Säkerhet

Systemägaren/objektsägaren är ansvarig för att systemet uppfyller säkerhetskraven. Säkerhetskraven baseras på bl.a. klassning av skyddsnivå för informationen med stöd av metoder inom informationssäkerhetsarbetet.

Systemsäkerhet kräver ett samarbete mellan flera enheter och dess olika kompetenser, både någon/några från verksamheten som kan arbetsprocessen och vilka krav som finns, och någon som har IT-kompetens och känner till vilka krav som ställs på IT-system utifrån dataskyddsförordningen.

Informationssäkerhet

Inom informationssäkerhetsramverket används begreppet informationsmängd för en avgränsad mängd information som används för ett visst ändamål. För varje en informationsmängd finns en informationsägare som äger och har ansvar för informationen och som ställer krav på IT att informationen skyddas på rätt sätt utifrån fastställd skyddsnivå.

En kommunövergripande modell och metodstöd används som stöd för informationssäkerhetsarbetet. Modellen består av fyra aktiviteter: Klassning, GAP-analys, Riskanalys och Säkerhetsåtgärder.

Informationsklassning genomförs för att bedöma hur skyddsvärd informationen är och vilka krav som ställs på hantering av denna. Vid klassningen analyseras vilka krav som finns på informationens konfidentialitet, riktighet, spårbarhet och tillgänglighet. Baserat på hur informationen klassats analyseras de krav som ställs på systemet.

GAP-analysen identifierar skillnaden mellan befintlig skyddsnivå och önskad skyddsnivå utifrån informationens skyddsnivå samt de risker, hot och konsekvenser som identifierats i risk- och sårbarhetsanalys.  Riskanalysen innebär identifiering och bedömning av risker vars konsekvenser kan leda till störningar i informationstillgången, allvarliga händelser eller extraordinära händelser.

Med stöd av klassning, GAP-analys och riskanalys kan informationsägaren fatta beslut om vilka tekniska och administrativa säkerhetsåtgärder som behöver vidtas för att skydda informationstillgången. 

Informationssäkerhet och säkerhet vid personuppgiftsbehandlingar 

I GDPR:s bestämmelser fastställs att krav behöver ställas på tekniska och organisatoriska åtgärder som behöver vidtas för att säkerställa lämplig säkerhetsnivå. Kravställningen ska avvägas med avseende på senaste tekniska utveckling och kostnader. För att kunna uppnå kraven krävs att rutiner och strukturer för informationssäkerhetsarbete finns etablerade.

En grundlig riskanalys behöver ske för att kunna bedöma rätt säkerhetsnivå även för personuppgiftsbehandlingar. Ur ett GDPR-perspektiv behöver analysen ske med avseende på de registrerades integritetsrisker. Om hög risk finns för de registrerades friheter och rättigheter måste en konsekvensbedömning genomföras

Det ordinarie informationssäkerhetsarbetet kan fortgå utifrån de befintliga rutinerna, men med fördel kan de utökas med rutiner för att ge bästa stödet för verksamheterna att kunna följa GDPR. Det skiljer sig inte från informationssäkerhetsarbete generellt sett.