Kapitel 6 Personal och säkerhet



Relevanta dokument
Kapitel 8 Personalresurser och säkerhet

Kapitel 6 Organisation av informationssäkerheten

Säkerhet i fokus. Säkerhet i fokus

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Informationssäkerhetspolicy

Säkerhet i fokus. Säkerhet i fokus

Informationssäkerhetspolicy för Ystads kommun F 17:01

Systematiskt arbetsmiljöarbete, SAM, och uppgiftsfördelningen inom Västarvet

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Policy för informationssäkerhet

Ansvar och befogenhet i arbetsmiljön

Informationssäkerhetspolicy KS/2018:260

Informationssäkerhetspolicy

Myndigheten för samhällsskydd och beredskaps författningssamling

Administrativ säkerhet

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Regler för användning av Riksbankens ITresurser

Checklista för årlig uppföljning av det systematiska arbetsmiljöarbetet

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Dataintrång - åtgärder vid misstanke om olovlig åtkomst

Policy mot kränkande särbehandling, sexuella trakasserier och trakasserier på grund av kön

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

Informationssäkerhetspolicy

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

1(6) Informationssäkerhetspolicy. Styrdokument

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Regler och instruktioner för verksamheten

Informationssäkerhetspolicy för Umeå universitet

Policy för användande av IT

I Central förvaltning Administrativ enhet

Regel. Användning av Riksbankens IT-resurser. Inledning. Användning av IT-resurser

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Arbetsmiljöpolicy. Inom Praktikertjänstkoncernen 1 (5) ID-begrepp L17_1

Koncernkontoret Enheten för säkerhet och intern miljöledning

Arbetsmiljöpolicy. Pilagårdsskolan

VGR-RIKTLINJE FÖR FYSISK SÄKERHET

Visselblåsare Stärkt skydd för arbetstagare som slår larm om allvarliga missförhållanden (SOU 2014:31)

RUTINER OCH METODER FÖR ÅTGÄRDER MOT KRÄNKANDE SÄRBEHANDLING OCH SEXUELLA TRAKASSERIER

Informationssäkerhetspolicy för Ånge kommun

Rutin avseende diskriminering, trakasserier, sexuella trakasserier och repressalier i arbetslivet.

Myndigheten för samhällsskydd och beredskaps författningssamling

RIKTLINJER FÖR ÅTGÄRDER MOT KRÄNKANDE SÄRBEHANDLING OCH TRAKASSERIER

Lokal informationssäkerhetspolicy, lokala informationssäkerhetsriktlinjer och anvisningar

Plan för aktiva åtgärder mot diskriminering och trakasserier

Bemanningsavtalet Medieföretagen Svenska Journalistförbundet

Vid akuta incidenter sekundär intervention

Rutin för systematiskt arbetsmiljöarbete inom Enköpings kommun

ARBETSMILJÖPOLICY Dokumenttyp Dokumentnamn Fastställd/Upprättad Version Sida Dokumentägare Dokumentansvarig Reviderad Giltighetstid

Granskning av bisysslor i Valdemarsviks kommun

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet.

Delegation avarbetsmiljöansvar

Vägledande råd och bestämmelser för fördelning av arbetsmiljöuppgifter

Delegering av arbetsmiljö 2016

Verket för förvaltningsutvecklings författningssamling ISSN Utgivare: Lena Jönsson, Verva, Box 214, Stockholm

Diskriminering. Nationell policy och riktlinjer. trakasserier, kränkande särbehandling

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Policy för informations- säkerhet och personuppgiftshantering

IT-säkerhetspolicy för Landstinget Sörmland

Checklista för årlig uppföljning av det systematiska arbetsmiljöarbetet

vem har arbetsmiljöansvaret?

SÄKERHETSPOLICY FÖR VÄSTERVIKS KOMMUNKONCERN ANTAGEN AV KOMMUNFULLMÄKTIGE , 8

Policy för likabehandling

Riktlinjer till personalpolicy - Arbetsmiljö

Informationssäkerhetspolicy

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Riktlinje för motverkan av alkohol- och annan droganvändning

RZ Gruppens Uppförandekod

Fördelning av arbetsmiljöuppgifter

Reglemente för internkontroll

Riktlinjer mot Våld och hot i arbetsmiljön

Rutin avseende kränkande särbehandling i arbetslivet

SÅ HÄR GÖR VI I NACKA

Kommunövergripande riktlinjer för säkerhet och krisberedskap i Östra Göinge kommun mandatperioden

Informationssäkerhet - Informationssäkerhetspolicy

Revisionsrapport nr 1, 2012 R Wallin. Vadstena kommun. Bisysslor bland anställda

Riktlinje för säkerhetsarbetet i Norrköpings kommun

Kapitel 7 Hantering av tillgångar

Version INTEGRITETSPOLICY. gällande rekrytering av personal, volontärer och praktikanter Enligt Dataskyddsförordningen

Systematiskt arbetsmiljöarbete. Glasmästeri Fasad Bilglas Ramverkstäder

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C

Policy för säkerhetsskydd

Informationssäkerhetspolicy. Linköpings kommun

Årlig uppföljning av det systematiska arbetsmiljöarbetet

Arbetsmiljöpolicy. Arbetsmiljöpolicy

Här nedan är ett urval av de vanligaste frågorna (FAQ, Frequently Asked Questions) som kommit till FAR och Srf konsulterna om uppdragsavtal.

Systematiskt arbetsmiljöarbete

Checklista för introduktion

Rutin för arbete mot kränkande särbehandling i arbetslivet (inklusive diskriminering och trakasserier)

Vägledande rutin för chefer om kontroll av hur arbetstagare använder kommunens IT-utrustning och ITresurser

Policy och handlingsplan mot kränkande särbehandling, trakasserier och sexuella trakasserier

Riktlinjer. Diskriminering och likabehandling

Kommunstyrelsens förslag till antagande av reviderad informationssäkerhetspolicy Ärende 11 KS 2017/336

Arbetsmiljöverkets föreskrifter om systematiskt arbetsmiljöarbete. Föreskrifternas tillämpningsområde. Definition av systematiskt arbetsmiljöarbete

1(9) Lönepolicy. Styrdokument

Informations- säkerhet

Kommunens författningssamling

Transkript:

Kapitel 6 Personal och säkerhet Inledning I appendix A till SS 62 77 99-2 refereras till normativa krav för att uppfylla ett ledningssystem för informationssäkerhet. Nedan följer råd som finns i SS-ISO/IEC 17799 för att kunna uppfylla dessa krav.. Det är viktigt att veta att inte alla råd finns i SS-ISO/IEC 17799 återfinns som krav i SS 62 77 99-2. Mål och styrmedel införs i den mån verksamheten så kräver de kan även vara tillägg som inte återfinns i SS- ISO/IEC 17799. Människorna i en organisation brukar oftast kallas för kunskapskapitalet och betraktas som den viktigaste resursen. Men de är inte enbart en förutsättning för verksamheten utan ingår också i hotbilden mot den. Väsentligt är att hotbilden inte enbart kommer från alla anställda utan också från personer med anknytning till organisationen som konsulter, praktikanter, entreprenadarbetare (städare, catering, växeltelefonist, it-tekniker) etc. Lojala medarbetare är en förutsättning för att säkerställa en kontinuerligt hög nivå av informationssäkerhet i en organisation. En god arbetsmiljö, i vid bemärkelse, bidrar till att höja säkerheten. Arbetsmiljöverket [AFS2001:1] Systematiskt arbetsmiljöarbete, ställer krav på organisationens ledningssystem inom arbetsmiljöområdet. En verksamhet som vilar helt på en eller flera nyckelpersoner är sårbar. Det är viktigt att utforma organisation och befattningar så att beroendet av nyckelpersoner reduceras. Mångkunnighet hos de anställda minskar sårbarheten. En organisation som värnar såväl informationssäkerhet som en god arbetsmiljö har förutsättningen att täcka in hela säkerhetsbegreppet för området personal och säkerhet. 6.1 Säkerhet i beskrivning av befattningar och bemanning Mål: Att minska riskerna för mänskliga misstag, stöld, bedrägeri eller felaktigt utnyttjande av tillgångar. Säkerhetsansvaret bör beaktas vid rekryteringstillfället, ingå i avtal och övervakas under anställningstiden. Platssökande bör kontrolleras på lämpligt sätt (se 6.1.2) särskilt om anställningen medför känsliga arbetsuppgifter. Alla anställda, samt utomstående personal som använder resurser för informationsbehandling, bör skriva under ett sekretessavtal. Organisationens olika befattningar bör identifieras och analyseras utifrån ett riskperspektiv. En riskprofil för varje befattning som hanterar känsligt material bör tas fram som innehåller information om bland annat hantering av klassificerat material och ekonomiskt ansvar. Vid rekrytering och omplacering av personal bör en avstämning ske mot befattningens riskprofil. Ovanstående gäller inte enbart tillsvidareanställda utan även praktikanter och korttidsanställda. Vid användning av en resursförstärkning som exempelvis inhyrda konsulter, bör en kontraktsgenomgång innehålla en motsvarande avstämning mot den riskprofil som finns kopplad till uppdraget. 6.1.1 Inkluderande av säkerhet i beskrivning av ansvar i arbetet Befattningsbeskrivningar eller motsvarande bör upprättas på ett sådant sätt att de omfattar den riskprofil som finns. Formuleringen av det ansvar och de befogenheter som är kopplade till tjänsten bör vara entydiga. Viktigt är att befattningsbeskrivningen innehåller vilka informationssäkerhetstillgångar som befattningen ansvarar för och att ansvaret för såväl skydd som underhåll av dessa klart framgår. 6.1.2 Val av personal och policy Vid all rekrytering eller anlitande av tillfällig personal bör följande områden beaktas Identitet bör kontrolleras på erforderlig nivå. Normalt via allmänt accepterade id-handlingar, som körkort, pass eller SIS-märkt id-handling. Referenser bör alltid kontrolleras. Meritförteckning bör kontrolleras utifrån både riktighet och rimlighet. Kvalifikationer bör vara bekräftade med betyg eller intyg. Kreditupplysning bör tas för befattningar där riskprofilen innefattar ekonomiskt ansvar och där ytterligare kontroll kan anses befogad. Utdrag ur polisregister kan vara befogat för känsliga befattningar. Ett sådant utdrag kan dock vara ofullständigt på grund av sekretessregler, varför det inte bör tillmätas ett alltför stort värde. Kapitel6 Sida1

6.1.3 Sekretessavtal Vid anställning såväl som vid kontraktsskrivning med konsult bör ett sekretessavtal upprättas. Avtalet ska vara så skrivet att det entydigt definierar vad sekretessen avser samt vilka befogenheter och vilket ansvar för sekretessbehandlad information som gäller. Inom den offentliga sektorn är sekretess reglerat i lagstiftning för de anställda och personer som anlitas av offentliga uppdragsgivare. Sekretessförbindelse är i dessa fall inte möjliga att använda utan ersätts i stället av en sekretesserinran. Denna skrivs inte under utan, som namnet säger, erinrar om gällande lagstiftning. 6.1.4 Anställningsvillkor och anställningsförhållanden Anställningsvillkoren bör tydligt definiera det ansvar samt de rättigheter och skyldigheter en anställning medför utifrån ett informationssäkerhetsperspektiv. Frågor rörande upphovsrätt, nyttjande och spridande av information, nyttjande av organisationens resurser för egen del etc. är områden vilka bör regleras i anställningsvillkoren. Rutiner för upphörande av anställning alternativt ändrad befattning bör finnas definierade i det regelverk vilket reglerar anställningsförhållanden. 6.2 Användarutbildning Mål: Att säkerställa att användare är medvetna om hot och risker rörande informationssäkerhet och är rustade så att de i sitt dagliga arbete kan stödja organisationens informationssäkerhetspolicy. Användare bör utbildas i säkerhetsrutiner och korrekt hantering av informationsbehandlingsresurser för att minimera möjliga säkerhetsrisker. En medarbetare kan oavsiktligt åsamka organisationen höga kostnader och annan stor skada beroende på bristande introduktion och utbildning. Det är därför viktigt att introduktion och utbildning av nya medarbetare håller hög kvalitet. Detsamma gäller naturligtvis vid omplacering av redan anställda medarbetare. Lika viktigt är det att detta görs även när tillfällig personal och externa konsulter anlitas. Kompetensutvecklingen av personalen är viktig i en vidare mening eftersom den också påverkar medarbetarnas trivsel med arbetsuppgifterna och därmed ökar lojaliteten med organisationen. 6.2.1 Utbildning och övning i informationssäkerhet Alla i organisationen, även tillfälligt anställda och konsulter, bör få information om den gällande informationssäkerhetspolicyn. Information om det regelverk som ser till att policyn efterlevs bör också ges. Basinformation bör ges redan vid introduktion på arbetsplatsen och därefter följas upp med kontinuerliga utbildningar. Utbildningens omfattning är beroende av den riskprofil och det ansvar och de befogenheter som gäller för befattningen. Utbildningen bör följas upp minst en gång om året. I samband med uppföljningen bör också en omvärldsanalys eller annan aktuell information inom området presenteras. Resultatet av genomförda riskanalyser baserade på incidentrapporteringen bör också presenteras. 6.3 Reaktion på säkerhetsincidenter och funktionsfel Mål: Att minska skador på grund av säkerhetsincidenter och fel och att övervaka och dra lärdom av dessa. Incidenter som påverkar säkerheten bör rapporteras enligt fastställda rapporteringsvägar så snabbt som möjligt. Alla anställda och leverantörer bör göras medvetna om rutiner för att rapportera olika typer av incidenter (t.ex. brott mot säkerhetsbestämmelser, hot, brist eller felfunktion) som kan påverka säkerheten för organisationens tillgångar. Det bör krävas av dem att alla observerade eller misstänkta incidenter snabbast möjligt rapporteras till rätt instans. Organisationen bör införa en formell disciplinär process gentemot personal som bryter mot säkerhetsbestämmelser. För att möjliggöra att incidenter hanteras korrekt kan det bli nödvändigt att samla in bevis så snart som möjligt efter händelsen (Se 12.1.7). För att på sikt höja säkerheten i organisationen är det viktigt att de incidenter som inrapporteras hanteras på ett effektivt sätt. Det innebär att olika åtgärder, som att genomföra nya riskanalyser och andra omedelbara kortsiktiga åtgärder, vidtas så snart som möjligt. 6.3.1 Rapportering av säkerhetsincidenter Rutiner för incidentrapportering bör finnas. De ska säkerställa att incidenter rapporteras så snart de observerats. Rutinerna bör vara kända av alla i organisationen och så utformade att det inte finns några Kapitel 6 Sida 2

omotiverade byråkratiska hinder. Definitionen av vad som är en incident måste vara entydig och förstådd av alla. 6.3.2 Rapportering av säkerhetsmässiga svagheter Säkerhetsmässiga svagheter bör rapporteras och hanteras i enlighet med en formell rutin. Bästa lösningen kan vara att använda samma rutin som för incidentrapportering. 6.3.3 Rapportering av funktionsfel i program Rutiner för rapportering av uppkomna problem i program använda av medarbetare bör finnas. Problemen rapporteras efter dessa rutiner. Rapporteringen bör inte bara resultera i hjälp till den berörda medarbetaren utan ska ses i ett större sammanhang. Det kan exempelvis röra sig om att program som används är olämplig för arbetsuppgifterna. En analys baserad på rapporteringen kan exempelvis leda till att program byts ut, att den berörda personalen utbildas eller att rutiner förändras. 6.3.4 Dra lärdom av incidenter För att utveckla ledningssystemet och förbättra skyddet av informationstillgångarna är det väsentligt att utvärdera rapporterade svagheter och incidenter. Analysen bör ske utifrån ett större perspektiv. Det räcker alltså inte att göra detta på ett övergripande sätt och bara titta på en enskild incident. Genom att klassa incidenter och använda statistiska tekniker kan mönster identifieras. Erfarenheterna från incidentrapporteringen bör tillämpas vid såväl genomförande av riskanalyser som vid uppdatering av informationssäkerhetspolicyn. 6.3.5 Disciplinär process De olika disciplinära åtgärder som kan vara aktuella är varning, omplacering till tjänst med annan riskprofil, uppsägning och polisanmälan. Åtgärderna måste ha ett tydligt stöd av ett regelverk som är väl förankrat hos de anställda och deras fackliga organisationer. I samband med information och utbildning i informationssäkerhet bör också information om detta regelverk ges. Det får aldrig råda någon tvekan om att när en disciplinär åtgärd används är det till följd av en avsiktligt illojal handling mot organisationen. Exempel 1 Rekrytering För två år sedan var Medytekk AB tvunget att lägga ner ett projekt på grund av att två forskare gick till ett konkurrerande företag. Projektet hann inte avslutas innan uppsägningstidens slut. Ledningen för Medytekk lyckades inte heller hyra tillbaka forskarna från konkurrenten för att avsluta projektet. 2 Förändring av anställningsvillkor Vid starten av Medytekks produktion i Polen för ett år sedan fick man allvarliga leveransproblem. Vid starten upptäcktes det att en stor del av de nödvändiga databaserna för produktions- och kvalitetsstyrning måste ha varit manipulerade, eftersom den färdiga slutprodukten inte uppfyllde kravspecifikationen. När Medytekk för ett år sedan flyttade en del av sin produktion till Polen permitterades ett 30-tal medarbetare. Kapitel 6 Sida 3

3 Militant djurrättsaktivist Laboratorieassistenten Kalles sambo är militant djurrättsaktivist. Hon har deltagit i ett antal aktioner mot företag och institutioner som, precis som Medytekk, sysslar med djurförsök. Hon var även med i den demonstration som föreningen "Stopp av djurförsök nu" hade utanför Medytekk. Chefen för Test och Produktion hos Medytekk har blivit utsatt för vissa hot, antagligen från olika militanta djurrättsaktivister, hon har dock aldrig tagit dessa på allvar eller polisanmält dem. 4 Virusproblem För en månad sedan var Medytekk AB tvungna att ta in en extern konsult för att få bukt med ett datorvirus som kommit in i företaget via e-post. Konsulten upptäckte att en av orsakerna till problemet var att virusprogramvaran inte var uppdaterad. Uppdateringen av virusskyddet var inte prioriterad och ingick inte heller i säkerhetsutbildningen hos företaget. Konsulten upptäckte också att den instruktion som fanns på företaget för hur e-post fick användas inte följts. 5 Sjukligt spelberoende Den administrative chefen Göran Rubens ägnar en allt större del av sin tid åt toto-spel på Solvalla. Spelandet har fått sådana konsekvenser att det privat resulterat i skilsmässa och att familjens gård i Knivsta har fått säljas för att täcka spelskulderna. Stefan Eriksson, vd, har av sin sekreterare, Berit Qvick, hört talas om att Göran Rubens vid ett flertal tillfällen bett om förskott samt att han vid flera tillfällen sjukskrivit sig på onsdagar. Vad kan vi lära oss av dessa exempel? Exempel 1 Rekrytering Medytekk borde ha tänkt på att kompetens- och resurssäkra forskningsprojektet via anpassad uppsägningstid till projekts varaktighet, sekretessavtal och identifiering av nyckelpersoner vid riskanalys för projektet. Dessutom borde Medytekk tänka på sekretessfrågan om forskarna skulle hyrts tillbaka för att slutföra projektet. För att säkerställa att framtida kompetensbehov täcks borde Medytekk tänka på att säkerställa personalens lojalitet via anställningsförmåner, rätt lönenivå, etc., identifiera nyckelpersoner och arbeta för att minska beroendet av dem, se över sina anställningsvillkor, och att inkludera sekretess i anställningsvillkoren även efter anställningens upphörande. Kapitel 6 Sida 4

Exempel 2 Förändring av anställningsvillkor Medytekk borde ha tänkt på att permittering av personal ofta kan innebära störningar i verksamheten när lojaliteten hos medarbetarna minskar eller när arbetsgivarens attraktivitet hos arbetstagaren minskar. För att säkerställa en flytt utan problem borde Medytekk ha tänkt på att göra en riskanalys utifrån den nya hotbild som uppstår vid förändringen, uppdatera behörigheter, förstärka skalskyddet, och att informera de anställda bättre om företagets planer och konsekvenserna för personalen. Exempel 3 Militant djurrättsaktivist Medytekk borde tänka på att diskutera frågan i utvecklingssamtal med Kalle, säkerställa tydlig informationshantering, utöka det fysiska skyddet och att eventuellt omplacera Kalle om riskanalysen visar att han utgör en stor risk. Dessutom bör Medytekk tänka på att säkerställa att incidenter rapporteras och följs upp så att hot tas på allvar och att de utgör en del i framtida riskanalys. För att säkerställa fortlevnad borde Medytekk tänka på att utöka sin omvärldsbevakning för att i framtiden vara förberedda för eventuell e-postbombning (spamming) och andra typer av hot, och att vara lyhörd vid personalrekrytering. Exempel 4 Virusproblem Medytekk borde ha tänkt på att uppmärksamma alla anställda på de problem virus kan åstadkomma i en organisation, införa rutiner för hantering av disketter, cd-skivor, filer bifogade till e-post, och så vidare som förs in i organisationen, detta för att säkerställa att viruskontroll sker, säkerställa informationsflödet till organisationen från experter på området, exempelvis via medverkan i branschorganisationer och liknande och att ha en aktiv omvärldsbevakning för att så tidigt som möjligt få kunskap om nya virus så att åtgärder mot dessa kan sättas in. Exempel 5 Sjukligt spelberoende För att säkerställa informationssäkerheten borde Medytekk tänka på att inrätta rutiner för personer som har personliga problem, sätta upp tydliga riktlinjer för vad som är tillåtet samt regler för hur överträdelser ska hanteras, tillsätta en krisgrupp som hjälper Göran Rubens att ta itu med sitt spelberoende och att i utvecklingssamtal följa upp personalens privata situation. Checklista Personal och Säkerhet Fråga Ja Delvis Nej Har nyckelpersoner identifierats? Har riskprofiler för organisationens befattningar tagits fram? Framgår ansvar och befogenhet för informationssäkerhet av befattningsbeskrivning? Kontrolleras identitet, referenser och meritförteckning vid rekrytering? Är rutiner för sekretessavtal/-erinran införda? Ges anställda erforderlig information och utbildning vad gäller informationssäkerhet? Finns rutiner för rapportering och hantering av säkerhetsincidenter? Finns rutiner för disciplinära åtgärder mot anställda som bryter mot organisationens informationssäkerhetspolicy? Kapitel 6 Sida 5

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss