Så här arbetar SCB med informationssäkerhet
SCB lämnar bara ut uppgifter om sekretesskyddet är garanterat
I vissa fall kan SCB lämna vidare uppgifter som vi har samlat in. SCB:s policy är att lämna ut pseudonymiserade uppgifter, det vill säga där det inte framgår vad någon enskild har svarat genom att uppgifter om identitet har ersatts med en kod. Endast i undantagsfall lämnar SCB ut data med identitet, till exempel till en annan statistikansvarig myndighet för produktion av officiell statistik. I samtliga fall gör SCB en sekretessprövning innan utlämnandet, oavsett om det gäller pseudonymiserade uppgifter eller inte. SCB lämnar endast ut uppgifter om de fortsatt finns ett sekretesskydd för uppgifterna. Det måste alltid stå klart att uppgifterna inte kan medföra skada eller men för dem som uppgifterna gäller eller deras närstående för att uppgifter skall kunna lämna SCB.
För mer information om SCB:s personuppgiftsbehandling:
Behandling av personuppgifter när vi tar fram statistik
SCB följer krav och föreskrifter från MSB
För SCB liksom för andra myndigheter finns krav avseende informations- och IT-säkerhet i föreskrifter från Myndigheten för samhällsskydd och beredskap (MSB) som vi måste efterleva, bland annat:
- MSBFS 2020:6, Myndigheten för samhällsskydd och beredskaps föreskrifter om informationssäkerhet för statliga myndigheter
- MSBFS 2020:7, Föreskrifter om säkerhetsåtgärder i informationssystem för statliga myndigheter.
SCB har ett ledningssystem för informationssäkerhet (LIS)
Föreskrifterna ovan ställer bland annat krav på att myndigheter ska ha ett ledningssystem för informationssäkerhet. På SCB heter ledningssystemet SCB LIS och är baserat på den internationella standarden för informationssäkerhet, ISO 27000.
SCB LIS innehåller olika krav och regler som styr myndighetens informationssäkerhetsarbete. Den har även en policy som är fastställd av myndighetsledningen.
Syftet är att åstadkomma och vidmakthålla ett systematiskt informationssäkerhetsarbete.
SCB arbetar aktivt med informationssäkerhet
För oss på SCB är det är en förtroendefråga att förvalta information på ett säkert sätt. En viktig del i det informationssäkerhetsarbetet är att alla SCB:s medarbetare tar ansvar genom att aktivt ta hänsyn till informationssäkerhetsfrågor i det dagliga arbetet, samverka med kollegor i dessa frågor, samt genom att lyfta problem och risker. På så vis bidrar alla medarbetare även till en ständig utvecklings- och förbättringsprocess.
SCB utbildar sina medarbetare
Information och utbildning är viktigt för att våra medarbetare ska förstå informationssäkerhet. Detta ges på olika sätt, genom webbaserade utbildningar, som en del av introduktionen för nyanställda, genom information på intranätet samt genom riktade utbildningar. De sistnämnda kan ske både som tvingande för vissa målgrupper eller efter önskemål från en viss verksamhet.
SCB gör kontroller och riskanalyser
Det genomförs regelbundna kontroller av efterlevnad som antingen kan initieras av säkerhetsorganisationen eller av andra delar av verksamheten. Syftet är att säkerställs att SCB LIS efterlevs och att SCB kan hålla en god informationssäkerhet i sin verksamhet.
SCB LIS utgår från ett riskbaserat arbetssätt där behovet av skyddsåtgärder värderas bland annat utifrån händelser både inom och utanför SCB samt genom åtgärder som baseras utifrån genomförda riskanalyser. SCB LIS är ett levande material. SCB genomför därför kontinuerliga anpassningar baserat på behov utifrån till exempel förändringar i lagstiftningar, teknik, samt myndighetens processer och arbetssätt.
SCB är certifierat baserat på internationell standard
Delar av myndighetens informations- och IT-säkerhetsverksamhet är även certifierad gentemot Eurostats säkerhetsramverk ”ESS Security Framework” som baseras på ISO 27002.
SCB omvärldsbevakar och samverkar
SCB arbetar löpande med omvärldsbevakning och utvecklar verksamheten efter vägledningar och ramverk från till exempel MSB, Säkerhetspolisen, Enisa (European Union Agency for Cybersecurity) och eSam (ett program för samverkan mellan myndigheter kring bland annat säkerhetsfrågor).