Informationssäkerhet och författningskrav i verksamheter

Relevanta dokument
Juridik och informationssäkerhet Helena Andersson Krisberedskapsmyndigheten/Institutet för rättsinformatik

Myndigheten för samhällsskydd och beredskaps författningssamling

Allmänt säkerhetsarbete. Informationssäkerhet. Dokumentnamn och uppdateringsinfo

Verket för förvaltningsutvecklings författningssamling ISSN Utgivare: Lena Jönsson, Verva, Box 214, Stockholm

Myndigheten för samhällsskydd och beredskaps författningssamling

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Nya krav på systematiskt informationssäkerhets arbete

Vi skyddar din information. Vårt informationssäkerhetsarbete och skydd av personuppgifter

Informationssäkerhetspolicy

Myndigheten för samhällsskydd och beredskaps författningssamling

Kommunal författningssamling för Smedjebackens kommun. Informationssäkerhetspolicy. 97 Dnr 2016/00447

Informationssäkerhetspolicy för Ånge kommun

Verksamhetsplan Informationssäkerhet

Informationssäkerhetspolicy för Ystads kommun F 17:01

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Yttrande över Socialstyrelsens förslag till föreskrifter om behandling av personuppgifter och journalföring i hälsooch sjukvården

Informationssäkerhetspolicy IT (0:0:0)

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

1 (5) Informationssäkerhetspolicy Informationssäkerhetspolicy. Ver 3.0

Motivet finns att beställa i följande storlekar

Informationssäkerhetsgranskning. ISO ledningssystem för informationssäkerhet

Bilaga 4. Normativa specifikationer

Välkommen till enkäten!

Dnr UFV 2017/93. Informationssäkerhet. Riktlinjer för säkerhetsarbetet vid Uppsala universitet. Fastställda av Universitetsdirektören

I Central förvaltning Administrativ enhet

Informationssäkerhetspolicy

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola Sammanfattning

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

Ledningssystem för Informationssäkerhet

Ledningssystem för Informationssäkerhet

Bilaga till rektorsbeslut RÖ28, (5)

Informationssäkerhet en förutsättning för effektiv digitalisering. Moderator: William Linnefell, Ekonomistyrningsverket

Informationssäkerhetspolicy. Linköpings kommun

Informationssäkerhet. Ett prioriterat granskningsområde. Ann-Marie Dahlros,

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Informationssäkerhetspolicy

Svar på revisionsskrivelse informationssäkerhet

Informationssäkerhetspolicy KS/2018:260

Rikspolisstyrelsens författningssamling

PM 2015:127 RVI (Dnr /2015)

myndigheter En andra granskning av informationssäkerhet i staten RiR 2016:8 Informationssäkerhetsarbete

Informationssäkerhetspolicy

Kommunrevisionen KS 2016/00531

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Myndigheten för samhällsskydd och beredskaps författningssamling

Myndigheten för samhällsskydd och beredskaps författningssamling

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Planera genomförande

Granskning av landstingets hantering av personuppgifter

Informationssäkerhetspolicy S/~LA KOMMUN KOMMUNFULLMÄKTIGE. Bi l aga KS 2015 / 135/1 INFORMATIONSSÄKERHETSPOLICY FÖR SALA KOMMUN

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Hantering av personuppgifter inom Lunds universitet

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

Bygga intern styrning och kontroll Från kaos till kontroll på ett år. Katrin Westling Palm Stephan Sandelin

Policy för informations- säkerhet och personuppgiftshantering

Finansinspektionens författningssamling

Juridik och informationssäkerhet

Informationssäkerhet, Linköpings kommun

Nytt metodstöd för systematiskt informationssäkerhetsarbete. Revidering av MSB:s metodstöd. Per Oscarson, Oscarson Security AB Carl Önne, MSB

Policy för informationssäkerhet och dataskydd 2018

Internrevisionen Förslag till revisionsplan för år 2009 Jan Sandvall Dnr B5 269/09 REVISIONSPLAN FÖR ÅR 2009

POLICY INFORMATIONSSÄKERHET

Hantering av personuppgifter inom Lunds universitet

Plan för informationssäkerhet vid Högskolan Dalarna 2015

Vervas föreskrift om statliga myndigheters arbete med säkert elektroniskt informationsutbyte. Wiggo Öberg, tidigare Verva nu KBM,

Informationssäkerhet - Informationssäkerhetspolicy

Välja säkerhetsåtgärder

Förslag till föreskrifter och allmänna råd om behandling av personuppgifter och journalföring i hälso- och sjukvården

Nya föreskrifter och allmänna råd

Hur skyddas patientens integritet? Vad säger lagar och författningar och hur fungerar det?

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet

ehälsomyndighetens nya säkerhetslösning

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Policy för informationssäkerhet

Övergripande riskhantering i Göteborgs Stad

Konsekvensutredning för föreskrift om krav på informationssäkerhet

Eva Leach Elfgren, ehälsomyndigheten

Informationssäkerhetspolicy

Ramverket för informationssäkerhet 2

Vision e-hälsa Karina Tellinger McNeil Malin Amnefelt

Regler och instruktioner för verksamheten

Anders Mårtensson Säkerhetschef

Informationssäkerhetspolicy

Hur gör vi action av juridiken

Transportstyrelsens föreskrifter om hantering av kryptografiska nycklar och certifikat för tillverkning av digitala färdskrivare;

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun

Informationssäkerhetspolicy

Metodstöd 2

Informationssäkerhetspolicy

Lokal informationssäkerhetspolicy för hälso- och sjukvårdsförvaltningen

Informationssäkerhetspolicy för Katrineholms kommun

Bilaga 1: Personuppgiftsbiträdesavtal 1/10

Transkript:

En konsults perspektiv på Informationssäkerhet och författningskrav i verksamheter Dr Fredrik Björck e Stockholm 08 Legal Conference

Agenda I. Bakgrund och verksamhet II. Författningskrav som drivkraft III. Att hantera författningskrav IV. En iakttagelse om utvecklingen V. Frågor och svar 2008 11 19 e Stockholm '08 Legal Conference 2

Del I MIN BAKGRUND OCH VERKSAMHET 2008 11 19 e Stockholm '08 Legal Conference 3

Bakgrund Radio Växjö 102.4 2008 11 19 e Stockholm '08 Legal Conference 4

Verksamhet Visente levererar rådgivningstjänster inom informationssäkerhet. Kunder är företag och myndigheter. Typiska uppdrag är analys, utveckling och implementering av systematiskt informationssäkerhetsarbete: www.visente.com Analyser: Nuläge, risk, verksamheten Informationssäkerhetspolicy Riktlinjer inom informationssäkerhet Utbildning av medarbetare Tekniska granskningar och revision. 2008 11 19 e Stockholm '08 Legal Conference 5

Del II FÖRFATTNINGSKRAV SOM DRIVKRAFT 2008 11 19 e Stockholm '08 Legal Conference 6

Kravkällor Informationssäkerhet 2008 11 19 e Stockholm '08 Legal Conference 7

Författningskrav som drivkraft Personuppgiftslag Vervas föreskrift: Säkert elektroniskt informationsutbyte Förordning: Intern styrning och kontroll Det är ofta författningskrav som får kunderna att besluta sig för att satsa på informationssäkerhet 2008 11 19 e Stockholm '08 Legal Conference 8

Vad finns det då för författningskrav på informationssäkerhet? Generella föreskrifter (ex. Vervafs 2007:2) Lagar (ex. Personuppgiftslagen) Branschspecifika föreskrifter (ex. inom hälso och sjukvårdssektorn) Lagar (ex. personuppgifter vid riksdagsval) (Med flera) 2008 11 19 e Stockholm '08 Legal Conference 9

Exempel: Informationssäkerhetspolicy 2008 11 19 e Stockholm '08 Legal Conference 10

Kravkällor Informationssäkerhet 2008 11 19 e Stockholm '08 Legal Conference 11

Del III ATT HANTERA FÖRFATTNINGSKRAV 2008 11 19 e Stockholm '08 Legal Conference 12

Hur kan man hantera legala krav inom ramen för informationssäkerhetsarbetet? Det beror på lite var i arbetet man är: Ska man fastställa lagkraven generellt för verksamheten och försöka se ifall de är uppfyllda Håller man på med en analys av kraven på en enskild informationsresurs eller IT system? Det finns verktyg för att analyseras kraven, exempelvis RISA av Helena Andersson. 2008 11 19 e Stockholm '08 Legal Conference 13

Kärnan i metodik för att identifiera författningskrav inom informationssäkerhet Utgå från en bruttolista på tänkbara lagrum som kan komma ifråga. Gå igenom lagrummens lydelse och avgör ifall de alls är tillämpliga på analyobjektet (ex. ett ITsystem). Markera lagrum som är tillämpliga. Undersök, bedöm och beskriv hur och ifall de aktuella kraven kan anses vara uppfyllda (eller kan riskera att inte uppfyllas) Koppla in juristerna vid behov! 2008 11 19 e Stockholm '08 Legal Conference 14

Exempel: Tillvävagångssätt 2008 11 19 e Stockholm '08 Legal Conference 15

Exempel: Lista på författningar 2008 11 19 e Stockholm '08 Legal Conference 16

Exempel: Bedömning 2008 11 19 e Stockholm '08 Legal Conference 17

Exempel: Personuppgifter 2008 11 19 e Stockholm '08 Legal Conference 18

Del IV EN IAKTTAGELSE OM UTVECKLINGEN 2008 11 19 e Stockholm '08 Legal Conference 19

Vägen till författningskrav 2008 11 19 e Stockholm '08 Legal Conference 20

Trender Bättre och mer heltäckande lagar Hål täpps till (ex. BrB om dataintrång) Skyddsobjekt ändras Lagar harmoniseras inom EU Allt mer detaljerad författning kring informationssäkerhet Flera liknande författningar kring just riskhantering som relaterar till informationssäkerhet skapar frågor. 2008 11 19 e Stockholm '08 Legal Conference 21

Utmaningen Inom juridik och informationssäkerhet står vi idag inför en pedagogisk utmaning. Det gäller att alla som ska lyda författningen ges möjlighet att först ta till sig den och förstå dess innebörd. Inte minst på myndighetssidan finns det risk att brist på att förklara olika riskhanteringskrav och informationssäkerhetskrav och hur de förhåller sig till varandra gör att det blir svårt att navigera rätt. 2008 11 19 e Stockholm '08 Legal Conference 22

fredrik. bjorck @ visente. com 08 50007373 Del IV FRÅGOR OCH SVAR! 2008 11 19 e Stockholm '08 Legal Conference 23

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss