Några myndigheters rapportering om informationssäkerhet i årsredovisningen INFORMATIONSSÄKERHETEN ÄR TILLRÄCKLIG



Relevanta dokument
Ledningssystem för Informationssäkerhet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola Sammanfattning

Ledningssystem för Informationssäkerhet

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Molntjänster och utkontraktering av kritisk verksamhet lagar och regler. Alireza Hafezi

Informationssäkerhetspolicy

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

IT-säkerhetspolicy. Antagen av kommunfullmäktige

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Plan för informationssäkerhet vid Högskolan Dalarna 2015

Välkommen till enkäten!

Bilaga till rektorsbeslut RÖ28, (5)

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

Informationssäkerhetspolicy

myndigheter En andra granskning av informationssäkerhet i staten RiR 2016:8 Informationssäkerhetsarbete

Riktlinjer för IT-säkerhet i Halmstads kommun

Myndigheten för samhällsskydd och beredskaps författningssamling

REVISION AV OUTSOURCAD VERKSAMHET - EXEMPEL UR VERKLIGHETEN

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Gräns för utkontraktering av skyddsvärd information

Verksamhetsrapport. Kommunens säkerhetsarbete 2014

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Informations- och IT-säkerhet i kommunal verksamhet

Revisionsrapport. Bolagsverkets informationssäkerhet. 1. Inledning Bolagsverket SUNDSVALL.

Svensk författningssamling

Verket för förvaltningsutvecklings författningssamling ISSN Utgivare: Lena Jönsson, Verva, Box 214, Stockholm

Dnr

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

1 (7) Arbetsgången enligt BITS-konceptet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Organisation för samordning av informationssäkerhet IT (0:1:0)

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Finansinspektionens författningssamling

Policy för informations- säkerhet och personuppgiftshantering

Bilaga 10 Säkerhet. Dnr: / stockholm.se. Stadsledningskontoret It-avdelningen

Myndigheten för samhällsskydd och beredskaps författningssamling

Informationssäkerhetspolicy inom Stockholms läns landsting

Riktlinjer för säkerhetsarbetet

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Informationssäkerhetspolicy för Umeå universitet

Granskning av Polismyndighetens informationssäkerhetsarbete

Dnr UFV 2017/93. Informationssäkerhet. Riktlinjer för säkerhetsarbetet vid Uppsala universitet. Fastställda av Universitetsdirektören

Ledningens genomgång

Informationssäkerhetspolicy för Ystads kommun F 17:01

Fördelning av ansvar för informationssäkerhet. Version: 1. Beslutsinstans: Regiondirektören

Remissvar till Ju2015/2650/SSK, betänkandet SOU 2015:23 Informations- och cybersäkerhet i Sverige Strategi och åtgärder för säker information i staten

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Informationssäkerhetspolicy för Nässjö kommun

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Svar på revisionsskrivelse informationssäkerhet

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Finansinspektionens författningssamling

ISO/IEC och Nyheter

Koncernkontoret Enheten för säkerhet och intern miljöledning

Informationssäkerhetspolicy

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Övergripande granskning av ITverksamheten

Myndigheten för samhällsskydd och beredskaps författningssamling

Risk- och säkerhetspolicy. Tyresö kommun

Datum Ert datum

Informationssäkerhetspolicy KS/2018:260

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Informationssäkerheten i den civila statsförvaltningen

Finansinspektionens författningssamling

Ledningssystem vad varför hur. Ledningssystem JLL. Roland Frisdalen , Version 0.2

It-kostnadsuppdraget

Svensk författningssamling

Konferens om risk-och sårbarhetsanalyser 2015 Stockholm -World TradeCenter -4 maj 2015

Justitiedepartementet Stockholm

Intern styrning och kontroll. Verksamhetsåret 2009

INFORMATIONSSÄKERHET 1 INLEDNING MÅL FÖR IT-SÄKERHETSARBETET... 2

Input till IT-risker i internrevisorns riskanalys. Daniel Gräntz 20 maj, GRC 2015

Svensk Standard SS ISO/IEC SS

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr Kommunikation som tjänst - A

Informationssäkerhetspolicy

Nya krav på systematiskt informationssäkerhets arbete

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun

Regler och instruktioner för verksamheten

Administrativ säkerhet

Informationssäkerhetspolicy

Förstudie: Övergripande granskning av ITdriften

Informationssäkerhet en förutsättning för effektiv digitalisering. Moderator: William Linnefell, Ekonomistyrningsverket

Vervas föreskrift om statliga myndigheters arbete med säkert elektroniskt informationsutbyte. Wiggo Öberg, tidigare Verva nu KBM,

Ledningssystem för IT-tjänster

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

Policy för intern styrning och kontroll

Informationssäkerhet och earkiv Rimforsa 14 april 2016

Policy för informationssäkerhet

NIS-direktivet - Nya krav på informationssäkerhet i samhällsviktiga och digitala tjänster

Hantering av IT-risker

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Informationssäkerhet. Ett prioriterat granskningsområde. Ann-Marie Dahlros,

Svensk Kvalitetsbas kravstandard (2:2019) 1. Utfärdare 2. Revisorer 3. Verksamheter. Antagen den 15 maj 2019

Granskning av informationssäkerhet

Kontinuitetshantering i samhällsviktig verksamhet

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet

Transkript:

Underlag 1. Några myndigheters rapportering om informationssäkerhet i årsredovisningen Årsredovisningar år 2009 Läkemedelsverket Ledningssystemet för informationssäkerhet SS-ISO/IEC 27001:2006 är under uppbyggnad. Ekobrottsmyndigheten (EBM), Premiepensionsmyndigheten (PPM), Riksgälden, Statistiska centralbyrån (SCB), Statens Jordbruksverk (Jordbruksverket), Strålsäkerhetsmyndigheten samt Åklagarmyndigheten. SCB Säkerhetsorganisationens resurser har under 2009 fortsatt varit ansträngda, dels på grund av att säkerhetschefen (överdirektören) tjänstgjort som t.f. generaldirektör i stort sett hela året, dels beroende på engagemang i implementeringen av ett nytt driftavtal. Detta har sammantaget medfört en sänkt ambitionsnivå i genomförandet av förbättringsåtgärder jämfört med den verksamhetsplaneringen. En utredning om framtida säkerhetsorganisation har slutförts och avrapporterats. Utifrån utredningens rapportförslag har beslut fattats om och bemanning genomförts av en ny säkerhetsorganisation. Infört en standardiserad pc-plattform som har gett SCB ökade möjligheter att kontrollera installerade licensierade programvaror. Efter genomfört projekt är cirka 80 procent av myndighetens användare inte längre så kallade lokala administratörer över disponerad pc, vilket bedöms ge en avsevärd ökning av säkerhetsnivån på pc-området. Webbapplikationer för insamling och publicering har testats utifrån ett säkerhetsperspektiv. Genomfört ett så kallade penetrationstest mot ett tiotal utpekade applikationer med höga tillgänglighets eller sekretesskrav. Efter slutförda tester kunde konstateras att förekomsten av generella

applikationsrelaterade brister (säkerhetsluckor) var jämnt förekommande i de testade applikationerna Genomfört ett antal riskanalyser av prioriterade statistikprodukter som ska ligga till grund för kontinuitetsplaner Upphandlat stöd för analys av den interna behörighetshanteringen. Åklagarmyndigheten Har påbörjat en säkerhetsanalys av myndighetens skyddsvärda verksamhet. Syftet är att få en övergripande bild av riskerna inom verksamheten samt av beredskapsnivån för eventuella kriser. Har påbörjat ett arbete med att definiera en säkerhetsstandard. Den innehåller policys och riktlinjer samt en miniminivå för Åklagarmyndighetens verksamhetsskydd. Har upphandlat ett incidentrapporteringssystem. Systemet kommer att driftsättas under 2010. Årsredovisning 2010 Ekobrottsmyndigheten, Kriminalvården, Pensionsmyndigheten (tidigare PPM) samt Åklagarmyndigheten. Ekobrottsmyndigheten Enligt LIS-föreskrifterna ska alla myndigheter införa ett ledningssystem för informationssäkerhet. Som ett led i detta arbete har Ekobrottsmyndigheten påbörjat en nulägesanalys av informationssäkerheten vid myndigheten. Kriminalvården En IT-strategi har beslutats. Strategin beskriver hur organisationen för IT ser ut och hur Kriminalvården ska arbeta med IT-frågor på alla nivåer i organisationen Kriminalvårdens IT-råd, har inrättats och haft flera möten under året. IT-rådet ska stödja en god strategisk styrning och samordning av myndighetens IT-verksamhet Kompetensen har förstärkts genom rekrytering av en informationssäkerhetsansvarig och en IT-säkerhetsansvarig, båda placerade på huvudkontoret. Den informationssäkerhetsansvariga rapporterar direkt till generaldirektören. På varje region och på en del särskilda enheter har informationssäkerhetsombud utsetts.

Inom myndigheten pågår nu ett omfattande arbete med att klassa alla informationstillgångar i olika skyddsnivåer och hantera dem enligt de regler som gäller för respektive skyddsnivå. Som ett resultat av klassningen kommer under början av 2011 hanteringsregler för klassad information att beslutas och genomföras i alla delar av organisationen. I IT-infrastrukturen påbörjas införandet av olika säkerhetsnivåer anpassade till informationsklassningens olika nivåer. Arbetet inleds med införandet av en gemensam grundsäkerhetsnivå. Under 2011 kommer inom det pågående LIS-projektet ett antal nya riktlinjer med genomförandeplaner att tas fram för beslut. En grundläggande utbildning i informationssäkerhet planeras också för 2011. Under nästa verksamhetsår kommer även ett projekt att startas för att integrera en PKI-struktur och smarta kort i Kriminalvårdens ITinfrastruktur. För att öka förmågan att hantera informationssäkerhetsrisker kommer riktade riskanalyser att genomföras. Arbete pågår också för att integrera och hantera informationssäkerhetsincidenter i myndighetens system för incidentrapportering. Försäkringskassan, Riksgälden, Socialstyrelsen, Strålsäkerhetsmyndigheten samt kraftnät. Svenska kraftnät En viktig del i driftsäkerheten är även att analysera och åtgärda brister i IT-säkerheten. Det sker både vad gäller teknik, regler och rutiner samt arbete med beteende och en tydlig ansvarsfördelning. SCADA säkerhet är en ny satsning inom informations- och driftsystem, som etablerades under 2010. Årsredovisningar 2011 Ekobrottsmyndigheten, Finansinspektionen, Kriminalvården, SCB, Socialstyrelsen samt Åklagarmyndigheten. Finansinspektionen

Internrevisionen har under året granskat it-säkerheten på Finansinspektionen. Granskningen visar på ett antal brister rörande styrning, styrdokument, ansvar och rutiner. Under 2011 har Finansinspektionens it-strategi kompletterats med en sourcingstrategi för it. Den långsiktiga målsättningen är att bygga upp en beställarorganisation med både djup verksamhetskunskap och it-kunskap. Syftet är att åstadkomma bättre, resurseffektiv styrning och kontroll av it-verksamheten. Försäkringskassan, Konjunkturinstitutet, Pensionsmyndigheten, Riksgälden samt Svenska kraftnät. Pensionsmyndigheten Pensionsmyndigheten klassas som en samhällsviktig verksamhet och behandlar även information som har betydelse för rikets säkerhet, vilket bland annat ställer särskilda krav på myndighetens it-miljö. Med anledning av detta har myndigheten beslutat att lägga ut delar av drift en på en extern leverantör, Logica, som kommer tillhandahålla tjänster som datahallar, lagring samt backup. Med de nya tjänsterna och den nya tekniska plattform som har implementerats parallellt i två datahallar kommer myndigheten att möta de krav på redundans, tillgänglighet och katastrofsäkring som ställs på myndigheten. Pensionsmyndigheten arbetar aktivt med att säkerställa att itverksamheten lever upp till externa och interna krav på it-säkerhet inom både utveckling och drift. Till hjälp görs revisioner samt olika tester för att se att det inte finns några sårbarheter efter stora releaser. Årsredovisningar 2012 Ekobrottsmyndigheten, Finansinspektionen, Socialstyrelsen samt Åklagarmyndigheten. Finansinspektionen Behov av förbättringar på informationssäkerhetsområdet har framkommit både genom de riskanalyser Finansinspektionen genomfört i arbetet med intern styrning och kontroll och genom en granskning på området som internrevisionen genomförde 2011.

Ett omfattande arbete med att planera och påbörja införandet av ett antal förbättringsåtgärder på området har gjorts under året. Styrande dokument om informationssäkerhet, systemförvaltning och ändringar i it-miljön har omarbetats och fastställts. Arbete återstår att fortsatt implementera de nya reglerna och rutiner kopplade till dem. Diskrimineringsombudsmannen, Kemikalieinspektionen, Konjunkturinstitutet, Kronofogdemyndigheten, Pensionsmyndigheten, Riksgälden, Rikspolisstyrelsen samt Svenska kraftnät. Årsredovisningar 2013 Riksgälden samt Svenska kraftnät. Riksgälden Under 2013 gjordes en översyn av de styrande dokumenten för operativ riskhantering, och rapporteringsprocessen för operativa risker förbättrades för att skapa en tydligare övergripande bild av risknivån. Riksgälden har ett väl fungerande ledningssystem för säkerhet. Det visar de uppföljningar och granskningar av systemet som genomfördes 2013. Ledningssystemet ger ett strukturerat och systematisk sätt att arbeta med säkerhet såväl för medarbetare som för IT-system och information. Det är baserat på standarden ISO- 27001 och 27002. En central del av säkerhetsarbetet är att löpande göra risk- och sårbarhetsanalyser. Därmed kan brister identifieras och rätt åtgärder sättas in. Riksgälden utvecklar också säkerheten genom åtgärder där verksamheten engageras. Exempelvis genomfördes under 2013 utbildningar i informationssäkerhet för alla medarbetare. Svenska kraftnät En viktig del i driftsäkerheten är även att analysera och åtgärda brister i IT-säkerheten. Det sker både vad gäller teknik, regler och rutiner samt genom arbete med beteende och en tydlig ansvarsfördelning. Målet för säkerhetsarbetet inom Svenska kraftnät är att det ska integreras i organisationens kärnverksamhet. Genom detta skapas bättre förutsättningar för verksamhetsstyrning av säkerhetsarbetet samt hantering av aktuella risker.

Under verksamhetsåret har arbetet med översyn av verkets interna säkerhetsregelverk fortgått, och riktlinjer och anvisningar för vissa prioriterade områden har tagits fram. En mätning av informationssäkerheten inom verkets olika verksamhetsgrenar har genomförts i syfte att undersöka om befintlig säkerhet i organisationen är anpassad till de risker som verksamheten utsätts för. Säkerhetsnivån bedömdes vara god. I enlighet med kraven i säkerhetsskyddsförordningen har en säkerhetsanalys gjorts av Svenska kraftnäts verksamhet. Enligt Försvarsmaktens föreskrifter om signalskydd har en översyn av signalskyddsinstruktionen för samtliga signalskyddssystem vid Svenska kraftnät genomförts. Årlig internkontroll har gjorts på två system. Socialstyrelsen. Arbetsförmedlingen, Finansinspektionen, Konjunkturinstitutet, Kriminalvården, Pensionsmyndigheten, Rikspolisstyrelsen, Trafikverket samt Åklagarmyndigheten. Pensionsmyndigheten I början av året påbörjades en informationsklassning av myndighetens webbplats med fokus på e-tjänster. Den genomfördes under året och kommer resultera i ett antal aktiviteter i förvaltning under nästa år för att förbättra dagens e-tjänster ur ett säkerhetsperspektiv. Under året har en ny version av it-strategin tagits fram, förankrats och beslutats. Grunden för strategin fokuserar på hur myndigheten upprätthåller en säker leverans av sina informationssystem, hur it bidrar i den konstanta förändringen samt hur myndigheten leds genom den digitalisering som sker i samhället. Under 2013 har två interna revisioner genomförts med syfte att ur ett oegentlighetsperspektiv utvärdera den tekniska miljön kring premiepensionssystemet och myndighetens nätverk och i det sammanhanget bedöma om säkerhetsläget är tillfredsställande. Sammanfattningsvis har myndigheten en bra säkerhetsnivå, men det har ändå konstaterats att det finns ett antal brister som behöver åtgärdas. Myndigheten har påbörjat ett arbete för att höja it-säkerheten genom att införa åtgärder som kommer att eliminera eller reducera risken för att de konstaterade bristerna utnyttjas.

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss