arkivkurs - hem | karlstads universitet · ... för vilka sekretess inte gäller, ... nej ja klar...

111

Upload: doannga

Post on 25-Sep-2018

213 views

Category:

Documents


0 download

TRANSCRIPT

Arkivkurs

2009-10-21

Information och administration

Information finns överallt, vare sig man vill eller inte…vill eller inte…

Vad är administration?

Förvaltningshistoriska skeden

• (Feodalism)• (Den absoluta staten)• (Merkantilismen)• (Merkantilismen)• Rättstaten• Välfärdstaten• Efterkrigstiden• ????

Administrativa aktiviteter

• Leda• Samordna• Utreda• Utreda• Planera• Besluta • Informera/rapportera

Olika typer av administration

Syfte Administrativa aktiviteter

Konstituerande Upprätthållande och bibehållande av organisationen

Planering, arbets-fördelning, samordning, organisationen samordning, kommunikation

Effektiviserande Öka organisationens effektivitet

Ledning, styrning, kontroll, organisering

Legitimerande Öka organisationens legitimitet

Omvärldshantering

Exempel ur verkligheten: Landstingen

Långsiktiga tendenser

Reglerat Målstyrt

Förutsägbart Flexibelt

Kunnig om regler

Egna bedömningarMedarbetaren

Samband mellan administration och informationshanteringinformationshantering

Önskat läge

Produktion

Administration

Eller ska det vara så här?

Produktion

Administration

Produktion

Eller så här?

Administration

Produktion

Administration

I vilket fall så är det så här

Administration

Informationshantering

Hembyggd modell för sambandet mellan administration och informationshantering

”Makt”Mål

Externa krav

ArbetssättTeknik

Informations-hantering och roller

Vilken information är det vi pratar om?

VAD ÄR ALLMÄNNA HANDLINGAR?

Hur ser det ut i en kommun?

• Ekonomisystem• PA-system• Pappersbundna och/eller digitala socialakter• Elevanteckningar• Protokoll, motioner, interpellationer• Fondansökningar• Ansökningar om äldreomsorgsplats• Bygglov• Patientjournaler• Fakturor• …………

Tes: dagens informationshantering bygger ofta på behov och metoder som var aktuella för mer än 15 år var aktuella för mer än 15 år sedan

Exemplet diarieföring

Varje tid använder sin teknik och sina sökstrukturer

• Skrivelsediarier

• Ärendediarier

• Dossierer

Vad säger lagen?

”När allmän handling har kommit till eller upprättats hos myndighet skall handlingen registreras utan dröjsmål, om det inte är uppenbart att den är av ringa betydelse för myndighetens verksamhet. I fråga om allmänna handlingar, för vilka sekretess inte gäller, allmänna handlingar, för vilka sekretess inte gäller, får dock registrering underlåtas om handlingarna hålls så ordnade att det utan svårighet kan fastställas om handlingen kommit in eller upprättats”

15 kap. 1 § SekrL

Vad ska egentligen diarieföras?

• Ur demokratisynpunkt?

• Ur effektivitetssynpunkt?

Vad ska diarieföras/registreras enligt lagen?• Datum då handlingen inkom eller upprättades

• Diarienummer eller annan beteckning som åsatts handlingenhandlingen

• I förekommande fall från vem handlingen har kommit in eller till vem den har expedierats

• I korthet vad handlingen rör

Kontentan

• Diarier fungerar i dag i de flesta fall som mycket dåliga sökverktyg

• Utforma inte metadatahantering utifrån traditionell diarieföring diarieföring

• Kravet på diarieföring kan lösas på annat sätt än i dag

• Kommer registratorer att behövas? (Jmf fakturaskanning)

Hur hamnade vi där vi är idag?

Exempel på föränderlighet: landsting och sjukvårdlandsting och sjukvård

Hur ser administrationen ut idag?

• Målstyrning och rambeslut• Projekt• Processer• Processer• Ökande andel legitimerande administration• Styrning och ledning tillmäts mycket stor

betydelse

Tendenser och frågor

• Storlek (både inom organisationen och genom samarbete)

• Komplexitet• Övergång från muntlig information• Centralisering – decentralisering• Assistenter och/eller systemstöd?• Förändring genom evolution eller revolution?

Exempel på övergång till målstyrning: rektorer

Legitimerande administration

FackLagar ISO

MyndigheterMyndigheter

Verksamhet

Informationshantering

Hur legitimerande krav konkret kan påverka informationshanteringen: Omvårdnadsdokumentation

Men försöken till styrning kan i sig påverka informationshanteringeninformationshanteringen: Internfakturering

Styrning av information

Tes: En stor del av den ökade administrationen består i informationshanteringbestår i informationshantering

Alltså: För att minska administrationen måste informationshanteringen styras och begränsasoch begränsas

Varför är det så svårt att styra informationshanteringen?

• Man har dålig överblick över vad det finns för information

• Det saknas kompetens, roller och mandat för att styraatt styra

• Den ökande andelen legitimerande administration försvårar (möjligen hindrar styrning)

Vissa informationssystem kan vara oföränderliga – de flesta måste anpassas utifrån målen: återigen till

diarieföringen!diarieföringen!

Kontenta: man kan inte styra informationshanteringen utan att styra utan att styra administrationen

Vad kan man göra idag?

• Identifiera ”makten”?• Identifiera externa krav?• Identifiera målet/målen?• Identifiera målet/målen?• Ändra sitt arbetssätt?• Köpa ett nytt system?• Tillskapa roller och ansvar?

Vad kommer att bli att viktigt i framtiden?• Formalisering och standardisering (roller och

information)• Säkerhet (tillgänglighet, sekretess, spårbarhet,

riktighet)riktighet)• Samarbete med andra organisationer • Värdering av information, sovra och gallra• Sökbarhet• Informationskvalitet och källkritik• Webbpublicering och content management

Är det fler chefer eller fler administratörer som behövs?som behövs?

Exemplet läkarsekreterare

Aktuellt exempel som ställer stora krav på informationshanteringen: 24-timmarsmyndighetentimmarsmyndigheten

Dokumenthantering -informationshantering

Dokumenthantering är en delmängd av informationshanteringeninformationshanteringen

Förhållandet mellan informationshantering och dokumenthantering

Informationshantering Dokumenthantering

Definition 1 (generellt): information eller objekt som kan hanteras som en enhet

Definition 2 (specifikt) handling: information som en

Begreppet dokument i standarden SS-ISO 154 89-1

Definition 2 (specifikt) handling: information som en organisation eller en person skapat, mottagit och bevarat som verifiering eller information, för att uppfylla lagstiftningens krav eller i den löpande verksamheten

” Område med ansvar för att på ett effektivt och systematiskt sätt skapa, ta emot, bevara, använda och gallra dokument. Anm. I detta ingår åtgärder för att ta hand om och bevara dokument som verifierar och innehåller

Begreppet dokumenthantering

dokument som verifierar och innehåller information om åtgärder och transaktioner i verksamheten”

”Livscykel”

Stöd för att utveckla informationshanteringen

Kan ett nytt system lösa alla problem?

Processkartläggning

Styrning

InformationInformationslager 1

Informationslager 2

Några förutsättningar för att få en mer lyckad dokumenthantering (1)

• Skaffa kompetens och utse ansvar• Besluta vad som ska inkluderas i

dokumenthanteringen • Processkartläggning• Processkartläggning• Förbered eventuella integrationer• Begreppsmodellera• Fastställ kraven på versionshantering• Se hela kedjan från mallar och framåt• Kartlägg behoven från webbplatser

Några förutsättningar för att få en mer lyckad dokumenthantering (2)

• Kartlägg säkerhetskraven• Definiera dokumenttyper och ärendetyper• Identifiera sökbehov• Se över behoven av skanning och andra media• Se över behoven av skanning och andra media• Analysera de långsiktiga kraven• Förankra, förankra, förankra• Förbered för konflikter• Försök få en gemensam lösning med andra

kommuner eller lokala myndigheter

Arkiv - ett ord med många betydelser

Syftet med arkivväsendet

• Uppfylla rättsliga krav (i Sverige starkt kopplat till offentlighetsprincipen)

• Vara en stödprocess för övriga processeri verksamheteni verksamheten

• Understödja kultur och forskning

Vad ska då arkivarien göra?

Viktiga frågor

• Arbeta organisatoriskt • Informationshantering• Digital lagring• Digital lagring• Redovisning

Framtiden

Vad tror vi om framtiden och vad vill vi med framtiden?

Vad är informationssäkerhet?

Informationssäkerhet – vad är det?

• Riktighet

• Sekretess

• Spårbarhet

• Tillgänglighet (I och II)

Delar i informationssäkerheten

• Logisk säkerhet

• Fysisk säkerhet

• Systemsäkerhet

Informationssäkerhet

Informationssäkerhet

Logisk säkerhet

Nät

Applikation

Operativ

Fysisk säkerhet

System säkerhet

IT-säkerhet

NätFysisk säkerhet

System säkerhet

Applikation

Operativ

Logisk säkerhet

Varför är informationssäkerhet viktigt (generellt)?viktigt (generellt)?

Varför är informationssäkerhet viktigt för era organisationer?

Kundernas förväntningar

Andra externa krav

Interna krav

Men är inte säkerheten en rejäl showstopper?

Säkerheten måste integreras med verksamhetsbehov –då når ni en lagom då når ni en lagom nivå

Hur identifierar man verksamhetens behov?

Hur ser det ut i era organisationer idag?

IS0 27001 och 27002

Ledningssystem för informationssäkerhet - LIS

• Förkortas internationellt som ISMS –Information Security Management System

• Beskrivs av standardserien ISO/IEC 27000• Togs fram i slutet av 90-talet, blev ISO-

standard successivt mellan 2002-2005 (först 17799 som blev 27002, därefter 27001)

• Finns idag 4 delar färdiga av planerade cirka 8 delar

76

Vad finns idag och vad är under utveckling?Standard Namn Utgiven? Under

Utveckling?Anmärkning

ISO/IEC 27000 Overview and vocabulary

NEJ JA Klar 2009

ISO/IEC 27001 ISMS-Requirements

JA NEJ

ISO/IEC 27002 Code of practice JA JA Översyn på G, hette tidigare hette tidigare 17799

ISO/IEC 27003 Implementation guidance

NEJ JA Klar Hösten 2009

ISO/IEC 27004 Measurements NEJ JA Klar Hösten 2009

ISO/IEC 27005 Risk Management JA NEJ Ny 2008

ISO/IEC 27006 Certifications JA NEJ

ISO/IEC 27011 Sector specificTelecommuncations

JA NEJ Ny 2008

77

Vad finns idag och vad är under utveckling?Standard Namn Utgiven? Under

Utveckling?Anmärkning

ISO/IEC 27000 Overview and vocabulary

NEJ JA Klar 2009

ISO/IEC 27001 ISMS-Requirements

JA NEJ

ISO/IEC 27002 Code of practice JA JA Översyn på G, hette tidigare hette tidigare 17799

ISO/IEC 27003 Implementation guidance

NEJ JA Klar Hösten 2009

ISO/IEC 27004 Measurements NEJ JA Klar Hösten 2009

ISO/IEC 27005 Risk Management JA NEJ Ny 2008

ISO/IEC 27006 Certifications JA NEJ

ISO/IEC 27011 Sector specificTelecommuncations

JA NEJ Ny 2008

78

Områden i ISO 27001/27002

• Ledningens styrande dokumentation (policy)• Säkerhetsorganisation• Ansvar för tillgångar• Ansvar för tillgångar• Informationsklassning• Personal och säkerhet• Fysisk och miljörelaterad säkerhet

Områden i ISO 27001/27002

• Styrning av drift och kommunikationer• Styrning av åtkomst• Anskaffning, utveckling och underhåll av • Anskaffning, utveckling och underhåll av

informationssystem• Incidenthantering• Kontinuitetsplanering• Efterlevnad• Utomstående part

PDCA, processbeskrivning

Planera(Plan)

FörbättraGenomföra

81

Följa upp(Check)

Förbättra(Act)

Genomföra(Do)

Ändå är det inte glasklart…

Nummer Beskrivning Åtgärd

A.9.2.4 Underhåll av utrustning Utrustning skall underhållas på korrekt sätt för att säkerställa dess fortsatta tillgänglighet och riktighet. tillgänglighet och riktighet.

A.10.1.1 Dokumenterade driftrutiner Driftrutiner skall dokumenteras, underhållas och göras tillgängliga för alla användare som behöver dem.

Några centrala förutsättningar och aktiviteter

Riskanalys och motivation

Regelverk/införande

Säkerhetsorganisation

Ansvar och roller

Informationsklassning

Informationsklassning – vad är det?

• Dokumentklassning?• Sekretessklassning?• Systemklassning?• Informationsklassning – en process!• Informationsklassning – en process!

Kriterier i infoklassning

• Sekretess• Tillgänglighet• Spårbarhet• Spårbarhet• Riktighet

Grund för informationssäkerheten

ResursResurs

Grund för informationssäkerheten

ResursResurs

Informationsklassning

NormskalaSekretess-klassning

Instruktion om att märka dok

Hantera dok

Lathund för informations-hantering

(säkerhetsnivåer)

Överföringslista infoklass -

sekretessklass

Anvisning för informations-hantering

RiktlinjerAnvisning för sekretess-klassning

Förteckning över information

Informations-klassning

Protokoll från infoklassning

Digitalt/dokument

Överföra resultat till

systemsäkerhets-nivå

Dokument

Digital information

Överföringslista infoklass -

systemsäkerhets-nivå

Instruktion om att hantera info

Hantera info

Beskrivning av systemsäkerhets-

nivåerRiktlinjer

Anvisning för systemsäkerhets-

nivåer

Beskrivning av mål för se,sp,ri, ti för respektive nivå

Förenklad bild

Hanteringsregler

Klassning

Systemklasser

Förenklad bild

HanteringsreglerNormskala

Klassning

Systemklasser

Normskala

Konsekvenser Lindriga (L) Allvarliga (A) Mycket allvarliga (M)

I pengar SEK Upp till 100 000 Upp till 500 000 Över 500 000

I strid mot lagar m m I strid mot interna Strider mot regler lagstiftning

Andra konsekvenser Kritik i styrelsen Negativ kritik i massmedia.

Mycket negativ kritik i riksmedia. Omfattande produktions-störningar.

Koppling informationsklassning –sekretessklassning (exempel)

Konsekvenser Lindriga Allvarliga Mycket allvarliga

Säkerhetsnivå Grund Grund Hög Mycket HögSäkerhetsnivå Grund Grund Hög Mycket Hög

Sekretessklass på dokument

Public Proprietary Confidential Secret

Informationsklassning- Praktiskt exempel

Riktighet Sekretess Spårbar-het

Tillgänglig-het 1

Tillgänglig-het 2

Kallelse L L L L LKallelse L L L L L

Kundavtal M M M L M

Koppling mellan konsekvenser och säkerhetsnivåer

Konsekvenser SäkerhetsnivåLindrig (L) Grundnivå (g)

Allvarlig (A) Hög nivå (h)

Mycket allvarlig (M) Mycket hög nivå (m)

Hantering av dokument

Exempel ur hanteringsreglerI Blank/publi

cIngen

RestrictedGrund

ConfidentialHög

SecretMycket Hög

Återanvändning

Personlig datamedia

Inga restriktioner

Får återanvändas internt

Återanvändning får endast ske efter radering och överskrivning med annan

Ingen återanvändning, skall destrueras.internt överskrivning med annan

information.destrueras.

Makuleringssätt/destruktion

Dokument Inga restriktioner

Skall destrueras Skall destrueras i pappersdestruktör alt. genom bränning

Skall destrueras i pappersdestruktör alt. genom bränning

Personlig datamedia

Inga restriktioner

Inga restriktioner

Förstörs maskinellt eller genom bränning.

Förstörs maskinellt eller genom bränning.

Systemklassning

Systemklassning är egentligen inte enklassning utan ett sätt att samordnatekniska åtgärder

Exempel på tekniska åtgärder för god sekretess, riktighet, spårbarhet

• Autentisering• Loggning• Loggning• Kryptering• Brandväggar (kommunikationsfilter)

Exempel på tekniska åtgärder för god tillgänglighet

• Redundans i nät och komponenter• Säkerhetskopiering• Säkerhetskopiering• Reservkraft• Program mot skadlig kod

Exempel på systemklasser

Mycket hög nivå

Grundnivå

Hög nivåRiktighet, sekretess, spårbarhet

Hög nivåSamtliga

Hög nivåTillgänglighet

Hur kan din organisation ha användning för informationsklassning?

Kontinuitetsplanering

Incidenthantering

Relation med utomstående

Efterlevnad och uppföljning