Kommuners informationsförsörjning är en kritisk del i Sveriges informationssäkerhet. Lagar och förordningar ställer krav på systematiska och hållbara arbetssätt i en ständig process av löpande förbättringar. När vi efterlever dessa regler skapas ett tryggare samhälle och Sverige som nation kan lättare stå emot olika hot i vår föränderliga omvärld.
Informationssäkerhet
Informationssäkerhet handlar om att ha kontroll över information och flöden. Information ska bedömas enligt kriterierna konfidentialitet, riktighet och tillgänglighet (KRT). Det görs genom att klassa information på en viss nivå, arbeta med risker och bedöma skadan av om olika uppgifter hamnar i fel händer, manipuleras, inte kan nås, försvinner eller förstörs. Arbetssättet mynnar ut i ett bra kunskapsunderlag för beslut om vilka säkerhetsåtgärder som behöver vidtas för att ge informationen ett ändamålsenligt skydd. Informationssäkerhet omfattar all verksamhet och all information inom kommunen, oavsett om den finns i datorer, i ett telefonsamtal eller på ett papper.
Dataskydd
Dataskydd går hand i hand med informationssäkerhet. Syftet med dataskyddsarbetet är att skydda enskildas grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Arbetet bedrivs enligt dataskyddsförordningen (GDPR), som syftar till att skapa en enhetlig och likvärdig nivå för skyddet av personuppgifter inom EU så att det fria flödet inom EU och EES inte hindras.
Cybersäkerhet
Cybersäkerhet handlar om att ge digital information ett ändamålsenligt skydd och skydda verksamheten mot oönskade avbrott. Förutsättningarna att upptäcka och avvärja olika hot och IT-attacker kräver ständig uppmärksamhet, säkerhetsmedvenhet och löpande förbättringar. Om det värsta ändå skulle inträffa kan kommunens förberedande arbete (inbegriper bl.a. kris- och kontinuitetsplanering, samarbete och övningar) underlätta en effektiv krishantering som minimerar skadeverkningarna av det inträffade.
IT-säkerhet
IT-säkerhet: Med lagar, krav och styrdokument för det systematiserade och riskbaserade informationssäkerhetsarbetet följer krav på IT-säkerhet, teknisk och fysisk säkerhet. I styrdokument för IT-säkerhet framgår hur IT-säkerheten möter dessa säkerhetskrav och hur informationssäkerhet och IT-säkerhet samspelar för att uppnå ett ändamålsenligt skydd av information. IT-centrum[1] ansvarar för att det finns IT-säkerhetspolicy och IT-säkerhetsregler att följa.
Ett samordnat och effektivt informationssäkerhetsarbete leder inte bara till ett skydd mot it-attacker och läckage av känsliga uppgifter. Informationssäkerhet är grunden för en effektiv verksamhetsstyrning, säker kommunikation och digitalisering. När informationssäkerhetsaspekter hanteras i ett tidigt skede vid upphandling, utveckling och innovation kan kommunen dessutom spara tid och pengar och vara en aktör att räkna med i olika välfärdsleveranser och samarbeten. Detta till gagn för de olika intressentgrupper vi finns till för.
[1] IT-centrum är kommunens IT-förvaltning. Den styrs av en it-nämnd gemensam för fem kommuner i Uppland - Knivsta, Tierp, Älvkarleby, Heby och Östhammar. Välkommen till IT-Centrum (länk till extern hemsida).
Lagar som styr
Lagar som styr informationssäkerhetsarbetet är bland andra tryckfrihetsförordningen, offentlighets- och sekretesslagen, arkivlagen, skollagen, patientsäkerhetslagen, säkerhetsskyddslagen, dataskyddsförordningen (GDPR), NIS2/cybersäkerhetslagen och CER-direktivet. Patientsäkerhetslagen, GDPR och NIS2/Cybersäkerhetslagen är exempel på lagar som kan ge viten om de inte följs.
Mer information om krav och regler inom informationssäkerhetsområdet hittar du på Myndigheten för civilt försvar:s (MCF) hemsida
Krav och regler inom informationssäkerhet och cybersäkerhet (länk till extern hemsida)