Informationssäkerhetsprojektet Projektets introduktionsrunda våren 2015 Projektledare från länsstyrelsen, Tommy Lindström Sakkunnig från regionförbundet, Stephen Dorch 1,7 mkr 2:4 medel krisberedskap
Styrgrupp Mats Linde, Barn- och ungdomsförvaltningen, Kalmar kommun Annette Andersson, Kommundirektör, Kalmar kommun Clas Kempe, Säkerhetsskyddschef, Mönsterås kommun Susanne Dahlbom-Korduner, Förbundschef, ITSAM, Vimmerby kommun Camilla Samuelsson, Sociala välfärdsfrågor, Regionförbundet Morgan Olsson, Räddningschef, Oskarshamn kommun Bernhard Neuman, styrgruppens ordförande, Länsstyrelsen Adjungerad till styrgruppsmötena är projektledningen: Tommy Lindström, Projektledare, Länsstyrelsen Stephen Dorch, sakkunnig, Regionförbundet
Mål Anställda i kommuner och landsting ska ha bra kompetens och bra rutiner för informationssäkerhet med en tydlig organisation gällande ansvar, resurser, stöd och uppföljning
Syfte Genom olika aktiviteter ska projektet höja kompetensen om informationssäkerhet och dess implementering för de utpekade målgrupperna. Detta för att minimera risker och hot så all information som behöver skydd får detta i rätt utsträckning. Medborgare ska känna trygghet över hur myndigheter hanterar information
Tillgänglighet - rä. format för rä. 4llfälle Rik4ghet - gil4g, rik4g, fullständig Konfiden4alitet - endast behörig har.llgång Spårbarhet - härleda iden4fierad användare Egenskaper Vad är Informa4onssäkerhet? Säkerhetsåtgärder Målbild: Verktygskompetens Teknisk säkerhet Målbild: Användarkompetens Målbild: Beställarkompetens Administra4v säkerhet IT säkerhet Fysisk säkerhet Formell säkerhet Informell säkerhet Data säkerhet Kommunika4onssäkerhet Extern säkerhet Intern säkerhet Exempel på administra.v säkerhet: Policy och regelverk Ru.ner Övervakning och kontroll Revision och uppföljning Medvetenhet
Målgrupper Exempel, det är upp till varje kommun att själv bestämma. Ledningen Säkerhetssamordnaren Personuppgiftsombudet IT-avdelning Utbildning Social, vård, omsorg Ekonomi, personal, kansli, kommunikation och administration Samhällsbyggnadsfunktioner (fastigheter, bygglov, miljö, VA, trafik, upphandling) Oj oj oj, vilket stöd kan vi få i allt deia? Vad ska göras? Varför? Jahaja, men deia fixar väl IT- avdelningen? Låter väl ambi.öst, eller? Målgruppernas kompetens om informa.onssäkerhet ska öka genom informa.on och utbildning. Nya hot och risker uppstår hela.den. Vi behöver öka kunskapen om hur vi ska hantera denna utveckling. Medborgarna ska känna förtroende.ll vår förmåga ai hantera känslig informa.on. Knappast, IT- avdelningen tar hand om tekniken, men det krävs mycket mer än så. Styrning och ledning är nödvändigt liksom beslut om tekniska, fysiska och organisatoriska skyddsåtgärder. För deia krävs analyser, åtgärdsplaner, uppföljning, redovisning i ei ständigt pågående systema.sk förbäiringsarbete. Nej, inte om vi avser ai följa lagar och föreskriter, många av dessa är under översyn och kommer ai uppdateras för ai möta de krav som globaliseringen ger. Informa.onssäkerhet är en förutsäining för utveckling av nya tjänster och för ai säkerställa den enskildes integritet i en allt mer digitaliserad värld. MSB och SKL ger kommunerna vik.ga stöd och verktyg. Samverkan regionalt och na.onellt förespråkas för ai.llsammans möta kraven. Det finns en ISO- standard för ai hantera alla dessa utmaningar, Ledningssystem för Informa.onssäkerhet. EI krav på ISO 27000 finns i nuvarande och kommande föreskriter.
Övergripande tidsplan Observera att tidplanen är individuell per kommun/landsting Maj-15: Lokala introduktioner, Identifiering av samordnings-, informations- och utbildningsbehov Juni och juli-15: Utvärdering av inkomna svar Augusti-15: Ansökan eventuellt EUprojektdeltagande September-15: Styrgruppsmöte Hösten 2015 och vintern 2016: Informations- och utbildningsinsatser, kompletterande utbildning, uppföljning och fördjupning Våren 2016: Fortsättning samt tester och övningar för kontroll Hösten 2016: Fortsättning samt utvärdering av projektet, slutkonferens!
Enkät syfte Identifiera behov av regional samordning och stöd Kompetenshöjande insatser, Vilka? När? Hur? Information Utbildning
Enkäten utbildningsbehov Skickas ut eter mötet, liksom en utvärderingsbeskrivning som beskriver enkäten och som projektledningen nyijar vid analys av inkomna enkätsvar enligt LFA- metoden. Analyser (risk-, GAP-, åtgärds-) Rutiner och processer Klassificering Incidenthantering Kontinutetsplaner
Enkäten utvalda exempel på frågor Till ledningen: En utgångspunkt är ai IT- avdelningen ansvarar för den tekniska IT- säkerheten men inte för den övergripande informa.onssäkerheten. Är deia gränssnii tydligt inom den kommunala organisa.onen? Om inte, beskriv hur gränsdragningen ser ut eller uppfaias. Till IT- avdelningen: Har IT- avdelningen dokumenterade ru.ner och processer för IT- drit? Om inte, vad saknas? Till säkerhetssamordnaren: Vilken roll spelar informa.onssäkerheten i kommunens RSA? Till personuppgi8sombudet: Vilket är dii ansvar, mandat och uppdrag är avseende informa.onssäkerhet som PuO?
Förslag till lokal process Utse kontaktperson(- er) Projektets lokala representant Samordning Besvara enkäten Senast 15 juni Förankra Säkerhetsåtgärder, informa.on, utbildning, uppföljning, test Form för genomförande Lokala åtgärder
Tack för er tid! KontaktuppgiTer: tommy.lindstrom@lansstyrelsen.se 010-223 84 55 stephen.dorch@rel.se 0480-44 84 43