310 likes | 728 Views
Du betalar säker skatt. Agenda. Presentation av RSV Varför har frågan kommit upp? Vad är LIS Genomgång av RSV LIS och införandet Vad innebär RSV LIS för medarbetarna? Framgångsfaktorer. Riksskatteverket. Den bästa förvaltningen i medborgarnas tjänst !. Beskattning Folkbokföring
E N D
Agenda • Presentation av RSV • Varför har frågan kommit upp? • Vad är LIS • Genomgång av RSV LIS och införandet • Vad innebär RSV LIS för medarbetarna? • Framgångsfaktorer
Riksskatteverket Den bästa förvaltningen i medborgarnas tjänst ! • Beskattning • Folkbokföring • Fastighetstaxering • Indrivning • Bouppteckningar och arvsskatt
RSV är en stor organisationVi har allmänhetens uppmärksamhet riktad mot oss! • 21 myndigheter • Ca. 200 lokalkontor • Ca. 13 000 anställda • 1 100 000 000 000 kronor i omsättning • 105 koncerngemensamma IT-system varav 21 samhällsviktiga
Hotbild • Vi driver en omfattande verksamhet med stor exponering • Tänkbara aktörer med varierande uthållighet kan vilja skada vår verksamhet • Vårt skydd skall vara uthålligt och med hög kvalitet, externt - internt
Varför har frågan kommit upp ? • De beslut som vi fattar måste bygga på korrekt och aktuell information. • Vi har stora krav på rättssäkerhet i vårt beslutsfattande. • Vi är beroende av omvärldens förtroende.
Nya utmaningar • Spridnings- och hämtningssystem • Digitala certifikat • Deklaration över Internet
Brister • Styrande dokument • Dokumentation över rutiner och system • Rutiner för uppföljning och utvärdering
SS ISO/IEC 17799 Styrning av kommunikation och drift Säkerhetspolicy Kap. 3 Kap. 8 Säkerhetsorganisation Styrning av åtkomst Kap. 4 Kap. 9 Klassificering och kontroll av tillgångar Systemutveckling och -underhåll Kap. 5 Kap. 10 Personal och säkerhet Avbrottsplanering Kap. 6 Kap. 11 Fysisk och miljörelaterad säkerhet Efterlevnad Kap. 7 Kap. 12
Säkerhetspolicy • Information som skapas, inhämtas och förvaltas inom RSV-koncernen är en strategiskt viktig resurs. Med stöd av lagar och förordningar ska särskilda åtgärder vidtas för att säkerställa att informationen: • är korrekt och fullständig • finns tillgänglig vid behov • är skyddad mot obehörig åtkomst • kan spåras och återskapas.
Säkerhetsorganisation • Chefer och systemägare ansvarar för att säkerheten inom det egna ansvarsområdet upprätthålls och att medarbetare informeras och utbildas. • Varje medarbetare är medveten om och tar sitt ansvar. • Säkerhetschefen ansvarar för att stödja och följa säkerhetsarbetet inom myndigheten.
Klassificering och kontroll av tillgångar • Syftet med informationsklassificering är att användaren ska kunna identifiera och tillämpa lagstiftningens krav på hantering och utlämnande av information på ett enkelt och entydigt sätt. • Informationsklassificering ska utföras på ett sådant sätt att medarbetare kan handha information på ett enkelt, enhetligt och rättssäkert sätt. • Som stöd för detta arbete finns detaljerade rutinbeskrivningar.
Personal och säkerhet • Ansökningshandlingar och persondata ska kontrolleras så att de uppfyller en godtagbar kvalitet. • Personal som tar del av sådan information som omfattas av Säkerhetsskyddslagen ska genomgå säkerhetsprövning. • All personal ska genomgå introduktionsutbildning i informationssäkerhetsfrågor och fortlöpande informeras • All personal ska informeras om hur obehörig avlyssning kan undvikas på t.ex. allmänna platser. • När programfel eller andra incidenter inträffar, ska dessa rapporteras för analys och eventuell åtgärd.
Fysisk och miljörelaterad säkerhet Skalskydd • Samlingsbegrepp för en eller flera samverkande fysiska skyddskomponenter, t.ex. lås-, larm-, inbrottsskyddssystem. Tillträdesbegränsning • System för begränsning och kontroll av tillträde till utrymmen innanför skalskyddet. Säkrade utrymmen • Avser de utrymmen inom ett avgränsat skalskydd som kräver ett förstärkt fysiskt skydd, t.ex. server-, växel- och korskopplingsutrymmen, datorhallar, arkivutrymmen. Behörighet • Avser person som medgivits åtkomst till information och/eller lokaler vilka står under myndighetens kontroll.
Styrning av kommunikation och drift • Ändringar i driftsmiljö får endast ske genom beställning i beställningsrutinen och under kontroll av löpande drift. • I driftmiljön ska det finnas väl dokumenterade driftrutiner och en ansvarsfördelning för samtliga arbetsuppgifter • Alla IT-system samt nätverk ska övervakas på erfordrad nivå, för att tillhandahålla en säker och stabil drift. • Dokumentation över nätverket med en förteckning över befintlig utrustning ska finnas.
Styrning av åtkomst • Användare ska endast ha de behörigheter som krävs för att denne ska kunna utföra sitt arbete. • Beslut om tilldelning av behörigheter fattas av ansvarig chef som också ska informera sin personal om vilka regler och vilket ansvar som följer med respektive behörighet. • Den som tilldelats behörighet ska kvittera alternativt bekräfta den genom godkänd digital signatur. • Alla användare ska identifiera sig mot RSV-koncernens IT-system med egen unik användaridentitet som verifieras med unik PIN-kod.
Systemutveckling och -underhåll • I kravspecifikationen på nya system ska kraven på styrmedel och säkerhetsåtgärder specificeras. • Kravspecifikationen ska omfatta de krav som ställs med avseende på: • Sekretess • Tillgänglighet • Tillförlitlighet eller integritet • Spårbarhet • Provkörning av system ska göras före godkännande som ska ske enligt fastställd rutin.
Avbrottsplanering En kontinuitetsplan ska säkerställa fortsatt verksamhet vid störning eller avbrott i den ordinarie datadriften och omfattar två delar: a)Avbrottsplan, som ingår som en del av den ordinarie verksamheten, ska omfatta de reserv- och återstartsrutiner för datadriften som vidtas inom ramen för ordinarie drift. På så sätt kan datasystemet återstartas inom fastställd tid. b) Katastrofplan omfattar en organisation inom RSV som ska träda i funktion när RSV:s GD eller systemägaren av den tekniska infrastrukturen beslutar att en katastrofsituation har inträffat.
Efterlevnad • Myndighetschef ansvarar för att alla krav på god informationssäkerhet tillgodoses inom myndigheten och att detta verifieras genom regelbundna och dokumenterade granskningar. • Systemägare har motsvarande krav beträffande sina informationssystem. • Säkerhetsenheten på RSV tillhandahåller erforderliga hjälpmedel och verktyg för uppföljning.
Hur har vi gått tillväga? LIS Interna/externa krav FA22 Nuläge Krav Anpassning Införande Uppföljning Förankring !!!
Förstudie-/analysfas Nuläge Krav • Nulägesinventering • Analys/riskbedömning • Bedömning av tillämplighet • Kartläggning av teknisk infrastruktur • Plattformar • BKS • Internetkopplingar • Externa kopplingar • Kostnads-/nyttokalkylering • Korsreferenslista • Beslutsunderlag
Projektarbetet Anpassning Styrgrupp Kvalitet Referensgrupp PL Projektgrupp Systemutveckling/ Införande DOK-IT BADM Utbildning underhåll
RSV LIS Anpassning Här ingår de riktlinjer och anvisningar som är styrande för RSV-koncernens LIS. LIS Ramverk med fokus på myndighetschefer och säkerhetschefer Här ingår regler, rutiner och hjälpmedel för informationssäkerhet men också för krishantering och beredskap etc. Utifrån LIS och verksamhetens processer finns här regler och rutiner för den tekniska infrastrukturen. DOK-IT Rutiner och regler för medarbetare inom RSV IT Verksamhetsskydd En handledning för medarbetare inom RSV Verktyg och hjälpmedel för uppföljning, avtal, riskhantering etc Personalhandbok, beredskapsplaner etc
Införande Införande - Genomförande av utbildningar - Fortsättning BADM - Uttalande om tillämplighet - Ägande/förvaltning
Utbildning Införande handledn. verksam- hetsskydd RSV LIS säk.- handbok IT rutin- beskrivn. Krav på god informationssäkerhet Kravuppfyllelse på god informationssäkerhet
Uppföljning Uppföljning • M- Målgruppsanpassade checklistor • M- Metod för riskanalys • D- Del av den normala interna kontrollen • T- Teknisk efterlevnad • E- Efterlevnad i utvecklingsarbetet
Vad innebär LIS för det dagliga arbetet? • T- Trygghet för medarbetarna • F- Förtroende från medborgare och partners • H- Handledning utifrån ett användarperspektiv • E- Ett RSV-anpassat LIS!! • T- Tillgång till mallar, checklistor och hjälpmedel vid behov • H- Hjälp vid kravställning för utvecklare och systemägare
Vad innebär LIS för det dagliga arbetet, forts? • Tydliga krav på chefer och verksamhetsansvariga • Kunskap om säkerhet kopplat till den egna verksamheten • Gemensamt synsätt på säkerhet inom hela koncernen • Gemensamma processer för riskhantering, informationsklassificering och kontinuitetsplanering • Klar överblick över informationssäkerheten
Framgångsfaktorer • Ledningens stöd och engagemang • Anpassning till språkbruk och kultur • Inflytande av och förankring hos medarbetarna • Kompetens i projektet • Pilotverksamheterna RSV EK/Säk Version 1
Framgångsfaktorer, forts • UUtgå ifrån verksamhetens krav, behov och ordinarie arbetssätt • EEtt processorienterat angreppssätt är att föredra då det är möjligt • LLåt inte standarden styra för mycket • fEffektiv marknadsföring och förankring är en förutsättning • BBättre att börja på en lägre nivå och komma igång • EI en stor och utbredd organisation måste en gemensam grundnivå identifieras