Rikspolisstyrelsens författningssamling

Save this PDF as:
 WORD  PNG  TXT  JPG

Storlek: px
Starta visningen från sidan:

Download "Rikspolisstyrelsens författningssamling"

Transkript

1 Rikspolisstyrelsens författningssamling ISSN X Utgivare: chefsjuristen Lotta Gustavson Rikspolisstyrelsens föreskrifter om säkerhet vid Polisens informationsbehandling med stöd av IT; beslutade den 24 november RPSFS 2009:4 FAP Utkom från trycket den 1 februari 2010 Rikspolisstyrelsen föreskriver följande med stöd av 13 första stycket 5 och 6 samt 13 e förordningen (1989:773) med instruktion för Rikspolisstyrelsen. 1 kap. Inledande bestämmelser 1 Dessa föreskrifter innehåller bestämmelser om den lägsta säkerhetsnivå som gäller för Polisens IT-system och vid Polisens informationsbehandling med stöd av IT. Bestämmelserna i 7 9 kap. ska inte tillämpas i fråga om bevisföremål. 2 För informationsbehandling med stöd av IT ska riskanalys genomföras för att identifiera behov av säkerhetsåtgärder. 3 Bestämmelser om behandling av sådana hemliga uppgifter som avses i 4 säkerhetsskyddsförordningen (1996:633) samt säkerhetsskydd i övrigt finns i säkerhetsskyddslagen (1996:627) och säkerhetsskyddsförordningen samt Rikspolisstyrelsens föreskrifter och allmänna råd om säkerhetsskydd (FAP 244-1). 4 Vid behandling av information från Europol gäller också de bestämmelser som finns i Rådets akt av den 3 november 1998 (1999/C26/02) med ändring i Rådets akt av den 5 juni 2003 (2003/C 152/01). 5 I enlighet med 3 kap. 16 polisförordningen (1998:1558) ska beslut enligt dessa föreskrifter dokumenteras. 2 kap. Definitioner 1 I dessa föreskrifter avses med: användare: person som använder informationstillgångar. En användare kan vara studerande vid polisutbildning, anställd, praktikant eller uppdragstagare hos Polisen eller hos någon annan som medges åtkomst enligt författning eller Rikspolisstyrelsens beslut, applikation: ett program eller en samling av program avsedda för användare, auktorisationsbeslut: ett beslut om att ett IT-system får anskaffas eller utvecklas eller att väsentliga systemförändringar får göras, 1

2 behandling (av uppgifter): varje åtgärd eller serie av åtgärder som vidtas i fråga om uppgifter, t.ex. insamling, registrering, systematisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring, brandvägg: funktion som på ett definierat sätt begränsar och övervakar datatrafik till ett eller flera nätverk, drifttillstånd: formellt beslut om att ett visst informationssystem kan godkännas för drift från verksamhets- och säkerhetssynpunkt, informationsskyddsklassning: indelning av information i klasser på grundval av hur skyddsvärd informationen är med avseende på konfidentialitet, informationssäkerhet: säkerhet för informationstillgångar avseende förmåga att upprätthålla önskad tillgänglighet, riktighet, konfidentialitet och spårbarhet (även oavvislighet), informationstillgångar: information, program, tjänster eller fysiska tillgångar såsom IT-utrustning, IT-incident: en oönskad eller oplanerad händelse som drabbar och negativt påverkar informationsbehandling med stöd av IT, IT-system: alla i ett informationsbehandlingssystem ingående komponenter, t.ex. applikation, tjänster och databaser m.m. som baseras på informationsteknik såsom radio-, telefoni-, datorkommunikations- eller datorsystem och som samverkar för ett visst syfte, IT-tjänst (teknisk tjänst): en mekanism som är implementerad i mjukvara och som ger tillgång till en eller flera förmågor via ett fastställt gränssnitt och som kan brukas i enlighet med de begränsningar och policyer som specificeras av en tjänstespecifikation, IT-utrustning: materiel såsom datorer, telefoner, radioapparater, datamedia, lagringsmedia, kablage eller nätverksutrustning, konfidentialitet: den del av begreppet informationssäkerhet som innebär att innehållet i ett informationsobjekt (eller ibland även dess existens) inte får avslöjas för obehöriga personer, kontinuitetsplanering: dokument som beskriver en process för hur verksamheten ska bedrivas när identifierade, kritiska verksamhetsprocesser allvarligt påverkas under en längre, specificerad tidsperiod, myndighet: Rikspolisstyrelsen, polismyndigheterna och Statens kriminaltekniska laboratorium, Polisens gemensamma IT-infrastruktur: Polisens gemensamma nätverk för datakommunikation inklusive anslutningar till andra nät samt de godkända programvaror och IT-utrustningar, såväl anslutna till det gemensamma nätverket som fristående, som Rikspolisstyrelsen förvaltar och har driftansvar för, riktighet: den del av begreppet informationssäkerhet som innebär att information inte obehörigen, av misstag eller på grund av funktionsstörning, har förändrats, riskanalys: process som identifierar hot mot verksamheten och uppskattar deras betydelse och identifierar skyddsåtgärder, 2

3 skadlig kod: otillåten programkod såsom datavirus, trojaner och maskar som är till för att röja, störa, avlyssna eller skada ett kommunikationsnät eller funktioner eller informationstillgångar i ett IT-system, skyddsvärdesnivå: beteckning på Polisens nivå av informationsskydd utifrån informationens skyddsvärde, spårbarhet: den princip inom informationssäkerhet som innebär möjlighet att entydigt kunna härleda utförd behandling till en identifierad användare, stark autentisering: verifiering av identitet med hjälp av en kryptografisk algoritm och tillhörande hemlig nyckel, systemägare: av myndigheten utsedd person som bl.a. har ansvar för drift och förvaltning samt säkerheten i ett IT-system, säkerhetsmålsättning: beskrivning av de säkerhetskrav som ett IT-system eller en IT-tjänst ska uppfylla med utgångspunkt från genomförd rättsanalys, hot- och riskanalys, informationsklassificering och verksamhetsanalys, särskilt skyddsvärda uppgifter: uppgifter som omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400), personuppgifter som är känsliga enligt 13 personuppgiftslagen (1998:204) och personuppgifter om lagöverträdelser enligt 21 personuppgiftslagen, tillgänglighet: den del av begreppet informationssäkerhet som innebär möjlighet att utnyttja informationstillgångar efter behov i förväntad utsträckning och inom önskad tid, utkontraktering: överenskommelse som innebär att en extern part anlitas av en myndighet för att utföra en viss verksamhet eller tjänst, väsentlig förändring: en större förändring av funktion eller en ny användning av befintlig funktion, åtkomst: sätt för en användare att ta del av eller påverka informationstillgångar såsom information, program, tjänster eller utrustning. RPSFS 2009:4 3 kap. Organisation, roller och ansvar Användares ansvar 1 Varje användare av Polisens IT-system ansvarar för att säkerheten upprätthålls genom att följa regler och rutiner samt anmäla iakttagna incidenter, fel och brister. Myndighetschefens ansvar 2 Myndighetschefen har det övergripande ansvaret för säkerheten i samband med all informationsbehandling vid myndigheten. Myndighetschefen har även det övergripande ansvaret för information som myndigheten tillför ett IT-system. Ansvaret innefattar att bedöma känsligheten hos informationen och behovet av skyddsåtgärder. 3

4 Rikspolisstyrelsens ansvar 3 Rikspolisstyrelsen ansvarar för 1. Polisens policydokument om informationssäkerhet, 2. ledning av utvecklingen av metoder, hjälpmedel och utbildning som gäller informationssäkerhet samt 3. samordning och uppföljning av Polisens informationssäkerhetsarbete. Informationssäkerhetsfunktion 4 Varje myndighet ska ha tillgång till en funktion med specialistkompetens som har till uppgift att samordna myndighetens informationssäkerhetsarbete. Systemägarens ansvar 5 För varje IT-system ska det finnas en systemägare som ansvarar för säkerhet och samordning samt IT-systemets överensstämmelse med säkerhetsrelaterade krav. Systemägaren ska vidare ansvara för att IT-systemet har den förvaltningsorganisation som behövs för att säkerheten ska tillgodoses. Beslut om systemägare 6 Rikspolisstyrelsen beslutar om systemägare för IT-system som används vid flera myndigheter. Underlag för myndigheternas användningsbeslut 7 Systemägaren för ett IT-system som används vid flera myndigheter ska, om det inte är uppenbart obehövligt, förse myndigheterna med underlag för myndigheternas beslut om användning av IT-systemet. 4 kap. Utkontraktering m.m. Utkontraktering av verksamhet 1 När Polisen utkontrakterar en verksamhet som innebär kontakt med information eller IT-system inom Polisen, ska säkerhetskraven regleras i ett avtal mellan parterna. Säkerhetskrav som motsvarar vad som gäller för verksamheten inom Polisen ska då gälla. Externa tjänster för informationsbehandling 2 Rikspolisstyrelsen beslutar om användning av samt utser ansvarig för en extern IT-tjänst för informationsbehandling som används av flera myndigheter. Denna funktion ansvarar bl.a. för säkerhet och samordning samt ITtjänstens överensstämmelse med verksamhetens krav. 4

5 För en extern IT-tjänst som används av endast en myndighet ska berörd myndighet utse en ansvarig med ansvar enligt första stycket andra meningen. RPSFS 2009:4 Driftåtaganden 3 Innan Polisen åtar sig drift av ett IT-system för någon annans räkning, ska förhållandet regleras i ett avtal mellan parterna. I avtalet ska kraven på säkerhet regleras. Innan ett sådant avtal ingås ska Rikspolisstyrelsen ge sitt godkännande. 5 kap. Informationsskyddsklassning Klassning med skyddsvärdesnivå 1 Vid behandling i IT-system ska informationen klassas med avseende på sitt skyddsvärde. Vid klassificeringen ska hänsyn tas, inte bara till Polisens behov av skydd för informationen, utan även till motsvarande intresse hos andra organisationer eller enskilda personer. 2 Information ska klassas med avseende på sitt skyddsvärde ur konfidentialitetsaspekt. Klassning sker enligt följande. Öppen: Information som innebär ingen eller obetydlig skada eller kränkning för Polisen, annan myndighet eller enskild fysisk eller juridisk person, om den kommer till obehörigas kännedom. Begränsat skyddsvärde: Information som kan innebära begränsad skada eller kränkning för Polisen, annan myndighet eller enskild fysisk eller juridisk person, om den kommer till obehörigas kännedom. Högt skyddsvärde: Information som kan innebära allvarlig skada eller kränkning för Polisen, annan myndighet eller enskild fysisk eller juridisk person, om den kommer till obehörigas kännedom. Mycket högt skyddsvärde: Information som kan innebära mycket allvarlig skada eller kränkning för Polisen, annan myndighet, rikets säkerhet eller enskild fysisk eller juridisk person, om den kommer till obehörigas kännedom. Informationsskyddsklassning vid behandling i IT-system 3 Systemägaren för ett IT-system ansvarar för att informationsskyddsklassning genomförs och dokumenteras för de typer av uppgifter som ITsystemet är avsett att behandla. Systemägaren ansvarar även för att systemet, där så är lämpligt, innehåller funktioner för att information ska kunna märkas med skyddsvärdesnivå. 5

6 6 kap. Personal och säkerhet Före anställning och uppdrag 1 Innan någon anställs eller ges ett uppdrag inom Polisen som kan ge kännedom om särskilt skyddsvärda uppgifter, ska personens bakgrund kontrolleras och lämplighet prövas. Beslut om lämplighet ska dokumenteras. När det gäller sådan verksamhet som har betydelse för rikets säkerhet eller som är viktig för skyddet mot terrorism finns bestämmelser i säkerhetsskyddslagen (1996:627). Utbildning och information 2 Varje myndighet ska utbilda och återkommande informera anställda och uppdragstagare om informationssäkerhet, om tillämpliga författningar och myndighetens bestämmelser om informationssäkerhet. Informationen ska lämnas innan en anställd eller uppdragstagare påbörjar arbete som kan innebära kontakt med information eller IT-system inom Polisen. Av sådan information ska framgå att loggning förekommer och vad logginformation används till. Anmälan om incidenter, fel och brister 3 Den som upptäcker incidenter, fel eller brister, som kan ha betydelse för konfidentialitet, tillgänglighet, riktighet eller spårbarhet avseende Polisens IT-system, ska anmäla detta till Rikspolisstyrelsen. Anmälan av övriga incidenter, fel eller brister ska ske i enlighet med myndighetens fastställda rutiner. Hantering av och information om incidenter, fel och brister 4 Rikspolisstyrelsen ansvarar för hanteringen av anmälda incidenter, fel och brister som rör Polisens IT-system. Rikspolisstyrelsen ansvarar för att skyndsamt informera berörd myndighet och systemägare när sådana incidenter, fel eller brister anmäls som är väsentliga för myndighetens verksamhet eller som kan påverka verksamheten hos flera myndigheter. Varje myndighet ska ha rutiner för att vid behov sprida informationen vidare till berörda användare inom myndigheten. 6 Åtgärder som kan hindra tillgång till IT-system 5 En användare får inte utnyttja Polisens IT-system eller IT-utrustning på ett sådant sätt att systemet eller utrustningen skadas eller så att andra användares tillgång hindras eller äventyras. Rikspolisstyrelsen får dock efter samråd med berörda verksamhetsgrenar utföra åtgärder som kan medföra att användares tillgång till IT-system tillfälligt hindras.

7 Uppföljning av allvarliga incidenter, fel och brister 6 Rikspolisstyrelsen beslutar om uppföljning av allvarliga incidenter, fel eller brister. RPSFS 2009:4 7 kap. Tillträdeskontroll och fysiskt skydd IT-utrustning i Polisens lokaler 1 IT-utrustning och IT-system som kan ge åtkomst till särskilt skyddsvärda uppgifter ska placeras och skyddas i utrymme med skalskydd och tillträdeskontroll som är godkänt av Rikspolisstyrelsen. Särskilda utrymmen med IT-utrustning såsom serverhallar och växelrum ska även ha skydd mot brand, elavbrott, åverkan, vatten och annan yttre påverkan. För att förhindra olovlig insyn, avlyssning och övrig informationsförlust, ska IT-utrustning som kan ge åtkomst till särskilt skyddsvärda uppgifter hållas under ständig tillsyn när den används. IT-utrustning utanför Polisens lokaler 2 IT-utrustning som kan ge åtkomst till särskilt skyddsvärda uppgifter och som medförs eller används utanför Polisens skalskyddade lokaler ska hållas under ständig uppsikt eller vara inlåst i säkerhetsskåp. IT-utrustningen ska även vara försedd med tekniskt säkerhetsskydd som har godkänts av Rikspolisstyrelsen. Transport av datamedia utanför Polisens lokaler 3 Vid transport eller försändelse av ett datamedium eller annan ITutrustning som innehåller särskilt skyddsvärda uppgifter ska transporten övervakas av myndigheten eller uppgifterna skyddas med godkänd kryptering. Serviceföretag och servicepersonal 4 Service på IT-utrustningar som ägs av Rikspolisstyrelsen eller av någon utanför Polisen och som är kopplad till Polisens gemensamma ITinfrastruktur får utföras endast av företag som har godkänts av Rikspolisstyrelsen. 5 Servicearbete får inte påbörjas innan servicepersonalens identitet har kontrollerats. 6 När servicearbete utförs av en person utan behörighet till IT-systemet eller utan rätt till tillträde till lokalen, ska arbetet övervakas av en anställd eller en uppdragstagare som har sådan kompetens som behövs för att övervaka de åtgärder som utförs. 7

8 Datamedia vid service 7 En reparation av ett datamedium som innehåller särskilt skyddsvärda uppgifter ska övervakas av myndigheten. Om en övervakad reparation inte kan göras, ska datamediet förstöras så att åtkomst och återskapande av uppgifterna omöjliggörs. 8 Bestämmelserna i 4 7 gäller endast om IT-utrustningen kan ge tillgång till särskilt skyddsvärda uppgifter eller servicearbetet utförs i en lokal där särskilt skyddsvärda uppgifter är tillgängliga. Datamedia vid avveckling eller återanvändning av IT-utrustning 9 Vid avveckling av IT-utrustning ska datamedia som innehåller särskilt skyddsvärda uppgifter förstöras så att åtkomst och återskapande av uppgifterna omöjliggörs. Sådan avveckling får ske även genom att informationen på ett datamedium skrivs över med ett raderingsverktyg som godkänts av Rikspolisstyrelsen. IT-utrustning som innehåller särskilt skyddsvärda uppgifter och som ska återanvändas för ändamål där säkerhetskraven är lägre ska hanteras på samma sätt som vid avveckling. 8 kap. IT-infrastruktur och drift IT-utrustning som får anslutas till Polisens gemensamma ITinfrastruktur 1 Endast IT-utrustning som godkänts av Rikspolisstyrelsen får anslutas till Polisens gemensamma IT-infrastruktur. Övervakning av Polisens gemensamma IT-infrastruktur 2 Rikspolisstyrelsen ansvarar för att Polisens gemensamma ITinfrastruktur övervakas och skyddas mot oönskad datakommunikation, såsom intrång eller överbelastning. Information om andra nätverk 3 Om en myndighet använder ett annat nätverk för datakommunikation än Polisens gemensamma IT-infrastruktur, ska användningen föregås av godkännande från Rikspolisstyrelsen. Rikspolisstyrelsens brandväggar för datakommunikation 4 IT-utrustning som är ansluten till Polisens gemensamma ITinfrastruktur får sammankopplas med IT-system utanför denna ITinfrastruktur endast om Rikspolisstyrelsens brandvägg för datakommunikation har används. 8

9 Rikspolisstyrelsens brandväggar får inte användas utan att Rikspolisstyrelsen gett tillstånd till det. RPSFS 2009:4 Klocksynkronisering 5 All IT-utrustning där korrekt tid är av vikt och som är ansluten till Polisens gemensamma IT-infrastruktur ska upprätthålla tid enligt Rikspolisstyrelsens tidgivningstjänst. Polisens gemensamma IT-infrastruktur 6 Rikspolisstyrelsen ansvarar för Polisens gemensamma IT-infrastruktur. Dokumentation inklusive konfigurationer och installationer för klienter och servrar ska hållas uppdaterad hos Rikspolisstyrelsen. IT-systems tillgängliga nätverkstjänster 7 För varje IT-system som är anslutet till Polisens gemensamma ITinfrastruktur ska det finnas en förteckning över de nätverkstjänster som ITsystemet använder. Inga andra nätverkstjänster får vara tillgängliga. Systemägaren har ansvaret för förteckningen. Driftjournal 8 För IT-system som har flera användare ska det föras en driftjournal som omfattar de säkerhetsrelevanta händelser som inte framgår av systemets logg. Godkänd kryptering 9 Endast krypteringsutrustning och krypteringsfunktioner som har godkänts av Rikspolisstyrelsen får användas inom Polisen. Datakommunikation utanför myndighetens kontroll 10 När särskilt skyddsvärda uppgifter överförs med datakommunikation utanför myndighetens kontroll ska kryptering användas. Radio- och telekommunikation utanför myndighetens kontroll 11 När särskilt skyddsvärda uppgifter överförs muntligt med radiokommunikation ska, om möjligt, radioutrustning med talkryptering användas. När särskilt skyddsvärda uppgifter överförs muntligt eller med telefax i ett allmänt telenät ska, om möjligt, kryptotelefon eller kryptofax användas. 9

10 Skadlig kod 12 Varje IT-utrustning ska, där det är tekniskt möjligt, använda av Rikspolisstyrelsen godkända funktioner för upptäckt av skadlig kod. Rikspolisstyrelsen ansvarar för uppdatering av dessa funktioner för ITutrustning som är ansluten till Polisens gemensamma IT-infrastruktur. För andra IT-utrustningar ansvarar myndigheten för att uppdatering av dessa funktioner görs i samråd med Rikspolisstyrelsen. Säkerhetskopiering 13 Säkerhetskopiering av väsentlig information och programvaror ska göras regelbundet och säkerhetskopiornas kvalitet ska verifieras. Säkerhetskopior ska förvaras geografiskt avskilda för att inte påverkas av incidenter, fel eller brister som kan inträffa i Polisens ordinarie IT-miljö. För IT-utrustning innehållande säkerhetskopior gäller bestämmelserna i 7 kap. 9 kap. Behörighetskontroll och loggning Förutsättningar för behörighet till IT-system 1 Behörighet till IT-system får endast den ha som 1. bedöms vara lämplig ur säkerhetssynpunkt, 2. har erforderliga kunskaper för att använda IT-systemet och 3. har behov av uppgifterna i systemet för att kunna fullgöra sina arbetsuppgifter. Förändring av behörighet m.m. 2 När något av kraven enligt 1 inte längre är uppfyllt, ska behörigheten omgående förändras eller tas bort så att användaren inte längre kan utnyttja IT-systemet. Tidigare användning av systemet ska dock fortfarande kunna spåras i IT-systemets logg. Tilldelning av behörighet 3 Myndigheten ska besluta om vilken behörighet en användare ska ha, om inte annat följer av andra föreskrifter. Registrering av en ny eller förändrad behörighet får inte ske utan ett sådant beslut. Av ett beslut om tilldelning eller förändring av behörighet till ett ITsystem ska berörda användares identitet framgå. En användares behörighet ska kunna registreras med bestämd giltighetstid. 10

11 Användares ansvar för tilldelade behörighetskort och lösenord 4 Varje användare ansvarar för att hans eller hennes behörighetskort och lösenord hanteras så att dessa inte kan användas av någon annan person. Förlorat behörighetskort 5 Om ett behörighetskort förlorats eller kortet har utnyttjats av någon annan, ska anmälan skyndsamt göras enligt myndighetens fastställda rutiner. Rikspolisstyrelsen ska informeras omgående för att spärra kortet. Byte av kända lösenord 6 Ett lösenord som kan ha kommit till en annan persons kännedom ska omedelbart bytas ut. Presentation av behörighetsinformation 7 Systemägaren ansvarar för att det finns ett behörighetskontrollsystem till IT-systemet. Varje IT-system ska kunna presentera information om vilka användargrupper som definierats, vilka användaridentiteter som förekommer i varje användargrupp samt vilka behörigheter en användargrupp har. I fråga om IT-system som är avsedda för behandling av särskilt skyddsvärda uppgifter ska alltid en användares identitet kunna härledas, även om åtkomst skett med en grupp- eller rollbaserad identitet. Stark autentisering 8 För ett IT-system, som är avsett för behandling av särskilt skyddsvärda uppgifter och som har fler än fem användare, ska stark autentisering av användare ske. Sådana tekniska åtgärder som driftpersonal endast kan utföra direkt på en viss IT-utrustning, t.ex. start av utrustningen, får göras utan stark autentisering, om åtgärden noteras i driftjournal. Funktioner i behörighetskontrollsystem 9 Vid lagring och överföring av lösenord ska godkänd kryptering användas. IT-system som är tillgängliga för allmänheten 10 En myndighet kan använda IT-system för att informera allmänheten eller tillgodose allmänhetens rätt att ta del av allmän handling enligt 2 kap. tryckfrihetsförordningen. Vid sådan användning ska åtkomst till handlingar eller uppgifter som skyddas av sekretess inte vara möjlig. 11

12 Loggning i IT-system 11 Loggning ska ske av varje åtkomst till och aktiviteter i IT-system som är avsedda för behandling av särskilt skyddsvärda uppgifter. Användaraktiviteter som kan tolkas som försök till intrång eller brott mot behörighetsregler ska registreras i logg samt kunna generera larm. I övriga IT-system ska loggning ske i den utsträckning som myndighetens verksamhet kräver det. Övervakning av loggning 12 För de IT-system där loggning används ska loggningens funktion övervakas. Bevarande av logg 13 Logg ska bevaras i minst fem år. Loggen ska tas om hand så att den fysiska och logiska kvaliteten bibehålls. Logganalysverktyg 14 Systemägaren ansvarar för att det finns verktyg för analys av logg och selektering av delmängder av information från loggar. Användning av loggutdrag 15 Myndigheten ska se till att loggar följs upp och vid behov analyseras. 16 Myndighetschefen eller den denne bestämmer eller chefen för en internutredningsenhet får beställa utdrag ur loggar. Utdrag ur en logg som inte finns tillgänglig vid myndigheten ska beställas hos Rikspolisstyrelsen. Rikspolisstyrelsen ansvarar för att beslut om beviljande av utdrag ur logg som beställs hos Rikspolisstyrelsen dokumenteras. 10 kap. Systemutveckling, anskaffning och väsentlig förändring av IT-system Auktorisationsbeslut 1 Utveckling, anskaffning eller väsentlig förändring av IT-system får inte påbörjas utan att systemägaren för IT-systemet har gett sitt tillstånd (auktorisation). I underlaget för auktorisationsbeslutet ska det ingå en säkerhetsmålsättning som anger säkerhetskraven på IT-systemet och ett förslag till loggbeslut som anger omfattningen av loggningen samt yttrande från Rikspolisstyrelsen. 12

13 Uppfyllande av säkerhetskrav 2 Den som är ansvarig för utveckling, anskaffning eller en väsentlig förändring av ett IT-system ansvarar för att systemet uppfyller de säkerhetskrav som ställs på systemet och dess informationsbehandling när det levereras eller överlämnas. Under utvecklingen av ett IT-system ska systemägaren regelbundet kontrollera att ställda säkerhetskrav uppfylls. Separat utvecklingsmiljö 3 Utveckling och test av programvara eller IT-system ska ske i en ITutvecklingsmiljö som är skild från Polisens ordinarie IT-produktionsmiljö. Drifttillstånd 4 Ett IT-system får tas i drift efter beslut av systemägare. Detta gäller även efter en väsentlig förändring av ett IT-system. Beslut om drifttillstånd förutsätter godkännanden ur säkerhetssynpunkt av Rikspolisstyrelsen. Följande dokument ska finnas för varje IT-system och utgöra beslutsunderlag för drifttillstånd. - Drift- och systemdokumentation. - Dokumentation av genomförda tester. - Användnings- och förvaltningsdokumentation. - Kontinuitetsplaner. - Beslut om omfattning och användning av loggning. - Beslutade undantag. - Dokumentation av systemsäkerhetsgranskning. Godkända programvaror 5 Rikspolisstyrelsen beslutar, efter samråd med berörda systemägare, vilka programvaror som får användas i system som är anslutna till Polisens gemensamma IT-infrastruktur. Förutsättningar för godkänd utrustning, programvara eller tjänst 6 Leverans av utrustning, programvara eller tjänst enligt dessa föreskrifter får utföras endast av en leverantör som omfattas av ett avtal eller ramavtal som har föregåtts av upphandling enligt lagen (2007:1091) om offentlig upphandling. 13

14 11 kap. Kontinuitetsplanering Verksamhetens kontinuitetsplanering 1 Varje myndighet ansvarar för framtagande av verksamhetsmässiga reservrutiner som ska följas vid avbrott eller störningar i IT-stöden. Kontinuitetsplanering för IT-system 2 Systemägaren ansvarar för att det för varje IT-system finns rutiner som beskriver vilka åtgärder som ska vidtas vid avbrott eller störningar i ITsystemets funktioner. Kontinuitetsplanering för Polisens gemensamma IT-infrastruktur 3 Rikspolisstyrelsen ansvarar för att det finns en kontinuitetsplan som säkrar tillgången till driftsatta IT-system inom Polisens gemensamma ITinfrastruktur. Gemensam prioritering av IT-system 4 Rikspolisstyrelsen ska efter samråd med systemägarna och myndigheterna besluta om prioriteringar mellan IT-system som är anslutna till Polisens gemensamma IT-infrastruktur. 12 kap. Uppföljning och kontroll Egenkontroll 1 Varje myndighet ska minst en gång varje år och med högst 18 månaders mellanrum genomföra kontroll av myndighetens informationssäkerhet. Kontrollen ska protokollföras. Inventering av behörigheter 2 Varje myndighet ska minst en gång per år och med högst 18 månaders mellanrum göra en inventering av de behörigheter som gäller för de ITsystem som myndigheten använder. En sammanställning av resultatet ska finnas tillgänglig vid myndigheten. Rikspolisstyrelsens kontroller 3 Rikspolisstyrelsen får utföra förebyggande och utredande kontroller som rör säkerheten avseende Polisens IT-system. Sådana kontroller ska protokollföras. 14

15 13 kap. Övriga bestämmelser Undantag 1 När särskilda skäl finns får Rikspolisstyrelsen medge undantag från dessa föreskrifter. Tillämpning inom Säkerhetspolisen 2 Chefen för Säkerhetspolisen jämställs i denna författning med myndighetschef. 3 Utdrag ur logg som inte finns tillgänglig vid Säkerhetspolisen beställs från Rikspolisstyrelsen. 4 När det gäller Säkerhetspolisens verksamhet får chefen för Säkerhetspolisen medge undantag från dessa föreskrifter. 1. Denna författning träder i kraft den 1 mars Följande upphör då att gälla a) Rikspolisstyrelsens föreskrifter och allmänna råd (RPSFS 2005:1, FAP 174-1) om säkerhet vid Polisens informationsbehandling med stöd av IT. b) Rikspolisstyrelsens föreskrifter och allmänna råd (RPSFS 2005:13, FAP 174-1) om säkerhet vid Polisens informationsbehandling med stöd av IT. 2. Tillstånd eller beslut enligt tidigare bestämmelser ska fortsätta att gälla enligt beslutets innehåll eller till dess att Rikspolisstyrelsen beslutar annat. På Rikspolisstyrelsens vägnar BENGT SVENSON Alireza Hafezi (Staben) 15

Rikspolisstyrelsens författningssamling

Rikspolisstyrelsens författningssamling Rikspolisstyrelsens författningssamling ISSN 0347 545X Utgivare: chefsjuristen Lars Sjöström Rikspolisstyrelsens föreskrifter och allmänna råd om anskaffning, användning, utveckling och förändring av Polisens

Läs mer

Åklagarmyndighetens författningssamling

Åklagarmyndighetens författningssamling Åklagarmyndighetens författningssamling Åklagarmyndighetens föreskrifter om IT-säkerhet inom åklagarväsendet; beslutade den 29 september 2014. ÅFS 2014:7 Publiceringsdatum: 30 september 2014 Åklagarmyndigheten

Läs mer

FÖRSVARSMAKTENS INTERNA BESTÄMMELSER

FÖRSVARSMAKTENS INTERNA BESTÄMMELSER FÖRSVARSMAKTENS INTERNA BESTÄMMELSER FIB 2006:2 Utkom från trycket 2006-02-16 Försvarsmaktens interna bestämmelser om IT-säkerhet; beslutade den 9 februari 2006. Försvarsmakten föreskriver följande. 1

Läs mer

Lokal informationssäkerhetspolicy, lokala informationssäkerhetsriktlinjer och anvisningar

Lokal informationssäkerhetspolicy, lokala informationssäkerhetsriktlinjer och anvisningar Handläggare: Christina Hegefjärd 1 (1) PAN 2015-12-01 P 6 TJÄNSTEUTLÅTANDE 2015-12-01 PaN A1510-0031257 PaN A1510-0031157 PaN A1510-0031057 Lokal informationssäkerhetspolicy, lokala informationssäkerhetsriktlinjer

Läs mer

Informationssäkerhet - Instruktion för förvaltning

Informationssäkerhet - Instruktion för förvaltning Informationssäkerhet - Instruktion för förvaltning Innehållsförteckning 1. INFORMATIONSSÄKERHET...3 2. ORGANISATION OCH ANSVAR INFORMATIONSSÄKERHET...4 2.1 KOMMUNSTYRELSEN... 4 2.2 NÄMND OCH BOLAG... 4

Läs mer

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet.

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet. Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet. Följande allmänna råd ansluter till förordningen (2006:942) om krisberedskap och

Läs mer

Säkerhetsåtgärder vid kameraövervakning

Säkerhetsåtgärder vid kameraövervakning Säkerhetsåtgärder vid kameraövervakning Datainspektionen informerar Säkerhetsåtgärder vid kameraövervakning Kameraövervakningslagens syfte är att se till så att kameraövervakning kan användas där så behövs

Läs mer

POLISMYNDIGHETEN I IT-POLICY 1 (5) ÖSTERGÖTLANDS LÄN Förvaltningsavdelningen 2009-06-25

POLISMYNDIGHETEN I IT-POLICY 1 (5) ÖSTERGÖTLANDS LÄN Förvaltningsavdelningen 2009-06-25 POLISMYNDIGHETEN I IT-POLICY 1 (5) IT-policy Säkerhetsinstruktion för Användare Denna instruktion gäller för samtliga anställda vid Polismyndigheten i Östergötlands län Var medveten om att du fått förtroendet

Läs mer

Lotteriinspektionens författningssamling

Lotteriinspektionens författningssamling Lotteriinspektionens författningssamling Utgivare: Johan Röhr, Lotteriinspektionen, Box 199, 645 23 Strängnäs. ISSN Lotteriinspektionens föreskrifter om krav på utrustning som används av anordnare av lotterier

Läs mer

Rikspolisstyrelsens författningssamling

Rikspolisstyrelsens författningssamling Rikspolisstyrelsens författningssamling ISSN 0347 545X Utgivare: chefsjuristen Lotta Gustavson Rikspolisstyrelsens föreskrifter och allmänna råd om CBRNE; beslutade den 20 april 2009. FAP 200-1 Utkom från

Läs mer

POLICY FÖR DATA- OCH INFORMATIONSSÄKERHET VID BMC I LUND

POLICY FÖR DATA- OCH INFORMATIONSSÄKERHET VID BMC I LUND POLICY FÖR DATA- OCH INFORMATIONSSÄKERHET VID BMC I LUND Oktober 2005 Innehåll Introduktion...1 Avsikten med denna policy...1 Ansvar...1 Allmän policy...2 Klassificering av data...2 Accesskontroll...3

Läs mer

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål. Informationssäkerhetspolicy 2011-2014 1. Bakgrund Detta dokument fastställs av kommunfullmäktige och gäller för all verksamhet inom kommunen. Detta betyder att det inte finns utrymme att besluta om lokala

Läs mer

Informationssäkerhetspolicy för Vetlanda kommun

Informationssäkerhetspolicy för Vetlanda kommun 1 (10) Informationssäkerhetspolicy för Vetlanda kommun Dokumenttyp: Policy Beslutad av: Kommunfullmäktige (2015-12-16 202) Gäller för: Alla kommunens verksamheter Giltig fr.o.m.: 2015-12-16 Dokumentansvarig:

Läs mer

Rikspolisstyrelsens författningssamling

Rikspolisstyrelsens författningssamling Rikspolisstyrelsens författningssamling ISSN 0347 545X Utgivare: chefsjuristen Lotta Gustavson Rikspolisstyrelsens föreskrifter om alkoholutandningsprov med sållningsinstrument och bevisinstrument m.m.;

Läs mer

Rikspolisstyrelsens författningssamling

Rikspolisstyrelsens författningssamling Rikspolisstyrelsens författningssamling ISSN 0347-545X Utgivare: chefsjuristen Eva-Lotta Hedin Rikspolisstyrelsens föreskrifter och allmänna råd om postbehandling och diarieföring vid polismyndigheterna;

Läs mer

Rikspolisstyrelsens författningssamling

Rikspolisstyrelsens författningssamling Rikspolisstyrelsens författningssamling ISSN 0347-545X Utgivare: chefsjuristen Eva-Lotta Hedin Rikspolisstyrelsens föreskrifter och allmänna råd om Polisens skjutvapen m.m.; beslutade den 30 mars 2012.

Läs mer

EBITS 2003-10-14 Energibranschens IT-säkerhetsforum

EBITS 2003-10-14 Energibranschens IT-säkerhetsforum EBITS 2003-10-14 Energibranschens IT-säkerhetsforum Bruksanvisning till malldokument för REGLER OCH RIKTLINJER FÖR INFORMATIONSSÄKERHET Version 0.1 1. Dokumentet skall anpassas specifikt för företaget.

Läs mer

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr 93-25-09 Fasta och mobila operatörstjänster samt transmission -C

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr 93-25-09 Fasta och mobila operatörstjänster samt transmission -C Säkerhet Säkerhet 2 (14) Innehåll 1 Allmänt 3 2 Säkerhet 4 2.1 Administrativa säkerhetskrav 4 2.1.1 Basnivå för informationssäkerhet 4 2.1.2 Uppföljning och kontroll säkerhetsrevision 5 2.1.3 Säkerhets-

Läs mer

Skyddsnivå utifrån informationssäkerhetsklassning

Skyddsnivå utifrån informationssäkerhetsklassning 1(16) DNR: SÄK 2015-17 Exp. den: 2015-11-05/AL STYRANDE DOKUMENT Sakområde: Säkerhet och informationssäkerhet Dokumenttyp: Anvisning Beslutsfattare: Säkerhetschef P-O Skatt Avdelning/kansli: SLU Säkerhet

Läs mer

Postadress Telefon E-post Organisationsnummer Box 22523, 104 22 Stockholm 08-617 98 00 sakint@sakint.se 202100-5703

Postadress Telefon E-post Organisationsnummer Box 22523, 104 22 Stockholm 08-617 98 00 sakint@sakint.se 202100-5703 Uttalande SÄKERHETS- OCH INTEGRITETSSKYDDSNÄMNDEN 2013-03-21 Dnr 153-2012 Användning av kvalificerade skyddsidentiteter vid Rikskriminalpolisen 1 SAMMANFATTNING Säkerhets- och integritetsskyddsnämnden

Läs mer

Stockholms läns landsting 1 O)

Stockholms läns landsting 1 O) Stockholms läns landsting 1 O) Landstingsradsberedningen SKRIVELSE 2013-02-20 LS 1112-1733 Landstingsstyrelse- Omarbetad informationssäkerhetspolicy och riktlinjer för informationssäkerhet inom Stockholms

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om informationssäkerhet, it-verksamhet och insättningssystem;

Läs mer

Rikspolisstyrelsens författningssamling

Rikspolisstyrelsens författningssamling Rikspolisstyrelsens författningssamling ISSN 0347-545X Utgivare: chefsjuristen Eva-Lotta Hedin Rikspolisstyrelsens föreskrifter och allmänna råd om alkoholutandningsprov med sållningsinstrument och bevisinstrument

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Intern åtkomst till personuppgifter hos Migrationsverket

Tillsyn enligt personuppgiftslagen (1998:204) Intern åtkomst till personuppgifter hos Migrationsverket Datum Diarienr 2009-06-23 1807-2008 Migrationsverket 601 70 Norrköping Tillsyn enligt personuppgiftslagen (1998:204) Intern åtkomst till personuppgifter hos Migrationsverket Datainspektionens beslut Datainspektionen

Läs mer

Beredningen för integritetsfrågor

Beredningen för integritetsfrågor Beredningen för integritetsfrågor Martin X Svensson IT Arkitekt 0736-250609 Martin.X.Svensson@skane.se BESLUTSFÖRSLAG Datum 2012-10-31 Dnr 1202434 1 (3) Regionstyrelsen Aktiviteter för att öka tillgänglighet

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010. Revisionsrapport Gymnastik- och idrottshögskolan Box 5626 114 86 Stockholm Datum Dnr 2011-03-08 32-2010-0728 Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan

Läs mer

Säkerhetsbrister i kundplacerad utrustning

Säkerhetsbrister i kundplacerad utrustning BESLUT 1(11) Datum Vår referens Aktbilaga 2015-12-16 Dnr: 14-11014 20 Nätsäkerhetsavdelningen Peder Cristvall 08-6785529 peder.cristvall@pts.se Telenor Sverige AB Säkerhetsbrister i kundplacerad utrustning

Läs mer

Personuppgiftsbiträdesavtal

Personuppgiftsbiträdesavtal Vuxen- och omsorgsförvaltningen TJÄNSTESKRIVELSE Upprättad: Diarienummer: 2015-12-16 SN.2015.133 Vuxen- och omsorgsnämnden Personuppgiftsbiträdesavtal Förslag till beslut i vuxen- och omsorgsnämnden 1.

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datum Diarienr 2013-05-08 646-2012 Socialnämnden i Halmstad kommun Box 230 301 06 Halmstad Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datainspektionens

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) behandling av personuppgifter vid rutinkontroll av förares innehav av taxiförarlegitimation

Tillsyn enligt personuppgiftslagen (1998:204) behandling av personuppgifter vid rutinkontroll av förares innehav av taxiförarlegitimation Datum Diarienr 2012-05-16 163-2012 Taxi Stockholm 15 00 00 AB Ombud: Advokat NN Sandart&Partners Advokatbyrå KB Box 7131 103 87 Stockholm Tillsyn enligt personuppgiftslagen (1998:204) behandling av personuppgifter

Läs mer

Tjänsteavtal för ehälsotjänst

Tjänsteavtal för ehälsotjänst Tjänsteavtal för ehälsotjänst Bilaga 1. Specifikation av Tjänsten INNEHÅLLSFÖRTECKNING 1. Inledning... 3 2. Bakgrund... 3 2.1. Referenser... 4 3. Tjänstebeskrivning... 4 3.1. Syftet med Tjänsten... 4 3.2.

Läs mer

IT-verksamheten, organisation och styrning

IT-verksamheten, organisation och styrning IT-verksamheten, organisation och styrning KPMG Örebro 27 februari 2007 Antal sidor 12 Innehåll 1. Inledning 1 2. Syfte 1 3. Metod 1 4. Sammanfattning 2 5. IT-verksamhet, organisation och ansvar 3 5.1.1

Läs mer

Säkerhetsskyddsplan för Älvsbyns kommun

Säkerhetsskyddsplan för Älvsbyns kommun 1(5) STYRDOKUMENT DATUM 2015-03-20 Säkerhetsskyddsplan för Älvsbyns kommun 1 Inledning För att säkerhetsskyddet i kommunen ska uppnå en tillfredställande nivå, i enlighet med lagstiftningens krav, ska

Läs mer

FÖRSVARSMAKTENS INTERNA BESTÄMMELSER

FÖRSVARSMAKTENS INTERNA BESTÄMMELSER FÖRSVARSMAKTENS INTERNA BESTÄMMELSER FIB 2010:2 Utkom från trycket 2010-01-21 Omtryck Föreskrifter om ändring i Försvarsmaktens interna bestämmelser (FIB 2006:2) om IT-säkerhet; beslutade den 15 januari

Läs mer

Rikspolisstyrelsens författningssamling

Rikspolisstyrelsens författningssamling Rikspolisstyrelsens författningssamling ISSN 0347-545X Utgivare: chefsjuristen Eva-Lotta Hedin Rikspolisstyrelsens föreskrifter och allmänna råd om behandling av personuppgifter i Polisens brottsbekämpande

Läs mer

ISO 15489 I PRAKTIKEN

ISO 15489 I PRAKTIKEN ISO 15489 I PRAKTIKEN Anki Steen DOKUMENTHANTERINGEN INNEBÄR ATT fastställa riktlinjer och regler fördela ansvar och befogenheter skapa och främja tillämpningen av rutiner och riktlinjer tillhandahålla

Läs mer

PERSONUPPGIFTSBITRÄDESAVTAL. Detta personuppgiftsbiträdesavtal har träffats mellan följande parter.

PERSONUPPGIFTSBITRÄDESAVTAL. Detta personuppgiftsbiträdesavtal har träffats mellan följande parter. PERSONUPPGIFTSBITRÄDESAVTAL Detta personuppgiftsbiträdesavtal har träffats mellan följande parter. Personuppgiftsansvarig: (Vårdgivarens namn, org.nr samt i förekommande fall ansvarig nämnd eller styrelse

Läs mer

BILAGA 3 Tillitsramverk Version 0.8

BILAGA 3 Tillitsramverk Version 0.8 BILAGA 3 Tillitsramverk Version 0.8 Sammanfattning Sambi har likt andra federativa initiativ som mål att i tillämpliga delar följa E-legitimationsnämndens Tillitsramverk (EID2) som i sin tur har använt

Läs mer

PERSONUPPGIFTSLAG. Den fysiska person som, efter förordnande av den personuppgiftsansvarige,

PERSONUPPGIFTSLAG. Den fysiska person som, efter förordnande av den personuppgiftsansvarige, PERSONUPPGIFTSLAG Syftet med lagen 1 Syftet med denna lag är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Avvikande bestämmelse i annan författning

Läs mer

Kommunövergripande riktlinjer för säkerhet och krisberedskap i Östra Göinge kommun mandatperioden 2015-2018

Kommunövergripande riktlinjer för säkerhet och krisberedskap i Östra Göinge kommun mandatperioden 2015-2018 Ansvarig namn Jonas Rydberg, kommunchef Dokumentnamn Riktlinjer säkerhetsarbete Upprättad av Bertil Håkanson, säkerhetssamordnare Reviderad: Berörda verksamheter Samtliga verksamheter Fastställd datum

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Observera att denna konsoliderade version är en sammanställning, och att den tryckta författningen är den officiellt giltiga. En konsoliderad version är en fulltextversion där alla ändringar har införts

Läs mer

Rikspolisstyrelsens författningssamling

Rikspolisstyrelsens författningssamling Rikspolisstyrelsens författningssamling ISSN 0347 545X Utgivare: chefsjuristen Lotta Gustavson Rikspolisstyrelsens föreskrifter och allmänna råd om Polisens åtgärder med misstänkt farligt föremål; beslutade

Läs mer

Säkerhetsskyddslag (1996:627)

Säkerhetsskyddslag (1996:627) Säkerhetsskyddslag (1996:627) Lagens tillämpningsområde 1 Denna lag gäller vid verksamhet hos 1. staten, kommunerna och landstingen, 2. aktiebolag, handelsbolag, föreningar och stiftelser över vilka staten,

Läs mer

Informationssäkerhet i. Torsby kommun

Informationssäkerhet i. Torsby kommun 2008-09-15 Informationssäkerhet i Torsby kommun Säkerhetsplan 20080915 IT-avdelningen Besöksadress Nya Torget 8, Torsby Torsby kommun 20. IT-avdelningen 685 80 Torsby 0560-160 97 0560-160 25 fax it@torsby.se

Läs mer

RISK OCH SÅRBARHETSANALYS. Innehållsförteckning. Mall Grundläggande krav. Risk och sårbarhetsanalys 2002-01-09 Sida 1 (7)

RISK OCH SÅRBARHETSANALYS. Innehållsförteckning. Mall Grundläggande krav. Risk och sårbarhetsanalys 2002-01-09 Sida 1 (7) FÖRSVARETS MATERIELVERK ANVISNING LOKALA NÄT 2002-01-09 Sida 1 (7) RISK OCH SÅRBARHETSANALYS Innehållsförteckning SYFTE...2 STYRANDE DOKUMENT...3 RISK- OCH SÅRBARHETSANALYS...4 SYSTEMKRAV...5 Systemomfattning...5

Läs mer

Datum 2015-02-02 Diarienr. /2015

Datum 2015-02-02 Diarienr. /2015 Bilaga 6 Sida 1 (8) Datum 2015-02-02 Diarienr. /2015 SÄKERHETSSKYDDSAVTAL (nivå 2) VID SÄKERHETSSKYDDAD UPPHANDLING (SUA). Mellan Polismyndigheten, 202100-0076, Box 429, 401 26 Göteborg nedan kallad Polismyndigheten

Läs mer

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhetspolicy IT (0:0:0) Informationssäkerhetspolicy IT (0:0:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd: Direktionen 20130926 Dnr:0036/13 Kommunalförbundet ITSAM, Storgatan 36A, 590 36

Läs mer

Kameraövervakningslag (2013:460)

Kameraövervakningslag (2013:460) Sida 1 av 8 SFS 2013:460 Källa Utfärdad: Först inlagd: Senast ändrad: Uppdaterad: Regeringskansliets rättsdatabaser 2013-05-30 2013-06-12 2014-03-10 t.o.m. SFS 2014:58 Kameraövervakningslag (2013:460)

Läs mer

Kapitel 7 Hantering av tillgångar

Kapitel 7 Hantering av tillgångar Kapitel 7 Hantering av tillgångar Information och data som skapas, inhämtas, distribueras, bearbetas och lagras i en organisation är en av dess viktigaste tillgångar. Graden av tillgänglighet, sekretess

Läs mer

IT-policy Scenkonst Västernorrland AB

IT-policy Scenkonst Västernorrland AB IT-policy Scenkonst Västernorrland AB Bakgrund och syfte Informationssäkerheten hos Scenkonst Västernorrland ska bygga på en rimlig risknivå och samtidigt tillgodose tillgänglighet, tillförlitlighet och

Läs mer

HSA Anslutningsavtal. HSA-policy

HSA Anslutningsavtal. HSA-policy HSA Anslutningsavtal HSA-policy Innehållsförteckning Revisionshistorik... 3 Kontaktuppgifter... 3 Övergripande dokumentstruktur för HSA... 4 1. Introduktion... 6 1.1. Översikt... 6 1.2. Terminologi...

Läs mer

Rikspolisstyrelsens författningssamling

Rikspolisstyrelsens författningssamling Rikspolisstyrelsens författningssamling ISSN 0347 545X Utgivare: chefsjuristen Lotta Gustavson Rikspolisstyrelsens föreskrifter och allmänna råd om polismyndigheternas lokala personsäkerhetsverksamhet;

Läs mer

Svensk författningssamling

Svensk författningssamling Svensk författningssamling Personuppgiftslag; SFS 1998:204 utfärdad den 29 april 1998. Enligt riksdagens beslut 1 föreskrivs 2 följande. Allmänna bestämmelser Syftet med lagen 1 Syftet med denna lag är

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om it-system, informationssäkerhet och insättningssystem;

Läs mer

Rikspolisstyrelsens författningssamling

Rikspolisstyrelsens författningssamling Rikspolisstyrelsens författningssamling ISSN 0347 545X Utgivare: chefsjuristen Lars Sjöström Rikspolisstyrelsens föreskrifter och allmänna råd om tillämpningen av ordningsbot inom Polisen; beslutade den

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010. Revisionsrapport Verket för högskoleservice Box 24070 104 50 Stockholm Datum Dnr 2011-03-08 32-2010-0738 Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice

Läs mer

Metoder för datasäkerhet. Vad handlar en sådan kurs om???

Metoder för datasäkerhet. Vad handlar en sådan kurs om??? Metoder för datasäkerhet Vad handlar en sådan kurs om??? Vad avses då media rapporterar om datasäkerhet? Oftast resultat av brister i säkerheten Allt möjligt av helt olika karaktär, som Försvunna viktiga

Läs mer

RS-riktlinjer för Informationssäkerhet i Västra Götalandsregionen

RS-riktlinjer för Informationssäkerhet i Västra Götalandsregionen Koncernkontoret Säkerhetsenheten Dokumenttyp RS-riktlinjer för informationssäkerhet för Västra Götalandsregionen Dokumentansvarig Övergripande dokument Säkerhetspolicy för Västra Götalandsregionen Kontaktperson

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datum Diarienr 2010-02-23 1646-2009 Praktikertjänst AB Adolf Fredriks Kyrkogata 9A 103 55 Stockholm Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datainspektionens beslut Datainspektionen

Läs mer

Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm

Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm Vervas allmänna råd till föreskrift om statliga myndigheters arbete med säkert

Läs mer

Rikspolisstyrelsens författningssamling

Rikspolisstyrelsens författningssamling Rikspolisstyrelsens författningssamling ISSN 0347-545X Utgivare: chefsjuristen Eva-Lotta Hedin Rikspolisstyrelsens föreskrifter och allmänna råd om videoupptagning i polisfordon vid trafikövervakning m.m.;

Läs mer

RIKTLINJER FÖR ANVÄNDNING AV PTS IT- ARBETSPLATS

RIKTLINJER FÖR ANVÄNDNING AV PTS IT- ARBETSPLATS INTERNA RIKTLINJER 1(9) Datum 2015-12-17 RIKTLINJER FÖR ANVÄNDNING AV PTS IT- ARBETSPLATS Fastställd av generaldirektören Göran Marby att gälla från och med den 17 december 2015. Innehåll: OMFATTNING OCH

Läs mer

IT-Systemförvaltningspolicy

IT-Systemförvaltningspolicy n av 5 för Munkfors, Forshaga, Kils och Grums kommun April 2005 av IT-samverkansgruppen n 2 av 5 Inledning Policyn ger en övergripande, generell bild av hur kommunerna ska arbeta med systemförvaltning

Läs mer

Granskning av polismyndigheternas användning av centrala säkerhetsloggen

Granskning av polismyndigheternas användning av centrala säkerhetsloggen Uttalande SÄKERHETS- OCH INTEGRITETSSKYDDSNÄMNDEN 2012-09-04 Dnr 117-2012 Granskning av polismyndigheternas användning av centrala säkerhetsloggen 1 SAMMANFATTNING Nämnden har granskat de 83 beställningar

Läs mer

SOSFS 2013:22 (M) Föreskrifter och allmänna råd. Katastrofmedicinsk beredskap. Socialstyrelsens författningssamling

SOSFS 2013:22 (M) Föreskrifter och allmänna råd. Katastrofmedicinsk beredskap. Socialstyrelsens författningssamling SOSFS 2013:22 (M) Föreskrifter och allmänna råd Katastrofmedicinsk beredskap Socialstyrelsens författningssamling I Socialstyrelsens författningssamling (SOSFS) publiceras myndighetens föreskrifter och

Läs mer

Svensk författningssamling

Svensk författningssamling Svensk författningssamling Patientdatalag; utfärdad den 29 maj 2008. SFS 2008:355 Utkom från trycket den 11 juni 2008 Enligt riksdagens beslut 1 föreskrivs följande. 1 kap. Lagens tillämpningsområde m.m.

Läs mer

Riktlinjer för säkerhetsskydd och beredskap

Riktlinjer för säkerhetsskydd och beredskap ENHET, VERKSAMHETSOMRÅDE NF SAMRÅD N, D, IK DATUM VÅR BETECKNING 2009-11-04 TR12-03 TEKNISK RIKTLINJE REVISION B SvK405, v2.0, 2009-06-04 Riktlinjer för säkerhetsskydd och beredskap 1/24 Uppdateringar

Läs mer

Syfte...1 Omfattning...1 Beskrivning...1

Syfte...1 Omfattning...1 Beskrivning...1 Innehållsförteckning 1 Syfte...1 2 Omfattning...1 3 Beskrivning...1 3.1 Utgångspunkter och generella regler...1 3.2 Tillämpning av riktlinjerna inom Mälarenergi...1 3.3 Styrande lagar och regler...3 Bilaga

Läs mer

ändamål samtidigt som enskilda skyddas mot otillbörliga intrång i 1 Prop. 2012/13:115, bet. 2012/13:JuU22, rskr. 2012/13:252.

ändamål samtidigt som enskilda skyddas mot otillbörliga intrång i 1 Prop. 2012/13:115, bet. 2012/13:JuU22, rskr. 2012/13:252. Svensk författningssamling Kameraövervakningslag; utfärdad den 30 maj 2013. Enligt riksdagens beslut1 föreskrivs2 följande. Syftet med lagen 1 Syftet med lagen är att tillgodose behovet av kameraövervakning

Läs mer

FÖRFATTNINGSSAMLING BESLUT GÄLLER FR FLIK SID Kf 83/05 2005-06-13 Kf 26 1. IT-säkerhetspolicy

FÖRFATTNINGSSAMLING BESLUT GÄLLER FR FLIK SID Kf 83/05 2005-06-13 Kf 26 1. IT-säkerhetspolicy FÖRFATTNINGSSAMLING BESLUT GÄLLER FR FLIK SID Kf 83/05 20050613 Kf 26 1 ITsäkerhetspolicy Härjedalens kommuns ramverk för ITsäkerhetsarbete i enlighet med Krisberedskapsmyndighetens Basnivå för ITSäkerhet

Läs mer

FÖRSVARSMAKTENS INTERNA BESTÄMMELSER

FÖRSVARSMAKTENS INTERNA BESTÄMMELSER FÖRSVARSMAKTENS INTERNA BESTÄMMELSER FIB 2008:3 Utkom från trycket 2008-09-04 Försvarsmaktens interna bestämmelser om signalskyddstjänsten; beslutade den 29 augusti 2008. Försvarsmakten föreskriver följande.

Läs mer

Vetenskapsrådets informationssäkerhetspolicy

Vetenskapsrådets informationssäkerhetspolicy Vetenskapsrådets informationssäkerhetspolicy 1 (6) Ändringshistorik Datum Version Beskrivning av ändring Vem 2014-01-07 PA1 Initial version Torulf Lind 2014-01-07 PA2 Uppdatering roller Torulf Lind 2014-01-17

Läs mer

Rikspolisstyrelsens författningssamling

Rikspolisstyrelsens författningssamling Rikspolisstyrelsens författningssamling ISSN 0347 545X Utgivare: chefsjuristen Lotta Gustavson Rikspolisstyrelsens allmänna råd om sjöfynd; beslutade den 10 februari 2003. 1. Författningsbestämmelser FAP

Läs mer

IT-säkerhetspolicy för Åtvidabergs kommun

IT-säkerhetspolicy för Åtvidabergs kommun Version 2005-01-26 Denna är s övergripande dokument styrning och kvalitetsutveckling av IT-säkerheten i den kommunala verksamheten. n innehåller strategier att uppnå målen. Kommunfullmäktige antar den

Läs mer

Uppföljning av polismyndigheternas användning av centrala säkerhetsloggen

Uppföljning av polismyndigheternas användning av centrala säkerhetsloggen Uttalande SÄKERHETS- OCH INTEGRITETSSKYDDSNÄMNDEN 2013-11-15 Dnr 83-2013 Uppföljning av polismyndigheternas användning av centrala säkerhetsloggen 1 SAMMANFATTNING Nämnden har följt upp sin tidigare granskning

Läs mer

Lednings- och styrdokument. SÄKERHET Styrdokument antaget av kommunfullmäktige den 20 juni 2011

Lednings- och styrdokument. SÄKERHET Styrdokument antaget av kommunfullmäktige den 20 juni 2011 Lednings- och styrdokument SÄKERHET Styrdokument antaget av kommunfullmäktige den 20 juni 2011 2012-2015 sidan 1 av 4 Inledning... 2 Omfattning... 2 Säkerhetsskydd... 2 Krishantering... 2 Personsäkerhet...

Läs mer

Policy för informationssäkerhet

Policy för informationssäkerhet Policy för informationssäkerhet Informationssäkerhet är den del i organisationens lednings- och kvalitetsprocess som avser hantering av verksamhetens information. Informationssäkerhetspolicyn och särskilda

Läs mer

Gäller från 1 januari 2007 Antagen av KF 246/2006. IT-säkerhetsinstruktion för användare

Gäller från 1 januari 2007 Antagen av KF 246/2006. IT-säkerhetsinstruktion för användare Gäller från 1 januari 2007 Antagen av KF 246/2006 IT-säkerhetsinstruktion för användare Inledning... 3 1 Hantering av information... 4 1.1 Lagring av information, säkerhetskopiering och arkivering... 4

Läs mer

IT-säkerhetsinstruktion Förvaltning

IT-säkerhetsinstruktion Förvaltning IT-säkerhetsinstruktion Förvaltning 2013-09-24 1.0 IT- S Ä K E R H E T S I N S T R U K T I O N IT-säkerhetsinstruktion Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Bolagsverkets utlämnande av personuppgifter till Bisnode AB

Tillsyn enligt personuppgiftslagen (1998:204) Bolagsverkets utlämnande av personuppgifter till Bisnode AB Datum Diarienr 2014-10-02 704-2013 Bolagsverket 851 81 Sundsvall Tillsyn enligt personuppgiftslagen (1998:204) Bolagsverkets utlämnande av personuppgifter till Bisnode AB Datainspektionens beslut För att

Läs mer

Bilaga 3c Informationssäkerhet

Bilaga 3c Informationssäkerhet SID 1 (9) Bilaga 3c Informationssäkerhet Förfrågningsunderlag Upphandling av ett helhetsåtagande avseende IT-stöd för pedagogiskt material inom Skolplattform Stockholm Box 22049, 104 22 Stockholm. Besöksadress

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) avseende behörighetsstyrning i ParaGå

Tillsyn enligt personuppgiftslagen (1998:204) avseende behörighetsstyrning i ParaGå Beslut Diarienr 1 (10) 2016-02-17 1805-2015 Södermalms stadsdelsnämnd Box 4270 102 66 Stockholm Tillsyn enligt personuppgiftslagen (1998:204) avseende behörighetsstyrning i ParaGå Datainspektionens beslut

Läs mer

Patientdatalag (2008:355)

Patientdatalag (2008:355) Patientdatalag (2008:355) SFS nr: 2008:355 Departement/myndighet: Socialdepartementet Utfärdad: 2008-05-29 Ändrad: t.o.m. SFS 2013:1024 Tryckt version: pdf, utan ändringar (Lagrummet) Ändringsregister:

Läs mer

Rikspolisstyrelsens författningssamling

Rikspolisstyrelsens författningssamling Rikspolisstyrelsens författningssamling ISSN 0347 545X Utgivare: chefsjuristen Lotta Gustavson Rikspolisstyrelsens föreskrifter och allmänna råd om radioutrustning och kommunikationscentraler; beslutade

Läs mer

OBS SKA EJ FYLLAS I! ENDAST FÖR KÄNNEDOM.

OBS SKA EJ FYLLAS I! ENDAST FÖR KÄNNEDOM. OM SÄKERHETSSKYDDAD UPPHANDLING MED SÄKERHETSSKYDDSAVTAL (SUA) OBS SKA EJ FYLLAS I! ENDAST FÖR KÄNNEDOM. (EV.) BILAGA TILL AFFÄRSAVTAL KONTAKTPERSONER Beställare: Leverantör: Tfn. [x] Tfn. [x] Mobil [x]

Läs mer

SOSFS 2011:9 (M och S) Föreskrifter och allmänna råd. Ledningssystem för systematiskt kvalitetsarbete. Socialstyrelsens författningssamling

SOSFS 2011:9 (M och S) Föreskrifter och allmänna råd. Ledningssystem för systematiskt kvalitetsarbete. Socialstyrelsens författningssamling SOSFS (M och S) Föreskrifter och allmänna råd Ledningssystem för systematiskt kvalitetsarbete Socialstyrelsens författningssamling I Socialstyrelsens författningssamling (SOSFS) publiceras myndighetens

Läs mer

Rikspolisstyrelsens författningssamling

Rikspolisstyrelsens författningssamling Rikspolisstyrelsens författningssamling ISSN 0347 545X Utgivare: chefsjuristen Lotta Gustavson Rikspolisstyrelsens föreskrifter och allmänna råd till lagen (2007:1150) om tillsyn över hundar och katter;

Läs mer

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag Förfrågningsunderlag stockholm.se Utbildningsförvaltningen Avdelningen för utveckling och samordning Hantverkargatan 2F 104 22 Stockholm Växel 08-508 33 000 www.stockholm.se Innehåll 1 Inledning 3 2 Krav

Läs mer

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet RIKTLINJER Riktlinjer för styrning av IT-verksamhet RIKTLINJER 2 Riktlinjer för styrning av IT-verksamhet. 1 Inledning Håbo kommuns övergripande styrdokument inom IT är IT-policy för Håbo kommun. Riktlinjer

Läs mer

Rikspolisstyrelsens författningssamling

Rikspolisstyrelsens författningssamling Rikspolisstyrelsens författningssamling ISSN 0347 545X Utgivare: chefsjuristen Lars Sjöström Rikspolisstyrelsens föreskrifter och allmänna råd om passhantering vid polismyndigheterna; beslutade den 19

Läs mer

Styrelsens för ackreditering och teknisk kontroll författningssamling

Styrelsens för ackreditering och teknisk kontroll författningssamling Styrelsens för ackreditering och teknisk kontroll författningssamling ISSN 1400-4682 Utgivare: Sven Nyström STAFS 2002:6 Utkom från trycket 2002-11-01 Styrelsens för ackreditering och teknisk kontroll

Läs mer

Svensk författningssamling

Svensk författningssamling Svensk författningssamling Lag om verksamhet inom djurens hälso- och sjukvård; SFS 2009:302 Utkom från trycket den 28 april 2009 utfärdad den 2 april 2009. Enligt riksdagens beslut 1 föreskrivs 2 följande.

Läs mer

Revidering av policy och regler för informationssäkerhet i Stockholms stad

Revidering av policy och regler för informationssäkerhet i Stockholms stad Utlåtande 2005: RI (Dnr 034-418/2005) Revidering av policy och regler för informationssäkerhet i Stockholms stad Kommunstyrelsen föreslår kommunfullmäktige besluta följande 1. Förslag till policy och riktlinjer

Läs mer

Detta dokument beskriver it-säkerheten i RAMBØLLs it-system SurveyXact och Rambøll Results.

Detta dokument beskriver it-säkerheten i RAMBØLLs it-system SurveyXact och Rambøll Results. IT SÄKERHET Datum 2012-06-18 Från Jesper Balman Gravgaard Översättning Åsa Karlsson 1. Inledning Detta dokument beskriver it-säkerheten i RAMBØLLs it-system SurveyXact och Rambøll Results. Datum 2012-06-18

Läs mer

Rikspolisstyrelsens författningssamling

Rikspolisstyrelsens författningssamling Rikspolisstyrelsens författningssamling ISSN 0347 545X Utgivare: chefsjuristen Lotta Gustavson Rikspolisstyrelsens föreskrifter och allmänna råd om polismyndigheternas medverkan vid utbildning av polisaspiranter

Läs mer

Policy Document Number ESS-0002649 Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet

Policy Document Number ESS-0002649 Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet Revision 1 (3) State Released Plan för IT Säkerhet DOCUMENT REVISION HISTORY Revision Reason for revision Date 1 New Document 2013-02-26 List of Authors List of Reviewers List of Approvers Skölde, Daniel/Ulrika

Läs mer

Rikspolisstyrelsens författningssamling

Rikspolisstyrelsens författningssamling Rikspolisstyrelsens författningssamling ISSN 0347 545X Utgivare: chefsjuristen Lars Sjöström Rikspolisstyrelsens föreskrifter och allmänna råd om trafikövervakning på motorväg och motortrafikled m.m.;

Läs mer

Myndigheten för samhällsskydd och beredskaps författningssamling

Myndigheten för samhällsskydd och beredskaps författningssamling Myndigheten för samhällsskydd och beredskaps författningssamling Utgivare: Key Hedström, Myndigheten för samhällsskydd och beredskap ISSN 2000-1886 MSBFS Utkom från trycket den 11 mars 2016 Myndigheten

Läs mer

Region Skåne Granskning av IT-kontroller

Region Skåne Granskning av IT-kontroller Region Skåne Granskning av IT-kontroller Per Stomberg Niklas Westerlund Deloitte AB Januari 2016 2 Innehållsförteckning 1. Sammanfattning... 3 2. Inledning... 4 2.1 Bakgrund och syfte... 4 2.2 Revisionskriterier...

Läs mer

Bilaga 1. Allmänna villkor för IA-företagens informationssystem om arbetsmiljö. 1. Bakgrund

Bilaga 1. Allmänna villkor för IA-företagens informationssystem om arbetsmiljö. 1. Bakgrund v1.5 maj 2015 Bilaga 1 Allmänna villkor för IA-företagens informationssystem om arbetsmiljö 1. Bakgrund Dessa allmänna villkor reglerar förhållandet mellan AFA Trygghetsförsäkringsaktiebolag org. nr. 516401-8615

Läs mer