Nyhet · 2017-05-29

Så arbetar Internetstiftelsen med informationssäkerhet

Alla medarbetare som börjar på IIS, Internetstiftelsen i Sverige, får en personlig genomgång om informationssäkerhet och får skriva på ett särskilt avtal. De får också en handbok med information om allt från e-posthantering till hur man agerar vid en brand. Informationssäkerhet är ett självklart prioriterat område. – Om något går fel hos oss så kommer man inte kunna hitta svenska webbsidor och e-posten kommer inte fram, säger Danny Aerts, vd IIS.

IIS har ett ledningssystem för informationssäkerhet som är certifierat mot ISO 27001. Organisationen har även ledningssystem för kvalitet och miljö. För några år sedan fick organisationen SIQ:s utmärkelse Svensk Kvalitet. Det är inte en slump, utan hänger ihop med flera saker som påverkar organisationens möjlighet att arbeta, enligt Danny Aerts.

– Vi som organisation är beroende av att man kan lita på oss. Vi måste leverera en stabil, robust tjänst, säger han. Organisationsformen kan också vara en del av förklaringen.

– Vi är en stiftelse som kan jobba långsiktigt mot de mål vi har satt upp. Vi är inte påverkade av händelser på snabbrörliga marknader som styr hur vi kan arbeta, säger Danny Aerts.

Anne-Marie Eklund Löwinder som är säkerhetschef är med i ledningsgruppen och utbildar och uppdaterar också medarbetarna om informationssäkerhet varje år. Det kan ske genom en faktagenomgång, ett rollspel eller någon annan aktivitet på organisationens årliga konferens.

På IIS handlar säkerhet inte bara om skydd mot hot, stöld och intrång. Det handlar också om att hantera konfidentiell eller känslig information, att agera vid eventuell brand eller olycka – och även om mer vardagliga saker som hur man agerar när man tar emot besökare.

– Det går knappast att beskriva hur viktig den här frågan är för oss, säger Anne-Marie Eklund Löwinder. Det innebär också att hon har ett tydligt ansvarsområde.

– Jag har ett omfattande mandat och kan slå larm om något som är fel, eller om jag skulle tycka att jag inte får rätt respons någonstans i organisationen. Vi har bra förutsättningar för vårt arbete med informationssäkerhet. Att vi är certifierade är viktigt både för det interna arbetet och för att vi kan visa på vårt arbete för kunderna, säger Anne-Marie Eklund Löwinder.

På IIS har alltså alla ett visst ansvar för informationssäkerhet och en handbok som hjälp. Men det övergripande ansvaret är också delegerat, till fyra olika kategorier av roller; tjänsteroller, processroller, linjeroller respektive projektroller.

Dessutom finns roller som hör till systemförvaltningsorganisationen och en roll som säkerhetsansvarig. Här är några exempel:

Säkerhetsansvarig

Inom alla organisationer som använder sig av IT som stöd i verksamheten är det ett minimikrav att det finns en funktion som har ett särskilt ansvar för informationssäkerhetsfrågor och som stöder arbetet med att uppnå IT-säkerhetspolicyns mål. Det är lämpligt att den säkerhetsansvarige är placerad direkt under ledningen då dennes arbete berör hela organisationen och för att det är viktigt att denna person kan agera neutralt mot de olika avdelningarna.

Informationsägare

Informationsägare är den som har skapat eller inhämtat informationen, eller som är systemägare för de system som producerar och hanterar information.

Några av informationsägarens uppgifter:

  • ansvarar för informationens kvalitet och innehåll
  • ansvarar för tillgänglighet och skydd mot obehörig påverkan eller åtkomst
  • utformar regler för behörighetsnivå och rutiner för kontrollav behörighetstilldelning till den information som hon/han ansvarar för
  • ansvarar för att lagring, åtkomst och bearbetning av informationen följer gällande anvisningar och riktlinjer
  • ansvarar för att registrering av personuppgifter sker enligt gällande anvisningar och riktlinjer
  • definierar krav på datalagring, gallring, arkivering, säkerställande av information och säkerhetskopiering i samverkan med systemägaren och enligt gällande anvisningar och riktlinjer.

Tjänsteägare

Tjänsteägaren är ytterst ansvarig för sin tjänst. Tjänsteägaren kan delegera vissa arbetsuppgifter till en operationell tjänsteägare. Ansvarar inför VD/ledningsgrupp.

Systemägare

Systemägaren är ansvarig för systemets användning, ändamål, säkerhet, budget samt organisation för systemförvaltning. Systemägaren ansvarar för att ge mål och ramar för systemförvaltningen, samt har ansvaret för IT-säkerheten i och kring ett visst system. Systemägaren är oftast också ägare till den information som produceras och hanteras.

Text: Susanne Sawander