Stockholms läns landsting 1 O) Landstingsradsberedningen SKRIVELSE 2013-02-20 LS 1112-1733 Landstingsstyrelse- Omarbetad informationssäkerhetspolicy och riktlinjer för informationssäkerhet inom Stockholms läns landsting Föredragande landstingsråd: Torbjörn Rosdahl Ärendebeskrivning Landstingsstyrelsen och landstingsfullmäktige beslutade den 22 november 2011 respektive den 6 december 2011 att anta ny informationssäkerhetspolicy och nya riktlinjer för informationssäkerhet inom Stockholms läns landsting, som började gälla den 1 januari 2012. I samband med besluten fick landstingsstyrelsen i uppdrag att återkomma med en omarbetad informationssäkerhetspolicy där bland annat hänsyn tas till transparens, enkelhet och genomförda organisationsförändringar inom Stockholms läns landsting. Landstingsstyrelsens förvaltning har tagit fram ett förslag till omarbetad informationssäkerhetspolicy med tillhörande riktlinjer för informationssäkerhet. Förslag till beslut Landstingsrådsberedningen föreslår landstingsstyrelsen dels föreslå landstingsfullmäktige besluta att anta informationssäkerhetspolicy enligt Förslag till omarbetad informationssäkerhetspolicy för Stockholms läns landsting att uppdra åt landstingsstyrelsen att fastställa Förslag till omarbetade riktlinjer för informationssäkerhet inom Stockholms läns landsting och vid behov fastställa ändringar och tillägg till dessa att uppdra åt landstingsstyrelsen att utarbeta tillämpningsanvisningar för beslut om styrdokument inom informationssäkerhetsområdet hos Stockholms läns landstings nämnder, styrelser och bolag
Stockholms läns landsting 2(3) SKRIVELSE 2013-02-20 LS 1112-1733 att uppdra åt nämnder, styrelser och bolag inom Stockholms läns landsting att utarbeta styrdokument för informationssäkerhet i enlighet med landstingsstyrelsens riktlinjer för informationssäkerhet dels - under förutsättning av landstingsfullmäktiges beslut - för egen del besluta att anta riktlinjer för informationssäkerhet enligt Förslag till omarbetade riktlinjer för informationssäkerhet inom Stockholms läns landsting att uppdra åt landstingsdirektören eller den han utser att besluta om ändringar eller tillägg till riktlinjer för informationssäkerhet att uppdra åt landstingsdirektören eller den han utser att utarbeta tillämpningsanvisningar för beslut om styrdokument inom informationssäkerhetsområdet i Stockholms läns landstings nämnder, styrelser och bolag. Landstingsrådsberedningens motivering Stockholms läns landsting behandlar i sina olika verksamheter dygnet runt och årets alla dagar mängder med information. Det är viktigt att denna information behandlas säkert till skydd för såväl landstingets egna system som för medborgarnas och patienternas integritet. Samtidigt är det viktigt att informationen också ska vara lätt åtkomlig för dem som har rätt att ta del av den och att landstingets anställda i övrigt ska kunna inhämta och behandla information på ett smidigt sätt. Landstingsstyrelsen och landstingsfullmäktige beslutade 2011 att anta ny informationssäkerhetspolicy och nya riktlinjer för informationssäkerhet inom Stockholms läns landsting. I samband med beslutet uppdrogs åt landstingsstyrelsen att återkomma med en omarbetad informationssäkerhetspolicy. I det nu liggande förslaget har förbättringar gjorts med hänsyn till enkelhet, tydlighet, transparens och landstingets genomförda organisationsförändringar. Med de nu föreslagna riktlinjerna ges en ökad tydlighet i struktur och kravställning samtidigt som styrning och uppföljning av landstingets informationssäkerhetsarbete underlättas. Avsikten med riktlinjernas utformning är att de ska vara tydliga och att det ska vara enkelt att hitta vad som gäller i enskilda frågor.
JIL Stockholms läns landsting 3 (3) SKRIVELSE 2013-02-20 LS 1112-1733 Beslutsunderlag Landstingsdirektörens tjänsteutlåtande den 7 februari 2013 Förslag till omarbetad informationssäkerhetspolicy för Stockholms läns landsting, den 1 februari 2013 Förslag till omarbetade riktlinjer för informationssäkerhet inom Stockholms läris landsting, den 1 februari 2013 Torbjörn Rosdahl ^Hans-Erik JHnnc-TiVmlr Malmros TVTnlmrns C
Stockholms läns landsting 1 (6) Landstingsstyrelsens förvaltning TJÄNSTEUTLÅTANDE 2013-02-07 LS 1112-1733 Ankom Stockholms läns landsting Landstingsstyrelsen 2013-02- 0 8 Omarbetad informationssäkerhetspolicy och riktlinjer för informationssäkerhet inom Stockholms läns landsting Ärendebeskrivning Landstingsstyrelsen och landstingsfullmäktige beslutade den 22 november 2011 respektive den 6 december 2011 att anta ny informationssäkerhetspolicy och nya riktlinjer för informationssäkerhet inom Stockholms läns landsting, som började gälla den 1 januari 2012. I samband med besluten fick landstingsstyrelsen i uppdrag att återkomma med en omarbetad informationssäkerhetspolicy där bland annat hänsyn tas till transparens, enkelhet och genomförda organisationsförändringar inom Stockholms läns landsting. Landstingsstyrelsens förvaltning har tagit fram ett förslag till omarbetad informationssäkerhetspolicy med tillhörande riktlinjer för informationssäkerhet. Beslutsunderlag Landstingsdirektörens tjänsteutlåtande den 7 februari 2013 Förslag till omarbetad informationssäkerhetspolicy för Stockholms läns landsting, den 1 februari 2013 Förslag till omarbetade riktlinjer för informationssäkerhet inom Stockholms läns landsting, den 1 februari 2013 Förslag till beslut Landstingsstyrelsen föreslås dels föreslå landstingsfullmäktige besluta att anta informationssäkerhetspolicy enligt Förslag till omarbetad informationssäkerhetspolicy för Stockholms läns landsting att uppdra åt landstingsstyrelsen att fastställa Förslag till omarbetade riktlinjer för informationssäkerhet inom Stockholms läns landsting och vid behov fastställa ändringar och tillägg till dessa Kokl I
Stockholms läns landsting 2(6) TJÄNSTEUTLÅTANDE 2013-02-07 LS 1112-1733 att uppdra åt landstingsstyrelsen att utarbeta tillämpningsanvisningar för beslut om styrdokument inom informationssäkerhetsområdet hos Stockholms läns landstings nämnder, styrelser och bolag att uppdra åt nämnder, styrelser och bolag inom Stockholms läns landsting att utarbeta styrdokument för informationssäkerhet i enlighet med landstingsstyrelsens riktlinjer för informationssäkerhet dels - under förutsättning av landstingsfullmäktiges beslut - för egen del besluta att anta riktlinjer för informationssäkerhet enligt Förslag till omarbetade riktlinjer för informationssäkerhet inom Stockholms läns landsting att uppdra åt landstingsdirektören eller den han utser att besluta om ändringar eller tillägg till riktlinjer för informationssäkerhet att uppdra åt landstingsdirektören eller den han utser art utarbeta tillämpningsanvisningar för beslut om styrdokument inom informationssäkerhetsområdet i Stockholms läns landstings nämnder, styrelser och bolag. Förvaltningens förslag och motivering Sammanfattning Ärendet gäller förslag på omarbetad policy och tillhörande riktlinjer för informationssäkerhet inom Stockholms läns landsting. Förändringarna avser förbättringar avseende enkelhet, tydlighet, transparens och genomförda organisationsförändringar. Bakgrund Landstingsstyrelsen och landstingsfullmäktige beslutade den 22 november 2011 respektive den 6 december 2011 att anta ny informationssäkerhetspolicy och nya riktlinjer för informationssäkerhet inom Stockholms läns landsting. De nya styrdokumenten började gälla den 1 januari 2012. I samband med beslutet uppdrogs åt landstingsstyrelsen att återkomma med en omarbetad informationssäkerhetspolicy. I det följande ges en kortfattad redogörelse av viktigare principiella förslag till ändringar i policy och riktlinjer.
Stockholms läns landsting 3(6) TJÄNSTEUTLÅTANDE 2013-02-07 LS 1112-1733 Informationssäkerhetspolicy Målet för landstingets informationssäkerhetsarbete har förtydligats. Det ingår en beskrivning av hur ledningssystemet för informationssäkerhet är uppbyggt. Tillägg har gjorts gällande vad som är grundläggande för informationssäkerhetsarbete. Ansvar och roller har tydliggjorts. Det klargörs på ett tydligare sätt vem som bär ansvaret för policyns efterlevnad, och det har skapats en ökad transparens i roller samt vad gäller verksamhetsansvar och samordnande ansvar. Riktlinjer för informationssäkerhet Ovan nämnda förändringar i policyn har inarbetats och konkretiserats i riktlinjerna för informationssäkerhet. Strukturen i landstingets ramverk för informationssäkerhet har arbetats om för att underlätta styrning och uppföljning av landstingets informationssäkerhet på såväl övergripande som på lokal nivå. Informationssäkerhetskraven har förtydligats och gjorts mer sammanhängande Det har genomförts redaktionella omarbetningar i dokumentet i syfte att göra innehållet enklare, tydligare och mer läsvänligt. Genomförda omarbetningar syftar till att ge en ökad tydlighet i struktur och kravställning och att underlätta styrning och uppföljning av landstingets informationssäkerhetsarbete. Avsikten med riktlinjernas utformning är att de ska vara tydliga och att det ska vara enkelt att hitta vad som gäller i enskilda frågor. Under året har förvaltningen genomfört en översyn av ledningssystemet för informationssäkerhet, med förslag på anpassningar för att bättre stödja det fortlöpande arbetet i verksamheterna. Förvaltningen föreslår att respektive nämnd, styrelse och bolag, inom ramen för landstingets övergripande ledningssystem för informationssäkerhet, ska styra och leda sitt informationssäkerhetsarbete i ett lokalt ledningssystem inom dess verksamhetsområde. Detta ska innehålla de nödvändiga processer och rutiner som behövs för att säkerställa att verksamheten uppfyller kraven på en god och ändamålsenlig informationssäkerhet. Syftet med förslaget är att skapa förutsättningar för att bedriva ett systematiskt informationssäkerhetsarbete inom landstinget, och etablera nödvändiga stödstrukturer för informationssäkerhet på verksamhetsnivå. Fokus ligger på att skapa en struktur för ledning och styrning på både övergripande och lokal nivå, d.v.s. verksamhetsnivå, och därigenom skapa
Stockholms läns landsting 4(6) TJÄNSTEUTLÅTANDE 2013-02-07 LS 1112-1733 förutsättningar för att hålla informationssäkerhetsarbetet levande och målen i policyn tydliga. Att upprätta verksamhetsnära ledningssystem är ett ändamålsenligt sätt att långsiktigt hantera och utveckla landstingets informationssäkerhetsarbete. För att stödja ett systematiskt informationssäkerhetsarbete i verksamheterna och även kunna styra samordning av arbetet föreslår förvaltningen att den ges ett uppdrag att till riktlinjerna utarbeta tillämpningsanvisningar med vägledningar och preciseringar av landstingets övergripande policy och riktlinjer. Arbetet ska bedrivas i samarbete med framförallt landstingets facknämnder för att täcka in sådana frågor som ligger i respektive nämnds ansvarsområde. Styrdokumenten på lokal nivå föreslås bestå av en lokal policy, lokala riktlinjer samt lokala anvisningar för informationssäkerhet. Dessa styrdokument utarbetas med utgångspunkt från den egna organisationens specifika behov och i enlighet med tillämpningsanvisningarna. I Socialstyrelsens föreskrifter om informationshantering och journalföring i hälso- och sjukvården, SOSFS 2008:14, anges att en vårdgivare ska ha en dokumenterad informationssäkerhetspolicy som gör att patientuppgifter hanteras på ett säkert sätt i verksamheten. I det föreslagna regelverket för informationssäkerhet motsvarar detta den lokala informationssäkerhetspolicyn. I övrigt har de omarbetade styrdokumenten tagit över de tidigare styrdokumentens grundregler. Vissa avsnitt och skrivelser i riktlinjerna har förenklats eller utgått då de bedömts motsvara nivån för tillämpningsanvisningar. Omarbetad policy och tillhörande riktlinjer är liksom tidigare utformade med stöd av standarden för informationssäkerhet (SS-ISO/IEC 27002) och i enlighet med organisationens verksamhetskrav samt gällande lagar och föreskrifter. Förslaget har tagits fram i samråd med rådet för informationssäkerhet, ISR, där verksamheternas informationssäkerhetssamordnare ingår. Förtydligande avseende uppdraget till nämnder, styrelser och bolag att utarbeta styrdokument för informationssäkerhet i enlighet med landstingsstyrelsens riktlinjer for informationssäkerhet Landstingsstyrelsen och landstingsfullmäktige antog i slutet av år 2011 en ny informationssäkerhetspolicy och nya riktlinjer för informationssäkerhet. Arbetet med att ta fram anvisningar som konkretiserar kraven pågår men har kommit olika långt inom nämnder, styrelser och bolag. Beslut om omarbetade riktlinjer medför att de nämnder, styrelser och bolag som har kommit längst i sitt anvisningsarbete behöver justera sina anvisningar
Stockholms läns landsting 5 (6) TJÄNSTEUTLÅTANDE 2013-02-07 LS 1112-1733 Förtydligande avseende uppdraget till landstingsdirektören att besluta om ändringar och tillägg Med hänsyn till att riktlinjerna kan behöva revideras och uppdateras i enlighet med t.ex. förändringar i författningskrav föreslås landstingsstyrelsen delegera viss beslutskompetens till landstingsdirektören som bemyndigas att i sin tur vidaredelegera beslutanderätten till någon annan anställd. Avsikten är att genomföra justeringar i styrdokumentet som kan anses vara av mindre karaktär och syfta till att förtydliga riktlinjerna eller anpassa dessa till förändrade förutsättningar. En justering som exempelvis kan komma att behövas är att omarbeta texten för att göra riktlinjerna mer överskådliga och läsvänliga och att styra vissa krav eller textmassor till tillämpningsanvisningarna. Andra sådana exempel är justeringar gällande vårdenhetsbegreppet och landstingets informationssäkerhetsutbildning. Beslut om tillägg eller ändringar som fattas med stöd av denna delegation ska anmälas till landstingsstyrelsen. Beslut som fattats med stöd av landstingsdirektörens vidaredelegering skall anmälas till både landstingsdirektören och landstingsstyrelsen. Om ändringar eller tillägg är av sådan karaktär att de kan sägas påverka verksamhetens mål, inriktning, omfattning eller kvalitet ska landstingsstyrelsen fatta beslutet om aktuella ändringar eller tillägg (6 kap 34 Kommunallagen.) Konsekvenser av beslutet för informationssäkerheten Stockholm läns landstings samtliga verksamheter måste vidta skyddsåtgärder för att uppnå och vidmakthålla eftersträvad nivå på informationssäkerheten. Den omarbetade policyn bidrar till en ökad förståelse av innehåll, till en ökad tydlighet vad gäller ansvar för informationssäkerhet samt till bättre förutsättningar att åstadkomma ett systematiskt informationssäkerhetsarbete inom landstinget. Ekonomiska konsekvenser av beslutet Det uppstår inga ekonomiska konsekvenser av beslutet. Kostnaderna för framtagande av tillämpningsanvisningar samt genomförandet av policyn och tillhörande riktlinjer ska rymmas inom respektive verksamhets budget.
Stockholms läns landsting TJÄNSTEUTLÅTANDE 2013-02-07 Miljökonsekvenser av beslutet I enlighet med landstingets Miljöpolitiska program 2012-2016 har hänsyn till miljön beaktats och slutsatsen är att det inte är relevant med en miljökonsekvensbedömning i detta ärende. Toivo Heinsoo Landstingsdirektör 7?< iders Nyström Biträdande förvaltningschef
Stockholms läns landsting LS 1112-1733 Förslag till omarbetad informationssäkerhetspolicy inom Stockholms läns landsting 2013-02-01 Beslutad av landstingsfullmäktige 20[xx]-[xx]-[xx]
Innehållsförteckning 1 Inledning 2 Mål 3 Omfattning 4 Innebörd 5 Ansvar 6 Uppföljning och revidering
3 (8) l Inledning Stockholms läns landstings verksamhet är grundad på principer om öppenhet, personlig integritet och respekt för individen. Medborgarna ska kunna få insyn i landstingets verksamhet. De ska kunna förlita sig på den information som landstinget lämnar och vara förvissade om att information som samlas in får ett tillräckligt skydd. Information är en av landstingets mest strategiska resurser. Alla verksamheter är beroende av tillförlitlig information. Avbrott i tillgången till information kan vara kritiskt och felaktig information kan ge allvarliga konsekvenser inom hälso- och sjukvården, kollektivtrafiken och inom landstingets övriga ansvarsområden. Utvecklingen med informationshantering i IT-system och nya funktionaliteter innebär förbättringar i många avseenden. Samtidigt innebär beroendet av informationssystem att sårbarheten och riskexponeringen ökar om inte säkerhetsaspekterna beaktas. Därför arbetar Stockholms läns landsting aktivt med informationssäkerhet. Det innebär att se till att informationstillgångar finns tillgängliga när de behövs, att de är korrekta, och att obehöriga inte får åtkomst till dem. Genom att arbeta systematiskt och långsiktigt upprätthåller vi ett tillräckligt skydd som är anpassat efter våra verksamheters förutsättningar och behov. Informationssäkerhetsarbetet syftar till att stödja och säkerställa landstingets verksamhet. Alla medarbetare deltar i detta arbete. Informationssäkerhetsarbetet är en viktig del i landstingets övergripande arbete med intern styrning och kontroll samt riskhantering. Denna policy beskriver de övergripande principer som ska gälla för informationssäkerhetsarbetet i Stockholms läns landsting.
2 Mål Målet för landstingets informationssäkerhetsarbete är att skydda informationen inom verksamheten. Skyddet ska vara anpassat till skyddsvärde, risk och lagkrav och därigenom möjliggöra för landstingets verksamheter att uppnå sina mål. En god informationssäkerhet inom landstinget främjar verksamheternas funktionalitet, kvalitet och effektivitet, medborgares rättigheter och personliga integritet, landstingets förmåga att förebygga och hantera allvarliga störningar och kriser samt förtroendet för landstingets informationshantering och IT-system. 3 Omfattning Informationssäkerhetspolicyn gäller för hantering av information, i alla dess former, i Stockholms läns landsting inklusive bolag och stiftelser och av samtliga som arbetar på uppdrag av landstinget. Det sistnämnda regleras genom avtal. Informationssäkerhetsarbetet styrs med hjälp av landstingets ledningssystem för informationssäkerhet som är framtaget med stöd av standarden för informationssäkerhet, ISO/IEC 27000 och utifrån organisationens verksamhetskrav samt gällande lagar och föreskrifter. Vårt ledningssystem är uppbyggt i två nivåer. Nivåerna ger en struktur för ledning och styrning av informationssäkerheten på både övergripande nivå och på verksamhetsnivå. En viktig del av ledningssystemet är regelverket. Det består av styrande dokument som på övergripande nivå utgörs av denna policy och tillhörande riktlinjer och tillämpningsanvisningar. Allt informationssäkerhetsarbete utgår från dessa dokument. Respektive nämnd, styrelse och bolag styr och leder sitt informationssäkerhetsarbete i ett lokalt ledningssystem inom dess verksamhetsområde. Det innehåller de nödvändiga processer och rutiner som behövs för att säkerställa att verksamheten uppfyller kraven på en ändamålsenlig informationssäkerhet. De styrande dokumenten på lokal nivå utformas utifrån de övergripande. Utöver detta krävs att Stockholms läns landsting i tillämpliga delar lever upp till gällande lagar och förordningar samt till landstingets övriga styrande dokument.
4 Innebörd Informationssäkerhetsarbetet innebär att värdera all information efter sin känslighet och med hjälp av administrativa och tekniska skyddsåtgärder säkerställa att den finns tillgänglig när den behövs, att den är korrekt och att obehöriga inte kan få tillgång till den. Utöver dessa säkerhetsaspekter måste behov av spårbarhet uppfyllas - att i efterhand kunna avgöra vem som tagit del av informationen, vilka förändringar som skett och av vem dessa utförts. Säkerhetsaspekter Konfidentialitet (rätt person): Riktighet (rätt information): Tillgänglighet (rätt tid och plats): Spårbarhet: Information får inte göras tillgänglig eller avslöjas på ett sådant sätt att den personliga integriteten eller sekretessen hotas. Informationen få inte förändras eller gå förlorad, av misstag, genom inverkan av obehörig eller på grund av tekniskt fel. Informationen ska kunna användas i förväntad utsträckning, inom önskad tid och på rätt plats. Händelser i informationsbehandlingen ska kunna spåras. Skyddet av informationstillgångar och informationssystem ska vara utformat så att verksamhetens krav på dessa säkerhetsaspekter uppfylls. Detta gäller även när landstingets information eller informationssystem hanteras av extern part. Skyddsåtgärder För att hitta relevant skyddsnivå utifrån dessa fyra aspekter ska vi arbeta utifrån nedanstående principer: Vi ska arbeta med informationsklassificering där all information klassificeras och handlingar och dokument märks.
All information ska ha en ägare. Informationsägaren ansvarar för att klassificera informationen och ställa de säkerhetskrav som krävs för informationshantering. Alla informationssystem ska ha en systemägare som ansvarar för art säkerhetskraven på systemet uppfylls. Omvärlden förändras. Därför ska vi, utifrån återkommande risk- och sårbarhetsanalyser och inträffade incidenter, vidta nödvändiga åtgärder för att se till att vår information har rätt skydd. Vi ska ställa säkerhetskrav inför upphandling, utveckling, användning och avveckling av informationssystem och vi ska följa upp de krav vi ställt. Vi ska arbeta med kontinuitetsplanering och ha beredskap för avbrott. Våra kritiska verksamheter ska kunna upprätthållas på fastställd nivå vid olika typer av katastrofsituationer, störningar och avbrott. Alla anställda ska veta vad det egna ansvaret omfattar och ha god kunskap om vilka säkerhetsregler som gäller. Detsamma gäller när tillfällig eller extern personal anlitas. Det är viktigt att alla har ett högt säkerhetsmedvetande och kritiskt ifrågasätter händelser som kan påverka informationssäkerheten. Skyddsåtgärder skall vara kostnadseffektiva och stå i proportion till värdet av informationen och de negativa konsekvenser en otillräcklig säkerhet kan medföra. Kontinuerlig uppföljning ska ske mot fastställda regler. 5 Ansvar Landstingsfullmäktige fastställer den informationssäkerhetspolicy som ska gälla för landstinget. Landstingsstyrelsen ansvarar för att landstingets informationssäkerhetspolicy och riktlinjer för informationssäkerheten utarbetas och hålls aktuella. Landstingsstyrelsen ansvarar också för samordningen av informationssäkerhetsarbetet i landstinget och ska därför årligen fastställa en övergripande handlingsplan för informationssäkerhetsarbetet.
Landstingsdirektören har landstingstingsstyrelsens uppdrag att sörja för att informationssäkerhetsarbetet bedrivs så effektivt som möjligt. Landstingsdirektören ansvarar för att övergripande tillämpningsanvisningar utarbetas och hålls aktuella i enlighet med policy och riktlinjer. Informationssäkerhetschefen verkställer samordningen av informationssäkerhetsarbetet inom landstinget och förvaltar denna policy, de tillhörande riktlinjerna och tillämpningsanvisningarna samt den övergripande handlingsplanen för informationssäkerhet. Varje nämnd och styrelse är ansvarig för informationssäkerheten inom sitt verksamhetsområde och ska därför, inom ramen för sitt lokala ledningssystem och i enlighet med tillämpningsanvisningar, anta verksamhetsnära styrdokument för informationssäkerhet. Det åligger även varje nämnd och styrelse att årligen planlägga och löpande följa upp informationssäkerheten och i övrigt vidta de åtgärder som krävs för att uppnå och upprätthålla tillräcklig intern kontroll. Ansvaret för informationssäkerheten är kopplat till det delegerade verksamhetsansvaret. Förvaltningschef/VD ska säkerställa att all informationshantering inom den egna verksamheten sker i enlighet med denna policy samt tillhörande riktlinjer och tillämpningsanvisningar för informationssäkerhet. Informationssäkerhetssamordnare ska utses inom varje förvaltning och bolag och ges i ansvar att samordna och följa upp det för organisationen och verksamheten gemensamma informationssäkerhetsarbetet. Varje anställd ansvarar för att uppställda säkerhetsregler följs samt att störningar och fel i informationssystem, utrustningar och informationsinnehåll rapporteras enligt fastställda rutiner. Informationssäkerhetsrådets uppgift är att främja, stödja, samordna och följa upp landstingets informationssäkerhetsarbete på en övergripande nivå. Landstingsrevisorernas uppgift är att granska om den interna kontrollen är tillräcklig.
6 Uppföljning och revidering Uppföljning och revidering av denna policy ska ske regelbundet. I samband med revidering ska tillhörande riktlinjer och tillämpningsanvisningar samt handlingsplanen för informationssäkerhet revideras på motsvarande sätt. 8(8)
Stockholms läns landsting Informationsklass: K1R2T1 LS 1112-1733 Förslag till omarbetade riktlinjer för informationssäkerhet inom Stockholms läns landsting 2013-02-01 Beslutad av landstingsstyrelsen 20[xx]-[xx]-[xx] och landstingsfullmäktige 20[xx]-[xx]-[xx]
Innehallsförteckning 1 Inledande bestämmelser i 1.1 Inledning i 1.2 Mål i 1.3 Syfte och omfattning i 1.4 Grunder 2 1.5 Landstingets regelverk för informationssäkerhet 2 2 Bedömning och hantering av risker 4 2.1 Riskbedömning och riskhantering 4 3 Organisation av informationssäkerheten 5 3.1 Övergripande informationssäkerhetsansvar 5 3.2 Roller och ansvar i verksamheten 6 3.3 Roller och ansvar gällande samordning och uppföljning 7 4 Personalresurser och informationssäkerhet 9 4.1 Rekrytering och anställning 9 4.2 Arbetsbeskrivning och anställningsvillkor 9 4.3 Sekretess 9 4.4 Utbildning och fortbildning i informationssäkerhet 10 4.5 Avslutande av anställning 10 5 Hantering av tillgångar ll 5.1 Förteckning över informationstillgångar 11 5.2 Klassificering av information 11 5.3 Märkning av information 11 5.4 Hantering av sekretessbelagd information 12 5.5 Bevarande, rensning och gallring av information 12 5.6 Personuppgifter 12 5.7 Skyddade personuppgifter 13 5.8 Patientuppgifter inom vården 14 5.9 Betalkortsinformation 15 5.10 Kakor (cookies) på webbplatser 15 6 Användning av IT-system 16 6.1 Generella regler för användning av landstingets IT-system 16 6.2 Anslutning av utrustning i landstingets IT-system 16 6.3 Användning av landstingets IT-system 17 6.4 Privat användning av landstingets IT-system 18 6.5 Användning av internet 18 6.6 Användning av e-post 19 6.7 Användning av sociala medier 20 6.8 Användaridentiteter, lösenord och e-tjänstekort 20
6.9 Kontrollåtgärder 20 7 Åtkomst till information 21 7.1 Styrning av åtkomst till elektronisk information 21 7.2 Extern informationsanvändning 22 7.3 Styrning av åtkomst till icke digital information 23 8 Driftsäkerhet 24 8.1 Generella krav på systemmilj ö 24 8.2 Systemförvaltning 24 8.3 Systemdokumentation 25 8.4 Säkerhetsuppdateringar 25 8.5 Skydd mot skadlig kod 25 8.6 Styrning av ändringar i eller kring IT-system 25 8.7 Felhantering 26 8.8 Kapacitetsplanering 26 8.9 Säkerhetskopiering och återläsning av data 26 8.10 Driftövervakning 26 8.11 Drift hos extern part 27 8.12 Gallring av information och avveckling av IT-system 27 9 Kommunikations- och nätverkssäkerhet 29 9.1 Säkerhetskrav på nätverksmiljön 29 10 Utveckling och anskaffning av IT-system 3 1 10.1 Generella regler vid utveckling och anskaffning 31 10.2 Systemutvecklingsprojekt 31 10.3 Upphandling av IT-system och systemutveckling 32 11 Fysisk och miljörelaterad säkerhet 33 11.1 Generella regler för fysisk och miljörelaterad säkerhet 33 11.2 Säkra utrymmen 33 11.3 Kraftförsörjning och elmiljö 34 11.4 Säkerhet för tillgångar utanför egna lokaler 34 12 Hantering av incidenter som rör informationssäkerhet 35 12.1 Incidenthantering 35 13 Kontinuitetsplanering 36 13.1 Generella regler för kontinuitetsplanering 36 14 Uppföljning och efterlevnad 37 14.1 Uppföljning av regelverket 37 14.2 Uppföljning av efterlevnad 37 Bilaga 1: Ansvarsbeskrivningar för särskilda roller i verksamheten Bilaga 2: Klassificeringsmodell
Läsanvisning Denna läsanvisning förklarar riktlinjernas innehåll och användning. Varje kapitel inleds med en kort sammanfattning som berättar om innehållet i kapitlet. Sammanfattningarna finns samlade nedan. Kapitel i. Inledande bestämmelser. I detta kapitel finns en förklaring till vad informationssäkerhet innebär, grundläggande bestämmelser och en genomgång av hur regelverket ser ut. Kapitel 2. Bedömning och hantering av risker. Landstingets informationstillgångar måste skyddas oavsett vilken form de har. Om det visar sig att skyddet kan kringgås är det viktigt att vi har en förmåga upptäcka detta. Därför ska vi ha god kunskap om de hot, risker och sårbarheter som kan komma att påverka oss och hur vi kan förebygga och hantera dem. Denna kunskap får vi bland annat genom att arbeta systematiskt med risk- och sårbarhetsanalyser. Kapitel 3. Organisation av informationssäkerheten. För att uppnå och behålla en god informationssäkerhet är det viktigt att roller och ansvar fördelas. I detta kapitel beskrivs vem som ansvarar för vad. Kapitel 4. Personalresurser och informationssäkerhet. Alla som arbetar i landstingets verksamhet måste förstå sitt ansvar för och bidra till att hantera och skydda landstingets informationstillgångar. Hur dessa frågor hanteras i personalprocessen beskrivs i detta tredje kapitel. Kapitel 5. Hantering av tillgångar. I detta kapitel finns det konkreta riktlinjer för hur vi ska hantera våra informationstillgångar. Sekretessbelagda handlingar, patientuppgifter inom vården och betalkortsinformation är exempel på känslig information som vi måste hantera på särskilt sätt. Genom att placera informationstillgångar i olika säkerhetsklasser vet vi vilka som kräver mer skydd än andra. Kapitel 6. Användning av IT-system. Hur får anställda använda datorer, internetuppkoppling, telefoner, e-post och andra arbetsredskap för att vi ska ha god informationssäkerhet? Här finns riktlinjerna för den personliga användningen av landstingets IT-system, och för vad som gäller vid arbete på annat ställe än arbetsplatsen. Kapitel 7. Åtkomst till information. Hur vi ska förhindra att obehöriga får åtkomst till landstingets informationssystem, IT-tjänster och -infrastruktur? Här finns riktlinjer för hur åtkomsten till informationen ska styras så att endast behöriga användare kommer åt information. Kapitel 8. Driftsäkerhet. För att undvika störningar och driftstopp i landstingets ITsystem måste det finnas en god förvaltning med noggranna rutiner för till exempel driftsättning, säkerhetskopiering och loggning.
Kapitel 9. Kommunikations- och nätverkssäkerhet. Det finns alltid risker för avlyssning, intrång och för att information förändras när den överförs genom data- och telekommunikation. Hur vi skyddar våra nätverk beskrivs i detta kapitel. Kapitel 10. Utveckling och anskaffning av system. Hur förhåller sig våra informationssystem och processer till de lagar som styr vår verksamhet? Den analysen måste göras innan informationssystem vidareutvecklas eller nya anskaffas. Här fmns riktlinjerna för hur det ska gå till. Kapitel 11. Fysisk och miljörelaterad säkerhet. Tillträdeskontroll, säkra utrymmen, skalskydd och brandskydd - det är några av de rubriker som tas upp under denna rubrik. Det handlar om hur IT-system och informationstillgångar ska skyddas, både i våra egna lokaler och när vi hyr in oss i andras. Kapitel 12. Hantering av incidenter som rör informationssäkerhet. När en allvarlig incident inträffar som påverkar informationssäkerheten är det viktigt att vi agerar snabbt för att begränsa eller avvärja konsekvenserna av den. Störningar kan ha flera orsaker och kan snabbt komma att påverka många delar av vår verksamhet, men också andra aktörer i samhället. I detta kapitel behandlas hur vi hanterar sådana slags händelser. Kapitel 13. Kontinuitetsplanering. Verksamheten ska kunna fortsätta även om till exempel IT-system slås ut, en strömkabel grävs av eller byggnader brinner ner. Därför är det viktigt att planera också hur verksamheten ska fungera om det händer något. Här fmns riktlinjerna för hur vi gör det och planerar för kontinuitet. Kapitel 14. Uppföljning och efterlevnad. Här får vi veta hur och när vi ska göra uppföljningar så att vi vet vad som fungerar bra och vad vi behöver förändra för att hålla en god informationssäkerhet och samtidigt uppfylla den demokratiska uppgift vi har som offentlig myndighet.
Definitioner För användningen av dessa riktlinjer gäller följande termer och definitioner: Autentisering Kontroll av uppgiven identitet. Behandling av personuppgifter Varje åtgärd eller serie av åtgärder som någon vidtar med personuppgifter, vare sig det görs på automatiserad väg eller inte. Behörighet Tilldelad åtkomsträttighet i IT-system. Hot Möjlig oönskad händelse med negativa konsekvenser för verksamheten. Information Ett vitt begrepp som inkluderar allt från kunskap som enskilda medarbetare besitter till information lagrad i IT-system. Informationssäkerhet Bevarande av konfidentialitet, riktighet och tillgänglighet hos information. (Härutöver kan begreppet även innefatta t.ex. spårbarhet, autenticitet, oawislighet och tillförlitlighet). Informationssäkerhets- incident En eller flera händelser som kan tänkas få allvarliga konsekvenser för verksamheten och hota informationssäkerheten (t.ex. brott mot sekretess, integritetsförlust, driftavbrott eller brist på tillgång till information). Övergripande avsikt och viljeinriktning formellt uttryckt av en organisations ledning. Anger mål och inriktning för samt styr informationssäkerhetsarbetet inom organisationen. IT-system Konfidentialitet Informationsbehandlingssystem som med informationsteknik hanterar och utbyter information med omgivningen. I begreppet IT-system innefattas även kommunikationsutrustning, datorer, servrar, skrivare och övrig teknisk utrustning som ansluts till landstingets elektroniska kommunikationsnätverk. Egenskap att information inte görs tillgänglig eller avslöjas för obehöriga personer, enheter eller processer. Känsliga personuppgifter Informationssäkerhetspolicy Uppgifter som avslöjar etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa eller sexualliv. Patientuppgifter är känsliga personuppgifter. Mobil enhet Mobiltelefon, surf- eller läsplatta eller liknande teknisk enhet. Bärbar dator innefattas inte i begreppet.
All slags information som direkt eller indirekt kan knytas till en fysisk person som är i livet. Bild- och ljuduppgifter om en identifierbar fysisk person räknas som personuppgifter, även om inga namn nämns. Krypterade uppgifter och olika slag av elektroniska identiteter är också personuppgifter om de direkt eller indirekt kan kopplas till fysiska personer som är i livet. Produkten av sannolikheten och konsekvensen för att ett givet hot realiseras. Metodisk process som identifierar säkerhetsrisker och bestämmer dess betydelse. Ett elektroniskt system, som gör det möjligt för en vårdgivare ge eller få direktåtkomst till personuppgifter. Varje slag av otvetydig viljeyttring genom vilken den registrerade godtar att personuppgifter som rör honom eller henne behandlas. Supervisory, Control and Data Acqusition, s.k. digitala kontrollsystem. Datorbaserade system för styrning, reglering och övervakning av fysiska processer som t.ex. el-, gasoch vattenförsörjning samt spårbunden trafik. Otillåten programkod som syftar till för att ändra, röja, förstöra, störa eller avlyssna ett datanät, funktioner eller uppgifter i IT-system. Handling, procedur eller tekniskt arrangemang som genom att minska sårbarheten möter identifierade hot. Autentisering som innebär att identiteten kontrolleras på minst två sätt. Brist i skyddet av en tillgång eller en grupp av tillgångar exponerad för hot. Något som har värde för en organisation. Med informationstillgångar menas informationen i sig och de resurser som används för att hantera den, t.ex. programvaror, tjänster och fysiska tillgångar. Egenskap att vara tillgänglig och användbar på begäran av en behörig aktör.
1(37) 1 Inledande bestämmelser Informationssäkerhetspolicyn, antagen av landstingsfullmäktige, styr hur vi arbetar med informationssäkerhet inom Stockholms läns landsting. I detta kapitel finns en förklaring till vad informationssäkerhet innebär, grundläggande bestämmelser och en genomgång av hur regelverket ser ut. 1.1 Inledning Stockholm läns landsting ansvarar för den offentligt finansierade hälso- och sjukvården, kollektivtrafiken, regionplaneringen och andra viktiga uppgifter i Stockholms län. Verksamheten är omfattande och komplex, med många olika intressenter och med ett stort beroende av information. En effektiv och säker användning av information är en förutsättning för landstingets verksamhet och för förtroendet för förmågan att leverera service till medborgarna. Dessutom ställer offentlighetsprincipen krav på landstingets informationshantering, liksom speciallagstiftning inom verksamhetsområden som hälso- och sjukvård och trafik. Detta sammantaget gör information till en av landstingets mest betydelsefulla resurser. Landstingets informationssäkerhetspolicy belyser att informationssäkerhet handlar om kvalitet och att den är en förutsättning för att uppnå exempelvis säkerhet och integritet för patienter och trafikanter. Att förbättra en verksamhets informationssäkerhet innebär inte enbart att tillmötesgå externa krav, utan även att förbättra verksamheten i sig, ett sätt att uppnå god kvalitet och god intern kontroll. Informationssäkerhetsarbetet berör hela landstingets verksamhet. Det utgår från säkerhetsstandarder som är utgivna av standardiseringsorganisationerna, och riktar in sig på de objekt som ska skyddas. Ett sunt och vaket säkerhetsmedvetande hos alla medarbetare är en förutsättning för väl fungerande informationssäkerhet. 1.2 Mål Målet för landstingets informationssäkerhetsarbete är att skydda informationen inom verksamheten. Skyddet ska vara anpassat till skyddsvärde, risk och lagkrav och därigenom möjliggöra för landstingets verksamheter att uppnå sina mål. En god informationssäkerhet inom landstinget främjar verksamheternas funktionalitet, kvalitet och effektivitet, medborgares rättigheter och personliga integritet, landstingets förmåga att förebygga och hantera allvarliga störningar och kriser samt förtroendet för landstingets informationshantering och IT-system. 1.3 Syfte och omfattning [1.3.1] Dessa riktlinjer, vilka är en konkretisering av landstingets informationssäkerhetspolicy, är tillsammans med tillhörande tillämpningsanvisningar, styrande för landstingets informationshantering. De ska efterlevas av samtliga nämnder, styrelse och bolag inom landstinget och av samtliga som arbetar på uppdrag av landstinget. Det sistnämnda regleras genom avtal.
2 1.4 Grunder [1.4.1] Inom landstingets nämnder, styrelser och bolag ska ett systematiskt och långsiktigt informationssäkerhetsarbete bedrivas. [1.4.2] Respektive nämnd, styrelse och bolag ansvarar för att det, inom ramen för landstingets övergripande ledningssystem för informationssäkerhet, finns ett lokalt ledningssystem för informationssäkerhet inom dess verksamhetsområde. [1.4.3] Landstingets informationstillgångar ska identifieras, klassificeras och ges en lämplig skyddsnivå med utgångspunkt i att de finns tillgängliga när de behövs (tillgänglighet), att de är korrekta (riktighet), att obehöriga inte kan få tillgång till dem (konfidentialitet) och att händelser i informationsbehandlingen kan spåras (spårbarhet). [1.4.4] Landstingets verksamheter ska, utifrån återkommande risk- och sårbarhetsanalyser och inträffade incidenter, avgöra hur risker ska hanteras och vidta nödvändiga åtgärder för att upprätthålla rätt skyddsnivåer för informationen. [1.4.5] För att uppnå målet med informationssäkerheten ska säkerhetsarbetet omfatta samtliga delar av administrativ respektive teknisk säkerhet, det vill säga samtliga behandlade delar i dessa riktlinjer. [1.4.6] I enlighet med vad som gäller för övrig verksamhet inom landstinget, är ansvaret för informationssäkerheten kopplat till det delegerade verksamhetsansvaret. Det betyder att varje person som är ansvarig för en verksamhet eller får ett delegerat verksamhetsansvar också är ansvarig för informationssäkerheten i denna verksamhet. Kommentar: Riktlinjerna är framtagna med stöd av standarden för informationssäkerhet, ISO/IEC 27000, och i enlighet med organisationens verksamhetskrav samt gällande lagar och föreskrifter, däribland MSB:s föreskrift om informationssäkerhet, Myndigheten för samhällsskydd och beredskap. 1.5 Landstingets regelverk för informationssäkerhet [1.5.1] Landstingets regelverk för informationssäkerhet är uppbyggt enligt följande struktur: Nationella styrdokument Landstingets övergripande styrdokument Verksamhetsnära styrdokument specifika för nämnd och styrelse Lagar, förordningar, författningssamlingar, planer Landstingets informationssäkerhetspolicy Infor (al ssakerhetspolicy Landstingsfullmäktige Allmänna råd, handböcker Landstingets riktlinjer för informationssäkerhet Lokala riktlinjer _r a. I L Landstlngsstyr elsen Landstingets tillämpningsanvisningar för informationssäkerhet Lokala anvisningar for informationssäkerhet Landstingsdirektören Lokala ihstruktloner Bild: Hierarki för dokument med tillhörande ansvarsfördelning som ledningssystemet för informationssäkerhet baseras på.
3(37) Nationella styrdokument Alla som arbetar på uppdrag av landstinget kommer i kontakt med informationssäkerhetsfrågor och har att, förutom dessa riktlinjer, följa ett antal lagar, förordningar och andra föreskrifter. Några av dem är stiftade på nationell nivå och gäller för alla myndigheter, landsting och kommuner. Myndigheten för samhällsskydd och beredskap, MSB, har det sammanhållande myndighetsansvaret för samhällets informationssäkerhet enligt Svensk författningssamling SFS 2008:1002. Landstingets övergripande styrdokument Informationssäkerhetspolicyn beskriver landstingets syn på informationssäkerhet och de övergripande principer som gäller för informationssäkerheten. Informationssäkerhetspolicyn antas av landstingsfullmäktige. Riktlinjer för informationssäkerhet konkretiserar informationssäkerhetspolicyn och ger riktlinjer avseende skyddsåtgärder och -nivåer. Riktlinjerna antas av landstingsstyrelsen. Tillämpningsanvisningar för informationssäkerhet innehåller preciseringar till landstingets policy och riktlinjer. Tillämpningsanvisningarna och vägledningar antas av landstingsdirektören, som tillsammans med förvaltningar och bolag även tar fram en övergripande handlingsplan för informationssäkerhet. Lokala styrdokument Varje nämnd och styrelse ska, inom ramen för landstingets övergripande ledningssystem för informationssäkerhet, styra och leda sitt informationssäkerhetsarbete i ett ledningssystem inom dess verksamhetsområde, s.k. lokalt ledningssystem. Styrdokumenten på lokal nivå består av en lokal policy, lokala riktlinjer samt lokala anvisningar för informationssäkerhet. Dessa styrdokument innehåller preciseringar och tillägg till de övergripande styrdokumenten med utgångspunkt från den egna organisationens specifika behov och i enlighet med tillämpningsanvisningar. Med utgångspunkt från anvisningarna utarbetas då behov föreligger lokala instruktioner av respektive förvaltning och bolag. De beskriver detaljerat hur rutiner och skyddsåtgärder utformas och tillämpas för att informationssäkerheten ska kunna realiseras i verksamheten. Införandet ska konkretiseras i en handlingsplan för informationssäkerhet. Kommentar: Socialstyrelsens föreskrifter om informationshantering och journalföring i hälso- och sjukvården, SOSFS 2008:14, anges att en vårdgivare ska ha en dokumenterad informationssäkerhetspolicy som gör att personuppgifter hanteras på ett säkert sätt i verksamheten, se även avsnitt 5.6.1 landstingets regelverk för informationssäkerhet motsvarar detta den lokala informationssäkerhetspolicyn. I lokala anvisningar ska lagar och författningar identifieras, som påverkar arbetet med informationssäkerhet.
4(37) 2 Bedömning och hantering av risker Landstingets informationstillgångar måste skyddas oavsett vilken form de har. Om det visar sig att skyddet kan kringgås är det viktigt att vi har en förmåga upptäcka detta. Därför ska vi ha god kunskap om de hot, risker och sårbarheter som kan komma att påverka oss och hur vi kan förebygga genom att arbeta systematiskt med risk- och och hantera dem. Denna kunskap får vi bland annat sårbarhetsanalyser. 2.1 Riskbedömning och riskhantering [2.1.1] Varje verteamhet ska, för sin verksamhet, IT-system, processer och motsvarande, genomföra och dokumentera analyser avseende vilka hot, risker och sårbarheter som kan påverka verksamheten, och utifrån dessa analyser vidta lämpliga säkerhetsskyddsåtgärder. [2.1.2] Riskbedömning ska, om inte särskilda skäl föreligger, ske med delprocesserna riskidentifiering, riskanalys, riskvärdering och genomföras i enlighet med landstingets gällande vägledning. [2.1.3] För varje risk som identifieras under riskbedömning ska ett riskhanteringsbeslut fattas. Riskhanteringsbeslut som innebär att risk inte kan godtas ska leda till åtgärdsplan för att minska risken till godtagbar nivå. [2.1.4] Riskbedömning och riskhantering ska vara en kontinuerlig process och stödja informationssäkerhetsarbetet. Riskbedömningar ska revideras när förutsättningar väsentligen förändras. Kommentar: Landstings risk- och sårbarhetsanalyser behandlas i MSB:s föreskrifter för risk- och sårbarhetsanalyser MSBFS 2010:6. Riskanalys inom hälso- och sjukvårdverksamhet behandlas i Socialstyrelsens kvalitetsledningsföreskrifter samt i föreskrifterna SOSF 2008:14.
5(37) 3 Organisation av informationssäkerheten För att uppnå och behålla en god informationssäkerhet är det viktigt att roller och ansvar fördelas. Vem är ansvarig för vad - och vad innehåller ansvaret? I detta kapitel beskrivs vad som är politikernas, revisorernas, chefstjänstemännens respektive verksamhetschefernas ansvar. Här ingår också en genomgång av vem som ansvarar för att och system hanteras på rätt sätt med avseende på informationssäkerhet. 3.1 Övergripande informationssäkerhetsansvar information [3.1.1] Landstingsfullmäktige Landstingsfullmäktige fastställer den informationssäkerhetspolicy som ska gälla för landstinget. [3.1.2] Landstingsstyrelsen Landstingsstyrelsen ansvarar för att landstingets informationssäkerhetspolicy och riktlinjer för informationssäkerheten utformas och hålls aktuella. Landstingsstyrelsen har ansvaret för samordning och uppföljning av informationssäkerheten och har därmed det övergripande ansvaret för informationssäkerheten inom landstinget. [3.1.3] Landstingsdirektören Landstingsdirektören har landstingsstyrelsens uppdrag att utforma övergripande tillämpningsanvisningar för informationssäkerhet och tillse att de hålls aktuella. Landstingsdirektören har vidare landstingstingsstyrelsens uppdrag att sörja för att informationssäkerhetsarbetet bedrivs så effektivt som möjligt, genom att visa ett tydligt stöd och fördela resurser, så att informationssäkerhetsmålet kan uppnås. I landstingsdirektörens uppdrag ingår även att, i samråd med berörda förvaltningar och bolag, utforma en övergripande handlingsplan för informationssäkerhetsarbetet inom landstinget och tillse att den beaktas i förvaltningars och bolags årliga budgetförslag. Landstingsdirektören ska utse en informationssäkerhetschef med ansvar för samordning och övergripande uppföljning av informationssäkerhetsarbetet inom landstinget. [3.1.4] Informationssäkerhetschefen Informationssäkerhetschefen verkställer samordningen av informationssäkerhetsarbetet inom landstinget och förvaltar landstingets informationssäkerhetspolicy, dessa riktlinjer, landstingets tillämpningsanvisningar samt den övergripande handlingsplanen för informationssäkerhet. Denne ska arbeta med informationssäkerhetsfrågor på en övergripande och strategisk nivå. I ansvaret ingår omvärldsbevakning, samordning, att vara sammankallande i landstingets informationssäkerhetsråd samt att inhämta information om och rapportera informationssäkerhetsläget i landstinget som ett led i uppföljningen av informationssäkerheten. [3.1.5] Landstingsrevisorerna Landstingsrevisorernas uppgift är att granska den interna kontrollen, vilket här innefattar att granska om ledning och styrning, uppföljning och kontroll av informationssäkerheten är tillfredställande.
6(37) 3.2 Roller och ansvar i verksamheten Nedan beskrivs informationssäkerhetsansvar för vissa generella roller. Beroende på lokala förhållanden kan även andra roller behöva beskrivas och ansvar fastställas. [3.2.1] Styrelser och nämnder Varje nämnd och styrelse är ytterst ansvarig för informationssäkerheten inom sin förvaltning och bolag. Den ska därför, inom ramen för sitt ledningssystem och i enlighet med tillämpningsanvisningar, anta styrdokument för informationssäkerhet enligt [1.5.1]. Det åligger också varje nämnd och styrelse att årligen planlägga och löpande följa upp informationssäkerheten och i övrigt vidta de åtgärder som krävs för att uppnå och upprätthålla tillräcklig intern kontroll. Nämnd och styrelse är personuppgiftsansvarig inom sin organisation, enligt personuppgiftslagen (PuL). Personuppgiftsansvarig ska utse ett eller flera personuppgiftsombud. [3.2.2] Personuppgiftsombud Personuppgiftsombud har till uppgift att tillse att personuppgifter behandlas på ett lagligt och korrekt sätt. Personuppgiftsombudet ska bl.a. påpeka eventuella brister i behandlingen. Om inte brister åtgärdas efter påpekande ska ombudet anmäla missförhållanden till Datainspektionen som är tillsynsmyndighet när det gäller behandling av personuppgifter. Personuppgiftsombudet ska föra en förteckning över de behandlingar av personuppgifter, som skulle ha omfattats av anmälningsskyldighet, om ombudet inte funnits. [3.2.3] Förvaltningschef/VD Förvaltningschefs/D har, inom sin verksamhet, ansvaret för att utforma och kommunicera innehållet i lokala styrdokument för informationssäkerhet, verkställa och följa upp styrelse respektive nämnds beslut och att åtminstone årligen rapportera status på informationssäkerheten till nämnd respektive styrelse. FörvaltningschefVD har, inom sin verksamhet, ansvar för att all informationshantering sker i enlighet med fastställda styrdokumenten för informationssäkerhet. Förvaltningschef/VD ansvarar för att det sker en kartläggning och en prioritering av vilka verksamheter som är i behov av en kontinuitetsplan. Dessutom ska det utses en krisorganisation som ska ansvara för att få verksamheterna att återgå till ett normalläge efter katastrofsituationer, störningar och oplanerade avbrott. Krisorganisationen kan antingen vara övergripande eller per respektive verksamhet. Alla viktiga informationstillgångar inom landstinget ska redovisas. Förvaltningschef/VD ansvarar för att förteckning förs över dessa. Det åligger även denne att säkerställa att ägare för dessa tillgångar utses, med ansvar för att vidta nödvändiga skyddsåtgärder. Förvaltningschef/VD ska avsätta resurser för informationssäkerhet samt utse en informationssäkerhetssamordnare. Förvaltningschef/VD ska tillse att det fmns instruktioner för hur vidtagna åtgärder och brister ska rapporteras. Inom hälso- och sjukvårdsverksamhet ska förvaltningschef/vd även utse en eller flera personer som har till övergripande uppgift att se till att patientens rättigheter enligt Patientdatalagen och tillhörande regelverk uppfylls.