Anders Mårtensson Säkerhetschef

Relevanta dokument
ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Informationssäkerhet, Linköpings kommun

Informationssäkerhetspolicy

Policy och strategi för informationssäkerhet

Kommunal författningssamling för Smedjebackens kommun. Informationssäkerhetspolicy. 97 Dnr 2016/00447

Policy för säkerhetsskydd

Säkerhetsskyddsplan. Fastställd av kommunfullmäktige

Informationssäkerhetspolicy

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Informationssäkerhetspolicy KS/2018:260

Informationssäkerhetspolicy för Ystads kommun F 17:01

Säkerhet i fokus. Säkerhet i fokus

Myndigheten för samhällsskydd och beredskaps författningssamling

Svar på revisionsskrivelse informationssäkerhet

Informationssäkerhetspolicy

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

SÄKERHETSPOLICY FÖR VÄSTERVIKS KOMMUNKONCERN ANTAGEN AV KOMMUNFULLMÄKTIGE , 8

1(6) Informationssäkerhetspolicy. Styrdokument

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy. Linköpings kommun

Säkerhetspolicy i Linköpings kommun

Säkerhetspolicy för Västerviks kommunkoncern

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Myndigheten för samhällsskydd och beredskaps författningssamling

Verksamhetsplan Informationssäkerhet

Säkerhetspolicy Bodens Kommun

Policy för informations- säkerhet och personuppgiftshantering

Remiss angående säkerhetspolicy med tillhörande riktlinjer

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Anvisningar för användning av statlig ersättning för landstingens arbete med krisberedskap och civilt försvar

Ledningssystem för Informationssäkerhet

Ledningssystem för Informationssäkerhet

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

Säkerhetshöjande åtgärder inom VA Några exempel från Kretslopp och vatten i Göteborg

SÄKERHETSPOLICY I FÖR FALKÖPINGS KOMMUN

1 (5) Säkerhetsskyddsplan för Motala kommun Antagen av kommunstyrelsen , 286

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun

Verksamhetsrapport. Kommunens säkerhetsarbete 2014

Patrik Fältström Teknik- och Säkerhetsskyddschef

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Informationssäkerhetspolicy

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

SÄKERHETSPOLICY FÖR KÖPINGS KOMMUN

Svenskt Vatten. Säkerhetshandbok för dricksvattenproducenter Bertil Johansson

POLICY INFORMATIONSSÄKERHET

Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13

Säkerhetsklassning och säkerhetsprövning inom exploateringsnämndens verksamhet

Fördelning av ansvar för informationssäkerhet. Version: 1. Beslutsinstans: Regiondirektören

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Utredningen om genomförande av NIS-direktivet

Anvisningar för användning av statlig ersättning för kommunernas arbete med krisberedskap och civilt försvar

Regelverk och myndighetsstöd för ökad informationssäkerhet inom dricksvattenförsörjningen (NIS) Anders Östgaard

Fastställande av Säkerhetsskyddplan Region Östergötland

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Informationssäkerhetspolicy för Ånge kommun

Säkerhetspolicy för Tibro kommun

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Informationssäkerhetspolicy IT (0:0:0)

Kommunstyrelsens förslag till antagande av reviderad informationssäkerhetspolicy Ärende 11 KS 2017/336

Myndigheten för samhällsskydd och beredskaps författningssamling

Koncernkontoret Enheten för säkerhet och intern miljöledning

Informationssäkerhetspolicy för Katrineholms kommun

NIS-direktivet. 4 september Johanna Linder Martin Gynnerstedt

Molntjänster och utkontraktering av kritisk verksamhet lagar och regler. Alireza Hafezi

Förslag till föreskrifter om fördelning (delegering) av arbetsuppgifter och beslutsbefogenheter gällande säkerhetsarbetet vid Lunds universitet

Säkerhetspolicy för Ulricehamns kommun Antagen av Kommunstyrelsen , 164

Policy för informationssäkerhet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola Sammanfattning

Förslag till Myndigheten för samhällsskydd och beredskaps föreskrifter om kommuners och landstings risk- och sårbarhetsanalyser

Svensk författningssamling

Informationssäkerhetsgranskning. ISO ledningssystem för informationssäkerhet

Finansinspektionens författningssamling

Riktlinjer för säkerhetsarbetet

Riktlinjer för Hässleholms kommuns säkerhet och beredskap mandatperiod

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Riktlinje Brandsäkerhet Landstinget Sörmland beslutad LS 12/13

Informationssäkerhet en förutsättning för effektiv digitalisering. Moderator: William Linnefell, Ekonomistyrningsverket

Justitiedepartementet Stockholm

KOMMUNALA STYRDOKUMENT

Informationssäkerhet och säkerhetsskydd

Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen

Bilaga 3 Säkerhet Dnr: /

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr Kommunikation som tjänst - A

Riktlinje för säkerhetsarbetet i Norrköpings kommun

Riktlinjer för Informationssäkerhet Falkenbergs Kommun Kommunledningskontoret

Scandinavian Risk Solutions Creating Value by Protecting Assets

Innehållsförteckning 1 Allmänt Organisation Säkerhetsskydd Säkerhetsskyddschefens uppgifter Säkerhetsskyddsanalys...

Säkerhetsskyddsplan. Styrande måldokument Plan Sida 1 (10)

Checklista för utvärdering av miljöledningssystem enligt ISO 14001:2004

I n fo r m a ti o n ssä k e r h e t

Katrineholms kommuns. Informationssäkerhetspo licy. IZatrineholms kommun "- Antagen av kommunfullmäktige , 106

Informationssäkerhetspolicy för Umeå universitet

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Informationssäkerhetspolicy S/~LA KOMMUN KOMMUNFULLMÄKTIGE. Bi l aga KS 2015 / 135/1 INFORMATIONSSÄKERHETSPOLICY FÖR SALA KOMMUN

Policy för informationssäkerhet

Säkerhetsskyddsavtal

Transkript:

Landskrona / Svalöv

Anders Mårtensson Säkerhetschef Säkerhet 40% Kris 15% Samordning av NSVAs SBA-arbete 5% Ansvarig för NSVAs verksamhetssystem, vi är certifierade enligt ISO 9001/14001 och arbetar för att certifiera oss enligt ISO 27001 40%

Kickoff för NSVAs säkerhetsarbete

Säkerhetspolicy NSVAs säkerhetspolicy syftar till att stödja säkerhetsarbetet genom att: tydliggöra säkerhetsarbetets mål inriktning och ansvar skapa förutsättningar för ett enhetligt och professionellt säkerhetsarbete, tjäna som vägledning vid utformning av policy, riktlinjer och rutiner inom säkerhetsområdet Vision Allt säkerhetsarbete inom NSVA skall utgå från verksamheten och bedrivas av alla anställda som en naturlig del i sitt arbete, så att vi i alla läge kan utföra våra arbetsuppgifter på bästa sätt. Verksamhetsidé och inriktningsmål Vi skall tillsammans med kommunernas säkerhetsavdelningar följa riskutvecklingen i samhället för att därigenom kunna uppnå ett gott skydd och god säkerhet för våra anläggningar och medarbetare. Vi skall i första hand identifiera riskkällor och eliminera dessa innan någon incident händer. Eventuella risker som inte kan undanröjas skall vi genom rutiner och övningar minska skadeverkningarna för. Arbetet skall bedrivas med tyngdpunkt på förebyggande åtgärder som innebär: att alla medarbetare känner sig trygg i sin yrkesutövning att säkerheten beaktas vid all planering att tillbud och händelser dokumenteras med vårt avvikelsesystem Ansvar och ekonomi Alla medarbetare på NSVA skall aktivt arbeta för en ökad säkerhet. NSVAs styrelse är ytterst ansvarig för en god säkerhet finns och upprätthålls inom NSVA. Respektive avdelningschef är ansvarig för säkerheten inom sin avdelning. NSVAs säkerhetschef skall belysa eventuella risker och tillsammans med avdelningscheferna ta fram åtgärdsplaner.

Informationssäkerhetspolicy Grunden i vår informationshantering är att rätt individ har tillgång till rätt information, vid rätt tidpunkt. Spårbarheten i informationshanteringen ger oss möjlighet att säkerställa att vi följer gällande lagar, förordningar och föreskrifter samt utgör vår utgångspunkt vid bedömning av informationens riktighet och relevans. Informationssäkerhet är en naturlig del i vår verksamhet och ingår alltid vid exempelvis uppstart av projekt och vid samarbete med annan part. Det är varje medarbetares skyldighet att bedöma om informationen omfattas av krav på särskild hantering, exempelvis sekretess. Detta medför att medarbetaren är behöver inhämta kunskap eller stöd för denna bedömning. Vår information har alltid en informationsägare. Det är informationsägaren som ansvarar för att informationen är riktig och spårbar samt bedömer om informationen skall hanteras på särskilt sätt. Även då vi sammanför befintliga informationsmängder så skall informationsägare definieras och bedömning av hantering ske. Information delas endast till identifierade parter efter att vi säkerställt att det följer gällande regler. I vår verksamhet förekommer även information som är av vikt för samhällets säkerhet i samtliga samhällstillstånd; fred/normalläge, höjd beredskap och krig. Alla medarbetare har normalt inte tillgång till all information. Det är verksamhetens krav som ger grunden för hur behörigheter till information regleras. Det är inte tillåtet att söka efter sekretessklassad information som inte är direkt relaterat till arbetsuppgiften. Vår informationshantering sker endast i för ändamålet godkända miljöer. Med miljöer menar vi här it-stöd, platser för samtal och närvarande individer. Ingen obehörig ska, avsiktligt eller oavsiktligt, kunna ta del av vår information utan vårt godkännande. Vårt arbete med informationssäkerhet är en regelbunden och kontinuerlig del i vår verksamhet, och syftar till ständiga förbättringar. Att rapportera brister i vårt informationssäkerhetsarbete är ett stöd för vår verksamhet. Detta kräver samtidigt en medvetenhet om hur rapportering sker för att inte röja eventuella brister eller icke allmänna handlingar för obehöriga.

Intranätet

Säkerhetsklassade tjänster

Arbetsgång vid anställning på säkerhetsklassad tjänst Ansvar Säkerhetschefen ansvarar för att rutinen är uppdaterad HRchefen ansvarar för att rutinen följs. Definitioner Säkerhetsskyddschef är SÄPO:s kontaktperson på NSVA och den som begär registerkontroll. Säkerhetschefen är också Säkerhetsskyddschef på NSVA. Ledtid 6-8 veckor Utförande Tjänsten annonseras internt/externt. Denna text skall finnas med i annonsen: I tjänsten kommer du att arbeta med säkerhetsklassad information. Säkerhetsprövning och registerkontroll kommer därför att genomföras i samband med anställning. Svenskt medborgarskap krävs, dubbelt medborgarskap är ok om det ena är svenskt. Den sökande får information Till dig som ska säkerhetsklassas. Säkerhetschefen får tillgång till CV och personligt brev Säkerhetschef bokar tid med den sökande och bisittare för ett säkerhetssamtal. Säkerhetschefen skickar underlag för registerkontroll till SÄPO. Säkerhetschefen meddelar HR om personen är anställningsbar eller inte. I samband med anställningskontraktet skrivs på skrivs även en sekretesshandling under.

Förberedelser inför säkerhetssamtal Ansvar Säkerhetschefen ansvarar för att rutinen är uppdaterad och att den följs Utförande HR kontrollerar referenser HR kontrollerar riktigheten på CV genom stickprov HR och Säkerhetschef kontrollerar sociala medier Säkerhetschef tar ut en UC3 Säkerhetschefen kontrollerar ev domar med tex Lexbase

Säkerhetssamtal

Avslutningssamtal Ansvar Säkerhetschefen ansvarar för att rutinen är uppdaterad och att den följs Utförande Säkerhetschefen kallar till ett kort samtal med personen som avslutar sin anställning. Följande punkter ska tas upp: Sekretessen gäller trots anställningen upphör. Inga rutiner, kartor osv får lämna NSVA utan Avdelningschefs eller Säkerhetschefens godkännande.

Informationssäkerhet

NIS-direktivet (2018:1174)

Tillsyn från Livsmedelsverket - NIS

Tillsyn från Livsmedelsverket - NIS

Tillsyn från Livsmedelsverket - NIS

Tillsyn från Livsmedelsverket - NIS

Minnesanteckningar NIS revision De har stort fokus på RSA och hur vi behandlar resultatet av RSA. De trycker på att RSA är utgångspunkten och skall enligt NIS uppdateras årligen. Prioriterade punkter i RSA skall med i vår affärsplan. Man ska ha underlag att visa att det är på det sättet man arbetar. Hos oss görs RSA ute på avdelningarna och stannar där. De föreslog att alla RSA med tillhörande handlingsplaner ägs av Säkerhetschefen även om åtgärderna budgeteras av avdelningarna. Man bör arbeta enligt ISO 27 000 och jag tror de ser det som en stor fördel om man certifierar sig. Vi gör det och har som mål att göra en GAP-analys 2020 och därefter besluta om en eventuell certifiering. De nöjde sig med detta. Vi har backuprutiner och de var ok men vi har ingen rutin på hur vi skall återskapa förlorad data och vi testar inte heller våra backupper regelbundet. 2 FA och separerade nät verkar vara ett minimikrav. Det materiel de fick från oss var i pappersformat, Livsmedelsverket har idag ingen möjlighet att, på ett säkert sätt, diarieföra elektronisk materiel. Det material vi lämnade stämplades med sekretess vilket dom var glada för. Mellan raderna kunde man utläsa att det var bättre resultat från de som hade kontroll över sitt IT och lite sämre från de som var anslutna till kommunens IT. Min tolkning. Hela revisionen hölls i god anda och revisorerna var kompetenta och gjorde enligt mig ett bra arbete. De betonade att denna första runda även var till för att de skulle lära sig. Förmodligen kommer vi få besök igen om 3-4 år.

Säkerhetsskyddsanalys NSVA har analyserat fem processer under arbetet med att ta fram Säkerhetsskyddsanalysen. IT Personal Dricksvatten Dagvatten Avloppsvatten Grupperna har bestått av 2-4 personer; tekniker, ingenjörer, personaladministratörer och avdelningschefer. Samtliga deltagare är säkerhetsklassade i klass 3. Säkerhetschefen har fungerat som diskussionsledare och en inhyrd konsult som protokollförare. Grupperna har haft 3-5 möten och förutsättningen har genomgående varit att inget är fel att ta upp. Eftersom det är första gången NSVA gör en säkerhetsskyddsanalys För processerna Personal och IT finns det bara en generell analys som gäller hela NSVA. För övriga processer finns det tre versioner; generell, Landskrona och Helsingborg. Förutom detta förord är Säkerhetsskyddsanalysen sekretessbelagd i sin helhet enligt OSL (2009:400) 18 kap 13. För att få ta del av NSVA:s Säkerhetsskyddsanalys krävs: Att man i sitt arbete har nytta av att få del av resultatet Att man är säkerhetsklassad i lägst nivå 3 Om ägarkommunen vill ha ett exemplar av Säkerhetsskyddsanalysen kräver NSVA att finns skrivna inarbetade rutiner för hur sekretessbelagd information ska hanteras

Process IT

Utmaningar/Framgångsfaktorer Få förståelse för Need to Know / Fun to Know Avdramatisera säkerhetsarbetet, det måste bli en del av vardagen Säkerhetsarbetet måste ske tillsammans med verksamheterna Utbildning av NSVAs personal Få våra ägarkommuner att jobba med säkerhetsskydd och informationssäkerhet Få lagstiftaren att förstå att kommunerna organiserar på annat sätt än förr. Kommunägda AB som bedriver samhällsviktig verksamhet blir vanligare och vanligare. Ett AB kan inte söka bidrag från tex MSB, Ett AB kan inte ha en Säkerhetsskyddschef osv

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss