Embed Size (px)
DESCRIPTION
Du betalar säker skatt. Agenda. Presentation av RSV Varför har frågan kommit upp? Vad är LIS Genomgång av RSV LIS och införandet Vad innebär RSV LIS för medarbetarna? Framgångsfaktorer. Riksskatteverket. Den bästa förvaltningen i medborgarnas tjänst !. Beskattning Folkbokföring - PowerPoint PPT Presentation
Citation preview
Du betalar säker skatt
Agenda
• Presentation av RSV• Varför har frågan kommit upp?• Vad är LIS• Genomgång av RSV LIS och införandet• Vad innebär RSV LIS för medarbetarna?• Framgångsfaktorer
Riksskatteverket
• Beskattning• Folkbokföring• Fastighetstaxering• Indrivning• Bouppteckningar och arvsskatt
Den bästa förvaltningen i medborgarnas tjänst !
• 21 myndigheter• Ca. 200 lokalkontor• Ca. 13 000 anställda• 1 100 000 000 000 kronor i omsättning• 105 koncerngemensamma IT-system varav 21
samhällsviktiga
RSV är en stor organisation
Vi har allmänhetens uppmärksamhet riktad mot oss!
Hotbild
• Vi driver en omfattande verksamhet med stor exponering
• Tänkbara aktörer med varierande uthållighet kan vilja skada vår verksamhet
• Vårt skydd skall vara uthålligt och med hög kvalitet, externt - internt
Varför har frågan kommit upp ?
• De beslut som vi fattar måste bygga på korrekt och aktuell information.
• Vi har stora krav på rättssäkerhet i vårt beslutsfattande.
• Vi är beroende av omvärldens förtroende.
Nya utmaningar
• Spridnings- och hämtningssystem• Digitala certifikat• Deklaration över Internet
Brister
• Styrande dokument• Dokumentation över rutiner och system• Rutiner för uppföljning och utvärdering
SS ISO/IEC 17799
Kap. 3Kap. 3
Kap. 4Kap. 4
Kap. 5Kap. 5
Kap. 6Kap. 6
Kap. 7Kap. 7
Kap. 8Kap. 8
Kap. 9Kap. 9
Kap. 10Kap. 10
Kap. 11Kap. 11
Kap. 12Kap. 12
Säkerhetspolicy
Säkerhetsorganisation
Klassificering och kontroll av tillgångarPersonal och säkerhet
Fysisk och miljörelaterad säkerhet
Styrning av åtkomst
Systemutveckling och -underhåll
Avbrottsplanering
Efterlevnad
Styrning av kommunikation och drift
Säkerhetspolicy
Information som skapas, inhämtas och förvaltas inom
RSV-koncernen är en strategiskt viktig resurs. Med stöd
av lagar och förordningar ska särskilda åtgärder vidtas för
att säkerställa att informationen:
• är korrekt och fullständig
• finns tillgänglig vid behov
• är skyddad mot obehörig åtkomst
• kan spåras och återskapas.
Säkerhetsorganisation
• Chefer och systemägare ansvarar för att säkerheten inom det egna ansvarsområdet upprätthålls och att medarbetare informeras och utbildas.
• Varje medarbetare är medveten om och tar sitt ansvar.
• Säkerhetschefen ansvarar för att stödja och följa säkerhetsarbetet inom myndigheten.
Klassificering och kontroll av tillgångar
• Syftet med informationsklassificering är att användaren ska kunna identifiera och tillämpa lagstiftningens krav på hantering och utlämnande av information på ett enkelt och entydigt sätt.
• Informationsklassificering ska utföras på ett sådant sätt att medarbetare kan handha information på ett enkelt, enhetligt och rättssäkert sätt.
• Som stöd för detta arbete finns detaljerade rutinbeskrivningar.
Personal och säkerhet• Ansökningshandlingar och persondata ska kontrolleras så
att de uppfyller en godtagbar kvalitet.
• Personal som tar del av sådan information som omfattas av Säkerhetsskyddslagen ska genomgå säkerhetsprövning.
• All personal ska genomgå introduktionsutbildning i informationssäkerhetsfrågor och fortlöpande informeras
• All personal ska informeras om hur obehörig avlyssning kan undvikas på t.ex. allmänna platser.
• När programfel eller andra incidenter inträffar, ska dessa rapporteras för analys och eventuell åtgärd.
Fysisk och miljörelaterad säkerhet
Skalskydd• Samlingsbegrepp för en eller flera samverkande fysiska
skyddskomponenter, t.ex. lås-, larm-, inbrottsskyddssystem.
Tillträdesbegränsning• System för begränsning och kontroll av tillträde till utrymmen
innanför skalskyddet.
Säkrade utrymmen • Avser de utrymmen inom ett avgränsat skalskydd som kräver
ett förstärkt fysiskt skydd, t.ex. server-, växel- och korskopplingsutrymmen, datorhallar, arkivutrymmen.
Behörighet• Avser person som medgivits åtkomst till information och/eller
lokaler vilka står under myndighetens kontroll.
Styrning av kommunikation och drift
• Ändringar i driftsmiljö får endast ske genom beställning i beställningsrutinen och under kontroll av löpande drift.
• I driftmiljön ska det finnas väl dokumenterade driftrutiner och en ansvarsfördelning för samtliga arbetsuppgifter
• Alla IT-system samt nätverk ska övervakas på erfordrad nivå, för att tillhandahålla en säker och stabil drift.
• Dokumentation över nätverket med en förteckning över befintlig utrustning ska finnas.
Styrning av åtkomst• Användare ska endast ha de behörigheter som krävs för
att denne ska kunna utföra sitt arbete.
• Beslut om tilldelning av behörigheter fattas av ansvarig chef som också ska informera sin personal om vilka regler och vilket ansvar som följer med respektive behörighet.
• Den som tilldelats behörighet ska kvittera alternativt bekräfta den genom godkänd digital signatur.
• Alla användare ska identifiera sig mot RSV-koncernens IT-system med egen unik användaridentitet som verifieras med unik PIN-kod.
Systemutveckling och -underhåll
• I kravspecifikationen på nya system ska kraven på styrmedel och säkerhetsåtgärder specificeras.
• Kravspecifikationen ska omfatta de krav som ställs med avseende på:– Sekretess – Tillgänglighet – Tillförlitlighet eller integritet– Spårbarhet
• Provkörning av system ska göras före godkännande som ska ske enligt fastställd rutin.
AvbrottsplaneringEn kontinuitetsplan ska säkerställa fortsatt verksamhet vid störning eller avbrott i den ordinarie datadriften och omfattar två delar:
a) Avbrottsplan, som ingår som en del av den ordinarie verksamheten, ska omfatta de reserv- och återstartsrutiner för datadriften som vidtas inom ramen för ordinarie drift. På så sätt kan datasystemet återstartas inom fastställd tid.
b) Katastrofplan omfattar en organisation inom RSV som ska träda i funktion när RSV:s GD eller systemägaren av den tekniska infrastrukturen beslutar att en katastrofsituation har inträffat.
Efterlevnad• Myndighetschef ansvarar för att alla krav på god
informationssäkerhet tillgodoses inom myndigheten och att detta verifieras genom regelbundna och dokumenterade granskningar.
• Systemägare har motsvarande krav beträffande sina informationssystem.
• Säkerhetsenheten på RSV tillhandahåller erforderliga hjälpmedel och verktyg för uppföljning.
Hur har vi gått tillväga?
Nuläge Krav Anpassning
Införande Uppföljning
Förankring !!!
LIS FA22 Interna/externa krav
Nuläge Krav Förstudie-/analysfas
• Nulägesinventering• Analys/riskbedömning• Bedömning av tillämplighet• Kartläggning av teknisk infrastruktur
• Plattformar• BKS• Internetkopplingar• Externa kopplingar
• Kostnads-/nyttokalkylering• Korsreferenslista• Beslutsunderlag
Styrgrupp
Referensgrupp
PLProjektgrupp
BADMDOK-IT
Kvalitet
Införande UtbildningSystemutveckling/underhåll
Anpassning
Projektarbetet
RSV LIS
LISRamverk med fokus på myndighetschefer
och säkerhetschefer
VerksamhetsskyddEn handledning för medarbetare inom RSV
DOK-ITRutiner och regler för
medarbetare inom RSV IT
Här ingår de riktlinjer och anvisningar som
är styrande
för RSV-koncernens LIS.
Här ingår regler, rutiner och hjälpmedel för
informationssäkerhet men också för
krishantering och beredskap etc.
Utifrån LIS och verksamhetens processer
finns här regler och rutiner för den tekniska
infrastrukturen.
Verktyg och hjälpmedel för uppföljning,avtal, riskhantering etc
Personalhandbok, beredskapsplaner etc
Anpassning
InförandeInförande
- Genomförande av utbildningar- Fortsättning BADM- Uttalande om tillämplighet- Ägande/förvaltning
Utbildning
Kravuppfyllelse på godinformationssäkerhet
handledn.verksam-hetsskydd
säk.-handbok IT
rutin-beskrivn.
Krav på godinformationssäkerhet
Införande
RSVLIS
Uppföljning
Uppföljning
•M- Målgruppsanpassade checklistor•M- Metod för riskanalys•D- Del av den normala interna kontrollen•T- Teknisk efterlevnad•E- Efterlevnad i utvecklingsarbetet
Vad innebär LIS för det dagliga arbetet?
•T- Trygghet för medarbetarna•F- Förtroende från medborgare och partners•H- Handledning utifrån ett användarperspektiv•E- Ett RSV-anpassat LIS!!•T- Tillgång till mallar, checklistor och hjälpmedel vid behov•H- Hjälp vid kravställning för utvecklare och systemägare
• Tydliga krav på chefer och verksamhetsansvariga
• Kunskap om säkerhet kopplat till den egna verksamheten
• Gemensamt synsätt på säkerhet inom hela koncernen
• Gemensamma processer för riskhantering, informationsklassificering och kontinuitetsplanering
• Klar överblick över informationssäkerheten
Vad innebär LIS för det dagliga arbetet, forts?
RSV EK/Säk Version 1
Framgångsfaktorer
• Ledningens stöd och engagemang
• Anpassning till språkbruk och kultur
• Inflytande av och förankring hos medarbetarna
• Kompetens i projektet
• Pilotverksamheterna
Framgångsfaktorer, forts
• UUtgå ifrån verksamhetens krav, behov och ordinarie arbetssätt
• EEtt processorienterat angreppssätt är att föredra då det är möjligt
• LLåt inte standarden styra för mycket• fEffektiv marknadsföring och förankring är en
förutsättning• BBättre att börja på en lägre nivå och komma igång• EI en stor och utbredd organisation måste en
gemensam grundnivå identifieras
