Det Kommunala Bolaget har ett brett informationsflöde, det både skapas och tas emot en stor mängd information varje dag. De behövde därför ta fram en informationshanteringsplan för att kunna identifiera vilka informationsmängder de har, var de hanteras, hur de hanteras utifrån ett informationssäkerhetsperspektiv och när de ska gallras. För att kunna göra det på bästa sätt, tog Bolaget hjälp av Midagon, som på den tiden hette Kontract!
Tack vare expertisen från Midagons konsulter lyckades Bolaget öka medvetenheten kring informationssäkerheten internt, sätta en plan för hantering och informationsklassificera en mängd nödvändiga system. I den här artikeln går vi igenom Bolagets omfattande projekt rörande informationshantering, och hur Midagon hjälpte dem ro det i hamn!
Innan Bolaget hade tagit kontakt med Midagon, upplevde de framför allt att det rådde otydlighet kring styrningen av informationshanteringen. Med en stor mängd säkerhetskänslig information behövde de tydliga rutiner kring:
Var dokument ska lagras och hanteras.
Vilken information som får hanteras inom vilka system.
Hur de informerar medarbetare om korrekt dokumenthantering.
Hur de undviker att dokument ligger på flera platser eller att olika versioner av samma dokument finns tillgängliga.
Hur de säkerställer att de efterlever lagstiftning om både offentliga handlingar samt hantering av sekretessbelagt material.
När Bolaget insåg att de hade ett behov av konsultstöd för projektet, gick de ut med en stor upphandling där de sökte efter expertis inom informationssäkerhet- och hantering och arkivkunskap.
När vi sen startade upp med Midagon (tidigare Kontract) upplevde jag att de var väldigt lyhörda i vilka behov vi hade och satte ihop ett bra team, det var en väldigt bra bemanning
Midagon presenterade flera idéer för Bolaget kring hur de kunde driva ett framgångsrikt informationshanteringsprojekt. För Midagon var det viktigt att sätta sig in i Bolagets specifika verksamhet och ge skräddarsydd rådgivning.
Midagon (tidigare Kontract) kunde visa på flera olika lösningar, olika metoder och hade väldigt bra referenser för ett sånt här arbete
För att kunna hjälpa Bolaget skapa och upprätthålla en rutin för sin informationshantering, insåg konsulterna snabbt att de behövde utföra informationssäkerhetsklassificering.
Midagon (tidigare Kontract) levererade inledningsvis en viktig nyckel till det fortsatta arbetet som vi inte ens hade tänkt skulle ingå i det här projektet. De föreslog klassificering av våra informationstillgångar och IT-system för att kunna avgöra vilka system som var säkra nog att hantera specifik information i. Det var den största och tyngsta leveransen inledningsvis, ungefär 20 stycken IT-system klassades i samarbete med verksamheterna.
Projektet blev på så sätt större än det var planerat från början. Bolaget fick hjälp av Midagon att klassa sina system vilket involverade flera olika medarbetare över hela organisationen, och fick till slut en stadig bas att utgå ifrån i sitt arbete kring informationssäkerhet.
Informationssäkerhetsklassificeringen av cirka 20 stycken IT-system.
IT-systemen klassades enligt nivåer av konfidentialitet, integritet, spårbarhet och tillgänglighet tillsammans med de olika verksamheterna. Detta involverade en stor mängd medarbetare vilket gav förståelse för vilka typer av informationstillgångar Bolaget hanterar och på vilket sätt de hanteras. Det mynnade även ut i flera handlingsplaner för hur de skulle förstärka t.ex. informationssäkerheten.
Framtagning av en rutin för dokumenthantering som var på bolagsövergripande nivå.
Rutinen berörde alla medarbetare och definierade hur de skulle hantera dokument i Bolagets system för att efterleva lagar och förordningar. Här inkluderades även handledning för medarbetare i hur de på ett säkert sätt följde rutinen
Hjälpa bolaget att kravställa ett tekniskt systemstöd för dokumenthantering.
En kravställning och behovsanalys för ett nytt dokumenthanteringssystem som skulle efterleva lagstiftningen. Det var kritiskt att Bolaget både kunde uppvisa information som lagmässigt var offentlig tillgång men också att de kunde hantera sekretess och säkerhetsskyddat information.
“Det mynnade ut i att vi fick klassificeringarna, en kravställning för IT-systemet som skulle hjälpa oss att jobba på rätt sätt och sen hade vi själva styrningen kring hur vi ska jobba. Så det blev en helhetslösning till slut,” säger kvalitetsansvarig på Bolaget.
Det Kommunala Bolaget uppger att de var medvetna om att deras behov och projekt var spretiga till en början och att de inte själva hade full koll på vad de behövde. Att Midagon ändå lyckades sätta ihop ett bra team gjorde att de fick förtroende för deras kompetens och skulle rekommendera Midagon till andra verksamheter som står inför liknande projekt.
Framgångsfaktorerna var till stor del den goda kommunikationen och att både Bolaget och Midagon prioriterade att ha regelbundna avstämningar och styrgruppsmöten. Att samarbetet mellan verksamheten och konsulterna fungerade så väl, möjliggjorde att projektet blev lyckat och resultaten kunde bidra med positiv förändring.
“Bra dialog skulle jag vilja lyfta fram. Jag uppskattar att det inte bara var konsulterna som hade dialog med mig utan även leveransansvarig, alltså affärsområdeschefen, det kändes tryggt. Det vill jag verkligen lyfta fram.”
Ingen förändring utan förändringledning. Alla typer av projekt innebär någon typ av förändring. Det är viktigt att få alla medarbetare som är berörda av projektet att förstå varför det genomförs, annars ger inte insatserna någon effekt.
Ha en stark styrgrupp. Det krävs starka ambassadörer som har mandat att faktiskt ta beslut för att det inte ska uppstå stoppklossar under projektets gång.
Låta konsulterna vara frigående. Konsulterna behöver skapa en direkt relation med verksamheten för att kunna ta beslut som kommer gynna den. Våga släppa lös konsulterna och låt dem ha direktkontakt med verksamheten, ställa frågor och ha mandat att utföra åtgärder.
Vill du veta mer om informationssäkerhet eller har frågor kring ett liknande projekt? Kontakta oss här så hjälper vi dig.
