KLISTER KARTLÄGGNING INFORMATIONSSÄKERHET I KOMMUNER

Relevanta dokument
KLISTER KARTLÄGGNING INFORMATIONSSÄKERHET I KOMMUNER

KLISTER KARTLÄGGNING INFORMATIONSSÄKERHET I KOMMUNER

Informationssäkerhetsgranskning. ISO ledningssystem för informationssäkerhet

INFORMATIONSSÄKERHET ETT HINDER ELLER EN MÖJLIGGÖRARE FÖR VERKSAMHETEN

Metod och kartläggning av informationssäkerhet för kommuner i Västra Götaland

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Fortsättning av MSB:s metodstöd

Västra Götalandsregionens stöd till Informationssäkerhetsprogram Riktlinjer för sökande kommuner

Smart region Västra Götaland Enklare, öppnare, effektivare och hållbart

Myndigheten för samhällsskydd och beredskap

Ledningssystem för Informationssäkerhet

Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen

Riktlinjer för informationssäkerhet

Smart region Västra Götaland

Dnr UFV 2017/93. Informationssäkerhet. Riktlinjer för säkerhetsarbetet vid Uppsala universitet. Fastställda av Universitetsdirektören

ISO/IEC och Nyheter

Ledningssystem för Informationssäkerhet

Riktlinjer för informationssäkerhet

Informationssäkerhetspolicy

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

Informationssäkerhetspolicy KS/2018:260

Myndigheten för samhällsskydd och beredskaps författningssamling

Myndigheten för samhällsskydd och beredskaps författningssamling

Bilaga till rektorsbeslut RÖ28, (5)

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

Informationssäkerhetspolicy. Linköpings kommun

Välkommen till enkäten!

Fortsättning av MSB:s metodstöd

Digital agenda för Västra Götaland. Öppen data 27 mars 2017 Tore Johnsson Koncernstab regionalutveckling Västra Götalandsregionen

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Informationssäkerhetspolicy för Umeå universitet

Koncernkontoret Enheten för säkerhet och intern miljöledning

Smart region Västra Götaland Enklare, öppnare, effektivare och hållbart

Informationssäkerhetspolicy inom Stockholms läns landsting

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Protokoll Styrgruppsmöte för insatsområde Säker roll- och behörighets-

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Nya krav på systematiskt informationssäkerhets arbete

INFORMATIONSSÄKERHET EN FÖRUTSÄTTNING FÖR GOD INFORMATIONSHANTERING

Ledningssystem för IT-tjänster

Regler och instruktioner för verksamheten

Informationsklassning och systemsäkerhetsanalys en guide

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

I Central förvaltning Administrativ enhet

Ledning och styrning av IT-tjänster och informationssäkerhet

Strategiska styrgruppen för verksamhetsutveckling med stöd av IT - SSVIT

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Regionala Digitaliseringsrådet GIS-nätverket Västra Götaland. 30 Maj 2018 Göteborgs Museum

Informationssäkerhetsprogram Valter Lindström Strateg

Informationssäkerhetspolicy

Nytt metodstöd för systematiskt informationssäkerhetsarbete. Revidering av MSB:s metodstöd. Per Oscarson, Oscarson Security AB Carl Önne, MSB

Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13

Svensk Standard SS ISO/IEC SS

Informationssäkerhet - Informationssäkerhetspolicy

Boråsregionens ehandlingsplan

Planering för införande av ledningssystem för informationssäkerhet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Policy för informationssäkerhet

Informationssäkerhetspolicy för Ystads kommun F 17:01

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Digitaliseringsrådets andra möte 21 juni 2016

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Dnr

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

UTVÄRDERING AV GAPANALYS FÖR INFORMATIONSSÄKERHET EVALUATION OF A GAP ANALYSIS FOR INFORMATION SECURITY

Informationssäkerhet och SKLs verktyg KLASSA. Avdelningen för Digitalisering Sektionen för Informationshantering och Digital Arbetsmiljö (IDA)

Plan för informationssäkerhet vid Högskolan Dalarna 2015

Att införa LIS. Informationssäkerhet för offentlig sektor Johan Kallum Säkerhetschef/Informationssäkerhetschef

Terminologi inom informationssäkerhetsområdet HB 550 har blivit TR-50

Digital agenda för Västra Götaland. Digitaliseringsrådet Andra mötet Västra Götalandsregionen 21 juni 2016

Verksamhetsdriven informationssäkerhet genom informationsklassning och målgruppsanpassade riktlinjer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola Sammanfattning

Informationssäkerhetspolicy

Verksamhetsrapport. Kommunens säkerhetsarbete 2014

Vervas föreskrift om statliga myndigheters arbete med säkert elektroniskt informationsutbyte. Wiggo Öberg, tidigare Verva nu KBM,

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Informationssäkerhet en förutsättning för effektiv digitalisering. Moderator: William Linnefell, Ekonomistyrningsverket

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Finansinspektionens författningssamling

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

SLUTRAPPORT PROJEKT GDPR

Administrativ säkerhet

Informationssäkerhetspolicy för Katrineholms kommun

myndigheter En andra granskning av informationssäkerhet i staten RiR 2016:8 Informationssäkerhetsarbete

NIS-direktivet. Nya krav på informationssäkerhet i samhällsviktiga och digitala tjänster.

Finansinspektionens författningssamling

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

1(6) Informationssäkerhetspolicy. Styrdokument

Informationssäkerhetspolicy S/~LA KOMMUN KOMMUNFULLMÄKTIGE. Bi l aga KS 2015 / 135/1 INFORMATIONSSÄKERHETSPOLICY FÖR SALA KOMMUN

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Informationssäkerhetspolicy för Nässjö kommun

NIS-reglering.

POLICY INFORMATIONSSÄKERHET

Hur värnar kommuner digital säkerhet?

Samverkan för stärkt krisberedskap genom behovsanalysprocessen

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

Transkript:

KLISTER KARTLÄGGNING INFORMATIONSSÄKERHET I KOMMUNER Metod och kartläggning av informationssäkerhet i kommuner i Västra Götaland utmaningar och möjligheter Rose-Mharie Åhlfeldt Docent Informationsteknologi I N S T I T U T I O N E N F Ö R I N F O R M A T I O N S T E K N O L O G I, H Ö G S K O L A N S K Ö V D E Bild 1

VARFÖR INFORMATIONSSÄKERHET? Information är ett av våra viktigaste arbetsverktyg. Ingen information ingen fungerande verksamhet. God och säker informationshantering är därför en verksamhets- och kvalitetsfråga. Bild 2

INFORMATIONSHANTERING I KOMMUNER Sveriges kommuner hanterar en betydande del av samhällets tjänster Kommunernas informationsförsörjning blir därför en kritisk del i samhällets informationssäkerhet För att kunna säkerställa en tillräcklig nivå av informationssäkerhet krävs att informationssäkerhetsarbetet bedrivs metodiskt och långsiktigt (Informationssäkerhet i kommuner, MSB 2012) Bild 3

INFORMATIONSSÄKERHETSMODELLEN Bild 4

KARTLÄGGNING INFORMATIONSSÄKERHET Bild 5

METOD FÖR KARTLÄGGNING GAP-analys Analyserar gapet mellan det nuvarande läget mot kraven i standarden (ISO/IEC 27001 och 27002) Ger en helhetsbild över informationssäkerhetsnivån i kommunens verksamhet baserat på en vedertagen/jämförbar best practice Är en viktig (omfattande) del i den grundläggande analysen för ett införande av ett ledningssystem för informationssäkerhet (LIS). Bild 6

METODSTÖD FÖR LIS Bild 7

Identifiera kunskapskällor Befintliga dokument Utse nyckelpersoner/roller för intervjuer Dokumentera nuläget Platsbesök, intervjuer Dokumentera förbättringsförslag Förslag på åtgärder GAP-ANALYS Bild 8

GENOMFÖRANDE OCH RESULTAT Bild 9

PROJEKTPLAN Planering/Uppl ägg April - Aug Analys och efterarbete Nov Dec Genomförande Sep- Nov Resultatredovisning Januari 2016 Bild 10

FÖRVÄNTAT RESULTAT KOMMUNER På ledningsnivå ha informationssäkerhet på agendan på ett systematiskt sätt, Påskynda och öka arbetet med informationssäkerhet, Få ökad kunskap om nuvarande skydd av informationen är infört i tillräcklig omfattning i den egna verksamheten, Få en ökad uppfattning om kvalitén på informationssäkerhetsarbetet som bedrivs, Få en fördjupad information om styrkor och svagheter i skyddet av information, Bild 11

FÖRVÄNTAT RESULTAT ÖVRIGT Forskningsunderlag kartläggning av informationssäkerhet från ett större antal kommuner i ett lokalt område Utvärdering och möjlighet till förbättringsförslag av metodik för kartläggning av informationssäkerhet generellt och kommunalt Möjlighet till produktifiering av metod och förenklat it-stöd, Ökad samverkan mellan Högskolan i Skövde och kommuner i Västra Götaland Bild 12

ORGANISATION AV PROJEKTET Styrgrupp Representanter från SSVIT, Högskolan i Skövde (HIS), samt deltagande kommuner Projektgrupp Intern grupp med HIS samt Skaraborgs kommunalförbund Extern grupp med ytterligare 2 representanter från deltagande kommuner. Referensgrupp Representanter från både deltagande kommuner i Skaraborg samt övriga Västra Götaland. Bild 13

KARTLÄGGNING - PILOTSTUDE 15 kommuner i Skaraborg Mål: bidra till uppstart/fortsättning av ett systematiskt informationssäkerhetsarbete i VGRs kommuner. Observera Varje analys baseras på kommunernas självskattning och analysledarnas subjektiva bedömningar och jämförelse kan endast ske internt inom en kommun. Ett fokus har skett på skola, vård och social verksamhet (duktiga men utsatta verksamheter). Bild 14

ARBETSSÄTT Planering Genomförande Efterarbete Uppdatering av metodstöd Förberedelse av GAP-analys Schemaläggning av besök Forskare Referensgrupp Förberedelse av GAP-analys Inbokning av besök Kommuner Pilotstudie hos 15 kommuner Analysförberedelser utifrån resultatet Sammanställning och förbättringsåtgärder på kommunnivå Helhetsresultat och projektdokumentation Förbättringsåtgärder metodstöd Bild 15

BEDÖMNINGSNIVÅER Bedömningen är graderad i fyra nivåer: 0 = Ingen efterlevnad 1 = Bristande efterlevnad 2 = Acceptabel efterlevnad 3 = Stor efterlevnad Maxvärde: 3 Normvärde: 2 Kommunernas genomsnitt: 1,2 Bild 16

Bild 17

RESULTAT PER DELOMRÅDE 1 (2) Kartläggningsområde Snitt Informationsäkerhetspolicy 0,8 Organisation av informationssäkerhet 0,9 Personalsäkerhet 1,1 Hantering av tillgångar 0,9 Styrning av åtkomst 1,7 Kryptering 0,2 Fysisk säkerhet 1,6 Bild 18

RESULTAT PER DELOMRÅDE 2 (2) Kartläggningsområde Snitt Driftsäkerhet 1,4 Kommunikationssäkerhet 1,9 Anskaffning, utveckling o underhåll av IS 1,3 Leverantörsrelationer 1,2 Hantering av informationssäkerhetsincidenter 0,8 Kontinuitetshantering informationssäkerhet 1,1 Efterlevnad 1,2 Bild 19

STYRKOR - ÖVERGRIPANDE Kommunikationssäkerhet Driften Styrning och åtkomst - dubbelbottnad Bild 20

UTMANINGAR - ÖVERGRIPANDE Informationssäkerhetspolicyn Organisation av informationssäkerhet - roller/ansvar Kompetensbrist inom informationssäkerhetsområdet Hantering av informationstillgångar Regler för kryptering Incidenthantering Kontinuitetshantering Efterlevnad Formalisering av processer Befintliga system styr behov Bild 21

FRAMTIDA ARBETE Kommuner Regelverk och organisation av arbetet en prioritet Systematiskt och långsiktigt tänk LIS-arbete Samarbete såväl inom kommuner som mellan kommuner Metodutveckling Vidare arbete med kommunanpassning Språkbruk och formuleringar Skalbarhet gällande kommunstorlek och komplexitet Bild 22

SAMARBETE MELLAN KOMMUNER Hur kan det underlättas? Etablerat samarbete mellan kommunerna i Skaraborg (VGR) en framgångsfaktor för fortsatt arbete. Gemensam medvetenhet om liknande brister Möjlighet till synergier och gemensamma lösningar genom samarbete Informationsklassning Kompetensförsörjning Organisation och roller Bild 23

KONTAKT Rose-Mharie Åhlfeldt, rose-mharie.ahlfeldt@his.se Projektledare Maria Nilsson, maria.nilsson@skaraborg.se e-samordnare Skaraborgs kommunalförbund Mer information om projektet http://www.vastkom.se/samverkansomraden/esamhallet/gemens ammafunktionerochtjanster/informationssakerhet/metodstodgapa nalys.4.455606ea14bccfd925216c8b.html Bild 24

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss