Informationssäkerhet och GDPR - hur hanterar vi det?

Vi hos På arbetar aktivt med frågor kring informationssäkerhet och GDPR hos många av våra kunder. En av dem är en myndighet som vi anser har hittat ett sätt för att få arbetet med informationssäkerhet att fungera i praktiken. Vi fick möjlighet att ställa några frågor till en förvaltningsledare it som arbetar på myndigheten.

Kan du kortfattat beskriva organisationens arbete med informationssäkerhet?

Hur ledningen ska styra sin verksamhet beskrivs i ett ledningssystem. En del berör informationssäkerhet (LIS) i verksamheten. Vi har därmed en struktur och ett konkret tillvägagångssätt när vi hanterar vår information. Sedan år 2015 använder vi oss av modellen pm3 som styr- och samverkansmodell. Det innebär att myndigheten har identifierat och etablerat sina objekt, tillsatt roller och beslutsforum och därigenom kan målstyra sin förvaltnings- och utvecklingsverksamhet.

Det är objektägare (bemannade av verksamhetschefer) tillsammans med objektägare it (bemannade av it-chefen) som har ägaransvar för myndighetens förvaltningsobjekt. Inom varje objekt har verksamheten kontroll på vilka informationstillgångar som finns samt vilka krav och behov som finns på informationssäkerheten.

Informationstillgångarna (data, medarbetare, processer, it-system etc.) är redan definierade i samband med etablering av förvaltningsobjekten, vilket innebär att grunden för arbetet redan finns på plats.

 

”Det finns två saker som är extra viktiga att säkerställa. Dels att identifiera de personer inom verksamheten som känner till vilka krav och behov som finns på informationstillgångarna. Dels att undersöka om dessa krav efterlevs.” 

Vilka är de viktigaste förutsättningarna för ett framgångsrikt arbete med informationssäkerhet?

Det finns två saker som är extra viktiga att säkerställa. Dels att identifiera de personer inom verksamheten som känner till vilka krav och behov som finns på informationstillgångarna. Dels att undersöka om dessa krav efterlevs.

Eftersom vi har ett tydligt ansvarsområde för våra respektive objekt och personer knutna till objekteten är en av de viktigaste förutsättningarna redan på plats. Sedan återstår utmaningen att ta sig tid att göra själva jobbet…

Vi har i våra årliga objektplaner formulerat delmål som säger att vi ska uppfylla säkerhetskraven (red. anm. detta delmål finns fördefinierat under delmålen för ändringshantering i objektplanen i pm3). Underlag till vad som specifikt behöver göras har vi tagit fram genom gap- och riskanalyser. Vi har dessutom planerat in arbetet utspritt i årshjulet för att se till att det inte blir något vi hastar igenom vid årsskiftet.

Vilka är fördelarna med att arbeta på det sättet?

Det är flödet av information som vi ska skydda och våra it-system måste klara av de krav som ställs. Att vi då har flera kloka människor (verksamhetskunniga, it-tekniker, arkitekter m.fl.) som tillsammans arbetar med detta gör att vi kan ha en god kontroll över situationen. Att vi utöver det har planerat in arbetet är guld värt när det, som alltid, kommer in andra saker som ”är viktigare”.

Hur säkerställer ni efterlevnad av den nya personuppgiftslagen, GDPR?

Vi har låtit jurister förklara kraven för oss och därefter har vi genomfört gap-analyser som visat på var det har funnits brister. Genom att dessutom genomföra riskanalys på de identifierade bristerna och göra aktiva val kommer vi framåt i arbetet med att säkerställa efterlevnad av GDPR. Det finns tyvärr inga genvägar utan det är bara hårt arbete som gäller.

Det låter som ett enkelt tillvägagångssätt – finns det inga fallgropar?

En utmaning är att inte ta på sig rollen som jurist när man inte är det. Ta istället hjälp av den expertisen. För oss har det varit bäst att ta hjälp löpande, lite åt gången och ganska ofta.

En annan utmaning kan vara att skilja it-system från de informationstillgångar som bärs av it-systemen. Informationssäkerhet och GDPR är inte en fråga enbart för it-enheten. För att klara av att hantera dessa frågor behöver samverkan ske mellan verksamhetsrepresentanter och it-representanter.

En tredje utmaning är att lyckas hålla sig till sitt konkreta område och inte börja jämföra med andra i alltför stor utsträckning. Det är sällan samma förutsättningar som gäller och ni riskerar att lägga energi på fel saker.

Slutligen, har du några tips till andra i din situation?

Försök inte ta dig an detta på egen hand! Samla många olika kompetenser och ta hjälp av de med relevant erfarenhet. Har ni etablerat objekt utgör de personer som har rollerna kopplade till objektet, dvs. FL, FL-IT, OÄ, OÄ-IT samt de som är målgrupp för respektive objekt viktiga nyckelpersoner i arbetet (red. anm. använd gärna partsbilden i pm3 som stöd i arbetet med att identifiera viktiga parter i arbetet). Med hjälp av förvaltningsprodukterna har ni även sorteringen av vilka informationstillgångar ni ska ta er an.

Var också observant på om ni hamnar i en situation där ni lägger tid på att försöka förstå eller tolka. Ta hellre experthjälp igen och gå sedan vidare.

Vill du veta mer om hur pm3 kan vara till hjälp i arbetet med informationssäkerhet och GDPR? Välkommen att kontakta oss hos På. Vi är experter på förvaltnings- och portföljstyrning och vi har erfarenhet av att hantera frågor kring just informationssäkerhet ute hos våra kunder. 

Denna webbplats använder cookies

Cookies ("kakor") består av små textfiler. Dessa innehåller data som lagras på din enhet. För att kunna placera vissa typer av cookies behöver vi inhämta ditt samtycke. Vi på På i Stockholm AB, orgnr. 5562776657 använder oss av följande slags cookies. För att läsa mer om vilka cookies vi använder och lagringstid, klicka här för att komma till vår cookiepolicy.

Hantera dina cookieinställningar

Nödvändiga cookies

Nödvändiga cookies är cookies som måste placeras för att grundläggande funktioner på webbplatsen ska kunna fungera. Grundläggande funktioner är exempelvis cookies som behövs för att du ska kunna använda menyer och navigera på sajten.

Funktionella cookies

Funktionella cookies behöver placeras för att webbplatsen ska kunna prestera som du förväntar dig, exempelvis så att den känner av vilket språk som du föredrar, för att känna av om du är inloggad, för att hålla webbplatsen säker, komma ihåg inloggningsuppgifter eller för att kunna sortera produkter på webbplatsen utefter dina preferenser.

Cookies för statistik

För att kunna veta hur du interagerar med webbplatsen placerar vi cookies för att föra statistik. Dessa cookies anonymiserar personuppgifter.

Cookies för annonsmätning

För att kunna erbjuda bättre service och upplevelse placerar vi cookies för att kunna anpassa marknadsföring till dig. Ett annat syfte med denna behandling är att kunna marknadsföra produkter eller tjänster till dig, ge anpassade erbjudanden eller marknadsföra och ge rekommendationer kring nya koncept utifrån vad du har köpt tidigare.

Cookies för personlig annonsmätning

För att kunna visa relevant reklam placerar vi cookies för att anpassa innehållet för dig

Cookies för anpassade annonser

För att visa relevanta och personliga annonser placerar vi cookies för att tillhandahålla unika erbjudanden som är skräddarsydda efter din användardata