S1 – Bedriv ett riskbaserat informationssäkerhetsarbete

Från dpbl
Hoppa till: navigering, sök

E-delegationens beskrivning

Informationshanteringen vid digital samverkan bör ses i ett livscykelperspektiv där roller och ansvar för informationssäkerheten ska vara fastställda från det att en tjänst initieras, utvecklas, driftssätts och förvaltas, fram till dess att den slutligen avvecklas. Två centrala roller i detta hänseende är informationsägare respektive tjänsteproducent, se även vägledning för digital samverkan, fördjupning om roller.

När en tjänst utvecklas ska informationsägarna identifieras och ges möjlighet att formulera relevanta och nödvändiga informationssäkerhetskrav. Kraven som ställs ska baseras på kunskap om den information som hanteras, samt vilka hot och risker som bedöms föreligga i och eller mot informationen och informationshanteringen. Kunskapen inhämtas genom riskanalys och informationsklassning.

Myndigheten för samhällsskydd och beredskap, MSB, har tagit fram modeller för informationsklassning respektive riskanalys som kan användas vid genomförandet.

Motivering

Informationssäkerhet i tjänster ska bygga på en bedömning av aktuella risker och hur dessa ska reduceras. Genom informationsklassning formulerar informationsägaren sin riskbedömning och överför den i form av säkerhetskrav till tjänsteproducenten. Genom att arbeta strukturerat med informationsklassning och riskanalys förenklas kravställningsproceduren vilket även innebär en ökad grad av effektivitet och möjlighet att höja kvaliteten i informationshanteringen. Därutöver kan det även leda till lägre kostnader då man tidigt kan planera för en balanserad säkerhetsnivå i form av krav på arkitektur och på design av lösningen.

Konsekvens

Säkerhetsåtgärderna ska omfatta skydd i lagring och i kommunikation samt gälla samtliga aspekter: konfidentialitet, riktighet, spårbarhet och tillgänglighet.

Av särskild betydelse är att klarlägga ansvarsförhållanden då informationsmängder från flera informationsägare sammanförs i en och samma tjänst.

Om tjänsten är av sådan art att störningar i tjänsten bedöms kunna få konsekvenser av nationell betydelse, ska detta särskilt beaktas och bedömas i riskanalysen.

Den som ansvarar för hela tjänsten, tjänsteproducenten, svarar i sin tur för att det genomförs en riskanalys för lösningen som helhet och att särskild hänsyn tas till operationella och eller säkerhetsrelaterade risker i tjänsten.

Tjänsteproducenten ska ha dokumenterade rutiner för att säkerställa att regelbundna interna och externa efterlevnadskontroller av säkerheten genomförs.

I händelse av att tjänsten eller systemet ska avvecklas ansvarar tjänsteproducenten för att planera för och genomföra en avveckling på ett strukturerat sätt, så att informationssäkerhetskraven kan upprätthållas genom hela avvecklingsprocessen.

I dPBL vill vi...

Attention niels epting .png   Sidan är under uppbyggnad och dess innehåll är inte fullständigt.



..verka för att informationsägare inom PBL-området utses och att de genomför informationsklassning samt säkerställer tillgänglighet och prestanda för information genom avtal.


=> Tillbaks till Principer för digital samverkan
=> Till första sidan om E-delegationen


Lägg till din kommentar
dpbl välkomnar alla kommentarer. Om du inte vill vara anonym kan du registrera eller logga in. Det är gratis.