I offentlighetens tjänst Processer I offentlighetens tjänst

Generisk beskrivning av säkerhetsprocesser Riskhanteringsprocess – Se utkast Klassningsprocess- Se utkast Incidenthanteringsprocess – Se utkast Kontinuitetsplanering- Se utkast Driftsättning – Se utkast Revision/uppföljning – Combitech har bollen osv I offentlighetens tjänst

Informationsklassning Informationsägarens ansvar och process för att ställa krav på administrativa rutiner och tekniska skyddsåtgärder

Riskhanteringsprocess Riskhantering och riskanalys Riskhantering är samordnade aktiviteter för att leda och styra en organisation med avseende på risk. Riskhanteringsprocessen är en generisk modell, som ska tillämpas av varje verksamhet och vara en del av beslutsunderlaget inför förändringar.

Med kontinuitetsplanering avses den planering som behövs för att minimera de negativa effekter, som kan bli resultatet av olika typer av avbrott i tillgång till informationen. Avsikten med planeringen är att upprätthålla kritiska verksamhetsprocesser och, så snabbt som möjligt efter ett avbrott, återgå till normalläge med korrekt och fullständig information Verktyg: Regional riskanalys Verksamhets, Uppdrag och beroenden

Incidenthanteringsprocess MSB Cert.se Fullständig process Erfarenheter - Vad har vi lärt oss?

Driftsättningsprocess Vid införande av nya system ställs krav på olika säkerhetsaktiviteter, såsom riskanalys, informationsklassificering och anmälan till dataskyddsombud om hanteringen innefattar behandling av personuppgifter. Driftsättningsanalysen fungerar som en barriär för att kontrollera att nödvändiga säkerhetskrav är tillgodosedda innan IS/IT-komponenten sätts i produktion. En driftsättningsanalys omfattar inte alla faktorer som har betydelse för att god informationssäkerhet uppnås utan har fokus på det som berör produktionsmiljön och att förhållanden mellan kärnverksamhet, förvaltning och drift är klarlagda.

Internrevision & uppföljning Revisionsprocessen syftar till att säkerställa att varje kommun lever upp till ställda krav och processer. Förutsättningarna för denna process är att det finns en utsedd internrevisionsgrupp som ansvarar för planeringen och genomförandet av revisionerna. Processen är iterativ och initieras av att kommunens planer för kommande revisioner. Aktiviteten ska resultera i en uppdaterad revisionsplan. Planen ska beskriva vilka områden som ska revideras 6-12 månader framåt och när detta ska ske. Revisionerna genomförs enligt revisionsplanen. Inför varje revisionstillfälle genomförs en detaljerad planering inför det område som ska revideras och vilka personer som behöver ingå. Under revisionen antecknas resultaten. Efter en genomförd internrevision sammanställs en revisionsrapport där det ska framgå vad man har reviderat och vad man har tittat på. Det ska också framgå positiva iakttagelser, avvikelser, observationer samt förbättringsförslag. Det är rekommenderat att dessa sammanställs i ett och samma verktyg (t.ex. avvikelsedatabas eller Excel-dokument) för alla genomförda revisioner. Avvikelser + förbättringsförslag måste vidarebefordras till åtgärdsansvariga. Dessa ska i sin tur svara med en kortfattad åtgärdsplan. Slutligen följs revisioner upp. Uppföljningen omfattar att kontrollera att revisioner har genomförts, status på åtgärder samt ev. eskalering till högsta ledningen Det är rekommenderat att denna process genomförs iterativt med relativt korta intervaller, t.ex. 1-2 månader. Planera revisioner Genomföra revisioner Rapportera revisionsresultat Följa upp revisioner  Revisionsplan Detaljplan Revisionsanteckningar Revisionsrapport Avvikelser Förbättringsmöjligheter Uppdaterade avvikelser, förbättringar, planer