G3 – Upprätthåll rätt nivå på informationssäkerhet och integritet

Från dpbl
Hoppa till: navigering, sök

E-delegationens beskrivning

En ökad samverkan samt koncentrationen av e-tjänster på nationell nivå skapar nya möjligheter, men också nya risker, som måste hanteras gemensamt för att våra samhällsfunktioner ska kunna upprätthållas. Informationssäkerhet är därför en nödvändig förutsättning för e-samhället, vilket också framgår i den målbild som finns i [Strategi för informationssäkerhet i e-förvaltning] från Myndigheten för samhällsskydd och beredskap, MSB. Med detta avses en styrning av organisatoriska och tekniska åtgärder som skyddar information så att – utifrån analyserade risker – rätt nivå uppnås för:

  • Konfidentialitet
  • Riktighet
  • Spårbarhet
  • Tillgänglighet

Generellt ska de tjänster som tas fram vid digital samverkan utvecklas i linje med de krav som ställs på myndigheters arbete med informationssäkerhet, för att uppfylla målbilden i ovanstående strategi.

Personuppgifter ingår i den absoluta majoriteten av tjänster, som hanterar information i offentlig verksamhets uppdrag, riktade mot enskilda. Därför är skyddet av den personliga integriteten en viktig aspekt som särskilt ska beaktas.

Syftet med arbetet med informationssäkerhet är att reducera risker ur de fyra perspektiv som beskrivs ovan. Därför måste arbetet bygga på itererade riskanalyser som påverkar utveckling och sedermera förvaltning av de tjänster som är aktuella.

Motivering

När offentliga aktörers uppdrag utförs via digitala tjänster ställs krav på en mer samverkande utformning, då information från flera aktörer ska vidareutnyttjas och förädlas. Detta leder därför till ett behov av samordning även av informationssäkerheten.

Samordningen är viktig för att kunna möta medborgare och andra intressenters förväntan på likvärdig säkerhet och integritet i myndigheternas informationshantering.

Informationssäkerhet – där skyddet av personlig integritet ingår som en av flera aspekter – är därför en grundläggande princip i all offentlig informationshantering och måste ingå som en styrande faktor redan initialt i projekt som baseras på digital samverkan. Det är viktigt att en säkerhetsarkitektur skapas integrerat med övrig arkitektur och alltså inte tvingas läggas till i slutskedet av ett utvecklingsinitiativ.

Konsekvens

Ansvar och roller som informationsägare och tjänsteproducent måste beskrivas och hanteras på likartat sätt i olika samverkanslösningar liksom styrning genom riskanalyser och informationsklassningar, samt definierade skyddsnivåer. De lösningar som tas fram ska uppfylla krav på funktion i normalläge, men ska även planeras för att hantera störningar på olika nivå.

Stor vikt måste läggas vid att hantera lösningar där information från flera aktörer sammanförs, på annat sätt aggregeras, alternativt används på annat sätt än ursprungligen definierat. I sådana situationer riskeras både att ett oklart ansvar uppstår och att kraven på personlig integritet åsidosätts.

Ytterligare en konsekvens är att det måste finnas funktioner som hanterar tillit då flera aktörer (offentliga och privata) samverkar, exempelvis genom efterlevnadskontroller.

I dPBL..

I dPBL blir detta viktigt när vi ska beskriva hur e-tjänster ska utformas. Det handlar till exempel om

  • Klassa information så vi vet om det är konfidentiell information eller inte. Exempel är fastighetsinformation: hur ska den hanteras? Vilka uppgifter kan användas i e-tjänsterna? Vilka kan inte användas? På vilket sätt kan informationen användas? Går det att ha direktåtkomst till fastighetsdata i en söktjänst?
  • Klassa informationen utifrån hur tillgänglig den är. Hur ska en e-tjänst fungera om den behöver information från flera källor för att ge svar på en viss fråga men så har en leverantör driftstopp? Ska e-tjänsten sluta fungera eller kan den leverera ett "delvis-svar"?

=> Tillbaks till Principer för digital samverkan
=> Till första sidan om E-delegationen


Lägg till din kommentar
dpbl välkomnar alla kommentarer. Om du inte vill vara anonym kan du registrera eller logga in. Det är gratis.