Till innehållet

Säkerhet och integritet

Information är en grundläggande byggsten i en organisation, på samma sätt som medarbetare, lokaler och utrustning. Arbetet med informationssäkerhet handlar om att ta ett helhetsgrepp och skapa ett fungerande långsiktigt arbetssätt för att ge organisationens information det skydd den behöver.

Säkerhet och respekt för den personliga integriteten är grundläggande frågor vid tillhandahållandet av offentliga digitala tjänster.

Skyddet behöver givetvis anpassas efter behovet så att det är tillräckligt bra och inte för svagt eller alltför krångligt och dyrt. De konsekvenser som kan inträffa med bristande skydd är för höga för att försummas. Offentliga organisationer behöver se till att*:

  • Kartlägga informationsbehandling (vilka uppgifter som ska behandlas där), samt vilket inbördes förhållande uppgifterna har till varandra. För de myndigheter som tillämpar informationsarkitektur i sin verksamhet kan en sådan kartläggning bestå av en så kallad informationsmodell.
  • Identifiera vilka rättsliga krav som kan aktualiseras för den information som ska behandlas i tjänsten till exempel avseende dataskydd och respekt för privatlivet.
  • Informationen som hanteras ska klassas efter behovet av tillgänglighet, riktighet och konfidentialitet samt att detta är dokumenterat.
  • Klarlägga vilka informationssäkerhetsrelaterade risker (riskanalys) som är förknippade med e-tjänsten och som innefattar hela den kedja av informationsbehandlingar som blir aktuella samt inte begränsas till myndighetens egen it-miljö.
  • Informationsklassificering, den rättsliga analysen samt riskanalysen ska läggas, tillsammans med de funktionella krav som verksamheten ställer, till grund för en kravanalys av vilken it-säkerhetsarkitektur och vilka informationssäkerhetsåtgärder som är lämpliga för e-tjänsten.
  • Utifrån kravanalysen ska beslut om säkerhetsarkitektur och skyddsåtgärder tas och dokumenteras.
  • Inför en katastrofhändelse ha genomfört en kontinuitetsplanering för att införa de förfaranden som krävs för att funktionerna inte ska slås ut, samt för att alla funktioner så fort som möjligt ska återställas till det normala.

* I enlighet med ” Juridisk vägledning för verksamhetsutveckling inom e-förvaltning 3.0” (eSam, april 2018)

Lämpliga mekanismer ska möjliggöra ett säkert utbyte av information mellan system. Mekanismerna ska också hantera specifika säkerhetskrav, digital identifiering och betrodda tjänster såsom skapande och kontroll av digitala underskrifter eller stämplar. De ska även övervaka trafik för att upptäcka intrång, uppgiftsändringar och andra typer av angrepp.

Informationen måste skyddas på ett ändamålsenligt sätt vid överföring, behandling och lagring genom olika säkerhetsprocesser, såsom:

  • fastställande och tillämpning av säkerhetsföreskrifter
  • säkerhetsutbildning och säkerhetsmedvetande
  • fysisk säkerhet (bland annat åtkomstkontroll)
  • säkerhet vid utveckling
  • säkerhet vid drift (bland annat säkerhetsövervakning, incidenthantering eller sårbarhetshantering)
  • säkerhetsgenomgångar (bland annat revisioner och tekniska kontroller)

Offentliga organisationer behöver enas om gemensamma åtgärder för att hantera den personliga integriteten innan komplexa tjänster tillhandahålls i samverkan.

41. Utgå från relevanta etablerade krav och standarder för säkerhet och integritet

Offentliga tjänster ska:

a) utgå från relevanta etablerade internationella, nationella, sektorsvisa och organisationsspecifika krav och standarder för säkerhet enligt rekommendation 8

b) ha en rätt avvägd balans för personlig integritet

c) ha fastställda säkerhetsåtgärder för att hantera de identifierade riskerna