Informationssäkerhet + arkiv = sant? Johan Andersson, Mälardalens högskola
Disposition ●Reglerna kring informationssäkerhet och arkiv ●Centrala delar inom arkivhantering och informationssäkerhet ●Varför passar informationssäkerhet och arkivfrågor bra ihop? ●Informationssäkerhet och arkivfrågor på MDH ●Frågor/reflektioner från andra lärosäten
Regelverk för informationssäkerhet ●En myndighet ska upprätthålla säkerhet i sin informationshantering (MSB:s föreskrifter om statliga myndigheters informationssäkerhet MSBFS 2009:10) ●Myndigheterna ska inrätta ett ledningssystem för informationssäkerhet ●Leda och samordna arbetet ●Klassificera och värdera information ●Genomföra risk- och sårbarhetsanalyser ●Dokumentera
Regelverk för arkivhantering ●Arkivlagen (1990:782) ●Myndigheternas arkiv ska bevaras, hållas ordnade och vårdas så att de tillgodoser: ●Rätten att ta del av allmänna handlingar ●Behovet av information för rättskipningen och förvaltningen ●Forskningens behov
Centralt inom informationssäkerhet ●Värdera och klassificera information utifrån: ●Riktighet - högskolans information ska vid varje tillfälle vara korrekt och IT- systemen ska säkerställa att informationen inte kan förvanskas genom obehörig och felaktig hantering ●Tillgänglighet - anställda och studenter ska ha tillgång till information i den utsträckning de behöver för att utföra sina arbetsuppgifter. Övriga intressenter ska även kunna ta del av information enligt laglig rätt eller informationsutbyte ●Spårbarhet - högskolan ska - där det är motiverat - i efterhand visa vad som har hänt och vem som har gjort vad vid användande av informationstillgångar och IT- system ●Konfidentialitet - högskolans informationstillgångar ska skyddas mot obehörig åtkomst. Med konfidentialitet menas inte endast sekretesskydd enligt Offentlighets- och sekretesslagen (OSL) eller personuppgiftslagen (PUL)
Centralt inom arkivområdet ●Övergången från pappersarkivering till digital arkivering kräver: ●Fokus på hur informationen märks upp och hanteras direkt den skapas ●Värdering av informationen och kravställning på informationen och IT-systemen tidigt i utveckling eller i upphandling ●E-arkiv som stödjer verksamheten i det dagliga arbetet och driver på utvecklingen av digital informationshantering
Informationssäkerhet och arkiv passar ihop ●Informationssäkerhet fokuserar på verksamhetens behov av informationen och konsekvenser vid brister i riktighet, tillgänglighet, spårbarhet och konfidentialitet ●För att arkiv ska vara meningsfulla måste informationen vara riktig, tillgänglig, spårbar med bibehållen konfidentialitet ●Inom arkivområdet har det funnits för stort fokus på lagkraven. Verksamhetens behov har kommit i andra hand ●Uppfyller man verksamhetens behov uppfyller man oftast även lagkraven (med lite anpassning)
Informationssäkerhet och arkiv passar ihop - fortsättning ●Värdering av information utifrån informationssäkerhet gör det enklare att prioritera - vilken information i vilken process är viktigast? ●Värderingen/klassificeringen på MDH visar att brister i informationen i kärnprocesserna ger störst konsekvenser för verksamheten ●På arkivsidan finns ironiskt nog störst brister när det gäller informationen inom utbildning och forskning (nationellt problem)
Informationssäkerhet och arkiv på MDH
Informationssäkerhet och arkiv på MDH - styrning ●Områdesstrategi för informationsförsörjning ●Övergripande krav på högskolans information (Riktighet, Tillgänglighet) ●Klassificering/värdering varje år ●Information ska märkas upp med nödvändiga uppgifter direkt när den skapas ●Information ska hanteras av anställda med nödvändig kunskap ●Information som skapas digitalt ska bevaras digitalt ●Vid utveckling och inköp ska ovanstående beaktas
Informationssäkerhet och arkiv på MDH - styrning ●Regler för informationssäkerhet (Grunden i LIS) ●Klassificering av informationstillgångar ska ske varje år. Undantag för information som inte finns i skriftlig form ●Samtliga anställda ska följa regler för informationssäkerhet ●Uppgifter med sekretess ska diarieföras med åtkomst via behörighet ●Personuppgifter eller uppgifter med sekretess får endast lagras i molntjänster där högskolan ingått avtal som skyddar uppgifterna ●Behörigheter till IT-system ska ses över varje år och svara mot den nivå som arbetsuppgifterna kräver
Informationssäkerhet och arkiv på MDH - organisation ●Ansvaret för att samordna informationssäkerhetsarbetet – Rektors kansli ●Produktägare (systemägare) ansvarar för att värdering/klassificeringar och behörighetsöversyn görs årligen ●IT-säkerhet – IT-sektionen ●Personuppgiftsombud – Rektors kansli ●Ansvar för arkiv- och dokumenthanteringsfrågor – Rektors kansli
Informationssäkerhet och arkiv på MDH - organisation ●Tankar på en grupp för informationssäkerhet med: ●Informationssäkerhetsansvarig ●IT-säkerhetsansvarig ●Jurist (personuppgiftsombud)
Informationssäkerhet och arkiv på MDH - åtgärder ●Infört e-arkiv där vi tagit hand om information från system i drift och avställda system ●Klassificeringen/värderingen av informationen ligger till grund för vilken information som ska in i e-arkivet först ●Business Impact Analysis (BIA) gemomförd våren 2015 med hjälp av konsult för att få kopplingen till IT- säkerhet/drift
MSB och Riksarkivet ●Vägledning för processorienterad informationskartläggning (2012)
Reflektioner från andra lärosäten?