Informationssäkerhet och GDPR - hur hanterar vi det?

Här är tredje delen i På AB:s artikelserie. Varje månad delar vi med oss av våra erfarenheter genom att publicera en artikel på ett tema kopplat till området styrning. Säkerställ att du inte missar framtida artiklar.

Vi hos På arbetar aktivt med frågor kring informationssäkerhet och GDPR hos många av våra kunder. En av dem är en myndighet som vi anser har hittat ett sätt för att få arbetet med informationssäkerhet att fungera i praktiken. Vi fick möjlighet att ställa några frågor till en förvaltningsledare it som arbetar på myndigheten.

Kan du kortfattat beskriva organisationens arbete med informationssäkerhet?

Hur ledningen ska styra sin verksamhet beskrivs i ett ledningssystem. En del berör informationssäkerhet (LIS) i verksamheten. Vi har därmed en struktur och ett konkret tillvägagångssätt när vi hanterar vår information. Sedan år 2015 använder vi oss av modellen pm3 som styr- och samverkansmodell. Det innebär att myndigheten har identifierat och etablerat sina objekt, tillsatt roller och beslutsforum och därigenom kan målstyra sin förvaltnings- och utvecklingsverksamhet.

Det är objektägare (bemannade av verksamhetschefer) tillsammans med objektägare it (bemannade av it-chefen) som har ägaransvar för myndighetens förvaltningsobjekt. Inom varje objekt har verksamheten kontroll på vilka informationstillgångar som finns samt vilka krav och behov som finns på informationssäkerheten.

Informationstillgångarna (data, medarbetare, processer, it-system etc.) är redan definierade i samband med etablering av förvaltningsobjekten, vilket innebär att grunden för arbetet redan finns på plats.

”Det finns två saker som är extra viktiga att säkerställa. Dels att identifiera de personer inom verksamheten som känner till vilka krav och behov som finns på informationstillgångarna. Dels att undersöka om dessa krav efterlevs.” 

Vilka är de viktigaste förutsättningarna för ett framgångsrikt arbete med informationssäkerhet?

Det finns två saker som är extra viktiga att säkerställa. Dels att identifiera de personer inom verksamheten som känner till vilka krav och behov som finns på informationstillgångarna. Dels att undersöka om dessa krav efterlevs.

Eftersom vi har ett tydligt ansvarsområde för våra respektive objekt och personer knutna till objekteten är en av de viktigaste förutsättningarna redan på plats. Sedan återstår utmaningen att ta sig tid att göra själva jobbet…

Vi har i våra årliga objektplaner formulerat delmål som säger att vi ska uppfylla säkerhetskraven (red. anm. detta delmål finns fördefinierat under delmålen för ändringshantering i objektplanen i pm3). Underlag till vad som specifikt behöver göras har vi tagit fram genom gap- och riskanalyser. Vi har dessutom planerat in arbetet utspritt i årshjulet för att se till att det inte blir något vi hastar igenom vid årsskiftet.

Vilka är fördelarna med att arbeta på det sättet?

Det är flödet av information som vi ska skydda och våra it-system måste klara av de krav som ställs. Att vi då har flera kloka människor (verksamhetskunniga, it-tekniker, arkitekter m.fl.) som tillsammans arbetar med detta gör att vi kan ha en god kontroll över situationen. Att vi utöver det har planerat in arbetet är guld värt när det, som alltid, kommer in andra saker som ”är viktigare”.

Hur säkerställer ni efterlevnad av den nya personuppgiftslagen, GDPR?

Vi har låtit jurister förklara kraven för oss och därefter har vi genomfört gap-analyser som visat på var det har funnits brister. Genom att dessutom genomföra riskanalys på de identifierade bristerna och göra aktiva val kommer vi framåt i arbetet med att säkerställa efterlevnad av GDPR. Det finns tyvärr inga genvägar utan det är bara hårt arbete som gäller.

Det låter som ett enkelt tillvägagångssätt – finns det inga fallgropar?

En utmaning är att inte ta på sig rollen som jurist när man inte är det. Ta istället hjälp av den expertisen. För oss har det varit bäst att ta hjälp löpande, lite åt gången och ganska ofta.

En annan utmaning kan vara att skilja it-system från de informationstillgångar som bärs av it-systemen. Informationssäkerhet och GDPR är inte en fråga enbart för it-enheten. För att klara av att hantera dessa frågor behöver samverkan ske mellan verksamhetsrepresentanter och it-representanter.

En tredje utmaning är att lyckas hålla sig till sitt konkreta område och inte börja jämföra med andra i alltför stor utsträckning. Det är sällan samma förutsättningar som gäller och ni riskerar att lägga energi på fel saker.

Slutligen, har du några tips till andra i din situation?

Försök inte ta dig an detta på egen hand! Samla många olika kompetenser och ta hjälp av de med relevant erfarenhet. Har ni etablerat objekt utgör de personer som har rollerna kopplade till objektet, dvs. FL, FL-IT, OÄ, OÄ-IT samt de som är målgrupp för respektive objekt viktiga nyckelpersoner i arbetet (red. anm. använd gärna partsbilden i pm3 som stöd i arbetet med att identifiera viktiga parter i arbetet). Med hjälp av förvaltningsprodukterna har ni även sorteringen av vilka informationstillgångar ni ska ta er an.

Var också observant på om ni hamnar i en situation där ni lägger tid på att försöka förstå eller tolka. Ta hellre experthjälp igen och gå sedan vidare.

Vill du veta mer om hur pm3 kan vara till hjälp i arbetet med informationssäkerhet och GDPR? Välkommen att kontakta oss hos På. Vi är experter på förvaltnings- och portföljstyrning och vi har erfarenhet av att hantera frågor kring just informationssäkerhet ute hos våra kunder. 

/ På AB

Pst! Vill du få en e-postnotis varje gång På AB publicerar en ny artikel kopplad till området förvaltnings- och portföljstyrning? Välkommen att anmäla dig här.

Start typing and press Enter to search

På AB använder cookies. För att kunna använda webbplatsen fullt ut behöver du godkänna detta. Läs vår integritetspolicy med information om cookies och hur du gör om du inte vill acceptera.