Tänk om vi skulle leva i en värld där alla alltid var snälla och vi aldrig skulle behöva tänka på det här med att information kan hamna i orätta händer… Tänk vad skönt livet skulle vara om man slapp vakna upp kallsvettig och undra om man hann med att kryptera de där journalerna eller inte innan de följde med i nattens backuphantering.
Tyvärr är ju livet inte riktigt så "rosa-moln-fluffigt" perfekt. Vi har att tampas med många utmaningar vad gäller att se till att den information vi äger är skyddad från intrång, att informationen inte kan hanteras, ändras, förvanskas eller raderas hur som helst, att informationen vi äger är korrekt och pålitilig samt att vi har koll på vem som ska ha tillgång till den och inte.
Det finns en hel del olika lagkrav på hur informationen ska hanteras och säkras upp, t ex Personuppgiftslagen (1998:204) § 31, Offentlighets- och sekretesslagen (2009:400), Säkerhetsskyddslagen (1996:627), Arkivlagen (1990:782), MSB:s föreskrift om statliga myndigheters informationssäkerhet (2009:10), Förordning om krisberedskap och förhöjd beredskap (2006:942) samt Förordning om statliga myndigheters riskhantering (1995:1300).
Ett LIS-projekt (LIS står för Ledningssystem för Informationssäkerhet) mynnar ut i att ta fram
•
PolicyEn policy anger vårt förhållningssätt till något. Den kan klargöra vår syn på exempelvis medarbetare, IT eller information. En policy anger principer som kan tjäna som vägledning inom det aktuella området, vilka allmänna mål som eftersträvas och vilka värden som ska beaktas. Den ska således inte ange några fasta regler. En policy ska vara kortfattad. För att en policy ska fungera effektivt bör den sedan konkretiseras i andra styrdokument eller i den praktiska tillämpningen av policyn. En policy gäller tills vidare, därför bör dess aktualitet följas upp löpande.
•
PlanPlanen är det mest konkreta av färdriktningsdokumenten. En plan ska beskriva de önskade åtgärderna så att de kan omsättas till verkligheten. Planen ska även ange vem som ansvarar för att åtgärderna genomförs, när de ska vara genomförda samt vilka prioriteringar som ska ske.
•
RiktlinjerRiktlinjer avser främst frågor rörande ren verkställighet. Riktlinjer kan betraktas som en slags handbok som ska ange ramarna för vårt handlingsutrymme i en viss fråga. Riktlinjer kan ange både vad som ska uppnås och hur det ska uppnås, både externt och internt. Syftet med riktlinjer är att reglera den befintliga verksamheten så att den bedrivs effektivt och med god kvalité.
•
Regler
Regler anger absoluta normer för vårt agerande. De ska liksom lagtext vara tydliga och inte innehålla formuleringar som låter den enskilde göra egna tolkningar. Reglernas roll är att sätta gränser och förbjuda vissa beteenden. De är den mest konkreta formen av styrdokument. Regler ska gälla tills vidare.
Vill du veta mer om vårt LIS-arbete? Kom på vårt frukostseminarium om Informationssäkerhet den 14 mars klockan 08.00 (läs mer här)!
Peter Trixe är ny konsult på Bita, men har jobbat med IT Service Management under många år. Han har även varit t ex IT-chef och Service Desk Manager och är erkänt duktig inom bl a Informationssäkerhet och Risk Management.