Utbildningsdag om informationssäkerhet



Relevanta dokument
Rätt informationssäkerhet är A&O vid införande av välfärdsteknologi. Jeanna Thorslund, Sveriges Kommuner och Landsting Thomas Nilsson, Certezza

Fördjupning: Juridik vid införande av välfärdsteknik. Jeanna Thorslund, Jurist och Samordnare Informationssäkerhet, SKL Manólis Nymark, Jurist

Vervas kräver ISO och ISO av alla statliga myndigheter. Maylis Karlsson, Utvecklingsstrateg Verva

I lagens namn Så harmoniserar vi juridikens krav med verksamhetens behov

Informationssäkerhet och earkiv Rimforsa 14 april 2016

Mina Meddelanden - Risk- och Sårbarhetsanalys för anslutande kommuner

Ledningssystem för systematiskt kvalitetsarbete

Vetenskapsrådets informationssäkerhetspolicy

Ledningssystem för systematiskt kvalitetsarbete inom verksamheterna flykting och HVB

STRÖMSTADS KOMMUN SÄKERHETSPOLICY. Antagen av Kommunfullmäktige

Den digitala vägen till morgondagens vård & omsorg

Lägesrapport avseende införandet av miljöledningssystem med förslag till det fortsatta arbetet.

Ledningssystem för systematiskt kvalitetsarbete (struktur)

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Agenda. Kort om Datacenter. Våra erfarenheter av 27001:2013. Summering

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C

Kungsgatan 12, Socialnämndens sammanträdesrum, kl 09:00-12:00

VÄLFÄRDSFÖRVALTNINGENS LEDNINGSSYSTEM FÖR SYSTEMATISKT KVALITETSARBETE ENLIGT SOSFS 2011:9

SwedPower:s integrerade ledningssystem

MANUAL ADVANIA LEDNINGSSYSTEM

Informationssäkerhet i. Torsby kommun

En bild av kommunernas informationssäkerhetsarbete 2015

för chefer och handläggare

Lokal informationssäkerhetspolicy, lokala informationssäkerhetsriktlinjer och anvisningar

Kvalitetsregister & legala förutsättningar. Moa Malviker Wellermark, Jurist SKL, Landstingsjurist LiÖ

Kvalitetskriterier för boende för ensamkommande flyktingbarn och -ungdomar

Informationssäkerhetspolicy för Vetlanda kommun

Bilaga 3 Anvisning och checklista för introduktion av socialsekreterare i Göteborgs Stad

Miljödriven affärsutveckling

Strategi Program» Plan Policy Riktlinjer Regler

Tal till Kungl. Krigsvetenskapsakademien

Avseende förslagens konsekvenser för krisberedskapen både för berörda myndigheter som för vård- och omsorgssektorn i sin helhet

LYFTIS lyft teknikämnet i skolan. Ett material för struktur i utveckling av skolans teknikämne.

Uppföljning. Enheten för personligt stöd

Kommunövergripande riktlinjer för säkerhet och krisberedskap i Östra Göinge kommun mandatperioden

Handlingsplan vid hot och våld på Bromangymnasiet

2015 års patientsäkerhetsberättelse och plan för 2016 Daglig Verksamhet Falkenberg Nytida AB

Riktlinje för synpunkts- och klagomålshantering VON 2013/ Riktlinjerna är antagna av vård- och omsorgsnämnden den 13 maj 2003.

Informationssäkerhetspolicy inom Stockholms läns landsting

Tillgänglighet, Kontinuitet och Incidenthantering. Förutsättningar för nyttoeffekter. Leif Carlson

Stockholms läns landsting 1 O)

Tjänsteskrivelse 1 (2) Handläggare Datum Beteckning. Kommunrevisionen MISSIVSKRIVELSE

Det finns många skäl, men här är några: 1. För att arbetsmiljön påverkar hälsan och välbefinnandet. 4. För att det är ett lagstadgat krav.

Säkerhetspolicy för Hällefors kommun

Lednings- och styrdokument. SÄKERHET Styrdokument antaget av kommunfullmäktige den 20 juni 2011

Revisionsrapport av vård- och omsorgsnämnden

Bättre efterfrågad service till boende, besökare och företagare. Göteborg. Hållbar stad öppen för världen

Idéskrift. Avtalsuppföljning för transportköpare inom miljö och trafiksäkerhet

Digital strategi för Strängnäs kommun

Policy för hållbar utveckling, miljömål och handlingsplan LUNDS UNIVERSITET

REV LERUMS KOMMUN REVISORERNA

Riktlinjer för säkerhetsarbetet i Gullspångs kommun. Antagen av kommunfullmäktige

Patientsäkerhetsberättelse

Värdeforum. Programkatalog Värdeforum Hösten 2014

SYSTEMATISKT ARBETSMILJÖARBETE GRUNDUTBILDNING

Riktlinjer för systematiskt säkerhetsarbete och säkerhetsorganisation för Malung-Sälens kommun.

Här kan du ta del av presentationen från webbseminariet i pdf-format. Tänk på att materialet är upphovsrättsskyddat och endast till för dig som

Revidering av policy och regler för informationssäkerhet i Stockholms stad

Ledningen i fokus - starkare styrning krävs för att utveckla statlig verksamhet med bra och säkra IT-/e-tjänster

UTBILDNING: Socialt ansvar

Lednings- och styrdokument STYRNING OCH ORGANISATION. Styrdokument antaget av kommunfullmäktige den 20 juni 2011

Vad vill MSB? Information till alla medarbetare om verksamheten 2014 med utgångspunkt i det vi vill uppnå i samhället

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet.

Varför säkerhetsarbete? Varför systematiskt arbete?

Eva Leach Elfgren, ehälsomyndigheten

Sammanfattningar av Socialstyrelsens föreskrifter och allmänna råd (SOSFS) som har relevans för utförare inom kommunal vård och omsorg om äldre

Informationssäkerhet i regional samverkan! Nr 11 & 12, 2015 Månadsbrev november & december 2015

FAGERSTA KOMMUN SOCIALFÖRVALTNINGEN. Ledningssystem för Systematiskt kvalitetsarbete

Region Jönköpings län

Rapport Avtalsuppföljning hemtjänst LOV 2015 Sammanställd av socialförvaltningens kvalitetsgrupp

Vägledning Patientsäkerhetsberättelsen

Informationssäkerhet och SKLs verktyg KLASSA. Avdelningen för Digitalisering Sektionen för Informationshantering och Digital Arbetsmiljö (IDA)

Kvalitetsberättelse. Kvalitetsberättelsen är en sammanställning av Ansvarsfull Omsorgs kvalitetsarbete under Planera. Ansvarsfull Omsorg

Krisplan för Sotenäs Golfklubb Fastställd av styrelsen Handlingsplan

Analys av Svensk e-legitimation

Styrsystem för Växjö kommun

Revisionsrapport: Informationssäkerheten i den tekniska miljön

2014 års patientsäkerhetsberättelse för Villa Agadir

Från förvaring till förvandling Från förvaring till förvandling

Avveckling av chefspersoner som ett led i landstingets chefsförsörjningsprogram

VERKTYGSLÅDAN. För en hälsofrämjande arbetsplats

Ledningssystem för kvalitet

Jämställd medborgarservice i praktiken Ekonomikontoret

Strategi för patient- och brukarmedverkan i Norrbottens län

Säkerhetsplan. för Friluftsfrämjandets verksamheter

Sammanställning av uppföljning kring åtgärder och fokusområden på Flottiljen den 16 februari 2015.

Plan mot diskriminering och kränkande behandling Fasanens förskola

Informationssäkerhetspolicy för Ystads kommun F 17:01

E-utvecklingen i Stockholms län 2015

Ledningssystem för Informationssäkerhet

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

RS-riktlinjer för Informationssäkerhet i Västra Götalandsregionen

Revisionsplan Stenungsunds kommun Revisorerna

KVALITETSBOKSLUT 2014

Brännans förskoleområde

Se dig omkring för dina affärers skull

Din roll som kontaktperson

LOKAL ARBETSPLAN 2014

Verksamhetsplan 2015

Orgona förskolas plan mot diskriminering och kränkande behandling

Transkript:

Utbildningsdag om informationssäkerhet Jeanna Thorslund, Jurist och Samordnare Informationssäkerhet, SKL & Leif Carlson, Informationssäkerhetschef Inera AB

Avdelningen för Digitalisering, Center för esamhället Sektionschef Åsa Zetterberg E-hälsa Patrik Sundström Skola och lärande Johanna Karlén Näringsliv och arbete Bengt Svenson Samhällsbyggnad, transporter och miljö Daniel Antonsson Kultur, fritid och besöksnäring Demokrati och delaktighet Bengt Svenson Anders Nordh Gemensamma funktioner och tjänster, Anna Gillquist Grundläggande förutsättningar (arkitektur, informationssäkerhet, juridik), Ulf Palmgren, Jeanna Thorslund, Sarah Meunier J

Inera AB L

Informationssäkerhet prioriterat område för SKL J Från planeringsdokument för 2015: IT och datakommunikation är kritiskt i stora delar av kommuner och landstings verksamhet, men kunskapen om informationssäkerhetens betydelse och roll finns inte i tillräcklig utsträckning hos medlemmar. SKL gör bedömningen att en kraftsamling behöver genomföras där kunskapen höjs likväl som förståelsen för de möjligheter som informationssäkerheten skapar om det beaktas tillräckligt tidigt i utvecklingen.

J Agenda för dagen Vad är informationssäkerhet och varför är det viktigt? Hur får man in informationssäkerhet i verksamhetens processer? Verktyg och metoder Hur går man från teori till verklighet?

Vad är informationssäkerhet och varför är det viktigt? J

Vad är Informationssäkerhet? J Information som är viktig för verksamheten Finns något som kan hota den? Skydda den Verksamhetens mål

Definition Informationssäkerhet SIS-standard ISO 27001 J Informationssäkerhet Flytta fokus från IT till verksamhet! Administrativ säkerhet Teknisk säkerhet Fysisk säkerhet IT-säkerhet Datasäkerhet Kommunikationssäkerhet

Ansvar och roller J Genomföra Följa avtal och instruktioner Ansvar Beställare Behov Personuppgiftsansvar Leverantörer Verksamheten IT-Drift Intern IT Genomföra Följa avtal och instruktioner Förmedla krav Stödja verksamheten

Vad är Informationssäkerhet? J Hur länge kan vi vara utan den? Tillgänglighet Vem har ändrat? Information Hur viktigt att den är rätt? Spårbarhet Riktighet Hur hemlig är den? Konfidentialitet

Ett annat sätt att beskriva samma sak L Patientsäkerhet Patientintegritet Tillgänglighet Riktighet Konfidentialitet Spårbarhet Skyddsvärt Skyddsåtgärder Informationssäkerhet Administrativ säkerhet Insikt & Acceptans Teknisk säkerhet Regler & Roller Rutiner & utbildning Uppföljning & revision Fysisk säkerhet Kommunika tionssäkerhet ITsäkerhet

Varför är det viktigt? J Lagkrav Bevara tillit Kvalitet Undvika negativa händelser Verksamhet ens behov

Undersökning av Askus och Handelshögskolan Syfte med studien att bedöma risk för företag med att inte hantera eller få kris inom olika ansvarsområden Metoder för och effekt av åtgärder för riskminimering 10 000 respondenter, bl.a. konsumenter Prof. Richard Wahlund, Handelshögskolan i Stockholm Daniel Dellham, Askus CR-Monitor

Källa: Askus CR-Monitor

L Om ni inte använder det här skyddet, kommer ni att råka ut för en katastrof Känner ni igen detta...

L eller detta Incidenten gjorde att vi fick medel att åtgärda det vi tjatat och bett om i åratal. - Vad var det jag sa..

L

Låt oss vända på steken! L

L Alternativt förhållningssätt En mer hållbar strategi är att fokusera på det som upplevs som positivt t.ex. nyttoeffekter och att nå verksamhetens mål. Det kommer vi ihåg! Naturligtvis en balans mellan att hantera risker/hot och möjlighet att nå mål och nytta. Undvika naivitet och strutsbeteende

Parallella synsätt Information som är viktig för verksamheten Finns något som kan hota den? Skydda den Mål som är viktiga för verksamheten Finns något som kan hindra måluppfyllnad? Undvik hindren och nå målen Informationssäkerhet = Kvalitet

Lagkrav på informationssäkerhet? J LSS SoL PDL PUL SäkL OSL

Kommande lagkrav på informationssäkerhet! J LSS SoL PDL Dataskyddsförordning EU SäkL OSL

Hur får man in informationssäkerhet i verksamhetens processer? L

J Informationssäkerhet i olika processer ITförvaltning Projekt Intern styrning Upphandling

Projektarbete och Informationssäkerhet J

J Time over Quality!!! Tid Kvalitet

Projektbeställning och kvalitet J Tid Rättsäkerhet God kvalitet Patientsäkerhet Trygghet Integritet Informationssäkerhet

J När ska informationssäkerhet tas in? Beskriv informationsprocessen Klassa Preliminär bedömning av säkerhetskrav Förstudie Projektarbete / Förändring Genomföra Införa Beslut om klassning Godkänn Beslut om kravnivå Resultat / Införande Förvaltning Ny analys vid förändring Kontroll och uppföljning

Exempel: Upphandlingsprocess J Behovsbeskrivning Informationsprocess? Typ av information? Särskilda krav? Använd klassning Krav som pekar mot effekten vid införandet Kravformulering Skyddsnivåer? Färdiga krav? Leverans Leveransgodkänna nde?

Informationssäkerhet för IT-förvaltning i vardagen J Leverantörer Uppföljning Förändringar Utveckling Systemförvaltning Klassning Riskanalys Budget Uppföljning, brister Medarbetare Utbildning Awareness

L

Mognadstrappan Ordning & Reda Klassa & Prioritera Genomföra & Införa Strukturerat & Genomgående Upprätthålla kontinuerligt

Mognadstrappan Act Plan Ordning & Reda Klassa & Prioritera Genomföra & Införa Strukturerat & Genomgående Check Upprätthålla kontinuerligt Do

Verktyg och metoder J

Informationssäkerhet - Verktygslådan: L EASY KLASSA Informationsklassning Risk- och Sårbarhetsanalyser RSA DISA Utbildning Ledningssystem för kvalitet Q LIS Ledningssystem för Informationssäkerhet

L Act Plan Check Do

L Utbildning och Ledning Medarbetare Användare

Insikt!

Deltagare WS för informationsklassning och riskanalys L Specialist? Leverantör Verksamhet Verksamhetschef Användare Informationssäkerhetssamordnare Jurist? Arkivarie? IT-drift Intern IT IT-systemförvaltare Systemförvaltning IT-arkitekt

Riskhantering L Risk S K R 1. Risk att. 3 2 3 2. Risk att. 4 1 2 3. Risk om. 1 4 2 4. Risk att. 3 4 6 Fokusera inte för mycket på metoden det viktigaste är att risker hanteras!

J Informationsklassificering Bestämmer värdet på informationen Utgår från verksamhetens behov Blir en beställning om önskat skydd Utgår ifrån Kriterierna: - Riktighet - Konfidentialitet - Tillgänglighet - Spårbarhet

J

Skyddsnivåer J 4 Allvarlig konsekvens Mycket hög skyddsnivå 3 Betydande konsekvens Hög skyddsnivå 2 Måttlig konsekvens Normal skyddsnivå (grundnivå) 1 Obetydlig konsekvens för verksamheten Låg skyddsnivå

KLASSA verktyg för informationsklassning J Informationssäkerhetsklassa Riktighet Konfidentialitet Tillgänglighet Spårbarhet Handlingsplan Riktad mot verksamhet Riktad mot IT Upphandlingskrav Ger ett underlag

J KLASSA Du hittar KLASSA här: https://klassa-info.skl.se/ Filmer om KLASSA: http://play.skl.se/video/filmen-om-klassa http://play.skl.se/video/sa-funkar-klassa

HUR GÅR MAN FRÅN TEORI TILL VERKLIGHET? L

Sammanfattning: Vad är informationssäkerhet och varför är det viktigt? I enskilda projekt /System: - Verksamhetens ansvar att analyser sker - KLASSA - Efterfråga riskanalyser - Återrapportering Strategisk nivå: - Övergripande Policydokument krävs - Instruktioner och anvisningar om - Behörighet och loggning - ATT analyser ska göras och metod - Uppföljning

Mål och kvalitet Enas om mål för informationssäkerheten - Sätt i förhållande till verksamhetsmålen Förankra hos övriga ledningen Övergripande styrdokument? Långsiktig plan? Kvalitetsledningssystem? - Komplettera styrdokument som redan finns

Sammanfattning: Hur får man in informationssäkerhet i verksamhetens processer? Se över projektmodellen - Riskanalys för säkerhet Riktlinjer för upphandling - Krav på säkerhet ska ställas Systemförvaltningsmodellen - Årliga uppföljningar Strategisk styrning - Ledningssystem!

Sammanfattning: Verktyg och metoder Informationsklassificera - Nyttigt att enas om informationsprocess - Vad är viktigt - Bättre chans att säkerhetsåtgärder kan genomföras - Ta hjälp av KLASSA Risk- och sårbarhetsanalys - Verksamheten ska ta besluten - Ta tid till diskussion - Dokumentera och gå tillbaka

Goda råd: Betrakta informationssäkerhet som en aspekt av kvalitet Bättre att göra något än inget! Sunt förnuft! Värna individernas tillit! Hoppa inte över riskanalyser! Beställ kvalitet inte tid!

TACK FÖR UPPMÄRKSAMHETEN! jeanna.thorslund@skl.se leif.carlson@inera.se