Verksamhetsdriven informationssäkerhet genom informationsklassning och målgruppsanpassade riktlinjer

Relevanta dokument
SSF Säkerhetschef. Informationssäkerhet Per Oscarson

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Informationssäkerhetsgranskning. ISO ledningssystem för informationssäkerhet

Riktlinjer för informationssäkerhet

Informationssäkerhetspolicy. Linköpings kommun

Vi skyddar din information. Vårt informationssäkerhetsarbete och skydd av personuppgifter

Riktlinje för informationssäkerhet i Lindesbergs kommun Strategi Plan/program Riktlinje Regler och instruktioner

Administrativ säkerhet

Välkommen till enkäten!

Riktlinjer för informationssäkerhet

Informationsklassning och systemsäkerhetsanalys en guide

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

ISO/IEC och Nyheter

Informationssäkerhetspolicy för Ånge kommun

VÄGLEDNING INFORMATIONSKLASSNING

Riktlinjer för informationssäkerhet

Revidering av riktlinjer för Informationssäkerhet vid Högskolan i Skövde

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

KALLELSE TILL UTSKOTTET FÖR STÖD OCH STRATEGI

Fortsättning av MSB:s metodstöd

Informationssäkerhet vid upphandling och inköp av IT-system och tjänster

Informations- och IT-säkerhet i kommunal verksamhet

Dnr

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ Agenda

Informationssäkerhetspolicy för Katrineholms kommun

Informationssäkerhetspolicy

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Guide för säker behörighetshantering

Svar på revisionsskrivelse informationssäkerhet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola Sammanfattning

KLISTER KARTLÄGGNING INFORMATIONSSÄKERHET I KOMMUNER

Plan för informationssäkerhet vid Högskolan Dalarna 2015

Riktlinjer för informationssäkerhet

Granskning av informationssäkerhet

Informationssäkerhetspolicy

Utforma policy och styrdokument

Informationsklassning , Jan-Olof Andersson

Dnr UFV 2017/93. Informationssäkerhet. Riktlinjer för säkerhetsarbetet vid Uppsala universitet. Fastställda av Universitetsdirektören

Informationssäkerhetspolicy

Säkerhet i fokus. Säkerhet i fokus

Myndigheten för samhällsskydd och beredskaps författningssamling

Modell för klassificering av information

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet

Riktlinje för informationssäkerhet

Informationssäkerhetsinstruktion: Användare

Metodstöd för systematiskt informationssäkerhetsarbete

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun

KLISTER KARTLÄGGNING INFORMATIONSSÄKERHET I KOMMUNER

Verket för förvaltningsutvecklings författningssamling ISSN Utgivare: Lena Jönsson, Verva, Box 214, Stockholm

Koncernkontoret Enheten för säkerhet och intern miljöledning

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Att införa LIS. Informationssäkerhet för offentlig sektor Johan Kallum Säkerhetschef/Informationssäkerhetschef

Policy för informations- säkerhet och personuppgiftshantering

Informationssäkerhet och earkiv Rimforsa 14 april 2016

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

Organisation för samordning av informationssäkerhet IT (0:1:0)

Informationssäkerhet, Linköpings kommun

Fortsättning av MSB:s metodstöd

Ledningssystem för Informationssäkerhet

Ledningssystem för Informationssäkerhet

Riktlinjer för informationssäkerhet

Informationssäkerhetspolicy IT (0:0:0)

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Myndigheten för samhällsskydd och beredskap

Informationssäkerhetspolicy för Umeå universitet

Informationssäkerhetsanvisningar Förvaltning

Informationssäkerhetspolicy för Ystads kommun F 17:01

Säker informationshantering utifrån ett processperspektiv

Riktlinjer för informationssäkerhet

Göran Engblom IT-chef

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

Säkerhetsgranskning

Kommunstyrelsens förslag till antagande av reviderad informationssäkerhetspolicy Ärende 11 KS 2017/336

SÅ HÄR GÖR VI I NACKA

Ledningssystem för IT-tjänster

I Central förvaltning Administrativ enhet

Bilaga 1 - Handledning i informationssäkerhet

EBITS Energibranschens IT-säkerhetsforum

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Informationssäkerhetsanvisning

Regler och instruktioner för verksamheten

Att analysera värderingar bakom inforamtionssäkerhet. Fil. Dr. Ella Kolkowska

Processorienterad informationsklassning

Myndigheten för samhällsskydd och beredskaps författningssamling

Kommunal författningssamling för Smedjebackens kommun. Informationssäkerhetspolicy. 97 Dnr 2016/00447

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Riktlinjer för IT-säkerhet i Halmstads kommun

Informationssäkerhetsinstruktion Användare: Elever (3:0:1)

Rätt informationssäkerhet är A&O vid införande av välfärdsteknologi. Jeanna Thorslund, Sveriges Kommuner och Landsting Thomas Nilsson, Certezza

Riktlinjer för informationssäkerhet

Anvisning Gemensamma konton GIT

Transkript:

Verksamhetsdriven informationssäkerhet genom informationsklassning och målgruppsanpassade riktlinjer Per Oscarson Informationssäkerhetsansvarig Örebro kommun

Per Oscarson Informationssäkerhetsansvarig på Örebro kommun Medlem i SIS TK 318 (SS-ISO/IEC 27000-serien) Fil Dr och Fil Lic vid Linköpings universitet Har tidigare varit CISO/CSO på Folksam Informationssäkerhetsexpert på MSB Informationssäkerhetskonsult på Nexus och Transcendent Group Universitetslärare, Örebro universitet

Örebro Ca 142 000 invånare (7:e största i Sverige Mitt i Sveriges befolkningsmässiga centrum Örebro är 750 år gammal. Slottet började byggas redan på 1200- talet Logistikcentrum: Flyg, järnväg, Europavägar Örebro universitet, 16 gymnasieskolor, över 40 kommunala grundskolor och 15 friskolor

Örebro kommun Leds av S, KD och C Ca 12 000 anställda Ca 20 nämnder Tre programområden Barn och utbildning Samhällsbyggnad Social välfärd Central styrning och administration i kommunstyrelseförvaltningen Informationssäkerhetsansvarig placerad på IT-avdelningens IT-strategienhet

Informationssäkerhet övergripande dokumentstruktur Underlag Styrande dokument Motiverar Handlingsplan för informationssäkerhet (årlig) Informationssäkerhetsanalys Informationssäkerhetspolicy Riktlinjer för informationssäkerhet Instruktioner Stödjande material (exempel) Populärfolder Infosäk på intranätet E-utbildning Vägledningar

Essensen av informationssäkerhetsstyrning 1. Reglera 2. Stödja 3. Kontrollera Instruktioner Vägledningar Operativt stöd (deltagande i projekt m m) Tekniska granskningar Externa revisioner Informationssäkerhetspolicy Informationssäkerhetsriktlinjer Utbildningsmaterial Efterlevnadskontroller Informationssäkerhetsanalys 4. Förbättra Handlingsplan för informationssäkerhet Interna och externa förutsättningar: riskanalyser, incidenter, legala krav, teknisk utveckling m.m.

Målgruppsindelade riktlinjer Gammal version Ny version Målgrupper/kapitel Riktlinjer för informationssäkerhet Strukturerad utifrån SS-ISO/IEC 27002:2005 Riktlinjer för informationssäkerhet Målgruppsbaserad struktur Innehåller relevanta delar ur SS-ISO/IEC 27002:2014 1. Alla medarbetare 2. Styrning av informationssäkerhet 3. Informationssäkerhet i verksamhetsnära förvaltning 4. Informationssäkerhet i IT-miljön

Målgruppsindelade riktlinjer Kapitel Innehåll Målgrupper Stödmaterial (Internt och externt) Inledning Omfattning, struktur m.m. Introduktion till infosäk Dispenser Alla medarbetare Kapitel A Informationssäkerhet för medarbetare Medarbetares ansvar Informationsklasser Åtta avsnitt utifrån DISA (A1 A8) Alla medarbetare Externa som kommer åt informationstillgångar E-utbildning Intranät Instruktioner Kapitel B Styrning av informationssäkerhet Övergripande organisation, roller och ansvar Sju avsnitt om hur informationssäkerhet styrs i kommunen (B1 B7) Roller som deltar i infosäkarbete Roller med verksamhetsansvar Standarder Mtrl. från MSB Litteratur, forskning m.m. Kapitel C Informationssäkerhet i verksamhetsnära förvaltning Roller och ansvar Åtta områden inkl. klassning av information och objekt (C1 C8) Roller i verksamhetsnära förvaltning: objektägare, förvaltningsledare m fl. Metoder Vägledningar Kapitel D Informationssäkerhet i IT-miljön Roller och ansvar Tio avsnitt utifrån kapitel i 27002 med IT-inriktning (D1 D10) Chefer och medarbetare på IT-avdelningen Roller i IT-nära förvaltning Standarder Vägledningar Instruktioner Kravkatalog

Tydligare riktlinjer För att underlätta efterlevnad och uppföljning har dokumentet tydliggjorts bl.a. genom att separera informativ och motiverande text och obligatoriska riktlinjer. Riktlinjerna är i tabellform med rött tabellhuvud medan andra tabeller, figurer m.m. är i blått. Exempel: Ett lösenord ska vara starkt, det vill säga svårt att gissa för någon annan. Det ska därför inte kunna förknippas med dig som person, och dessutom ha en viss längd och komplexitet. Krav på lösenord: Riktlinjer för utformning av lösenord A.1.1 A.1.2 Lösenord ska vara minst X tecken långt, gärna längre. Lösenord ska innehålla minst en gemen, en versal och en siffra. Tips på bra lösenord som är enkla att minnas är att tänka ut en mening. Justera sedan stora och små bokstäver och bilda lösenordet. Exempel:

Örebro kommuns modell för informationsklassning Kravnivå Konfidentialitet Riktighet Tillgänglighet 2Höga skyddskrav Konfidentiell inf ormation som, om den sprids till obehöriga, kan medf öra allv arliga konsekv enser f ör Örebro kommun, externa aktörer ej är riktig och f ullständig, kan medf öra allv arliga konsekv enser f ör Örebro ej är tillgänglig, kan medf öra allv arliga konsekv enser f ör Örebro 1 Normala skyddskrav Intern inf ormation som, om den sprids till obehöriga, kan medf öra måttliga negativ påv erkan på Örebro ej är riktig och f ullständig, kan medf öra måttlig negativ påv erkan på Örebro kommun, externa aktörer ej är tillgänglig, kan medf öra måttlig negativ påv erkan på Örebro 0 Inga skyddskrav* Öppen inf ormation som kan spridas f ritt inom och utom Örebro kommun *Krav finns alltid att information ska vara riktig och tillgänglig!

Modell för medarbetare endast konfidentialitet Informationsklass Behörighet/spridning Exempel 2Konfidentiell information Konfidentiell inf ormation f år endast v ara tillgänglig f ör medarbetare som har särskild behörighet att hantera inf ormationen Känsliga personuppgif ter Patientjournaler Sekretessbelagd inf ormation 1 Intern information Intern inf ormation ska endast spridas till medarbetare inom Örebro kommun och till externa som har behov av inf ormationen Riktlinjer Instruktioner Inf ormation på intranät 0 Öppen information Öppen inf ormation kan spridas f ritt inom och utom Örebro kommun Pressmeddelanden Broschy rer Inf ormation på www.

Informationsklassning i riktlinjerna Kapitel A Informationssäkerhet för medarbetare Del av modellen: konfidentialitet Särskilda hanteringsregler för konfidentiell information Kapitel B Styrning av informationssäkerhet Övergripande om informationsklassning Klassningsmodellen Kapitel C Informationssäkerhet för verksamhetsnära förvaltning Riktlinjer för klassning av information och objekt Kapitel D Informationssäkerhet i IT-miljön Normala och höga skyddskrav på säkerhetsåtgärder gällande konfidentalitet, riktighet och tillgänglighet

Kravnivå Konfidentialitet Riktighet Tillgänglighet Höga skyddskrav Normala skyddskrav Inga skyddskrav* Konfidentiell inf ormation som, om den sprids till obehöriga, kan medf öra allv arliga konsekv enser f ör Örebro kommun, externa aktörer eller individer Intern inf ormation som, om den sprids till obehöriga, kan medf öra måttliga negativ påv erkan på Örebro eller individer Öppen inf ormation som kan spridas f ritt inom och utom Örebro kommun ej är riktig och f ullständig, kan medf öra allv arliga konsekv enser f ör Örebro eller individer ej är riktig och f ullständig, kan medf öra måttlig negativ påv erkan på Örebro kommun, externa aktörer eller individer ej är tillgänglig, kan medf öra allv arliga konsekv enser f ör Örebro ej är tillgänglig, kan medf öra måttlig negativ påv erkan på Örebro eller individer *Krav finns alltid att information ska vara riktig och tillgänglig! Informationsklass Behörighet/spridning Exempel Konfidentiell information Intern information Öppen information Konfidentiell inf ormation f år endast v ara tillgänglig f ör medarbetare som har särskild behörighet att hantera inf ormationen Intern inf ormation ska endast spridas till medarbetare inom Örebro kommun och till externa som har behov av inf ormationen Öppen inf ormation kan spridas f ritt inom och utom Örebro kommun Känsliga personuppgif ter Patientjournaler Sekretessbelagd inf ormation Riktlinjer Instruktioner Inf ormation på intranät Pressmeddelanden Broschy rer Inf ormation på www. Kravnivå Konfidentialitet Riktighet Tillgänglighet Höga skyddskrav Normala skyddskrav Inga skyddskrav* Konfidentiell inf ormation som, om den sprids till obehöriga, kan medf öra allv arliga konsekv enser f ör Örebro kommun, externa aktörer Intern inf ormation som, om den sprids till obehöriga, kan medf öra måttliga negativ påv erkan på Örebro Öppen inf ormation som kan spridas f ritt inom och utom Örebro kommun ej är riktig och f ullständig, kan medf öra allv arliga konsekv enser f ör Örebro ej är riktig och f ullständig, kan medf öra måttlig negativ påv erkan på Örebro kommun, externa aktörer ej är tillgänglig, kan medf öra allv arliga konsekv enser f ör Örebro ej är tillgänglig, kan medf öra måttlig negativ påv erkan på Örebro *Krav finns alltid att information ska vara riktig och tillgänglig! Verksamhetsdriven informationssäkerhet Informationssäkerhetspolicy Infosäkansv. Stöd B. Styrning av informationssäkerhet Organisation Dokumentstruktur Informationsklassning LIS Personalsäkerhet Leverantörsrelationer Efterlevnad Verksamhet IT-avdelning C. Informationssäkerhet i verksamhetsnära förvaltning 2 1 0 Förvaltningsobjekt D. Informationssäkerhet i IT-miljön Klassning Behörighetshantering Loggning Ändringshantering Användarinstruktioner Riskanalyser Incidenthantering Kontinuitetshantering Förvaltningsledare Verksamhetsutvecklare Objektspecialister Roller verksamhet Instruktioner Metoder Vägledningar A. Informationssäkerhet för medarbetare 2 1 0 Roller IT Instruktioner Standarder Vägledningar Förvaltningsledare IT IT-säkerhetsansvarig IT-resurser Hantering av tillgångar Styrning av åtkomst Kryptering Fysisk säkerhet Driftsäkerhet Kommunikationssäk. Anskaffning och utveckl. Incidenthantering Kontinuitetsshantering Granskning och kontroll 2 1 0 Kravkatalog

Frågor? Per Oscarson Informationssäkerhetsansvarig Örebro kommun per.oscarson@

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss