Informationssäkerhet i regional samverkan ! Nr 4, 2015 Månadsbrev april 2015 __________________________________________________________________________________________________________ Samverkan Informationssäkerhet I Kalmar län samverkar kommunerna, landstinget och regionförbundet i informationssäkerhetsfrågor. Månadsbrevens syfte är att sprida övergripande information till parterna. Tidigare månadsbrev hittar du här: http://rfkl.se/sv/Verksamheter/IT_infosakerhet/Informationssakerhet/Nyhetsbrev/ Innehåll Detta månadsbrev tar upp Länsstyrelsens informationssäkerhetsprojekt, eArkiv-‐konferensen, rapport från kommunernas nätverk för informationssäkerhet, MSB regleringsbrev om kommunernas informationssäkerhet, verktyg för självmätning och klassificering samt ett omvärldsperspektiv om integritet och sekretess i vården liksom krav på våra leverantörer. Några genomförda aktiviteter april 2015 Möte med Torsås informationssäkerhetssamordnare MSB workshop om självmätning och indikatorer Riskanalys Högsby • • • • • E-arkivkonferens i Kalmar Kommunernas nationella nätverk för informationssäkerhet, KIS-nätverket Informationssäkerhetsprojektet I förra månadsbrevet beskrev jag informationssäkerhetsprojektets mål, syfte och omfattning. Projektledningen som består av mig som sakkunnig och Tommy Lindström från länsstyrelsen som projektledare avser att besöka samtliga kommuner och landstinget under våren. Denna eriksgata är nu påbörjad och vi har hittills besökt Landstinget samt Vimmerby, Kalmar och Västerviks kommun. Vi planerar att träffa Mörbylånga den 13/5, Nybro den 20/5, Hultsfred den 21/5, Oskarshamn den 26/5, Torsås den 27/5 och Högsby den 1/6. Mönsterås, Borgholm och Emmaboda återstår att boka in. På mötet introduceras projektet, vi utser om möjligt en kontaktperson och överlämnar efter mötet ett antal frågeställningar riktade till olika målgrupper. Svaren utgör underlag för kompetenshöjande aktiviteter som kommer att genomföras under 2015-‐2016. Information om projektet kommer att samlas på denna länk; http://rfkl.se/infosak eArkiv-konferens Den 24 april genomfördes en större eArkiv-‐konferens med flera nationella toppnamn i Kalmar. Vi var närmare hundra personer som fick höra att eArkiv är en organisationsfråga som kräver handling och åtgärd samt hur andra regioner arbetar med eArkiv. SKL talade om eArkiv som en förutsättning för utveckling av digitala välfärdstjänster och SKI förklarade hur ramavtalet för eArkiv kan tillämpas vid samverkan. Riksarkivet gav en lägesrapport kring specifikationer och samverkan med andra intressenter samt deras regionala ansvar. Regionförbundets informationssäkerhetssamordnare, dvs jag, talade om behovet av att säkerställa tillgänglighet, riktighet, konfidentialitet och spårbarhet på information som ska bevaras långsiktigt. Värdet av att tänka efter före! Projektledaren för Kalmar läns earkiv berättade om projektet och avslöjade även vilket förslag som projektet kommer att ge uppdragsgivaren, som är kommuncheferna i Kalmar län. Hela konferensen spelades in och kommer att finnas tillgänglig på Regionförbundets hemsida inom den närmaste veckan. Mer info kommer från projektledaren och http://rfkl.se/earkiv. Regionförbundet i Kalmar län Stephen Dorch Nygatan 34, 391 27 Kalmar +46 480 448343, [email protected] , www.rfkl.se Informationssäkerhet i regional samverkan ! Nr 4, 2015 Månadsbrev april 2015 __________________________________________________________________________________________________________ Nätverksträff Informationssäkerhet Kommuner, KIS-‐nätverket KIS bildades 2010 på initiativ från Kalmar län. Syftet är att genom nationell samverkan med landets alla kommuner öka vår förmåga att hantera informationssäkerheten. KIS är inspirerat av landstingens dito, NIS-‐nätverket som funnits sedan 1998. Idag är KIS ca 130 anslutna kommuner som ständigt ökar. Den mesta samverkan sker i diskussionsforum och dokumentdelning på nätet. Tre gånger per år genomförs nätverksträffar i olika former. Vill du vara med i KIS så hör du av dig till mig, så ordnar jag det. Lidingö visade verktyget KLASSA På vår senaste träff i Malmö fick vi se och öva på ett antal bra verktyg. Verktyget KLASSA från Lidingö blir snart ett nationellt verktyg som tillhandahålls av SKL. Klassa är en handlingsplan för informationssäkerhet för system med konkreta krav. Syftet är att minska behovet av utbildning och att införa informationssäkerhet som en naturlig del i det praktiska arbetet samt att förenkla genom att vara konkret och tydlig. Vi får inte: Vi m åste: • Ha inkonsekventa krav • Öka förståelsen och medvetenheten • Överblicka konsekvenserna • Tillämpa ”onödig säkerhet” • Använda oss av godtyckliga eller • Vara tydlig med vad som gäller verklighetsfrämmande lösningar Mer om KLASSA kommer under hösten, då jag hoppas kunna länka till den nationella tjänsten. Ny vägledning för informationsklassning Andra ämnen som föredrogs på KIS-‐mötet var ny vägledning för informationsklassning med exempel på hur en socialförvaltning tillämpar informationssäkerhetskraven, hur landstingen arbetar med klassning samt säkerhet i industriella system, så kallade SCADA system. Avslutningsvis berättade MSB om deras regeringsuppdrag där följande framgår: MSB och SKL genomför en undersökning av hur Sveriges kommuner arbetar med informationssäkerhet, i vilken länsstyrelsernas roll ska beaktas. Den 20 april skickades en enkät ut till samtliga kommuner från MSB. Jag hoppas att alla kommuner i Kalmar län besvarar enkäten, då den utgör ett viktigt underlag för länsstyrelsens informationssäkerhetsprojekt. Om ni inte hittar enkäten så kontakta mig så löser vi det. Informationssäkerhet på Offentliga rummet den 1-‐3 juni i Visby Konferensen Offentliga Rummet har i år ett fördjupningspass om informationssäkerhet den 1 juni. Är du chef, verksamhetsutvecklare eller ny inom området informationssäkerhet så vill jag tipsa om fördjupningsdagen. Även den ordinarie konferensen den 2-‐3 juni innehåller en del informationssäkerhet som t.ex. klassning, arkitektur, elegitimation, outsorcing, mobilitet och mycket mer. Läs mer i länken; http://offentligarummet.se. Om du avser att åka så hör gärna av dig till mig så kanske vi kan göra gemensam sak av konferensen. Hur (re)agerar vi på en IT-‐incident? Det är en fråga som är näst intill omöjlig att besvara. Därför pågår just nu ett försök att få fram en modell som hjälper till att fastställa en kommuns eller landstings förmåga att identifiera vilka åtgärder som behövs för att hantera IT-‐relaterade incidenter. ___________________________________________________________________________________________________________________________ Regionförbundet i Kalmar län Stephen Dorch Nygatan 34, 391 27 Kalmar +46 480 448343, [email protected] , www.rfkl.se Informationssäkerhet i regional samverkan ! Nr 4, 2015 Månadsbrev april 2015 __________________________________________________________________________________________________________ Under ledning av MSB medverkade jag på en workshop där vi gick igenom en modell baserad på definierade mognadsnivåer och mognadsaspekter. Till dessa följer ett antal frågor som hjälper till att fastställa vår förmåga att klara en IT-‐incident och att vidta rätt åtgärder. Nedans ser ni hur nivåerna och aspekterna står sig i förhållande till varandra. Resultatet kan sammanställas i en tabell liknande nedanstående. De i tabellelen ifyllda kryssen är påhittade av mig och gäller ingen särskild organisation. Aspekt Nivå Obefintligt Initial Reperterbart Definierat Förvaltat Optimerat Medvetenhet Ansvar Rapportering Policys & standards Kunskap & utbildning Procedurer & verktyg x x x x x x Omvärldsperspektiv Vi måste ställa tydligare informationssäkerhetskrav på våra leverantörer En av kommunernas och landstingens största leverantörer skickar känslig information öppet och okrypterat över nätet till konsulter i Indien. Bland annat skickas lösenord i klartext. http://www.dn.se/nyheter/sverige/telias-‐slarv-‐oppnar-‐telenatet-‐for-‐avlyssning En annan uppgift, vars källa jag inte kan verifiera, gör gällande att verktyg som t.ex. Google translate används för översättning av konfidentiell information. Om detta är sant så finns det en betydande förbättringspotential. Den personliga integriteten i vården, skydd mot skvallerläsning Jag har vid flera tillfället skrivit om utmaningen med integritet i vården. Nu uppmärksammar radioprogrammet Kaliber i P1 vilket skydd som finns för känslig information. Programmet tar bland annat upp Patientdatalagens efterlevnad och pekar på en del sakliga brister. Är du intresserad av dessa frågor så rekommenderar jag programmet, som är 32 minuter långt. http://sverigesradio.se/sida/avsnitt/529895?programid=1316 Några av mina aktiviteter i maj är följande; • • • • • Socialchefsträff Mörbylånga och Nybro chefsgrupp Oskarshamns kommunstyrelse eArkiv slutrapport LänsIT konferens (IT-chefernas nätverk) • • • Högsby km-chef angående Riskanalys Rätt säkerhet; http://www.sis.se/rattsakerhet Kommunchefsträff angående informationssäkerhet och eArkiv Har du synpunkter eller förslag på innehåll i kommande månadsbrev så får du gärna höra av dig till mig. Hälsningar Stephen ___________________________________________________________________________________________________________________________ Regionförbundet i Kalmar län Stephen Dorch Nygatan 34, 391 27 Kalmar +46 480 448343, [email protected] , www.rfkl.se
© Copyright 2024