Johanna Erlandsson är informationssäkerhetsansvarig i Stockholms stad. Vi ställde tre frågor angående stadens arbete med informationssäkerhet.

Hur arbetar staden med informationssäkerhetsfrågor, vad prioriteras och vad är viktigt?

Att jobba med informationssäkerhetsfrågor är ett verksamhetsansvar men också en strategisk ledningsfråga.

-Enligt stadens politiska mål ska verksamheter vara trygga, effektiva och moderna. Vi måste jobba med informationssäkerhet för att uppnå de målen, säger Johanna Erlandsson.

Arbetet med informationssäkerhet är även grundläggande för att man ska kunna digitalisera med framgång.

– Vet du vilket skyddsvärde din information har, så vet du också hur du ska kravställa för att kunna digitalisera din process och utveckla din verksamhet på ett säkert sätt.

Johanna Erlandsson är informationssäkerhetsansvarig i staden, och hennes roll är att definiera regler och riktlinjer för informationssäkerhet.

– Vi på stadsledningskontoret styr och sätter ramar för gemensamma riktlinjer och regelverk, men det viktigaste arbetet sker inom förvaltningar och bolag, och inom projekt. Det är upp till verksamheterna att tillämpa och följa regelverken på ett klokt sätt. Därför måste varje förvaltning och bolag se till att utbilda sina medarbetare i grundläggande informationssäkerhet. Som stöd i detta arbete kommer vi inom kort att presentera en online-utbildning i informationssäkerhet som riktar sig till alla stadens medarbetare.

Kan du ge exempel på frågor som är aktuella just nu?

– Det löpande arbetet med informationssäkerhet handlar om att stötta verksamheter och projekt i frågeställningar runt digitalisering och olika risker. Det handlar också om att minska effekter av incidenter genom att bedöma verksamhetspåverkan och se till att det finns effektiva processer på plats i verksamheten.

– De nya lagarna, som till exempel GDPR och NIS-direktivet är frågor som är aktuella just nu. Jag håller även en återkommande utbildning för alla nya chefer i staden, samt besöker olika chefs- och ledningsgrupper och talar om informationssäkerhet. Det känns alltid aktuellt och roligt och leder till bra diskussioner om vad informationssäkerhet egentligen innebär rent konkret.

Kan du ge exempel på verktyg och metoder som staden arbetar med?

– Våra riktlinjer följer internationella standarder och vi följer praxis inom området, säger Johanna Erlandsson.

Bland annat använder staden informationsklassningsverktyget Klassa, precis som över 200 andra kommuner.

– Det är en styrka att vi använder Klassa. Informationsklassning är hjärtat i vårt informationssäkerhetsarbete, säger Johanna Erlandsson.

All information som vi hanterar i våra verksamheter ska klassas. På det sättet får vi veta om vi behöver något skydd eller inte för vår information.

– Vi kan utgå från ett enkelt exempel. Om du ska planera och genomföra en workshop så behöver du ställa dig frågan: Vilken information hanterar du? Kanske är det en deltagarlista, information om specialkost, en agenda, ett material att visa upp, ett protokoll med mera. Klassningen går då ut på att du bedömer: Vad är skadan om den här informationen försvinner? Vad är skadan om den läcker ut? Vad blir skadan om den förändras på ett felaktigt sätt? Det är först därefter du vet om din information behöver något särskilt skydd eller inte. Oftast är det bara du som är expert på din planerade workshop som kan svara på de här frågorna, det finns inget standardsvar som gäller för alla olika slags workshops.