Göteborg fungerar som tio medelstora städer med egna stadsdelsförvaltningar. Standarder är en viktig del av styrsystemet som håller ihop staden.

– Vi försöker inte uppfinna hjulet på nytt utan använder oss av det kloka människor redan tänkt ut, säger informationssäkerhetschefen Jan Svensson.

Staden ansvarar inte bara för den egna verksamheten med 56 000 anställda i förvaltningar och bolag. Göteborg har i likhet med alla andra kommuner även ett geografiskt områdesansvar för vad som händer i övriga samhället. Det leder till att styrsystemet blir komplext och vidsträckt.

En av grunderna är ISO-standarder för bland annat informationssäkerhet, vilket seglat upp som en viktig fråga.

– Standarder ger oss riktlinjer för att arbeta metodiskt hela vägen upp till kommunfullmäktige. De ger inte alla svar, men däremot verktyg och en gemensam begreppsapparat för en vettig dialog även med externa parter, säger Jan.

För informationssäkerhet används ISO 27000-serien. Den ger inte svar på alla frågor, men ställer däremot krav, till exempel att all information ska säkerhetsklassas. Hur man gör graderingen bestämmer staden centralt, men klassningen ska verkställas och vara verksamhetsspecifik.

Den säkerhetsanalys som gjordes bland annat enligt standardens krav utmynnade i att Göteborg stoppade utrullningen av ett molnbaserat mjukvarupaket, eftersom man fann att sekretessfrågorna inte var lösta. Vid den tiden undrade vissa vad Göteborg höll på med. Sedan kom turerna kring Transportstyrelsens IT-upphandling och efterföljande kritik från riksdagens konstitutionsutskott. Göteborgs försiktighet visade sig vara välgrundad.

– En annan fördel med att ISO 27000-serien förenklar är att använda varandras lösningar och erfarenheter. Ett enhetligt arbetssätt bidrar också till att implementera beslut, följa upp och rapportera till ledning och intressenter, säger Jan Svensson.

Läs mer:

Framtidens Göteborg 
Mer om ISO 27000 
Transportstyrelsens IT-upphandling

---