RUTIN FÖR KLASSIFICERING AV INFORMATION



Relevanta dokument
Informationssäkerhet

Informationshantering och journalföring. informationssäkerhet för god vård

Riktlinjer för medborgardialog

Överenskommelse avseende uppföljningssystemet SUS

Socialstyrelsens författningssamling

Följsamhet till fullmäktiges reglemente för intern kontroll

Att hantera digital information i Stockholms stad. stockholm.se

Syftet med en personlig handlingsplan

Upprättad Reviderad AVVIKELSE och RISKHANTERING riktlinjer

Instruktion för informationssäkerhetsklassning

Internkontrollplan 2014 Jämtlands Räddningstjänstförbund

Förslag till ny informationssäkerhetspolicy för trafikförvaltningen inklusive ingående verksamheter

Medieplan. för Högskolebiblioteket i Skövde Reviderad

Gemensamma författningssamlingen avseende hälso- och sjukvård, socialtjänst, läkemedel, folkhälsa m.m.

Rutin för rapportering och handläggning av anmälningar enligt Lex Sarah

Rutin för hantering av medicinska avvikelser

Sammanfattning Rapport 2015:04. Gymnasieskolors arbete med att förebygga studieavbrott

Hjo kommun. Rutin för hantering och utredning av händelser inom hälso- och sjukvården som kan leda till en anmälan enligt Lex Maria.

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Sverigedemokraternas medlemsregister

Introduktion till MSB:s metodstöd

Avgifter i skolan. Informationsblad

Processinriktning. Anvisning. Diarienummer: KS 2015/2121 Dokumentansvarig: Utveckling, planering och uppföljning, Utvecklingsledare

Informationshantering och journalföring. ring. Maria Jacobsson, Hälso- och sjukvårdsavdelningen

Förslag till Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters risk- och sårbarhetsanalyser

Beskrivning av uppföljningssystemet SUS Bilaga 1 till Överenskommelse avseende uppföljningssystemet SUS

HÖGSKOLEINGENJÖRSEXAMEN BACHELOR OF SCIENCE IN ENGINEERING

Kvalitet i fritidshem Ett kvalitetsstöd för politiker och förvaltning 2014

Offentlighetsprincipen. Kortfattat om lagstiftningen

Kommittédirektiv. En samordnad utveckling av validering. Dir. 2015:120. Beslut vid regeringssammanträde den 19 november 2015

Sammanfattning. Utgångspunkter

Riktlinjer för social dokumentation för utförare inom omsorg om funktionsnedsatta och äldreomsorg

Skolplan för Svedala kommun

HSA Begrepp och definitioner

Internkontrollplan avseende kvalitet för kommunstyrelsens verksamheter 2016 KS-2015/712

Skolbeslut för vuxenutbildning

FREDA-farlighetsbedömning

Framgångsrika skolkommuner SKL

Informationssäkerhet en patientsäkerhetsfråga. Rose-Mharie Åhlfeldt Institutionen för Informationsteknologi Högskolan Skövde

Beslut för gymnasieskola

Utdrag ur protokoll vid sammanträde

Mellan Landskrona kommun, nedan kallad Landskrona och Svalövs kommun, nedan kallad Svalöv samt Bjuvs kommun, nedan kallad Bjuv har träffats

RP 305/2010 rd. I propositionen föreslås att lagen om besvärsnämnden. intressen skyddas genom sekretessen. Besvärsinstansernas

Förtroendeförskrivning

Formativ bedömning - en möjlighet till professionellt lärande och en mer likvärdig utbildning?

Statens skolverks författningssamling

Matematik. Bedömningsanvisningar. Vårterminen 2009 ÄMNESPROV. Delprov B ÅRSKURS

Fullmäktigeberedningen för kostfrågor och antagande av kostpolicy KS-2011/575

Beslut för grundsärskola

Bilaga 1 Handledning i informationssäkerhet

5. Motion om policy för besvarande av post yttrande Dnr 2015/

Regel 1 - Ökad medvetenhet

Chef för verksamhetsskydd vid rikspolischefens kansli

Skillnaden mellan betygsresultat på nationella prov och ämnesbetyg i årskurs 9, läsåret 2010/11

Svar på motion Utred vårdcentralernas öppettider

Beslut. efter tillsyn av den fristående gymnasieskolan LM Engströms gymnasium i Göteborg. Skolinspektionen

ÅTKOMST TILL VERKSAMHETSSYSTEM RIKTLINJE GÄLLANDE BEHÖRIGHET

IT, etik och organisationer

Idrotten och FN s barnkonvention

När du som vårdpersonal vill ta del av information som finns hos en annan vårdgivare krävs det att:

Föräldrainformation av familjewebben. Backeboskolan September 2012

Strategi för Kulturrådets arbete med lika rättigheter och möjligheter

Tillämpning. Kommun, offentlighet. och. sekretess

Särvuxpedagogernas rikskonferens 2010

Sanktioner Uppföljning av restauranger som fått beslut om föreläggande/förbud år 2010

Socialstyrelsens föreskrifter och allmänna råd (2011:9) om ledningssystem för systematiskt kvalitetsarbete

Åklagarmyndigheten, Ekobrottsmyndigheten, Polismyndigheten och Tullverket

Förberedelsematerial för utvecklingssamtal

Syfte. Riskvärdering - Kartläggning av metodik och erfarenheter

Elsäkerhetsverkets förslag till föreskrifter om ändring i ELSÄK-FS 2013:1

Kommittédirektiv. Utvärdering av hanteringen av flyktingsituationen i Sverige år Dir. 2016:47. Beslut vid regeringssammanträde den 9 juni 2016

Patientdatalag för säkrare vård Hantering av personuppgifter

Det började med ädelreformen 1992

Läroplanen i Gy Ett arbete för att öka förståelsen av det som står i läroplanen och hur det ska tolkas i klassrumsarbetet

Handbok Ämnesprov 2016 Lärarinmatning I Dexter Åk 3. Uppdaterad: /HL Version: IST AB

Vad tycker de äldre om äldreomsorgen 2013? Verksamhetsresultat för Systrarna Odh s Hemtjänst Hemtjänst

Skolinspektionen Nyanlända 2016

Överenskommelse om samverkan mellan socialförvaltningen och vård- och omsorgsförvaltningen. Mål, utgångspunkter och styrning

Dokumentation inom Socialtjänsten - vad gäller efter årsskiftet?

Lathund för pedagoger Grundskola med:

Barn- och utbildningsförvaltningen Elisabeth Österdahl. Internkontroll, 2015

1. Problemet. Myndigheten för samhällsskydd och beredskap Konsekvensutredning 1 (5) Datum

7. Kravspecifikation samtliga anbudsområden

Post- och telestyrelsens författningssamling

Attestreglemente. Dokumentnamn: Attestreglemente. Dokumentansvarig: Monica Fryxå, ekonomifunktionen Godkänd av: Kommunstyrelsen

Sid i boken Rekrytering. Författare Annica Galfvensjö, Jure Förlag

2 Hur förbereder jag mig inför krav på kortinlogg?

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

Avtal avseende arbetsplatsförlagt lärande (APL)

Socialstyrelsens författningssamling. Ändring i föreskrifterna (SOSFS 2008:1) om användning av medicintekniska produkter i hälso- och sjukvården

Utdrag ur Offentlighets- och sekretesslagen

BEHANDLINGEN AV UPPGIFTER I ANVÄNDAR- LOGG ENLIGT PERSONUPPGIFTSLAGEN

Request for Information (RFI)

AVTAL/UPPDRAGSBESKRIVNING

Yttrande angående revidering av Rutin för lex Sarah. Förvaltningen föreslår att Vård- och omsorgsnämnden beslutar

Riktlinjer för Kultur- och utbildningsnämndens systematiska kvalitetsarbete. Fastställd , 44.

Systematiskt kvalitetsarbete

Information om nyheter inom Sevesolagstiftningen

Likabehandlingsplan samt Plan mot kränkande behandling. Tallets förskola 2014/2015

Välkommen till ikanobank.se

Transkript:

Koncernkontoret Enhet säkerhet Dokumenttyp Rutin Dokumentansvarig Valter Lindström Beslutad av Valter Lindström, koncernsäkerhetschef Övergripande dokument Riktlinjer för informationssäkerhet Kontaktperson Monika Göransson Giltig från 2015-11-09 Version 1.0 Dnr RS 129-2015 Ersätter RUTIN FÖR KLASSIFICERING AV INFORMATION

Mål All information och övriga informationssäkerhetstillgångar ska vara kopplade till en ägarföreträdare, som har ansvar för att informationen och resurserna klassificeras och skyddas på rätt sätt. Ur Riktlinjer för informationssäkerhet i Västra Götalandsregionen Utgångspunkt Informationssäkerhetsarbetet ska ske utifrån generella (informationssäkerhetspolicy och riktlinjer) och de specifika som ställs av verksamheten genom informationsklassificering. Ur Riktlinjer för informationssäkerhet i Västra Götalandsregionen 1 Omfattning Anvisningen gäller för hantering av organisationens information oavsett var och i vilken form hanteringen sker. 2 Beskrivning Grunden i informationssäkerhetsarbetet är att genomföra informationsklassificering. Denna ska ta sin utgångspunkt i verksamhetsprocessen och är en form av verksamhetsanalys, som visar vilket värde informationen har för verksamheten och vilka krav som ställs på att informationen är tillgänglig, riktig, insynsskyddad och spårbar. Klassificeringen som fås fram är ett underlag som ligger till grund för fortsatt arbete med krav på IT-säkerhet, fysiskt skydd och hanteringsrutiner. Genomförande Informationsklassificering Inled arbetet med att definiera informationsobjektet/informationstyp. o Bedöm om informationsobjektet är en upprättad allmän handling och därmed faller under Offentlighets- och sekretesslagen. o I vissa fall går det inte att tydligt definiera informationsobjektet som en handling. I dessa fall bedöms vilken informationstyp (person-, patient-, ekonomisk-, administrativ information osv) som ska informationsklassificeras. Identifiera vilka verksamheter, alternativt vilka processer som informationsobjektet/informationstypen ingår i. Identifiera vilka lagstiftningar som är tillämpliga för verksamheten/processen. Samla en grupp människor som är insatta och bekanta med verksamheten/processen och genomför informationsklassificering. Bedöm kraven på tillgänglighet, riktighet, konfidentialitet och spårbarhet. Ett stöd för bedömningen är de frågor som finns under exempelmatrisen, se punkt 3. Konsekvensbedömning sker med stöd av matris, se punkt 5. 2

3 Exempelmatris Bilden nedan är ett exempel på en informationsklassificering för ett upphandlingsunderlag innan det har offentliggjorts. Informationssäkerhetsbegrepp Tillgänglighet Riktighet Konsekvens Klass 1 Försumbar Klass 2 Lindrig Klass 3 Allvarlig Klass 4 Mycket allvarlig Konfidentialitet Spårbarhet x X x x x x x x x x x x Exempel: Ett upphandlingsunderlag för mammografi innan det har offentliggjorts klassificeras enligt följande: T2, R3, K3, S2 4 Följande frågor är ett stöd vid informationsklassificering: Tillgänglighet Vilken konsekvens får det om informationen inte alls kan användas på grund av bortfall av tillgänglighet? Vilken konsekvens får det om informationen kan användas, men endast i begränsad utsträckning? Riktighet Vad blir konsekvensen om obehörig person eller process förändrar informationen? Vad blir konsekvensen om verksamheten inte upptäcker detta? Konfidentialitet Vad blir konsekvensen om obehörig får tillgång till informationen? Vad händer om media får tillgång till informationen? Spårbarhet Vilken konsekvens får det om man inte i efterhand kan konstatera vad som hänt vid en attack mot informationstillgången? Vilken konsekvens får det om händelser kopplade till informationstillgången inte kan härledas till en specifik användare eller process vid utredningen? 3

5 Konsekvens bedömningsmatris 4

6 KLASS 1 INSYNSSKYDD SPÅRBARHET TILLGÄNGLIGHET RIKTIGHET Ej känslig Inga krav på information spårbarhet Inget teknikstöd för insynsskydd Ingen teknik för spårbarhet Informationen bör ett par dagar Ingen teknik för redundans. Inget behov av att verifiera riktigheten i informationen Ingen teknik eller rutiner för att kontrollera riktigheten KLASS 2 INSYNSSKYDD SPÅRBARHET TILLGÄNGLIGHET RIKTIGHET Skyddsvärd information med behov av begränsad åtkomst (t ex sekretessbelagd information) Teknkstöd för insynsskydd Behov av spårbarhet, t ex kvalitetssäkring, statistik, versionshantering etc Teknikstöd för att uppnå spårbarhet. Informationen bör finnas tillgänglig på dagtid inom ett antal timmar Krav på viss teknisk redundans och support. Riktigheten skall kontrolleras med visst intervall riktighet ska skyddas mot förändring, så att det inte förvanskas vid överföring. Eventuellt behov av jour och beredskap KLASS 3 INSYNSSKYDD SPÅRBARHET TILLGÄNGLIGHET RIKTIGHET Skyddsvärd information av högre känslighet (t ex sekretessbelagd personinformation) Teknik och rutiner som sammantaget ger ett högt insynsskydd, t ex stark autentisering och kryptering Spårbarhet krävs för att kunna styrka en hög tillförlitlighet, bevisning etc. Teknikstöd för att uppnå spårbarhet samt rutiner för granskning av loggar. Informationen ska två timmar Krav på teknisk redundans och support, krav på jour eller beredskap Riktigheten ska kontrolleras för kritiska informationsobjekt Kontrolleras genom kvittens eller annan automatik per informationsobjekt. Exvis personuppgifter kontrolleras mot befolkningsregistret. KLASS 4 INSYNSSKYDD SPÅRBARHET TILLGÄNGLIGHET RIKTIGHET Information med mycket högt skyddsvärde, t ex säkerhetsskyddsklassad information Spårbarhet på individ- och systemnivå Informationen ska 15 minuter Riktigheten för varje informationsobjekt ska kontrolleras och verifieras Teknik och rutiner som uppfyller kraven på skydd för information för rikets säkerhet Etablerad teknik för att uppnå spårbarhet på individnivå och systemnivå Krav på teknisk redundans och support, krav på jour eller beredskap. Alternativa IS/ITtjänster som kan ersätta ett bortfall Krav på teknik för oavvislighet 24 h övervakning av IS/IT-tjänsten 5

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss