Nyhet · 2019-02-12

Så här får Göteborg tio städer att samarbeta om informationssäkerhet

Göteborg fungerar som tio medelstora städer med egna stadsdelsförvaltningar. Standarder är en viktig del av styrsystemet som håller ihop staden.

Porträtt av Jan Svensson – Vi försöker inte uppfinna hjulet på nytt utan använder oss av det kloka människor redan tänkt ut, säger informationssäkerhetschefen Jan Svensson.

Staden ansvarar inte bara för den egna verksamheten med 56 000 anställda i förvaltningar och bolag. Göteborg har i likhet med alla andra kommuner även ett geografiskt områdesansvar för vad som händer i övriga samhället. Det leder till att styrsystemet blir komplext och vidsträckt.

En av grunderna är ISO-standarder för bland annat informationssäkerhet, vilket seglat upp som en viktig fråga.

– Standarder ger oss riktlinjer för att arbeta metodiskt hela vägen upp till kommunfullmäktige. De ger inte alla svar, men däremot verktyg och en gemensam begreppsapparat för en vettig dialog även med externa parter, säger Jan.

För informationssäkerhet används ISO 27000-serien. Den ger inte svar på alla frågor, men ställer däremot krav, till exempel att all information ska säkerhetsklassas. Hur man gör graderingen bestämmer staden centralt, men klassningen ska verkställas och vara verksamhetsspecifik.

Den säkerhetsanalys som gjordes bland annat enligt standardens krav utmynnade i att Göteborg stoppade utrullningen av ett molnbaserat mjukvarupaket, eftersom man fann att sekretessfrågorna inte var lösta. Vid den tiden undrade vissa vad Göteborg höll på med. Sedan kom turerna kring Transportstyrelsens IT-upphandling och efterföljande kritik från riksdagens konstitutionsutskott. Göteborgs försiktighet visade sig vara välgrundad.

– En annan fördel med att ISO 27000-serien förenklar är att använda varandras lösningar och erfarenheter. Ett enhetligt arbetssätt bidrar också till att implementera beslut, följa upp och rapportera till ledning och intressenter, säger Jan Svensson.


Läs mer:

Framtidens Göteborg 
Mer om ISO 27000 
Transportstyrelsens IT-upphandling


Ta kontroll över verksamhetsprocessen

För att få hjälp med och kontroll över din organisations verksamhetsprocesser finns ISO 9001, ett kvalitetsledningssystem för alla organisationer.

Utbildningar inom informationssäkerhet

SIS erbjuder utbildningar om våra mest sålda standarder inom informationssäkerhet så att du kan utveckla din verksamhet och din egen kompetens.