Informationssäkerhet
Det som är viktigt för dig vill du ha på ett ställe som du har koll på, samma sak gäller på jobbet. Information som är viktig för dig och din verksamhet behöver vara säker och tillgänglig, det är informationssäkerhet.
Informationssäkerhetsarbete ska vara systematiskt och riskbaserat vilket är yttrat i regionens Informationssäkerhetspolicy. Informationssäkerhetsarbete finns och behövs överallt där information förekommer.
Grundprinciperna för att skydda informationen är:
- Tillgänglighet - vi ska alltid ha tillgång till informationen när vi behöver den.
- Riktighet - vi ska alltid kunna lita på att informationen är korrekt och inte manipulerad av någon.
- Konfidentialitet - vi ska alltid skydda informationen från obehöriga.
Nätfiske - bluffmail i din inkorg
Nätfiske, eller Phishing som det också kallas betyder att en bedragare vill få tag på känslig information. Det cirkulerar flera miljarder falska mail varje dag. Se vår informationsfilm som kan hjälpa dig att hantera och upptäcka bluffmail.
APT-material
För dig som är chef har vi tagit fram ett APT-material som du kan använda i din arbetsgrupp. Se filmen tillsammans och ta del av diskussioner och aktiviteter runt ämnet nätfiske, ett aktuellt och viktigt ämne.
Inför inköp och upphandling
Checklista för inköp/anskaffning som beskriver vilka aktiviteter ska genomföras innan inköp/anskaffning.
Dataskyddsförordningen
Varför finns GDPR? Är du en som klickar på "godkänn" och inte läser igenom alla villkorsbilagor? GDPRs syfte är att skydda medborgrarna. GDPR kravställer så att medborgarnas personuppgifter som flödar genom internet sker på ett kontrollerat sätt.
Vad är en personuppgifter?
En personuppgift är alla uppgifter som är personliga och kan hänföras till en person på något sätt. Exempel på personuppgifter:
- Namn
- Foto
- Patientuppgifter
- Enskild persons chathistorik
- E-post
Grundläggande principer inom dataskyddsförordning är att:
- Rättslig grund - måste ha stöd i dataskyddsförordningen för att få behandla personuppgifter.
- Ändamålsenligt - bara samlar in personuppgifter för ett specifikt, särskilt angivet och berättigande ändamål.
- Uppgiftsminimera - att vi inte behandlar fler personuppgifter än vad som avses enligt ändamålet.
- Lagringsminimera - att vi endast sparar de personuppgifter vi verkligen behöver och raderar personuppgifterna när vi inte längre behöver dem.
- Riktighet - att vi kan lita på att personuppgifterna är korrekt, inte manipulerad eller förstörd.
- Tillgänglighet - att personuppgifterna alltid finns när vi behöver den.
- Konfidentialitet - att skydda personuppgifterna från att obehöriga får tillgång till informationen.
- Ansvarsskyldighet - att kunna visa att vi efterlever dataskyddsförordningen och hur vi efterlever den.
Våra skyldigheter mot medborgare och deras rättigheter
- Rätt till information
- Rätt till tillgång
- Rätt till rättelse
- Rätt till radering
- Rätt till begränsning av behandling
- Rätt att göra invädningar
- Rätt till dataprotabilitet
- Automatiserade beslut
Har du frågor, skicka en e-post till dataskyddsombudet@regionvastmanland.se.
Metodstöd
Riskanalys och informationsklassning är två centrala begrepp i regionens informationssäkerhetspolicy. Det handlar om att identifiera och hantera risker i informationshanteringen och att investera i säkerhetsåtgärder på ett strukturerat sätt.
Uppföljning
Uppföljning av informationssäkerheten sker på en mängd olika sätt. På högsta nivå genomförs årligen ledningens genomgång, där det sker en genomlysning av ledningssystemets verkan.
Regionens revisorer har de senaste åren genomfört ett antal granskningar av informationssäkerheten, nu senast handlade det om styrning av behörigheter.
Via internkontroller sker punktvisa uppföljningar av t.ex. den loggranskning som sker månadsvis ute i verksamheterna.
För att följa upp verkan av den riktlinje som finns när det gäller användningen av internet sker månadsvis kontroller av surftrafiken.
Informationssäkerhetsråd
Informationssäkerhetsråd är ett samverkande forum inom det systematisk säkerhetsorganisationen.
Rådet består av representanter från olika förvaltningar och verksamheter.
Informationssäkerhetsråd träffas 4 gånger per år med ett särskilt fokusområde vid varje rådsträff. Utifrån fokusområde bjuds det in både interna och externa föreläsare för omvärldsbevakning och kompetenshöjning.
Rådets syfte
Rådets främsta syfte är att skapa gemensamma lägesbilder över utmaningar som finns inom området informationssäkerhet, cybersäkerhet och integrtitetsskydd (GDPR).
Inom rådets arbete arbetar vi med kompeteshöjande åtgärder för att representanter ska kunna utgörda ett mer operativt stöd till verksamheterna.
Du som representant till rådet
Det som förankras i rådet har du som representant ett ansvar att förankra informationen i din egen verksamhet och förvaltning.
Du utgör också en remitterande instans som verksamhetsrepresentant för arbeten och styrande dokument inom området.
Saknar det representant från din verksamhet/förvaltning är det välkommen att höra av dig till infosakerhet@regionvastmanland.se
Datum: 31 augusti
Fokusområde: Inlåsningseffekter
Extern föreläsare: Högskolan i Skövde
Datum: prel. 7 november
Fokusområde: AI
Extern föreläsare: Ej bekräftat
Ingår du inte i rådet med är intresserad att delta på föreläsningarna är du välkommen att anmäla ditt intresse för deltagande på infosakerhet@regionvastmanland.se