Välkomna till övningen Övning InforMATIONSSÄKERHET Välkomna till övningen Syfte: Att skapa en förståelse och kunskap om konsekvensen av ett avbrott i våra informationstillgångar
Praktiska förutsättningar Tider Presentationsrunda Varför gör vi det här? Sekretess Deltagarna och övriga presenterar sig. Anledningen till dagens övnings: VGR Informationssäkerhet Sekretessnivå? Telefoner/datorer med eller ej? Kaffe och pauser Toaletter finns… Sjukvårdsutrustning Utrymningsvägar
Lis LIS – Ledningssystem för informationssäkerhet Har kommunen en informationssäkerhetspolicy? Om ja; är den känd? Kommunens IT-ansvarige ges tid att berätta om sitt arbete. Länsstyrelserna ska i sitt beredskapsansvar vara sammanhållande inom sitt geografiska område och verka för samordning och gemensam inriktning av de åtgärder som behöver vidtas. Länsstyrelserna ska särskilt stödja de aktörer som är ansvariga för krisberedskapen i länet avseende planering, risk- och sårbarhetsanalyser med mera. Dessutom ska länsstyrelserna inom sitt geografiska område vara en sammanhållande funktion mellan lokala aktörer, exempelvis kommuner. Länsstyrelserna tillsammans med Myndigheten för samhällsskydd och beredskap (MSB) har ett särskilt ansvar för att planera och vidta förberedelser för att skapa förmåga att hantera en kris och för att förebygga sårbarheter och motstå hot och risker. Gentemot kommunerna har länsstyrelserna vidare ett särskilt uppföljningsansvar för kommunernas tillämpning av lagen om kommuners och landstings åtgärder inför och vid extraordinära händelser i fredstid och höjd beredskap (2006:544). LIS: År 2011 lanserades det första metodstödet för systematiskt informationssäkerhetsarbete, då under namnet metodstöd för LIS (ledningssystem för informationssäkerhet). Det reviderade metodstödet är textmässigt avskalat och innehållsmässigt strukturerat på ett delvis annat sätt. Det är förstås även uppdaterat där så behövdes. Den stora skillnaden är att 2011 års version fokuserar mer på införandet av ett systematiskt informationssäkerhetsarbete och att detta är upplagt som ett projekt. Det finns inga motsättningar mellan 2011 års version och den reviderade versionen som lanserades 2018.
NIS-direktivet Från och med den 10 maj 2018 ställs nya krav inom EU på säkerhet i nätverk och informationssystem. De nya reglerna omfattar leverantörer av samhällsviktiga tjänster och leverantörer av digitala tjänster. De handlar bland annat om krav gällande säkerhetsåtgärder, incidentrapportering och tillsyn. Medlemsstaterna ska bland annat: Anta en nationell strategi för säkerhet i nätverk och informationssystem. Utse nationella behöriga myndigheter. Inrätta en eller flera organisationer för hantering av IT- incidenter. Utse en nationell kontaktpunkt för gränsöverskridande samarbete. Delta i strategiskt och tekniskt samarbete på EU-nivå. Varna andra medlemsstater vid gränsöverskridande incidenter. Bilden visar infekterade datorer den 28/4. I Sverige är det MSB som är kontaktpunkt för gränsöverskridande samarbete. De hanterar även incidentrapporteringen (CSIRT) genom CERT-SE CERT-SE är Sveriges nationella CSIRT (Computer Security Incident Response Team) med uppgift att stödja samhället i arbetet med att hantera och förebygga IT-incidenter. Verksamheten bedrivs vid Myndigheten för samhällsskydd och beredskap (MSB). Till uppgifterna hör bland annat att: Agera skyndsamt vid inträffade IT-incidenter genom att sprida information samt vid behov arbeta med samordning av åtgärder och medverka i arbete som krävs för att avhjälpa eller lindra effekter av det inträffade. Samverka med myndigheter med särskilda uppgifter inom informationssäkerhetsområdet. Vara Sveriges kontaktpunkt gentemot motsvarande funktioner i andra länder samt utveckla samarbetet och informationsutbytet med dessa.
Riskhantering Kommunens risk- och sårbarhetsanalys (RSA) Om beredskapssamordnare eller motsvarande är närvarande; ge tid till att presentera kommunens RSA. Finns frågor som rör dagens tema med informationssäkerhet? Behöver informationssäkerhetsperspektivet finnas med i RSA? Rimligtvis ja – om man inte valt att separat behandla informationssäkerhet. Informationssäkerhet borde rimligtvis vara en kommunövergripande fråga som finns med i all verksamhet. Riskhantering är en process, vilken innebär att identifiera de risker som finns i verksamheten, analysera dessa och utvärdera och besluta om hur riskerna skall hanteras på bästa sätt. Att ha kunskap om, samt vidta åtgärder för att omhänderta informationssäkerhetsrisker är grundläggande för att kunna förebygga eller minska oönskade effekter som t.ex. läckage av personuppgifter. Informationssäkerhet missas ofta i RSA-arbetet. Det är lätt att det blir en IT-fråga istället för en myndighetsövergripande fråga. Det är en utmaning att integrera riskhantering i en organisations ordinarie processer, särskilt vad avser informationssäkerhet. Här är det särskilt viktigt att identifiera de mest kritiska processerna, inklusive deras stödprocesser. Att med jämna mellanrum göra en risk- och sårbarhetsanalys enligt krisberedskapsförordningen och MSB:s föreskrifter borde vara miniminivån, men ska en organisation arbeta seriöst med risker, så måste arbetet ske löpande särskilt vad avser kritiska processer. Som en del i uppföljning av arbetet kan t.ex. den egna internrevisionen och dess kontrollplan användas för att se över efterlevnad.
Kontinuitets-hantering kointinuitetshantering CIVILT FÖRSVAR Riskhantering Hantera händelser Kontinuitets-hantering Kontinuitetshantering handlar om att upprätthålla en verksamhet även i händelse av störningar. Det omfattar förebyggande arbete och insatser i skarpt läge.
rapportering Hur? När? Till vem? Vems är ansvaret att rapportera incidenter? Om en incident ändå inträffar… Hur sker rapporteringen? Ett viktigt steg i processen för systematisk informationssäkerhet är att rapportera informationssäkerhetsrisker och incidenter till beslutsfattare och att de sedan, utifrån ett utförligt underlag, tar beslut på vilken åtgärdshantering som bedöms som lämplig. För att få kännedom om vilka incidenter som inträffar, och därmed kunna sammanställa dessa i en rapport, så måste det finnas en metod och en rapporteringsväg att anmäla in incidenter och risker genom. En viktig form av rapportering är it-incidentrapportering, som, om den görs systematiskt, kan ge ett mycket bra underlag för att vidta åtgärder. Att brister eller risker i informationshanteringen rapporteras till rätt part, när de upptäcks, är ofta en grundförutsättning för att lämpliga åtgärder ska kunna vidtas i syfte att avvärja eller minska riskerna.
Föreskrifter och regelverk General Data Protection Regulation (GDPR) – 25/5 2018 Offentlighets och sekretesslagen (OSL) Säkerhetsskyddslagen GDPR – dataskyddsförordning som ersätter Personuppgiftslagen (PuL) OSL ger möjlighet att bedöma sekretessnivå på information innan den eventuellt lämnas ut. Säkerhetsskyddslagen (kommer ny i april 2019) beskriver vad som ska skyddas och varför.
Samhällsviktig verksamhet SEKTORER Elförsörjning Finansiella tjänster Transport Handel och industri Hälso- och sjukvård samt omsorg Information och kommunikation Kommunalteknisk försörjning Livsmedel Offentlig förvaltning Skydd och säkerhet Socialförsäkringar Med samhällsviktig verksamhet avses en verksamhet som uppfyller minst ett av följande villkor: • Ett bortfall av, eller en svår störning i verksamheten som ensamt eller tillsammans med motsvarande händelser i andra verksamheter på kort tid kan leda till att en allvarlig kris inträffar i samhället. • Verksamheten är nödvändig eller mycket väsentlig för att en redan inträffad kris i samhället ska kunna hanteras så att skadeverkningarna blir så små som möjligt. Energiförsörjning Produktion av el, distribution av el, produktion och distribution av fjärrvärme, produktion och distribution av bränslen och drivmedel m.m. Finansiella tjänster Betalningar, tillgång till kontanter, centrala betalningssystemet, värdepappershandel m.m. Handel och industri Bygg- och entreprenadverksamhet, detaljhandel, tillverkningsindustri m.m. Hälso- och sjukvård samt omsorg Akutsjukvård, läkemedels- och materielförsörjning, omsorg om barn, funktionshindrade och äldre, primärvård, psykiatri, socialtjänst, smittskydd för djur och människor m.m. Information och kommunikation Telefoni (mobil och fast), internet, radiokommunikation, distribution av post, produktion och distribution av dagstidningar, webbaserad information, sociala medier m.m. Kommunalteknisk försörjning Dricksvattenförsörjning, avloppshantering, renhållning, väghållning m.m. Livsmedel Distribution av livsmedel, primärproduktion av livsmedel, kontroll av livsmedel, tillverkning av livsmedel m.m. Offentlig förvaltning – ledningsfunktioner – stödfunktioner Lokal, regional och nationell ledning, begravningsverksamhet, diplomatisk och konsulär verksamhet m.m. Skydd och säkerhet Domstolsväsendet, åklagarverksamhet, militärt försvar, kriminalvård, kustbevakning, polis, räddningstjänst, alarmeringstjänst, tullkontroll, gränsskydd och immigrations-kontroll, bevaknings- och säkerhetsverksamhet m.m. Socialförsäkringar Allmänna pensionssystemet, sjuk- och arbetslöshetsförsäkringen m.m. Transporter Flygtransport, järnvägstransport, sjötransport, vägtransport, kollektivtrafik m.m.
Vilket ansvar har kommunen? Lagen (2006:544) om kommuners och landstings åtgärder inför och vid extraordinära händelser i fredstid och höjd beredskap (LEH). Geografiskt områdesansvar 7 § Kommuner skall inom sitt geografiska område i fråga om extraordinära händelser i fredstid verka för att 1. olika aktörer i kommunen samverkar och uppnår samordning i planerings- och förberedelsearbetet, 2. de krishanteringsåtgärder som vidtas av olika aktörer under en sådan händelse samordnas, och 3. informationen till allmänheten under sådana förhållanden samordnas. Utbildning och övning 8 § Kommuner och landsting skall ansvara för att förtroendevalda och anställd personal får den utbildning och övning som behövs för att de skall kunna lösa sina uppgifter vid extraordinära händelser i fredstid. Vad står i kommunöverenskommelsen (kommer ny 2019)?
säkerhetsskydd Tillträdesbegränsning (Skalskydd – lås och larm mm) Informationssäkerhet Säkerhetsprövning Behörighetskontroller Dokumentation om tillträde Säkerhetsklassning
arbetssätt Identifiera och analysera Utforma Använda Följa upp och förbättra Identifiera och analysera: Arbetet består av fyra delar: Verksamhetsanalys Omvärldsanalys Riskanalys Gap-analys (Syftet med en gap-analys är att identifiera skillnaden mellan den informationssäkerhetsnivå som ni behöver uppnå och den faktiska nivån på er informationssäkerhet vid analystillfället. Med hjälp av en gap-analys synliggör ni ett eventuellt ”gap” mellan dessa två nivåer, som ni behöver överbrygga genom att utforma och införa ett antal olika säkerhetsåtgärder för informationssäkerhet.) Tillsammans säkerställer analyserna att informationssäkerheten i verksamheten utformas med utgångspunkt i ett tydligt definierat nuläge. I vilken ordning ni genomför analyserna är beroende på vilka förutsättningar som råder i organisationen och vad som ni kommer fram till är mest framgångsrikt i er organisation. Verksamhetsanalysen innefattar identifiering av verksamhetens väsentliga informationstillgångar samt kartläggning av interna intressenter (som beslutsfattare, objektsägare, medarbetare, stödenheter) och förutsättningar (som mål, strategier, organisationsstruktur, infrastruktur). Omvärldsanalysen innefattar identifiering av externa krav, inklusive rättsliga krav, (som författningar, kontrakt och avtal) samt kartläggning av externa intressenter (som ägare, kunder, leverantörer, granskare) och förutsättningar (som branschspecifika, tekniska, sociala, miljömässiga, politiska). Riskanalysen identifierar informationssäkerhetsrisker och kan användas verksamhetsövergripande eller för ett enskilt analysobjekt. Riskerna mot informationssäkerheten tas fram genom en systematisk och kreativ process. Gap-analysen kan genomföras med utgångspunkt i resultat från analys av verksamhet, omvärld samt risk men också genomföras utan att de andra analyserna först genomförts. Gap-analys sker sedan med utgångspunkt i de valda säkerhetsåtgärderna, om detta är gjort, eller med utgångspunkt i samtliga säkerhetsåtgärder från standarden SS-EN ISO/IEC 27001, bilaga A (finns med i verktyget). Gap-analysen avser gapet mellan de säkerhetsåtgärder man tar utgångspunkt i och nuvarande status på respektive säkerhetsåtgärd. I Utforma skapas de huvudsakliga delar som behövs för verksamhetens systematiska informationssäkerhetsarbete. Dessa är uppdelade i fem delar: Organisation Informationssäkerhetsmål Styrdokument Klassningsmodell Handlingsplan Hur delarna ska utformas beror på resultaten i metodsteget Identifiera och analysera. Som helhet bör dessa leda till strategiska Informationssäkerhetsmål och beskrivning av roller i säkerhetsarbetet (Organisation). I Identifiera och analysera: Med stöd av gap-analysen utformas verksamhetens SoA (Statement of Applicability) som konkret uttrycker verksamhetens val av säkerhetsåtgärder och nuvarande brister. De valda säkerhetsåtgärderna ska dessutom uttryckas i Styrdokument varav vissa kan kopplas till särskilda klasser i en verksamhetsövergripande Klassningsmodell. Informationssäkerhetpolicyn är ett övergripande Styrdokument som ska uttrycka ledningens viljeinriktning med informationssäkerhetsarbetet. Brister enligt gap-analys och SoA ska omsättas till konkreta Informationssäkerhetsmål varav de som prioriteras ska tas om hand i en Handlingsplan. Använda När styrningen är utformad ska organisationen tillämpa den. Detta beskrivs i detta avsnitt som består av: Genomföra och efterleva Utbilda och kommunicera Aktiviteter som ingår i Handlingsplan ska genomföras och Styrdokument ska efterlevas enligt utpekat ansvar i respektive dokument. Oförutsedda händelser och förändringar behöver hanteras. Stöd för detta ges i Genomföra och efterleva med fokus på CISO:s roll som kan vara utförande, deltagande, stödjande och bevakande eller responderande. Att dokumentera hur arbetet fortlöper gällande Genomföra och efterleva, Utbilda och kommunicera och Klassningsmodell är viktigt för att kunna Följa upp och förbättra. Löpande behöver information och kunskap om informationssäkerhet kommuniceras till olika delar i verksamheten, och stöd för detta ges i Utbildning och kommunikation. Stöd för att klassa informationstillgångar utifrån organisationens Klassningsmodell ges i Informationsklassning.
SCenario Morgonen den X/X kl XX.XX Strax före kl 07.30 upptäcker en anställd på X kommun att det inte går att logga in på den server som omvårdnad, hemtjänst och äldreboenden nyttjar. Sabotage mot datorhall Bortfall server/programvara, nätverk, telefoni Område Omvårdnad hemtjänst och äldreboende Egen personal eller utomstående?
scenario Efter kontakt med IT-avdelningen konstateras att såväl kommunens egen server som kommunens back up inte finns kvar. Vid felsökning konstateras att någon brutit sig in i datorhallen och att servern blivit saboterad.
Vad händer när du kommer till jobbet? Hur får du reda på vad som hänt? Hur berör detta ditt arbete? Vilka sektorer inom kommunen påverkas? Hur drabbar detta kommuninvånarna? Vilken information saknas? Diskutera i grupp 30 minuter Försök att hålla diskussionen kring att identifiera vad som inträffat. Gå inte in i åtgärder. Det kommer sedan. Identifiera hur det här påverkan invånarna? Vilka sektorer/funktioner blir drabbade? Inspel efter 5-10 min: Växel och telefoni för hela kommunen är drabbat – fungerar inte alls. (hemligt kuvert) Skedet handlar om att identifiera skeende, konsekvenser mm
åtgärder Vad behövs för att kommuninvånarna ska drabbas i så liten omfattning som möjligt? Gör en åtgärdslista utifrån att detta redan har inträffat. Media? Diskutera i 30 minuter. Låt dem komma igång och jobba innan du ger dem ett hemligt kuvert. Med en händelse.
förebyggande Vad hade kunnat gjorts annorlunda? För att förhindra att sabotaget skett … vilka åtgärder kunde ha gjorts? Utifrån er kommuns situation…vad behöver ni göra för att förhindra att detta sker? Rutiner? Tekniska lösningar? Säkerhetsskydd? Diskutera i 20 min
lästips STUDIE - Länsstyrelsernas förutsättningar att stödja kommuner gällande informationssäkerhet, MSB och Högskolan i Skövde 2017. Informationssäkerheten i Sveriges kommuner, Analys och rekommendationer utifrån MSB:s kommunenkät 2015.
begrepp Kritiska beroenden: Beroenden som är avgörande för att samhällsviktiga verksamheter ska kunna fungera. Sådana beroenden karaktäriseras av att ett bortfall eller en störning i levererande verksamheter relativt omgående leder till funktionsnedsättningar, som kan få till följd att en extraordinär händelse inträffar. Samhällsviktig verksamhet: En verksamhet som uppfyller minst ett av följande villkor: Ett bortfall av eller en svår störning i verksamheten kan ensamt eller tillsammans med motsvarande händelser i andra verksamheter på kort tid leda till att en allvarlig kris inträffar i samhället. Verksamheten är nödvändig eller mycket väsentlig för att en redan inträffad kris i samhället ska kunna hanteras så att skadeverkningarna blir så små som möjligt.
Rekommendationer - styrdokument Om det inte finns, ta fram en informationssäkerhetspolicy för kommunen! Se över eventuella vidtagna åtgärders ändamålsenlighet genom att jämföra dem med kraven i informationssäkerhetspolicyn och omständigheterna ute i verksamheten. Behöver nya åtgärder vidtas? Behöver policyn justeras? Ta fram konkreta handlingsplaner, utifrån informationssäkerhetspolicyn, med inplanerade avstämningspunkter där arbetet utvärderas. Arbeta systematiskt med uppföljning och kontroll av informationssäkerheten. Genomför regelbunden och frekvent uppföljning på informationssäkerhetspolicyns efterlevnad för att kontrollera om handlingsplanen ger önskad effekt.
Rekommendationer forts. Har nya omständigheter tillkommit i verksamheten? Behöver fler åtgärder vidtas? Se till att även inkludera kommunala bolag i kommunens informationssäkerhetsarbete. Fäst särskild vikt vid de bolag som driver eller direkt understödjer samhällsviktig verksamhet (kritisk infrastruktur). Upprätta en gemensam struktur för kommunens styrdokument för informationssäkerhet. Det stärker möjligheten till jämförbarhet. Inför en systemförvaltningsorganisation om en sådan inte finns. Säkerställ att roller och ansvar tydliggörs. På sikt bör kommunerna se över möjligheten att ta fram gemensamma rekommendationer vad avser en grundläggande struktur för styrdokument på informationssäkerhetsområdet.
Rekommendationer - riskhantering Identifiera vilken information som hanteras i verksamheten. Klassa sedan informationen efter hur allvarliga konsekvenserna skulle bli av bristande informationssäkerhet. Fokusera på den mest kritiska informationen/känsliga informationen som är i behov av höga skyddskrav. Etablera och implementera en process för riskhantering och se till att den är spridd inom kommunen. Identifiera informationssäkerhetsrisker och bedöm dessa. Se sedan till att omsätta riskanalysens resultat i beslut samt konkreta åtgärder. Dessa beslut samt åtgärder bör vara dokumenterade. Detta är särskilt viktigt för de kritiska processerna i kommunen! Kommunledningen bör säkra upp så att den blir kontinuerligt informerad om informationssäkerhetsriskerna och hanteringen av dessa, särskilt vad avser samhällsviktig verksamhet i kommunen. Genomför riskanalyser vid varje förändring i kommunens kritiska system.
Rekommendationer - resurser Se till att det finns en utpekad funktion för informationssäkerhet inom kommunen och som har informationssäkerhet som sitt huvudsakliga arbetsområde och med ett från kommunledningen tydligt mandat och ansvar. Se över vilka resurser som behövs för att införa, upprätthålla, underhålla och förbättra den beslutade informationssäkerheten i kommunen, samt tillhandahåll resurser. Höj medvetenheten kring informationssäkerhet i hela kommunen. Se till att de anställda i kommunen är medvetna om informationssäkerhetspolicyn och det säkerhetsansvar de har i sitt dagliga arbete. Se till att informationssäkerhetsfunktionen kompetensutvecklas. Kompetens behöver även i sig ses som en informationstillgång inom organisationen. När informationstillgångar inventeras och klassificeras inom verksamheten är det av stor vikt att med arbetares kompetens och erfarenheter, inte minst hos de som aktivt jobbar med informationssäkerhet, tas med i processen. För att uppnå god informationssäkerhet krävs att någon arbetar aktivt med området och som helst har ett utpekat ansvar och mandat. Funktionen för informationssäkerhet är även i många fall placerad hos it-funktionen (it/service), vilket inte är anmärkningsvärt då de här frågorna traditionellt varit en fråga som handlat om teknik, it- och systemsäkerhet. En informationssäkerhetsutbildning i någon form till medarbetarna har många vinster. Med rätt insatser kan utbildning höja kunskapsnivån vad gäller informationssäkerhet hos de anställda och öka medvetenheten. Kommunens ledning skickar, genom att satsa på informationssäkerhetsutbildningar, tydliga signaler till organisationen om att de ser informationssäkerhetsfrågorna som betydelsefulla och att de förväntar sig att medarbetarna har ett säkert beteende. En kommun är en stor och komplex organisation. Utifrån antalet medarbetare är många kommuner större än de flesta företag och myndigheter. Stöd i form av resurser, kompetens och budget är viktiga komponenter för att skapa informationssäkerhet. Det är viktigt att skapa en förståelse för vad som avses med kvalitet i kommunens informationshantering. Ett sätt att uppnå förståelse är att utbilda personalen. Det skapar förståelse för att säker informationshantering krävs i de flesta processer. Många gånger ges resurser för krishantering. Det är också viktigt att det är säkerställt att funktionen med informationssäkerhetsansvar har mandat att sammankalla till riskanalyser och systemförvaltarträffar och att dessa möten kan prioriteras i arbetet. Vad många inte tänker på är att information ofta står i centrum vid krishantering. Utvärderingar av kriser har visat att information varit en av de viktigaste faktorerna för hanteringen av krisen. För de som försöker lösa en kris kan tillgången till korrekt information i rätt tid vara helt avgörande.
Rekommendationer - rapportering Se till att den utpekade informationssäkerhetsfunktionen får möjlighet att regelbundet presentera aktuell status på området för kommunens ledning (inkl. aktuella risker). Säkerställ att det inte enbart är IT-säkerhetsrelaterade frågor eller IT-incidenter som rapporteras till ledningen, utan informationssäkerhetsrelaterade frågor ur ett bredare perspektiv. Se till att incidentrapporteringen omhändertas ur ett läro-perspektiv och att den leder till ett systematiskt förbättrings arbete. Ta fram, informera om och öva en formaliserad process för att rapportera in och omhänderta inkomna informationssäkerhetsincidenter. Säkerställ att avtal med externa parter innehåller krav på incidentrapportering. Säkerställ att incidentrapporteringsprocessen omfattar kommunens externa leverantörer. För att få en väl fungerande incidentrapportering så är det också viktigt att ha ett processperspektiv på arbete. Rapporterade händelser/risker måste hanteras och erfarenheter från incidenten och de vidtagna åtgärderna måste omhändertas ur ett läroperspektiv, så att det leder till ett systematiskt förbättringsarbete. Kommunerna bör säkerställa att avtalen mellan kommunen och de leverantörer som hanterar kommunens informationstillgångar, innehåller krav på incidentrapportering. Något som bör beaktas är möjligheten att lägga in detta krav i standardiserade avtalsmallar i de fall sådana används. Det bör vidare säkerställas att det finns en process inom kommunen som systematiskt omhändertar dessa rapp-orter i syfte att skydda informationstillgångarna. Detta avser både hantering av händelser samt mer långsiktiga åtgärder med förebyggande aspekter på informationssäkerheten.
kontinuitetsplanering Se till att ta fram en kontinuitetsplan för hur bortfall av information och andra informationssäkerhetsrisker i kommunens kritiska verksamhetsprocesser ska hanteras. Öva kontinuitetsplanen med jämna mellanrum. Informera om kontinuitetsplanen och håll den uppdaterad. Att kunna hantera incidenter underlättas om organisationen använder en beprövad incidenthanteringsmodell. För att verksamheten ska kunna bedrivas även i störda förhållanden, så bör kontinuitetsplanering upprättas och införas. Idag är det många kommuner som har lagt ut hela eller delar av informationshanteringen på entreprenad hos externa leverantörer.
TACK för ditt deltagande!
Vilka informationstillgångar kan vara känsliga? Samhällssektor Exempel på viktiga samhällsfunktioner per samhällssektor Energiförsörjning Produktion av el, distribution av el, produktion och distribution av fjärrvärme, produktion och distribution av bränslen och drivmedel m.m. Finansiella tjänster Betalningar, tillgång till kontanter, centrala betalningssystemet, värdepappershandel m.m. Handel och industri Bygg- och entreprenadverksamhet, detaljhandel, tillverkningsindustri m.m. Hälso- och sjukvård samt omsorg Akutsjukvård, läkemedels- och materielförsörjning, omsorg om barn, funktionshindrade och äldre, primärvård, psykiatri, socialtjänst, smittskydd för djur och människor m.m. Information och kommunikation Telefoni (mobil och fast), internet, radiokommunikation, distribution av post, produktion och distribution av dagstidningar, webbaserad information, sociala medier m.m. Kommunalteknisk försörjning Dricksvattenförsörjning, avloppshantering, renhållning, väghållning m.m. Livsmedel Distribution av livsmedel, primärproduktion av livsmedel, kontroll av livsmedel, tillverkning av livsmedel m.m. Offentlig förvaltning – ledningsfunktioner – stödfunktioner Lokal, regional och nationell ledning, begravningsverksamhet, diplomatisk och konsulär verksamhet m.m. Skydd och säkerhet Domstolsväsendet, åklagarverksamhet, militärt försvar, kriminalvård, kustbevakning, polis, räddningstjänst, alarmeringstjänst, tullkontroll, gränsskydd och immigrations-kontroll, bevaknings- och säkerhetsverksamhet m.m. Socialförsäkringar Allmänna pensionssystemet, sjuk- och arbetslöshetsförsäkringen m.m. Transporter Flygtransport, järnvägstransport, sjötransport, vägtransport, kollektivtrafik m.m. Bilden används bara om det behövs fördjupande diskussioner kring samhällsviktig verksamhet. Teknisk infrastruktur (vatten, el, värme) Personuppgifter (löneuppgifter, patientjournaler, lösenord osv) Arbetshandlingar – förarbeten till känsliga beslut (både politiskt och tjänstemannabeslut) IT-plattformar (t.ex tillgång till redigering av hemsida, utbetalning av löner) Beredskapsplanering/försvarsplanering Bilden beskriver de 11 samhällsviktiga sektorerna enligt MSB:s definition. Finns det känsliga informationstillgångar som är kommunens ansvar?