Verktygsstöd för Informationssäkerhet KLASSA

Relevanta dokument
Strukturerat informationssäkerhetsarbete

Ledningens informationssäkerhet

Informationsklassning och systemsäkerhetsanalys en guide

Rätt informationssäkerhet är A&O vid införande av välfärdsteknologi. Jeanna Thorslund, Sveriges Kommuner och Landsting Thomas Nilsson, Certezza

Informationssäkerhet och SKLs verktyg KLASSA. Avdelningen för Digitalisering Sektionen för Informationshantering och Digital Arbetsmiljö (IDA)

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

Irene Reuterfors-Mattsson Avdelningen för juridik

Dnr

Roller för information behöver också fastställas, använd gärna nedanstående roller som kommer från SKL och deras verktyg

Kommunal författningssamling för Smedjebackens kommun. Informationssäkerhetspolicy. 97 Dnr 2016/00447

Informationssäkerhet, säker identifikation och KLASSA. Webbseminarium

POLICY FÖR E-ARKIV STOCKHOLM

Riktlinjer för dataskydd

LÄS 1. Åtta sidor om sekretess (Socialstyrelsen) EE316B4AD438/10638/

Informationssäkerhet en förutsättning för effektiv digitalisering. Moderator: William Linnefell, Ekonomistyrningsverket

Informationssäkerhetspolicy

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

Riktlinjer. Informationssäkerhetsklassning

Sekretessförbindelse för VFU i Ekerö kommun

Svar på remiss, Så stärker vi den personliga integriteten, (SOU 2017:52)

Författningar, Hälso- och sjukvårdspersonal, legitimation och patientsäkerhet

Detsamma gäller i annan medicinsk verksamhet, såsom rättsmedicinsk och rättspsykiatrisk undersökning, insemination, befruktning utanför kroppen,

Informationssäkerhetspolicy för Ånge kommun

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

I n fo r m a ti o n ssä k e r h e t

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad:

Svensk författningssamling

Dokumentation och sekretess hos de medicinska delarna av elevhälsan Skolsköterskekongress 2012

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Juridik och informationssäkerhet

Informationssäkerhetspolicy för Ystads kommun F 17:01

Federering i praktiken

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

Verksamhetsplan Informationssäkerhet

Informationssäkerhetspolicy IT (0:0:0)

Metod för klassning av IT-system och E-tjänster

Informationskartläggning och Säkerhetsklassning

Informationssäkerhetspolicy inom Stockholms läns landsting

Hur värnar kommuner digital säkerhet?

Observera att sekretessförbindelsen ska medtas till sammanträdet

PATIENTSÄKERHET RIKTLINJE FÖR PATIENTSÄKERHET

Hälso- och sjukvårdsdokumentation

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

TYSTNADSPLIKT OCH PERSONUPPGIFTER

Modell för klassificering av information

Policy för informations- säkerhet och personuppgiftshantering

Informationssäkerhet en patientsäkerhetsfråga. Maria Jacobsson Socialstyrelsen

Informationssäkerhetspolicy för Katrineholms kommun

POLICY FÖR E-ARKIV STOCKHOLM

Behovs- och riskanalys behörigheter i Procapita HSL

IVO:s tillsyn över personal inom hälso- och sjukvård. Innehållsanalys av avslutade ärenden 2017

Säker digital utveckling i kommuner. Välfärdskonferens 2018

E-strategi för Strömstads kommun

Åtta sidor om sekretess. inom hälso- och sjukvården och socialtjänsten

Offentlighets- och sekretesslagen (2009:400) OSL (Prop. 2008/09: 150)

Folktandvården Stockholms län AB. Tandsköterskedagen

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Svensk författningssamling

Strategi för vårddokumentation i LiÖ

Informationssäkerhetspolicy

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

Informationssäkerhetspolicy för Nässjö kommun

Riktlinjer för IT-säkerhet i Halmstads kommun

Informationssäkerhetspolicy KS/2018:260

Riktlinjer för Informationssäkerhet Falkenbergs Kommun Kommunledningskontoret

Anmälningsskyldighet med tillhörande uppgiftsskyldighet

Riktlinjer informationssäkerhetsklassning

15 kap. Sekretess till skydd för rikets säkerhet eller dess förhållande till andra stater eller mellanfolkliga organisationer.

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Boråsregionens ehandlingsplan

Svensk författningssamling

Sekretess, lagar och datormiljö

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

VÄGLEDNING INFORMATIONSKLASSNING

Dokumentation Hälso- och sjukvård HSL

Strukturerad informationshantering

Västkom. Göteborg 18 november Del 1 av 2. Stephen Dorch, ISMP

Riktlinje för hälso- och sjukvårdsdokumentation

Riktlinjer för hälso- och sjukvårdsdokumentation

Tillsyn - äldreomsorg

Informationssäkerhetspolicy

Information till legitimerade tandhygienister. Kvalitetssäkra patientjournalen

Herman Pettersson Inspektör / Jurist. Karin Dahlberg Inspektör / Nationell ämnessamordnare för elevhälsa på IVO

Katrineholms kommuns. Informationssäkerhetspo licy. IZatrineholms kommun "- Antagen av kommunfullmäktige , 106

Från: Kent Sangmyr och Charlene Holmström Datum: 9 maj 2012 Angående: Utredning angående regelverket kring vårdens intyg till Försäkringskassan

Informationssäkerhet och earkiv Rimforsa 14 april 2016

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Informations- och IT-säkerhet i kommunal verksamhet

Informationsklassning , Jan-Olof Andersson

Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

I Central förvaltning Administrativ enhet

Rutin för utlämnande och sekretessbedömning av allmän handling vid kommunstyrelsens förvaltning

Att patientens delaktighet i vården ska kunna öka genom ett för denna uppgift anpassat ITstöd.

Kort om Socialstyrelsen

Granskning av IT-säkerhet

Rutiner för säker roll och behörighet SLUTRAPPORT Version 1,0. Kalmar, Sakkunnig, Stephen Dorch. Projektledare, Ulrika Adolfsson

Dnr Fi2005/398

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Transkript:

Verktygsstöd för Informationssäkerhet KLASSA

Lidingö stad Styra Stötta Starta Björn Söderlund CIO och CISO Stadsledningskontoret, Lidingö stad 08-731 30 75 bjorn.soderlund@lidingo.se www.lidingo.se Twitter: @bjorn_lidingo 1. DIGITALISERING? 2. Informationssäkerhet 3. earkiv 4. ehälsa 5. eblomlåda 6. LIKA 7. etjänsteutveckling 8. Öppna Data 9. 10.. 11. 12. enkäter

Informationssäkerhet?

Informationssäkerhet? Huah! ISO 27001, ISO 27002, NIST SP800-53, DSF, PUL, Lagrum många lagrum.

Svära i kyrkan

Reflektioner vad är INTE informationssäkerhet?

Reflektioner borde vi prata mer vi än vi och dom?

Reflektioner Om de flesta driver utveckling mot fler dokument, krav, formalia vem är motvikt?

Reflektioner vem tar bollen att göra det svåra lättare?

Koncept

Dokumentation

Lagrum som ofta påverkar användning av it 7 kap 3 Konkurrens mellan sekretessbestämmelser 18 kap. Sekretess till skydd främst för intresset av att förebygga eller beivra brott Förundersökningar, underrättelseverksamhet, m.m. 1-4, 8-10, 12 19 kap. Sekretess till skydd för det allmännas ekonomiska intresse Myndighets affärsverksamhet m.m. 3 21 kap. Sekretess till skydd för uppgift om enskilds personliga förhållanden oavsett i vilket sammanhang uppgiften förekommer Förundersökningar m.m. Underrättelseverksamhet m.m Myndigheter som biträder åklagarmyndigheter m.fl Sekretessbrytande bestämmelser. Säkerhets- eller bevakningsåtgärd Chiffer, kod, m.m. Körkorts referensnummer Spridning av kärnvapen, m.m. Upphandling m.m. Hälsa och sexualliv Sekretessbrytande bestämmelse Förföljda personer, m.m. Adress, telefon, m.m. Sekretessbrytande bestämmelse Hälsotillstånd m.m. 1, 2,3,4, 7 Behandling i strid med personuppgiftslagen 23 kap. Sekretess till skydd för enskild i Förskola och viss annan pedagogisk verksamhet utbildningsverksamhet, m.m. Fritidshem och viss annan pedagogisk verksamhet 2-5 Specialpedagogisk stödverksamhet Annan utbildningsverksamhet 25 kap Sekretess till skydd för enskild i verksamhet Hälso- och sjukvård och annan medicinsk verksamhet som avser hälso- och sjukvård, m.m. Sammanhållen journalföring Omprövning och tillsyn Hälso- och sjukvård m.m. Patientnämndsverksamhet 1-6, 8, 10-11, 13-14 Omhändertagande av patientjournal Sekretess i förhållande till den vård- eller behandlingsbehövande Inspektionen för vård och omsorg Sekretess gäller hos Socialstyrelsen i ärende om legitimation, särskilt förordnande att utöva yrke eller bevis om specialistkompetens Hälso- och sjukvårdens ansvarsnämnd i ärende om prövotid, återkallelse av legitimation eller annan behörighet, Undantag från sekretess Sekretessbrytande bestämmelser 26 kap 1-8, 10 Socialtjänst och därmed jämställd verksamhet Underårigs vistelseort Familjerådgivning Omhändertagande av personakt Anmälningar m.m. uppgift om en enskilds personliga förhållanden i anmälan i ärende om klagomål mot kommunal hälso- och sjukvård eller dess personal Undantag från sekretess Sekretessbrytande bestämmelser 31 kap 16-19 Affärsförbindelse med myndighet Affärsförbindelse med vissa bolag m.m. Överföring av sekretess Dispens av regeringen

Hur skyddsvärd är en informationstillgång? Vem gör bedömningen? Hur görs bedömning? Vad leder bedömningen till? Vem följer upp?

Vad KLASSA är Handlingsplan för informationssäkerhet för enskilda system med konkreta krav på systemförvaltningsarbete utifrån informationsklassning Informationssäkerhets-relaterade krav vid upphandling utifrån informationsklassning. Med syfte att Minska behov av utbildning Naturalisera i praktiskt arbete Förenkla Vara konkret och tydlig Skapa likvärdig bedömning

Vad KLASSA inte är Ledningsmodell för informationssäkerhet IT säkerhet Risk och sårbarhetsanalys Kontinuitetsplan Katastrofplan Strategi för informationssäkerhetsarbete Upphandlingskrav Systemförvaltningsplan Enkät Utbildningsmaterial

Mognadstrappa Best in Class Good enough KLASSA? Wait and see

Infoklassning

Process - Informationsklassning INFORMATIONS- INFORMATIONS- TILLGÅNG INFORMATIONS- TILLGÅNG TILLGÅNG KRAV METOD KLASSIFICERA KLASSAD INFORMATION S-TILLGÅNG

Tillämpning av resultatet KLASSA Kontrollkatalog Klassning Mönster Riskanalys Åtgärder

Fyra kravområden Konfidentialitet Riktighet Spårbarhet Tillgänglighet

Klassning Fyra kravområden Konfidentialitet att informationen kan åtkomstbegränsas Riktighet att informationen ska vara tillförlitlig, korrekt och fullständig Tillgänglighet att informationen ska kunna nyttjas efter behov, i förväntad utsträckning samt av rätt person med rätt behörighet Spårbarhet att aktiviteter som rör informationen kan spåras

Klassning Fyra konsekvensnivåer Allvarlig skada ex massiv informationsförlust, verksamhetsförlust, oöverskådliga konsekvenser, samt fara för liv och hälsa Betydande skada ex tillgänglighetsstörningar, brott mot regelverk, rättsliga krav och avtal, samt förlust av skapat förtroende Måttlig skada ex minskad förmåga att genomföra verksamhetens uppgifter, men effektiviteten är påvisbart reducerad Försumbar skada

Klassning - Exempel System Applikation Informations -tillgång Konfidentialitet Riktighet Tillgänglighet Spårbarhet Journalsystem Allvarlig skada Allvarlig skada Inbrottslarm Måttlig skada Måttlig skada Pressmeddelande (vid utskick) Försumbar skada Betydande skada Betydande/ Måttlig skada Betydande skada Måttlig skada Allvarlig skada Betydande skada Försumbar skada

Övning - Nattillsyn Allvarlig skada ex massiv informationsförlust, verksamhetsförlust, oöverskådliga konsekvenser, samt fara för liv och hälsa Betydande skada ex tillgänglighetsstörningar, brott mot regelverk, rättsliga krav och avtal, samt förlust av skapat förtroende Måttlig skada ex minskad förmåga att genomföra verksamhetens uppgifter, men effektiviteten är påvisbart reducerad Informationstillgång Konfidentialitet Riktighet Tillgänglighet Spårbarhet Nattillsyn????

Så här kommer KLASSA in

Mittköping

Struktur Konfidentialitet Spårbarhet Tillgänglighet Riktighet 1 3 2 4 Uppfyller helt Uppfyller delvis Uppfyller inte alls Ej relevant Kriterie nivå 1 Systemförvaltning Kriterie nivå 2 Kriterie nivå 3 (Kriterie nivå 4) Handlingsplan systemförvaltning Skall/ Bör Upphandling Krav nivå 1 Krav nivå 2 Krav nivå 3 (Krav nivå 4) Infosäk-krav Upphandling

Målgrupp IT verksamhet Leverantörer Systemägare Upphandlare System förvaltare Informations säkerhets ansvariga Användare Myndigheter Ledning

Driftansvarig Infosäksamordnare Systemförvaltare

Jurist Infoägare Driftansvarig Systemägare Specialist Infosäksamordnare Systemförvaltare

Följ upp Klassa informationen Genomför handlingsplan Ta ställning till krav

Följ upp Klassa informationen Genomför handlingsplan Ta ställning till krav

Tips Samordnare Tänk information i systemet- avgränsa! Tempo- målet är handlingsplanen Övertolka inte formuleringar Inte så många användare- använd Excel! Högre krav leder till merarbete

Erfarenheter från Lidingö Tredje varvet- Uthållighet. Trendmätning spelar ingen roll- nästa steg är fokus! Skapa teaser ( - Nå 80% så slipper ni oss ) Respektera svårighet att prioritera infosäkarbete Får inte alla att göra rätt, når inte alla Vi har ett mellanår 2016. Andra frågor tar fokus. Fokusera på verksamhetssystem- inte infrastruktursystem. Tänk att Excel kan göra mycket som är komplext i ett system

Någonting gör vi i alla fall rätt!

Demo dags! detta kommer aldrig fungera http://demo.nordicpeak.com/klassa/login?redi rect=%2fmyimpactassesments%2fimpactasses ment%2f2#clear

Styrgrupp Christer Widmark @skellefteå.se Fredrik Andersson @norrkoping.se Joachim Alling @stockholm.se Håkan Lindstrom @liv.se Josefina Sanchez Eliasson @lund.se vakant Stephen Dorch @rfkl.se Jeanna Thorslund Jeanna @skl.se Systemägare Jörgen Sandström @skl.se Sponsor Björn Söderlund @lidingo.se tf Systemägare Calissendorff Eva @skl.se Systemförvaltare KONSULTSTÖD Nilsson Thomas @certezza.net

Ny version KLASSAv2 Oktober..nåja November

Tack för mig också!

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss