Upload
doannga
View
214
Download
0
Embed Size (px)
Citation preview
Förvaltningshistoriska skeden
• (Feodalism)• (Den absoluta staten)• (Merkantilismen)• (Merkantilismen)• Rättstaten• Välfärdstaten• Efterkrigstiden• ????
Administrativa aktiviteter
• Leda• Samordna• Utreda• Utreda• Planera• Besluta • Informera/rapportera
Olika typer av administration
Syfte Administrativa aktiviteter
Konstituerande Upprätthållande och bibehållande av organisationen
Planering, arbets-fördelning, samordning, organisationen samordning, kommunikation
Effektiviserande Öka organisationens effektivitet
Ledning, styrning, kontroll, organisering
Legitimerande Öka organisationens legitimitet
Omvärldshantering
Långsiktiga tendenser
Reglerat Målstyrt
Förutsägbart Flexibelt
Kunnig om regler
Egna bedömningarMedarbetaren
Hembyggd modell för sambandet mellan administration och informationshantering
”Makt”Mål
Externa krav
ArbetssättTeknik
Informations-hantering och roller
Hur ser det ut i en kommun?
• Ekonomisystem• PA-system• Pappersbundna och/eller digitala socialakter• Elevanteckningar• Protokoll, motioner, interpellationer• Fondansökningar• Ansökningar om äldreomsorgsplats• Bygglov• Patientjournaler• Fakturor• …………
Tes: dagens informationshantering bygger ofta på behov och metoder som var aktuella för mer än 15 år var aktuella för mer än 15 år sedan
Vad säger lagen?
”När allmän handling har kommit till eller upprättats hos myndighet skall handlingen registreras utan dröjsmål, om det inte är uppenbart att den är av ringa betydelse för myndighetens verksamhet. I fråga om allmänna handlingar, för vilka sekretess inte gäller, allmänna handlingar, för vilka sekretess inte gäller, får dock registrering underlåtas om handlingarna hålls så ordnade att det utan svårighet kan fastställas om handlingen kommit in eller upprättats”
15 kap. 1 § SekrL
Vad ska diarieföras/registreras enligt lagen?• Datum då handlingen inkom eller upprättades
• Diarienummer eller annan beteckning som åsatts handlingenhandlingen
• I förekommande fall från vem handlingen har kommit in eller till vem den har expedierats
• I korthet vad handlingen rör
Kontentan
• Diarier fungerar i dag i de flesta fall som mycket dåliga sökverktyg
• Utforma inte metadatahantering utifrån traditionell diarieföring diarieföring
• Kravet på diarieföring kan lösas på annat sätt än i dag
• Kommer registratorer att behövas? (Jmf fakturaskanning)
Hur ser administrationen ut idag?
• Målstyrning och rambeslut• Projekt• Processer• Processer• Ökande andel legitimerande administration• Styrning och ledning tillmäts mycket stor
betydelse
Tendenser och frågor
• Storlek (både inom organisationen och genom samarbete)
• Komplexitet• Övergång från muntlig information• Centralisering – decentralisering• Assistenter och/eller systemstöd?• Förändring genom evolution eller revolution?
Men försöken till styrning kan i sig påverka informationshanteringeninformationshanteringen: Internfakturering
Tes: En stor del av den ökade administrationen består i informationshanteringbestår i informationshantering
Alltså: För att minska administrationen måste informationshanteringen styras och begränsasoch begränsas
Varför är det så svårt att styra informationshanteringen?
• Man har dålig överblick över vad det finns för information
• Det saknas kompetens, roller och mandat för att styraatt styra
• Den ökande andelen legitimerande administration försvårar (möjligen hindrar styrning)
Vissa informationssystem kan vara oföränderliga – de flesta måste anpassas utifrån målen: återigen till
diarieföringen!diarieföringen!
Vad kan man göra idag?
• Identifiera ”makten”?• Identifiera externa krav?• Identifiera målet/målen?• Identifiera målet/målen?• Ändra sitt arbetssätt?• Köpa ett nytt system?• Tillskapa roller och ansvar?
Vad kommer att bli att viktigt i framtiden?• Formalisering och standardisering (roller och
information)• Säkerhet (tillgänglighet, sekretess, spårbarhet,
riktighet)riktighet)• Samarbete med andra organisationer • Värdering av information, sovra och gallra• Sökbarhet• Informationskvalitet och källkritik• Webbpublicering och content management
Aktuellt exempel som ställer stora krav på informationshanteringen: 24-timmarsmyndighetentimmarsmyndigheten
Förhållandet mellan informationshantering och dokumenthantering
Informationshantering Dokumenthantering
Definition 1 (generellt): information eller objekt som kan hanteras som en enhet
Definition 2 (specifikt) handling: information som en
Begreppet dokument i standarden SS-ISO 154 89-1
Definition 2 (specifikt) handling: information som en organisation eller en person skapat, mottagit och bevarat som verifiering eller information, för att uppfylla lagstiftningens krav eller i den löpande verksamheten
” Område med ansvar för att på ett effektivt och systematiskt sätt skapa, ta emot, bevara, använda och gallra dokument. Anm. I detta ingår åtgärder för att ta hand om och bevara dokument som verifierar och innehåller
Begreppet dokumenthantering
dokument som verifierar och innehåller information om åtgärder och transaktioner i verksamheten”
Några förutsättningar för att få en mer lyckad dokumenthantering (1)
• Skaffa kompetens och utse ansvar• Besluta vad som ska inkluderas i
dokumenthanteringen • Processkartläggning• Processkartläggning• Förbered eventuella integrationer• Begreppsmodellera• Fastställ kraven på versionshantering• Se hela kedjan från mallar och framåt• Kartlägg behoven från webbplatser
Några förutsättningar för att få en mer lyckad dokumenthantering (2)
• Kartlägg säkerhetskraven• Definiera dokumenttyper och ärendetyper• Identifiera sökbehov• Se över behoven av skanning och andra media• Se över behoven av skanning och andra media• Analysera de långsiktiga kraven• Förankra, förankra, förankra• Förbered för konflikter• Försök få en gemensam lösning med andra
kommuner eller lokala myndigheter
Syftet med arkivväsendet
• Uppfylla rättsliga krav (i Sverige starkt kopplat till offentlighetsprincipen)
• Vara en stödprocess för övriga processeri verksamheteni verksamheten
• Understödja kultur och forskning
Viktiga frågor
• Arbeta organisatoriskt • Informationshantering• Digital lagring• Digital lagring• Redovisning
Informationssäkerhet
Informationssäkerhet
Logisk säkerhet
Nät
Applikation
Operativ
Fysisk säkerhet
System säkerhet
IT-säkerhet
NätFysisk säkerhet
System säkerhet
Applikation
Operativ
Logisk säkerhet
Ledningssystem för informationssäkerhet - LIS
• Förkortas internationellt som ISMS –Information Security Management System
• Beskrivs av standardserien ISO/IEC 27000• Togs fram i slutet av 90-talet, blev ISO-
standard successivt mellan 2002-2005 (först 17799 som blev 27002, därefter 27001)
• Finns idag 4 delar färdiga av planerade cirka 8 delar
76
Vad finns idag och vad är under utveckling?Standard Namn Utgiven? Under
Utveckling?Anmärkning
ISO/IEC 27000 Overview and vocabulary
NEJ JA Klar 2009
ISO/IEC 27001 ISMS-Requirements
JA NEJ
ISO/IEC 27002 Code of practice JA JA Översyn på G, hette tidigare hette tidigare 17799
ISO/IEC 27003 Implementation guidance
NEJ JA Klar Hösten 2009
ISO/IEC 27004 Measurements NEJ JA Klar Hösten 2009
ISO/IEC 27005 Risk Management JA NEJ Ny 2008
ISO/IEC 27006 Certifications JA NEJ
ISO/IEC 27011 Sector specificTelecommuncations
JA NEJ Ny 2008
77
Vad finns idag och vad är under utveckling?Standard Namn Utgiven? Under
Utveckling?Anmärkning
ISO/IEC 27000 Overview and vocabulary
NEJ JA Klar 2009
ISO/IEC 27001 ISMS-Requirements
JA NEJ
ISO/IEC 27002 Code of practice JA JA Översyn på G, hette tidigare hette tidigare 17799
ISO/IEC 27003 Implementation guidance
NEJ JA Klar Hösten 2009
ISO/IEC 27004 Measurements NEJ JA Klar Hösten 2009
ISO/IEC 27005 Risk Management JA NEJ Ny 2008
ISO/IEC 27006 Certifications JA NEJ
ISO/IEC 27011 Sector specificTelecommuncations
JA NEJ Ny 2008
78
Områden i ISO 27001/27002
• Ledningens styrande dokumentation (policy)• Säkerhetsorganisation• Ansvar för tillgångar• Ansvar för tillgångar• Informationsklassning• Personal och säkerhet• Fysisk och miljörelaterad säkerhet
Områden i ISO 27001/27002
• Styrning av drift och kommunikationer• Styrning av åtkomst• Anskaffning, utveckling och underhåll av • Anskaffning, utveckling och underhåll av
informationssystem• Incidenthantering• Kontinuitetsplanering• Efterlevnad• Utomstående part
PDCA, processbeskrivning
Planera(Plan)
FörbättraGenomföra
81
Följa upp(Check)
Förbättra(Act)
Genomföra(Do)
Ändå är det inte glasklart…
Nummer Beskrivning Åtgärd
A.9.2.4 Underhåll av utrustning Utrustning skall underhållas på korrekt sätt för att säkerställa dess fortsatta tillgänglighet och riktighet. tillgänglighet och riktighet.
A.10.1.1 Dokumenterade driftrutiner Driftrutiner skall dokumenteras, underhållas och göras tillgängliga för alla användare som behöver dem.
Informationsklassning – vad är det?
• Dokumentklassning?• Sekretessklassning?• Systemklassning?• Informationsklassning – en process!• Informationsklassning – en process!
Informationsklassning
NormskalaSekretess-klassning
Instruktion om att märka dok
Hantera dok
Lathund för informations-hantering
(säkerhetsnivåer)
Överföringslista infoklass -
sekretessklass
Anvisning för informations-hantering
RiktlinjerAnvisning för sekretess-klassning
Förteckning över information
Informations-klassning
Protokoll från infoklassning
Digitalt/dokument
Överföra resultat till
systemsäkerhets-nivå
Dokument
Digital information
Överföringslista infoklass -
systemsäkerhets-nivå
Instruktion om att hantera info
Hantera info
Beskrivning av systemsäkerhets-
nivåerRiktlinjer
Anvisning för systemsäkerhets-
nivåer
Beskrivning av mål för se,sp,ri, ti för respektive nivå
Normskala
Konsekvenser Lindriga (L) Allvarliga (A) Mycket allvarliga (M)
I pengar SEK Upp till 100 000 Upp till 500 000 Över 500 000
I strid mot lagar m m I strid mot interna Strider mot regler lagstiftning
Andra konsekvenser Kritik i styrelsen Negativ kritik i massmedia.
Mycket negativ kritik i riksmedia. Omfattande produktions-störningar.
Koppling informationsklassning –sekretessklassning (exempel)
Konsekvenser Lindriga Allvarliga Mycket allvarliga
Säkerhetsnivå Grund Grund Hög Mycket HögSäkerhetsnivå Grund Grund Hög Mycket Hög
Sekretessklass på dokument
Public Proprietary Confidential Secret
Informationsklassning- Praktiskt exempel
Riktighet Sekretess Spårbar-het
Tillgänglig-het 1
Tillgänglig-het 2
Kallelse L L L L LKallelse L L L L L
Kundavtal M M M L M
Koppling mellan konsekvenser och säkerhetsnivåer
Konsekvenser SäkerhetsnivåLindrig (L) Grundnivå (g)
Allvarlig (A) Hög nivå (h)
Mycket allvarlig (M) Mycket hög nivå (m)
Exempel ur hanteringsreglerI Blank/publi
cIngen
RestrictedGrund
ConfidentialHög
SecretMycket Hög
Återanvändning
Personlig datamedia
Inga restriktioner
Får återanvändas internt
Återanvändning får endast ske efter radering och överskrivning med annan
Ingen återanvändning, skall destrueras.internt överskrivning med annan
information.destrueras.
Makuleringssätt/destruktion
Dokument Inga restriktioner
Skall destrueras Skall destrueras i pappersdestruktör alt. genom bränning
Skall destrueras i pappersdestruktör alt. genom bränning
Personlig datamedia
Inga restriktioner
Inga restriktioner
Förstörs maskinellt eller genom bränning.
Förstörs maskinellt eller genom bränning.
Systemklassning
Systemklassning är egentligen inte enklassning utan ett sätt att samordnatekniska åtgärder
Exempel på tekniska åtgärder för god sekretess, riktighet, spårbarhet
• Autentisering• Loggning• Loggning• Kryptering• Brandväggar (kommunikationsfilter)
Exempel på tekniska åtgärder för god tillgänglighet
• Redundans i nät och komponenter• Säkerhetskopiering• Säkerhetskopiering• Reservkraft• Program mot skadlig kod
Exempel på systemklasser
Mycket hög nivå
Grundnivå
Hög nivåRiktighet, sekretess, spårbarhet
Hög nivåSamtliga
Hög nivåTillgänglighet