Introduktion till informationssäkerhet och nya regelverk
GDPR och informationssäkerhetsarbetet i offentlig sektor
- De viktigaste förändringarna i GDPR jämfört med personuppgiftslagen och dataskyddsdirektivet
- Vilka är säkerhetskraven i GDPR?
- Vilken påverkan har GDPR på ert befintliga informationssäkerhetsarbete?
- Hur ska kraven tillämpas?
Införandet av NIS-direktivet i svensk rätt
- Hur de nya kraven ska tillämpas i informationssäkerhetsarbetet och hur du proaktivt kan förbereda verksamheten
- Förhållandet till den nya dataskyddsförordningen
Kraven på Privacy by design – Inbyggt dataskydd
- Vikten att ta hänsyn till integritetsaspekterna under IT-systemets eller IT-lösningens hela livscykel
- Uppgiftsminimering – en av de grundläggande principerna inom integritetsskydd
Samordna GDPR med informationshantering och informationssäkerhet
- Vilka nya roller, rutiner och processer behövs kring informationssäkerhetsarbetet?
– Utgå ifrån verksamhetens behov och vilka resurser som finns till förfogande
– Var i verksamheten bör ansvaret ligga? Hos vem/vilka?
– IT-stöd och krav på systemen
- Betydelsen av kontinuerlig utvärdering och utveckling
Incidenthantering – vad en incident är och hur du hanterar det
- Hur fungerar hanteringen av informationssäkerhetsincidenter i praktiken?
– Målet att kunna fortsätta verksamheten enligt minimikrav
– Rutiner för att snabbt återgå till normal verksamhet
- Vad är en personuppgiftsincident? Hur hanterar och samordnar du den internt?
- Hur du avgör när det är krav på incidentrapportering och informationsskyldighet
- Den obligatoriska IT-incidentrapporteringen till MSB och Datainspektionen – hur du bedömer vad som är en allvarlig IT-incident
- Användandet av en incidentdatabas för att samla samtliga inträffade incidenter
Riskanalys och kontinuitetshantering
- Övningar och diskussioner kring
– Informationsklassning, nulägesbedömning och konsekvensbedömning
– Handlingsplan för att hantera potentiella risker och hot
Ledningssystem för informationssäkerhet (LIS) – ett stöd för hur informationssäkerhetsarbetet styrs i verksamheten
- Hur du kan införa och tillämpa LIS i verksamheten utefter GDPR, alternativt utveckla ert befintliga LIS för att anpassas efter GDPR
- Säkerhetsstandarder som kan vara lämpliga att utgå ifrån för att ge verksamheten riktlinjer för hur risker och hot kan kartläggas och hanteras på ett systematiskt sätt, t.ex. ISO 27000-serien
- Hur du kan förbättra den befintliga informationshanteringen och informationssäkerheten
– Exempel på hur informationssäkerhetsarbetet bör fungera hos en organisation inom offentlig sektor
– Vikten av ledningens uttalade stöd och utvecklingen av en policy för informationssäkerhetsarbetet
Anpassning och implementering av det nya regelverket – så klarar ni övergången på bästa sätt
- Hur du lägger upp en strategi för att din verksamhet ska kunna uppfylla dataförordningens krav i informationssäkerhetsarbetet
- Vikten av att prioritera åtgärderna
- Att implementera förändringarna med minsta möjliga störning på ordinarie verksamhet
- Hur hantera de problem och klagomål som uppstår vid övergången
- Modeller och stöd som finns till förfogande