Informationssäkerhetspolicy inom Stockholms läns landsting



Relevanta dokument
Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Informationssäkerhetspolicy för Ystads kommun F 17:01

Lokal informationssäkerhetspolicy för hälso- och sjukvårdsförvaltningen

1(6) Informationssäkerhetspolicy. Styrdokument

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Policy för informationssäkerhet

I Central förvaltning Administrativ enhet

Informationssäkerhetspolicy

Informationssäkerhetspolicy KS/2018:260

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Informationssäkerhetspolicy för Ånge kommun

POLICY INFORMATIONSSÄKERHET

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Informationssäkerhetspolicy

Informationssäkerhetspolicy. Linköpings kommun

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13

Stockholms läns landsting 1 O)

Policy för informations- säkerhet och personuppgiftshantering

Informationssäkerhetspolicy

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Finansinspektionens författningssamling

Informationssäkerhetspolicy S/~LA KOMMUN KOMMUNFULLMÄKTIGE. Bi l aga KS 2015 / 135/1 INFORMATIONSSÄKERHETSPOLICY FÖR SALA KOMMUN

Informationssäkerhetspolicy

Koncernkontoret Enheten för säkerhet och intern miljöledning

Policy för informationssäkerhet

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Finansinspektionens författningssamling

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad:

Myndigheten för samhällsskydd och beredskaps författningssamling

Riktlinjer informationssäkerhet

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Kommunstyrelsens förslag till antagande av reviderad informationssäkerhetspolicy Ärende 11 KS 2017/336

Finansinspektionens författningssamling

Riktlinjer för Informationssäkerhet Falkenbergs Kommun Kommunledningskontoret

Informationssäkerhet - Informationssäkerhetspolicy

Informationssäkerhetspolicy för Umeå universitet

1 INLEDNING ALLMÄNT OM INFORMATIONSSÄKERHET MÃL FÖRKOMMUNENS lnformationssäkerhetsarbete ROLLER OCH ANSVAR...

Informationssäkerhetspolicy

Verksamhetsplan Informationssäkerhet

Myndigheten för samhällsskydd och beredskaps författningssamling

Styrning och compliance för informationssäkerhet

Policy och strategi för informationssäkerhet

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Kommunal författningssamling för Smedjebackens kommun. Informationssäkerhetspolicy. 97 Dnr 2016/00447

Välkommen till enkäten!

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

I n fo r m a ti o n ssä k e r h e t

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhetspolicy för Katrineholms kommun

Fördelning av ansvar för informationssäkerhet. Version: 1. Beslutsinstans: Regiondirektören

BESLUT. Instruktion för informationsklassificering

Riktlinjer för IT-säkerhet i Halmstads kommun

Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Informationssäkerhetspolicy

Myndigheten för samhällsskydd och beredskaps författningssamling

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

Verket för förvaltningsutvecklings författningssamling ISSN Utgivare: Lena Jönsson, Verva, Box 214, Stockholm

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Dnr

Bilaga till rektorsbeslut RÖ28, (5)

Revidering av riktlinjer för Informationssäkerhet vid Högskolan i Skövde

Riktlinje Robusthet- kontinuitet Landstinget Sörmland beslutad LS 12/13

Informationssäkerhetspolicy

Policy för internkontroll för Stockholms läns landsting och bolag

IT-säkerhetspolicy för Landstinget Sörmland

Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet

PROJEKTRAPPORT NR 14/2014. Ledningssystem för informationssäkerhet, förutsättningar för en god intern kontroll?

1 (5) Informationssäkerhetspolicy Informationssäkerhetspolicy. Ver 3.0

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

Dnr UFV 2017/93. Informationssäkerhet. Riktlinjer för säkerhetsarbetet vid Uppsala universitet. Fastställda av Universitetsdirektören

myndigheter En andra granskning av informationssäkerhet i staten RiR 2016:8 Informationssäkerhetsarbete

SOLLENTUNA FÖRFATTNINGSSAMLING

Informationssäkerhetspolicy

SÄKERHETSPOLICY FÖR VÄSTERVIKS KOMMUNKONCERN ANTAGEN AV KOMMUNFULLMÄKTIGE , 8

Administrativ säkerhet

Kommunfullmäktige. Föredragningslista. Kallelse Till ersättare och övriga för kännedom. Tid: , kl. 18:00

Katrineholms kommuns. Informationssäkerhetspo licy. IZatrineholms kommun "- Antagen av kommunfullmäktige , 106

Riktlinje Brandsäkerhet Landstinget Sörmland beslutad LS 12/13

Informationssäkerhetspolicy för Nässjö kommun

Informationsklassning och systemsäkerhetsanalys en guide

Informationssäkerhet en patientsäkerhetsfråga. Maria Jacobsson Socialstyrelsen

Esbo stad Informationssäkerhetspolicy

Policy för säkerhetsarbetet i. Södertälje kommun

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

Riktlinjer för informationssäkerhet

IT-policy inom Stockholms läns landsting

Stockholms läns landsting 1 (6)

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

Informationssäkerhet Policy och riktlinjer för Stockholms läns sjukvårdsområde

Riktlinjer för informationssäkerhet

Säkerhetsskyddsplan. Fastställd av kommunfullmäktige

Transkript:

LS 1112-1733 Informationssäkerhetspolicy inom Stockholms läns landsting 2013-02-01 Beslutad av landstingsfullmäktige 2013-03-19

2 (7) Innehållsförteckning 1 Inledning...3 2 Mål... 4 3 Omfattning... 4 4 Innebörd... 5 5 Ansvar... 6 6 Uppföljning och revidering... 7

3 (7) 1 Inledning Stockholms läns landstings verksamhet är grundad på principer om öppenhet, personlig integritet och respekt för individen. Medborgarna ska kunna få insyn i landstingets verksamhet. De ska kunna förlita sig på den information som landstinget lämnar och vara förvissade om att information som samlas in får ett tillräckligt skydd. Information är en av landstingets mest strategiska resurser. Alla verksamheter är beroende av tillförlitlig information. Avbrott i tillgången till information kan vara kritiskt och felaktig information kan ge allvarliga konsekvenser inom hälso- och sjukvården, kollektivtrafiken och inom landstingets övriga ansvarsområden. Utvecklingen med informationshantering i IT-system och nya funktionaliteter innebär förbättringar i många avseenden. Samtidigt innebär beroendet av informationssystem att sårbarheten och riskexponeringen ökar om inte säkerhetsaspekterna beaktas. Därför arbetar Stockholms läns landsting aktivt med informationssäkerhet. Det innebär att se till att informationstillgångar finns tillgängliga när de behövs, att de är korrekta, och att obehöriga inte får åtkomst till dem. Genom att arbeta systematiskt och långsiktigt upprätthåller vi ett tillräckligt skydd som är anpassat efter våra verksamheters förutsättningar och behov. Informationssäkerhetsarbetet syftar till att stödja och säkerställa landstingets verksamhet. Alla medarbetare deltar i detta arbete. Informationssäkerhetsarbetet är en viktig del i landstingets övergripande arbete med intern styrning och kontroll samt riskhantering. Denna policy beskriver de övergripande principer som ska gälla för informationssäkerhetsarbetet i Stockholms läns landsting.

4 (7) 2 Mål Målet för landstingets informationssäkerhetsarbete är att skydda informationen inom verksamheten. Skyddet ska vara anpassat till skyddsvärde, risk och lagkrav och därigenom möjliggöra för landstingets verksamheter att uppnå sina mål. En god informationssäkerhet inom landstinget främjar verksamheternas funktionalitet, kvalitet och effektivitet, medborgares rättigheter och personliga integritet, landstingets förmåga att förebygga och hantera allvarliga störningar och kriser samt förtroendet för landstingets informationshantering och IT-system. 3 Omfattning Informationssäkerhetspolicyn gäller för hantering av information, i alla dess former, i Stockholms läns landsting inklusive bolag och stiftelser och av samtliga som arbetar på uppdrag av landstinget. Det sistnämnda regleras genom avtal. Informationssäkerhetsarbetet styrs med hjälp av landstingets ledningssystem för informationssäkerhet som är framtaget med stöd av standarden för informationssäkerhet, ISO/IEC 27000 och utifrån organisationens verksamhetskrav samt gällande lagar och föreskrifter. Vårt ledningssystem är uppbyggt i två nivåer. Nivåerna ger en struktur för ledning och styrning av informationssäkerheten på både övergripande nivå och på verksamhetsnivå. En viktig del av ledningssystemet är regelverket. Det består av styrande dokument som på övergripande nivå utgörs av denna policy och tillhörande riktlinjer och tillämpningsanvisningar. Allt informationssäkerhetsarbete utgår från dessa dokument. Respektive nämnd, styrelse och bolag styr och leder sitt informationssäkerhetsarbete i ett lokalt ledningssystem inom dess verksamhetsområde. Det innehåller de nödvändiga processer och rutiner som behövs för att säkerställa att verksamheten uppfyller kraven på en ändamålsenlig informationssäkerhet. De styrande dokumenten på lokal nivå utformas utifrån de övergripande. Utöver detta krävs att Stockholms läns landsting i tillämpliga delar lever upp till gällande lagar och förordningar samt till landstingets övriga styrande dokument.

5 (7) 4 Innebörd Informationssäkerhetsarbetet innebär att värdera all information efter sin känslighet och med hjälp av administrativa och tekniska skyddsåtgärder säkerställa att den finns tillgänglig när den behövs, att den är korrekt och att obehöriga inte kan få tillgång till den. Utöver dessa säkerhetsaspekter måste behov av spårbarhet uppfyllas - att i efterhand kunna avgöra vem som tagit del av informationen, vilka förändringar som skett och av vem dessa utförts. Säkerhetsaspekter Konfidentialitet (rätt person): Riktighet (rätt information): Tillgänglighet (rätt tid och plats): Spårbarhet: Information får inte göras tillgänglig eller avslöjas på ett sådant sätt att den personliga integriteten eller sekretessen hotas. Informationen få inte förändras eller gå förlorad, av misstag, genom inverkan av obehörig eller på grund av tekniskt fel. Informationen ska kunna användas i förväntad utsträckning, inom önskad tid och på rätt plats. Händelser i informationsbehandlingen ska kunna spåras. Skyddet av informationstillgångar och informationssystem ska vara utformat så att verksamhetens krav på dessa säkerhetsaspekter uppfylls. Detta gäller även när landstingets information eller informationssystem hanteras av extern part. Skyddsåtgärder För att hitta relevant skyddsnivå utifrån dessa fyra aspekter ska vi arbeta utifrån nedanstående principer: Vi ska arbeta med informationsklassificering där all information klassificeras och handlingar och dokument märks. All information ska ha en ägare. Informationsägaren ansvarar för att klassificera informationen och ställa de säkerhetskrav som krävs för informationshantering.

6 (7) Alla informationssystem ska ha en systemägare som ansvarar för att säkerhetskraven på systemet uppfylls. Omvärlden förändras. Därför ska vi, utifrån återkommande risk- och sårbarhetsanalyser och inträffade incidenter, vidta nödvändiga åtgärder för att se till att vår information har rätt skydd. Vi ska ställa säkerhetskrav inför upphandling, utveckling, användning och avveckling av informationssystem och vi ska följa upp de krav vi ställt. Vi ska arbeta med kontinuitetsplanering och ha beredskap för avbrott. Våra kritiska verksamheter ska kunna upprätthållas på fastställd nivå vid olika typer av katastrofsituationer, störningar och avbrott. Alla anställda ska veta vad det egna ansvaret omfattar och ha god kunskap om vilka säkerhetsregler som gäller. Detsamma gäller när tillfällig eller extern personal anlitas. Det är viktigt att alla har ett högt säkerhetsmedvetande och kritiskt ifrågasätter händelser som kan påverka informationssäkerheten. Skyddsåtgärder skall vara kostnadseffektiva och stå i proportion till värdet av informationen och de negativa konsekvenser en otillräcklig säkerhet kan medföra. Kontinuerlig uppföljning ska ske mot fastställda regler. 5 Ansvar Landstingsfullmäktige fastställer den informationssäkerhetspolicy som ska gälla för landstinget. Landstingsstyrelsen ansvarar för att landstingets informationssäkerhetspolicy och riktlinjer för informationssäkerheten utarbetas och hålls aktuella. Landstingsstyrelsen ansvarar också för samordningen av informationssäkerhetsarbetet i landstinget och ska därför årligen fastställa en övergripande handlingsplan för informationssäkerhetsarbetet. Landstingsdirektören har landstingstingsstyrelsens uppdrag att sörja för att informationssäkerhetsarbetet bedrivs så effektivt som möjligt. Landstingsdirektören ansvarar för att övergripande tillämpningsanvisningar utarbetas och hålls aktuella i enlighet med policy och riktlinjer.

7 (7) Informationssäkerhetschefen verkställer samordningen av informationssäkerhetsarbetet inom landstinget och förvaltar denna policy, de tillhörande riktlinjerna och tillämpningsanvisningarna samt den övergripande handlingsplanen för informationssäkerhet. Varje nämnd och styrelse är ansvarig för informationssäkerheten inom sitt verksamhetsområde och ska därför, inom ramen för sitt lokala ledningssystem och i enlighet med tillämpningsanvisningar, anta verksamhetsnära styrdokument för informationssäkerhet. Det åligger även varje nämnd och styrelse att årligen planlägga och löpande följa upp informationssäkerheten och i övrigt vidta de åtgärder som krävs för att uppnå och upprätthålla tillräcklig intern kontroll. Ansvaret för informationssäkerheten är kopplat till det delegerade verksamhetsansvaret. Förvaltningschef/VD ska säkerställa att all informationshantering inom den egna verksamheten sker i enlighet med denna policy samt tillhörande riktlinjer och tillämpningsanvisningar för informationssäkerhet. Informationssäkerhetssamordnare ska utses inom varje förvaltning och bolag och ges i ansvar att samordna och följa upp det för organisationen och verksamheten gemensamma informationssäkerhetsarbetet. Varje anställd ansvarar för att uppställda säkerhetsregler följs samt att störningar och fel i informationssystem, utrustningar och informationsinnehåll rapporteras enligt fastställda rutiner. Informationssäkerhetsrådets uppgift är att främja, stödja, samordna och följa upp landstingets informationssäkerhetsarbete på en övergripande nivå. Landstingsrevisorernas uppgift är att granska om den interna kontrollen är tillräcklig. 6 Uppföljning och revidering Uppföljning och revidering av denna policy ska ske regelbundet. I samband med revidering ska tillhörande riktlinjer och tillämpningsanvisningar samt handlingsplanen för informationssäkerhet revideras på motsvarande sätt.

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss