Vervas föreskrift om statliga myndigheters arbete med säkert elektroniskt informationsutbyte, VERVAFS 2007:2

Verket för förvaltningsutveckling (Verva) föreskriver följande med
stöd av 3 § förordningen (2003:770) om statliga myndigheters elektroniska
informationsutbyte.

Föreskriftens tillämpningsområde

1 § Denna föreskrift gäller för myndigheter under regeringen.
Verket för förvaltningsutveckling får besluta om undantag från dessa
föreskrifter i enlighet med 4 § förordningen (2003:770) om statliga
myndigheters elektroniska informationsutbyte.

2 § Syftet med föreskriften är att i förvaltningen skapa förutsättningar
för ett säkert och förtroendefullt elektroniskt informationsutbyte
genom att myndigheterna bedriver sin verksamhet med den säkerhet
som är nödvändig med hänsyn till den enskilda myndighetens
förutsättningar.

3 § Om det i annan författning finns bestämmelser om statliga
myndigheters arbete med säkert elektroniskt informationsutbyte gäller
dessa framför denna föreskrift.

4 § En myndighet kan överenskomma med annan myndighet att helt
eller delvis fullgöra myndighetens uppgifter enligt bestämmelserna i 5-
6 §§.

Grundläggande krav

5 § En myndighet ska i sitt arbete för ett säkert elektroniskt
informationsutbyte tillämpa ett ledningssystem för informationssäkerhet.
Det innebär att myndigheten ska;

1. upprätta en informationssäkerhetspolicy och andra styrande
   dokument som behövs för myndighetens informationssäkerhet,
2. utse en eller flera personer som ansvarar för säkerhetsarbetet och
   som minst en gång per år för myndighetsledningen redovisar och
   dokumenterar vilka granskningar och skyddsåtgärder av större
   betydelse som har vidtagits enligt myndighetens policy- och
   styrdokument.

6 § Myndigheten ska utifrån risk- och sårbarhetsanalyser och
dokumenterade incidenter avgöra vilka risker som ska elimineras,
reduceras eller accepteras, samt besluta om åtgärder för myndighetens
informationssäkerhet.

Tillämpningen av standarder

7 § En myndighets arbete enligt 5-6 §§ ska bedrivas i former enligt
följande etablerade svenska standarder för informationssäkerhet;

• Ledningssystem för informationssäkerhet – Krav (SS-ISO/IEC
  27001:2006 fastställd 2006-01-19) och
• Riktlinjer för styrning av informationssäkerhet (SS-ISO/IEC
  27002:2005 fastställd 2005-08-12).

Denna författning träder i kraft den 1 januari 2008.

Ytterligare vägledning till arbete med säkert informationsutbyte

• Krisberedskapsmyndigheten:
  rekommendationer BITS 2006:1 och stödverktyget BITS Plus,
• SIS (Swedish Standards Institute):
  handbok i informationssäkerhetsarbete (SIS HB 360) – Ge
  din information rätt säkerhet,
• Datainspektionen:
  allmänna råd, Säkerhet för personuppgifter
• Riksarkivet:
  bestämmelser på området.