Landstingsstyrelsens förslag till beslut

(1)

1 (2) FÖRSLAG 2013:17

LS 1112-1733

Landstingsstyrelsens förslag till beslut

Omarbetad informationssäkerhetspolicy och riktlinjer för informationssäkerhet inom Stockholms läns landsting

Föredragande landstingsråd: Torbjörn Rosdahl

Ärendebeskrivning

Landstingsstyrelsen och landstingsfullmäktige beslutade den 22 november 2011 respektive den 6 december 2011 att anta ny informationssäkerhetspolicy och nya riktlinjer för informationssäkerhet inom Stockholms läns landsting, som började gälla den 1 januari 2012.

I samband med besluten fick landstingsstyrelsen i uppdrag att återkomma med en omarbetad informationssäkerhetspolicy där bland annat hänsyn tas till transparens, enkelhet och genomförda organisationsförändringar inom Stockholms läns landsting.

Landstingsstyrelsens förvaltning har tagit fram ett förslag till omarbetad informationssäkerhetspolicy med tillhörande riktlinjer för

informationssäkerhet.

Förslag till beslut

Landstingsstyrelsen föreslår landstingsfullmäktige besluta

att anta förslag till omarbetad informationssäkerhetspolicy för Stockholms läns landsting

att uppdra åt landstingsstyrelsen att fastställa förslag till omarbetade riktlinjer för informationssäkerhet inom Stockholms läns landsting och vid behov fastställa ändringar och tillägg till dessa

att uppdra åt landstingsstyrelsen att utarbeta tillämpningsanvisningar för beslut om styrdokument inom informationssäkerhetsområdet hos Stockholms läns landstings nämnder, styrelser och bolag

att uppdra åt nämnder, styrelser och bolag inom Stockholms läns landsting att utarbeta styrdokument för informationssäkerhet i enlighet med

landstingsstyrelsens riktlinjer för informationssäkerhet.

(2)

2 (2) FÖRSLAG 2013:17

LS 1112-1733

Landstingsstyrelsen har – under förutsättning av landstingsfullmäktiges beslut – för egen del beslutat att anta förslag till omarbetade riktlinjer för informationssäkerhet inom Stockholms läns landsting, att uppdra åt

landstingsdirektören eller den han utser att besluta om ändringar eller tillägg till riktlinjer för informationssäkerhet, att uppdra åt landstingsdirektören eller den han utser att utarbeta tillämpningsanvisningar för beslut om

styrdokument inom informationssäkerhetsområdet i Stockholms läns landstings nämnder, styrelser och bolag.

Landstingsstyrelsens motivering

Stockholms läns landsting behandlar i sina olika verksamheter dygnet runt och årets alla dagar mängder med information. Det är viktigt att denna

information behandlas säkert till skydd för såväl landstingets egna system som för medborgarnas och patienternas integritet.

Samtidigt är det viktigt att informationen också ska vara lätt åtkomlig för dem som har rätt att ta del av den och att landstingets anställda i övrigt ska kunna inhämta och behandla information på ett smidigt sätt.

Landstingsstyrelsen och landstingsfullmäktige beslutade 2011 att anta ny informationssäkerhetspolicy och nya riktlinjer för informationssäkerhet inom Stockholms läns landsting. I samband med beslutet uppdrogs åt landstings- styrelsen att återkomma med en omarbetad informationssäkerhetspolicy.

I det nu liggande förslaget har förbättringar gjorts med hänsyn till enkelhet, tydlighet, transparens och landstingets genomförda organisationsföränd- ringar.

Med de nu föreslagna riktlinjerna ges en ökad tydlighet i struktur och kravställning samtidigt som styrning och uppföljning av landstingets informationssäkerhetsarbete underlättas. Avsikten med riktlinjernas

utformning är att de ska vara tydliga och att det ska vara enkelt att hitta vad som gäller i enskilda frågor.

Beslutsunderlag

1. Landstingsstyrelsens ojusterade protokollsutdrag den 5 mars 2013 § 36. Protokollet justeras den 19 mars 2013.

2. Landstingsdirektörens tjänsteutlåtande den 7 februari 2013

3. Förslag till omarbetad informationssäkerhetspolicy för Stockholms läns landsting, den 1 februari 2013

4. Förslag till omarbetade riktlinjer för informationssäkerhet inom Stockholms

läns landsting, den 1 februari 2013

(3)

_________________________________________________________________________________

Utdragsbestyrkande Anna-Britt Weiss

Landstingsstyrelsen

Protokollsutdrag

Sammanträdesdatum

2013-03-05

Datum för justering: 2013-03-19 Datum för anslag: 2013-03-20

- - -

§ 36 Omarbetad informationssäkerhetspolicy och riktlinjer för informationssä- kerhet inom Stockholms läns landsting

LS 1112-1733

Landstingsrådsberedningens skrivelse den 20 februari 2013 jämte policy och riktlinjer med landstingsdirektörens tjänsteutlåtande den 7 februari 2013.

Landstingsstyrelsen beslutade enligt landstingsrådsberedningens förslag dels föreslå landstingsfullmäktige besluta

att anta förslag till omarbetad informationssäkerhetspolicy för Stockholms läns lands- ting

att uppdra åt landstingsstyrelsen att fastställa förslag till omarbetade riktlinjer för in- formationssäkerhet inom Stockholms läns landsting och vid behov fastställa ändringar och tillägg till dessa

att uppdra åt landstingsstyrelsen att utarbeta tillämpningsanvisningar för beslut om styrdokument inom informationssäkerhetsområdet hos Stockholms läns landstings nämnder, styrelser och bolag

att uppdra åt nämnder, styrelser och bolag inom Stockholms läns landsting att utarbeta styrdokument för informationssäkerhet i enlighet med landstingsstyrelsens riktlinjer för informationssäkerhet

dels – under förutsättning av landstingsfullmäktiges beslut – för egen del besluta att anta förslag till omarbetade riktlinjer för informationssäkerhet inom Stockholms läns landsting

att uppdra åt landstingsdirektören eller den han utser att besluta om ändringar eller tillägg till riktlinjer för informationssäkerhet

att uppdra åt landstingsdirektören eller den han utser att utarbeta tillämpningsanvis- ningar för beslut om styrdokument inom informationssäkerhetsområdet i Stockholms läns landstings nämnder, styrelser och bolag.

- - - Vid protokollet

Anna-Britt Weiss Exp till:

Landstingsfullmäktige

Beslutsunderlag 1

(4)

Stockholms läns landsting

^{1 (6)}

Landstingsstyrelsens förvaltning TJÄNSTEUTLÅTANDE

2013-02-07 LS 1112-1733

Ankom

Stockholms läns landsting

Landstingsstyrelsen 2013 -02- 0 8

Kokl I

Omarbetad informationssäkerhetspolicy och riktlinjer för informationssäkerhet inom Stockholms läns

landsting

Ärendebeskrivning

Landstingsstyrelsen och landstingsfullmäktige beslutade den 22 november 2011 respektive den 6 december 2011 att anta ny informations-

säkerhetspolicy och nya riktlinjer för informationssäkerhet inom Stockholms läns landsting, som började gälla den 1 januari 2012.

I samband med besluten fick landstingsstyrelsen i uppdrag att återkomma med en omarbetad informationssäkerhetspolicy där bland annat hänsyn tas till transparens, enkelhet och genomförda organisationsförändringar inom Stockholms läns landsting.

Landstingsstyrelsens förvaltning har tagit fram ett förslag till omarbetad informationssäkerhetspolicy med tillhörande riktlinjer för informations- säkerhet.

Beslutsunderlag

Landstingsdirektörens tjänsteutlåtande den 7 februari 2013

Förslag till omarbetad informationssäkerhetspolicy för Stockholms läns landsting, den 1 februari 2013

Förslag till omarbetade riktlinjer för informationssäkerhet inom Stockholms läns landsting, den 1 februari 2013

Förslag till beslut

Landstingsstyrelsen föreslås dels föreslå landstingsfullmäktige besluta att anta informationssäkerhetspolicy enligt Förslag till omarbetad informationssäkerhetspolicy för Stockholms läns landsting

att uppdra åt landstingsstyrelsen att fastställa Förslag till omarbetade riktlinjer för informationssäkerhet inom Stockholms läns landsting och vid behov fastställa ändringar och tillägg till dessa

Beslutsunderlag 2

(5)

Stockholms läns landsting

²⁽⁶⁾

TJÄNSTEUTLÅTANDE

2013-02-07 LS 1112-1733

att uppdra åt landstingsstyrelsen att utarbeta tillämpningsanvisningar för beslut om styrdokument inom informationssäkerhetsområdet hos

Stockholms läns landstings nämnder, styrelser och bolag

att uppdra åt nämnder, styrelser och bolag inom Stockholms läns landsting att utarbeta styrdokument för informationssäkerhet i enlighet med

landstingsstyrelsens riktlinjer för informationssäkerhet

dels - under förutsättning av landstingsfullmäktiges beslut - för egen del besluta

att anta riktlinjer för informationssäkerhet enligt Förslag till omarbetade riktlinjer för informationssäkerhet inom Stockholms läns landsting att uppdra åt landstingsdirektören eller den han utser att besluta om ändringar eller tillägg till riktlinjer för informationssäkerhet

att uppdra åt landstingsdirektören eller den han utser art utarbeta tillämpningsanvisningar för beslut om styrdokument inom

informationssäkerhetsområdet i Stockholms läns landstings nämnder, styrelser och bolag.

Förvaltningens förslag och motivering Sammanfattning

Ärendet gäller förslag på omarbetad policy och tillhörande riktlinjer för informationssäkerhet inom Stockholms läns landsting. Förändringarna avser förbättringar avseende enkelhet, tydlighet, transparens och genomförda organisationsförändringar.

Bakgrund

Landstingsstyrelsen och landstingsfullmäktige beslutade den 22 november 2011 respektive den 6 december 2011 att anta ny informations-

säkerhetspolicy och nya riktlinjer för informationssäkerhet inom Stockholms läns landsting. De nya styrdokumenten började gälla den 1 januari 2012.

I samband med beslutet uppdrogs åt landstingsstyrelsen att återkomma med en omarbetad informationssäkerhetspolicy.

I det följande ges en kortfattad redogörelse av viktigare principiella förslag

till ändringar i policy och riktlinjer.

(6)

Stockholms läns landsting

³⁽⁶⁾

2013-02-07 LS 1112-1733

Informationssäkerhetspolicy

• Målet för landstingets informationssäkerhetsarbete har förtydligats.

• Det ingår en beskrivning av hur ledningssystemet för informationssäkerhet är uppbyggt.

• Tillägg har gjorts gällande vad som är grundläggande för informationssäkerhetsarbete.

• Ansvar och roller har tydliggjorts. Det klargörs på ett tydligare sätt vem som bär ansvaret för policyns efterlevnad, och det har skapats en ökad transparens i roller samt vad gäller verksamhetsansvar och

samordnande ansvar.

Riktlinjer för informationssäkerhet

• Ovan nämnda förändringar i policyn har inarbetats och konkretiserats i riktlinjerna för informationssäkerhet.

Strukturen i landstingets ramverk för informationssäkerhet har arbetats om för att underlätta styrning och uppföljning av landstingets

informationssäkerhet på såväl övergripande som på lokal nivå.

• Informationssäkerhetskraven har förtydligats och gjorts mer sammanhängande

• Det har genomförts redaktionella omarbetningar i dokumentet i syfte att göra innehållet enklare, tydligare och mer läsvänligt.

Genomförda omarbetningar syftar till att ge en ökad tydlighet i struktur och kravställning och att underlätta styrning och uppföljning av landstingets informationssäkerhetsarbete. Avsikten med riktlinjernas utformning är att de ska vara tydliga och att det ska vara enkelt att hitta vad som gäller i enskilda frågor.

Under året har förvaltningen genomfört en översyn av ledningssystemet för informationssäkerhet, med förslag på anpassningar för att bättre stödja det fortlöpande arbetet i verksamheterna. Förvaltningen föreslår att respektive nämnd, styrelse och bolag, inom ramen för landstingets övergripande ledningssystem för informationssäkerhet, ska styra och leda sitt informationssäkerhetsarbete i ett lokalt ledningssystem inom dess verksamhetsområde. Detta ska innehålla de nödvändiga processer och rutiner som behövs för att säkerställa att verksamheten uppfyller kraven på en god och ändamålsenlig informationssäkerhet.

Syftet med förslaget är att skapa förutsättningar för att bedriva ett systematiskt informationssäkerhetsarbete inom landstinget, och etablera nödvändiga stödstrukturer för informationssäkerhet på verksamhetsnivå.

Fokus ligger på att skapa en struktur för ledning och styrning på både

övergripande och lokal nivå, d.v.s. verksamhetsnivå, och därigenom skapa

(7)

Stockholms läns landsting

⁴⁽⁶⁾

2013-02-07 LS 1112-1733

förutsättningar för att hålla informationssäkerhetsarbetet levande och målen i policyn tydliga. Att upprätta verksamhetsnära ledningssystem är ett ändamålsenligt sätt att långsiktigt hantera och utveckla landstingets

informationssäkerhetsarbete.

För att stödja ett systematiskt informationssäkerhetsarbete i

verksamheterna och även kunna styra samordning av arbetet föreslår förvaltningen att den ges ett uppdrag att till riktlinjerna utarbeta tillämpningsanvisningar med vägledningar och preciseringar av landstingets övergripande policy och riktlinjer. Arbetet ska bedrivas i samarbete med framförallt landstingets facknämnder för att täcka in sådana frågor som ligger i respektive nämnds ansvarsområde.

Styrdokumenten på lokal nivå föreslås bestå av en lokal policy, lokala riktlinjer samt lokala anvisningar för informationssäkerhet. Dessa

styrdokument utarbetas med utgångspunkt från den egna organisationens specifika behov och i enlighet med tillämpningsanvisningarna. I

Socialstyrelsens föreskrifter om informationshantering och journalföring i hälso- och sjukvården, SOSFS 2008:14, anges att en vårdgivare ska ha en dokumenterad informationssäkerhetspolicy som gör att patientuppgifter hanteras på ett säkert sätt i verksamheten. I det föreslagna regelverket för informationssäkerhet motsvarar detta den lokala informationssäkerhets- policyn.

I övrigt har de omarbetade styrdokumenten tagit över de tidigare styrdokumentens grundregler. Vissa avsnitt och skrivelser i riktlinjerna har förenklats eller utgått då de bedömts motsvara nivån för

tillämpningsanvisningar. Omarbetad policy och tillhörande riktlinjer är liksom tidigare utformade med stöd av standarden för informationssäkerhet (SS-ISO/IEC 27002) och i enlighet med organisationens verksamhetskrav samt gällande lagar och föreskrifter. Förslaget har tagits fram i samråd med rådet för informationssäkerhet, ISR, där verksamheternas

informationssäkerhetssamordnare ingår.

Förtydligande avseende uppdraget till nämnder, styrelser och bolag att utarbeta styrdokument för informationssäkerhet i enlighet med

landstingsstyrelsens riktlinjer for informationssäkerhet

Landstingsstyrelsen och landstingsfullmäktige antog i slutet av år 2011 en ny informationssäkerhetspolicy och nya riktlinjer för informationssäkerhet.

Arbetet med att ta fram anvisningar som konkretiserar kraven pågår men

har kommit olika långt inom nämnder, styrelser och bolag. Beslut om

omarbetade riktlinjer medför att de nämnder, styrelser och bolag som har

kommit längst i sitt anvisningsarbete behöver justera sina anvisningar

(8)

Stockholms läns landsting 5 (6)

2013-02-07 LS 1112-1733

Förtydligande avseende uppdraget till landstingsdirektören att besluta om ändringar och tillägg

Med hänsyn till att riktlinjerna kan behöva revideras och uppdateras i enlighet med t.ex. förändringar i författningskrav föreslås

landstingsstyrelsen delegera viss beslutskompetens till

landstingsdirektören som bemyndigas att i sin tur vidaredelegera beslutanderätten till någon annan anställd. Avsikten är att genomföra justeringar i styrdokumentet som kan anses vara av mindre karaktär och

syfta till att förtydliga riktlinjerna eller anpassa dessa till förändrade förutsättningar.

En justering som exempelvis kan komma att behövas är att omarbeta texten för att göra riktlinjerna mer överskådliga och läsvänliga och att styra vissa krav eller textmassor till tillämpningsanvisningarna. Andra sådana exempel är justeringar gällande vårdenhetsbegreppet och landstingets

informationssäkerhetsutbildning. Beslut om tillägg eller ändringar som fattas med stöd av denna delegation ska anmälas till landstingsstyrelsen.

Beslut som fattats med stöd av landstingsdirektörens vidaredelegering skall anmälas till både landstingsdirektören och landstingsstyrelsen.

Om ändringar eller tillägg är av sådan karaktär att de kan sägas påverka verksamhetens mål, inriktning, omfattning eller kvalitet ska landstings- styrelsen fatta beslutet om aktuella ändringar eller tillägg (6 kap 34§

Kommunallagen.)

Konsekvenser av beslutet för informationssäkerheten Stockholm läns landstings samtliga verksamheter måste vidta skyddsåtgärder för att uppnå och vidmakthålla eftersträvad nivå på informationssäkerheten. Den omarbetade policyn bidrar till en ökad förståelse av innehåll, till en ökad tydlighet vad gäller ansvar för

informationssäkerhet samt till bättre förutsättningar att åstadkomma ett systematiskt informationssäkerhetsarbete inom landstinget.

Ekonomiska konsekvenser av beslutet

Det uppstår inga ekonomiska konsekvenser av beslutet. Kostnaderna för

framtagande av tillämpningsanvisningar samt genomförandet av policyn

och tillhörande riktlinjer ska rymmas inom respektive verksamhets budget.

(9)

Stockholms läns landsting

TJÄNSTEUTLÅTANDE 2013-02-07

Miljökonsekvenser av beslutet

I enlighet med landstingets Miljöpolitiska program 2012-2016 har hänsyn till miljön beaktats och slutsatsen är att det inte är relevant med en miljökonsekvensbedömning i detta ärende.

Toivo Heinsoo

Landstingsdirektör

_7?<

iders Nyström

Biträdande förvaltningschef

(10)

(11)

Stockholms läns landsting

LS 1112-1733

Förslag till omarbetad

informationssäkerhetspolicy

inom Stockholms läns landsting

2013-02-01

Beslutad av landstingsfullmäktige 20[xx]-[xx]-[xx]

Beslutsunderlag 3

(12)

Innehållsförteckning

1 Inledning 2 Mål

3 Omfattning 4 Innebörd 5 Ansvar

6 Uppföljning och revidering

(13)

3 (8)

l Inledning

Stockholms läns landstings verksamhet är grundad på principer om öppenhet, personlig integritet och respekt för individen. Medborgarna ska kunna få insyn i landstingets verksamhet. De ska kunna förlita sig på den information som landstinget lämnar och vara förvissade om att information som samlas in får ett tillräckligt skydd.

Information är en av landstingets mest strategiska resurser. Alla verksamheter är beroende av tillförlitlig information. Avbrott i tillgången till information kan vara kritiskt och felaktig information kan ge allvarliga konsekvenser inom hälso- och sjukvården, kollektivtrafiken och inom landstingets övriga ansvarsområden.

Utvecklingen med informationshantering i IT-system och nya funktionaliteter innebär förbättringar i många avseenden. Samtidigt innebär beroendet av informationssystem att sårbarheten och riskexponeringen ökar om inte säkerhetsaspekterna beaktas.

Därför arbetar Stockholms läns landsting aktivt med informationssäkerhet.

Det innebär att se till att informationstillgångar finns tillgängliga när de behövs, att de är korrekta, och att obehöriga inte får åtkomst till dem. Genom att arbeta systematiskt och långsiktigt upprätthåller vi ett tillräckligt skydd som är anpassat efter våra verksamheters förutsättningar och behov.

Informationssäkerhetsarbetet syftar till att stödja och säkerställa landstingets verksamhet. Alla medarbetare deltar i detta arbete. Informationssäkerhets- arbetet är en viktig del i landstingets övergripande arbete med intern styrning och kontroll samt riskhantering.

Denna policy beskriver de övergripande principer som ska gälla för informa-

tionssäkerhetsarbetet i Stockholms läns landsting.

(14)

2

Mål

Målet för landstingets informationssäkerhetsarbete är att skydda informa- tionen inom verksamheten. Skyddet ska vara anpassat till skyddsvärde, risk och lagkrav och därigenom möjliggöra för landstingets verksamheter att uppnå sina mål.

En god informationssäkerhet inom landstinget främjar verksamheternas funktionalitet, kvalitet och effektivitet, medborgares rättigheter och personliga integritet, landstingets förmåga att förebygga och hantera allvarliga störningar och kriser samt förtroendet för landstingets informationshantering och IT-system.

3 Omfattning

Informationssäkerhetspolicyn gäller för hantering av information, i alla dess former, i Stockholms läns landsting inklusive bolag och stiftelser och av samtliga som arbetar på uppdrag av landstinget. Det sistnämnda regleras genom avtal.

Informationssäkerhetsarbetet styrs med hjälp av landstingets ledningssystem för informationssäkerhet som är framtaget med stöd av standarden för

informationssäkerhet, ISO/IEC 27000 och utifrån organisationens verksamhetskrav samt gällande lagar och föreskrifter.

Vårt ledningssystem är uppbyggt i två nivåer. Nivåerna ger en struktur för ledning och styrning av informationssäkerheten på både övergripande nivå och på verksamhetsnivå. En viktig del av ledningssystemet är regelverket. Det består av styrande dokument som på övergripande nivå utgörs av denna policy och tillhörande riktlinjer och tillämpningsanvisningar. Allt informationssäker- hetsarbete utgår från dessa dokument.

Respektive nämnd, styrelse och bolag styr och leder sitt informationssäker- hetsarbete i ett lokalt ledningssystem inom dess verksamhetsområde. Det innehåller de nödvändiga processer och rutiner som behövs för att säkerställa att verksamheten uppfyller kraven på en ändamålsenlig informationssäkerhet.

De styrande dokumenten på lokal nivå utformas utifrån de övergripande.

Utöver detta krävs att Stockholms läns landsting i tillämpliga delar lever upp

till gällande lagar och förordningar samt till landstingets övriga styrande

dokument.

(15)

4 Innebörd

Informationssäkerhetsarbetet innebär att värdera all information efter sin känslighet och med hjälp av administrativa och tekniska skyddsåtgärder säkerställa att den finns tillgänglig när den behövs, att den är korrekt och att obehöriga inte kan få tillgång till den. Utöver dessa säkerhetsaspekter måste behov av spårbarhet uppfyllas - att i efterhand kunna avgöra vem som tagit del av informationen, vilka förändringar som skett och av vem dessa utförts.

Säkerhetsaspekter

Konfidentialitet (rätt person): Information får inte göras tillgänglig eller avslöjas på ett sådant sätt att den personliga integriteten eller sekretessen hotas.

Riktighet (rätt information): Informationen få inte förändras eller gå förlorad, av misstag, genom inverkan av obehörig eller på grund av tekniskt fel.

Tillgänglighet (rätt tid och plats): Informationen ska kunna användas i förväntad utsträckning, inom önskad tid och på rätt plats.

Spårbarhet: Händelser i informationsbehandlingen ska kunna spåras.

Skyddet av informationstillgångar och informationssystem ska vara utformat så att verksamhetens krav på dessa säkerhetsaspekter uppfylls. Detta gäller även när landstingets information eller informationssystem hanteras av extern part.

Skyddsåtgärder

För att hitta relevant skyddsnivå utifrån dessa fyra aspekter ska vi arbeta utifrån nedanstående principer:

• Vi ska arbeta med informationsklassificering där all information

klassificeras och handlingar och dokument märks.

(16)

• All information ska ha en ägare. Informationsägaren ansvarar för att klassificera informationen och ställa de säkerhetskrav som krävs för informationshantering.

• Alla informationssystem ska ha en systemägare som ansvarar för art säkerhetskraven på systemet uppfylls.

• Omvärlden förändras. Därför ska vi, utifrån återkommande risk- och sårbarhetsanalyser och inträffade incidenter, vidta nödvändiga åtgärder för att se till att vår information har rätt skydd.

• Vi ska ställa säkerhetskrav inför upphandling, utveckling, användning och avveckling av informationssystem och vi ska följa upp de krav vi ställt.

• Vi ska arbeta med kontinuitetsplanering och ha beredskap för avbrott.

Våra kritiska verksamheter ska kunna upprätthållas på fastställd nivå vid olika typer av katastrofsituationer, störningar och avbrott.

• Alla anställda ska veta vad det egna ansvaret omfattar och ha god kunskap om vilka säkerhetsregler som gäller. Detsamma gäller när tillfällig eller extern personal anlitas.

• Det är viktigt att alla har ett högt säkerhetsmedvetande och kritiskt ifrågasätter händelser som kan påverka informationssäkerheten.

• Skyddsåtgärder skall vara kostnadseffektiva och stå i proportion till värdet av informationen och de negativa konsekvenser en otillräcklig säkerhet kan medföra.

• Kontinuerlig uppföljning ska ske mot fastställda regler.

5 Ansvar

Landstingsfullmäktige fastställer den informationssäkerhetspolicy som ska gälla för landstinget.

Landstingsstyrelsen ansvarar för att landstingets informationssäkerhetspolicy och riktlinjer för informationssäkerheten utarbetas och hålls aktuella.

Landstingsstyrelsen ansvarar också för samordningen av informations-

säkerhetsarbetet i landstinget och ska därför årligen fastställa en övergripande

handlingsplan för informationssäkerhetsarbetet.

(17)

Landstingsdirektören har landstingstingsstyrelsens uppdrag att sörja för att informationssäkerhetsarbetet bedrivs så effektivt som möjligt.

Landstingsdirektören ansvarar för att övergripande tillämpningsanvisningar utarbetas och hålls aktuella i enlighet med policy och riktlinjer.

Informationssäkerhetschefen verkställer samordningen av informations- säkerhetsarbetet inom landstinget och förvaltar denna policy, de tillhörande riktlinjerna och tillämpningsanvisningarna samt den övergripande

handlingsplanen för informationssäkerhet.

Varje nämnd och styrelse är ansvarig för informationssäkerheten inom sitt verksamhetsområde och ska därför, inom ramen för sitt lokala ledningssystem och i enlighet med tillämpningsanvisningar, anta verksamhetsnära

styrdokument för informationssäkerhet. Det åligger även varje nämnd och styrelse att årligen planlägga och löpande följa upp informationssäkerheten och i övrigt vidta de åtgärder som krävs för att uppnå och upprätthålla tillräcklig intern kontroll.

Ansvaret för informationssäkerheten är kopplat till det delegerade verksam- hetsansvaret.

Förvaltningschef/VD ska säkerställa att all informationshantering inom den egna verksamheten sker i enlighet med denna policy samt tillhörande riktlinjer och tillämpningsanvisningar för informationssäkerhet.

Informationssäkerhetssamordnare ska utses inom varje förvaltning och bolag och ges i ansvar att samordna och följa upp det för organisationen och

verksamheten gemensamma informationssäkerhetsarbetet.

Varje anställd ansvarar för att uppställda säkerhetsregler följs samt att stör- ningar och fel i informationssystem, utrustningar och informationsinnehåll rapporteras enligt fastställda rutiner.

Informationssäkerhetsrådets uppgift är att främja, stödja, samordna och följa upp landstingets informationssäkerhetsarbete på en övergripande nivå.

Landstingsrevisorernas uppgift är att granska om den interna kontrollen är

tillräcklig.

(18)

8(8)

6 Uppföljning och revidering

Uppföljning och revidering av denna policy ska ske regelbundet. I samband

med revidering ska tillhörande riktlinjer och tillämpningsanvisningar samt

handlingsplanen för informationssäkerhet revideras på motsvarande sätt.

(19)

Stockholms läns landsting

Informationsklass:

K1R2T1

LS 1112-1733

Förslag till omarbetade

riktlinjer för informationssäkerhet inom Stockholms läns landsting

2013-02-01

Beslutad av landstingsstyrelsen 20[xx]-[xx]-[xx] och landstingsfullmäktige 20[xx]-[xx]-[xx]

Beslutsunderlag 4

(20)

Innehallsförteckning

1 Inledande bestämmelser i

1.1 Inledning i 1.2 Mål i 1.3 Syfte och omfattning i

1.4 Grunder 2 1.5 Landstingets regelverk för informationssäkerhet 2

2 Bedömning och hantering av risker 4 2.1 Riskbedömning och riskhantering 4 3 Organisation av informationssäkerheten 5

3.1 Övergripande informationssäkerhetsansvar 5

3.2 Roller och ansvar i verksamheten 6 3.3 Roller och ansvar gällande samordning och uppföljning 7

4 Personalresurser och informationssäkerhet 9

4.1 Rekrytering och anställning 9 4.2 Arbetsbeskrivning och anställningsvillkor 9

4.3 Sekretess 9 4.4 Utbildning och fortbildning i informationssäkerhet 10

4.5 Avslutande av anställning 10 5 Hantering av tillgångar l l

5.1 Förteckning över informationstillgångar 11

5.2 Klassificering av information 11 5.3 Märkning av information 11 5.4 Hantering av sekretessbelagd information 12

5.5 Bevarande, rensning och gallring av information 12

5.6 Personuppgifter 12 5.7 Skyddade personuppgifter 13

5.8 Patientuppgifter inom vården 14 5.9 Betalkortsinformation 15 5.10 Kakor (cookies) på webbplatser 15

6 Användning av IT-system 16 6.1 Generella regler för användning av landstingets IT-system 16

6.2 Anslutning av utrustning i landstingets IT-system 16

6.3 Användning av landstingets IT-system 17 6.4 Privat användning av landstingets IT-system 18

6.5 Användning av internet 18 6.6 Användning av e-post 19 6.7 Användning av sociala medier 20

6.8 Användaridentiteter, lösenord och e-tjänstekort 20

(21)

6.9 Kontrollåtgärder 20 7 Åtkomst till information 21

7.1 Styrning av åtkomst till elektronisk information 21

7.2 Extern informationsanvändning 22 7.3 Styrning av åtkomst till icke digital information 23

8 Driftsäkerhet 24 8.1 Generella krav på systemmilj ö 24

8.2 Systemförvaltning 24 8.3 Systemdokumentation 25 8.4 Säkerhetsuppdateringar 25 8.5 Skydd mot skadlig kod 25 8.6 Styrning av ändringar i eller kring IT-system 25

8.7 Felhantering 26 8.8 Kapacitetsplanering 26 8.9 Säkerhetskopiering och återläsning av data 26

8.10 Driftövervakning 26 8.11 Drift hos extern part 27 8.12 Gallring av information och avveckling av IT-system 27

9 Kommunikations- och nätverkssäkerhet 29

9.1 Säkerhetskrav på nätverksmiljön 29

10 Utveckling och anskaffning av IT-system 3¹

10.1 Generella regler vid utveckling och anskaffning 31

10.2 Systemutvecklingsprojekt 31 10.3 Upphandling av IT-system och systemutveckling 32

11 Fysisk och miljörelaterad säkerhet 33 11.1 Generella regler för fysisk och miljörelaterad säkerhet 33

11.2 Säkra utrymmen 33 11.3 Kraftförsörjning och elmiljö 34

11.4 Säkerhet för tillgångar utanför egna lokaler 34 12 Hantering av incidenter som rör informationssäkerhet 35

12.1 Incidenthantering 35 13 Kontinuitetsplanering 36

13.1 Generella regler för kontinuitetsplanering 36

14 Uppföljning och efterlevnad 37 14.1 Uppföljning av regelverket 37 14.2 Uppföljning av efterlevnad 37

Bilaga 1: Ansvarsbeskrivningar för särskilda roller i verksamheten Bilaga 2: Klassificeringsmodell

(22)

Läsanvisning

Denna läsanvisning förklarar riktlinjernas innehåll och användning. Varje kapitel inleds med en kort sammanfattning som berättar om innehållet i kapitlet. Sammanfattningarna finns samlade nedan.

Kapitel i . Inledande bestämmelser. I detta kapitel finns en förklaring till vad infor- mationssäkerhet innebär, grundläggande bestämmelser och en genomgång av hur regelverket ser ut.

Kapitel 2. Bedömning och hantering av risker. Landstingets informationstillgång- ar måste skyddas oavsett vilken form de har. Om det visar sig att skyddet kan kringgås är det viktigt att vi har en förmåga upptäcka detta. Därför ska v i ha god kunskap om de hot, risker och sårbarheter som kan komma att påverka oss och hur vi kan förebygga och hantera dem. Denna kunskap får vi bland annat genom att arbeta systematiskt med risk- och sårbarhetsanalyser.

Kapitel 3. Organisation av informationssäkerheten. För att uppnå och behålla en god informationssäkerhet är det viktigt att roller och ansvar fördelas. I detta kapitel beskrivs vem som ansvarar för vad.

Kapitel 4. Personalresurser och informationssäkerhet. A l l a som arbetar i lands- tingets verksamhet måste förstå sitt ansvar för och bidra till att hantera och skydda landstingets informationstillgångar. Hur dessa frågor hanteras i personalprocessen beskrivs i detta tredje kapitel.

Kapitel 5. Hantering av tillgångar. I detta kapitel finns det konkreta riktlinjer för hur vi ska hantera våra informationstillgångar. Sekretessbelagda handlingar, patientuppgifter inom vården och betalkortsinformation är exempel på känslig information som v i måste hantera på särskilt sätt. Genom att placera informationstillgångar i olika säkerhetsklasser vet v i vilka som kräver mer skydd än andra.

Kapitel 6. Användning av IT-system. Hur får anställda använda datorer, internetupp- koppling, telefoner, e-post och andra arbetsredskap för att v i ska ha god informationssä- kerhet? Här finns riktlinjerna för den personliga användningen av landstingets IT-system, och för vad som gäller vid arbete på annat ställe än arbetsplatsen.

Kapitel 7. Åtkomst till information. Hur vi ska förhindra att obehöriga får åtkomst till landstingets informationssystem, IT-tjänster och -infrastruktur? Här finns riktlinjer för hur åtkomsten till informationen ska styras så att endast behöriga användare kommer åt information.

Kapitel 8. Driftsäkerhet. För att undvika störningar och driftstopp i landstingets IT- system måste det finnas en god förvaltning med noggranna rutiner för till exempel drift- sättning, säkerhetskopiering och loggning.

(23)

Kapitel 9. Kommunikations- och nätverkssäkerhet. Det finns alltid risker för avlyssning, intrång och för att information förändras när den överförs genom data- och telekommunikation. Hur v i skyddar våra nätverk beskrivs i detta kapitel.

Kapitel 10. Utveckling och anskaffning av system. Hur förhåller sig våra informa- tionssystem och processer till de lagar som styr vår verksamhet? Den analysen måste göras innan informationssystem vidareutvecklas eller nya anskaffas. Här fmns riktlinjerna för hur det ska gå till.

Kapitel 11. Fysisk och miljörelaterad säkerhet. Tillträdeskontroll, säkra utrymmen, skalskydd och brandskydd - det är några av de rubriker som tas upp under denna rubrik.

Det handlar om hur IT-system och informationstillgångar ska skyddas, både i våra egna lokaler och när v i hyr in oss i andras.

Kapitel 12. Hantering av incidenter som rör informationssäkerhet. När en allvarlig incident inträffar som påverkar informationssäkerheten är det viktigt att vi agerar snabbt för att begränsa eller avvärja konsekvenserna av den. Störningar kan ha flera orsa- ker och kan snabbt komma att påverka många delar av vår verksamhet, men också andra aktörer i samhället. I detta kapitel behandlas hur v i hanterar sådana slags händelser.

Kapitel 13. Kontinuitetsplanering. Verksamheten ska kunna fortsätta även om till exempel IT-system slås ut, en strömkabel grävs av eller byggnader brinner ner. Därför är det viktigt att planera också hur verksamheten ska fungera om det händer något. Här fmns riktlinjerna för hur v i gör det och planerar för kontinuitet.

Kapitel 14. Uppföljning och efterlevnad. Här får v i veta hur och när vi ska göra uppföljningar så att v i vet vad som fungerar bra och vad v i behöver förändra för att hålla en god informationssäkerhet och samtidigt uppfylla den demokratiska uppgift vi har som offentlig myndighet.

(24)

Definitioner

För användningen av dessa riktlinjer gäller följande termer och definitioner:

Autentisering Kontroll av uppgiven identitet.

Behandling av personuppgifter

Varje åtgärd eller serie av åtgärder som någon vidtar med personuppgifter, vare sig det görs på automatiserad väg eller inte.

Behörighet Hot

Information

Informationssäkerhet

Tilldelad åtkomsträttighet i IT-system.

Möjlig oönskad händelse med negativa konsekvenser för verksamheten.

Ett vitt begrepp som inkluderar allt från kunskap som enskilda medarbetare besitter till information lagrad i IT-system.

Bevarande av konfidentialitet, riktighet och tillgänglighet hos information. (Härutöver kan begreppet även innefatta t.ex.

spårbarhet, autenticitet, oawislighet och tillförlitlighet).

Informationssäkerhets- E n eller flera händelser som kan tänkas få allvarliga incident konsekvenser för verksamheten och hota informations-

säkerheten (t.ex. brott mot sekretess, integritetsförlust, driftavbrott eller brist på tillgång till information).

Informationssäkerhets- policy

IT-system

Konfidentialitet

Känsliga person- uppgifter

Övergripande avsikt och viljeinriktning formellt uttryckt av en organisations ledning. Anger mål och inriktning för samt styr informationssäkerhetsarbetet inom organisationen.

Informationsbehandlingssystem som med informationsteknik hanterar och utbyter information med omgivningen. I begreppet IT-system innefattas även kommunikationsutrustning, datorer, servrar, skrivare och övrig teknisk utrustning som ansluts till landstingets elektroniska kommunikationsnätverk.

Egenskap att information inte görs tillgänglig eller avslöjas för obehöriga personer, enheter eller processer.

Uppgifter som avslöjar etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa eller sexualliv. Patientuppgifter är känsliga personuppgifter.

Mobil enhet Mobiltelefon, surf- eller läsplatta eller liknande teknisk enhet.

Bärbar dator innefattas inte i begreppet.

(25)

A l l slags information som direkt eller indirekt kan knytas till en fysisk person som är i livet. Bild- och ljuduppgifter om en identifierbar fysisk person räknas som personuppgifter, även om inga namn nämns. Krypterade uppgifter och olika slag av elektroniska identiteter är också personuppgifter om de direkt eller indirekt kan kopplas till fysiska personer som är i livet.

Produkten av sannolikheten och konsekvensen för att ett givet hot realiseras.

Metodisk process som identifierar säkerhetsrisker och bestämmer dess betydelse.

Ett elektroniskt system, som gör det möjligt för en vårdgivare ge eller få direktåtkomst till personuppgifter.

Varje slag av otvetydig viljeyttring genom vilken den registre- rade godtar att personuppgifter som rör honom eller henne behandlas.

Supervisory, Control and Data Acqusition, s.k. digitala kontrollsystem. Datorbaserade system för styrning, reglering och övervakning av fysiska processer som t.ex. el-, gas- och vattenförsörjning samt spårbunden trafik.

Otillåten programkod som syftar till för att ändra, röja, förstöra, störa eller avlyssna ett datanät, funktioner eller uppgifter i IT-system.

Handling, procedur eller tekniskt arrangemang som genom att minska sårbarheten möter identifierade hot.

Autentisering som innebär att identiteten kontrolleras på minst två sätt.

Brist i skyddet av en tillgång eller en grupp av tillgångar exponerad för hot.

Något som har värde för en organisation. M e d informations- tillgångar menas informationen i sig och de resurser som an- vänds för att hantera den, t.ex. programvaror, tjänster och fysiska tillgångar.

Egenskap att vara tillgänglig och användbar på begäran av en behörig aktör.

(26)

1(37)

1 Inledande bestämmelser

Informationssäkerhetspolicyn, antagen av landstingsfullmäktige, styr hur vi arbetar med informationssäkerhet inom Stockholms läns landsting. I detta kapitel finns en förklaring till vad informationssäkerhet innebär, grundläggande bestämmelser och en genomgång av hur regelverket ser ut.

1.1 Inledning

Stockholm läns landsting ansvarar för den offentligt finansierade hälso- och sjukvården, kollektivtrafiken, regionplaneringen och andra viktiga uppgifter i Stockholms län. Verk- samheten är omfattande och komplex, med många olika intressenter och med ett stort beroende av information. E n effektiv och säker användning av information är en förut- sättning för landstingets verksamhet och för förtroendet för förmågan att leverera service till medborgarna.

Dessutom ställer offentlighetsprincipen krav på landstingets informationshantering, liksom speciallagstiftning inom verksamhetsområden som hälso- och sjukvård och trafik.

Detta sammantaget gör information till en av landstingets mest betydelsefulla resurser.

Landstingets informationssäkerhetspolicy belyser att informationssäkerhet handlar om kvalitet och att den är en förutsättning för att uppnå exempelvis säkerhet och integritet för patienter och trafikanter. Att förbättra en verksamhets informationssäkerhet innebär inte enbart att tillmötesgå externa krav, utan även att förbättra verksamheten i sig, ett sätt att uppnå god kvalitet och god intern kontroll.

Informationssäkerhetsarbetet berör hela landstingets verksamhet. Det utgår från säker- hetsstandarder som är utgivna av standardiseringsorganisationerna, och riktar in sig på de objekt som ska skyddas. Ett sunt och vaket säkerhetsmedvetande hos alla medarbetare är en förutsättning för väl fungerande informationssäkerhet.

1.2 Mål

Målet för landstingets informationssäkerhetsarbete är att skydda informationen inom verksamheten. Skyddet ska vara anpassat till skyddsvärde, risk och lagkrav och därige- nom möjliggöra för landstingets verksamheter att uppnå sina mål.

E n god informationssäkerhet inom landstinget främjar verksamheternas funktionalitet, kvalitet och effektivitet, medborgares rättigheter och personliga integritet, landstingets förmåga att förebygga och hantera allvarliga störningar och kriser samt förtroendet för landstingets informationshantering och IT-system.

1.3 Syfte och omfattning

[1.3.1] Dessa riktlinjer, vilka är en konkretisering av landstingets informationssäkerhetspo- licy, är tillsammans med tillhörande tillämpningsanvisningar, styrande för landstingets informationshantering. De ska efterlevas av samtliga nämnder, styrelse och bolag inom landstinget och av samtliga som arbetar på uppdrag av landstinget. Det sistnämnda regleras genom avtal.

(27)

2 (37)

1.4 Grunder

[1.4.1 ] Inom landstingets nämnder, styrelser och bolag ska ett systematiskt och långsik- tigt informationssäkerhetsarbete bedrivas.

[1.4.2 ] Respektive nämnd, styrelse och bolag ansvarar för att det, inom ramen för lands- tingets övergripande ledningssystem för informationssäkerhet, finns ett lokalt ledningssy- stem för informationssäkerhet inom dess verksamhetsområde.

[1.4.3] Landstingets informationstillgångar ska identifieras, klassificeras och ges en lämplig skyddsnivå med utgångspunkt i att de finns tillgängliga när de behövs (tillgäng- lighet), att de är korrekta (riktighet), att obehöriga inte kan få tillgång till dem (konfiden- tialitet) och att händelser i informationsbehandlingen kan spåras (spårbarhet).

[1.4.4] Landstingets verksamheter ska, utifrån återkommande risk- och sårbarhetsanaly- ser och inträffade incidenter, avgöra hur risker ska hanteras och vidta nödvändiga åtgär- der för att upprätthålla rätt skyddsnivåer för informationen.

[1.4.5] För att uppnå målet med informationssäkerheten ska säkerhetsarbetet omfatta samtliga delar av administrativ respektive teknisk säkerhet, det vill säga samtliga behand- lade delar i dessa riktlinjer.

[1.4.6] I enlighet med vad som gäller för övrig verksamhet inom landstinget, är ansvaret för informationssäkerheten kopplat till det delegerade verksamhetsansvaret. Det betyder att varje person som är ansvarig för en verksamhet eller får ett delegerat verksamhetsan- svar också är ansvarig för informationssäkerheten i denna verksamhet.

Kommentar

: Riktlinjerna är framtagna med stöd av standarden för informationssäkerhet, ISO/IEC 27000, och i enlighet med organisationens verksamhetskrav samt gällande lagar och föreskrifter, däribland MSB:s föreskrift om informationssäkerhet, Myndigheten för samhällsskydd och beredskap.

1.5 Landstingets regelverk för informationssäkerhet

[1.5.1] Landstingets regelverk för informationssäkerhet är uppbyggt enligt följande struk- tur:

Bild: Hierarki för dokument med tillhörande ansvarsfördelning som ledningssystemet för informa- tionssäkerhet baseras på.

Landstingets informationssäkerhetspolicy

Landstingets riktlinjer för informationssäkerhet

Landstingets tillämpnings- anvisningar för informationssäkerhet

Landstingets övergripande styrdokument

Lokal informationssäkerhetspolicy

Lokala riktlinjer för informationssäkerhet

Lokala anvisningar för informationssäkerhet

Lokala instruktioner Verksamhetsnära styrdokument specifika för nämnd och styrelse

Lagar, förordningar, författningssamlingar, planer

Allmänna råd, handböcker Nationella styrdokument

Landstingsfullmäktige

Landstingsstyrelsen

Landstingsdirektören

(28)

3(37)

Nationella styrdokument

A l l a som arbetar på uppdrag av landstinget kommer i kontakt med informationssäkerhets- frågor och har att, förutom dessa riktlinjer, följa ett antal lagar, förordningar och andra föreskrifter. Några av dem är stiftade på nationell nivå och gäller för alla myndigheter, landsting och kommuner. Myndigheten för samhällsskydd och beredskap, M S B , har det sammanhållande myndighetsansvaret för samhällets informationssäkerhet enligt Svensk författningssamling SFS 2008:1002.

Landstingets övergripande styrdokument

Informationssäkerhetspolicyn beskriver landstingets syn på informationssäkerhet och de övergripande principer som gäller för informationssäkerheten. Informationssäkerhetspoli- cyn antas av landstingsfullmäktige.

Riktlinjer för informationssäkerhet konkretiserar informationssäkerhetspolicyn och ger riktlinjer avseende skyddsåtgärder och -nivåer. Riktlinjerna antas av landstingsstyrelsen.

Tillämpningsanvisningar för informationssäkerhet innehåller preciseringar till landsting- ets policy och riktlinjer. Tillämpningsanvisningarna och vägledningar antas av lands- tingsdirektören, som tillsammans med förvaltningar och bolag även tar fram en övergri- pande handlingsplan för informationssäkerhet.

Lokala styrdokument

Varje nämnd och styrelse ska, inom ramen för landstingets övergripande ledningssystem för informationssäkerhet, styra och leda sitt informationssäkerhetsarbete i ett ledningssystem inom dess verksamhetsområde, s.k. lokalt ledningssystem. Styrdokumenten på lokal nivå består av en lokal policy, lokala riktlinjer samt lokala anvisningar för informations- säkerhet. Dessa styrdokument innehåller preciseringar och tillägg till de övergripande styrdokumenten med utgångspunkt från den egna organisationens specifika behov och i enlighet med tillämpningsanvisningar.

Med utgångspunkt från anvisningarna utarbetas då behov föreligger lokala instruktioner av respektive förvaltning och bolag. De beskriver detaljerat hur rutiner och skyddsåtgär- der utformas och tillämpas för att informationssäkerheten ska kunna realiseras i verksamheten.

Införandet ska konkretiseras i en handlingsplan för informationssäkerhet.

Kommentar: Socialstyrelsens föreskrifter om informationshantering och journalföring i hälso- och sjukvården, SOSFS 2008:14, anges att en vårdgivare ska ha en dokumenterad informationssäkerhetspolicy som gör att personuppgifter hanteras på ett säkert sätt i verksamheten, se även avsnitt 5.6.1 landstingets regelverk för informationssäkerhet motsvarar detta den lokala informationssäkerhetspolicyn. I lokala anvisningar ska lagar och författ- ningar identifieras, som påverkar arbetet med informationssäkerhet.

(29)

4(37)

2 Bedömning och hantering av risker

Landstingets informationstillgångar måste skyddas oavsett vilken form de har. Om det visar sig att skyddet kan kringgås är det viktigt att vi har en förmåga upptäcka detta.

Därför ska vi ha god kunskap om de hot, risker och sårbarheter som kan komma att på- verka oss och hur vi kan förebygga och hantera dem. Denna kunskap får vi bland annat genom att arbeta systematiskt med risk- och sårbarhetsanalyser.

2.1 Riskbedömning och riskhantering

[2.1.1] Varje verteamhet ska, för sin verksamhet, IT-system, processer och motsvarande, genomföra och dokumentera analyser avseende vilka hot, risker och sårbarheter som kan påverka verksamheten, och utifrån dessa analyser vidta lämpliga säkerhetsskyddsåtgär- der.

[2.1.2] Riskbedömning ska, om inte särskilda skäl föreligger, ske med delprocesserna riskidentifiering, riskanalys, riskvärdering och genomföras i enlighet med landstingets gällande vägledning.

[2.1.3] För varje risk som identifieras under riskbedömning ska ett riskhanteringsbeslut fattas. Riskhanteringsbeslut som innebär att risk inte kan godtas ska leda till åtgärdsplan för att minska risken till godtagbar nivå.

[2.1.4] Riskbedömning och riskhantering ska vara en kontinuerlig process och stödja informationssäkerhetsarbetet. Riskbedömningar ska revideras när förutsättningar väsent- ligen förändras.

Kommentar: Landstings risk- och sårbarhetsanalyser behandlas i MSB:s föreskrifter för risk- och sårbarhetsanalyser M S B F S 2010:6. Riskanalys inom hälso- och sjukvårdverk- samhet behandlas i Socialstyrelsens kvalitetsledningsföreskrifter samt i föreskrifterna SOSF 2008:14.

(30)

5(37)

3 Organisation av informationssäkerheten

För att uppnå och behålla en god informationssäkerhet är det viktigt att roller och ansvar fördelas. Vem är ansvarig för vad - och vad innehåller ansvaret? I detta kapitel beskrivs

vad som är politikernas, revisorernas, chefstjänstemännens respektive verksamhetsche- fernas ansvar. Här ingår också en genomgång av vem som ansvarar för att information

och system hanteras på rätt sätt med avseende på informationssäkerhet.

3.1 Övergripande informationssäkerhetsansvar

[3.1.1] Landstingsfullmäktige

Landstingsfullmäktige fastställer den informationssäkerhetspolicy som ska gälla för landstinget.

[3.1.2] Landstingsstyrelsen

Landstingsstyrelsen ansvarar för att landstingets informationssäkerhetspolicy och riktlinjer för informationssäkerheten utformas och hålls aktuella. Landstingsstyrelsen har ansvaret för samordning och uppföljning av informationssäkerheten och har därmed det över- gripande ansvaret för informationssäkerheten inom landstinget.

[3.1.3] Landstingsdirektören

Landstingsdirektören har landstingsstyrelsens uppdrag att utforma övergripande tillämp- ningsanvisningar för informationssäkerhet och tillse att de hålls aktuella. Landstingsdi- rektören har vidare landstingstingsstyrelsens uppdrag att sörja för att informationssäker- hetsarbetet bedrivs så effektivt som möjligt, genom att visa ett tydligt stöd och fördela resurser, så att informationssäkerhetsmålet kan uppnås.

I landstingsdirektörens uppdrag ingår även att, i samråd med berörda förvaltningar och bolag, utforma en övergripande handlingsplan för informationssäkerhetsarbetet inom landstinget och tillse att den beaktas i förvaltningars och bolags årliga budgetförslag.

Landstingsdirektören ska utse en informationssäkerhetschef med ansvar för samordning och övergripande uppföljning av informationssäkerhetsarbetet inom landstinget.

[3.1.4] Informationssäkerhetschefen

Informationssäkerhetschefen verkställer samordningen av informationssäkerhetsarbetet inom landstinget och förvaltar landstingets informationssäkerhetspolicy, dessa riktlinjer, landstingets tillämpningsanvisningar samt den övergripande handlingsplanen för informa- tionssäkerhet. Denne ska arbeta med informationssäkerhetsfrågor på en övergripande och strategisk nivå. I ansvaret ingår omvärldsbevakning, samordning, att vara sammankallan- de i landstingets informationssäkerhetsråd samt att inhämta information om och rapportera informationssäkerhetsläget i landstinget som ett led i uppföljningen av informations- säkerheten.

[3.1.5] Landstingsrevisorerna

Landstingsrevisorernas uppgift är att granska den interna kontrollen, vilket här innefattar att granska om ledning och styrning, uppföljning och kontroll av informationssäkerheten är tillfredställande.

(31)

6(37)

3.2 Roller och ansvar i verksamheten

Nedan beskrivs informationssäkerhetsansvar för vissa generella roller. Beroende på lokala förhållanden kan även andra roller behöva beskrivas och ansvar fastställas.

[3.2.1] Styrelser och nämnder

Varje nämnd och styrelse är ytterst ansvarig för informationssäkerheten inom sin förvalt- ning och bolag. Den ska därför, inom ramen för sitt ledningssystem och i enlighet med tillämpningsanvisningar, anta styrdokument för informationssäkerhet enligt

[1.5.1].

Det åligger också varje nämnd och styrelse att årligen planlägga och löpande följa upp informationssäkerheten och i övrigt vidta de åtgärder som krävs för att uppnå och upp- rätthålla tillräcklig intern kontroll.

Nämnd och styrelse är personuppgiftsansvarig inom sin organisation, enligt personupp- giftslagen (PuL). Personuppgiftsansvarig ska utse ett eller flera personuppgiftsombud.

[3.2.2] Personuppgiftsombud

Personuppgiftsombud har till uppgift att tillse att personuppgifter behandlas på ett lagligt och korrekt sätt. Personuppgiftsombudet ska bl.a. påpeka eventuella brister i behandling- en. Om inte brister åtgärdas efter påpekande ska ombudet anmäla missförhållanden till Datainspektionen som är tillsynsmyndighet när det gäller behandling av personuppgifter.

Personuppgiftsombudet ska föra en förteckning över de behandlingar av personuppgifter, som skulle ha omfattats av anmälningsskyldighet, om ombudet inte funnits.

[3.2.3] Förvaltningschef/VD

Förvaltningschefs/D har, inom sin verksamhet, ansvaret för att utforma och kommunice- ra innehållet i lokala styrdokument för informationssäkerhet, verkställa och följa upp styrelse respektive nämnds beslut och att åtminstone årligen rapportera status på informa- tionssäkerheten till nämnd respektive styrelse. FörvaltningschefVD har, inom sin verksamhet, ansvar för att all informationshantering sker i enlighet med fastställda styrdokumenten för informationssäkerhet.

Förvaltningschef/VD ansvarar för att det sker en kartläggning och en prioritering av vilka verksamheter som är i behov av en kontinuitetsplan. Dessutom ska det utses en krisorga- nisation som ska ansvara för att få verksamheterna att återgå till ett normalläge efter katastrofsituationer, störningar och oplanerade avbrott. Krisorganisationen kan antingen vara övergripande eller per respektive verksamhet.

A l l a viktiga informationstillgångar inom landstinget ska redovisas. Förvaltningschef/VD ansvarar för att förteckning förs över dessa. Det åligger även denne att säkerställa att äga- re för dessa tillgångar utses, med ansvar för att vidta nödvändiga skyddsåtgärder.

Förvaltningschef/VD ska avsätta resurser för informationssäkerhet samt utse en informa- tionssäkerhetssamordnare. Förvaltningschef/VD ska tillse att det fmns instruktioner för hur vidtagna åtgärder och brister ska rapporteras.

Inom hälso- och sjukvårdsverksamhet ska förvaltningschef/VD även utse en eller flera personer som har till övergripande uppgift att se till att patientens rättigheter enligt Pati- entdatalagen och tillhörande regelverk uppfylls.

(32)

7(37)

[3.2.4] I n f o r m a t i o n s s ä k e r h e t s s a m o r d n a r e

Inom varje förvaltning och bolag ska en informationssäkerhetssamordnare utses. Denne ska, oavsett inplacering i organisationen, rapportera direkt till förvaltmngschef/VD. Infor- mationssäkerhetssamordnares ansvar förtydligas i bilaga 1.

Kommentar: Enligt Socialstyrelsens föreskrifter och Patientdatalagen ska vårdgivare utse en eller flera personer som ansvarar för informationssäkerhetsarbetet. Inom S L L har in- formationssäkerhetssamordnaren det ansvaret.

[3.2.5] I n f o r m a t i o n s ä g a r e

För varje viktig informationstillgång ska utses en informationsägare, med uppdrag att hantera alla delar av informationssäkerheten. V i d behov kan det för en verksamhetskritisk process utses en informationsägare, med uppdrag att säkerställa att informationssäkerhe- ten beaktas i hela processen. Grunden i informationsägarens arbete är klassificering av informationen och tilldelning av informationsklass som motsvarar kraven på säkerhet och skyddsnivå. Informationsägarens ansvar framgår av bilaga 1.

[3.2.6] Systemägare

För varje IT-system och nätverk ska det utses en systemägare, med uppdrag att ansvara för informationssäkerheten rörande det system uppdraget gäller. Systemägaren ska besluta om nyutveckling, vidareutveckling och avveckling. Systemägaren ska vid behov utse systemförvaltare som ges uppdraget att inom givna ekonomiska ramar ta det funktionella ansvaret för systemet. Systemägarens ansvar förtydligas i bilaga 1.

[3.2.7] Systemförvaltare

Systemförvaltaren utses av systemägaren. Om systemägaren inte utser förvaltare ankom- mer det på systemägaren att utföra motsvarande uppgifter. Systemägarens ansvar förtydli- gas i bilaga 1.

[3.2.8] IT-chef

Varje organisation som själv har IT-drift, ska ha en IT-chef eller motsvarande utsedd.

Denne ska leda och samordna informationssäkerhetsarbetet inom sitt ansvarsområde. IT- chefens ansvar förtydligas i bilaga 1.

[3.2.9] I n f o r m a t i o n s a n v ä n d a r e

Informationsanvändare är samtliga personer som i sin yrkesutövning hanterar information inom landstinget, vilket inkluderar såväl anställda som andra användare. Införmationsan- vändarnas medverkan är väsentlig för en effektiv informationssäkerhet. De ska göras medvetna om sin skyldighet att ta del av och följa uppställda informationssäkerhetsregler liksom att rapportera informationssäkerhetsincidenter, funktionsfel och brister, enligt fastställda rutiner.

3.3 Roller och ansvar gällande samordning och uppföljning

[3.3.1] I n f o r m a t i o n s s ä k e r h e t s r å d

För att samordning och uppföljning av informationssäkerhetsarbetet ska kunna bedrivas effektivt ska det finnas ett informationssäkerhetsråd. Utöver informationssäkerhetschefen ska rådet bestå av informationssäkerhetssamordnare från respektive förvaltning och bo-

lag, se [3.2.4].

(33)

8(37)

Rådets uppgift är att främja, stödja, samordna och följa upp landstingets informationssäker- hetsarbete på en övergripande nivå. Rådet ska främja erfarenhets- och kunskapsutbyte, bevaka vilket behov av stöd som finns i verksamheterna och föreslå förbättringar, förank- ra och samordna viktiga informationssäkerhetsaktiviteter samt följa upp efterlevnaden av landstingets riktlinjer för informationssäkerhet.

[3.3.2] R å d e t f ö r samordning och styrning av strategisk IT f ö r s j u k v å r d e n Övergripande samordningen av styrning av strategisk IT för hälso- och sjukvården ska ske genom rådet för samordning av styrning av strategisk IT, RSIT. Rådets uppgift är bland annat att utifrån den IT-strategi som gäller i landstinget utarbeta en gemensam IT-strategi för hälso- och sjukvården. I uppdraget ingår även samordning och styrning i frågor som rör SLL:s förvaltningsstyrningsmodell enligt pm3.

(34)

9(37)

4 Personalresurser och informationssäkerhet

Alla som arbetar i landstingets verksamhet måste förstå sitt ansvar för och bidra till att hantera och skydda landstingets informationstillgångar. Hur dessa frågor hanteras i personalprocessen beskrivs i detta tredje kapitel.

4.1 Rekrytering och anställning

[4.1.1] Den arbetssökandes formella meriter (såsom utbildning, yrkeslegitimation, refe- renser etc) ska kontrolleras och den arbetssökandes identitet ska verifieras. V i d rekrytering till särskilt informationssäkerhetskritiska arbetsuppgifter bör ytterligare registerkon- troller genomföras av de arbetssökande.

[4.1.2] Person som deltar i verksamhet eller anställs på befattning som har betydelse för rikets säkerhet ska säkerhetsprövas. För person som deltar i sysslor som är säkerhetsstra- tegiskt viktiga för landstinget gäller samma förhållande

Kommentar: Säkerhetsskyddslag (1996:627) och Säkerhetsskyddsförordning (1996:633) innehåller bestämmelserna om säkerhetsprövning.

4.2 Arbetsbeskrivning och anställningsvillkor

[4.2.1] Verksamheter bör i anställnings- eller arbetsvillkor inkludera ett uttalade om den anställdes ansvar för informationssäkerhet.

[4.2.2] Informationssäkerhetsroller och ansvar ska finnas beskrivna i relevanta arbetsbe- skrivningar. Särskild uppmärksamhet ska läggas på roller och ansvar för tillfälliga eller korttidsanställningar av personal som vikarier, studenter, praktikanter etc. Anställda ska göras medvetna om dessa ansvarsbeskrivningar.

[4.2.3] Anställda ska kontinuerligt under anställningstiden göras medvetna om sina skyl- digheter enligt [4.2.1] samt informeras om gällande regler om informationssäkerhet och tillämpliga lagkrav, så som exempelvis Offentlighets- och sekretesslagen (2009:400).

[4.2.4] Det ska i anställnings- eller arbetsvillkor vara tydligt vilken information som ägs av arbetsgivaren och som inte får förstöras, kopieras eller röjas vid t.ex. avslutande av tjänst.

[4.2.5] Anställda ska göras medvetna om att bristande efterlevnad av gällande regler för informationssäkerhet och sekretess kan vara misskötsel, vilket är ett brott mot anställ- ningsavtalet. Motsvarande ska i förekommande fall gälla uppdragstagare som inte är an- ställda.

[4.2.6] Vägledning för anställda om bisysslor, t.ex. vilka slags förhållanden som kan göra en bisyssla otillåten, ska finnas lätt tillgänglig för arbetstagaren.

4.3 Sekretess

[4.3.1] Inom den offentliga sektorn är sekretess för de anställda reglerat i lag. E n sekre- tessförbindelse är därför inte möjlig att använda, utan ersätts av sekretesserinran. Denna skrivs inte under utan, som namnet säger, erinrar om gällande lagstiftning.

(35)

10

[4-3-2] Sekretessen omfattar inte enbart den som är anställd av landstinget eller dess bo- lag. V i d anlitande av konsult eller annan extern uppdragstagare ska det klargöras om han eller hon deltar i verksamheten på samma sätt som en anställd.

[4-3-3] Deltar personen inte i verksamheten på sådant sätt att offentlighets- och sekre- tesslagen blir tillämplig, ska tystnadsplikten regleras civilrättsligt, dvs. i avtal.

4.4 Utbildning och fortbildning i informationssäkerhet

[4.4.1] Anställda inom landstinget ska få den utbildning i informationssäkerhet som krävs för att de ska kunna utföra sina arbetsuppgifter och för att säkerställa informations- säkerhetsmålet. Utbildningens omfattning ska vara anpassad till det ansvar och de befo- genheter som gäller för befattningen. Detsamma gäller även vid omplacering av redan anställda och när tillfällig personal och externa konsulter anlitas.

[4.4.2] Anställda måste minst ha genomgått en grundläggande utbildning inom informa- tionssäkerhet som exempelvis DISA, Datorstödd informationssäkerhetsutbildning för användare.

[4.4.3] Verksamheten ska föra en förteckning över vilka som har genomgått utbildning i informationssäkerhet.

[4.4.4] Utbildningsinsatserna bör följas upp årligen.

4.5 Avslutande av anställning

[4.5.1] Det ska finnas en fastställd rutin för hantering av personal som avslutar sin anställ- ning inom landstinget. Rutinen ska säkerställa att ansvarsuppgifter avlämnas och att åt- komsträttigheter upphör vid anställningens slut. Den ska även säkerställa att nycklar, tjäns- tekort och övrig utrustning återlämnas.