Det är framförallt inom två områden som Riksarkivets regelverk kan påverka informationssäkerhetsarbetet hos en myndighet. Det gäller skydd av arkiv (både fysiskt och logiskt skydd) och redovisning av arkiv.

Skydd av arkiv

Av arkivlagen framgår att varje myndighet ska svara för vården av sitt arkiv genom att bl.a. skydda arkivet mot förstörelse, skada tillgrepp och obehörig åtkomst. Riksarkivet har genom arkivförordningen fått mandat att meddela föreskrifter för statliga myndigheter om bl.a. skydd av arkivet.

Av Riksarkivets medieoberoende föreskrifter RA-FS 1991:1 (ändr. 1997:4, 2012:1) framgår att handlingar ska under hela bevarandetiden hanteras, förvaras och skyddas så att den fysiska och logiska kvaliteten bibehålls.

Av RA-FS 2013:4 som innehåller tekniska krav för arkivlokaler, framgår att handlingar som tillhör myndighetens arkiv ska förvaras i arkivlokal som ger skydd mot vatten och skadlig fukt, brand, brandgas och skadlig upphettning, skadlig klimat- och miljöpåverkan, samt skadegörelse, tillgrepp och obehörig åtkomst. Läs mer under arkivlokaler. Riksarkivet har dessutom medverkat i Vägledning för fysisk informationssäkerhet i it-utrymmen tillsammans med Myndigheten för samhällsskydd och beredskap.

Vidare har Riksarkivet utfärdat föreskrifter för elektroniska handlingar som innehåller bestämmelser som handlar bl.a. om skydd av information. Föreskrifterna ställer krav på myndigheter att upprätta Strategi för bevarande för elektroniska handlingar (RA-FS 2009:1, 3 kap) 
Strategin ska innehålla de åtgärder myndigheten avser att vidta för att säkerställa bevarande av elektroniska handlingar, det vill säga hur handlingar ska framställas, överföras, hanteras, förvaras och vårdas under den tid som de ska bevaras. Syftet med strategin är att skapa beredskap och medvetenhet.

Föreskrifterna om elektroniska handlingar innehåller även krav på att upprätta en Plan för informationssäkerhet (RA-FS 2009:1, 6 kap). Planen går ut på att myndigheter ska skapa rutiner för att skydda handlingarna från skada, manipulation, obehörig åtkomst och stöld med utgångspunkt i standarden SS-ISO/IEC 27001:2006 (LIS). Detta kan ske genom bl.a. behörighetssystem, loggsystem, skydd mot skadlig kod, säkerhetskopior etc. 

 

Redovisning av arkiv

Enligt arkivlagen ska varje myndighet bl.a. upprätta en systematisk arkivförteckning. Vidare får Riksarkivet meddela föreskrifter med stöd av arkivförordningen om arkivbeskrivning och arkivförteckning. Riksarkivets generella föreskrifter innehåller bl.a. bestämmelser om arkivredovisning (RA-FS 1991:1, ändr 1997:4, ändr 2008:4). Enligt RA-FS 2008:4 ska myndigheter redovisa sitt arkiv på ett processorienterat sätt som bygger på myndigheters verksamhetsprocesser. Läs mer om Verksamhetsbaserad arkivredovisning.

Riksarkivet anser att den struktur som ligger till grund för klassificering av arkiv och de processbeskrivningar som upprättas kan med fördel användas i myndigheters arbete med klassning av information i informationssäkerhetssyfte. Läs mer i vägledningen om Processorienterad informationskartläggning som Myndigheten för samhällsskydd och beredskap har tagit fram tillsammans med Riksarkivet.  

 

Mer om vikten av informationssäkerhet, se Myndigheten för samhällsskydd och beredskap och deras föreskrifter samt vägledningar. Läs även texten under ”Planera och styra”.