BESLUT. Instruktion för informationsklassificering

Relevanta dokument
Koncernkontoret Enheten för säkerhet och intern miljöledning

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Informationssäkerhetspolicy inom Stockholms läns landsting

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

1(6) Informationssäkerhetspolicy. Styrdokument

Informationssäkerhetspolicy för Ystads kommun F 17:01

I n fo r m a ti o n ssä k e r h e t

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

Informationssäkerhetspolicy

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Modell för klassificering av information

Informationssäkerhetspolicy för Ånge kommun

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhetspolicy

SÅ HÄR GÖR VI I NACKA

BESLUT. Instruktioner om styrning av behörigheter för åtkomst till uppgifter om patienter

Informationssäkerhetspolicy KS/2018:260

Riktlinjer för IT-säkerhet i Halmstads kommun

Revidering av riktlinjer för Informationssäkerhet vid Högskolan i Skövde

Informationsklassning och systemsäkerhetsanalys en guide

Kommunstyrelsens förslag till antagande av reviderad informationssäkerhetspolicy Ärende 11 KS 2017/336

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13

Informationssäkerhetspolicy för Umeå universitet

Riktlinjer för informationssäkerhet

Koncernkontoret Enheten för juridik

Dnr

Finansinspektionens författningssamling

Policy för informationssäkerhet

VÄGLEDNING INFORMATIONSKLASSNING

BESLUT. Instruktion för hantering av informationssäkerhetshändelser- och incidenter

Riktlinjer för informationssäkerhet

Roller för information behöver också fastställas, använd gärna nedanstående roller som kommer från SKL och deras verktyg

Kommunal författningssamling för Smedjebackens kommun. Informationssäkerhetspolicy. 97 Dnr 2016/00447

Informationssäkerhetspolicy S/~LA KOMMUN KOMMUNFULLMÄKTIGE. Bi l aga KS 2015 / 135/1 INFORMATIONSSÄKERHETSPOLICY FÖR SALA KOMMUN

Metod för klassning av IT-system och E-tjänster

VGR-RIKTLINJE FÖR FYSISK SÄKERHET

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

Verksamhetsplan Informationssäkerhet

Informationssäkerhetspolicy

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Informationssäkerhetspolicy

Myndigheten för samhällsskydd och beredskap MSB Samhällets informationssäkerhet

Informationsklassning , Jan-Olof Andersson

Bilaga 3 Säkerhet Dnr: /

Arkivfunktionen. - beskrivning av roller och ansvar för arkivansvariga och arkivredogörare Styrdokument Version 1.

Informationssäkerhetspolicy. Linköpings kommun

Dnr UFV 2017/93. Informationssäkerhet. Riktlinjer för säkerhetsarbetet vid Uppsala universitet. Fastställda av Universitetsdirektören

Lokal informationssäkerhetspolicy för hälso- och sjukvårdsförvaltningen

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

POLICY INFORMATIONSSÄKERHET

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Kravställning på e-arkiv från informationssäkerhetsperspektiv

Finansinspektionens författningssamling

Säkerhetsskydd en översikt. Thomas Palfelt

Hantering av behörigheter och roller

BESLUT. Datum Dnr Tillämpningsanvisningar om Rätt att ta del av patientuppgifter inom Region Skåne

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Informationssäkerhet vid Lunds Universitet. Mötesplats Rydberg 3:e oktober Lennart Österman

Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet

Finansinspektionens författningssamling

1 INLEDNING ALLMÄNT OM INFORMATIONSSÄKERHET MÃL FÖRKOMMUNENS lnformationssäkerhetsarbete ROLLER OCH ANSVAR...

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

RAPPORT GEODATARÅDETS HANDLINGSPLAN Aktivitet Informationssäkerhet och Totalförsvar

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Fördelning av ansvar för informationssäkerhet. Version: 1. Beslutsinstans: Regiondirektören

Remissutgåva. Program för informationssäkerhet

Myndigheten för samhällsskydd och beredskaps författningssamling

Riktlinjer informationssäkerhet

Policy för informations- säkerhet och personuppgiftshantering

Myndigheten för samhällsskydd och beredskaps författningssamling

Regiondirektören. Chefs- och ledarkriterier i Region Skåne. Regiondirektörer beslutar i enlighet med bifogat PM. Alf Jönsson Regiondirektör BESLUT

Riktlinjer för informationssäkerhet

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

Informationssäkerhet och SKLs verktyg KLASSA. Avdelningen för Digitalisering Sektionen för Informationshantering och Digital Arbetsmiljö (IDA)

Ramverket för informationssäkerhet 2

Systematiskt arbete med skydd av samhällsviktig verksamhet

Informationssäkerhetspolicy för Nässjö kommun

Riktlinjer informationssäkerhetsklassning

Rätt informationssäkerhet är A&O vid införande av välfärdsteknologi. Jeanna Thorslund, Sveriges Kommuner och Landsting Thomas Nilsson, Certezza

Riktlinjer för Informationssäkerhet Falkenbergs Kommun Kommunledningskontoret

Riktlinjer. Informationssäkerhetsklassning

Myndigheten för samhällsskydd och beredskaps författningssamling

Handbok Informationsklassificering

Processorienterad informationsklassning

Koncernkontoret Ambulans, Krisberedskap och Säkerhet. Årlig rapport till Regionstyrelsen om informationssäkerhetsarbetet RAPPORT

Säkerhetsskyddsplan. Fastställd av kommunfullmäktige

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

Informationssäkerhetspolicy

Bilaga till rektorsbeslut RÖ28, (5)

Administrativ säkerhet

I Central förvaltning Administrativ enhet

Organisation för samordning av informationssäkerhet IT (0:1:0)

IT-Policy. Tritech Technology AB

Informations- och IT-säkerhet i kommunal verksamhet

Policy för informationssäkerhet

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

YTTRANDE 1 (5) Riskarkivets föreskrifter anger att överenskommelse eller avtal ska upprättas när handlingar hanteras av annan än myndigheten.

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Transkript:

Regiondirektören Alf Jönsson Tfn: +46 44 309 31 21 Mail: alf.jonsson@skane.se BESLUT Datum: 2018-10-15 Dnr: 1800025 1 (8) Instruktion för informationsklassificering Syftet är att beskriva hur s information ska klassificeras med målet att information hanteras på rätt sätt och får rätt skydd. Instruktionen fastställer också vilka skalor och metoder som ska användas vid klassificering av information. Härmed beslutas att - Instruktion för informationsklassificering fastställs - Informationssäkerhetschef har uppdraget att underhålla instruktionen och genomföra ändringar som endast innebär liten påverkan samt har uppdrag att löpande underhålla tillhörande anvisning Klassificera informationstillgångar. Alf Jönsson Regiondirektör Postadress: 291 89 Kristianstad Organisationsnummer: 23 21 00-0255 Telefon (växel): 044-309 30 00 Fax: 044-309 32 98 Internet: skane.se

Koncernkontoret Enheten för säkerhet och intern miljöledning Johan Reuterhäll Informationssäkerhetschef johan.reuterhall@skane.se INSTRUKTION Datum: 2018-08-27 Dnr: 2 (8) Informationsklassificering Syftet är att beskriva hur s information ska klassificeras med målet att information hanteras på rätt sätt och får rätt skydd. Instruktionen fastställer också vilka skalor och metoder som ska användas vid klassificering av information. Till instruktionen hör anvisning Klassificera informationstillgångar som ska följas vid genomförande. Postadress: 291 89 Kristianstad Organisationsnummer: 23 21 00-0255 Telefon (växel): 044-309 30 00 Fax: 044-309 32 98 Internet: skane.se

3 (8) Innehållsförteckning 1 Bakgrund... 4 2 Syfte... 4 3 Mål... 4 4 Omfattning... 4 4.1 Avgränsning... 4 5 Berörda roller... 5 6 Ansvar för genomförande... 5 7 Förteckning över viktiga informationstillgångar... 5 7.1 Viktiga informationstillgångar... 6 8 Genomförande... 6 9 Modell för informationsklassificering... 7 9.1 Konsekvensnivåer och beskrivningar... 7 9.2 Bedömningsaspekter... 7

4 (8) 1 Bakgrund Informationsklassificering är en grundläggande aktivitet inom informationssäkerhetsarbetet. Informationsklassificering innebär att information klassificeras utifrån det värde den har för de verksamheter/processer som använder informationen samt de legala krav som informationen omfattas av. Informationsklassificering är en analys av vad konsekvenserna kan bli om informationen inte längre är konfidentiell, riktig eller tillgänglig. Instruktionen ska användas för att genomföra den informationsklassificering som Regionstyrelsen beslutat om enligt Riktlinjer för informationssäkerhet. 2 Syfte Syftet med instruktionen är att beskriva hur information ska identifieras och klassificeras. Instruktionen fastställer vilka skalor och metoder som ska användas. För det praktiska genomförandet finns anvisning Klassificera informationstillgångar som ska följas. 3 Mål Målet är att s informationstillgångar ska ges en lämplig skyddsnivå så att: - informationen finns tillgänglig när den behövs (tillgänglighet) - informationen är korrekt (riktighet) - obehöriga inte får tillgång till informationen (konfidentialitet) 4 Omfattning Instruktionen omfattar klassificering av information oavsett om informationen behandlas manuellt (analog form) eller automatiserat (digital form) och oberoende av i vilken miljö informationen förekommer. 4.1 Avgränsning Information som faller under Säkerhetsskyddslagen (SFS 1996:627) ska behandlas separat eftersom krav på hantering och utrustning ställer särskilda krav på skydd. Om information som omfattas av Säkerhetsskyddslagen identifieras vid informationsklassificering ska denna särskiljas och behandlas separat. Säkerhetsskyddschef eller informationssäkerhetschef ska i dessa fall kontaktas för vidare instruktioner. Denna typ av information är ytterst begränsad och kan röra viss information från Försvarsmakten samt exempelvis information om kritisk infrastruktur, styrsystem och säkerhetskänsliga ritningar.

5 (8) 5 Berörda roller Informationsägare Verksamhetschef Verksamhetsansvarig Systemansvarig Informationssäkerhetssamordnare/DSO-företrädare Projektledare Inköpsansvariga Informationsägaren har ansvar för informationstillgångar och beslutar om informationshantering inom ramen för befintlig lagstiftning och interna regelverk. Ansvarar för den information som hanteras inom den egna verksamheten. Avser rollen verksamhetsansvarig enligt Verksamhetsstyrd styr- och förvaltningsmodell för IT och MTsystem. Avser rollen systemansvarig enligt Verksamhetsstyrd styr- och förvaltningsmodell för IT och MT-system. Systemansvarig har huvudansvaret för att systemet uppfyller de krav som informationsägaren ställer. Bistår med processtöd och rådgivning vid informationssäkerhetsklassificering. Ansvarar för att nödvändiga aktiviteter genomförs i projektet för att kraven på informationshanteringen ska tillgodoses. Ansvarar för att inköpsprocessen innehåller nödvändiga aktiviteter för att omhänderta resultatet från informationsklassificeringen. 6 Ansvar för genomförande Verksamhetschefens ansvar Ansvaret för informationen i verksamheten följer med det delegerade verksamhetsansvaret. Verksamhetschef ansvarar för att: - information i verksamheten skyddas i enlighet med lagkrav och interna krav - identifiera och förteckna viktiga informationstillgångar - identifierade informationstillgångar i den egna verksamheten klassificeras Informationsägarens ansvar Informationsägaren ansvarar för att information som denne ansvarar för är klassificerad och ges rätt skydd så att interna och legala krav på konfidentialitet, riktighet och tillgänglighet kan upprätthållas. Systemägarens ansvar Systemägaren ansvarar för IT-system. Utifrån informationsägarens krav på skydd är det systemägarens ansvar att tillse att adekvata skydd finns. 7 Förteckning över viktiga informationstillgångar Viktiga informationstillgångar ska identifieras och förtecknas. Med informationstillgång avses den information som verksamheten behöver för att utföra sina arbetsuppgifter samt den programvara, system, datorer och utrustning som krävs för hantering av informationen.

6 (8) 7.1 Viktiga informationstillgångar Med viktiga informationstillgångar avses sådana som stödjer de delar av verksamheten som är samhällsviktiga eller verksamhetskritiska. Samhällsviktiga informationstillgångar Begreppet samhällsviktig definieras i MSB:s föreskrifter och allmänna råd om risk- och sårbarhetsanalyser 1 som en verksamhet som uppfyller minst ett av följande villkor: 1. Ett bortfall av eller en svår störning i verksamheten kan ensamt eller tillsammans med motsvarande händelser i andra verksamheter på kort tid leda till att en allvarlig kris inträffar i samhället. 2. Verksamheten är nödvändig eller mycket väsentlig för att en redan inträffad kris i samhället ska kunna hanteras så att skadeverkningarna blir så små som möjligt. Verksamhetskritiska informationstillgångar Med begreppet verksamhetskritisk menas att systemet och den information systemet behandlar, helt eller delvis, är en förutsättning för verksamheten och kan vid ett bortfall eller en svår störning ensamt eller tillsammans med motsvarande händelser i andra system på kort sikt leda till att verksamheten inte kan bedrivas. 8 Genomförande Informationsklassificering ska genomföras: - när informationstillgång ska upphandlas - när befintlig informationstillgång får ny funktionalitet eller har fått ändrat eller utökat användningsområde - när antalet användare förändras påtagligt - om informationstillgången ska behandla annan information än den ursprungliga informationsklassificeringen tog hänsyn till - vid förändrade interna eller externa säkerhetskrav - vid ny eller förändrad lagstiftning - vid organisationsförändringar som påverkar informationshantering - då det annars är påkallat Informationsklassificering ska genomföras i så tidigt skede som möjligt för att interna och legala krav ska kunna omhändertas och vara en del av det totala beslutsunderlaget om vilket skydd informationen ska ha samt ingå i eventuella förfrågningsunderlag i samband med upphandlingar. Syftet är att väl underbyggda beslut ska kunna fattas om vilka skyddsåtgärder som krävs. Kraven kan i vissa fall innebära hinder att utnyttja tjänster och utrustning. 1 MSBFS 2015:5, MSBFS 2015:4, MSBFS 2016:7

7 (8) 9 Modell för informationsklassificering s modell för informationsklassificering utgår från en bedömning av konsekvenserna vid bristande konfidentialitet, riktighet och tillgänglighet. Följande definitioner ska gälla inom och baseras på Terminologi för informationssäkerhet, SIS-TR 50:2015. Konfidentialitet Informationstillgångar ska skyddas mot obehörig insyn. Med detta menas att informationstillgången inte görs tillgänglig för eller i övrigt kommer obehöriga till del. Riktighet Informationstillgångar ska skyddas mot oönskad förändring. Med detta menas att informationstillgången, vare sig obehörigen, av misstag eller på grund av funktionsstörning förändras. Tillgänglighet Informationstillgångar ska kunna användas av behörig person vid rätt tillfälle. Med detta menas att informationstillgångar ska vara tillgängliga för behöriga användare i förväntad utsträckning och inom önskad tidsrymd. 9.1 Konsekvensnivåer och beskrivningar Tabell 1 är den skala som information i ska klassificeras efter. Informationsklassificering ska göras utifrån de tre säkerhetsaspekterna konfidentialitet (K), riktighet (R) och tillgänglighet (T). Skalan används vid bedömning av alla tre faktorerna. Nivåbestämningen ska utgå från de konsekvenser som obehörig åtkomst, bristande riktighet och bristande tillgänglighet ger upphov till. Att placera uppgifter felaktigt i en lägre informationssäkerhetsklass, t.ex. för att underlätta hantering, kan leda till att uppgifterna inte får det skydd som de behöver eller till att lagstiftning inte följs. På motsvarande sätt kan en placering i en för hög informationssäkerhetsklass medföra omotiverat höga kostnader och onödiga hinder för verksamheten. 9.2 Bedömningsaspekter Vid informationsklassificering ska det tas ställning till vilka konsekvenserna blir utifrån olika aspekter som bedöms som relevanta. Dessa aspekter är förutom de övergripande konsekvenserna, Invånare/medarbetare, Verksamhet/process, Ekonomi och Förtroende.

8 (8) Tabell 1 - Skala med konsekvensbeskrivning Nivå/ Skala Bedömning Beskrivning 1 Ingen/ Försumbar a) Övergripande Ingen/försumbar skada för verksamheten/region Skåne, annan myndighet eller enskilda fysiska eller juridiska personer. 2 Måttlig a) Övergripande Måttlig skada för verksamheten/region Skåne, annan myndighet eller enskilda fysiska eller juridiska personer. (Kan hanteras i det löpande arbetet.) 3 Betydande/ allvarlig 4 Mycket allvarlig/ katastrof a) Övergripande Betydande/allvarlig skada för verksamheten/region Skåne, annan myndighet eller enskilda fysiska eller juridiska personer. a) Övergripande Mycket allvarlig/ katastrofal skada, skada för rikets säkerhet för verksamheten/region Skåne, annan myndighet eller enskilda fysiska eller juridiska personer om den inträffar. b) Invånare/Medarbetare Ingen eller försumbar påverkan på liv, hälsa, rättigheter. c) Verksamhet/Process Ingen eller försumbar negativ effekt på verksamhetens/s förmåga att uppnå sina mål eller fullgöra sina primära uppgifter. d) Ekonomi Ingen märkbar skadekostnad för verksamheten/. e) Förtroende Ingen/försumbar förtroendeskada för verksamheten/. b) Invånare/Medarbetare Viss påverkan på liv, hälsa, rättigheter. c) Verksamhet/Process Viss negativ effekt på verksamhetens/ s förmåga att uppnå sina mål eller fullgöra sina primära uppgifter. d) Ekonomi Viss skadekostnad för verksamheten/region Skåne. e) Förtroende Måttlig förtroendeskada för verksamheten/rs. b) Invånare/Medarbetare Stor påverkan på liv, hälsa, rättigheter. c) Verksamhet/Process Betydande negativ effekt på verksamhetens/ s förmåga att uppnå sina mål eller fullgöra sina primära uppgifter. d) Ekonomi Betydande skadekostnad för verksamheten/region Skåne. e) Förtroende Betydande/allvarlig förtroendeskada för verksamheten/. b) Invånare/Medarbetare Mycket stor påverkan på liv, hälsa, rättigheter (skadade eller dödsfall). c) Verksamhet/Process Mycket stor negativ effekt på verksamhetens/ s förmåga att uppnå sina mål eller fullgöra sina primära uppgifter. d) Ekonomi Mycket stor skadekostnad för verksamheten/region Skåne. e) Förtroende Mycket allvarlig/katastrofal förtroendeskada för verksamheten/region Skåne.

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss