Punkt 4.2 IT- och informationssäkerhetspolicy Underlag till styrelsemöte 6 februari 2021

Till: Styrelsen 

Från: Sekretariatet

Datum: 2020-01-22

Punkt: 4.2 Missiv policy för IT- och informationssäkerhet

BESLUTSUNDERLAG

 

Bakgrund

Under 2011 genomfördes en revision av Amnestys IT-verksamhet med fokus på IT- och informationssäkerhet. Revisionen följdes upp såväl 2012 som 2014. Iakttagelserna och rekommendationerna i granskningen samlades under följande rubriker på policynivå;

 

  • Saknar IT-policy, IT-strategi och riktlinjer

  • Bristfällig uppföljning och utveckling av Intern styrning och kontroll (ISK)  och regelefterlevnad

  • Fullständig systemdokumentation enligt bokföringslagen (BFL) saknas

 

Med något undantag befanns rekommendationerna kvarstå vid de två uppföljningar som genomförts. Därefter har granskningskommittén vid ett flertal tillfällen lyft att rekommendationerna i revisionen bör åtgärdas. 

 

En av de grundläggande problemen har varit och är avsaknaden av IT-/informationssäkerhetsledningssystem, vilket också blev uppenbart i förberedelse- och anpassningsarbetet till GDPR. 

 

Förslag på Styrning och Ledning av IT-verksamheten

Mot bakgrund av detta har sekretariatet tagit fram ett förslag till IT- och informationssäkerhetspolicy som bygger på en fastslagen standard. Metodstödet bygger på standarden SS-EN ISO/IEC 27001 LIS (Ledningssystem för informationssäkerhet). Metoden består i grunden av fyra olika metodsteg som tillsammans bildar en helhet av det systematiska informationssäkerhetsarbetet. Dessa metodsteg är:

 

  • Identifiera och analysera

  • Utforma

  • Använda

  • Följa upp och förbättra.

             

Sekretariatet föreslår att utarbeta ett metodstöd som bygger på Myndigheten för samhällsskydd och beredskap MSB:s modell och rekommendationer. MSB:s metodstöd för systematiskt informationssäkerhetsarbete riktar sig till dem som arbetar med informationssäkerhet i en organisation, oavsett verksamhetsområde och storlek på organisation. 

 

Utgångspunkten i en standard som denna är att det finns en fastställd IT- och informationssäkerhetspolicy. En policy som innehåller mål för informationssäkerhetsarbetet och som även består av konkreta informationssäkerhetsinstruktioner för såväl användare, förvaltning, utveckling, kontinuitet och drift.

 

När policyn är fastställd kommer sekretariatet att påbörja revideringar av övriga riktlinjer för IT- och informationsarbetet. 

 

Bilaga

Policy för IT- och informationssäkerhet



Styrelsen föreslås besluta


att fastställa policy för IT- och informationssäkerhet.