Publicerad: 29 augusti 2017

Klassning och ställningstaganden

En mycket viktig del i processen är arbetet med klassning av information och informationssäkerhet. När det gäller molntjänsterna är diskussionen livlig och tolkningarna olika. Vilken sorts information får man egentligen spara i ”molnet” för att inte bryta mot PuL och annan lagstiftning?

Bild klassning och ställningstagande

Föregående: It-arkitektur - Nästa: Avtal och dokumentation

Integritetskänslig information och förhöjd säkerhet

Får man spara betyg i molntjänsten? Kunskapsmatriser? Omdömen och bedömningar? Det är inte helt enkelt att avgöra vad som är integritetskänslig information och inte när det gäller skolans formativa arbetssätt med bedömning, omdömen, utvecklingsplaner och så vidare. Olika begrepp används och kan tolkas på flera sätt. En enskild formulering i sig kanske inte är integritetskänslig, men flera tillsammans och med koppling till en specifik elev kan vara.

Lagstiftningen (PuL och även kommande Dataskyddförordning) talar om känsliga personuppgifter, så som ras, etniskt ursprung, politiska åsikter o.s.v. Integritetskänsliga uppgifter är ett vidare begrepp som också är mer subjektivt. Att göra en PuL-bedömning är en viktig del i arbetet när man ska införa it-tjänster i skolan. Det är då man bedömer om den eventuella hanteringen av personuppgifter som kommer ske i it-tjänsten är förenlig med lagstiftningen.

Integritetskänslig information kräver förhöjd säkerhet. Förhöjd säkerhet innebär till exempel att det krävs en säkrare inloggning än användarnamn och lösenord till it-tjänsten, vilket kanske inte är önskvärt när det gäller just molntjänsterna som ska användas enkelt och effektivt i det vardagliga pedagogiska arbetet. Då finns det andra it-tjänster att använda för att spara den sortens information i där man kan ha en säkrare inloggning, behörighetsstyrning, loggning, gallring etc. 

För att underlätta i diskussioner och ställningstaganden har SKL tagit fram ett dokument där vi definierar olika begrepp och exemplifierar vilken sorts formuleringar som kan kräva förhöjd säkerhet och inte. Mycket viktigt att komma ihåg är, som nämnt ovan, att enskilda formuleringar i sig kan vara okänsliga, men tillsammans med flera andra av annan karaktär eller för att det kan föreligga speciella omständigheter, kan de uppfattas som känsliga. 

Workshop om informationssäkerhet

Att göra en workshop kring informationssäkerhet innebär att tydliggöra vilken information som finns i systemet, allt från personuppgifter till fritextskrivande, och vilka krav verksamheten har på informationen. Under en workshop diskuteras olika risker och tänkbara hot, vad det innebär om obehöriga kommer åt informationen och så vidare.

Allting dokumenteras för att sedan användas i olika kravställningar, för intern information och till viss del extern. Det här kallas informationssäkerhetsklassificering och risk- och sårbarhetsanalys och innebär i stora drag att verksamheten beslutar vilket värde informationen i it-tjänsten har. Det är en viktig workshop att genomföra där deltagarna tillsammans är ansvariga för resultatet. Utöver, eller snarare som en del av, det här arbetet ska också en PuL-bedömning göras och dokumenteras. SKL har tagit fram mallar att använda för dokumentation i det arbetet.

Mittköpings projektledare bjuder in till en workshop för att göra en informationssäkerhetsklassning och risk- och sårbarhetsanalys.

Deltagare på mötet ska vara:

  • Systemförvaltare
  • Informationsägare (någon som på relativt hög nivå kan besluta om vägval och avgränsningar)
  • Användare av systemet (med digital kompetens och från olika delar av verksamheten)
  • It-arkitekt
  • Informationssäkerhetsansvarig
  • Jurist eller personuppgiftsombud

Under mötet, som leds av informationssäkerhetsansvarig tillsammans med projektledaren, går de igenom vilken information som kommer att finnas i systemet. Men även vilka lagrum man har att förhålla sig till och hur viktigt det är för verksamheten att informationen kan garanteras utifrån dessa perspektiv:

  • Riktighet – vikten av tillförlitlig, korrekt, fullständig information
  • Konfidentialitet– vikten av åtkomstbegränsning, insynskydd
  • Spårbarhet – vikten av att kunna spåra olika händelser i systemen
  • Tillgänglighet– vikten av tillgång till informationen inom önskad tid

Det handlar alltså om att genom informationssäkerhetsklassificeringen avgöra vilken nivå av säkerhet informationen behöver ha. Det finns fyra nivåer, där nivå 1 innebär ringa skada för verksamheten om det finns brister i till exempel informationens riktighet. Om man bedömer att verksamheten skulle drabbas av allvarlig eller katastrofal skada vid brister i informationen blir klassningen Nivå 4.

Varje kategori, riktighet, konfidentialitet, spårbarhet och tillgänglighet, bedöms separat. Klassificeringen resulterar i olika krav på it-tjänsten när det gäller inloggning och behörighetsstyrning med mera.

Risk- och sårbarhetsanalys

Nästa steg i arbetet med informationssäkerhet är att göra en risk- och sårbarhetsanalys.

Utifrån informationsklassningen fortsätter man diskussionen kring vilka eventuella hot och risker man ser, hur sannolikt det är att de inträffar och vilken konsekvens det skulle kunna få för verksamheten.

Resultatet

När arbetet med informationsklassning och risk- och sårbarhetsanalys är klart omsätts det till ett antal krav så att informationen i tjänsten skyddas på det sätt som behövs. Det kan vara åtgärder som behövs internt eller av leverantören. Det kan röra allt från interna processer som behöver ses över till interna avtal mellan verksamhet och It. Ett arbete för bland annat systemförvaltaren att ta tag i.

En intern process som är viktig är att kommunen och skolorna har kontinuitetsplaner för att till exempel så bra som möjligt kunna hantera situationer där it-tjänsterna är otillgängliga under såväl kort som lång sikt.

KLASSA-verktyget

För att förenkla informationsklassning av it-tjänster och förbättra stöd för löpande systemförvaltning och kravställning vid upphandling, har SKL tagit fram webbverktyget KLASSA. Via KLASSA kan du få ut handlingsplaner avseende informationssäkerhetsarbete för it-tjänsten, men också konkreta krav inför eventuell upphandling av it-tjänst.

KLASSA-verktyget

Etiskt ställningstagande

Eftersom det också diskuteras en del i verksamheten kring molntjänstleverantörerna som sådana och det faktum att de på olika sätt spårar användarnas aktiviteter, väljer Mittköping att komplettera informationssäkerhetsanalys och risk- och sårbarhetsanalysen med ett dokument där det etiska ställningstagandet förklaras och motiveras. Dokumentet tas fram i samarbete mellan kommunjurist, projektledare och förvaltningschef och det beskriver bland annat kort varför och hur molntjänsten ska användas.

Tips

Dela gärna upp workshopen i två delar, eftersom det tenderar att ta tid att diskutera informationsflödet och vilken information man får spara var. Det är viktigt att kommunjurist och informationssäkerhetsansvarig är involverad i arbetet, dels för att kunna reda ut begreppen och lagarna, men också för att få en förståelse kring hur verksamheten arbetar med digitala verktyg.

Läs vidare

Hjälpte informationen på sidan dig?


User information

Tack för att du hjälper oss!

Sidfot