Upplands Väsby kommun

Storlek: px
Starta visningen från sidan:

Download "Upplands Väsby kommun"

Transkript

1

2

3 Revisionsrapport nr 5/ Upplands Väsby kommun

4 Innehållsförteckning 1. Bakgrund Syfte Metod Avgränsningar Iakttagelser IT-organisation IT-system Granskningsprotokoll Jämförelse mot andra kommuner Slutsatser och rekommendationer Generella slutsatser Rekommendationer från års rapport Rekommendationer från 2009 års rapport EY 2

5 1. Bakgrund 1.1 Syfte Idag bedrivs så gott som all verksamhet i en kommun med någon form av datoriserat stöd. Stödet har med tiden utvecklat sig till att bli en förutsättning för att kunna bedriva verksamhet. För att uppnå målen för kommunens verksamheter krävs att informationen i verksamhetsstödet är tillgängligt, riktigt och har korrekt konfidentialitet samt är spårbart. På uppdrag av de förtroendevalda revisorerna i Upplands Väsby kommun har EY genomfört en IT-revision i kommunen. IT-revisionens syfte har varit att granska och bedöma informationssäkerheten på en övergripande nivå i kommunen. Syftet har också varit att jämföra kommunens nuvarande informationssäkerhet mot BITS, Myndigheten för samhällsskydd och beredskaps ramverk för informationssäkerhet. BITS står för Basnivå för informationssäkerhet och har sitt ursprung i den internationella informationssäkerhetsstandarden ISO/IEC Metod Baserat på erfarenheter från tidigare kommunrevisioner har EY valt ut ett antal relevanta kontroller som presenteras i BITS, fördelat på elva huvudområden: 1. Säkerhetspolicy 2. Organisation av säkerheten 3. Hantering av tillgångar 4. Personalresurser och säkerhet 5. Fysisk och miljörelaterad säkerhet 6. Styrning och kommunikation av drift 7. Styrning av åtkomst 8. Anskaffning, utveckling och underhåll av informationssystem 9. Hantering av informationssäkerhetsincidenter 10. Kontinuitetsplanering i verksamheten 11. Efterlevnad Rapporten redovisar i vilken grad kommunen uppfyller valda rekommendationer ur BITS. Resultatet är en sammanvägd bedömning, som baseras på information som lämnats vid intervjuerna samt genom erhållen dokumentation. Den sammanvägda bedömningen av svaren på kontrollerna har bedömts enligt följande alternativ: Nej E/T Kontrollen finns ej/eller fungerar ej tillfredsställande. Kontrollen finns och fungerar delvis. Kontrollen finns och fungerar tillfredsställande. Ej tillämplig, kontrollen behövs ej av särskilda skäl. EY 3

6 Analysen baseras på erhållen dokumentation samt på intervjuer med Per-Ola Lindahl (utvecklingsstrateg), Magnus Walldie (IT-chef) och Fredrik Assarsson, (chef systemförvaltning). Arbetet har genomförts av Ingel Petré och Amin Zamanzadeh under juni, och har kvalitetssäkrats av Mårten Trolin. Våra iakttagelser och rekommendationer har stämts av med Per-Ola Lindahl, Magnus Walldie och Fredrik Assarsson. 1.3 Avgränsningar Iakttagelser och analyser baseras enbart på information som har inhämtats vid intervjuer och förelagd dokumentation. Inga tester har genomförts. Det kan finnas brister i kommunens hantering av IT som vi inte har identifierat. EY 4

7 2. Iakttagelser 2.1 IT-organisation Upplands Väsby kommuns styrande principer för IT, som finns angivna i kommunens ITpolicy, understryker vikten på en gemensam syn på IT. Kommunens modell för IT-styrning innefattar tre roller: Ledningsrollen (kommunfullmäktige, kommunstyrelsen, kommundirektören, koncernledningsgruppen och utvecklingsstrategen). Verksamhetsrollen (verksamhetschefen, enhetschef, IT-samordnare, IT-strateg, systemägare och systemförvaltare). Leverantörsrollen (interna och externa IT-leverantörer). Kommundirektören prioriterar och föreslår IT-budget med hjälp av IT-samordnare på respektive kontor, som samarbetar med utvecklingsstrategen och IT-chefen. IT-budgeten beslutas av kommunstyrelse och kommunfullmäktige. Den interna IT-leverantörens huvudsakliga roll är att stödja förvaltningarna i användandet av IT som ett verktyg i verksamhetsutvecklingen. 2.2 IT-system Enligt utvecklingsstrategen är följande system de mest verksamhetskritiska för kommunen: System Beskrivning Leverantör Raindance Ekonomisystem CGI Treserva Omsorgssystem CGI Lex Ärendehantering CGI Exchange E-post Microsoft Heroma PA-system CGI E-tjänstportal Diverse tjänster för medborgare Pulsen application AB Pulsen combined Vård- och omsorgssystem Pulsen application AB Tekla Geografiskt informationssystem (GIS) Tekla Software Office Kontorssystem inklusive e-post. Microsoft Utöver dessa system hänvisar vi till Upplands Väsby kommuns systemförteckning. EY 5

8 2.3 Granskningsprotokoll Granskningspunkt Kommentar Utvärdering 1 Säkerhetspolicy 1.1 Har kommunen en informations-/itsäkerhetspolicy? Kommunen har en ny informationssäkerhetspolicy antagen sedan Policyn följer BITS mall med ett policydokument och tre underliggande IT-säkerhetsinstruktioner för användare, förvaltning och drift. 2 Organisation av säkerheten 2.1 Finns det en informationssäkerhetssamordnare/- funktion för informationssäkerhet Policys och instruktioner finns tillgängliga på intranätet. Av informationssäkerhetspolicyn framgår att kommunstyrelsen är ansvarig för att av kommunfullmäktige fastställd informationssäkerhetspolicy efterlevs och att samordning avseende IT sker mellan verksamheterna. Enligt kommunens informationssäkerhetspolicy ansvarar ITstrategen för det övergripande ansvaret för informationssäkerhetsarbetet. Säkerhetschefen har det operativa ansvaret för informationssäkerhetsarbetet i kommunen. I praktiken har IT-chefen ansvaret för informationssäkerheten, medan säkerhetschefen ansvarar för fysisk säkerhet. 2.2 Har ledningen utsett systemägare för samtliga informationssystem? 2.3 Har organisationen utsett systemansvariga? 2.4 Finns det en samordningsfunktion för att länka samman den operativa verksamheten för informationssäkerhet och ledningen? 2.5 Har ansvaret för informationssäkerheten reglerats i avtal för informationsbehandling som lagts ut på en utomstående organisation? 3 Hantering av tillgångar Säkerhetschefen heter Anita Ackenberg. Varje system har en systemägare, dessa finns dokumenterade i en systemförteckning som chefen för systemförvaltning ansvarar för. Definition av systemägare finns i dokumentet Informationssäkerhetsinstruktion Förvaltning under kap 3. Upplands Väsby Kommun utser numer systemansvariga för samtliga system och utpekade systemansvariga finns för samtliga system. Definition av systemansvarig finns i utkastet till ITsäkerhetsinstruktion: Administration och förvaltning. Kommunens IT-styrning beskrivs i IT-policyn under rubriken Roller och ansvar. Av den framgår att tre roller samspelar: Ledningsrollen Verksamhetsrollen Leverantörsrollen Dessa träffas i månatliga möten där behov, problem och investeringar behandlas. Samarbete görs även då den årliga verksamhetsplanen skall tas fram. Det finns i dagsläget inget krav på att arbete och mål med informationssäkerhet skall tas upp i verksamhetsplanerna. Följande system och IT-infrastruktur hanteras av outsourcingpartners. PA-lönesystemet (CGI) Hårdvara för datorklienter (Pulsen) System inom socialtjänsten (Pulsen) Telefoni (TLC) Skrivare (Ricoh) Informationssäkerhetskrav finns ej med i avtal med CGI. I avtalen med Pulsen och TLC finns säkerhetsaspekter reglerade. EY 6

9 Granskningspunkt Kommentar Utvärdering 3.1 Är organisationens information klassad avseende sekretess/riktighet/tillgänglighet?, enligt Informationssäkerhetsinstruktion Användare skall Informationssystem inom kommunen klassas utifrån den information som hanteras i systemet. Klassningen görs från aspekterna sekretess (konfidentialitet), spårbarhet, tillgänglighet och riktighet. I kapitlet följer en tydlig definition om hur detta ska hanteras. Dock har inte all information i kommunen genomgått en klassning än. 3.2 Har samtliga informationssystem identifierats och dokumenterats i en aktuell systemförteckning. 3.3 Finns det en ansvarsfördelning för organisationens samtliga informationstillgångar. 3.4 Finns det upprättat dokument för hur informationsbehandlingsresurser får användas? 4 Personalresurser och säkerhet 4.1 Granskas nyanställdas bakgrund vid nyanställning i proportion till kommande arbetsuppgifter? 4.2 Får inhyrd/inlånad personal information om vilka säkerhetskrav och instruktioner som gäller? 4.3 Har systemägaren definierat vilka krav som ställs på användare som får tillgång till informationssystem och information? 4.4 Finns det framtagna dokumenterade säkerhetsinstruktioner för användare? 4.5 Genomförs utbildningsinsatser inom informationssäkerhet regelbundet? 4.6 Finns det användarhandledning för ett informationssystem att tillgå? Systemförteckning finns över samtliga system. Ansvarig för systemförteckningen är chefen för systemförvaltningen, enligt Riktlinjer för informationshantering, kap 6.6 Ansvarsbeskrivning finns dokumenterade i dokumentet Informationssäkerhetsintruktion Förvaltning. Roller inkluderar kommunfullmäktige, kommunstyrelse, kommundirektör, informationssäkerhetssamordnare, säkerhetschef, förvaltningschef, IT-samordnare, systemägare och systemansvarig. Dokumentet IT-säkerhetsinstruktion: Användare tar upp hur system får användas. Dokumentet innehåller kapitel om behörigheter, lösenord, utrustning, installation av programvara, distansarbete, lagring, Internetanvändning, e-posthantering samt incidenthantering. Meriter och referenser kontrolleras vid nyanställningar., det finns en formell rutin för information om kommunens informationssäkerhetsregler. I Informationssäkerhetsinstruktion Förvaltare kap 4.3 finns det beskrivet vilka utbildningar och information som går ut till användaren och vem som ansvarar för detta. Inga specifika krav per system. Alla användare måste dock genomgå en utbildning i informationssäkerhet och allmän datorkunskap, samt klara minst 70 % av efterföljande testfrågor., Informationssäkerhetsinstruktion Användare, samt en lathund för användare. Det saknas formella rutiner för regelbunden utbildning. Vid nyanställning finns det obligatoriska moment där arbetssättsmaterialet ska inskolas. Om en person inte uppfyller kraven för förståelsen av dessa så ska denne gå en utbildning., systemspecifika lathundar finns i systemet smartass, i det nya Pulsar combined kommer även allt utbildningsmaterial att finnas tillgängligt. EY 7

10 Granskningspunkt Kommentar Utvärdering 4.7 Dras åtkomsträtten till information och informationsbehandlingsresurser in vid avslutande av anställning eller vid förflyttning? Kommunen använder sig av en metakatalog för att hantera användarkonton. När anställning upphör fylls en blankett i av chefen som skickar den till personalavdelningen. Den berörda personens konton i metakatalogen inaktiveras därefter. Metakatalogen har en logisk koppling till lönesystemet, vilket innebär att konton inaktiveras när personens sista anställningsdatum har passerats. På systemnivå så gäller följande: I nya system krävs autentisering av ett SITS-kort tillsammans med lösenord, i en del äldre system krävs det att systemförvaltaren tar bort användarkontot manuellt. 5 Fysisk och miljörelaterad säkerhet 5.1 Finns funktioner för att förhindra obehörig fysisk tillträde till organisationens lokaler och information? När en anställd avslutar eller byter sin tjänst inom Upplands Väsby kommun så följs en rutin för detta. Den anställdas chef ska med ett formulär meddela personalavdelningen om avslutet, chefen ska även meddela alla systemförvaltare till de system som användaren har behörigheter till för förändring av dennes behörighet. Serverhallen ligger på plan 2 i kommunalhuset. Byggnadens skalskydd består av kortlås med kod utanför arbetstid. Alla passeringar loggas. Serverhallen skyddas av kortlås med kod. Periodisk genomgång av de som har behörigheter till serverhallen har gjorts vid ett antal tillfällen och administreras via passerkortsystemet. Magnus Walldie godkänner den periodiska genomgången. 5.2 Har IT-utrustning som kräver avbrottsfri kraft identifierats? 5.3 Finns larm kopplat till larmmottagare för: - brand, temperatur, fukt - sker test till larmmottagare 5.4 Finns i direkt anslutning till viktig dator- kommunikationsutrustning kolsyresläckare? 5.5 Regleras tillträde till utrymmen med känslig information eller informationssystem utifrån informationens skyddsbehov? Tillträdesrättigheter, rutiner för upprättande? Det finns numer även en spärr vid entrén, personer som har ett möte med någon i personalen måste släppas in av en anställd som även leder gästen ut ur huset när denne ska gå. UPS:er finns installerade i serverrummet och har testats i skarpt läge. Ett dieselaggregat finns tillgängligt att ta i drift inom en timme och inom kort kommer det finnas ett fast dieselaggregat på plats som kan försörja hela huset. Larm finns för brand, temperatur, fukt, översvämning och inbrott. Larmleverantören testar larmen på årlig basis.. Behörigheter till serverhallen administreras av Informationscentret efter underlag från IT-chefen. De som har tillgång till serverhallen är IT-personal med serveransvar, IT-chef samt säkerhetschefen. 5.6 Är korskopplingsskåp låsta? Alla korskopplingsskåpen som offentligheten kommer åt är låsta. Korskopplingsskåpen låses upp med nyckel som hanteras av den lokala enheten, t ex en skola, då IT-avdelningen själva inte har möjlighet att komma in i alla dessa själva. Nya skåp som sätts in har lås oavsett om de är i offentlig miljö eller internt på kontoren. EY 8

11 Granskningspunkt Kommentar Utvärdering 5.7 Raderas känslig information på ett säkert sätt från utrustning som tas ur bruk eller återanvänds? Ett skrotningsavtal finns. Avtalet innebär att när servrar avvecklas så skickas dessa på destruktion där hårddiskarna förstörs. Klienthårdvara hanteras av Pulsen, som enligt avtal skall skriva över hårddiskar vid en nyinstallation. 5.8 Finns särskilda säkerhetsåtgärder för utrustning utanför ordinarie arbetsplats? 5.9 Finns information och regler som förklarar att informationsbehandlingsresurser inte får föras ut från organisationens lokaler utan medgivande från ansvarig chef? Vid byte av dator som hanteras av kommunens IT-avdelning skrivs hårddisken över med en ny image-fil. I ett försök att återskapa information från en överskriven hårddisk så framgick det att det inte gick att få fram någon information från hårddiskar som hade skrivits över. Försöket genomfördes av IBAS. Kommunens anställda använder sig av antingen en VPN-lösning (via Portwise), eller en krypterad Citrixuppkoppling. Med Portwiselösningen kan användare komma åt de flesta systemen, medan Citrixlösningen används för ekonomisystemet Raindance. För fakturaportalen och de sociala systemen används en tokeninloggning via mobiltelefon. Självservicefunktionen i PA-systemet skyddas av SSL-kryptering. Formella regler saknas. Den anställda får ta del av information i Informationssäkerhetsinstruktion Användare där det framgår vilken information som inte får skickas över . Det finns även instruktioner för hur man bör hantera information på sociala medier. I kap 7 i samma instruktion så finns det information om distansarbete som definieras som all information relaterad till kommunens verksamhet som utförs utanför kommunens interna nätverk. Där står det att om användaren är osäker om vilken typ av information som får föras ut utanför kommunens nätverk så ska denne kontakta sin chef. Systemägare för respektive ITsystem beslutar även om distansarbete får ske för detta system. Konsulter kopplar upp sig på det administrativa nätet. 6 Styrning och kommunikation av drift 6.1 Finns det driftdokumentation för verksamhetskritiska informationssystem? 6.2 Är klockorna i informationssystemen synkroniserade med godkänd exakt tidsangivelse? 6.3 Sker system-/programutveckling samt tester av modifierade system åtskilt från driftmiljön? Arbete pågår med att ta fram standardiserad driftdokumentation för kommunens system. Det finns driftdokumentation för verksamhetskritiska system. Dokumentationen finns både hos de som driftar systemen samt hos verksamheten.., det finns testmiljö. Den egna systemutvecklingen är begränsad då mycket är outsourcat. Det som utvecklas inom kommunen utgörs mest av systemintegrationer. Programförändringar lyfts upp till chefen för systemförvaltning och IT-rådet där de godkänns för vidareutveckling och testning. Programförändringar i outsourcade system tas upp mellan kommunen och leverantören och även dessa behöver ett godkännande från chefen för systemförvaltning och IT-rådet. 6.4 Finns rutiner för hur utomstående leverantörers tjänster följs upp och granskas? 6.5 Godkänner lämplig personal (systemägaren) driftsättningar av förändrade informationssystem? En grundläggande testrutin finns dokumenterad i dokumentet arbetsmodellen i linjen. PA-systemet och ekonomisystemet driftas av CGI. Kommunen har kvartalsvisa möten med CGI där incidenter och servicenivåer diskuteras. Det finns dock inte några formella rutiner för uppföljning med alla leverantörer., dessa godkänns av IT-rådet. Systemförvaltare lyfter programförändringsbehovet till dessa i likhet med punkt 6.3. EY 9

12 Granskningspunkt Kommentar Utvärdering 6.6 Finns det för både servrar och klienter rutiner för skydd mot skadlig programkod? 6.7 Regleras och dokumenteras rätten att installera nya program, programversioner? Virusskydd finns för alla klienter. Det finns inget virusskydd på servrarna då dessa ligger på ett eget nät och den extra belastning som det medför leder till prestandaproblem. Användare på det administrativa nätet är lokala administratörer. Användare kan installera program på sina egna klienter, licensierad programvara installeras per automatik från centralt håll. Enligt Informationssäkerhetsinstruktionen Användare gäller följande: Programvaror ska godkännas och installeras av IT-enheten eller av IT-enheten anvisad/godkänd person. Det är inte tillåtet att kopiera eller använda kommunens program utanför vår verksamhet Om du är i behov av ytterligare programvaror eller hårdvara ska detta godkännas av din chef Misstanke om att icke godkänd programvara installerats ska beaktas som en misstänkt säkerhetsrisk och rapporteras enligt rutinen i kapitel 10 i detta dokument 6.8 Har organisations nätverk delats upp i mindre enheter (segmentering), så att en (virus) attack enbart drabbar en del av nätverket? 6.9 Genomförs säkerhetskopiering regelbundet? Nätverket är segmenterat., de flesta av servrarna är virtualiserade vilket förenklat säkerhetskopiering. Säkerhetskopiering sker numera till hårddiskar till skillnad från bandbackuper som användes tidigare. Inkrementell säkerhetskopiering görs dagligen och full säkerhetskopiering görs veckovis. Upplands Väsby kommun har servrar på två geografiskt åtskilda platser där hela kommunens data, både aktuell data men även säkerhetskopierad data finns tillgänglig. En formell backuppolicy saknas Genomförs regelbundna tester för att säkerställa att informationssystem kan återstartas från säkerhetskopior? 6.11 Finns det en aktuell förteckning över samtliga externa anslutningar? 6.12 Finns alternativa vägar vid sidan av organisationens brandvägg in till det interna nätverket? 6.13 Är det möjligt att logga säkerhetsrelevanta händelser? 6.14 Finns särskilda skyddsåtgärder för att skydda sekretess och riktighet när data passerar allmänna nät liksom skydd av anslutna system och utrustning? CGI ansvarar, enligt avtal, för säkerhetskopiering av PAsystemet. Det finns ingen formell rutin för genomförandet av regelbundna återläsningstester. Kommunen har vid behov testat att göra återläsningar utan problem då systemet är redundant.. Nej. Internettrafik och serverinloggning loggas och sparas i tre månader. Användarna informeras om att loggning sker. Transaktionsloggning i PA systemet sparas i tre månader., se 5.8. EY 10

13 Granskningspunkt Kommentar Utvärdering 6.15 Finns det riktlinjer avseende förvaringstid för datamedia? Avsaknad av formella riktlinjer. Enligt samtal med IT-chefen, systemförvaltaren och IT-strategen framgick det att: Data sparas 6 månader på hårddisk som alltid ligger tillgänglig. Därefter sparas data upp till ett år på backupband. Kommunens filer, information och bokföring sparas i 10 år. Särskilda lagkrav från riksarkivets lagverk ställs på lagring för socialsystemet. Nej 6.16 Finns det dokumenterade regler avseende vilken information som får skickas utanför organisationen? 6.17 Gäller det för e-postsystem och andra viktiga system att de är isolerade från externa nät? (DMZ) t.ex. genom någon form av brandväggsfunktion Finns olika typer av autentiseringsmetoder med olika grad av skydd? 6.19 Sparas revisionsloggar för säkerhetsrelevanta händelser? 7 Styrning av åtkomst 7.1 Har organisationen satt upp dokumenterade regler för åtkomst/tillträde för tredjeparts åtkomst till information eller informationssystem? 7.2 Tilldelas användare en behörighetsprofil som endast medger åtkomst informationssystem som krävs för att lösa arbetsuppgifterna? 7.3 Begränsas rätten att installera nya program i nätverket samt den egna arbetsstationen till endast utsedd behörig personal? 7.4 Har samtliga administratörer fullständiga systembehörigheter, eller endast i den utsträckning som krävs för arbetsuppgifterna? Riktlinjer ska finnas tillgängliga i en hanteringsanvisning enligt Riktlinjer för informationshantering, men ingen sådan har presenterats. Det finns anvisningar om klassificering och hantering av information i dokumentet Informationssäkerhetsinstruktionen Användare, kap 6. Varje systems information ska klassas enligt dokumentet. Arbete pågår dock fortfarande med att implementera reglerna för informationsklassning i organisationen., den enda åtkomstpunkten mot Internet skyddas av en brandvägg. : Login/lösenord Engångstokens via mobiltelefon e-legitimation Tre månader för webb- och domäninloggningar. I övrigt finns inga dokumenterade regler. Det finns interna rutiner men ingen formell dokumentation för tredjeparts åtkomst till kommunens system. Användare hos leverantörerna har alltid låsta konton, om sedan en konsult ansöker om att få tillgång till systemet vid t ex en programförändring så kan detta godkännas och ett konto öppnas under en begränsad tidsperiod. Instruktioner för detta finns dokumenterade i Hanteringsanvisningar gällande externa konsulter/användare för IT Enheten Konton för administrativ- och IT-personal är unika och tidigare gruppkonton har tagits bort. Användare får en basbehörighet med tillgång till internet, intern portal m.m. men ingen åtkomst till specifika system, dessa ansöks det om till respektive systemförvaltare. Användare av det administrativa nätet är lokala administratörer vilket är ett aktivt val av kommunen.. Systemadministratörer på IT-avdelningen har fulla rättigheter till alla servrar och databaser. Databaserna administreras dock som SQL-kluster och IT har inga administratörsrättigheter för databaserna. De har heller inga administratörs rättigheter på applikationsnivå och kan inte se information från systemen. Systemförvaltaren bestämmer vilka som ska ha åtkomst på databasnivå samt applikationsnivå. Systembehörigheterna är satta utifrån vad som krävs av arbetsuppgifterna. Nej EY 11

14 Granskningspunkt Kommentar Utvärdering 7.5 Har organisationen en dokumenterad rutin för tilldelning, borttag eller förändring av behörighet? Är de kommunicerade till ansvarig för behörigheter? Det finns ingen dokumenterad process för tilldelning, borttag eller förändring av behörigheter. Den interna rutinen för behörighetstilldelning är delvis dokumenterad i Informationssäkerhetsinstruktionen Användare, i praktiken går det till enligt rutinen nedan för skapandet av ett nytt användarkonto: 1. Chef till den nyanställda fyller i en blankett från intranätet med önskemål om ett nytt Windowskonto. Blanketten skickas till service desk. 2. Service desk registrerar ärendet i ärendehanteringssystemet samt skapar kontot. 3. Chefen och/eller den nyanställde notifieras om att kontot är skapat. 4. Om den nyanställde behöver specifika systembehörigheter fyller chefen i en ny blankett. Denna blankett skickas till systemansvarig. 5. Systemansvarig tilldelar behörigheter. 6. Systemansvarig notifierar chef och/eller nyanställd. 7. Nyanställd byter lösenord. Det görs ingen formell kontroll av att chefen verkligen är chef till den nyanställde. För behörigheter till system/applikationer krävs det att en ansökan görs av den anställdas chef till systemförvaltaren. För borttag och förändring av behörigheter finns processen delvis beskriven i Informationssäkerhetsinstruktionen Användare, kap 11 Avslutning av anställning, där det är angivet att chefen ska avbeställa användarens behörigheter. 7.6 Får nya användare ett initialt lösenord som de måste byta, till ett eget valt lösenord vid första användning? 7.7 Genomförs kontinuerlig (minst en gång per år) kontroll av organisationens behörigheter? 7.8 Har systemadministratörer/- tekniker/-användare individuella unika användaridentiteter? 7.9 Öppnas låsta användarkonton först efter säker identifiering av användaren? 7.10 Finns en gemensam lösenordspolicy? I framtiden ska systemet artvise användas där hela processen loggförs från beställande, godkännande till upplägg/borttag/förändring av behörighet., för nyare system så används SSO. Systemförvaltningen går igenom applikationsbehörigheter två gånger per år. Dock sker ingen genomgång av AD-konton.. Konton skapas automatiskt via metakatalogen men aktiveras först efter att den anställdas chef efterfrågat det. I Informationssäkerhetsinstruktionen Användare står det att lösenordet skall: vara minst sex tecken långt för inloggning till IT-nätverket, beträffande övriga system så kan det variera från system till system. Ska bestå av en blandning av stora och små bokstäver, siffror och helst specialtecken Inte återanvändas I kap 4.4 byte av lösenord står det: Byte av lösenord är aktuellt: Var 180:e dag när det gäller IT-nätverket Var 180:e dag när det gäller informationssystemen Omedelbart om du misstänker att någon annan känner till det Lösenordslängden i PA-systemet och i Raindance är 5 tecken. Att byta lösenordspolicy för dessa system anses vara svårt då det är gamla system. Det nya systemet Pulsar combined använder två-faktors inloggning, d.v.s. ett fysiskt SITS-kort samt ett lösenord. EY 12

15 Granskningspunkt Kommentar Utvärdering 7.11 Sker automatisk aktivering av skärmsläckare och automatisk låsning av obevakade arbetsstationer efter visst givet tidsintervall? Upplåsning kan endast ske med lösenord Är brandväggsfunktionen den enda kanalen för IP-baserad datakommunikation till och från organisationen? 7.13 Finns en dokumenterad brandväggspolicy där det beskrivs vilka tjänster brandväggen skall tillhandahålla? 7.14 Används trådlösa lokala nät? I så fall, finns det åtgärder mot obehörig avlyssning och obehörigt utnyttjande av resurser? 7.15 Finns det en karta över nuvarande säkerhetsarkitektur (tekniska anvisningar) för interna och externa nät och kommunikationssystem? 7.16 Har organisationen upprättat dokumenterade riktlinjer avseende lagring? 7.17 Har verksamheten ställt och dokumenterat tekniska säkerhetskrav och krav på praktisk hantering avseende användandet av mobil datorutrustning och distansarbete? 7.18 Har systemägaren eller motsvarande beslutat om att ett informationssystems information ska få bearbetas på distans med stationär eller mobil utrustning? 7.19 Finns det aktuell dokumentation med regler för distansarbete?.. Ingen formell policy, enligt IT är allt låst och om någon port/funktion ska låsas upp i brandväggen så krävs det att en ansökan kommer in som behandlas., skolnätet, administrativa nätet och det publika nätet. Skolnätet och administrativa nätet är krypterade. Det publika nätet kräver autentisering.. 8 Anskaffning, utveckling och underhåll av informationssystem 8.1 Har en systemsäkerhetsanalys upprättats och dokumenterats för varje informationssystem som bedöms som viktigt? 8.2 Krypteras persondata som förmedlas över öppna nät? 8.3 Finns det angiven personal som ansvarar för systemunderhåll? 8.4 Finns det regler för hur system- och programutveckling ska genomföras? I Informationssäkerhetsinstruktionen Användare regleras lagring av information i kapitel 6.3 Nej. En del anställda läser e-post i mobiltelefoner som ej är krypterade. Det finns ett pågående arbete med att införa ett krypterat system för att läsa e-post på mobiltelefoner och surfplattor, detta planeras till hösten. Det finns inga tekniska krav för distansarbete. Däremot finns det krav på den praktiska hanteringen för distansarbetet dokumenterat i Informationssäkerhetsinstruktionen Användare kap 7. Enhetschefen bestämmer från person till person. Krav på distansarbete finns beskrivet i IT-säkerhetsinstruktion: Användare. Kraven täcker fysiskt skydd, skydd mot skadlig programkod, överföring av information samt kommunens kommunikationslösning för distansarbete. Systemsäkerhetsanalys skall göras enligt informationssäkerhetspolicyn. För det ej produktionssatta systemet Pulsar combined har det gjorts en systemsäkerhetsanalys. Det har emellertid ej gjorts för alla de andra systemen men ett arbete med detta har påbörjats., med VPN eller SSL., minst en person per system på IT-avdelningen., rutiner finns dokumenterade i instruktionerna Vad är systemförvaltning och Arbetsmodellen i linjen. Programförändringar måste passera IT-rådet och därefter testas innan produktionssättning. Dokumentation utgörs av arbetsmodellsinstruktioner och ett arbete pågår för att få en enhetlig process för programförändringar. Detta är inte fullt ut implementerat. För extern utveckling hos leverantörer så följs denna process i projektet för Pulsar combined, dock så följs det inte av övriga leverantörer än. Nej Nej EY 13

16 Granskningspunkt Kommentar Utvärdering 8.5 Finns det regler och riktlinjer avseende beslut om programändringar? 8.6 Finns det dokumenterade rutiner för hur utbildning ska genomföras för köpta system? Omfattar rutinen även kompletterande utbildning vid program- och funktionsändringar? 8.7 Finns det en uppdaterad och aktuell systemdokumentation för ett informationssystem? 9 Hantering av informationssäkerhetsincidenter, det finns instruktioner för systemförvaltning dock pågår arbete för att få detta arbetssätt implementerat i hela organisationen. IT-rådet godkänner programförändringar. Större förändringar måste ansökas till Per-Ola och mindre förändringar godkänns av Fredrik. Kommunstyrelsen beslutar om investeringar som går utanför driftbudgeten. Inga dokumenterade rutiner, men i större projekt liknande Pulsar combined eller artvise så är det projektledarens ansvar att det genomförs utbildningar för systemet. Har endast standardsystem. Ej tillämpligt 9.1 Finns det dokumenterade instruktioner avseende vart användare skall vända sig och hur de skall agera vid funktionsfel, misstanke om intrång eller vid andra störningar? I Informationssäkerhetsinstruktionen Användare står följande om incidenthantering i kap 10: Om du misstänker att någon använt din användaridentitet eller att du varit utsatt för någon annan typ av incident ska du: notera när du senast var inne i IT-systemet notera när du upptäckte incidenten omedelbart anmäla förhållandet till informationssäkerhetssamordnaren eller din chef dokumentera alla iakttagelser i samband med upptäckten och försöka fastställa om kvaliteten på din information har påverkats Om du misstänker eller upptäcker att du har varit utsatt för någon typ av incident är du skyldig att rapportera detta till ITenheten och informationssäkerhetssamordnaren. 10 Kontinuitetsplanering i verksamheten 10.1 Finns det en gemensam kontinuitetsplan dokumenterad för organisationen? 10.2 Har systemägaren eller motsvarande beslutat om den längsta acceptabla tid som informationssystemet bedöms kunna vara ur funktion innan verksamheten äventyras? 10.3 Finns det en dokumenterad avbrottsplan med återstarts- och reservrutiner för datadriften som vidtas inom ramen för ordinarie driften? 10.4 Kan verksamheten bedrivas med manuella eller maskinella reservrutiner under begränsad tid? Är befintliga reservrutiner dokumenterade? 10.5 Har omständigheter som ska betecknas som kris/katastrof (extraordinära händelser) för verksamheten kartlagts? 11 Efterlevnad I Informationssäkerhetspolicyn står det: En kontinuitetsplan ska finnas för driften av IT-verksamheten baserad på de olika informationssystemens samlade krav. IT-driftschefen ansvarar för att uppfylla myndighetens kontinuitetsplan för IT-stödet. Det finns en krisplan för extraordinära händelser: Plan för hantering av EOH som uppdateras varje mandatperiod Det finns inga SLA:er mellan verksamhet och IT-organisation som tar hänsyn till avbrottstider. Ett arbete pågår dock med att skapa förvaltningsplaner för alla systemen. I förvaltningsplanen finns tillgänglighetskravet specificerat. Utöver krisplanen som är mer generell för organisationen så finns det översiktliga checklistor för IT-avdelningen för vilka åtgärder som ska vidtas vid avbrott dokumenterade i t ex Driftoch avbrottsdokumentation E-Post System eller WMData Omsorg. Dessa finns inte för alla system. Verksamheten har information om hur de ska hantera sina manuella rutiner, dessa finns dokumenterade., i samband med att krisplanen togs fram. EY 14

17 Granskningspunkt Kommentar Utvärdering 11.1 Användas endast programvaror i enlighet med gällande avtal och licensregler? 11.2 Finns det regler för godkännande och distribution av programvaror för att efterleva rådande upphovsrättsliga regler? 11.3 Har organisationen förtecknat och anmält personuppgifter till personuppgiftsombud? 11.4 Genomförs interna och externa penetrationstester kontinuerligt? 11.5 Granskar ledningspersoner regelbundet att säkerhetsrutiner, - policy och -normer efterlevs. IT tilldelar bara datorerna rättigheter till viss programvara och ger inte användarna licenser för programvaror. Det finns dokumenterat vilka användare som har tilldelats programvaror och vilka dessa är. Det görs en årlig genomgång av licenserna. Regler finns i IT-säkerhetsinstruktioner: Användare. Nya programvaror distribueras med Software Management System (SMS)., en person i varje nämnd är personuppgiftsombud., det genomförs en årlig penetrationstestning med hjälp av externa konsulter. Det kommer att följas upp i en kommande intern kontrollplan som är lagd till nästa år. Det har dock inte genomförts än. Nej EY 15

18 3. Jämförelse mot andra kommuner EY har gjort ett flertal gapanalyser mot BITS hos Sveriges kommuner. Tack vare detta kan vi mäta Upplands Väsby kommuns mognadsgrad rörande informationssäkerhet mot ett genomsnitt av de kommuner vi granskat. I jämförelsen presenteras även resultaten från ITrevisionen som genomfördes 2009 på Upplands Väsby kommun. I diagrammet nedan representerar ytterkanten 100 % måluppfyllnad, medan mittpunkten anger 0 % måluppfyllnad. 1.Säkerhetspolicy 2.Organisation av säkerheten 3.Hantering av tillgångar 4.Personalresurser och säkerhet 5.Fysisk och miljörelaterad säkerhet 6.Styrning och kommunikation av drift 7.Styrning av åtkomst 8.Anskaffning, utveckling och underhåll av informationssystem 9.Hantering av informationssäkerhets-incidenter 10.Kontinuitetsplanering i verksamheten 11.Efterlevnad Mognadsgrad av informationssäkerhet Jämförelse mot kommungenomsnitt Kommunsnitt* Upplands Väsby Upplands Väsby *Kommunsnitt baseras på 19 granskningar genomförda mellan Det framgår från diagrammet att Upplands Väsby kommun ligger mycket bättre till än kommungenomsnittet på kontrollpunkterna 1,2,3,4,9,10 och 11 samt att kommunen är lite bättre än kommungenomsnittet på kontrollpunkterna 5,6,7 och 8. EY 16

19 4. Slutsatser och rekommendationer 4.1 Generella slutsatser Upplands Väsby kommun har förutsättningar för ett effektivt arbete med informationssäkerhet. Kommunen har en utsedd person som ansvarar för informationssäkerhet samt informationssäkerhetspolicy och underliggande instruktioner som beskriver hur arbetet skall genomföras. Av samtliga granskningspunkter är fördelningen av bedömningarna följande: Nej Kontrollen finns ej/eller fungerar ej tillfredsställande: 7 % Kontrollen finns och fungerar delvis: 28 % Kontrollen finns och fungerar tillfredsställande: 63 % E/T Ej tillämplig, kontrollen behövs ej av särskilda skäl: 1 % Kommunens starkaste områden är: Hantering av informationssäkerhetsincidenter Fysisk och miljörelaterad säkerhet Efterlevnad Personalresurser och säkerhet Säkerhetspolicy Kommunens svagaste områden är: Kontinuitetsplanering för IT-verksamheten Dokumenterade rutiner för behörighets- och programförändringsprocesser Anskaffning, utveckling och underhåll av informationssystem EY 17

20 4.2 Rekommendationer från års rapport Utöver iakttagelserna från 2009 (se nedan) så har vi ej noterat några nya iakttagelser. 4.3 Rekommendationer från 2009 års rapport Nedan följer de iakttagelser och rekommendationer som fanns med i 2009 års rapport om informationssäkerhet i Upplands Väsby kommun. Där det har skett visa mindre förändringar i informationen har vi lagt till en kort uppdatering i början av rekommendationen. Rekommendationerna är prioriterade enligt följande: Hög Medel Låg Nyckelkontroll ej på plats/ej effektiv. Bristen bör åtgärdas snarast för att säkerställa god intern kontroll på kort sikt. Nyckelkontroll delvis på plats/delvis effektiv. Bristen bör åtgärdas för att säkerställa god intern kontroll på lång sikt. Nyckelkontroll på plats men effektivitet kan förbättras. Bristen bör åtgärdas på lång sikt. # Iakttagelse och rekommendation Prioritet 1. Uppdatering : En kortare beskrivning finns av rutinen för behörigheter i Informationssäkerhetsinstruktion Förvaltning i övrigt kvarstår nedanstående iakttagelse och rekommendation. Iakttagelse: Brister i dokumentation av behörighetsrutiner Vi har ej identifierat formellt dokumenterade rutiner för behörighetsadministration. Utkast finns i IT-säkerhetsinstruktion: Administration och förvaltning. Risk: Att inte ha en formell rutin för behörighetsadministration kan öka risken att icke-auktoriserade personer får åtkomst till system och information. Rekommendation: Vi rekommenderar Upplands Väsby kommun att dokumentera och implementera en enhetlig process för att skapa nya/ta bort/förändra rättigheter i systemen. Följande kontroller och aktiviteter bör finnas med: Det skall framgå vem som får beställa nya/borttag/ändrade rättigheter (vanligtvis linjechef eller personalavdelning). Service desk, eller mottagare av beställning, bör kontrollera att beställaren har befogenheter att göra beställning. Information om att konto har skapats bör skickas med kopia till beställaren. Kontouppgifter bör ej skickas okrypterade över publika nätverk. Användaren bör byta lösenord vid första inloggning. Det bör vara klarlagt vem som ansvarar för att en person som slutar, ej längre har rättigheter till systemen (linjechef eller personalavdelning). Hög EY 18

Ystad kommun. Rapport: IT-revision. Göteborg, 2011-07-07

Ystad kommun. Rapport: IT-revision. Göteborg, 2011-07-07 Ystad kommun Rapport: IT-revision Göteborg, 2011-07-07 Sammanfattning Bakgrund På uppdrag av de förtroendevalda revisorerna i Ystad kommun har Ernst & Young genomfört en IT-revision i kommunen. IT-revisionens

Läs mer

Revisionsrapport 3/2010 Genomförd på uppdrag av revisorerna maj/sept 2010. Haninge kommun. Rapport: IT-revision, granskning av informationssäkerheten

Revisionsrapport 3/2010 Genomförd på uppdrag av revisorerna maj/sept 2010. Haninge kommun. Rapport: IT-revision, granskning av informationssäkerheten Revisionsrapport 3/2010 Genomförd på uppdrag av revisorerna maj/sept 2010 Haninge kommun Rapport: IT-revision, granskning av informationssäkerheten Sammanfattning Bakgrund På uppdrag av de förtroendevalda

Läs mer

Revisionsrapport Genomförd på uppdrag av revisorerna augusti 2010. Båstads kommun. Rapport: IT-revision. Göteborg, 2010-08-25

Revisionsrapport Genomförd på uppdrag av revisorerna augusti 2010. Båstads kommun. Rapport: IT-revision. Göteborg, 2010-08-25 Revisionsrapport Genomförd på uppdrag av revisorerna augusti 2010 Båstads kommun Rapport: IT-revision Göteborg, 2010-08-25 Sammanfattning Bakgrund På uppdrag av de förtroendevalda revisorerna i Båstads

Läs mer

Vetlanda kommun. Granskning avseende IT- och informationssäkerhet enligt BITS

Vetlanda kommun. Granskning avseende IT- och informationssäkerhet enligt BITS Revisionsrapport 2013 Genomförd på uppdrag av de förtroendevalda revisorerna i Vetlanda kommun Vetlanda kommun Granskning avseende IT- och informationssäkerhet enligt BITS Innehållsförteckning Sammanfattning...

Läs mer

Revisionsrapport 1-2011 Genomförd på uppdrag av revisorerna juni 2011. Lidingö Stad. Rapport: IT-revision. Stockholm, 2011-06-14

Revisionsrapport 1-2011 Genomförd på uppdrag av revisorerna juni 2011. Lidingö Stad. Rapport: IT-revision. Stockholm, 2011-06-14 Revisionsrapport 1-2011 Genomförd på uppdrag av revisorerna juni 2011 Lidingö Stad Rapport: IT-revision Stockholm, 2011-06-14 2 av 17 Sammanfattning Bakgrund På uppdrag av de förtroendevalda kommunrevisorerna

Läs mer

Södertälje kommun. Rapport: IT- och informationssäkerhet 2012-08-31

Södertälje kommun. Rapport: IT- och informationssäkerhet 2012-08-31 Södertälje kommun Rapport: IT- och informationssäkerhet 2012-08-31 Sammanfattning Bakgrund På uppdrag av de förtroendevalda revisorerna i Södertälje kommun har Ernst & Young genomfört en granskning av

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2006-09-07 Informationssäkerhetspolicy Antagen av kommunfullmäktige 2006-09-28, 140 Innehåll 1 INLEDNING...3 2 MÅL FÖR INFORMATIONSSÄKERHETSARBETET...4 2.1 LÅNGSIKTIGA MÅL...4 2.2 ÅRLIGA MÅL...4 3 ORGANISATION,

Läs mer

IT-säkerhetsinstruktion Förvaltning

IT-säkerhetsinstruktion Förvaltning IT-säkerhetsinstruktion Förvaltning 2013-09-24 1.0 IT- S Ä K E R H E T S I N S T R U K T I O N IT-säkerhetsinstruktion Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se

Läs mer

Informationssäkerhet - Informationssäkerhetspolicy

Informationssäkerhet - Informationssäkerhetspolicy Informationssäkerhet - Informationssäkerhetspolicy Informationssäkerhetspolicy 2008-08-29 Innehållsförteckning 1 Inledning... 1 2 Mål för IT-sbäkerhetsarbetet... 2 2.1 Långsiktiga mål... 2 2.2 Årliga mål...

Läs mer

Regler och instruktioner för verksamheten

Regler och instruktioner för verksamheten Informationssäkerhet Regler och instruktioner för verksamheten Dokumenttyp Regler och instruktioner Dokumentägare Kommungemensam ITsamordning Dokumentnamn Regler och instruktioner för verksamheten Dokumentansvarig

Läs mer

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och beredskap föreskriver. I dokumentet kommer fortsättningsvis

Läs mer

Policy Document Number ESS-0002649 Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet

Policy Document Number ESS-0002649 Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet Revision 1 (3) State Released Plan för IT Säkerhet DOCUMENT REVISION HISTORY Revision Reason for revision Date 1 New Document 2013-02-26 List of Authors List of Reviewers List of Approvers Skölde, Daniel/Ulrika

Läs mer

Informationssäkerhet Riktlinje Förvaltning

Informationssäkerhet Riktlinje Förvaltning Informationssäkerhet Riktlinje Förvaltning Fastställd av kommundirektören 2011-06-20 Innehåll 1 Informationssäkerhet 3 2 Organisation och ansvar 4 2.1 Informationssäkerhetssamordnare... 4 2.2 IT-chef...

Läs mer

Informationssäkerhetsinstruktion Användare: Övriga (3:0:2)

Informationssäkerhetsinstruktion Användare: Övriga (3:0:2) Informationssäkerhetsinstruktion Användare: Övriga (3:0:2) Kommunalförbundet ITSAM Revision: 20130317 Dnr: 2013/00036 Kommunalförbundet ITSAM, Storgatan 36A, 590 36 Kisa Tel: 0494 197 00, Fax: 0494 197

Läs mer

Uppföljning av tidigare granskningar

Uppföljning av tidigare granskningar Revisionsrapport 7/2014 Uppföljning av tidigare granskningar Södertälje kommun Innehåll 1 Inledning...2 1.1 Syfte och revisionsfrågor...2 1.2 Revisionskriterier...2 1.3 Metod...2 1.4 Avgränsning...2 2

Läs mer

Informationssäkerhetsinstruktion: Användare

Informationssäkerhetsinstruktion: Användare EXEMPEL 1 Informationssäkerhetsinstruktion: Användare (Infosäk A) Innehållsförteckning 1. INSTRUKTIONENS ROLL I INFORMATIONSSÄKERHETSARBETET...2 2. ANVÄNDARENS ANSVAR...2 3. ÅTKOMST TILL INFORMATION...2

Läs mer

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUNS NÄTVERK 1 INLEDNING...1 2 BAKGRUND...1

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUNS NÄTVERK 1 INLEDNING...1 2 BAKGRUND...1 GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUNS NÄTVERK 1 INLEDNING...1 2 BAKGRUND...1 3 VERKSAMHETSBESKRIVNING...1 3.1 ANVÄNDNINGSSÄTT - FUNKTIONSBESKRIVNING...1 3.1.1 Användning under normala förhållanden

Läs mer

IT-säkerhetsinstruktion

IT-säkerhetsinstruktion IT-säkerhetsinstruktion Innehållsförteckning 1. ANVÄNDARENS ANSVAR...2 2. ÅTKOMST TILL INFORMATION...2 2.1 BEHÖRIGHET...2 2.2 INLOGGNING...2 2.3 VAL AV LÖSENORD...2 2.4 BYTE AV LÖSENORD...2 3. DIN ARBETSPLATS...3

Läs mer

Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret

Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret Antagen av Kommunfullmäktige 2009-04-23 57 1. Allmänt... 3 1.1 Inledning... 3 1.2 Begreppet informationssäkerhet

Läs mer

Rapport: IT-Revision 2014 Genomförd på uppdrag av revisorerna Mars 2014. Kungsbacka Kommun. Rapport: IT-revision 2014-03-17

Rapport: IT-Revision 2014 Genomförd på uppdrag av revisorerna Mars 2014. Kungsbacka Kommun. Rapport: IT-revision 2014-03-17 Rapport: IT-Revision 2014 Genomförd på uppdrag av revisorerna Mars 2014 Kungsbacka Kommun Rapport: IT-revision 2014-03-17 Sammanfattning Bakgrund På uppdrag av de förtroendevalda revisorerna i Kungsbacka

Läs mer

Informationssäkerhetsinstruktion Mora, Orsa och Älvdalens kommuner

Informationssäkerhetsinstruktion Mora, Orsa och Älvdalens kommuner Informationssäkerhetsinstruktion Mora, Orsa och Älvdalens kommuner - Användare Informationssäkerhetsinstruktion gemensam Mora, Orsa och Älvdalens kommuner Innehållsförteckning 1 Inledning... 1 2 Klassning

Läs mer

Informationssäkerhetsanvisning

Informationssäkerhetsanvisning HÖGSKOLAN I BORÅS STYRDOKUMENT 2012-12-12 Dnr 074-11-19 Informationssäkerhetsanvisningar Användare Beslutad av enhetschef för Gemensamma förvaltningen i enlighet med rektors beslut fattat den 16 februari

Läs mer

2012-12-12 Dnr 074-11-19

2012-12-12 Dnr 074-11-19 HÖGSKOLAN I BORÅS STYRDOKUMENT 2012-12-12 Dnr 074-11-19 Regler för informationssäkerhet Regler för informationssäkerhet är beslutade av enhetschefen för i enlighet med Högskolans säkerhetspolicy (dnr 288-11-101)

Läs mer

SÄKERHETSFÖRESKRIFTER FÖR FÖRVALTNING AV IT-SYSTEM

SÄKERHETSFÖRESKRIFTER FÖR FÖRVALTNING AV IT-SYSTEM FÖRFATTNINGSSAMLING (8.1.3) SÄKERHETSFÖRESKRIFTER Dokumenttyp Riktlinjer Ämnesområde IT Ägare/ansvarig IT-strateg Antagen av KS 2012-02-08 47 Revisions datum Förvaltning KSF, stab Dnr KS/2010:1056 Giltig

Läs mer

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUN

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUN GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUN 06-07 GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUNS NÄTVERK 1 INLEDNING...1 2 BAKGRUND...1 3 VERKSAMHETSBESKRIVNING...2 3.1 ANVÄNDNINGSSÄTT - FUNKTIONSBESKRIVNING...2

Läs mer

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet Dnr 1-516/2013 (ersätter Dnr 6255-2012-060) Gäller från och med Informationsklass: K1R2T1 Bilaga 2. Ansvarsbeskrivningar

Läs mer

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina 1 IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina Riksrevisionen har som ett led i den årliga revisionen av Skatteverket granskat IT-generella kontroller i ekonomisystemet Agresso,

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2009-07-15 1 (9) Informationssäkerhetspolicy Antagen av kommunfullmäktige den 2009-10-21, 110 Kommunstyrelseförvaltningen Postadress Besöksadress Telefon Telefax E-post Hemsida 462 85 Vänersborg Sundsgatan

Läs mer

IT-säkerhetspolicy. Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se Webbplats: www.finspang.

IT-säkerhetspolicy. Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se Webbplats: www.finspang. IT-säkerhetspolicy IT-säkerhetspolicy Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se Webbplats: www.finspang.se Innehåll Sammanfattning 1 IT-säkerhetspolicy

Läs mer

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner Riktlinjer avseende Informationssäkerheten Sida 1 Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner Informationssäkerhet är en del i kommunernas lednings- och kvalitetsprocess

Läs mer

Granskning av IT-säkerhet

Granskning av IT-säkerhet TJÄNSTESKRIVELSE 1 (1) Sociala nämndernas förvaltning 2015-02-11 Dnr: 2014/957-IFN-012 Marie Carlsson - bi901 E-post: marie.carlsson@vasteras.se Kopia till Individ- och familjenämnden Granskning av IT-säkerhet

Läs mer

Riktlinjer för IT-säkerhet i Halmstads kommun

Riktlinjer för IT-säkerhet i Halmstads kommun Riktlinjer för IT-säkerhet i Halmstads kommun VER 1.0 Innehåll Inledning...3 Definition av IT-säkerhet...3 Omfattning...3 Vikten av IT-säkerhet...3 Mål för IT-säkerhetsarbetet...4 Ledning och ansvar...4

Läs mer

Fastställd av kommundirektören 2011-06-20. Informationssäkerhet Riktlinje Kontinuitet och drift

Fastställd av kommundirektören 2011-06-20. Informationssäkerhet Riktlinje Kontinuitet och drift Fastställd av kommundirektören 2011-06-20 Informationssäkerhet Riktlinje Kontinuitet och drift Innehåll 1 Informationssäkerhet 3 2 Organisation och ansvar för säkerhetsarbetet 4 2.1 IT-Support... 4 3 Hantering

Läs mer

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 3 RIKTLINJER FÖR ATT UPPNÅ MÅLEN... 3 3.1 ALLMÄNT... 3 3.2 LEDNING OCH ANSVAR FÖR IT-SÄKERHET... 3 3.2.1 Systemägare... 3 3.2.2

Läs mer

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) INFORMATIONSSÄKERHETSPOLICY Innehållsförteckning Sida 1.1 Informationssäkerhet 1 1.2 Skyddsområden 1 1.3 Övergripande mål 2 1.4 Årliga mål 2 1.5 Organisation

Läs mer

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6 Bromölla kommun KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6 Antagen/Senast ändrad Gäller från Dnr Kf 2013-09-30 151 2013-10-01 2013/320 RIKTLINJER FÖR INFORMATIONSSÄKERHET Riktlinjer för informationssäkerhet

Läs mer

Organisation för samordning av informationssäkerhet IT (0:1:0)

Organisation för samordning av informationssäkerhet IT (0:1:0) Organisation för samordning av informationssäkerhet IT (0:1:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd: Direktionen 20130926 Dnr: 0036/13 Kommunalförbundet ITSAM,

Läs mer

Båstads kommun Granskning av IT-säkerhet. Revisionsrapport juni 2015 Genomförd på uppdrag av revisorerna

Båstads kommun Granskning av IT-säkerhet. Revisionsrapport juni 2015 Genomförd på uppdrag av revisorerna Båstads kommun Granskning av IT-säkerhet Revisionsrapport juni 2015 Genomförd på uppdrag av revisorerna Innehåll 1. Sammanfattning... 3 2. Inledning... 5 2.1. Bakgrund... 5 2.2. Syfte och avgränsning...

Läs mer

SÄKERHETSINSTRUKTIONER FÖR ANVÄNDARE AV IT SYSTEM

SÄKERHETSINSTRUKTIONER FÖR ANVÄNDARE AV IT SYSTEM SÄKERHETSINSTRUKTIONER FÖR ANVÄNDARE AV IT SYSTEM Version 2002-11-20 INNEHÅLLSFÖRTECKNING BAKGRUND...3 INLOGGNING...3 HANTERING AV INFORMATION...4 INTERNET...5 E-POST...6 INCIDENTER...6 BÄRBAR PC...6 ARBETSPLATSEN...7

Läs mer

EXEMPEL. Informationssäkerhetsinstruktion: Kontinuitet och Drift (Infosäk KD)

EXEMPEL. Informationssäkerhetsinstruktion: Kontinuitet och Drift (Infosäk KD) EXEMPEL Informationssäkerhetsinstruktion: Kontinuitet och Drift (Infosäk KD) Innehållsförteckning 1 Instruktionens roll i informationssäkerhetsarbetet 4 2 Organisation och ansvar för säkerhetsarbetet 5

Läs mer

Informationssäkerhetsinstruktion Användare: Elever (3:0:1)

Informationssäkerhetsinstruktion Användare: Elever (3:0:1) Informationssäkerhetsinstruktion Användare: Elever (3:0:1) Kommunalförbundet ITSAM Revision: 20130307 Dnr: 2013/00036 Kommunalförbundet ITSAM, Storgatan 36A, 590 36 Kisa Tel: 0494 197 00, Fax: 0494 197

Läs mer

RIKTLINJER FÖR IT-SÄKERHET

RIKTLINJER FÖR IT-SÄKERHET FÖRFATTNINGSSAMLING (8.1.3) RIKTLINJER FÖR IT-SÄKERHET Dokumenttyp Riktlinjer Ämnesområde IT Ägare/ansvarig IT-strateg Antagen av KS 2012-02-08 47 Revisions datum Förvaltning KSF, stab Dnr KS/2010:1056

Läs mer

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhetspolicy IT (0:0:0) Informationssäkerhetspolicy IT (0:0:0) Antagen av kommunfullmäktige 2014-02-24, KF 29 Informationssäkerhetspolicy IT (0:0:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd:

Läs mer

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Riktlinjer för säkerhetsarbetet vid Uppsala universitet Dnr UFV 2010/424 Riktlinjer för säkerhetsarbetet vid Uppsala universitet Fastställda av Universitetsdirektören 2010-03-31 Innehållsförteckning 1 Inledning 3 2 Ansvar 3 3 Underlåtelse 3 4 Definitioner 3

Läs mer

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet 2008:490 kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet Fastställt av kommunfullmäktige 2008-10-02 302 komplettering gjord

Läs mer

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group www.transcendentgroup.com Målsättning Öka förståelsen för nyttan med IT-revision Vad innebär intern IT-revision? Jmf

Läs mer

IT-säkerhetspolicy. Fastställd av KF 2005-02-16

IT-säkerhetspolicy. Fastställd av KF 2005-02-16 IT-säkerhetspolicy Fastställd av KF 2005-02-16 IT-säkerhetspolicy Sidan 2 (9) Revisionsinformation Datum Åtgärd Ansvarig Version 2004-11-19 3.4 Ändrat första meningen PGR 2.0 förvaltningen -> verksamheten

Läs mer

Säkerhetspolicy för Göteborgs Stad

Säkerhetspolicy för Göteborgs Stad (Styrelsemöte i Förvaltnings AB Framtiden 2014-12-09) Säkerhet & lokaler Gemensamt för staden Säkerhetspolicy för Göteborgs Stad - Policy/riktlinjer/regler Handläggare: Peter Lönn Fastställare: Kommunfullmäktige

Läs mer

Informationssäkerhet, Linköpings kommun

Informationssäkerhet, Linköpings kommun 1 (6) E-Lin projektet 2013-10-28 Informationssäkerhet, Linköpings kommun Delrapport 2 Innehåll Dokumenthistorik... 3 1. Syfte... 3 2. Bakgrund... 3 2.1 Målgrupp... 3 3. Frågeställningar... 3 4. Undersökning...

Läs mer

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet RIKTLINJER Riktlinjer för styrning av IT-verksamhet RIKTLINJER 2 Riktlinjer för styrning av IT-verksamhet. 1 Inledning Håbo kommuns övergripande styrdokument inom IT är IT-policy för Håbo kommun. Riktlinjer

Läs mer

Säkerhetsinstruktioner för användare av Falköpings kommuns nätverk

Säkerhetsinstruktioner för användare av Falköpings kommuns nätverk Säkerhetsinstruktioner för användare av Falköpings kommuns nätverk SÄKERHETSINSTRUKTIONER FÖR ANVÄNDARE AV FALKÖPINGS KOMMUNS NÄTVERK 1 BAKGRUND... 1 2 INLOGGNING... 1 3 HANTERING AV INFORMATION... 3 4

Läs mer

Rapport avseende granskning av IT-säkerhet. Östersunds kommun

Rapport avseende granskning av IT-säkerhet. Östersunds kommun Rapport avseende granskning av IT-säkerhet Östersunds kommun November 2014 Innehåll Sammanfattning 1 1. Inledning 2 1.1. Uppdrag och bakgrund 2 1.2. Revisionsfråga 2 1.3. Revisionskriterier 2 1.4. Avgränsning

Läs mer

Informationssäkerhetspolicy för Nässjö kommun

Informationssäkerhetspolicy för Nässjö kommun Författningssamling Antagen av kommunfullmäktige: 2014-11-27 173 Informationssäkerhetspolicy för Nässjö kommun Innehåll 1 Inledning... 3 1.1 Begreppsförklaring... 3 2 Syfte... 4 3 Mål för Informationssäkerhetsarbetet...

Läs mer

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy inom Stockholms läns landsting LS 1112-1733 Informationssäkerhetspolicy inom Stockholms läns landsting 2013-02-01 Beslutad av landstingsfullmäktige 2013-03-19 2 (7) Innehållsförteckning 1 Inledning...3 2 Mål... 4 3 Omfattning... 4 4

Läs mer

Granskning av IT-säkerheten inom Lunds kommun

Granskning av IT-säkerheten inom Lunds kommun Revisionsrapport 2015 Genomförd på uppdrag av revisorerna Juni 2015 Granskning av IT-säkerheten inom Lunds kommun Innehållsförteckning 1 Sammanfattning... 4 1.1 Bakgrund...4 1.2 Övergripande slutsatser...4

Läs mer

IT säkerhetsinstruktion: Förvaltning Organisationen Svenljunga kommun

IT säkerhetsinstruktion: Förvaltning Organisationen Svenljunga kommun 1 Fastställd av KLG den 6 februari 2007 IT säkerhetsinstruktion: Förvaltning Organisationen Svenljunga kommun 1 INLEDNING...2 2 ORGANISATION OCH ANSVAR...2 2.1 ÖVERGRIPANDE ANSVAR...3 2.2 KOMMUNLEDNINGSGRUPPEN

Läs mer

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun Revisionsrapport Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång Björn Johrén, Säkerhetsspecialist Klippans kommun Innehållsförteckning 1. Inledning 1 1.1.

Läs mer

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Beslutsdatum 2007-06-11 (rev. 2014-11- 24 )

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Beslutsdatum 2007-06-11 (rev. 2014-11- 24 ) Fastighetsavdelningen STYRDOKUMENT Leif Bouvin 14-11-24 dnr V 2014/853 031-789 58 98 Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet Publiceringsdatum November 2014 Publicerad Beslutsfattare

Läs mer

Säkerhetsinstruktion för användare av UmUs it-resurser

Säkerhetsinstruktion för användare av UmUs it-resurser Sid 1 (7) Säkerhetsinstruktion för användare av UmUs it-resurser Innehållsförteckning 1 Bakgrund...2 2 Tillgång till it-resurserna...2 3 Hantering av information...4 4 Programvaror...4 5 Internet...4 6

Läs mer

Säkerhetsinstruktion. Procapita Vård och Omsorg

Säkerhetsinstruktion. Procapita Vård och Omsorg PM Handläggare Vårt diarienummer Datum Sidan 1(16) Säkerhetsinstruktion Procapita Vård och Omsorg Senast reviderad: 2010-12-29 Detta dokument är fastställt av systemägare för Procapita Vård och Omsorg

Läs mer

Bilaga 3c Informationssäkerhet

Bilaga 3c Informationssäkerhet SID 1 (9) Bilaga 3c Informationssäkerhet Förfrågningsunderlag Upphandling av ett helhetsåtagande avseende IT-stöd för pedagogiskt material inom Skolplattform Stockholm Box 22049, 104 22 Stockholm. Besöksadress

Läs mer

Informationssäkerhet Policy och riktlinjer för Stockholms läns sjukvårdsområde

Informationssäkerhet Policy och riktlinjer för Stockholms läns sjukvårdsområde 1 (12) Informationssäkerhet Policy och riktlinjer för Stockholms läns sjukvårdsområde Dokumentnamn Regnr Gäller fr.o.m Informationssäkerhet - riktlinjer för 2013-01-22 SLSO Handläggare Godkänd/signatur

Läs mer

Riktlinjer. Informationssäkerhet och systemförvaltning

Riktlinjer. Informationssäkerhet och systemförvaltning Riktlinjer Informationssäkerhet och systemförvaltning LULEÅ KOMMUN RIKTLINJER Dnr 1 (5) 2012-11-29 Riktlinjer för roller och ansvar inom informationssäkerhet och systemförvaltning En god systemförvaltning

Läs mer

Informations- säkerhet

Informations- säkerhet ISec Code of Conduct Internal information Informations- säkerhet Ditt ansvar! ISec Code of Conduct Informationssäkerhet Scanias verksamhet är beroende av att information är tillgänglig och hanteras på

Läs mer

Elektronisk informationssäkerhet. Riktlinjer för Användare - anställda och förtroendevalda. Eslövs kommun

Elektronisk informationssäkerhet. Riktlinjer för Användare - anställda och förtroendevalda. Eslövs kommun Elektronisk informationssäkerhet Riktlinjer för Användare - anställda och förtroendevalda Eslövs kommun Dokumentet Riktlinjer för användare anställda och förtroendevalda är antaget av kommunstyrelsens

Läs mer

Nr Iakttagelse Risk Risknivå Försäkringskassans svar till Riksrevisionen 2014-05-16 dnr 017721-2014

Nr Iakttagelse Risk Risknivå Försäkringskassans svar till Riksrevisionen 2014-05-16 dnr 017721-2014 Riksrevisionen årlig revision 1 (14) 5.2 Systemgenererade listor över applikationsförändringar kan för närvarande inte produceras. Avsaknad av fullständiga listor över applikationsförändringar som har

Läs mer

Lösenordsregelverk för Karolinska Institutet

Lösenordsregelverk för Karolinska Institutet Lösenordsregelverk för Karolinska Institutet Dnr 1-213/2015 Version 2.0 Gäller från och med 2015-05-18 Sida 2 av 7 Lösenordsregelverk för Karolinska Institutet - Sammanfattning Syfte Det övergripande syftet

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688 Revisionsrapport Malmö Högskola 205 06 Malmö Datum Dnr 2012-05-22 32-2011-0688 Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011 Riksrevisionen har som ett led

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy Dnr: KS 2012/170 Fastställd av KF 2012-10-25 152 1 (20) Informationssäkerhetspolicy Informationssäkerhet är den del i kommunens lednings- och kvalitetsprocess som avser hantering av verksamhetens information.

Läs mer

IT-säkerhetspolicy Instruktion 2012-09-17 Kommunfullmäktige. Senast reviderad 2012-08-27. Beskriver IT-säkerhetarbetet.

IT-säkerhetspolicy Instruktion 2012-09-17 Kommunfullmäktige. Senast reviderad 2012-08-27. Beskriver IT-säkerhetarbetet. 2012-08-27 Sidan 1 av 6 IT-säkerhetspolicy Dokumentnamn Dokumenttyp Fastställd/upprättad Diarie nummer Fastställd av IT-säkerhetspolicy Instruktion 2012-09-17 Kommunfullmäktige Dokumentansvarig/ processägare

Läs mer

GRANSKNINGSRAPPORT. Uppföljning IT-granskningar. Projektledare: Lotta Onsö. Beslutad av revisorskollegiet 2013-06-12. Malmö stad Revisionskontoret

GRANSKNINGSRAPPORT. Uppföljning IT-granskningar. Projektledare: Lotta Onsö. Beslutad av revisorskollegiet 2013-06-12. Malmö stad Revisionskontoret GRANSKNINGS Uppföljning IT-granskningar Projektledare: Lotta Onsö Beslutad av revisorskollegiet 2013-06-12 RAPP Uppföljning IT-granskningar Postadress: Stadshuset, 205 80 Malmö Besöksadress: August Palms

Läs mer

Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm

Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm Vervas allmänna råd till föreskrift om statliga myndigheters arbete med säkert

Läs mer

IT-SÄKERHETSPOLICY. Stadskontoret. 1 Inledning... 1. 1.1 Definition... 2. 1.2 Omfattning... 2. 2 Mål för IT-säkerhetsarbetet... 2

IT-SÄKERHETSPOLICY. Stadskontoret. 1 Inledning... 1. 1.1 Definition... 2. 1.2 Omfattning... 2. 2 Mål för IT-säkerhetsarbetet... 2 IT-SÄKERHETSPOLICY 1 Inledning... 1 1.1 Definition... 2 1.2 Omfattning... 2 2 Mål för IT-säkerhetsarbetet... 2 3 Ledning och ansvar för IT-säkerheten... 3 4 Lagar och andra regelverk... 4 5 IT-säkerhetsarbetet...

Läs mer

IT-Policy Vuxenutbildningen

IT-Policy Vuxenutbildningen IT-Policy Vuxenutbildningen För att du som användare skall kunna leva upp till de säkerhetskrav som ställs på dig måste du känna till kommunkoncernens förhållningssätt och regelverk angående hur du får

Läs mer

KUNGÖRELSE. 6. Besvarande av medborgarförslag om en bana för cross/motorfordon. 7. Besvarande av motion om att kommunen startar fritidsklubbar

KUNGÖRELSE. 6. Besvarande av medborgarförslag om en bana för cross/motorfordon. 7. Besvarande av motion om att kommunen startar fritidsklubbar KALLELSE till ledamöter 1(1) Underrättelse till ersättare KUNGÖRELSE Öckerö kommunfullmäktige kallas till sammanträde torsdagen den 13 februari 2014 kl 18.15 i Öckerösalen, Kommunhuset, för behandling

Läs mer

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet Innehållsförteckning 1. Generell informationssäkerhet... 4 1.1. Styrande dokumentation... 4 1.2. Organisation... 4 Incidenthantering...

Läs mer

IT-säkerhetspolicy. Antagen av kommunfullmäktige 2004-06-21

IT-säkerhetspolicy. Antagen av kommunfullmäktige 2004-06-21 IT-säkerhetspolicy Antagen av kommunfullmäktige 2004-06-21 1 Det moderna samhället är starkt beroende av att elförsörjning, telekommunikationer och IT-system fungerar. Om dessa påverkas kan svåra störningar

Läs mer

KALLELSE/Underrättelse 1(2) 2014-01-22. Tid Tisdagen den 28 januari 2014, kl 15.00. Lejonet, kommunhuset Öckerö

KALLELSE/Underrättelse 1(2) 2014-01-22. Tid Tisdagen den 28 januari 2014, kl 15.00. Lejonet, kommunhuset Öckerö KALLELSE/Underrättelse 1(2) 2014-01-22 Beslutsorgan KOMMUNSTYRELSEN Tid Tisdagen den 28 januari 2014, kl 15.00 Plats Ärenden 15.00-16.00 Karin Z Stig Odlöw Cecilia L, Christer Z Lejonet, kommunhuset Öckerö

Läs mer

FÖRHINDRA DATORINTRÅNG!

FÖRHINDRA DATORINTRÅNG! FÖRHINDRA DATORINTRÅNG! Vad innebär dessa frågeställningar: Hur görs datorintrång idag Demonstration av datorintrång Erfarenheter från sårbarhetsanalyser och intrångstester Tolkning av rapporter från analyser

Läs mer

Säkerhetsinstruktioner för Informationssäkerhet i Piteå kommun

Säkerhetsinstruktioner för Informationssäkerhet i Piteå kommun Säkerhetsinstruktioner för Informationssäkerhet i Piteå kommun Dokumentnamn Dokumenttyp Fastställd/upprättad Beslutsinstans Säkerhetsinstruktioner för Informationssäkerhet i Piteå Instruktion 2011-10-06

Läs mer

Översiktlig granskning av IT-säkerheten

Översiktlig granskning av IT-säkerheten Revisionsrapport Översiktlig granskning av IT-säkerheten Östhammars kommun April 2009 Göran Persson Lingman 1 Innehållsförteckning 1. Inledning... 3 1.1 Bakgrund... 3 1.2 Syfte... 3 1.3 Metod... 4 1.4

Läs mer

Riktlinje för säkerhetskrav vid upphandling av IT-stöd

Riktlinje för säkerhetskrav vid upphandling av IT-stöd 1 (5) Ver. 1.1-2008-11-06 Riktlinje för säkerhetskrav vid upphandling av IT-stöd 1. Inledning Detta dokument redogör för vissa grundläggande säkerhetskrav som bör ställas i samband med anskaffning eller

Läs mer

För att du som användare skall kunna leva upp till de säkerhetskrav som ställs på dig måste du känna till. Lärare och Elever har olika krav: Lärare

För att du som användare skall kunna leva upp till de säkerhetskrav som ställs på dig måste du känna till. Lärare och Elever har olika krav: Lärare För att du som användare skall kunna leva upp till de säkerhetskrav som ställs på dig måste du känna till. Lärare och Elever har olika krav: Lärare Lösenord lösenordet ska vara minst 8 tecken långt. lösenordet

Läs mer

Strategi Program Plan Policy» Riktlinjer Regler

Strategi Program Plan Policy» Riktlinjer Regler Strategi Program Plan Policy» Riktlinjer Regler Borås Stads Riktlinjer för IT Riktlinjer för IT 1 Fastställt av: Kommunstyrelsen Datum: 20 juni 2011 För revidering ansvarar: Kommunstyrelsen För ev uppföljning

Läs mer

Svar på revisionsrapport Behörighetsgranskning Cosmic och Aplus, samt Granskning avseende IT- och informationssäkerhet

Svar på revisionsrapport Behörighetsgranskning Cosmic och Aplus, samt Granskning avseende IT- och informationssäkerhet Missiv beslutsunderlag Diarienr: 14LTK1283 Handläggare: n Cserpes, Kansliavdelningen Datum: 2015-03-02 Regionstyrelsen Svar på revisionsrapport Behörighetsgranskning Cosmic och Aplus, samt Granskning avseende

Läs mer

Informationssäkerhet Riktlinjer för användare

Informationssäkerhet Riktlinjer för användare Informationssäkerhet Riktlinjer för användare Fastställd av kommundirektören 2011-06-20 Innehåll 1 Informationssäkerhet 3 2 Organisation och ansvar 4 2.1 Informationssäkerhetssamordnare 4 2.2 IT-chef 4

Läs mer

Föreskrifter för IT-området vid Kungl. Musikhögskolan

Föreskrifter för IT-området vid Kungl. Musikhögskolan Föreskrifter för IT-området Fastställda av högskolestyrelsen. Kungl. Musikhögskolan i Stockholm Royal College of Music Valhallavägen 105 Box 27711 SE-115 91 Stockholm Sweden +46 8 16 18 00 Tel +46 8 664

Läs mer

2013-09-25. Uddevalla kommun. Granskning av IT-säkerheten. cutting through complexity TM

2013-09-25. Uddevalla kommun. Granskning av IT-säkerheten. cutting through complexity TM Uddevalla kommun Granskning av IT-säkerheten 2013-09-25 cutting through complexity TM Innehållsförteckning Kontaktperson vid KPMG: Henrik Leffler Manager, KPMG Göteborg Sammanfattning Tel: 031 614826 Mobil:

Läs mer

AppGate och Krisberedskapsmyndighetens basnivå för informationssäkerhet, BITS

AppGate och Krisberedskapsmyndighetens basnivå för informationssäkerhet, BITS AppGate ch Krisberedskapsmyndighetens basnivå för infrmatinssäkerhet, BITS En intrduktin i säkerhet. AppGate AppGate är ett svenskt säkerhetsföretag med sina rötter inm försvarsindustrin. AppGates teknik

Läs mer

Riktlinjer och regler för informationssäkerhet vid Karolinska Institutet (utan bilagor)

Riktlinjer och regler för informationssäkerhet vid Karolinska Institutet (utan bilagor) Riktlinjer och regler för informationssäkerhet vid Karolinska Institutet (utan bilagor) Dnr 1-516/2013 (ersätter Dnr 6255-2012-060) Version 2.0 Gäller från och med Revisionshistorik Versionsnummer Datum

Läs mer

I Central förvaltning Administrativ enhet

I Central förvaltning Administrativ enhet ., Landstinget II DALARNA I Central förvaltning Administrativ enhet ~llaga LS 117,4 BESLUTSUNDERLAG Landstingsstyrelsen Datum 2013-11-04 Sida 1 (3) Dnr LD13/02242 Uppdnr 652 2013-10-21 Landstingsstyrelsens

Läs mer

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad: 2013-10-23

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad: 2013-10-23 Informationssäkerhet vid Karolinska Universitetssjukhuset Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad: 2013-10-23 Förlorar vi informationen, om den är felaktig eller manipulerad

Läs mer

IT program för Mjölby kommun

IT program för Mjölby kommun IT program för Mjölby kommun Antaget av Kommunfullmäktige, 126, 2005-12-13 Dokumentansvarig: Administrativ chef Innehållsförteckning 1 Inledning... 3 1.1 Vad vi menar med IT... 3 1.2 Nyttan... 3 1.3 IT

Läs mer

Juridik och informationssäkerhet

Juridik och informationssäkerhet 2 KAPITEL Juridik och informationssäkerhet Sammanfattning Information som hanteras i socialtjänstens hemtjänstverksamhet (hemtjänst) och i kommunal hälso- och sjukvård (hemsjukvård) innehåller känsliga

Läs mer

Välkommen till enkäten!

Välkommen till enkäten! Sida 1 av 12 Välkommen till enkäten! Enkäten går ut till samtliga statliga myndigheter, oavsett storlek. För att få ett så kvalitativt resultat av uppföljningen som möjligt är varje myndighets svar av

Läs mer

Riktlinjer. Telefoni. Antagen av kommundirektören 2013-12-01

Riktlinjer. Telefoni. Antagen av kommundirektören 2013-12-01 Riktlinjer Telefoni Antagen av kommundirektören 2013-12-01 Innehållsförteckning Telefoni... 0 Bakgrund... 1 Inledning... 1 Ansvar... 2 Chefens ansvar... 2 Anställds ansvar... 2 Hänvisning... 2 Hänvisning

Läs mer

Regler för användning av Oskarshamns kommuns IT-system

Regler för användning av Oskarshamns kommuns IT-system Regler för användning av Oskarshamns kommuns IT-system Gäller från 2006-01-01 1. Bakgrund Information är en viktig tillgång för vår organisation. All information som har skapats här på kommunen har tagit

Läs mer

Ansvar och roller för ägande av information samt ägande och förvaltande av informationssystem i Umeå kommun

Ansvar och roller för ägande av information samt ägande och förvaltande av informationssystem i Umeå kommun roller för ägande av information samt ägande och förvaltande av informationssystem i Umeå kommun Dokumenttyp Regler Dokumentägare Kommungemensam IT-samordning Dokumentnamn roller för ägande av information

Läs mer

IT-Säkerhetsinstruktioner: Förvaltning

IT-Säkerhetsinstruktioner: Förvaltning Dokumenttitel IT-Säkerhetsinstruktioner: Förvaltning Sida 1(16) Typ av styrdokument Riktlinjer Ansvarig utgivare Hällefors kommun Kommunfullmäktige Ansvarig författare Lars Örtlund Giltighetsdatum 2013-02-14

Läs mer