Innspill IKT-strategi

Dette er en blogg for innspill til arbeidet med å lage en strategiplan for IKT i Buskerud fylkeskommune. Med dette inviteres du som bor i fylket eller er ansatt i fylkeskommunen til diskusjon og innspill. Bloggen vil være tilgjengelig så lenge strategigruppa eksisterer, dvs. medio oktober 2009. Anonyme innlegg tas ikke hensyn til og slettes.

søndag 30. august 2009

9. Informasjonssikkerhet

Denne teksten er fra eKommune 2012. Skriv innspill til BFK-planen i kommentarfeltet nedenfor.



Ny teknologi og økt kompleksitet øker kravene til informasjonssikkerhet i kommunesektoren. Bruk av mobile enheter, minnepinner og trådløse nettverk utgjør et trusselbilde som medfører større sikkerhetsrisiko enn tidligere.
Når informasjonssikkerhet skal prioriteres og implementeres, er det helt nødvendig å forankre mål og planer i hele organisasjonen. Bedring av sikkerheten må være en løpende prosess. Det har tidligere vært lagt stor vekt på at sikkerhet er et ansvar som ligger hos ledelsen, men for å oppnå god sikkerhet må alle ansatte både forstå og følge de rutiner og prosedyrer som danner grunnlaget for god sikkerhet.
I offentlig sektor benyttes i stor grad fødsels­nummer og organisasjonsnummer i IKT-systemene til datafangst og andre formål. Bruk av fødselsnummer for nettbaserte tjenester bidrar til å øke risikoen for identitetstyveri. Datatilsynet har laget veiledere for kommuner og fylkeskommuner når det gjelder behandling av sensitive personopplysninger.Helsedirektoratet har utviklet en norm for informasjonssikkerhet i helse- og sosialsektoren.Det stilles krav til informasjonssikkerhet også i eforvaltningsforskriften, personopplysningsloven og personopplysningforskriften.
Elektronisk ID og elektronisk signatur er nødvendig for å kunne innføre fullelektronisk kommuni­kasjon mellom kommunen og innbyggerne og nærings­livet. Bruk av standardisert elektronisk signatur åpner for etablering og videre­utvikling av en rekke offentlige tjenester. Minside og Altinn er eksempler på ­statlige portaler der identifikasjon av brukeren er nødvendig for å kunne utføre sikre transaksjoner. Dette vil også gjelde for kommuner som ønsker å etablere selvbetjeningsløsninger på Internett.
Det er utarbeidet et rammeverkfor autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig sektor. Dette rammeverket bør legges til grunn for alle offentlige virksomheter som har tatt eller planlegger å ta i bruk løsninger for elektronisk autentisering og signering. KS har utarbeidet Sikkerhetshåndbok for tjenester på nett, som er basert på rammeverket. Håndboka gir veiledning til kommuner som ønsker å tilby tjenester på Internett gjennom egen portal og ­Minside. Selv om innføring av elektronisk ID og elektronisk signatur gir muligheter for bedre sikkerhet, er det viktig at kommuner og fylkeskommuner gjennomfører risikoanalyser for å avdekke mulige sikkerhetshull og utarbeider rutiner som sikrer at sensitive opplysninger ikke kommer på avveie.
Staten skal tilby en felles offentlig elektronisk ID på mellomhøyt sikkerhetsnivå for tilgang til offentlige tjenester på Internett til alle innbyggere som ønsker dette. Den første utgaven av en slik felles eID er tilgjengelig på portalene Minside og Altinn.
Direktoratet for forvaltning og IKT (DIFI) skal etablere et samtrafikknav som skal håndtere og verifisere ulike eID-er som er i bruk. Samtrafikknavet skal verifisere både den felles offentlige eID-en og godkjente eID-løsninger som er i bruk i markedet. Navet skal også tilby felles pålogging til offentlige nettjenester.

Felles offentlig autentiseringsløsning (Minid)
Norge.no benytter en felles offentlig autentiseringsløsning for sikker innlogging på Minside (Minid). Denne løsningen skal gjelde inntil en ny offentlig sikkerhetsløsning blir etablert. Innloggingsløsningen vil tilby autentisering og signering for innbyggeren. Autentiseringen i Minside er basert på PIN-koder som distribueres til innbyggerne via skattekortet. Løsningen inkluderer også videreformidling av elektronisk identitet slik at innbyggeren kan gå videre til et annet offentlig nettsted uten ny innlogging. Kommuner og fylkeskommuner som tilbyr tjenestene sine på Minside, skal ha muligheten til å bruke løsningen for innlogging også i egne portaler.
Minside

Mål
1 I løpet av 2008 skal kommuner og fylkeskommuner ha inn­arbeidet sikkerhetsrutiner i henhold til gjeldende retningslinjer fra Datatilsynet.
2 I løpet av 2009 skal kommuner og fylkeskommuner kunne tilby autentisering ved hjelp av Minid.
3 I løpet av 2009 skal kommuner og fylkeskommuner som tilbyr portaltjenester gjennom egen portal eller gjennom Minside/Altinn, ha gjort risikoanalyser av personvernet.

Tiltak
1 KS vil etablere samarbeid med relevante aktører for å sikre at retningslinjer og veiledere for sikkerhet er oppdatert når det gjelder utviklingen i kommunesektoren.
2 KS vil utvikle en beste praksis-veileder for kommunene for tilknytning av tjenester på kommunale nettsider og Minside
3 KS vil medvirke til informasjons- og erfaringsutveksling knyttet til personvern i forbindelse med kommunale portaltjenester.
Lagt inn av kl.
Etiketter:

Ingen kommentarer:

Legg inn en kommentar

Abonner på: Legg inn kommentarer (Atom)