Embed Size (px)
Citation preview
Informations- och IT-säkerhet
Jan A Svensson
i kommunal verksamhet
• En kommuns roll i trygghets och säkerhetsarbetet och var informations- och IT-säkerheten kommer in i detta
• Vad, vem och hur man kan arbeta med informations- och IT-säkerhetinformations- och IT-säkerhet
Jan A Svensson
Kommunens roll i trygghets- och säkerhetsarbetet• Skydd mot olyckor
• Hantera räddningsinsatser samt brandförebyggande och olycksförebyggande arbete
• Hantera extraordinära händelser • Egen krishanteringsförmåga och geografiskt områdesansvar
• Brottsförebyggande arbete• Till stor del socialt arbete och lokal förankring av polisverksamhet samt
samverkan i brottsförebyggande rådsamverkan i brottsförebyggande råd
• Internt säkerhetsarbete• Säkerställa och skydda den egna verksamheten och dess tjänster
Källa: MSB/SKL
Jan A Svensson
Områden inom internt säkerhetsarbete
Internt säkerhetsarbete
Personsäkerhet Fysisk säkerhet Informationssäkerhet
Teknik
Processer
Informationssäkerhet
IT-säkerhet
Jan A Svensson
Riktighet Konfidentialitet Tillgänglighet
MänniskorOrganisation
Riktighet Förändring/påverkan sker endast på ett önskat och kontrollerat sätt
Konfidentialitet (sekretess) Åtkomst endast för behöriga
Tillgänglighet Tillgång efter behov i förväntad utsträckning/inom önskad tid
Verksamhetsperspektivet
IT-verksamhet
Sty
rnin
g oc
h kr
av INFORMATIONSSÄKERHET
Jan A Svensson
Driftleverantör
IT-SÄKERHET
Sty
rnin
g oc
h kr
av
• En kommuns roll i trygghets och säkerhetsarbetet och var informations- och IT-säkerheten kommer in i detta
• Vad, vem och hur man kan arbeta med informations- och IT-säkerhet
Jan A Svensson
Vad behöver göras ?
Jan A Svensson
Internt Externt Externt/Internt
Vad behöver göras ?
Färdriktning• Önskvärda framtida läge• Vad man ska uppnå• Prioriteringar• ….
Jan A Svensson
Förhållningssätt• Värden som ska beaktas• Principer som ska gälla• Sätter gränser• ….
Förhållningssätt(t ex DI:s råd)
Färdriktning(t ex Digital Agenda)
Förhållningssätt
Vad behöver göras ?
Viljeyttring, värdeyttring. Livscykel ≈ 5 år
Vad som skall göras, anger ramar. Livscykel ≈ 3 -5 årHur & på vilket sätt. Konkreta.
Livscykel ≈ 3 år
Viktigt att definiera och besluta om
Jan A Svensson
besluta om styrdokumentens hierarki !
Vad behöver göras ?
Exempel:•Säkerhetspolicy
Exempel:• Riktlinjer för informationssäkerhet
Exempel:• Regler för chefers informationssäkerhetsansvar• Regler för IT-användare• Regler för Driftsdokumentation• Regler för E-post
Exempel:• Arkivlag ( Allmänna handlingar ska skyddas mot förstörelse, skada, tillgrepp
Exempel:• Strategi för samhällets informationssäkerhet• Arkivlag ( Allmänna handlingar ska skyddas mot förstörelse, skada, tillgrepp
och obehörig åtkomst)• Personuppgiftslag (Skydd av personuppgifter som behandlas)• Offentlighets- och sekretesslag (Sekretessbelagda uppgifter får ej röjas)• Tryckfrihetsförordningen (Tillhandahållande av allmän handling )• Lag om kommuners och landstings åtgärder inför och vid
extraordinära händelser i fredstid och höjd beredskap (Minskasårbarheten och kunna hantera extraordinära händelser)
• Lag om skydd mot olyckor (Tillfredsställande skydd för egendom)• Patientdatalag (Informationshantering inom hälso- och sjukvården ska
tillgodose patientsäkerheten, god kvalitet samt främja kostnadseffektivitet)• Lag om kommunal redovisning(Beskrivningar över genomförda
bearbetningar ska upprättas så att man kan följa och förstå de enskilda bokföringsposternas behandling)
• Strategi för samhällets informationssäkerhet• Nationell strategi för skydd av samhällsviktig
verksamhet• DI:s råd• Socialstyrelsens föreskrifter• Nationell eHälsa• Strategi för eSamhället• Digital agenda för Sverige• Lokala styrdokument• Avtal och överenskommelser
Jan A Svensson
Hur gör man ?
Analysera
UtformaFöljaupp
Införa
Verksamhetsanalys
Mätning gentemot
Analys
Genomgång och återrapportering
Fastställa säkerhetsåtgärder
RiskanalysGAP-analys
Kontroll
Utforma säkerhetsprocesser• Kris- & kontinuitetshantering• Incidenthantering• Förändringshantering • Service och supporthantering• Behörighetshantering • Patch-hantering• Övervakning & logghantering• Information & utbildning
Klassificering
FörtroendeUppfyllande av lagar och krav
från ledning, nyttjare,medborgare, kunder,
intressenter mfl
RiskmedvetenhetTydliggörande av risker för
ansvariga
Jan A Svensson
Införa
Införa säkerhetsåtgärder
gentemot indikatorer
Införa säkerhetsprocesser
Realisera försäkringslösningar
• Information & utbildning• …
VerksamhetsanpassningInte ”högsta” utan ”tillräcklig” säkerhet
intressenter mfl
Vem gör vad?• Riskägare
• Respektive nämnd/förvaltning och styrelse/bolag är ansvarig för riskhanteringen och säkerheten inom respektive verksamhet (KS ytterst ansvarig)
• Övergripande ledning och samordning• Stadsledningskontor (motsv) med uppdrag att stödja kommunstyrelsens ledning och
samordning av kommunens verksamhet
• Uppföljning och granskning• Revisionsförvaltning (motsv) med uppdrag att granska och bedöma den interna
kontrollen i verksamheten såsom att tillämpliga lagar, föreskrifter, styrdokument mm följs
• Stadsledningskontor (motsv) med uppdrag att stödja kommunstyrelsen att fullfölja sin uppsiktsplikt
Processägare
• Riskanalysera • Besluta om säkerhetsnivå• Säkerställa processer och
informationshantering• Informationsklassa • Besluta om åtkomst• Säkerställa att informationssystem uppfyller
beslutade krav • Organisera och planera den operativa
förvaltningen vilket inkluderar uppföljning av definierade säkerhetskrav
• Personuppgiftsansvarig (PuL)
Informationsägare• Informationsklassa • Besluta om åtkomst
Exempel på hur delegation/verkställighet av ansvar/skyldigheter kan göras inom en förvaltning
• Riskanalysera • Besluta om säkerhetsnivå• Säkerställa processer och
informationshantering• Informationsklassa • Besluta om åtkomst• Säkerställa att informationssystem
uppfyller beslutade krav
Säkerhetsfunktion Verksamhetsansvarig • Utveckla/förvalta handlingsplan • Utveckla/förvalta styrdokument• Utveckla/förvalta processer och
metoder• Incidentutredningar • Uppföljningar/revisioner• Utbilda och informera • Stöd
Jan A Svensson
Systemägare
Systemansvarig
• Säkerställa att informationssystem uppfyller beslutade krav
Om en nämnd uppdrar åt en förvaltningschef inom nämndens verksamhetsområde att fatta beslut, får nämnden överlåta åt förvaltningschefen att i sin tur uppdra åt en annan anställd inom kommunen att besluta i ställetBeslut som fattas enligt i förväg fastställda direktiv och som inte innehåller något moment av självständig bedömning
Delegation
Verkställighet
uppfyller beslutade krav • Organisera och planera den operativa
förvaltningen vilket inkluderar uppföljning av definierade säkerhetskrav
• Säkerställa att informationssystem uppfyller beslutade krav
• Organisera och planera den operativa förvaltningen vilket inkluderar uppföljning av definierade säkerhetskrav • Organisera och planera den operativa förvaltningen vilket inkluderar uppföljning av definierade säkerhetskrav
Exempel på hur fördelning av ansvar/skyldigheter för system inom en förvaltning/bolag kan göras
Processägare• Genomföra riskanalyser • Besluta säkerhetsnivå• Säkerställa processer
Verksamhetsansvarig
• Personuppgiftsansvarig
Förvaltningar/Bolag
Informationsägare• Informationsklassning• Hanteringsregler
Nämnd
Förvaltningsschef
Verksamhetschef
Styrelse
VD
Affärsområdeschef
Jan A Svensson
Systemförvaltning Drift
= Delegation (max två led för fv)
= VerkställighetXx Yy
• Hanteringsregler (åtkomst, behörighet,..)
IT-chef IT-chef
Systemansvarig• Organisera, planera, utarbeta och koordinera
• Uppföljning
Systemägare• Säkerställa att beslutadekrav på säkerhet uppfylls
• En kommuns roll i trygghets och säkerhetsarbetet och var informations- och IT-säkerheten kommer in i detta
• Vad, vem och hur man kan arbeta med informations- och IT-säkerhetinformations- och IT-säkerhet
Jan A Svensson
Jan A Svensson
