Lagen om informationshantering framhäver informationssäkerhet – vad ska kommunen beakta och varifrån får man hjälp?

Lagen om informationshantering träder i kraft i början av 2020. Den nya lagen rör många olika yrkesgrupper inom kommunerna. Lagens verkningar sträcker sig bland annat till högsta ledningen, allmänna förvaltningen, ärendehantering, förvaring, arkivering och framför allt informationssäkerhet. Lagen slår fast minimikrav för informationssäkerheten, och dessa ska även kommunerna följa. 

Informationssäkerhetskraven har enligt lagen en tre års övergångstid, med undantag för insamling av logginformation, gränssnitt och elektroniska förbindelser. I nyanskaffade informationssystem ska dessa frågor beaktas genast. 

Dessutom för lagen om informationshantering med sig en ny skyldighet gällande beskrivningar – en informationshanteringsmodell.  I informationshanteringsmodellen ska det finnas beskrivningar av bland annat bestämmelser om informationssäkerhetsarrangemangen för ärendehantering och serviceprocesser samt bestämmelser om datasystemens gränssnitt. 

Informationshanteringsmodellen ska vara färdig om ett år. De olika övergångstiderna känns kanske långa, men beroende på kommunens situation kan det finnas mycket som behöver utvecklas. Därför lönar det sig att börja utveckla informationssäkerheten genast. 

Varför lönar det sig att satsa på informationssäkerhet?

Som vi har sett under sommaren råkar också kommuner ut för cyberattacker.  I själva verket sker dessa attacker hela tiden, men de flesta kan förhindras. Genom att utveckla dataskyddet tryggar man tillgången till uppgifter, uppgifternas autenticitet och tillförlitlighet. Det digitala, nätverksbaserade samhället och organisationerna är mottagliga för olika attacker; det lönar sig alltså att satsa på cybersäkerhet och på att öva hur man ska bete sig i olika hotfulla situationer. 

Lagen om informationshantering betonar myndigheternas skyldighet att hantera olika typer av störningssituationer och skyldigheten att identifiera de funktioner, uppgifter och objekt i samhällsverksamheten som behöver särskild uppmärksamhet.  Dessa säkerhetsåtgärder ska planeras och genomföras så att de täcker alla skeden av informationsbehandlingen och alla förfaranden under informationens livscykel. 

Kommunturnéer erbjuder hjälp med informationssäkerheten

Kapitel 4 i lagen om informationshantering behandlar informationssäkerhetskraven. De gäller säkerställande av personers tillförlitlighet, informationssäkerhet i fråga om informationsmaterial och informationssystem, informationsöverföring i datanät, kontroll av användarrättigheter, insamling av logginformation och handlingar som ska säkerhetsklassificeras. Det lönar sig att vara medveten om att säkerhetsklassificeringen endast gäller organisationer inom statsförvaltningen. 

Det är möjligt att få hjälp med att utveckla de här delområdena. Befolkningsregistercentralens projekt JUDO utvecklar den offentliga förvaltningens digitala säkerhet genom att anordna öppna webbseminarier, utarbeta anvisningar och erbjuda en möjlighet att öva sig inför eventuella ICT-störningar och cyberattacker under övningen TAISTO19 som ordnas i november. 

Därtill ordnar Befolkningsregistercentralen en digisäkerhetsturné i oktober på följande orter:  8.10 Åbo, 9.10 Tammerfors, 15.10 Jyväskylä, 23.10 Kuopio, 24.10 Uleåborg, 31.10 Träskända. Också Kommunförbundet deltar i turnén. 

Programmet och anmälningsformuläret finns här (på finska). 

Här hittar du också länkar till projektet JUDO och övningen TAISTO19 (på finska).

Därtill utvecklas kommunernas kontinuitetshantering och verktyg för det i projektet KUJA, som genomförs i samarbete mellan Kommunförbundet, Försörjningsberedskapscentralen och ett omfattande nätverk av samarbetsparter. 

Mer info om projektet KUJA hittar du här.

Fyra punkter

De fyra huvudpunkterna för utveckling av informationssäkerhet och cybersäkerhet kan sammanfattas på följande sätt: 

  1. var medveten om vad du äger och ansvarar för 
  2. identifiera kritiska funktioner, bedöm riskerna och planera 
  3. utbilda dig själv och andra 
  4. öva och ta lärdom. 

Och framför allt, låt oss skapa nätverk och arbeta tillsammans.

Etiketter