informations- och it-säkerhet€¦ · informations- och it-säkerhet jan a svensson i kommunal...
TRANSCRIPT
![Page 1: Informations- och IT-säkerhet€¦ · Informations- och IT-säkerhet Jan A Svensson i kommunal verksamhet • En kommuns roll i trygghets och säkerhetsarbetet och var informations-](https://reader034.vdocuments.net/reader034/viewer/2022051805/5ff30bc6a9d6042c8d0402de/html5/thumbnails/1.jpg)
Informations- och IT-säkerhet
Jan A Svensson
i kommunal verksamhet
![Page 2: Informations- och IT-säkerhet€¦ · Informations- och IT-säkerhet Jan A Svensson i kommunal verksamhet • En kommuns roll i trygghets och säkerhetsarbetet och var informations-](https://reader034.vdocuments.net/reader034/viewer/2022051805/5ff30bc6a9d6042c8d0402de/html5/thumbnails/2.jpg)
• En kommuns roll i trygghets och säkerhetsarbetet och var informations- och IT-säkerheten kommer in i detta
• Vad, vem och hur man kan arbeta med informations- och IT-säkerhetinformations- och IT-säkerhet
Jan A Svensson
![Page 3: Informations- och IT-säkerhet€¦ · Informations- och IT-säkerhet Jan A Svensson i kommunal verksamhet • En kommuns roll i trygghets och säkerhetsarbetet och var informations-](https://reader034.vdocuments.net/reader034/viewer/2022051805/5ff30bc6a9d6042c8d0402de/html5/thumbnails/3.jpg)
Kommunens roll i trygghets- och säkerhetsarbetet• Skydd mot olyckor
• Hantera räddningsinsatser samt brandförebyggande och olycksförebyggande arbete
• Hantera extraordinära händelser • Egen krishanteringsförmåga och geografiskt områdesansvar
• Brottsförebyggande arbete• Till stor del socialt arbete och lokal förankring av polisverksamhet samt
samverkan i brottsförebyggande rådsamverkan i brottsförebyggande råd
• Internt säkerhetsarbete• Säkerställa och skydda den egna verksamheten och dess tjänster
Källa: MSB/SKL
Jan A Svensson
![Page 4: Informations- och IT-säkerhet€¦ · Informations- och IT-säkerhet Jan A Svensson i kommunal verksamhet • En kommuns roll i trygghets och säkerhetsarbetet och var informations-](https://reader034.vdocuments.net/reader034/viewer/2022051805/5ff30bc6a9d6042c8d0402de/html5/thumbnails/4.jpg)
Områden inom internt säkerhetsarbete
Internt säkerhetsarbete
Personsäkerhet Fysisk säkerhet Informationssäkerhet
Teknik
Processer
Informationssäkerhet
IT-säkerhet
Jan A Svensson
Riktighet Konfidentialitet Tillgänglighet
MänniskorOrganisation
Riktighet Förändring/påverkan sker endast på ett önskat och kontrollerat sätt
Konfidentialitet (sekretess) Åtkomst endast för behöriga
Tillgänglighet Tillgång efter behov i förväntad utsträckning/inom önskad tid
![Page 5: Informations- och IT-säkerhet€¦ · Informations- och IT-säkerhet Jan A Svensson i kommunal verksamhet • En kommuns roll i trygghets och säkerhetsarbetet och var informations-](https://reader034.vdocuments.net/reader034/viewer/2022051805/5ff30bc6a9d6042c8d0402de/html5/thumbnails/5.jpg)
Verksamhetsperspektivet
IT-verksamhet
Sty
rnin
g oc
h kr
av INFORMATIONSSÄKERHET
Jan A Svensson
Driftleverantör
IT-SÄKERHET
Sty
rnin
g oc
h kr
av
![Page 6: Informations- och IT-säkerhet€¦ · Informations- och IT-säkerhet Jan A Svensson i kommunal verksamhet • En kommuns roll i trygghets och säkerhetsarbetet och var informations-](https://reader034.vdocuments.net/reader034/viewer/2022051805/5ff30bc6a9d6042c8d0402de/html5/thumbnails/6.jpg)
• En kommuns roll i trygghets och säkerhetsarbetet och var informations- och IT-säkerheten kommer in i detta
• Vad, vem och hur man kan arbeta med informations- och IT-säkerhet
Jan A Svensson
![Page 7: Informations- och IT-säkerhet€¦ · Informations- och IT-säkerhet Jan A Svensson i kommunal verksamhet • En kommuns roll i trygghets och säkerhetsarbetet och var informations-](https://reader034.vdocuments.net/reader034/viewer/2022051805/5ff30bc6a9d6042c8d0402de/html5/thumbnails/7.jpg)
Vad behöver göras ?
Jan A Svensson
![Page 8: Informations- och IT-säkerhet€¦ · Informations- och IT-säkerhet Jan A Svensson i kommunal verksamhet • En kommuns roll i trygghets och säkerhetsarbetet och var informations-](https://reader034.vdocuments.net/reader034/viewer/2022051805/5ff30bc6a9d6042c8d0402de/html5/thumbnails/8.jpg)
Internt Externt Externt/Internt
Vad behöver göras ?
Färdriktning• Önskvärda framtida läge• Vad man ska uppnå• Prioriteringar• ….
Jan A Svensson
Förhållningssätt• Värden som ska beaktas• Principer som ska gälla• Sätter gränser• ….
Förhållningssätt(t ex DI:s råd)
Färdriktning(t ex Digital Agenda)
Förhållningssätt
![Page 9: Informations- och IT-säkerhet€¦ · Informations- och IT-säkerhet Jan A Svensson i kommunal verksamhet • En kommuns roll i trygghets och säkerhetsarbetet och var informations-](https://reader034.vdocuments.net/reader034/viewer/2022051805/5ff30bc6a9d6042c8d0402de/html5/thumbnails/9.jpg)
Vad behöver göras ?
Viljeyttring, värdeyttring. Livscykel ≈ 5 år
Vad som skall göras, anger ramar. Livscykel ≈ 3 -5 årHur & på vilket sätt. Konkreta.
Livscykel ≈ 3 år
Viktigt att definiera och besluta om
Jan A Svensson
besluta om styrdokumentens hierarki !
![Page 10: Informations- och IT-säkerhet€¦ · Informations- och IT-säkerhet Jan A Svensson i kommunal verksamhet • En kommuns roll i trygghets och säkerhetsarbetet och var informations-](https://reader034.vdocuments.net/reader034/viewer/2022051805/5ff30bc6a9d6042c8d0402de/html5/thumbnails/10.jpg)
Vad behöver göras ?
Exempel:•Säkerhetspolicy
Exempel:• Riktlinjer för informationssäkerhet
Exempel:• Regler för chefers informationssäkerhetsansvar• Regler för IT-användare• Regler för Driftsdokumentation• Regler för E-post
Exempel:• Arkivlag ( Allmänna handlingar ska skyddas mot förstörelse, skada, tillgrepp
Exempel:• Strategi för samhällets informationssäkerhet• Arkivlag ( Allmänna handlingar ska skyddas mot förstörelse, skada, tillgrepp
och obehörig åtkomst)• Personuppgiftslag (Skydd av personuppgifter som behandlas)• Offentlighets- och sekretesslag (Sekretessbelagda uppgifter får ej röjas)• Tryckfrihetsförordningen (Tillhandahållande av allmän handling )• Lag om kommuners och landstings åtgärder inför och vid
extraordinära händelser i fredstid och höjd beredskap (Minskasårbarheten och kunna hantera extraordinära händelser)
• Lag om skydd mot olyckor (Tillfredsställande skydd för egendom)• Patientdatalag (Informationshantering inom hälso- och sjukvården ska
tillgodose patientsäkerheten, god kvalitet samt främja kostnadseffektivitet)• Lag om kommunal redovisning(Beskrivningar över genomförda
bearbetningar ska upprättas så att man kan följa och förstå de enskilda bokföringsposternas behandling)
• Strategi för samhällets informationssäkerhet• Nationell strategi för skydd av samhällsviktig
verksamhet• DI:s råd• Socialstyrelsens föreskrifter• Nationell eHälsa• Strategi för eSamhället• Digital agenda för Sverige• Lokala styrdokument• Avtal och överenskommelser
Jan A Svensson
![Page 11: Informations- och IT-säkerhet€¦ · Informations- och IT-säkerhet Jan A Svensson i kommunal verksamhet • En kommuns roll i trygghets och säkerhetsarbetet och var informations-](https://reader034.vdocuments.net/reader034/viewer/2022051805/5ff30bc6a9d6042c8d0402de/html5/thumbnails/11.jpg)
Hur gör man ?
Analysera
UtformaFöljaupp
Införa
Verksamhetsanalys
Mätning gentemot
Analys
Genomgång och återrapportering
Fastställa säkerhetsåtgärder
RiskanalysGAP-analys
Kontroll
Utforma säkerhetsprocesser• Kris- & kontinuitetshantering• Incidenthantering• Förändringshantering • Service och supporthantering• Behörighetshantering • Patch-hantering• Övervakning & logghantering• Information & utbildning
Klassificering
FörtroendeUppfyllande av lagar och krav
från ledning, nyttjare,medborgare, kunder,
intressenter mfl
RiskmedvetenhetTydliggörande av risker för
ansvariga
Jan A Svensson
Införa
Införa säkerhetsåtgärder
gentemot indikatorer
Införa säkerhetsprocesser
Realisera försäkringslösningar
• Information & utbildning• …
VerksamhetsanpassningInte ”högsta” utan ”tillräcklig” säkerhet
intressenter mfl
![Page 12: Informations- och IT-säkerhet€¦ · Informations- och IT-säkerhet Jan A Svensson i kommunal verksamhet • En kommuns roll i trygghets och säkerhetsarbetet och var informations-](https://reader034.vdocuments.net/reader034/viewer/2022051805/5ff30bc6a9d6042c8d0402de/html5/thumbnails/12.jpg)
Vem gör vad?• Riskägare
• Respektive nämnd/förvaltning och styrelse/bolag är ansvarig för riskhanteringen och säkerheten inom respektive verksamhet (KS ytterst ansvarig)
• Övergripande ledning och samordning• Stadsledningskontor (motsv) med uppdrag att stödja kommunstyrelsens ledning och
samordning av kommunens verksamhet
• Uppföljning och granskning• Revisionsförvaltning (motsv) med uppdrag att granska och bedöma den interna
kontrollen i verksamheten såsom att tillämpliga lagar, föreskrifter, styrdokument mm följs
• Stadsledningskontor (motsv) med uppdrag att stödja kommunstyrelsen att fullfölja sin uppsiktsplikt
![Page 13: Informations- och IT-säkerhet€¦ · Informations- och IT-säkerhet Jan A Svensson i kommunal verksamhet • En kommuns roll i trygghets och säkerhetsarbetet och var informations-](https://reader034.vdocuments.net/reader034/viewer/2022051805/5ff30bc6a9d6042c8d0402de/html5/thumbnails/13.jpg)
Processägare
• Riskanalysera • Besluta om säkerhetsnivå• Säkerställa processer och
informationshantering• Informationsklassa • Besluta om åtkomst• Säkerställa att informationssystem uppfyller
beslutade krav • Organisera och planera den operativa
förvaltningen vilket inkluderar uppföljning av definierade säkerhetskrav
• Personuppgiftsansvarig (PuL)
Informationsägare• Informationsklassa • Besluta om åtkomst
Exempel på hur delegation/verkställighet av ansvar/skyldigheter kan göras inom en förvaltning
• Riskanalysera • Besluta om säkerhetsnivå• Säkerställa processer och
informationshantering• Informationsklassa • Besluta om åtkomst• Säkerställa att informationssystem
uppfyller beslutade krav
Säkerhetsfunktion Verksamhetsansvarig • Utveckla/förvalta handlingsplan • Utveckla/förvalta styrdokument• Utveckla/förvalta processer och
metoder• Incidentutredningar • Uppföljningar/revisioner• Utbilda och informera • Stöd
Jan A Svensson
Systemägare
Systemansvarig
• Säkerställa att informationssystem uppfyller beslutade krav
Om en nämnd uppdrar åt en förvaltningschef inom nämndens verksamhetsområde att fatta beslut, får nämnden överlåta åt förvaltningschefen att i sin tur uppdra åt en annan anställd inom kommunen att besluta i ställetBeslut som fattas enligt i förväg fastställda direktiv och som inte innehåller något moment av självständig bedömning
Delegation
Verkställighet
uppfyller beslutade krav • Organisera och planera den operativa
förvaltningen vilket inkluderar uppföljning av definierade säkerhetskrav
• Säkerställa att informationssystem uppfyller beslutade krav
• Organisera och planera den operativa förvaltningen vilket inkluderar uppföljning av definierade säkerhetskrav • Organisera och planera den operativa förvaltningen vilket inkluderar uppföljning av definierade säkerhetskrav
![Page 14: Informations- och IT-säkerhet€¦ · Informations- och IT-säkerhet Jan A Svensson i kommunal verksamhet • En kommuns roll i trygghets och säkerhetsarbetet och var informations-](https://reader034.vdocuments.net/reader034/viewer/2022051805/5ff30bc6a9d6042c8d0402de/html5/thumbnails/14.jpg)
Exempel på hur fördelning av ansvar/skyldigheter för system inom en förvaltning/bolag kan göras
Processägare• Genomföra riskanalyser • Besluta säkerhetsnivå• Säkerställa processer
Verksamhetsansvarig
• Personuppgiftsansvarig
Förvaltningar/Bolag
Informationsägare• Informationsklassning• Hanteringsregler
Nämnd
Förvaltningsschef
Verksamhetschef
Styrelse
VD
Affärsområdeschef
Jan A Svensson
Systemförvaltning Drift
= Delegation (max två led för fv)
= VerkställighetXx Yy
• Hanteringsregler (åtkomst, behörighet,..)
IT-chef IT-chef
Systemansvarig• Organisera, planera, utarbeta och koordinera
• Uppföljning
Systemägare• Säkerställa att beslutadekrav på säkerhet uppfylls
![Page 15: Informations- och IT-säkerhet€¦ · Informations- och IT-säkerhet Jan A Svensson i kommunal verksamhet • En kommuns roll i trygghets och säkerhetsarbetet och var informations-](https://reader034.vdocuments.net/reader034/viewer/2022051805/5ff30bc6a9d6042c8d0402de/html5/thumbnails/15.jpg)
• En kommuns roll i trygghets och säkerhetsarbetet och var informations- och IT-säkerheten kommer in i detta
• Vad, vem och hur man kan arbeta med informations- och IT-säkerhetinformations- och IT-säkerhet
Jan A Svensson
![Page 16: Informations- och IT-säkerhet€¦ · Informations- och IT-säkerhet Jan A Svensson i kommunal verksamhet • En kommuns roll i trygghets och säkerhetsarbetet och var informations-](https://reader034.vdocuments.net/reader034/viewer/2022051805/5ff30bc6a9d6042c8d0402de/html5/thumbnails/16.jpg)
Jan A Svensson