Informations- och IT-säkerhet i kommunal verksamhet



Relevanta dokument
Kommunal författningssamling för Smedjebackens kommun. Informationssäkerhetspolicy. 97 Dnr 2016/00447

Säker informationshantering utifrån ett processperspektiv

Säkerhetspolicy för Tibro kommun

Riktlinjer för Informationssäkerhet Falkenbergs Kommun Kommunledningskontoret

Processorienterad informationsklassning

FÖRFATTNINGSSAMLING Flik Säkerhetspolicy för Vingåkers kommun

Verksamhetsplan Informationssäkerhet

Dnr

Informationssäkerhetspolicy för Ånge kommun

Informationssäkerhetspolicy

Informationssäkerhet, Linköpings kommun

SÄKERHETSPOLICY FÖR VÄSTERVIKS KOMMUNKONCERN ANTAGEN AV KOMMUNFULLMÄKTIGE , 8

Informationssäkerhetspolicy

I Central förvaltning Administrativ enhet

Säkerhetspolicy i Linköpings kommun

IT-säkerhetspolicy. Fastställd av KF

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Fördelning av ansvar för informationssäkerhet. Version: 1. Beslutsinstans: Regiondirektören

Informationssäkerhetspolicy. Linköpings kommun

Informationssäkerhet en förutsättning för effektiv digitalisering. Moderator: William Linnefell, Ekonomistyrningsverket

Säkerhetspolicy för Västerviks kommunkoncern

Riktlinje för Riskanalys och Intern kontroll

Informationssäkerhetspolicy för Ystads kommun F 17:01

SÄKERHETSPOLICY I FÖR FALKÖPINGS KOMMUN

I n fo r m a ti o n ssä k e r h e t

Riktlinjer för IT-säkerhet i Halmstads kommun

Informationssäkerhetspolicy inom Stockholms läns landsting

INFORMATIONSSÄKERHET 1 INLEDNING MÅL FÖR IT-SÄKERHETSARBETET... 2

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

IT-säkerhetspolicy Instruktion Kommunfullmäktige. Senast reviderad Beskriver IT-säkerhetarbetet.

Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13

Risk- och säkerhetspolicy. Tyresö kommun

Administrativ säkerhet

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Säkerhetspolicy Bodens Kommun

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Plan för hantering av extraordinära händelser. Motala kommun

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Informationssäkerhetspolicy

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

Informationssäkerhetspolicy KS/2018:260

Bilaga till rektorsbeslut RÖ28, (5)

Policy för säkerhetsarbetet i. Södertälje kommun

Informationssäkerhetspolicy IT (0:0:0)

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Informationssäkerhetspolicy för Nässjö kommun

Policy och strategi för informationssäkerhet

Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen

SOLLENTUNA FÖRFATTNINGSSAMLING 1

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Riktlinjer informationssäkerhetsklassning

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

Rätt informationssäkerhet är A&O vid införande av välfärdsteknologi. Jeanna Thorslund, Sveriges Kommuner och Landsting Thomas Nilsson, Certezza

Verksamhetsrapport. Kommunens säkerhetsarbete 2014

Säkerhetspolicy för Kristianstad kommun

POLICY FÖR E-ARKIV STOCKHOLM

Välkommen till enkäten!

Informationsklassning och systemsäkerhetsanalys en guide

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

1. Bakgrund. 2. Parter. 3. Definitioner

Plan för hantering av extraordinära händelser i fredstid samt vid höjd beredskap

Myndigheten för samhällsskydd och beredskaps författningssamling

1(6) Informationssäkerhetspolicy. Styrdokument

Styrande dokument. Styrdokument för krishantering Oskarshamns kommun. Fastställd av Kommunstyrelsen , 97

Plan för kommunal ledning och information vid kriser och extraordinära händelser

10. Säkerhetspolicy och riktlinjer för säkerhetsarbetet i Västerviks kommunkoncern Dnr 2016/

Fortsättning av MSB:s metodstöd

Riktlinjer för IT och informationssäkerhet - förvaltning

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

Regler och instruktioner för verksamheten

Plan för kommunal ledning och kommunikation vid kriser och extraordinära händelser

Informationssäkerhetspolicy

Finansinspektionens författningssamling

Modellavtal 2. Personuppgiftsbiträdesavtal enligt Personuppgiftslagen (1998:204)

Sårbarhetsanalyser. för kommuner. - numera en nödvändighet

Personuppgiftsbiträdesavtal samt fullmakt för Inera AB att teckna personuppgiftsbiträdesavtal enligt Personuppgiftslagen (1998:204)

Styrdokument för krisberedskap i Markaryds kommun

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

Plan för att förebygga och hantera extraordinära händelser. Beslutad av kommunfullmäktige 25 september 2017, 102/17, Dnr KS2017.

Informationssäkerhet - Instruktion för förvaltning

Remiss angående säkerhetspolicy med tillhörande riktlinjer

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Informationssäkerhetspolicy

Sårbarhetsanalyser. för kommuner. - numera en nödvändighet

Övergripande handlingsprogram för Skydd och säkerhet i Kinda kommun

IT-SÄKERHETSPOLICY. Stadskontoret. 1 Inledning Definition Omfattning Mål för IT-säkerhetsarbetet... 2

Informationssäkerhetsanvisningar Förvaltning

SAMMANTRÄDESPROTOKOLL Kommunstyrelsen Sammanträdesdatum

Remissutgåva. Program för informationssäkerhet

Styrdokument för krisberedskap i Timrå kommun. Inledning. FÖRFATTNINGSSAMLING Nr KS 11 1 (9) Fastställd av kommunstyrelsen , 240

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet

Riktlinjer informationssäkerhet

Hantering av behörigheter och roller

Krisledningsplan för Oxelösunds kommun

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

Koncernkontoret Enheten för säkerhet och intern miljöledning

Transkript:

Informations- och IT-säkerhet i kommunal verksamhet

En kommuns roll i trygghets och säkerhetsarbetet och var informations- och IT-säkerheten kommer in i detta Vad, vem och hur man kan arbeta med informations- och IT-säkerhet

Kommunens roll i trygghets- och säkerhetsarbetet Skydd mot olyckor Hantera räddningsinsatser samt brandförebyggande och olycksförebyggande arbete Hantera extraordinära händelser Egen krishanteringsförmåga och geografiskt områdesansvar Brottsförebyggande arbete Till stor del socialt arbete och lokal förankring av polisverksamhet samt samverkan i brottsförebyggande råd Internt säkerhetsarbete Säkerställa och skydda den egna verksamheten och dess tjänster Källa: MSB/SKL

Områden inom internt säkerhetsarbete Internt säkerhetsarbete Personsäkerhet Fysisk säkerhet Informationssäkerhet Teknik IT-säkerhet Processer Organisation Människor Riktighet Konfidentialitet Tillgänglighet Riktighet Konfidentialitet (sekretess) Tillgänglighet Förändring/påverkan sker endast på ett önskat och kontrollerat sätt Åtkomst endast för behöriga Tillgång efter behov i förväntad utsträckning/inom önskad tid

Verksamhetsperspektivet Styrning och krav INFORMATIONSSÄKERHET IT-verksamhet IT-SÄKERHET Driftleverantör

En kommuns roll i trygghets och säkerhetsarbetet och var informations- och IT-säkerheten kommer in i detta Vad, vem och hur man kan arbeta med informations- och IT-säkerhet

Vad behöver göras?

Vad behöver göras? Internt Externt Externt/Internt Färdriktning Önskvärda framtida läge Vad man ska uppnå Prioriteringar. Förhållningssätt Värden som ska beaktas Principer som ska gälla Sätter gränser. Förhållningssätt Förhållningssätt (t ex DI:s råd) Färdriktning (t ex Digital Agenda)

Vad behöver göras? Viljeyttring, värdeyttring. Livscykel 5 år Hur & på vilket sätt. Konkreta. Livscykel 3 år Vad som skall göras, anger ramar. Livscykel 3-5 år Viktigt att definiera och besluta om styrdokumentens hierarki!

Vad behöver göras? Exempel: Säkerhetspolicy Exempel: Regler för chefers informationssäkerhetsansvar Regler för IT-användare Regler för Driftsdokumentation Regler för E-post Exempel: Riktlinjer för informationssäkerhet Exempel: Arkivlag ( Allmänna handlingar ska skyddas mot förstörelse, skada, tillgrepp och obehörig åtkomst) Personuppgiftslag (Skydd av personuppgifter som behandlas) Offentlighets- och sekretesslag (Sekretessbelagda uppgifter får ej röjas) Tryckfrihetsförordningen (Tillhandahållande av allmän handling ) Lag om kommuners och landstings åtgärder inför och vid extraordinära händelser i fredstid och höjd beredskap (Minska sårbarheten och kunna hantera extraordinära händelser) Lag om skydd mot olyckor (Tillfredsställande skydd för egendom) Patientdatalag (Informationshantering inom hälso- och sjukvården ska tillgodose patientsäkerheten, god kvalitet samt främja kostnadseffektivitet) Lag om kommunal redovisning(beskrivningar över genomförda bearbetningar ska upprättas så att man kan följa och förstå de enskilda bokföringsposternas behandling) Exempel: Strategi för samhällets informationssäkerhet Nationell strategi för skydd av samhällsviktig verksamhet DI:s råd Socialstyrelsens föreskrifter Nationell ehälsa Strategi för esamhället Digital agenda för Sverige Lokala styrdokument Avtal och överenskommelser

Hur gör man? Verksamhetsanalys Riskanalys GAP-analys Riskmedvetenhet Tydliggörande av risker för ansvariga Analysera Klassificering Genomgång och återrapportering Analys Förtroende Uppfyllande av lagar och krav från ledning, nyttjare, medborgare, kunder, intressenter mfl Kontroll Mätning gentemot indikatorer Följa upp Realisera försäkringslösningar Införa Utforma Införa säkerhetsprocesser Fastställa säkerhetsåtgärder Införa säkerhetsåtgärder Utforma säkerhetsprocesser Kris- & kontinuitetshantering Incidenthantering Förändringshantering Service och supporthantering Behörighetshantering Patch-hantering Övervakning & logghantering Information & utbildning Verksamhetsanpassning Inte högsta utan tillräcklig säkerhet

Riskägare Vem gör vad? Respektive nämnd/förvaltning och styrelse/bolag är ansvarig för riskhanteringen och säkerheten inom respektive verksamhet (KS ytterst ansvarig) Övergripande ledning och samordning Stadsledningskontor (motsv) med uppdrag att stödja kommunstyrelsens ledning och samordning av kommunens verksamhet Uppföljning och granskning Revisionsförvaltning (motsv) med uppdrag att granska och bedöma den interna kontrollen i verksamheten såsom att tillämpliga lagar, föreskrifter, styrdokument mm följs Stadsledningskontor (motsv) med uppdrag att stödja kommunstyrelsen att fullfölja sin uppsiktsplikt

Exempel på hur delegation/verkställighet av ansvar/skyldigheter kan göras inom en förvaltning Verksamhetsansvarig Processägare Informationsägare Systemägare Systemansvarig Personuppgiftsansvarig (PuL) Riskanalysera Besluta om säkerhetsnivå Säkerställa processer och informationshantering Riskanalysera Informationsklassa Besluta om säkerhetsnivå åtkomst Säkerställa processer att informationssystem och uppfyller informationshantering Informationsklassa beslutade krav Organisera och planera den operativa Informationsklassa Besluta om åtkomst förvaltningen vilket inkluderar uppföljning av Besluta Säkerställa definierade om att åtkomst informationssystem säkerhetskrav uppfyller beslutade krav Organisera och planera den operativa förvaltningen Säkerställa att vilket informationssystem inkluderar uppföljning av uppfyller definierade beslutade säkerhetskrav krav Säkerställa att informationssystem uppfyller Organisera beslutade och planera krav den operativa förvaltningen vilket inkluderar uppföljning av Organisera definierade och säkerhetskrav planera den operativa förvaltningen vilket inkluderar uppföljning av definierade säkerhetskrav Säkerhetsfunktion Utveckla/förvalta handlingsplan Utveckla/förvalta styrdokument Utveckla/förvalta processer och metoder Incidentutredningar Uppföljningar/revisioner Utbilda och informera Stöd Delegation Verkställighet Om en nämnd uppdrar åt en förvaltningschef inom nämndens verksamhetsområde att fatta beslut, får nämnden överlåta åt förvaltningschefen att i sin tur uppdra åt en annan anställd inom kommunen att besluta i stället Beslut som fattas enligt i förväg fastställda direktiv och som inte innehåller något moment av självständig bedömning

Exempel på hur fördelning av ansvar/skyldigheter för system inom en förvaltning/bolag kan göras Nämnd Förvaltningsschef Förvaltningar/Bolag Verksamhetsansvarig Personuppgiftsansvarig Styrelse VD Verksamhetschef IT-chef Processägare Genomföra riskanalyser Besluta säkerhetsnivå Säkerställa processer Informationsägare Informationsklassning Hanteringsregler (åtkomst, behörighet,..) Systemägare Säkerställa att beslutade krav på säkerhet uppfylls Affärsområdeschef IT-chef Systemansvarig Organisera, planera, utarbeta och koordinera Uppföljning Xx Systemförvaltning Drift Yy = Delegation (max två led för fv) = Verkställighet

En kommuns roll i trygghets och säkerhetsarbetet och var informations- och IT-säkerheten kommer in i detta Vad, vem och hur man kan arbeta med informations- och IT-säkerhet

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss