Informationssäkerhet och earkiv Rimforsa 14 april 2016

Relevanta dokument
Rätt informationssäkerhet är A&O vid införande av välfärdsteknologi. Jeanna Thorslund, Sveriges Kommuner och Landsting Thomas Nilsson, Certezza

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Informationssäkerhetspolicy för Ånge kommun

Utbildningsdag om informationssäkerhet

Informationssäkerhetspolicy för Ystads kommun F 17:01

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Informationssäkerhet och SKLs verktyg KLASSA. Avdelningen för Digitalisering Sektionen för Informationshantering och Digital Arbetsmiljö (IDA)

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Informationssäkerhetspolicy

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Informationssäkerhetspolicy. Linköpings kommun

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy KS/2018:260

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

Policy för informations- säkerhet och personuppgiftshantering

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Juridik och informationssäkerhet

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

Informationssäkerhetspolicy för Vetlanda kommun

Informationsklassning och systemsäkerhetsanalys en guide

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

En guide om GDPR och vad du behöver tänka på

GDPR OCH OUTSOURCING - VEM BÄR ANSVARET?

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Välkommen till enkäten!

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

Koncernkontoret Enheten för säkerhet och intern miljöledning

Myndigheten för samhällsskydd och beredskaps författningssamling

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Informationsklassning , Jan-Olof Andersson

Fördjupning: Juridik vid införande av välfärdsteknik. Jeanna Thorslund, Jurist och Samordnare Informationssäkerhet, SKL Manólis Nymark, Jurist

Administrativ säkerhet

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

EUs nya personuppgiftslagstiftning. Agnes Andersson Hammarstrand, IT-advokat Setterwalls Advokatbyrå

INFORMATIONSSÄKERHET OCH DATASKYDD

Informationssäkerhetspolicy IT (0:0:0)

Myndigheten för samhällsskydd och beredskaps författningssamling

Informationssäkerhetspolicy

1 Risk- och sårbarhetsanalys

Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

Moment 5: Vad är ett e-arkiv och vad krävs för att införa det i min verksamhet?

Västkom. Göteborg 18 november Del 1 av 2. Stephen Dorch, ISMP

ehälsomyndigheten Kristina Fridensköld & Stephen Dorch

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Verket för förvaltningsutvecklings författningssamling ISSN Utgivare: Lena Jönsson, Verva, Box 214, Stockholm

Informationssäkerhetspolicy för Umeå universitet

Den nya dataskyddsförordningen (GDPR) Åtta månader kvar, är ni redo? Marielle Eide, Associate lawyer Advokatfirman Delphi

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

Riktlinjer för dataskydd

Roller för information behöver också fastställas, använd gärna nedanstående roller som kommer från SKL och deras verktyg

Säkerhet vid behandling av personuppgifter i forskning

Vi skyddar din information. Vårt informationssäkerhetsarbete och skydd av personuppgifter

POLICY FÖR E-ARKIV STOCKHOLM

Myndigheten för samhällsskydd och beredskaps författningssamling

Ny dataskyddslagstiftning i Europa. Agnes Andersson Hammarstrand

Fördelning av ansvar för informationssäkerhet. Version: 1. Beslutsinstans: Regiondirektören

Informationssäkerhet - Informationssäkerhetspolicy

Bilaga 3 Säkerhet Dnr: /

Ett eller flera dataskyddsombud?

GDPR- Seminarium 2017

Strukturerat informationssäkerhetsarbete

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

Informationssäkerhetsgranskning. ISO ledningssystem för informationssäkerhet

Översikt av GDPR och förberedelser inför 25/5-2018

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

I n fo r m a ti o n ssä k e r h e t

Riktlinjer för IT-säkerhet i Halmstads kommun

Informationssäkerhet, Linköpings kommun

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

Informationssäkerhetsprojektet

Informationssäkerhetspolicy för Katrineholms kommun

IT-Säkerhetsinstruktion: Förvaltning

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Handlingsplan för persondataskydd

Ett e arkiv värt att lita på

Informationssäkerhetspolicy

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Dataskyddsförordningen

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Förstudie e-arkiv Begreppslista Begreppslista 1.0

Nationell lagstiftning, EU och ny teknik för utlämnande av data

Nya dataskyddsförordningen tips för ett lyckat efterlevnadsprojekt

POLICY FÖR E-ARKIV STOCKHOLM

I lagens namn Så harmoniserar vi juridikens krav med verksamhetens behov

SÅ HÄR GÖR VI I NACKA

PuL och ny dataskyddsförordning. Nätverksträff Informationssäkerhet i fokus 4 maj 2015

Informationsblad om vissa juridiska aspekter på systematisk uppföljning i socialtjänsten och EU:s dataskyddsförordning

Informationssäkerhetspolicy

Tillitsdeklarationen och revisionsprocessen. Åsa Wikenståhl Efosdagen

Riktlinjer för Informationssäkerhet Falkenbergs Kommun Kommunledningskontoret

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Remissutgåva. Program för informationssäkerhet

Transkript:

Informationssäkerhet och earkiv Rimforsa 14 april 2016 Stephen Dorch, ISMP

Information - Organisationens viktigaste tillgång - Säkerhet - Informationen att lita på när jag behöver den - Samordna - Gemensamma insatser för att uppnå rätt säkerhet i rätt tid till rätt person - = Informationssäkerhetssamordnare - En samordnande resurs för 10 kommuner i Kalmar län -

I händelse av katastrof Pappersarkiv -> Informationen är förlorad Digitalt arkiv - > Informationen är bevarad Stephen Dorch

Vad är Informationssäkerhet? Tillgänglighet Hur länge kan vi vara utan den? Riktighet Spårbarhet Vem har ändrat? Information Hur viktigt att den är rätt? Konfidentialitet Hur hemlig är den?

Tillgänglighet Tidsbeständiga format, Konvertering, E-tjänster, Åtkomst, Kompetens, Organisation, Nätverk etc Stephen Dorch

Riktighet Informationens äkthet otvivelaktig, inbyggda kontrollfunktioner, tekniska, organisatoriska och lärande åtgärder, etc

Sekretess Ett e-arkiv omfattas av sekretessgränser och system som skyddar mot insyn, intrång och otillbörligt åtkomst. Stephen Dorch

Spårbarhet En nörd och en runsten Översättning jmf format Metadata, beskrivning av informationens upprättande och bevarande Dataintrång, uppföljning, utredning, ansvar, brottsutredning, utlämnande, verifiering, äkthet Vem gjorde vad, och när? Logg-granskning Stephen Dorch

E-arkiv vs Informationssäkerhet vs IT-säkerhet Tillgänglighet Egenskaper Säkerhetsåtgärder Riktighet Konfidentialitet Sekretess E-Arkiv är en säkerhetsåtgärd, en infrastruktur och en plattform för informationsförsörjning Informationssäkerhet Spårbarhet Teknisk säkerhet e-arkiv Administrativ säkerhet IT säkerhet Fysisk säkerhet Formell säkerhet Informell säkerhet som förutsätter organisation, kompetens samt Data säkerhet Kommunikationssäkerhet Extern säkerhet Intern säkerhet ledning och styrning!

Ej OK 170 av 241 kommuner arbetar INTE systematiskt med informationssäkerhet

Konsekvens Riktighet Konfidentialitet / Sekretess Tillgänglighet Spårbarhet Information där förlust av riktighet innebär Information där förlust av konfidentialitet innebär Information där förlust av tillgänglighet innebär Information där förlust av spårbarhet innebär Nivå 4 Allvarlig konsekvens 4 Allvarlig allvarlig/katastrofal allvarlig/katastrofal allvarlig/katastrofal allvarlig/katastrofal 3 Betydande konsekvens 3 Betydande betydande betydande betydande betydande 2 Måttlig konsekvens 2 - Måttlig måttlig måttlig måttlig måttlig 1- Ingen eller endast försumbar 1 Obetydlig konsekvens för verksamheten...ingen eller endast försumbar ingen eller endast försumbar ingen eller endast försumbar ingen eller endast försumbar negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ.

Konsekvens vs Skyddsnivå 4 Allvarlig konsekvens 3 Betydande konsekvens 2 Måttlig konsekvens 1 Obetydlig konsekvens för verksamheten Mycket hög skyddsnivå Hög skyddsnivå Normal skyddsnivå (grundnivå) Låg skyddsnivå

Risk analys Risk S K RV 1. Risk att. 3 2 6 2. Risk att. 4 1 4 3. Risk om. 1 4 4 4. Risk att. 3 4 12 Metoden är mindre viktig - det viktiga är att risker hanteras!

GAP analys Stephen Dorch

Strategisk nivå ATT något ska göras Taktisk nivå VAD ska göras Generell operativ nivå HUR ska det göras Detaljerad operativ nivå HUR & VEM gör vad Policy Riktlinjer Anvisningar Instruktioner

Strategisk nivå ATT något ska göras Informationssäkerhetspolicy Kvalitétspolicy Taktisk nivå VAD ska göras Riktlinje (QLIS, Kvalitetsmanual, handbok etc) Generell operativ nivå HUR ska det göras Anvisning X Process A Anvisning Y Process B Anvisning Z Process C Anvisning n Process n Detaljerad operativ nivå HUR & VEM gör vad Instruktioner & rutiner Instruktioner & rutiner Instruktioner & rutiner Instruktioner & rutiner Intranät & Bolagswebb

Strategisk nivå ATT något ska göras Policy Informationssäkerhetspolicy Kvalitétspolicy Taktisk nivå VAD ska göras Riktlinjer Riktlinje (QLIS, Kvalitetsmanual, handbok etc) Generell operativ nivå HUR ska det göras Anvisning X Anvisning Y Anvisningar Process A Process B Anvisning Z Process C Anvisning n Process n Detaljerad operativ nivå HUR & VEM gör vad Instruktioner & rutiner Instruktioner & rutiner Instruktioner Intranät & Bolagswebb Instruktioner & rutiner Instruktioner & rutiner

Vad menas med systematisk informationssäkerhet? Planera Genomföra Kontrollera Åtgärda, PDCA Klassificera information Analysera Information Väl rätt åtgärd Kontrollera och följ upp Act Check Plan Do

Informationssäkerhet flera delar: Svensk standard för informationssäkerhet SS-ISO/IEC 27001:2014 SS-ISO/IEC 27002:2014 Säkerhet i lösningar Incident Ledningssystem för Informationssäkerhet (LIS) Internt arbete

Parallella synsätt för Informationssäkerhet och kvalité Information som är viktig för verksamheten Finns något som kan hota den? Skydda den Mål som är viktiga för verksamheten Finns något som kan hindra måluppfyllnad? Undvik hindren och nå målen Informationssäkerhet = Kvalitet

Framtidens utmaningar är här nu, Internet of things, till synes helt utan minsta tanke på säkerhet Vilken information lämnar dessa prylar efter sig som ska bevaras, eller som inte ska bevaras? Dessa prylar som räddar våra liv och som kränker vår integritet! Hur hanteras loggar, hur länge ska dom sparas, vem har åtkomst? En sak är säker, någon annan vet allt om oss! Vad säger framtidens forskare om vår tids utveckling? Stephen Dorch

Några lagar som styr informationssäkerhet Från rikets säkerhet till Sveriges säkerhet. Vi går från en antagonistisk hållning där Sverige som nation hotas till en mer lokal och regional hotbild. Det finns en växande hotbild där alla måste vara med och ta ansvar. Övriga lagar och förordningar det alldagliga som vi har att förhålla oss till under normala omständigheter OSL LSS PDL SOL KL Arkivlag HSL KÖL PUL/Dataskyddsdirektiv (EU)

Upp till 20 miljoner euro, eller Upp till 4 procent av årsomsättning Gäller alla, även kommuner Källa: SKL, J.Thorslund 20160212, KIS/NIS nätverksträff

http://computerswed en.idg.se/2.2683/1.64 4553/dataskyddsregle r/sida/1/sida-1 Rätten att bli glömd Var finns informationen? Hur raderas informationen? Vilka beroende finns när information raderas? Dataskydd som standard Känsliga personuppgifter och känslig data ska krypteras Vem vilken funktion i företaget säkerställer detta? Portabilitet Att flytta data från ett ställe till ett annat Företag måste göra information strukturerat tillgänglig Bevisa samtycke Man ska kunna visa när och hur ett samtycke gavs Digitala signaturer? Utse dataskyddschef Data Protection Officer Mix av IT, juridik och revision Information enbart till uttalat ändamål Varning för ändamålsglidning Ändamålet ska kunna bevisas

Vi förlorar inte vår historia, för vi tänker efter före! Tack för er tid! stephen.dorch@rfkl.se

Aktiviteter i utvecklingsprojekt Informationssäkerhet Roller och ansvar Informationsklassning EU:s dataskyddsdirektiv ITIL intro och grund 2:4 medel krisberedskap, fråga din säkerhetssamordnare! Informationssäkerhet och juridik ISO27000 intro och grund IT-katastrofövning och plan för disaster recovery E-learning Slutkonferens för politik och chefer Stephen Dorch

Informationssäkerhet e-arkiv, lite att tänka på Ramverk, regler och processer Organisation och bemanning Informationsägare och övriga roller Kompetensförsörjning Egenkontroll Avtal och licenser Kontinuitetsplan Risk- och sårbarhetsanalyser Regler och kontroll för åtkomst, behörighet och roller Autentisering Loggning Identifiera information Klassificera information Rutinbeskrivningar Fysisk kontroll Metadata Test och validering Överföring Informationsstruktur Säkerställa spårbarhet, bevarande och äkthet Kontroll av integritet Dokumentation Övervaka plattformen och tekniska miljön Sökbegrepp Följa utveckling av teknisk säkerhet Teknikutvecklingen Följa utveckling av hot, risk, skydd, åtgärd osv. Robust infrastruktur med beprövad teknik, ny teknik med omdöme Mjukvara och programvara Rutin för kopiering, återläsning och säkerhetsåterläsning Incidenthantering Katastrofplan Kontinuitetsplan Serviceplan Uppdateringar System för lagring Förändringshantering

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss