Göran Engblom IT-chef
Hantering av dokument innehållande känslig information Informationssäkerhetsarbete i Tjörns kommun
Fakta om Tjörn 15 000 invånare. 15 000 sommarboende 1 200 anställda 50 km till Göteborg
IT-avdelningens organisation Teknik (2,8 tjänster) IT-chef Support (5,25 tjänster)
Bakgrund 2003 2005 2009 2011 2013 2014 2015 KBM BITS IT-säkerhetspolicy Instruktioner Tvåfaktorsinloggning Mobil säkerhet IT-strategi Arbete med nya riktlinjer för informationssäkerhet inleds Rutin för informationsklassning utarbetas Ny IT-plattform etablerades Informationsklassning Riktlinjer beslutas Genomförande av aktiviteter i enlighet med handlingsplan
IT-avdelningens uppdrag
Vägen framåt HSA Skolfederation Kostnads Vårdfederation (Sambi) kontroll
Informationssäkerhet inte en IT-fråga Frågan är betydligt större än att bara rent tekniskt säkra upp våra IT-system. Arbetet inbegriper även: Våra processer och arbetssätt Attityder, kunskap och riskmedvetande Ledning och styrning Roller och ansvar Kvalitetsarbete eförvaltning Mm
Organisation Informationssäkerhet
Organisation Informationssäkerhet
Mål för informationssäkerhetsarbetet De övergripande målen med informationssäkerhetsarbetet är att: Skydda kommunens informationstillgångar Information alltid finns tillgänglig för de som är behöriga Information inte finns eller görs tillgänglig för obehöriga Information inte utnyttjas på otillåtet sätt Information skyddas mot oavsiktlig eller avsiktlig förvanskning Kommunen uppfyller gällande lagkrav avseende sekretess och rättssäkerhet
Hur?
Process för informationssäkerhetsarbetet Naturlig del i verksamhetsplaneringen. Proaktivt arbete. Strukturerat förbättringsarbete med uppföljning och mätbarhet. Ett nästa steg kan bli att försöka synliggöra Möjligheternas arbetet i vårt ö ledningsstöd.
Informationsklassificering
Informationsklassificering
Informationsklassificering
Informationsklassificering
Riskanalys
Riskanalys och handlingsplan Riskanalys Risk- ID Risker kopplade till X Beskrivning Konsekvensbeskrivning Sannolikhet Konsekvens Riskvärde S*K Åtgärd Ansvarig Handlingsplan Risk- ID Riskvärde Insats eller aktivitet Start Slut Ansvarig
Informationsägaren beslutar 1. Beslut om föreslagna insatser eller aktiviteter I den här delen ska Informationsägaren/Systemägaren besluta om att godkänna föreslagna insatser eller aktiviteter. Markera beslutet med ett kryss. Alternativ 1 Jag godkänner föreslagna insatser/aktiviteter utan förbehåll. Alternativ 2 Jag godkänner föreslagna insatser/aktiviteter men med följande undantag eller förbehåll: Beslutade insatser, aktiviteter eller förändringar förs in i kommunens handlingsplan för informationssäkerhetsarbetet.
Uppföljning av arbetet Varje år sker uppföljning av arbetet. Utfall och resultat redovisas i chefsgruppen. Exempelvis redovisas hur riskvärdet förändrats över tiden med beaktande de insatser som sker (eller inte sker ) Här följer vi hur riskvärdet utvecklas, på koncernnivå, och per informationstillgång.
Arbetet så här långt 15 informationstillgångar har klassificerats 101 risker behandlas i vår riskplan 61 insatser eller aktiviteter har initierats Ytterligare 6 klassificeringar är planerade.
Effekter Ledning Ökad kunskap och förståelse för komplexiteten kring informationssäkerhet Tar ett större ansvar för frågan Systemansvariga Systemansvarigrollen har stärkts o Tydligare och starkare mandat o Har fått ett forum att lyfta frågor Beställare och utförare Vi kommer allt närmare välgrundade SLA: er. IT-chef Frågor kommer upp till ytan och ett tydligare ansvar för informationssäkerheten har definierats
Vi kan också konstatera att: Effekter Vi har ett fungerande informationssäkerhetsarbete o Vi har en plan och vi arbetar kontinuerligt med frågan o Förbättringsarbete pågår och följs upp Förändringar och förbättringar av rutiner och arbetssätt Utbildningsinsatser
För att lyckas krävs att: Framgångsfaktorer Frågan om informationssäkerhet är väl förankrat i kommunens ledning. o Medvetenheten och kunskapen behöver förstärkas. o Roller och ansvar behöver tydliggöras. Arbetet sker strukturerat och med tydliga avgränsningar. Kontinuerligt arbete. Resurser, pengar och satsningar på utbildning. Piska och morot...