Informationssäkerhet en förutsättning för effektiv digitalisering. Moderator: William Linnefell, Ekonomistyrningsverket

Relevanta dokument
Nya krav på systematiskt informationssäkerhets arbete

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Välkommen till enkäten!

Informationssäkerhet utifrån nya krav i förordningen och NIS-direktivet, vilket stöd finns för kommunerna

Regelverk och myndighetsstöd för ökad informationssäkerhet inom dricksvattenförsörjningen (NIS) Anders Östgaard

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

Myndigheten för samhällsskydd och beredskaps författningssamling

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Konsekvensutredning rörande föreskrifter och allmänna råd om statliga myndigheters rapportering av it-incidenter

Hur värnar kommuner digital säkerhet?

Konsekvensutredning rörande reviderade föreskrifter och allmänna råd om statliga myndigheters informationssäkerhet

Gräns för utkontraktering av skyddsvärd information

Informationssäkerhet för samhällsviktiga och digitala tjänster

Myndigheten för samhällsskydd och beredskaps författningssamling

NIS-direktivet. Nya krav på informationssäkerhet i samhällsviktiga och digitala tjänster.

Verksamhetsplan Informationssäkerhet

Svensk författningssamling

Informationssäkerhetspolicy

Utredningen om genomförande av NIS-direktivet

Informationssäkerhetspolicy KS/2018:260

Svensk författningssamling

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Myndigheten för samhällsskydd och beredskaps författningssamling

NIS-direktivet - Nya krav på informationssäkerhet i samhällsviktiga och digitala tjänster

EU:s dataskyddsförordning

Programmet för säkerhet i industriella informations- och styrsystem

Informationssäkerheten i den civila statsförvaltningen

Policy för informationssäkerhet

Stöd för arbetet med regleringsbrevsuppdrag Informationssäkerhet i RSA

Myndigheten för samhällsskydd och beredskap

Remissvar till Ju2015/2650/SSK, betänkandet SOU 2015:23 Informations- och cybersäkerhet i Sverige Strategi och åtgärder för säker information i staten

Justitiedepartementet Stockholm

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

MSB:s vision. Ett säkrare samhälle i en föränderlig värld

Strategi för förstärkningsresurser

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy för Umeå universitet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Nationell risk- och förmågebedömning 2017

NIS-direktivet. 4 september Johanna Linder Martin Gynnerstedt

NIS-direktivet. - Därför är NIS viktigt för kommuner och landsting. 5 september 2018 Christoffer Karsberg

Yttrande över betänkandet Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36) 28 LS

Policy för informations- säkerhet och personuppgiftshantering

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

- Vad du behöver veta om NIS

INFORMATIONSSÄKERHET OCH DATASKYDD

myndigheter En andra granskning av informationssäkerhet i staten RiR 2016:8 Informationssäkerhetsarbete

NIS-reglering.

Informations- och IT-säkerhet i kommunal verksamhet

Översikt av GDPR och förberedelser inför 25/5-2018

Samhällets informationssäkerhet

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Kommunal författningssamling för Smedjebackens kommun. Informationssäkerhetspolicy. 97 Dnr 2016/00447

Riktlinjer för dataskydd

Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Energimyndigheten och NIS-direktivet Panndagarna Tommy Wahlman Projektledare för införande av NIS-direktivet

Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE

I Central förvaltning Administrativ enhet

Verket för förvaltningsutvecklings författningssamling ISSN Utgivare: Lena Jönsson, Verva, Box 214, Stockholm

Att säkerställa informationssäkerhet vid upphandling

Myndigheten för samhällsskydd och beredskap MSB Informationssäkerhet

Kommittédirektiv. Genomförande av EU-direktiv om åtgärder för en hög gemensam nivå av säkerhet i nätverk och informationssystem. Dir.

Informationssäkerhetspolicy

Vad finns det för stöd kommunerna? Pål Resare, Förbundsjurist Sveriges Kommuner och Landsting

EU:s allmänna dataskyddsförordning:

Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36) Remiss från Justitiedepartementet Remisstid den 24 augusti

Netnod inkommer härmed med följande synpunkter på Remiss av betänkandet Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36)

Informationssäkerhetspolicy för Ystads kommun F 17:01

Dataskyddsförordningen

Personuppgiftsbiträdesavtal

PERSONUPPGIFTSBITRÄDESAVTAL

Dataskyddsförordningen

Koncernkontoret Enheten för säkerhet och intern miljöledning

Remissvar Så stärker vi den personliga integriteten (SOU 2017:52)

Så stärker vi den personliga integriteten (SOU 2017:52)

Svensk författningssamling

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet.

PERSONUPPGIFTSBITRÄDESAVTAL

Myndigheten för samhällsskydd och beredskap MSB Samhällets informationssäkerhet

Sårbarhetsanalyser. för kommuner. - numera en nödvändighet

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

Rätt informationssäkerhet är A&O vid införande av välfärdsteknologi. Jeanna Thorslund, Sveriges Kommuner och Landsting Thomas Nilsson, Certezza

Informationssäkerhetspolicy för Ånge kommun

MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE Bil 7

Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

Dataskyddsförordningen och kvalitetsregister

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

De nya EU-reglernas krav på molnsäkerhet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Sårbarhetsanalyser. för kommuner. - numera en nödvändighet

Checklista inför att den nya Dataskyddsförordningen, GDPR, träder i kraft den. 25 maj Detta är i princip taget från SKLs checklista.

Ett eller flera dataskyddsombud?

Förslag till Myndigheten för samhällsskydd och beredskaps föreskrifter om kommuners och landstings risk- och sårbarhetsanalyser

Vägledning om rapportering av incidenter för leverantörer av digitala tjänster enligt NISregleringen

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Transkript:

Informationssäkerhet en förutsättning för effektiv digitalisering Moderator: William Linnefell, Ekonomistyrningsverket

Informationssäkerhet en utmaning eller ett stöd i digitaliseringsarbetet? ESV-dagen 2016 Helena Andersson Verksamheten för cybersäkerhet och skydd av samhällsviktig verksamhet Myndigheten för samhällsskydd och beredskap Helena.andersson@msb.se

Vad vill vi uppnå med informationssäkerhet? Konfidentialitet Tillgänglighet Riktighet Spårbarhet

Snabbkurs informationssäkerhet Informationssäkerhet Administrativ säkerhet Teknisk säkerhet -metoder -regelverk IT-säkerhet Fysisk säkerhet -organisation - kommunikation - tillträdesbegränsning -utbildning - tekniska säkerhetsåtgärder - skydd för datorhallar -kontroll/uppföljning

Utmaningen

Informationssäkerhets-arbete en process Informationsklassning Följa upp Kartlägga krav Vidta åtgärder Riskanalys

Central reglering Vad ska skyddas respektive hur ska säkerhetsarbetet bedrivas? Personuppgiftslagen/dataskyddsförordningen Säkerhetsskyddslagen Offentlighets- och sekretesslagen Förordning om krisberedskap och höjd beredskapmsb:s föreskrifter om statliga myndigheters informationssäkerhet MSB:s föreskrifter om statliga myndigheters, landstings respektive kommuners risk- och sårbarhetsanalyser Socialstyrelsens föreskrifter Finansinspektionens föreskrifter M fl

20 Förordning (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap Informationssäkerhet 19 Varje myndighet ansvarar för att egna informationshanteringssystem uppfyller sådana grundläggande och särskilda säkerhetskrav att myndighetens verksamhet kan utföras på ett tillfredsställande sätt. Därvid ska behovet av säkra ledningssystem särskilt beaktas. 21 föreskriftsrätt för MSB

Informationssäkerheten hos statliga myndigheter några orosmoln Kartläggning av informationssäkerhetsarbetet i statliga myndigheter 2014, drygt 95% svarsfrekvens Hos många är det otydligt vad gäller vem som är ansvarig för informationsklassning och riskanalys, även otydligt när och hur det ska göras 65% av myndigheterna (som svarat på alla frågorna i enkäten) har inte någon kontinuitetsplan, de som har en sådan plan övar den sällan. Nästan 40% av myndigheterna (de som svarat på alla frågorna i enkäten) uppger att de som leder och samordnar informationssäkerhetsarbetet saknar tillräcklig kompetens, resurser eller mandat för att utföra uppdraget. Läs mer: https://www.msb.se/sv/produkter-- tjanster/publikationer/publikationer-fran-msb/en-bildav-myndigheternas-informationssakerhetsarbete-2014/

Nya föreskrifter (4 april 2016) om statliga myndigheters informationssäkerhet Gäller statliga myndigheter (några undantag) Ställer krav på systematiskt informationssäkerhetsarbete Ställer krav på ledningssystem för informationssäkerhet Ställer krav på god säkerhetskultur Ställer krav på itincidenthantering Ställer krav på kontinuitetshantering

Syftet med den obligatoriska it- incidentrapporteringen är att skapa en bred och samlad rapportering av it-incidenter i samhället Syfte: Att skapa en systematisk, bred och samlad rapportering av it-incidenter i samhället. Detta för att öka samhällets förmåga att förebygga, motstå, återhämta och lära av it-incidenter och it-relaterade kriser. Ett nationellt system för it-incidentrapportering möjliggör att: Skapa en samlad lägesbild Avvärja och begränsa Lära och återföra Arbeta förebyggande Rättvisande och aktuell lägesbild på nationell nivå Skapar beslutsunderlag Säkerställa snabbt agerande vid inträffade itincidenter genom att sprida information i samhället Samordna åtgärder Lindra effekter Kanalisera information till berörda myndigheter Ge underlag för rapportering till regeringen Ge stöd för internt informationssäkerhetsarbete Skapa underlag för långsiktigt förebyggande och ökad krisberedskap Ovanstående fördelar kommer att realiseras successivt

Personuppgiftslag (1998:204) Säkerhetsåtgärder 31 Den personuppgiftsansvarige skall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna skall åstadkomma en säkerhetsnivå som är lämplig med beaktande av a) de tekniska möjligheter som finns, b) vad det skulle kosta att genomföra åtgärderna, c) de särskilda risker som finns med behandlingen av personuppgifterna, och d) hur pass känsliga de behandlade personuppgifterna är. När den personuppgiftsansvarige anlitar ett personuppgiftsbiträde, skall den personuppgiftsansvarige förvissa sig om att personuppgiftsbiträdet kan genomföra de säkerhetsåtgärder som måste vidtas och se till att personuppgiftsbiträdet verkligen vidtar åtgärderna.

Dataskyddsförordning Träder ikraft 25 maj 2018 Förstärkning av enskildas rättigheter och tydliggörande av skyldigheter för de som behandlar personuppgifter Skarpare säkerhetskrav Några nyheter: rätt att bli glömd, anmäla dataskyddsincidenter, privacy by design m fl Skadeståndsansvar, böter 10 20 milj

Säkerhet i samband med behandlingen Art 32. PUA och PUB ska vidta lämpliga tekniska och organisatoriska åtgärder för lämplig säkerhetsnivå inkl Pseudonymisering och kryptering Säkerställa konfidentialitet, integritet, tillgänglighet och motståndkraft hos behandlingssystemen och tjänsterna Regelbundet testa, undersöka och utvärdera effektiviteten hos tekniska och organisatoriska åtgärder Riskbaserat val av säkerhetsnivå Certifiering kan användas som garant Säkerställa efterlevnad varje fysisk person Art 33. Anmälan av en personuppgiftsincident Art 34. Information till den registrerade om en personuppgiftsincident

EUROPAPARLAMENTETS OCH RÅDETS DIREKTIV (EU) 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen På EU-nivå.. Ska vara införlivat i nationell lag 10 maj 2018 Ta fram strategier, policys och regelverk i syfte att uppnå och bibehålla en hög nivå av nät- och informationssäkerhet. Nationellt system för incidentrapportering (offentliga och privata aktörer inom sektorerna energi, transporter, bank, finans, hälso- och sjukvård och vattenförsörjning ) samt för digitala samhällstjänster. Funktioner för tillsyn och sanktioner kopplat till direktivet.

Några medskick rörande Informationssäkerhet en förutsättning för effektiv statsförvaltning och digitalisering integrera tidigt i processerna människan och organisationen i centrum ökat fokus och fler krav stöd finns för arbetet

Några tips Arbeta stegvis: Nya digitaliseringsprojekt tar tid och i varje steg finns anledning att beakta informationssäkerhetsfrågorna Samverka: Skapa grupper med andra yrkesgrupper jurister, arkivarie, personuppgiftsombud, it-drift, nätdrift, upphandling, revision, projektkontor Dokumentera nuläge: Vad har redan gjorts, bygg vidare och utveckla det Kartlägg rättslig reglering: Dataskyddsförordningen och annan reglering ställer krav på informationshantering och säkerhet Säkerhetskultur: Satsa på kompetenshöjning i organisationen Nätverka: Nyttja kompetensen i de många nätverk som finns.

Stöd för informationssäkerhetsarbetet finns bl.a. på informationssäkerhet.se och msb.se På informationssäkerhet.se finns: Metodstöd för ledningssystem Stöd & vägledning Kompetensutveckling Lagar och regelverk Rapporter och studier Nyheter Webbplatsen är framtagen av MSB i samverkan med FRA, Försvarsmakten, Säkerhetspolisen, FMV, PTS och Polisen

Frågor och tack! Helena Andersson Verksamheten för cybersäkerhet och skydd av samhällsviktig verksamhet Helena.andersson@msb.se

Tack!

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss