav som definieras i Riktlinjer för Informationssäkerhet och dess bilagor Koordinator/ verksamhet Ansvarar för att personalen inom respektive verksamhet får tillräcklig utbildning i informationssäkerhet och att de efterlever fastställda informationssäkerhetsregler Bilaga 3

Synliggör förbättringsområden!

Resultat 1 2 3 4 Möjliggör efterlevnadsarbete Ökat ansvarstagande och delaktighet Central överblick

Resilient information elastisk, spänstig, töjbar Reason modified by Ekbäck

Karolinskas arbete med informationssäkerhet All säkerhet utgår från verksamhetens behov Informera, skapa engagemang och stöd verksamheten i förbättringsarbeten Delaktighe t Diskutera och synliggöra lyckade exempel så väl som risker med informationshantering