Informationssäkerhet

Informationssäkerhetspolicyn är kommunens övergripande styrdokument för hantering av informationssäkerhet och är underordnad den generella säkerhetspolicyn. Policyn anger inriktning för informationssäkerhetsarbetet inom Motala kommun.

Alla anställda inom kommunen ska känna till och följa gällande regler och instruktioner. Som medarbetare är du skyldig att påpeka eventuella brister i informationssäkerheten till din närmaste chef.

Hur ska vi då veta hur vi ska hantera vår information? Och vet vi ens vilken information vi har? Genom att inventera informationstillgångarna vet vi vilken information vi har. Och genom att klassa informationen vet vi hur den ska hanteras. Vår information måste skyddas så att:

• Endast behöriga personer kan ta del av den (Konfidentialitet)
• Vi kan lita på att den är korrekt (Riktighet)
• Den alltid finns när vi behöver den (Tillgänglighet)
• Det ska vara möjligt att ta reda på hur och av vem informationen har hanterats (Spårbarhet)

Dessa fyra kriterier avgör hur informationen eller IT-systemet ska skyddas och hanteras. Klassning av information i ett IT-system ger vår IT-enhet den information de behöver för att kunna sätta rätt skydd i IT-miljön och utgör också ett underlag till kravspecifikation vid upphandling.

Som stöd i arbetet kan workshops genomföras på förvaltnings- eller verksamhetsnivå, kontakta sakerhet@motala.se för detta.

Matris för konsekvensbedömning

Klassningen görs utifrån en matris för konsekvensbedömning. Man tittar alltså enbart på konsekvensen av att information försvinner, förvanskas eller läcker, och inte på sannolikheten. För att underlätta finns det även förenklade flödesscheman för klassning av respektive kategori, dessa finns i dokumentet Gemensamma anvisningar för informationsklassning. Det finns också ett reviderat flödesschema för Konfidentialitet som omfattar frågor om sekretess enligt Offentlighets- och sekretesslagen.

Tanken med flödesschemat är att man med hjälp av enkla frågor ska kunna hitta rätt skydd för informationen. Flödesschemat är tänkt som en enkel vägledning och täcker inte in alla typer av information. Därför kan man behöva komplettera med matrisen för konsekvensbedömning för att hitta rätt. Detta gäller till exempel för information som kan beläggas med sekretess enligt OSL.

Den absoluta majoriteten av all information vi behandlar i kommunen kan placeras i klass 1-3. I klass 4 placeras endast information som omfattas av säkerhetsskydd, det vill säga uppgifter som påverkar Sveriges säkerhet och kan beläggas med försvarssekretess enligt OSL 15 kap 2 §.

Dokumenthanteringsplan

Informationsklassningen görs i dokumenthanteringsplanen. Resultatet av klassningen anges med siffror för de fyra kategorierna i följande ordning K:R:T:S. Här kan du se ett exempel på en dokumenthanteringsplan med informationsklassning: Exempel Dokumenthanteringsplan

När det kommer till utbyte av känsliga personuppgifter eller sekretessbelagd information, är det avgörande att använda godkända och säkra kommunikationskanaler.

Outlook och Teams ska inte användas för utbyte av känsliga personuppgifter eller sekretessbelagd information. Även om de erbjuder bekvämlighet för daglig kommunikation inom organisationen, uppfyller de inte kraven för säker överföring av känsliga uppgifter.

Använd istället Sefos som är speciellt utformat för att hantera känsliga personuppgifter och sekretessbelagd information. Vidta även nedanstående säkerhetsåtgärder för att ytterligare stärka säkerheten vid hantering av känsliga meddelanden:

• Säkerställ mottagarens identitet innan känslig information skickas.
• Endast behöriga personer med ett verkligt behov av att känna till informationen bör ha tillgång till den.
• Meddelanden som innehåller känsliga uppgifter får inte vidarebefordras utan uttryckligt godkännande.

Läs mer i:

Gemensamma anvisningar för säkra digitala meddelanden

Du som använder Microsoft Teams ska tänka på att använda det på rätt sätt för att det ska vara säkert.

Personuppgifter eller dokument som innehåller det får inte delas eller diskuteras i Teams. Detta är exempelvis personnummer, hemadresser, telefonnummer och annan känslig information som kan identifiera en individ. Använd istället Sefos för denna typ av uppgifter.

Diskutera heller inte konfidentiell information öppet i Teams. Även i dessa fall hänvisas till Sefos. Var medveten om vilka som har tillgång till olika kanaler och team och dela endast information som är lämplig för den specifika gruppen.

Det är inte tillåtet att föra konversationer med sekretessuppgifter i chatten under mötet eftersom chatten sparas. Det är heller inte tillåtet att dela skärmen där känsliga uppgifter eller annan sekretessbelagd information visas eftersom det inte går att kontrollera om annan deltagare tar en kopia. Dessutom är det inte tillåtet att spela in mötet eftersom inspelningen kan sparas och visas igen av obehöriga.

Läs mer:

Digitala möten

Gemensamma anvisningar för Microsoft Teams

Du som medarbetare och chef har möjlighet att genomföra en webbaserad utbildning i informationssäkerhet.

Utbildningen tar ca 25 minuter och innehåller ett test med tio frågor. När du är klar kan du skriva ut ett intyg på att du klarat testet. Utbildningen är framtagen av Myndigheten för samhällsskydd och beredskap (MSB) och omfattar hantering av information på datorer och mobila enheter liksom på surfplattor och smartphones.