Processorienterad informationsklassning Råd för hur man genomför en informationsklassning
Processorienterad informationsklassning Introduktion Genomförande av klassning
Översikt Informationsklassning Process- och informationskartläggning Processbeskrivning Identifiera information Information som hanteras Identifiera krav Var information hanteras Klassa Skyddsåtgärder
Vad är det man vill skydda? Man vill åstadkomma ett verksamhetsanpassat skydd för informationens konfidentialitet, riktighet och tillgänglighet Konfidentialitet Att informationen inte tillgängliggörs eller delges obehörig Riktighet Att informationen skyddas mot oönskad och obehörig förändring eller förstörelse Tillgänglighet Att informationen är tillgänglig i förväntad utsträckning och inom önskad tid Med andra ord man vill säkerställa informationen mot obehörig insyn, användning och förvanskning samt att den finns tillgänglig efter behov
Hur går det till?
Processorienterad informationsklassning Introduktion Genomförande av klassning
Genomförande av klassning
Omfattning Definiera området som ska hanteras i klassningen (en process, en delprocess, ett informationssystem etc) Identifiera de informationstillgångar som nyttjas inom det definierade området
Omfattning Informationsklassningen omfattar informationen som hanteras inom hälsooch sjukvårdsprocessen Processkartläggningen tillsammans med informationskartläggningen beskriver informationslagret
Gruppering av information Gruppera informationen för att underlätta klassningen.
Gruppering av information Gruppera informationen för att underlätta klassningen.
Gruppering av information Gruppera informationen för att underlätta klassningen.
Genomförande av klassning
Tydliggör giltiga lagkrav Urval av lagar som påverkar informationssäkerhetsområdet Personuppgiftslag Offentlighets- och sekretesslag Hälso- och sjukvårdslag Patientdatalag Socialtjänstlagen Säkerhetsskyddslagen Säkerhetsskyddsförordningen Arkivlag Lag om kommunal redovisning Brottsbalken Lagen om skydd av företagshemligheter Lag om upphovsrätt Lag om kommuners och landstings åtgärder inför och vid extraordinära händelser i fredstid och höjd bereds Föreskrift om kommuners och landstings risk- och sårbarhetsanalyser Lag om skydd mot olyckor Tryckfrihetsförordningen Förvaltningslagen Patientsäkerhetslag Ställer krav som kan leda till kompletterande åtgärder Informationsklass 2 Förhöjd säkerhetsnivå Ställer krav som hanteras av grundläggande åtgärder Informationsklass 1 Grundsäkerhetsnivå
Tydliggör giltiga lagkrav för respektive informationsgrupp Konfidentialitet(K): Information åtkomlig endast för behöriga Riktighet(R): Information förändras kontrollerat Tillgänglighet(T): Information åtkomlig vid behov
Tydliggör andra giltiga externa krav Undersök om det finns det styrande avtal, överenskommelser eller andra styrande förutsättningar (såsom nationella eller regionala initiativ ) som har en direkt påverkan på informationshanteringen!
Tydliggör interna krav Baseras på konsekvenser för verksamhet vid informationsförluster Konsekvensnivå (länk för mer information) Allvarlig skada Skada Ingen skada Exempel på hur verksamheten kan påverkas när informationen - sprids till obehöriga (Konfidentialitet) - ändras felaktigt (Riktighet) - inte finns tillhands (Tillgänglighet) Långa och allvarliga avbrott i verksamheten Processproblem måste hanteras med stöd av extern hjälp. Stora förseningar. Avgörande betydelse för verksamhetens trovärdighet Har stor ekonomisk påverkan Missnöjd nyttjare/brukare/kund överväger att lämna och övergå till konkurrent Nyttjare/brukare/kunder kan drabbas av allvarlig fysisk eller psykisk skada. I värsta fall dödsfall Stor påverkan på personal Medarbetare befaras att på lång sikt lämna företaget/bli sjukskriven/drabbas av allvarlig fysisk eller psykisk skada. Kan leda till dödsfall Mindre avbrott i verksamheten, stör en del eller delar av bolagets verksamhet Processproblem kan hanteras av ordinarie personal eller med visst extern stöd. Vissa förseningar Kan påverka verksamhetens trovärdighet Missnöjd nyttjare/brukare/kund får reducerat förtroende, men överväger ej att lämna Viss ekonomisk påverkan Viss personell påverkan Medarbetare påverkas negativt på kort sikt Kravnivå Höga säkerhetskrav på informationshanteringen Grundläggande säkerhetskrav på informationshanteringen Inga krav Konfidentialitet(K): Information åtkomlig endast för behöriga Riktighet(R): Information förändras kontrollerat Tillgänglighet(T): Information åtkomlig vid behov
Samla kravbilden Konfidentialitet(K): Information åtkomlig endast för behöriga Riktighet(R): Information förändras kontrollerat Tillgänglighet(T): Information åtkomlig vid behov
Genomförande av klassning Konfidentialitet(K): Information åtkomlig endast för behöriga Riktighet(R): Information förändras kontrollerat Tillgänglighet(T): Information åtkomlig vid behov
Stadens beslutade klassningsmodell Tillämpliga lagar och andra giltiga styrdokument skall alltid uppfyllas och vägas in Konfidentialitet(K): Information åtkomlig endast för behöriga Riktighet(R): Information förändras kontrollerat Tillgänglighet(T): Information åtkomlig vid behov
Genomför klassningen Konfidentialitet(K): Information åtkomlig endast för behöriga Riktighet(R): Information förändras kontrollerat Tillgänglighet(T): Information åtkomlig vid behov
Genomför klassningen Informationsgrupp Informationsklass Konfidentialitet Informationsklass Riktighet Informationsklass Tillgänglighet Patientjournal 2 2 2 Patientinformation 2 2 1 Bokning 2 2 1 Ekonomi 2 2 1 Personal 2 1 1 Bokning (avidentifierad) 1 1 1 Ekonomi (avidentifierad) 1 1 1 Referensinformation 1 1 1 Statistik och rapporter 1 1 1