Process för Informationsklassning

Process för
Informationsklassning
Marita Fasth
bitr. Informationssäkerhetschef
Jordbruksverket
2013-05-30 Marita Fasth
Process för Informationsklassning
- Jordbruksverkets erfarenheter
•
•
•
•
•
•
•
2013-05-30 Marita Fasth
bakgrund
syfte & mål
deltagare
i praktiken
innehåll
vad processen ger oss
slutsats
Process för Informationsklassning
- bakgrund
Det var en gång ett Jordbruksverk som rustar sig för att få
betala ut EU pengar….många pengar, sådär 13 miljarder kr
per år.
• Startade med informationsklassningar 1998 där grunden
var att uppfylla EU krav som ackrediterad myndighet för
utbetalning av EU pengar,
• årligen reviderade för att upprätthålla ackrediteringen,
• processen är under ständig utveckling.
2013-05-30 Marita Fasth
Process för Informationsklassning
- syfte & mål
• Syftet är att identifiera ett rimligt skydd för verksamhetens
information och de resurser den används i.
Åtgärderna kan vara tekniska, administrativa och ibland
utbildningsinsatser.
• Målet är att informationen ska vara tillgänglig när
verksamheten behöver den, ändringar ska kunna spåras,
informationen ska vara riktig och nåbar endast
av de som ska ha tillgång till informationen.
2013-05-30 Marita Fasth
Process för Informationsklassning
- deltagare
•
•
•
•
•
•
Informationsägare ( vanligtvis verksamhetsansvarig )
Verksamhetsspecialist
Informationssäkerhetschef
Avdelningsjurist
Driftsrepresentant
Verksamhetsarkitekt
unik specialistkompetens blandning vid ett
gemensamt möte - ger mycket mervärde !
2013-05-30 Marita Fasth
Process för Informationsklassning
- i praktiken
• Informationsägaren ansvarar för att en
informationsklassning genomförs, dokumenteras och
efterlevs,
• informationsklassningen sker genom ett möte på ca 2
timmar,
• Informationssäkerhetschefen håller i genomförandet,
2013-05-30 Marita Fasth
Process för Informationsklassning
- i praktiken
• krav på genomförande i vår projektstyrnings modell och i
vår utvecklingsmetod vid utveckling av IT-stöd,
• Informationsägaren ansvarar för att uppdatering av
informationsklassningen genomförs vid tillägg av ny
funktionalitet eller förändringar som påverkar innehållet.
2013-05-30 Marita Fasth
Process för Informationsklassning
- innehåll
• ansvar – ägare och förvaltningsansvar till information och
IT-stöd,
• ändamål – enligt personuppgiftslagen får personuppgifter
endast behandlas för i förväg bestämda ändamål,
• övriga juridiska krav,
• arkiverings krav,
• grundkrav för avbrottsplanering.
2013-05-30 Marita Fasth
Process för Informationsklassning
- innehåll
Riktighet
pressmeddelande, eurokurs, utb beslut
Tillgänglighet
e-post, webben, SAMi (e-tjänst), utskrifter
Sekretess
känsliga utkast, uttagen till kontroll, recept
Spårbarhet
ändringar bankkonto, smittspårning, e-recept
Förlust
original handlingar från företag
2013-05-30 Marita Fasth
Process för Informationsklassning
- innehåll
2013-05-30 Marita Fasth
Process för Informationsklassning
- innehåll
2013-05-30 Marita Fasth
Process för Informationsklassning
- ger oss
• Ökad medvetenhet hos aktuell verksamhet hur
verksamhetens information kan påverkas och behöver
skyddas,
• grund till avbrottsplanering för verksamheten,
• sammanställning av säkerhetskrav – tekniska,
administrativa och juridiska,
• underlag till teknisk analys – dvs säkerhetskraven vid
utveckling av IT-stöd,
2013-05-30 Marita Fasth
Process för Informationsklassning
- ger oss
• verksamhetsarkitekterna kommer in tidigt,
• driftperspektivet kommer med tidigt,
• spännande inblick / djupdykning i alla de olika
verksamheterna ,
• ökad kunskap och medvetenhet om hur informationen ska
skyddas på ett rimligt och lämpligt sätt.
2013-05-30 Marita Fasth
Process för Informationsklassning
Slutsats
Informationsklassningsprocessen ger mycket mer än en etikett
på en informationsmängd!
[email protected]
2013-05-30 Marita Fasth
Process för Informationsklassning
Frågor ?
2013-05-30 Marita Fasth