Myndigheten för samhällsskydd och beredskaps allmänna råd om statliga myndigheters informationssäkerhet

Relevanta dokument
Myndigheten för samhällsskydd och beredskaps författningssamling

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet.

Förslag till Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters risk- och sårbarhetsanalyser

Socialstyrelsens föreskrifter och allmänna råd (2011:9) om ledningssystem för systematiskt kvalitetsarbete

Upprättad Reviderad AVVIKELSE och RISKHANTERING riktlinjer

Informationshantering och journalföring. informationssäkerhet för god vård

Styrdokument för krisberedskap

Gemensamma författningssamlingen avseende hälso- och sjukvård, socialtjänst, läkemedel, folkhälsa m.m.

Riktlinjer för medborgardialog

Rutin för rapportering och handläggning av anmälningar enligt Lex Sarah

Beslut efter uppföljning för gymnasieskola med yrkes- och introduktionsprogram

Informationssäkerhet

Socialstyrelsens författningssamling

Dokumentation inom Socialtjänsten - vad gäller efter årsskiftet?

Kommittédirektiv. Utvärdering av hanteringen av flyktingsituationen i Sverige år Dir. 2016:47. Beslut vid regeringssammanträde den 9 juni 2016

IT-säkerhetspolicy R

Rutin för hantering av medicinska avvikelser

Följsamhet till fullmäktiges reglemente för intern kontroll

Förslag till ny informationssäkerhetspolicy för trafikförvaltningen inklusive ingående verksamheter

Post- och telestyrelsens författningssamling

1. Problemet. Myndigheten för samhällsskydd och beredskap Konsekvensutredning 1 (5) Datum

Infrastrukturen för Svensk e-legitimation

Socialstyrelsens författningssamling. Socialnämndens ansvar för barn och unga i familjehem, jourhem eller hem för vård eller boende

Kommittédirektiv. En samordnad utveckling av validering. Dir. 2015:120. Beslut vid regeringssammanträde den 19 november 2015

Beslut för grundsärskola

Bilaga 1 Handledning i informationssäkerhet

Rutin för betygsättning vid icke legitimerad lärares undervisning

LEDNINGSSYSTEM FÖR SYSTEMATISKT KVALITETSARBETE I BROMMA STADSDELSNÄMND

LOKAL RIKTLINJE FÖR HOT- OCH VÅLDSSITUATIONER

Myndigheters tillgång till tjänster för elektronisk identifiering

Statens räddningsverks författningssamling

Beslut för Föreningen Fogdaröd Omsorg, Vård & Utbildning Utan Personligt ansvar

Särskilt stöd i grundskolan

Riktlinjer för Kultur- och utbildningsnämndens systematiska kvalitetsarbete. Fastställd , 44.

Beslut för grundsärskola

Likabehandlingsplan för läsåret

Normativ specifikation

Systematiskt säkerhetsarbete från standarder till praktik

Sammanfattning. Utgångspunkter

Kvalitet i fritidshem Ett kvalitetsstöd för politiker och förvaltning 2014

Att hantera digital information i Stockholms stad. stockholm.se

Socialstyrelsens författningssamling. Ändring i föreskrifterna (SOSFS 2008:1) om användning av medicintekniska produkter i hälso- och sjukvården

Sammanfattning Rapport 2015:04. Gymnasieskolors arbete med att förebygga studieavbrott

ARKIVREGLEMENTE FÖR NYNÄSHAMNS KOMMUN

EUROPAPARLAMENTET. Utskottet för sysselsättning och socialfrågor

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Sverigedemokraternas medlemsregister

AVLÖSARSERVICE I HEMMET 9:5 LSS

Kommunikationspolicy i korthet för Lidingö stad

ELSÄK-FS 2006:1. Elsäkerhetsverkets föreskrifter. och allmänna råd om elsäkerhet vid arbete i yrkesmässig verksamhet

Arkivreglemente för Hälsinglands Utbildningsförbund Bilaga: Kommentarer och förklaringar.

Beslut för gymnasieskola

Elevinflytande i planeringen av undervisningen. BFL-piloter Mats Burström

Överenskommelse avseende uppföljningssystemet SUS

Förskolan Vårskogen, Svaleboskogen 7. Plan mot diskriminering och kränkande behandling

Elsäkerhetsverkets förslag till föreskrifter om ändring i ELSÄK-FS 2013:1

Yrkesintroduktion för socialtjänstens barnoch ungdomsvård

RUTIN FÖR KLASSIFICERING AV INFORMATION

Utveckla arbetsmiljö och verksamhet genom samverkan

Bedömningspunkter förskola och annan pedagogisk verksamhet för barn i förskoleåldern

Arkivreglemente för Sydarkivera

RP 305/2010 rd. I propositionen föreslås att lagen om besvärsnämnden. intressen skyddas genom sekretessen. Besvärsinstansernas

Uppdrag att genomföra insatser för att förbättra vården för personer med kroniska sjukdomar

Statens skolverks författningssamling

VÅLD HOT OCH. inom omsorg och skola

Flik 1.3. BJURHOLMS KOMMUN Äldre- och handikappomsorg. Att lämna samtycke

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Yttrande över remiss av förslag till allmänna råd om prövning samt föreskrifter om prövning

MSBs modell för styrning av övningsverksamhet inom samhällskydd och beredskap. Rolf Olsson Chef Övningsenheten

Beskrivning av uppföljningssystemet SUS Bilaga 1 till Överenskommelse avseende uppföljningssystemet SUS

Yttrande angående revidering av Rutin för lex Sarah. Förvaltningen föreslår att Vård- och omsorgsnämnden beslutar

FREDA-farlighetsbedömning

FAQ Barnkonsekvensanalys i Svenska kyrkan

Policy för bedömning i skolan

Internkontrollplan 2014 Jämtlands Räddningstjänstförbund

Uppdrag att införa en tjänst för ingivning av finansiell information avseende årsredovisningar m.m.

Förberedelser inför EU:s dataskyddsförordning

Informationsmeddelande IM2013:

Skolplan för Svedala kommun

Tillsynsbesök Särskilt boende Privata utförare, Aleris: Björkhaga, Hjortsberg, Furugården. Floragården November 2014

Reglemente för omsorgsnämnden i Vellinge kommun

Rehabilitering. Arbetssätt vid rehabiliteringsärenden. Rehabilitering Sid: 1 / 6

Administratör Rollbeskrivning och stödjande instruktion. e-tjänst för ansökan om statsbidrag Senast uppdaterad:

Skolinspektionen Nyanlända 2016

För dig som är valutaväxlare. Så här följer du reglerna om penningtvätt i din dagliga verksamhet INFORMATION FRÅN FINANSINSPEKTIONEN

Beslut efter riktad tillsyn

I promemorian föreslås ändringar i patientsäkerhetslagen (2010:659) när det gäller användandet av yrkestitlar för tillfälliga yrkesutövare.

Avgift efter prestation? Komplettering och förtydligande av rapport om fondbolagens avgifter

Riktlinjer - Rekryteringsprocesser inom Föreningen Ekonomerna skall vara genomtänkta och välplanerade i syfte att säkerhetsställa professionalism.

Riktlinjer för social dokumentation för utförare inom omsorg om funktionsnedsatta och äldreomsorg

Svar på skrivelse om upphandling av vuxenutbildning - komvux och sfi

Information om nyheter inom Sevesolagstiftningen

Förändringar ISO 9001:2015 och ISO 14001:2015

NYHETER ISO 14001:2015

Frågor och svar för föreningar om nya ansökningsregler för aktivitetsbidrag från och med 1 januari 2017

Medarbetarenkäten 2016 handledning för förbättringsarbete

Överenskommelse om samverkan mellan socialförvaltningen och vård- och omsorgsförvaltningen. Mål, utgångspunkter och styrning

Socialstyrelsens föreskrifter om bedömning av egenvård SOSFS 2009:6. Uppdaterad januari 2013

Utredningen om samhällsorientering för nyanlända invandrare. Sverige för nyanlända

Säkra ledningens engagemang

Transkript:

Myndigheten för samhällsskydd och beredskaps allmänna råd om statliga myndigheters informationssäkerhet Följande allmänna råd ansluter till Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters informationssäkerhet. Termer och uttryck som används i föreskrifterna har samma betydelse här. Allmänna råd har en annan juridisk status än föreskrifter. Allmänna råd är inte tvingande. Deras funktion är att förtydliga innebörden i lag, förordning eller myndighetsföreskrifter och att ge generella rekommendationer om deras tillämpning. Allmänna råd är markerade med grå bakgrund. Myndigheten för samhällsskydd och beredskap 1

Kommentarer till 1-2 Denna författning har som syfte att stödja och främja ett systematiskt informationssäkerhetsarbete hos statliga myndigheter. Ett gemensamt förhållningssätt till informationssäkerhetsarbete, baserat på etablerade standarder på området, skapar förbättrade förutsättningar för en säker och effektiv informationshantering i statsförvaltningen. Inte minst i samband med olika typer av informationsutbyte mellan myndigheter och gemensamma e-förvaltningstjänster. Krav på säker informationshantering hos statliga myndigheter finns i olika rättsliga regelverk. Denna författning fokuserar på hur myndigheterna arbetar med att säkerställa att informationen får ett tillräckligt skydd. Skyddet syftar till att hindra obehörig åtkomst, säkerställa tillgänglighet vid behörig användning samt att informationen inte förändras eller förstörs på ett obehörigt sätt. Det ska även vara möjligt att spåra vem som har gjort vad och när med informationen. Vissa myndigheter kan, exempelvis på grund av att de är mycket små, behöva samverka med en annan myndighet (en värdmyndighet) när det gäller att utföra det praktiska arbetet med informationssäkerhet eller informationshantering i sin helhet. Myndigheten kan därför överlåta till värdmyndigheten att helt eller delvis fullgöra de uppgifter som åligger myndigheten enligt författningen. Ansvaret för den egna organisationens information påverkas inte av att en myndighet anlitar en annan myndighet för att fullgöra de skyldigheter som följer av denna författning. Förutsättningarna för informationssäkerhetsarbetet då myndigheten anlitar en annan myndighet behöver regleras. I regleringen behöver ansvarsfördelning och resultat av informationsklassning hanteras. Dessutom bör rutiner för återkoppling rörande inträffade it-incidenter samt övrig information som krävs för att myndigheten ska kunna följa upp och informera sig om arbetet med informationssäkerhet regleras. Kommentarer till 3 Nedan följer ytterligare förklaringar av begrepp som är av central betydelse för författningen. informationsklassning Att genom konsekvensanalys identifiera skyddsbehovet för en viss informationsmängd. informationsmängd informationsägare En mängd information som är avgränsad för ett visst ändamål. En informationsägare är en person eller funktion som har det 2

övergripande ansvaret för en informationsmängd som hanteras inom den egna verksamheten. ledningssystem för informationssäkerhet process systemägare skyddsnivåer Ett sätt för organisationens ledning att på ett systematiskt sätt styra arbetet med informationssäkerhet i syfte att planera, genomföra, kontrollera, följa upp, utvärdera och förbättra säkerheten i verksamhetens informationshantering. En avgränsad följd av aktiviteter som förekommer upprepat i verksamheten och syftar till att uppfylla ett bestämt mål. En person eller funktion som har det övergripande ansvaret för ett itsystem. Grupperingar av åtgärder vilka används för att skydda information som med hjälp av informationsklassning konstaterats ha samma skyddsbehov. Kommentarer till 4 Informationssäkerhet är en integrerad del av och en förutsättning för myndighetens verksamhet. Syftet är att säkerställa att verksamheten kan ske med tillräcklig kvalitet. Att en extern aktör är involverad i organisationens informationshantering innebär ofta ett behov av att vidta särskilda åtgärder för att upprätthålla avsedd nivå av informationssäkerhet. När uppdrag att hantera myndighetens information ges till en extern aktör behöver myndigheten analysera de säkerhetsåtgärder som ska vidtas av myndigheten själv och de krav som ska ställas på den externa aktören. Med extern aktör avses leverantör av myndighetsgemensamma tjänster inkluderat olika typer av direktåtkomst och e-förvaltningstjänster, utkontraktering av verksamhet eller informationshantering, inhyrda konsulter och motsvarande. 3

Kommentarer till 5 Föreskriften ställer krav på att myndigheten, som stöd för styrningen av sitt informationssäkerhetsarbete, ska använda sig av ett ledningssystem för informationssäkerhet (LIS). Vidare framgår av 34 förordningen om krisberedskap och höjd beredskap att nationella och internationella standarder bör beaktas i regleringsarbetet. Arbetet med informationssäkerhet enligt etablerade svenska standarder beskrivs som en process med ett antal delprocesser av både förebyggande och hanterande karaktär. Syftet med den LIS-standard som föreskrifterna utgår från, samt som hänvisas till i de allmänna råden, är att säkerhetsarbetet anpassas till respektive organisations behov i de delar som bedöms vara tillämpliga. Därmed ger standarden en beslutsmodell för ledning och styrning med rimlig frihet till anpassning. Standarden SS-ISO/IEC 27001 anger krav när det gäller uppbyggnad av ledningssystemet och mera konkreta åtgärdskrav enligt standardens bilaga A. I SS-ISO/IEC 27002 finns flera åtgärder som kan användas i arbetet. Ledningssystemet för informationssäkerhet bör innehålla mål och riktlinjer för informationssäkerhet, övergripande principer som gäller för hur verksamhetens informationssäkerhet ska vara utformad, upprätthållas och utvecklas, samt de processer och rutiner som är nödvändiga för att upprätthålla informationssäkerheten. Myndighetens utformning av ledningssystemet bör regelbundet utvärderas och vid behov revideras för att säkerställa att det stödjer myndighetens informationssäkerhetsarbete på ett ändamålsenligt sätt. Till den information som organisationen hanterar räknas även information som hanteras i sådana tjänster som myndigheten erbjuder andra, exempelvis inom e-förvaltning eller e-hälsa. Myndighetens tilldelning av resurser behöver möta behoven hos de roller som tilldelats olika uppgifter inom ramen för organisationens systematiska informationssäkerhetsarbete, samt hantera de informationssäkerhetsrelaterade risker och sårbarheter som organisationen identifierat. Även om ett LIS omfattar all hantering av information i organisationen, kan utrymmet för att välja olika sätt att utforma skyddet för viss typ av information vara begränsat eftersom den redan är omgärdad av ett detaljerat regelverk. Detta gäller exempelvis information som omfattas av säkerhetsskyddslagstiftningen. Stöd för en myndighets styrning av informationssäkerhetsarbetet enligt denna författning bör hämtas från svensk standard Ledningssystem för informationssäkerhet Krav (SS-ISO/IEC 27001:2014 fastställd 2014-02- 4

26) samt Informationsteknik Säkerhetstekniker Riktlinjer för informationssäkerhetsåtgärder (SS-ISO/IEC 27002 fast ställd 2014-02-26). Stöd för hur ett ledningssystem för informationssäkerhet kan införas och utformas finns även på www.informationssäkerhet.se ytterligare stöd för informationssäkerhetsarbete finns på www.msb.se. Kommentarer till 6 Myndighetens ledning har ett särskilt ansvar för att styra och skapa förutsättningar för myndighetens informationssäkerhetsarbete. Denna uppgift förutsätter uppdaterad kunskap om organisationens behov av och förutsättningar för säker hantering av information. Myndighetens dokumentation av informationssäkerhetsarbetet bör utgöra en del av den löpande informationen till myndighetsledningen och ett av underlagen vid myndighetens utvärdering. Myndighetens ledning bör, med stöd av den information som lämnas till ledningen, följa upp och utvärdera informationssäkerhetsarbetet flera gånger per år. Utvärdering bör särskilt ske i samband med mer omfattande omorganisationer, förändringar av it-infrastrukturen eller andra motsvarande förändringar där skäl finns att misstänka att informationssäkerheten kan påverkas. Kommentarer till 7 Ett systematiskt och kontinuerligt informationssäkerhetsarbete förutsätter ett antal olika styrande dokument. Dokumentens övergripande syfte är att styra och stödja arbetet som resulterar i att informationssäkerhet införlivas i verksamhetens processer, system och tjänster. Informationssäkerhetspolicyn och andra styrande dokument utgör systemdokumentationen av LIS. En informationssäkerhetspolicy behöver innehålla en beskrivning av verksamhetens behov av informationssäkerhet samt mål och övergripande principer för hur informationssäkerheten i verksamheten ska vara utformad, upprätthållas och utvecklas. Myndighetens informationssäkerhetspolicy bör bygga på verksamhetens inriktning, organisation, intressent- och författningskrav samt identifierade hot och risker. Andra styrande dokument kan exempelvis vara myndighetens riktlinjer och beslut om ansvarsfördelning och incidenthantering. Styrande dokument upprättas i den omfattning som krävs för en kontinuerlig ledning och styrning av verksamhetens informationssäkerhet. De styrande dokumenten bör tydliggöra kraven på dokumentation av 5

informationssäkerhetsarbetet. Myndigheten bör säkerställa att informationssäkerhetspolicyn och de styrande dokumenten kommuniceras till berörd personal, inklusive berörda externa parter. För att kontinuerligt kunna anpassa informationssäkerhetsarbetet till verksamhetens behov och på detta sätt bedriva ett ändamålsenligt informationssäkerhetsarbete, krävs kunskap om risker och sårbarheter, exempelvis information om inträffade incidenter. I sådan dokumentation som i övrigt krävs enligt 7 bör både uppgifter om eventuella brister i det systematiska informationssäkerhetsarbetet och allvarligare informationssäkerhetsincidenter ingå. För att kunna sätta samman en helhetsbild över inträffade incidenter och händelser i myndighetens it-system och för att säkerställa jämförbarhet mellan loggar behöver myndigheten säkerställa att alla system har en enhetlig tid. Kommentarer till 8 Myndigheten behöver kartlägga sina verksamhetsprocesser och det behov av informationshantering som behövs för att stödja dessa. Detta för att underlätta verksamhetens arbete med att ställa krav på informationens konfidentialitet, riktighet, tillgänglighet och spårbarhet. En process i verksamheten kan exempelvis vara att handlägga ansökan om bidrag eller att förvalta it-system. Processen förutsätter ofta tillgång och möjlighet till att bearbeta olika informationsmängder. Sättet att utföra kartläggningen bör anpassas till vad som krävs för att underlätta identifiering av interna krav på informationssäkerhet. Vägledning för processorienterad informationskartläggning finns på www.msb.se. Kommentarer till 9 Utöver att etablera en ändamålsenlig organisation av informationssäkerhetsarbetet och välja rätt tekniska lösningar behöver myndigheten bygga upp en god säkerhetskultur. En sådan innebär i korthet att medarbetarna känner sig delaktiga i, är motiverade för och har förståelse för hur och varför informationssäkerhetsarbetet bedrivs Myndighetens ledning bör tydliggöra kopplingen mellan säker informationshantering och möjligheten att utföra organisationens uppgifter för medarbetarna. 6

Arbetet med att bygga upp en god informationssäkerhetskultur underlättas när myndighetsledningen skapar intresse för frågorna. Andra viktiga åtgärder är regelbunden utbildning och övning. God säkerhetskultur avseende informationssäkerhet förutsätter att medarbetare känner till och medverkar till att gällande regelverk följs. Kännedom om vilka regler som gäller för myndighetens informationshantering är ofta även en förutsättning för att arbetsrättsliga åtgärder ska kunna vidtas vid arbetstagares eventuella regelbrott. Utbildningen kan med fördel omfatta etik- och integritetsfrågor och myndighetens värdegrunder. Olika uppgifter i organisationen förutsätter olika kunskap och kompetens rörande informationssäkerhet. Det är av vikt att utbildningen anpassas till både arbetsuppgifterna och den befintliga kompetensnivån i organisationen. Det gäller särskilt de funktioner och roller med utpekade uppgifter för myndighetens informationssäkerhetsarbete. Myndigheten bör ha rutiner för utbildning som säkerställer att personalen har tillräcklig kunskap om gällande regler för informationssäkerhet. Rutinerna bör omfatta all personal. Myndigheten bör ha en kompetensförsörjningsplan som säkerställer att all personal har tillräcklig säkerhetskompetens för att kunna utföra sina arbetsuppgifter. Vid anlitande av externa parter behöver krav ställas på tillräcklig kompetens avseende informationssäkerhet. Övningar av myndighetens säkerhetsåtgärder för kontinuitetshantering avseende informationssäkerhet bör utvärderas och erfarenheterna bör återkopplas till verksamheten. Kommentarer till 10 Myndighetens systematiska informationssäkerhetsarbete bör ständigt utvecklas för att omhänderta interna och externa krav. Ett sådant arbete förutsätter flera steg som bygger på varandra och som sedan upprepas. Informationsklassning stödjer arbetet med riskanalys vilket i sin tur är en förutsättning för att vidta rätt åtgärder. Åtgärdernas effektivitet utvärderas därefter och arbetet dokumenteras. Vidare behöver skyddet anpassas till de behov och de risker som finns. Arbetet underlättas genom att myndigheten i förväg specificerar olika skyddsnivåer. Information med olika skyddsbehov kan därefter knytas till lämplig skyddsnivå. Myndigheten bör kontinuerligt analysera hot och risker i verksamheten. Resultatet av genomförda analyser bör leda till beslut om lämpliga säkerhetsåtgärder. I ISO/IEC 27001 ställs krav på att säkerhetsåtgärder ska väljas, den anger också att de säkerhetsåtgärder som finns i standarden SS- ISO/IEC 27002 ska övervägas och vid behov kompletteras. 7

Myndigheten bör utveckla standardiserade skyddsnivåer där säkerhetsåtgärder sammanförs på ett sätt som motsvarar myndighetens informationsklassningsmodell. Särskild uppmärksamhet bör läggas på att verksamhetens säkerhetskrav beaktas vid utveckling, upphandling, anskaffning och avveckling av resurser för informationsbehandling. Vid utveckling av e-tjänster bör åtgärder vidtas för att säkerställa att medborgare och samverkande parter inte drabbas av skada. Etablerade säkerhetsåtgärder bör verifieras och godkännas av systemägaren innan driftsättning. Relevans och nytta av vidtagna åtgärder bör utvärderas genom regelbunden granskning och uppföljning. Intern granskning bör kompletteras med oberoende extern granskning. Fortlöpande dokumentation om klassning, riskanalyser och andra bedömningar bör sammanställas på ett sådant sätt utvärdering av informationssäkerhetsarbetet underlättas. I dokumentationen bör även informationssäkerhetsaspekter beaktas avseende: myndighetens interna informationshantering, myndighetens information som hanteras av extern part, och tjänster som myndigheten erbjuder andra aktörer inom e-förvaltning eller motsvarande. Vägledning för informationsklassning finns på www.msb.se. Kommentarer till 11 Rutiner för incidentrapportering och incidenthantering bör vara utformade så att de bidrar till att mildra effekter av, säkra elektronisk bevisning om, och förhindra upprepande av incident, samt för att underlätta återgång till normal drift. Rapportering av inträffade incidenter bör regelmässigt ske till den eller de befattningshavare som utsetts för att leda och samordna informationssäkerhetsarbetet. Rutiner för incidentrapportering och incidenthantering behöver vara kommunicerade till berörd personal och berörda externa parter. Kännedom om rutinerna bör regelbundet följas upp. Större störningar, avbrott och kriser kan orsaka stora funktionsproblem för en organisations informationshantering. Det kan exempelvis handla om långvariga elavbrott, omfattande sjukdomsfrånvaro hos personalen, allvarliga virusangrepp eller dataintrång samt översvämningar i datorhallar. I många fall innebär en sådan händelse att organisationen inte kan använda sina resurser på avsett sätt utan måste välja hur de resurser som fortfarande fungerar ska användas. Alternativa användningar kan exempelvis ske genom 8

att funktionen hos en prioriterad process upprätthålls genom att fungerande resurser från en lägre prioriterad process flyttas dit eller att reservrutiner börjar tillämpas. Processer för kontinuitetshantering ger möjlighet för en organisation att förbereda sig inför och därmed enklare kunna hantera verksamhetens behov vid större störningar, avbrott och kriser. Stöd för kontinuitetshanteringsarbetet kan hämtas från genomförda riskanalyser vilka ger en bild av de typer av störningar, avbrott och kriser som särskilt bör beaktas. Även processkartläggning enligt 8 är ett viktigt stöd i kontinuitetshanteringen. En god kännedom om vilka de viktigaste processerna är, och vilka resurser som är nödvändiga för att upprätthålla dem, underlättar arbetet betydligt. Särskilda förhållanden kan behöva beaktas vid kontinuitetshantering med koppling till höjd beredskap. Grunden för detta arbete utgör dock kontinuitetshantering vid fredstida kriser. Processer för kontinuitetshantering bör säkerställa att verksamheten kan bedrivas enligt den nivå av kontinuitet som behöver upprätthållas och som beslutats efter genomförd analys av risker och sårbarheter. Genom processer för kontinuitetshantering bör myndigheten säkerställa den nivå av kontinuitet för informationshantering som krävs vid större störningar, avbrott och kriser, fastställa krisorganisation, samt fastställa hur stöd för återgång till normal verksamhet ska utformas. Myndighetens processer rörande kontinuitet för informationshantering behöver regelbundet följas upp och utvärderas. Detta bör särskilt ske i samband med övningar där säkerhetsåtgärderna för kontinuitetshantering prövas, samt större organisationsändringar och förändrade verksamhetskrav. 9

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss