Informationskartläggning för dataskydd (GDPR) och informationssäkerhet

Den nya Dataskydds-förordningen (GDPR) innebär att kraven skärps på hur personuppgifter får behandlas.

Dessutom behöver informationssäkerheten i allmänhet stärkas runt om landet. Detta har som bekant blivit smärtsamt tydligt den senaste tiden.

För att uppnå en god informationssäkerhet i en verksamhet krävs olika typer av åtgärder på skilda områden.

IT-system behöver vara säkert uppbyggda och uppdaterade och med virusskydd och brandväggar på plats. Man behöver ställa krav på den fysiska miljö där information lagras genom till exempel skydd mot fysiskt intrång, brandskydd och säkrad strömtillförsel. Man behöver också se till så att medarbetare är utbildade, följer rutiner och har rätt behörigheter etc. Sist men inte minst behöver verksamhetens processer vara utformade på ett säkert sätt.

Centralt för allt informationssäkerhetsarbete är dock insikten att olika typer av information har ett olika högt skyddsvärde. Ett bristfälligt skydd för viss typ av information kan leda till risk för rikets säkerhet samtidigt som annan information är helt offentlig. Däremellan finns förstås all möjlig typ av information med varierande grad av skyddsvärde.

Att försöka upprätta ett maximalt skydd åt all information i en verksamhet är vare sig ändamålsenligt eller möjligt. Det är därför nödvändigt att göra en verksamhetsanalys där man först kartlägger verksamhetens information och därefter säkerhetsklassar den.

På så vis kan informationssäkerhetsarbetet prioriteras mot dem delar av verksamheten som behandlar den mest skyddsvärda informationen.

I VisAlfa gör man en sådan kartläggning med utgångspunkt i verksamhetens processer. Detta görs av flera skäl.

För det första är det i praktiken omöjligt att kartlägga informationen i en verksamhet om man inte tar utgångspunkt i processerna.

För det andra är kunskapen om i vilka sammanhang informationen används helt nödvändig för att kunna bedriva ett framgångsrikt informationssäkerhetsarbete.

För det tredje ställs uttryckliga krav i den nya Dataskyddsförordningen på att personuppgiftsansvariga (t.ex. en myndighet) dokumenterar hur och för vilka ändamål personuppgifter behandlas.
Informationen och dess processer behöver alltså beskrivas gemensamt.

För att få en inblick i hur VisAlfa kan hjälpa till så titta gärna på vår film om hur man kan arbeta systematiskt med informationssäkerheten

Under våren kommer vi att ordna en serie seminarier på olika platser i Sverige.

Anmäl dig till något av våra seminarier

Skriv ut denna sida
©VisAlfa AB 2019