Rapport Riskanalys Acano videokonferenssystem

Relevanta dokument
Rapport Informationsklassning och riskanalys Mobila enheter Umeå Fritid

EBITS E-MÖTE / VIRTUELLT MÖTE 5 INFORMATIONSKLASSNING. 1 Syfte. 2 Avgränsningar. 3 Bakgrund. 4 Informationsformer

Riktlinjer. Informationssäkerhetsklassning

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Guide för säker behörighetshantering

Riktlinjer informationssäkerhetsklassning

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Myndigheten för samhällsskydd och beredskaps författningssamling

Metodstöd 2

Informationsklassning och systemsäkerhetsanalys en guide

En guide om GDPR och vad du behöver tänka på

Tillväxtverkets riktlinjer för intern styrning och kontroll

VÄGLEDNING INFORMATIONSKLASSNING

Riskanalys. Version 0.3

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

GDPR ur verksamhetsperspektiv

Administrativ säkerhet

Patientinstruktioner videobesök

I Central förvaltning Administrativ enhet

RUTIN FÖR RISKANALYS

KALLA TILL DISTANSMÖTE VIA MICROSOFT LYNC, KLIENT SAMORDNAD VÅRD- OCH OMSORGSPLANERING

Myndigheten för samhällsskydd och beredskaps författningssamling

Pass 2: Datahantering och datahanteringsplaner

Dokumenttyp Riskanalys Område DNSSEC2012. DNSSEC 2012 RISKANALYS Version 0.1. Västervik Ort och datum. Stephen Dorch Analysledare

FÖRBEREDANDE INSTÄLLNINGAR. i MICROSOFT LYNC INFÖR VIDEOMÖTE SAMORDNAD VÅRD- OCH OMSORGSPLANERING

Gemensam IT samordningsfunktion 49 kommuner i Västra Götaland och Västra Götalandsregionen

KALLA TILL SKYPE VIDEOMÖTE VIA OUTLOOK WEB APP SAMORDNAD VÅRD- OCH OMSORGSPLANERING

Riskanalys. till miljönämndens egenkontroll. Miljökontoret. Rapport

Manual för Cisco Meeting App (CMA)version 1.9.x

Föreskrifter och riktlinjer för intern styrning och kontroll på Universitetskanslersämbetet

Informationssäkerhetspolicy för Ånge kommun

KALLA TILL SKYPE VIDEOMÖTE VIA OUTLOOK KLIENT SAMORDNAD VÅRD- OCH OMSORGSPLANERING

Riktlinjer för informationssäkerhet

KALLA TILL SKYPE VIDEOMÖTE VIA OUTLOOK KLIENT SAMORDNAD VÅRD- OCH OMSORGSPLANERING

Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet

Datum: Version: Författare: Christina Danielsson Senast ändrad:

Myndigheten för samhällsskydd och beredskaps författningssamling

MOTTAGARE AV VIDEOMÖTE FÖR DE SOM HAR MICROSOFT LYNC INSTALLERAT SAMORDNAD VÅRD- OCH OMSORGSPLANERING

Roller för information behöver också fastställas, använd gärna nedanstående roller som kommer från SKL och deras verktyg

Kameraövervakning inomhus i skolor

MOTTAGARE AV VIDEOMÖTE FÖR DE SOM INTE HAR MICROSOFT LYNC INSTALLERAT SAMORDNAD VÅRD- OCH OMSORGSPLANERING

GITS. Kalla till Skype-möte med Outlook Web App. Gemensam IT samordningsfunktion 49 kommuner i Västra Götaland och Västra Götalandsregionen

Internetbaserad kommunikation - videosamtal, telefonsamtal, chatt, delning av skrivbord och videomöte

GITS. Kalla till Skype-möte med OUTLOOK KLIENT. Gemensam IT samordningsfunktion 49 kommuner i Västra Götaland och Västra Götalandsregionen

Webbaserat IT-stöd för Arbetsmiljö Rehab Säkerhet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Informationssäkerhet, Linköpings kommun

Kameraövervakning inomhus i skolor

Riktlinjer för dataskydd

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

RIKTLINJER FÖR SOCIALA MEDIER. Bakgrund. Syfte. Användning av sociala mediekanaler. Ansvar för publicering. Sida 1(5)

Juridik och informationssäkerhet

Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE

Informationssäkerhet med logghantering och åtkomstkontroll av hälso- och sjukvårdsjournaler i Vodok och nationell patientöversikt (NPÖ)

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

Riskanalys och riskhantering

Riktlinjer för e-post

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

BVS Riskanalys för signaltekniska anläggningsprojekt

Pass 2: Datahantering och datahanteringsplaner

Metodstöd 2

Myndigheten för samhällsskydd och beredskaps författningssamling

Plan för intern kontroll 2017

Att använda TV:n som bildskärm till datorn.

Informationssäkerhet vid upphandling och inköp av IT-system och tjänster

Patientinstruktioner - videobesök Breddimplementering av innovation

Anmälda personuppgiftsincidenter 2018

Hur du genomför ett videomöte

RealPresence Desktop 3.1

Riktlinjer e-post Vårdförbundet

Rätt informationssäkerhet är A&O vid införande av välfärdsteknologi. Jeanna Thorslund, Sveriges Kommuner och Landsting Thomas Nilsson, Certezza

UTKAST. Riktlinjer vid val av molntjänst

Arbetsdokumentnr: SU Dokumentnamn: Miljöriskbedömning för institutionen MMK Utfärdat av: Baltzar Stevensson Godkänt av: Gunnar Svensson

Video- och distansmöte - Beskrivning och tjänstespecifika villkor

MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE Bil 7

Bokningsportal Video- och distansmöte

Lathund för Svenskt Näringsliv

Novare Public - Integritetspolicy. Datum för ikraftträdande: Senast uppdaterad:

InTime är personuppgiftsansvarig för behandlingen av de personuppgifter som du delar med oss när:

Bedragarens mål Att få den anställda att föra över medel eller information till bedragaren.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Riktlinje för riskhantering

Novare Professionals - Integritetspolicy. Datum för ikraftträdande: Senast uppdaterad:

BOSTADSRÄTTSFÖRENINGEN MAGNETENS PERSONUPPGIFTSPOLICY

Kravställning på e-arkiv från informationssäkerhetsperspektiv

Översikt av GDPR och förberedelser inför 25/5-2018

Informationssäkerhetspolicy för Umeå universitet

1 Risk- och sårbarhetsanalys

5 säkerhetsaspekter att tänka på vid skapandet av din digitala assistent

Kom igång med utbildningen säkervardag.nu!

Informationssäkerhetspolicy

AS 12.2 Riskanalys, beredskap och agerande vid nödläge för Akademiska sjukhuset

Riktlinjer för intern kontroll

Vi har här sammanställt hur vi samlar in och hanterar dina personuppgifter i enlighet med Dataskyddsförordningen (GDPR).

Startguide för Administratör Kom igång med Microsoft Office 365

Kompletteringsuppgift: Verksamhetsanalys och riskanalys

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

MANUAL FÖR STÖDCHATTEN KÄRLEKEN ÄR FRI

Personuppgiftspolicy & villkor för biljettköp

Transkript:

Rapport Riskanalys Acano videokonferenssystem Umeå 2016-02-08 Analysledare Tommy Rampling, Umeå kommun

Innehållsförteckning 1 Bakgrund... 3 2 Deltagare... 3 3 Sammanfattning... 3 4 Metod och bedömningsmall... 4 4.1 Informationssäkerhetsklassning... 4 4.2 Hot... 4 4.3 Riskvärdering... 5 4.3.1 Sannolikhet (S) att händelsen skall inträffa... 5 4.3.2 Konsekvens (K) för verksamheten om händelsen skulle inträffa... 5 4.3.3 Risknivå... 5 4.4 Beskrivning av hot och eventuella åtgärder... 6 4.5 ering... 9 4.5.1 Prioritering... 9 4.5.2 Ansvarig... 9 5 Handlingsplan... 9 Rapport Riskanalys Sida 2 av 9

1 Bakgrund Regionförbundet i Västerbotten driver ett pilotprojekt kring video- och distansmöten för länets kommuner samt Örnsköldsviks kommun. Projektets syfte är att utveckla och öka användandet av video- och distansmötestjänster samt skapa förutsättningar för att alla deltagande organisationer enkelt skall kunna testa att använda sig av möjligheten. I projektet kommer en mötestjänstplattform, Acano, att testas i samarbete med AC-Net och Mindspace Group. Administrationen kring den nya mötestjänsten har decentraliserats för att få en enkel och smidig hantering. I varje kommun finns det en utsedd superanvändare som svarar på övergripande frågor och hanterar användarkonton. För att undersöka vilka risker som eventuellt kan finnas med den här typen av teknik så har en riskanalys genomförts. Två möten, 19 januari och 8 februari, har genomförts med fokus på att fånga upp hot och sedan diskutera risken med dessa hot och ta fram åtgärder för att minimera dessa risker. 2 Deltagare Hans Agdahl, Umeå kommun Johan Forsgren, Umeå kommun Lennart Nilsson, kommunjurist, Umeå kommun Anna-Karin Burman, Skellefteå kommun Nils Larsson, Skellefteå kommun Christian Wåhlin, Mindspace Tommy Rampling, analysledare, Umeå Kommun Stefan Granberg, Umeå kommun Kaj Backman, Region Västerbotten Christer Widmark, Skellefteå kommun Isak Nyberg, Skellefteå kommun Anita Eriksson, Åsele Johnny Lundström, Region Västerbotten Vissa av deltagarna har endast deltagit vid ett möte eller del av möte. 3 Sammanfattning Under arbetets gång kom vi fram till att mycket av det vi diskuterat i termer hot när det gäller videokonferenssystemet Acano kan kopplas till vanlig telefoni. När det gäller risken för att bli avlyssnad så är den troligen mindre i samband med videokonferensutrustning än via telefon. Att spela in samtal är svårt att kontrollera i båda fallen. Därför kan det vara viktigt att klargöra att inspelning av ljud i vissa fall inte är lämpligt. Den som leder mötet har en viktig uppgift och det är att ha koll på vilka som är med, vilka som avviker och vilka som tillkommer under ett möte. Det är också viktigt att alla deltagare får information om vad som gäller kring inspelning av mötet och att man har en förståelse för att hantera informationen utifrån hur känslig den kan vara. I vissa fall kan det vara rätt att kräva lösenord(pinkod) för att koppla upp sig men det i normalfallet är det inte nödvändigt. En checklista som stöd till mötesansvarig där det framgår vad som är viktigt att förmedla till deltagarna i mötet behöver tas fram. Mindspace har i sitt dokument tagit fram ett antal punkter som skulle kunna finnas med i en sådan checklista. Det finns alltid risker när man finns uppkopplad och vissa av dessa risker måste man på olika sätt försöka begränsa för att minska risken att de inträffar eller om de skulle inträffa kunna hantera Rapport Riskanalys Sida 3 av 9

händelsen på ett sådant sätt att skadorna bli så små som möjligt. Efter de diskussioner vi nu haft så är min känsla att om deltagare i ett videkonferensmöte har grundläggande förståelse för de risker som finns så kommer videkonferenssystemet bli ett bra stöd. 4 Metod och bedömningsmall Analysen består normalt av fyra delar vilka är följande: 1. Informationsklassning 2. Hotinventering 3. Riskvärdering 4. ering Vi har inte gjort en fullständig informationsklassning utifrån de fyra olika perspektiven konfidentialitet, tillgänglighet, riktighet och spårbarhet utan koncentrerat oss på att fånga upp de hot som skulle kunna vara aktuella i samband med användande av videokonferensanläggning och diskuterat oss fram till vilka risker som det skulle kunna innebära. 4.1 Informationssäkerhetsklassning Vilken typ av information kommer naturligtvis att variera mellan känslig information och helt öppen information. Enligt leverantören Mindspace så är det endast förnamn, efternamn och e-postadress som kommer att lagras hos Mindspace. Det är också möjligt att spela in videomöten och den informationen lagras i servrar som Mindspace hanterar och dessa servrar finns i Sverige. 4.2 Hot Vid första möten dokumenterade vi de hot och händelser som kunde vara aktuella vid användandet av videokonferenssystemet. Gruppen kommer fram till följande hot/händelser: 1. Kameran registrerar något känsligt i bakgrunden 2. Ser inte om Mute-knappen är på 3. Någon har två mötesessioner igång samtidigt (överhörning) Går det?? 4. Utger sig för att vara någon annan person 5. Lågt säkerhetsmedvetande 6. Konversation börjar utan samtycke. Tar uppgifter utan samtycke. Frångår rutiner skapar nya rutiner 7. Obehörig är med på mötet eller någon har ringt in till ett cospace och avlyssnar kommande möten 8. Olovlig inspelning av mötet (informationen) 9. Ingen kontroll över motpartens utrustning 10. Leverantören sparar mötet 11. Osäker hantering av lösenord. 12. Någon hackar sig in i systemet eller klienten 13. Dålig rutin för användaradministration. Är det rätt person som har tillgång? Avslut av konto. 14. Någon har ringt in till ett cospace och avlyssnar kommande möten 15. Glömt sätta lösenord vid känsligt möte och någon obehörig kommer in på mötet 16. Enkelheten kan göra att man blir omedveten om vad som visas i bakgrunden se nr1 17. Logg som visar vem som varit med på mötet 18. Ökad administration om det behövs samtycke/medgivande 19. Oavsiktlig hantering Rapport Riskanalys Sida 4 av 9

4.3 Riskvärdering Riskvärdering innebär ett uppskattat värde på den risk som man har identifierat. Riskvärdet får man fram genom att uppskatta sannolikheten att händelsen skall inträffa samt nivån på den konsekvens som detta skulle innebära. Produkten av dessa värden är uppskattad risknivå. Analysen har använts sig av de rekommendationer som MSB (Myndigheten för samhällsskydd och beredskap) har gett ut. Vad de olika nivåerna för konsekvenserna innebär varierar mellan olika verksamheter. Det viktiga är att få en inbördes rangordning mellan de olika hoten. Dessa värden är ingen faktisk sanning men den diskussion som leder fram till vilket värde som sätts är viktig och ger en förståelse för vilka hot som kan finnas mot verksamheten. När samtliga hot är analyserade är det viktigt att se över om den inbördes riskvärderingen verkar rimlig. 4.3.1 Sannolikhet (S) att händelsen skall inträffa 1 = En gång på100 år 2 = En gång på 10 år 3 = Årligen 4 = Mer än 1 gång per år 4.3.2 Konsekvens (K) för verksamheten om händelsen skulle inträffa 1 = Försumbar 2 = Måttlig 3 = Betydande 4 = Allvarlig 4.3.3 Risknivå Risknivån räknas fram genom att multiplicera värdet för sannolikhet med värdet för konsekvens. Rapport Riskanalys Sida 5 av 9

4.4 Beskrivning av hot och eventuella åtgärder Hot 1 Kameran registerar något känsligt i bakgrunden. Enkelheten kan göra att man blir omedveten om vad som visas i bakgrunden (Hot 16) Gruppen kom fram till att det är sannolikt att det kan inträffa men konsekvensen är naturligtvis beroende på hur känsligt det är som kommer att visas i bakgrunden. Ett bra stöd vid användande av en videokonferensanläggning skulle vara en checklista som tar upp olika saker vad man bör tänka på. Hot 2 Ser inte att Mute-knappen är på. Har inte uppfattat att ljudet går ut till övriga på mötet Kan mycket väl hända och konsekvenserna kan variera utifrån vilken typ av information som lämnas. Viktigt att alla deltagare har kunskap om hur konferenssystemet fungerar så att man kan försäkra sig om när ljudet är bortkopplat. Hot 3 Någon har två mötesessioner igång samtidigt (överhörning) Går det?? Enligt leverantören så har det inträffat men ska nu vara åtgärdat. Vi tar ändå med det som ett hot men klassar den som en liten risk (låg sannolikhet och måttlig konsekvens) Att som användare och ordförande av mötet vara observant om det kan vara flera sessioner på gång. Hot 4 Utger sig för att vara en annan person Exempelvis att någon konsult från något företag Gruppen anser att sannolikheten att det skulle inträffa skulle vara sällan eller mycket sällan. Om det däremot skulle inträffa så skulle konsekvenserna kunna bli betydande. Den som leder mötet (Ordföranden) ska ha koll på vilka deltagare det är som ska delta och vilka som tillkommer och avviker från ett möte. Hot 5 Lågt säkerhetsmedvetande Hotet är mycket generellt men vi tar ändå med det som ett hot. Risknivån för detta har många beroenden. Gruppen kom fram till att risken är ganska hög dvs hög sannolikhet att personal har lågt säkerhetsmedvetande och att konsekvenserna skulle kunna bli betydande Åtgärden för att minska denna risk är utbildning/ information till berörda. Det räcker inte med en koncentrarad utbildningsinsats utan utbildning/information måste vara återkommande. Därför är det viktigt att ta fram en rutin hur detta skulle kunna genomföras. Ju känsliga information som kommer att hanteras desto viktigare är det att berörda blir medvetna om vilka risker som finns vid användande av Rapport Riskanalys Sida 6 av 9

videokonferenssystem Hot 7 Obehörig är med på mötet eller någon har ringt in till ett cospace och avlyssnar kommande möten. Inkluderar hot nummer 14. Under diskussionen kom vi fram till att det borde vara större risk för att detta skulle hända i samband med ett vanligt telefonsamtal och det är inget vi i dagsläget inte reagerar över. Det finns alltid en risk men gruppen kommer fram till att den bör vara relativt låg. Mötesledaren (Ordföranden) för mötet har en viktig uppgift att löpande kontrollera vilka som är med på mötet, vilka som avviker och vilka som tillkommer. De flesta mötestjänster har symboler för antal deltagare och/eller särskild symbol för deltagare med endast ljud som underlättar att ha koll på vilka som deltar. Hot 8 Olovlig inspelning av mötet (informationen) Det kommer alltid att finnas en risk att någon som deltar i videokonferensen spelar in själva samtalen som förs. Det kommer att vara svårt att upptäcka. Det kan enkelt göras med hjälp av exempelvis en mobil. Så sannolikheten att det görs anser vi vara stor. Även om det skulle ske så behöver det inte betyda att risknivån för själva hotet blir så hög om informationen endast används för eget bruk. Risknivån blir en helt annat om den inspelade informationen är av känslig natur och obehöriga kommer över den. För att detta hot ska hanteras så blev konsekvensen för detta hot betydande. Vi inkluderar hot nummer 9 i detta hot. En punkt i en checklista vid användande av videokonferenssystem skulle kunna vara en fråga om det är lämpligt att spela in ett videokonferenssystem d.v.s. själva informationen. Det är något som man bör ta ställning till i början av mötet. Hot 10 Leverantören sparar mötet (spelas in) Gruppen tror inte att det kommer att vara aktuellt vid så många tillfällen. Skulle det vara aktuellt så är det ett beslut som samtliga deltagare ska vara medvetna om och det ska finns ett tydligt syfte med detta. Det som åsyftas i detta hot är att leverantören utan medgivande från de som håller mötet spelar in mötet eller att information från ett inspelat möte hamnar hos obehöriga. Gruppen kommer fram till att sannolikheten är låg at detta skulle inträffa men om det skulle göra det så är det mycket allvarligt och kan få allvarligare konsekvenser. En fråga som gruppen diskuterade var om ett inspelat videokonferensmöte skulle kunna betraktas som allmän handling och skulle kunna lämnas ut till media. Vi kom fram till att det troligen inte är på det viset men frågan bör kontrolleras med juridiken. Tydliggöra i avtal med leverantören hur inspelade möten hanteras. Viktigt också att leverantören kan beskriva hur dessa inspelade möten lagras för att förhindra att obehöriga kan ta del av dessa möten. Kontrollera om material från ett inspelat videokonferensmöte kan betraktas som allmän handling. En fråga kom upp om personuppgiftsbiträdesavtal och frågan skickades vidare till Datainspektionen och svaret var att om vi sparar material hos leverantören(acano) och det materialet omfattar personuppgifter(medverkande personer är identifierbara) så ska vi ha ett personuppgiftsbiträdesavtal med leverantören. Rapport Riskanalys Sida 7 av 9

Hot 11 Osäker hantering av lösenord Det är inte något krav att använda lösenord men möjligheten finns. Även här jämförde vi användandet av videokonferens med användande av vanlig telefoni. Gruppen kom fram till att risknivån för detta hot är väldigt låg. Samtidigt finns det en möjlighet att använda lösenord för att minska risken ytterligare för att obehöriga ska kunna ta del av ett videokonferensmöte. Fastställ tydliga regler för när lösenord ska används och hur dessa ska vara utformade. Hot 12 Någon hackar sig in i systemet eller klienten Sannolikheten att någon skulle vilja hacka systemet känns relativt låg men risken finns alltid. Gruppen har sagt att konsekvenserna av en sådan händelse skulle vara måttliga. Om händelsen skulle komma till medias kännedom tror jag att konsekvenserna skulle bli allvarliga. Då skulle videokonferenssystemet säkerhet kraftigt ifrågasättas och det skulle troligen innebära ett misstroende bland allmänheten att delta i videokonferensmöten. Systemet stöder kryptering och det är det som ska användas. Viktigt att tänka på att ifall parter ansluter utan kryptering så är det en ökad risk för mötet, även om det bara är trafik till/från den parten som kan komprometteras. Det är därför viktigt att det finns med i en kommande checklista/rutinbeskrivning. Omfattar även hot nummer 15. Hot 13 Dålig rutin för användaradministration. Är det rätt person som har tillgång? Avslut av konto. Vi har bedömt att detta händer ofta men att konsekvenserna är försumbara. Hot 17 Logg som visar vem som varit med på mötet Ingen riskbedömning har gjorts på detta hot. Anledningen är att om man ansluter via länk så kommer det endast stå att en Guest är ansluten. Om det är ett rum så vet man inte vilka personer som finns med. Det är endast om man loggar in som det går att få fram vilken användare det är. Hot 18 Ökad administration om de behövs samtycke/medgivande Ingen riskbedömning har gjorts på detta hot. Gruppen konstaterar att det inte kommer att bli någon skillnad. Innan man kommer fram att använda videokonferenssystemet så har man troligen redan klargjort detta med Rapport Riskanalys Sida 8 av 9

samtycke/medgivande i ett tidigare skede. Fundera vidare på hur samtycke/medgivande ska hanteras OM det skulle vara så att detta är den första kontakten som tas med en person och det är ett ärende där känslig information kommer att hanteras 4.5 ering ering innebär att gruppen föreslår skadeförebyggande och skadebegränsande åtgärder. Innan man tar fram förslagsåtgärder så bör man ställa följande frågor för respektive hot: - Det nuvarande skyddet bedöms vara tillräckligt Ja/Nej - Det nuvarande skyddet bedöms inte vara tillräckligt men verksamheten accepterar de kvarvarande riskerna Ja/Nej - Det nuvarande skyddet bedöms inte vara tillräckligt och det behövs ytterligare åtgärder Ja/Nej Steg 1: Beskriv vilka ytterligare åtgärder som bör genomföras och vad som behöver prioriteras. Steg 2: Uppskatta kostnaden för åtgärden. Detta skall ställas i relation till den verksamhetsnytta som åtgärden kommer att ge. Att genomföra åtgärder innebär utgifter och därför är det viktigt att tydligöra nyttan med att genomföra åtgärden. 4.5.1 Prioritering Till samtliga åtgärder finns också en rekommendation om genomförande ur ett tidsperspektiv angiven. Förslag på när åtgärden bör vara genomförd: 1 = Åtgärden bör genomföras omgående 2 = Åtgärden bör genomföras inom 6 månader 3 = Åtgärden bör genomföras inom 12 månader 4.5.2 Ansvarig Namn på den som är ansvarig för att den framtagna åtgärdsplanen hanteras. 5 Handlingsplan I handlingsplanen ges förslag på vilka åtgärder som bör genomföras samt en prioritering av dessa. Prioritet Åtgärd Tid Ansv. Klart Skapa en checklista för den som ska leda ett möte. Vad behöver man tänka på Grundläggande utbildning hur systemet fungerar och vilka risker som man måste vara medvetna om Fastställ tydliga regler för när lösenord ska används och hur dessa ska vara utformade. Fastställ vad som ska gälla angående kryptering av kommunikationen Tydliggöra i avtal med leverantören hur inspelade möten hanteras hos leverantören Rapport Riskanalys Sida 9 av 9