Arkivkurs 2009-10-21
Information och administration
Information finns överallt, vare sig man vill eller inte
Vad är administration?
Förvaltningshistoriska skeden (Feodalism) (Den absoluta staten) (Merkantilismen) Rättstaten Välfärdstaten Efterkrigstiden????
Administrativa aktiviteter Leda Samordna Utreda Planera Besluta Informera/rapportera
Olika typer av administration Konstituerande Syfte Upprätthållande och bibehållande av organisationen Effektiviserande Öka organisationens effektivitet Legitimerande Öka organisationens legitimitet Administrativa aktiviteter Planering, arbetsfördelning, samordning, kommunikation Ledning, styrning, kontroll, organisering Omvärldshantering
Exempel ur verkligheten: Landstingen
Långsiktiga tendenser Reglerat Målstyrt Förutsägbart Flexibelt Kunnig om regler Medarbetaren Egna bedömningar
Samband mellan administration och informationshantering
Önskat läge Produktion Administration
Eller ska det vara så här? Administration Produktion
Eller så här? Administration Produktion Administration
I vilket fall så är det så här Administration Informationshantering
Hembyggd modell för sambandet mellan administration och informationshantering Makt Mål Externa krav Teknik Informationshantering och roller Arbetssätt
Vilken information är det vi pratar om?
VAD ÄR ALLMÄNNA HANDLINGAR?
Hur ser det ut i en kommun? Ekonomisystem PA-system Pappersbundna och/eller digitala socialakter Elevanteckningar Protokoll, motioner, interpellationer Fondansökningar Ansökningar om äldreomsorgsplats Bygglov Patientjournaler Fakturor
Tes: dagens informationshantering bygger ofta på behov och metoder som var aktuella för mer än 15 år sedan
Exemplet diarieföring
Varje tid använder sin teknik och sina sökstrukturer Skrivelsediarier Ärendediarier Dossierer
Vad säger lagen? När allmän handling har kommit till eller upprättats hos myndighet skall handlingen registreras utan dröjsmål, om det inte är uppenbart att den är av ringa betydelse för myndighetens verksamhet. I fråga om allmänna handlingar, för vilka sekretess inte gäller, får dock registrering underlåtas om handlingarna hålls så ordnade att det utan svårighet kan fastställas om handlingen kommit in eller upprättats 15 kap. 1 SekrL
Vad ska egentligen diarieföras? Ur demokratisynpunkt? Ur effektivitetssynpunkt?
Vad ska diarieföras/registreras enligt lagen? Datum då handlingen inkom eller upprättades Diarienummer eller annan beteckning som åsatts handlingen I förekommande fall från vem handlingen har kommit in eller till vem den har expedierats I korthet vad handlingen rör
Kontentan Diarier fungerar i dag i de flesta fall som mycket dåliga sökverktyg Utforma inte metadatahantering utifrån traditionell diarieföring Kravet på diarieföring kan lösas på annat sätt än i dag Kommer registratorer att behövas? (Jmf fakturaskanning)
Hur hamnade vi där vi är idag?
Exempel på föränderlighet: landsting och sjukvård
Hur ser administrationen ut idag? Målstyrning och rambeslut Projekt Processer Ökande andel legitimerande administration Styrning och ledning tillmäts mycket stor betydelse
Tendenser och frågor Storlek (både inom organisationen och genom samarbete) Komplexitet Övergång från muntlig information Centralisering decentralisering Assistenter och/eller systemstöd? Förändring genom evolution eller revolution?
Exempel på övergång till målstyrning: rektorer
Legitimerande administration Fack Lagar ISO Myndigheter Informationshantering Verksamhet
Hur legitimerande krav konkret kan påverka informationshanteringen: Omvårdnadsdokumentation
Men försöken till styrning kan i sig påverka informationshanteringen : Internfakturering
Styrning av information
Tes: En stor del av den ökade administrationen består i informationshantering
Alltså: För att minska administrationen måste informationshanteringen styras och begränsas
Varför är det så svårt att styra informationshanteringen? Man har dålig överblick över vad det finns för information Det saknas kompetens, roller och mandat för att styra Den ökande andelen legitimerande administration försvårar (möjligen hindrar styrning)
Vissa informationssystem kan vara oföränderliga de flesta måste anpassas utifrån målen: återigen till diarieföringen!!
Kontenta: man kan inte styra informationshanteringen utan att styra administrationen
Vad kan man göra idag? Identifiera makten? Identifiera externa krav? Identifiera målet/målen? Ändra sitt arbetssätt? Köpa ett nytt system? Tillskapa roller och ansvar?
Vad kommer att bli att viktigt i framtiden? Formalisering och standardisering (roller och information) Säkerhet (tillgänglighet, sekretess, spårbarhet, riktighet) Samarbete med andra organisationer Värdering av information, sovra och gallra Sökbarhet Informationskvalitet och källkritik Webbpublicering och content management
Är det fler chefer eller fler administratörer som behövs?
Exemplet läkarsekreterare
Aktuellt exempel som ställer stora krav på informationshanteringen: 24- timmarsmyndigheten
Dokumenthantering - informationshantering
Dokumenthantering är en delmängd av informationshanteringen
Förhållandet mellan informationshantering och dokumenthantering Informationshantering Dokumenthantering
Begreppet dokument i standarden SS-ISO 154 89-1 Definition 1 (generellt): information eller objekt som kan hanteras som en enhet Definition 2 (specifikt) handling: information som en organisation eller en person skapat, mottagit och bevarat som verifiering eller information, för att uppfylla lagstiftningens krav eller i den löpande verksamheten
Begreppet dokumenthantering Område med ansvar för att på ett effektivt och systematiskt sätt skapa, ta emot, bevara, använda och gallra dokument. Anm. I detta ingår åtgärder för att ta hand om och bevara dokument som verifierar och innehåller information om åtgärder och transaktioner i verksamheten
Livscykel
Stöd för att utveckla informationshanteringen
Kan ett nytt system lösa alla problem?
Processkartläggning Styrning Informationslager 1 Informatio n Informationslager 2
Några förutsättningar för att få en mer lyckad dokumenthantering (1) Skaffa kompetens och utse ansvar Besluta vad som ska inkluderas i dokumenthanteringen Processkartläggning Förbered eventuella integrationer Begreppsmodellera Fastställ kraven på versionshantering Se hela kedjan från mallar och framåt Kartlägg behoven från webbplatser
Några förutsättningar för att få en mer lyckad dokumenthantering (2) Kartlägg säkerhetskraven Definiera dokumenttyper och ärendetyper Identifiera sökbehov Se över behoven av skanning och andra media Analysera de långsiktiga kraven Förankra, förankra, förankra Förbered för konflikter Försök få en gemensam lösning med andra kommuner eller lokala myndigheter
Arkiv - ett ord med många betydelser
Syftet med arkivväsendet Uppfylla rättsliga krav (i Sverige starkt kopplat till offentlighetsprincipen) Vara en stödprocess för övriga processer i verksamheten Understödja kultur och forskning
Vad ska då arkivarien göra?
Viktiga frågor Arbeta organisatoriskt Informationshantering Digital lagring Redovisning
Framtiden Vad tror vi om framtiden och vad vill vi med framtiden?
Vad är informationssäkerhet?
Informationssäkerhet vad är det? Riktighet Sekretess Spårbarhet Tillgänglighet (I och II)
Delar i informationssäkerheten Logisk säkerhet Fysisk säkerhet Systemsäkerhet
Informationssäkerhet Informationssäkerhet Logisk säkerhet Fysisk säkerhet System säkerhet Nät Applikation Operativ Logisk säkerhet IT-säkerhet System säkerhet Fysisk säkerhet Nät Applikation Operativ
Varför är informationssäkerhet viktigt (generellt)?
Varför är informationssäkerhet viktigt för era organisationer?
Kundernas förväntningar
Andra externa krav
Interna krav
Men är inte säkerheten en rejäl showstopper?
Säkerheten måste integreras med verksamhetsbehov då når ni en lagom nivå
Hur identifierar man verksamhetens behov?
Hur ser det ut i era organisationer idag?
IS0 27001 och 27002
Ledningssystem för informationssäkerhet - LIS Förkortas internationellt som ISMS Information Security Management System Beskrivs av standardserien ISO/IEC 27000 Togs fram i slutet av 90-talet, blev ISOstandard successivt mellan 2002-2005 (först 17799 som blev 27002, därefter 27001) Finns idag 4 delar färdiga av planerade cirka 8 delar 76
Vad finns idag och vad är under utveckling? Standard Namn Utgiven? Under Utveckling? ISO/IEC 27000 ISO/IEC 27001 Overview and vocabulary ISMS- Requirements Anmärkning NEJ JA Klar 2009 JA ISO/IEC 27002 Code of practice JA JA Översyn på G, hette tidigare 17799 ISO/IEC 27003 Implementation guidance NEJ NEJ JA Klar Hösten 2009 ISO/IEC 27004 Measurements NEJ JA Klar Hösten 2009 ISO/IEC 27005 Risk Management JA NEJ Ny 2008 ISO/IEC 27006 Certifications JA NEJ ISO/IEC 27011 Sector specific Telecommuncations JA NEJ Ny 2008 7 7
Vad finns idag och vad är under utveckling? Standard Namn Utgiven? Under Utveckling? ISO/IEC 27000 ISO/IEC 27001 Overview and vocabulary ISMS- Requirements Anmärkning NEJ JA Klar 2009 JA ISO/IEC 27002 Code of practice JA JA Översyn på G, hette tidigare 17799 ISO/IEC 27003 Implementation guidance NEJ NEJ JA Klar Hösten 2009 ISO/IEC 27004 Measurements NEJ JA Klar Hösten 2009 ISO/IEC 27005 Risk Management JA NEJ Ny 2008 ISO/IEC 27006 Certifications JA NEJ ISO/IEC 27011 Sector specific Telecommuncations JA NEJ Ny 2008 7 8
Områden i ISO 27001/27002 Ledningens styrande dokumentation (policy) Säkerhetsorganisation Ansvar för tillgångar Informationsklassning Personal och säkerhet Fysisk och miljörelaterad säkerhet
Områden i ISO 27001/27002 Styrning av drift och kommunikationer Styrning av åtkomst Anskaffning, utveckling och underhåll av informationssystem Incidenthantering Kontinuitetsplanering Efterlevnad Utomstående part
PDCA, processbeskrivning Planera (Plan) Genomföra (Do) Förbättra (Act) Följa upp (Check) 81
Ändå är det inte glasklart Nummer Beskrivning Åtgärd A.9.2.4 Underhåll av utrustning Utrustning skall underhållas på korrekt sätt för att säkerställa dess fortsatta tillgänglighet och riktighet. A.10.1.1 Dokumenterade driftrutiner Driftrutiner skall dokumenteras, underhållas och göras tillgängliga för alla användare som behöver dem.
Några centrala förutsättningar och aktiviteter
Riskanalys och motivation
Regelverk/införande
Säkerhetsorganisation
Ansvar och roller
Informationsklassning
Informationsklassning vad är det? Dokumentklassning? Sekretessklassning? Systemklassning? Informationsklassning en process!
Kriterier i infoklassning Sekretess Tillgänglighet Spårbarhet Riktighet
Grund för informationssäkerheten Resurs
Grund för informationssäkerheten Resurs
Informationsklassning Anvisning för sekretessklassning Överföringslista infoklass - sekretessklass Lathund för informationshantering (säkerhetsnivåer) Anvisning för informationshantering Riktlinjer Normskala Sekretessklassning Instruktion om att märka dok Hantera dok Dokument Förteckning över information Informationsklassning Protokoll från infoklassning Digitalt/ dokument Överföringslista infoklass - systemsäkerhets -nivå Beskrivning av systemsäkerhetsnivåer Anvisning för systemsäkerhetsnivåer Riktlinjer Digital information Överföra resultat till systemsäkerhetsnivå Instruktion om att hantera info Hantera info Beskrivning av mål för se,sp,ri, ti för respektive nivå
Förenklad bild Hanteringsregler Klassning Systemklasser
Förenklad bild Normskala Hanteringsregler Klassning Systemklasser
Normskala Konsekvenser Lindriga (L) Allvarliga (A) Mycket allvarliga (M) I pengar SEK Upp till 100 000 Upp till 500 000 Över 500 000 I strid mot lagar m m I strid mot interna Strider mot regler lagstiftning Andra konsekvenser Kritik i styrelsen Negativ kritik i massmedia. Mycket negativ kritik i riksmedia. Omfattande produktionsstörningar.
Koppling informationsklassning sekretessklassning (exempel) Konsekvenser Lindriga Allvarliga Mycket allvarliga Säkerhetsnivå Grund Grund Hög Mycket Hög Sekretessklass på dokument Public Proprietary Confidential Secret
Informationsklassning - Praktiskt exempel Riktighet Sekretess Spårbarhet Tillgänglighet 1 Tillgänglighet 2 Kallelse L L L L L Kundavtal M M M L M
Koppling mellan konsekvenser och säkerhetsnivåer Konsekvenser Lindrig (L) Allvarlig (A) Mycket allvarlig (M) Säkerhetsnivå Grundnivå (g) Hög nivå (h) Mycket hög nivå (m)
Hantering av dokument
I Exempel ur hanteringsregler Återanvändning Personlig datamedia Blank/publi c Ingen Inga restriktioner Makuleringssätt/destruktion Restricted Grund Får återanvändas internt Confidential Hög Återanvändning får endast ske efter radering och överskrivning med annan information. Secret Mycket Hög Ingen återanvändning, skall destrueras. Dokument Inga restriktioner Skall destrueras Skall destrueras i pappersdestruktör alt. genom bränning Skall destrueras i pappersdestruktör alt. genom bränning Personlig datamedia Inga restriktioner Inga restriktioner Förstörs maskinellt eller genom bränning. Förstörs maskinellt eller genom bränning.
Systemklassning Systemklassning är egentligen inte en klassning utan ett sätt att samordna tekniska åtgärder
Exempel på tekniska åtgärder för god sekretess, riktighet, spårbarhet Autentisering Loggning Kryptering Brandväggar (kommunikationsfilter)
Exempel på tekniska åtgärder för god tillgänglighet Redundans i nät och komponenter Säkerhetskopiering Reservkraft Program mot skadlig kod
Exempel på systemklasser Mycket hög nivå Hög nivå Riktighet, sekretess, spårbarhet Hög nivå Samtliga Hög nivå Tillgänglighet Grundnivå
Hur kan din organisation ha användning för informationsklassning?
Kontinuitetsplanering
Incidenthantering
Relation med utomstående
Efterlevnad och uppföljning