EBITS Energibranschens IT-säkerhetsforum

Storlek: px
Starta visningen från sidan:

Download "EBITS 2003-10-14 Energibranschens IT-säkerhetsforum"

Transkript

1 EBITS Energibranschens IT-säkerhetsforum REGLER OCH RIKTLINJER FÖR INFORMATIONSSÄKERHET Version 0.1 Revisionshistorik Datum Version Ansvarig Kommentar L Castenhag Ett första utkast

2 2

3 Innehåll 1. ORGANISATION FÖR INFORMATIONSSÄKERHET Infrastruktur för informationssäkerhet Säkerhet vid utomstående parts åtkomst Utkontraktering (outsourcing) Skydd av personuppgifter KLASSIFICERING AV TILLGÅNGAR Ansvar för tillgångar Klassificering av informationstillgångar PERSONAL OCH INFORMATIONSSÄKERHET Säkerhet i arbetsbeskrivning och vid rekrytering och omplacering Användarutbildning Reaktion på säkerhetsincidenter och funktionsfel FYSISK OCH MILJÖRELATERAD SÄKERHET Säkrade utrymmen Skydd av utrustning Allmänna åtgärder STYRNING AV KOMMUNIKATION OCH DRIFT Driftrutiner och ansvar Systemplanering och systemgodkännande Skydd mot skadliga program Ordning och reda Styrning av nätverk Mediahantering och mediasäkerhet Utbyte av information och program STYRNING AV ÅTKOMST Verksamhetskrav på styrning av åtkomst Styrning av användares åtkomst Användares ansvar Styrning av åtkomst till nätverk Styrning av åtkomst till operativsystem Styrning av åtkomst till tillämpningar Övervakning av systemåtkomst och systemanvändning Mobil datoranvändning och distansarbete SYSTEMUTVECKLING OCH UNDERHÅLL Säkerhetskrav på system Säkerhet i tillämpningssystem Krypteringsåtgärder Säkerhet i databaser och filer Säkerhet i utvecklings- och underhållsprocesser KONTINUITETSPLANERING Aspekter på kontinuitetsplanering EFTERLEVNAD AV LAGAR OCH AVTAL Efterlevnad av rättsliga krav Granskning av säkerhetspolicy och teknisk efterlevnad Hänsynstagande vid revision av system

4 4

5 Förord Föreliggande dokument ingår i den samling dokument och rutiner som tillsammans utgör [fs] ledningssystem för informationssäkerhet. Dokumentets struktur är baserad på standarden SS-ISO/IEC Se följande översikt som visar de viktigaste dokumenten: 1. Policy för informationssäkerhet Detta är kortfattat dokument (på en till två A4-sidor) som på ett övergripande plan beskriver [fs] viljeinriktning. 2. Regler och riktlinjer för informationssäkerhet Dessa regler beskriver organisation, ansvar, roller och vad vi som anställda skall tänka på i vårt dagliga arbete för att hålla informationssäkerheten på en acceptabel nivå. detta dokument 3. IT-säkerhetskrav för system Detta är inget dokument utan en databas med säkerhetskrav. Utifrån en given säkerhetsprofil, dvs ett systems fastställda nivåer på säkerhetsklasserna S (sekretess), R (riktighet) och T (tillgänglighet) är det möjligt att vaska fram de säkerhetskrav som är relevanta för det aktuella systemet. 4. Anvisningar och förklaringar till regler och riktlinjer för informationssäkerhet Detta är en samling förtydliganden av de regler och riktlinjer för informationssäkerheten som tidigare utformats som ett antal paragrafer. Anvisningarna är numrerade med säkerhetsreglernas paragrafnummer med tillägg av en bokstav. Första anvisningen för en regel har tilläggsbokstaven a och andra anvisningen har tilläggsbokstaven b, osv. Exempel: Informationssäkerhetsregel Ledningsgrupp för informationssäkerhet Här beskrivs mycket kortfattat på två rader vad som gäller. Anvisning 1.1.1a Ledningsgrupp för informationssäkerhet Här visas i detalj vad som gäller. Den inbördes relationen mellan de fyra dokumentgrupperna som här beskrivits kan åskådliggöras med en pyramid enligt följande: Informationssäkerhetspolicy Regler och riktlinjer för informationssäkerhet IT-säkerhetskrav för system Det figuren vill förmedla är att omfattningen av materialet är störst i botten på pyramiden. Där sker också en kontinuerlig förändring. I toppen av pyramiden råder minst rörlighet. Informationssäkerhetsanvisningar och förklaringar 5

6 Definition av begreppet IT-säkerhet IT-säkerhet är en delmängd av informationssäkerhet vilket kan beskrivas med följande figur: IT-säkerhet kvalitet i elektronisk hantering av information Informationssäkerhet kvalitet i hanteringen av information generellt Ledningssystem för informationssäkerhet Som sagts tidigare är föreliggande dokument en del av ledningssystemet för informationssäkerhet. Följande bild visar principen för ett ledningssystem: ACT ACT (förbättra) (förbättra) A Underhåll och förbättra LIS CHECK CHECK (följ upp) (följ upp) Följ upp och granska att regler och rutiner följs och att de fungerar PDCA - hjulet PLAN PLAN (planera) (planera) Skapa ledningssystem P för IT-säkerhet (LIS) DO (genomför) DO (genomför) Driftsätt regler och rutiner för LIS Riskanalysen den motor som håller igång hjulet Den motor som håller PDCA-hjulet igång är riskanalysen, dvs alla förslag till förbättringar har sin grund i att identifierade risker är på acceptabel nivå. Det är således begreppet RISKHANTERING som är av central betydelse. Riskerna identifieras kontinuerligt och åtgärder sätts in för att eliminera risker eller sänka risknivåer. Efter en tid görs nya riskanalyser för att se om åtgärderna har haft önskad effekt eller om nya hot har uppstått som har förändrat riskbilden. Ovanstående bild har två budskap: 1. Kontinuerlig förbättring av organisationen (människornas säk-medvetande och IT-systemens säkerhet) Begreppet ledningssystem har följande innebörd: Det skall ske en kontinuerlig kontroll av att organisationen följer informationssäkerhetsregelverket. Det skall också kontrolleras att organisationen och IT-systemen möter upp till gällande informationssäkerhetskrav. De brister som uppdagas skall åtgärdas genom utbildning, rutinförändringar och upprättandet av åtgärdslistor som sedan följs upp. 2. Kontinuerlig förbättring av säkerhetsregelverket, säkerhetskraven och säkerhetsarbetet Begreppet ledningssystem har följande innebörd: Det skall ske en kontinuerlig kontroll av att regelverket är utformat på ett sådant sätt att det är styrande för verksamheten. Det skall också kontrolleras att säkerhetskraven för systemens olika säkerhetsprofiler är de rätta. Det skall också kontrolleras att säkerhetsarbetet bedrivs på ett strukturerat sätt. De brister som uppdagas korrigeras genom att regelverk, säkerhetskrav och rutinerna för säkerhetsarbetet revideras. Därefter fortbildas berörd personal. Med ett fungerande ledningssystem för informationssäkerhet är ambitionen att det vid [f] bedrivs ett strukturerat informationssäkerhetsarbete. 6

7 1. Organisation för informationssäkerhet Syfte: Gällande princip: Att beskriva organisation och ansvar för utformandet och fastställandet av regler och riktlinjer för hur informationssäkerheten skall hanteras inom [f]. Målsättningen är att minska riskerna för misstag och resursmissbruk. För att skydda informationstillgångarna måste det finnas en infrastruktur för informationssäkerhetsarbetet. Ansvarsfördelning: [här formuleras i grova drag hur ansvaret för informationssäkerheten vid företaget fördelats] Referenser: [här refereras till andra dokument som kan vara av intresse i sammanhanget] 1.1 Infrastruktur för informationssäkerhet Mål: Att styra informationssäkerhet inom [f] Ledningsgrupp för informationssäkerhet [beskriv vad som gäller på företaget] Se också anvisningen 1.1.1a Ledningsgrupp för informationssäkerhet Fördelning av ansvar för informationssäkerheten [beskriv vad som gäller (i detalj)] Se också anvisningen 1.1.3a Fördelning av ansvar för informationssäkerheten Samarbete mellan organisationer [här beskrivs vem som ansvarar för att kontakter med andra företag och möjligen även kritiska tjänsteleverantörer] 7

8 1.2 Säkerhet vid utomstående parts åtkomst Mål: Att upprätthålla säkerheten för [fs] informationsbehandlingsresurser och informationstillgångar även vid tredjepartsåtkomst. Säkerheten för [fs] informationsbehandlingsresurser skall upprätthållas även vid tredjepartsåtkomst 1 genom dokumenterade regler för de situationer detta kan vara aktuellt. Tredjepartsåtkomst skall föregås av beslut av ansvarig chef. Beslut skall föregås av riskanalys och efter de eventuella åtgärder som riskanalysen föreslår. Avtal mellan parterna skall reglera gemensamma synsätt för informationssäkerhet och villkor för beviljad åtkomst Riskanalys vid utomståendes åtkomst Innan utomstående bereds åtkomst till [fs] information eller informationssystem skall en riskanalys genomföras som grund för beslut och förslag till nödvändiga skyddsåtgärder Säkerhetsvillkor i avtal med utomstående part Avtal skall upprättas med utomstående part där tjänsterna avser åtkomst till informationsresurser, system, information, lokaler och anläggningar. Extern personal (servicepersonal, konsulter, hantverkare) skall informeras om reglerna för åtkomst, tillträde, brandskydd etc. Om åtkomsten avser system med sekretessklass [ange sekretessklass] eller högre skall särskilt sekretessavtal skrivas. Med utomstående part avses alla situationer där en av [f] engagerad leverantör eller annan samarbetspartner genom av [f] utdelad behörighet har tillgång till information. Servicepersonal och hantverkare som skall utföra arbete inom utrymme för serverdatorer och/eller nätverksanläggningar skall informeras om reglerna för dessa lokaler, t ex brandbestämmelser, passagebestämmelser. 1 Med tredjepartsåtkomst avses alla situationer där [f] engagerat leverantör eller annan samarbetspartner med behörighet att tillgå [fs] information. 8

9 1.3 Utkontraktering (outsourcing) Mål: Att upprätthålla informationssäkerhet när ansvaret för informationsbehandling har lagts ut på en utomstående organisation. [fs] krav på informationssäkerhet skall säkerställas när utföraransvaret för informationsbehandling läggs ut på entreprenad. Avtal skall upprättas som också omfattar gällande säkerhetskrav. Riskanalys skall föregå beslut om utkontraktering/outsourcing Säkerhetskrav i utkontrakteringsavtal Då extern part kontrakteras för att ta hand om informationssystem, nätverk och/eller andra datamiljöer skall [fs] säkerhetskrav finnas med i avtalet. Följande punkter bör beaktas: 1. Hur de rättsliga kraven i olika författningar skall uppfyllas, t ex personuppgiftslagen. 2. Vilka åtgärder som skall vidtagas för att säkerställa att alla berörda parter, inklusive underleverantörer är medvetna om sitt säkerhetsansvar. 3. Hur riktighet och sekretess rörande [sf] verksamhetstillgångar kan upprätthållas och testas. 4. Vilka fysiska åtgärder som kommer att vidtas för att begränsa åtkomsten till [fs] känsliga information till enbart behöriga användare. 5. Vilka logiska åtgärder (t ex behörighetskontroller) som kommer att vidtas för att begränsa åtkomsten till [fs] känsliga information till enbart behöriga användare. 6. Hur verksamheten kommer att kunna hållas igång vid en eventuell katastrofhändelse. 7. Vilken fysisk säkerhetsnivå som skall gälla för utrustning som läggs ut. 8. Det bör säkerställas att [f] har rätt att genomföra revision av säkerheten hos tjänsteleverantören. 9. [f] skall ha rätt att kontrollera att avtalade regler fullföljs. 1.4 Skydd av personuppgifter Mål: Att se till att [f] följer vad som sägs i personuppgiftslagen PUL Behandling av personuppgifter Behandling av personuppgifter som är helt eller delvis automatiserad skall anmälas på särskild blankett. Blanketten skall sändas till [ange roll] som är personuppgiftsombud enligt personuppgiftslagen (1998:203), PUL. Blanketten finns att tillgå på [ange plats] under rubriken [ange rubrik]. Se också anvisningen 1.4.1a Hantering av anmälan av personuppgifter. 9

10 2. Klassificering av tillgångar Syfte: Gällande princip: Visa hur man praktiskt går tillväga för att klassificera [fs] informationstillgångar. Ansvaret för att så sker ligger på respektive informationsägare som normalt är samma person som systemägaren. Varje informationstillgång skall dels ha en utpekad ägare och dels vara klassad avseende sekretess. Ansvarsfördelning: [här beskrivs ansvarsfördelningen] Referenser: [här refereras till andra dokument som kan vara av intresse i sammanhanget] 2.1 Ansvar för tillgångar Mål: Att upprätthålla tillräckligt skydd för [fs] informationstillgångar Förteckning över tillgångar Informationsbehandlingsresurser (information, IT-system, tillämpningssystem, register, PCprogram, utrustning och samtliga användare) skall vara förtecknade. Utrustning, i synnerhet sådan som är stöldbegärlig, skall vara märkt. Eventuell omflyttning och överlåtelse till annan användare skall ske enligt fastställda rutiner. Identifiera alla viktiga informationstillgångar och skapa en förteckning. Håll förteckningen uppdaterad. Den som är utpekad som informationsägare är ansvarig för att detta sker. Exempel på informationstillgångar är ritningar, databaser, föreskrifter, mm. När förteckningen har upprättats, skall informationstillgångarna värderas. Det finns två principer att värdera efter: 1. Vad har det kostat att ta fram informationstillgångarna? 2. Vad skulle det kosta idag att ta fram motsvarande? Möjligen är det den senare principen som bör användas. 10

11 2.2 Klassificering av informationstillgångar Mål: Att säkerställa att informationstillgångar ges en lämplig skyddsnivå Riktlinjer för klassificering av systems skyddsklasser (säkerhetsprofil) Informationstillgångar som lagras elektroniskt skall klassificeras med hänsyn till skyddsbehovet. Skyddsbehovet indelas i tre skyddsklasser. Var och en av skyddsklasserna indelas i tre skyddsnivåer. För sekretess finns en fjärde nivå som avser information som om den kommer obehöriga till del kan leda till skada för rikets säkerhet. Skyddsklass S (sekretess) Sekretess är ett mått på informationens känslighetsgrad i händelse av att den kommer obehöriga till del. Synonym: konfidentialitet. Skyddsklass R (riktighet) Med riktighet avses användbarhet av information för en given användare och ett givet problem (att kunna lita på informationen). Riktighet mäts i termer av kvalitet i verksamheten. Kvalitetsaspekter på informationen kan vara av många slag: objektiv felfrihet, noggrannhet, detaljeringsgrad, validitet, tillförlitlighet, konsistens (fritt från inbördes motsägelser) etc och kan därmed ha olika typer av effekter. Synonym: informationskvalitet. Skyddsklass T (tillgänglighet) Med tillgänglighet avses möjligheten att utnyttja informationsresurser efter behov i förväntad utsträckning och inom önskad tid (informationen finns när den behövs). Se också anvisningen 2.2.1a Klassificering av IT-system i avseende på skyddsbehov Sekretessklassning av information Det finns två slag av sekretess och den gäller för all information (ritningar, strukturer, mm) oberoende av format (muntlig, på papper och elektroniskt): KH Kvalificerat företagshemlig enligt lagen (1990:409) om skydd av företagshemligheter H Hemlig enligt lagen (1990:409) om skydd av företagshemligheter. Öppen information är information som ej är belagd med sekretess. Det är varje medarbetares ansvar att se till att den information han/hon upprättar åsätts rätt sekretessklass. Datamedia skall märkas med avseende på innehåll och det skall också framgå om sekretess råder. Se också anvisningen 2.2.2a Märkning och klassificering av information 11

12 3. Personal och informationssäkerhet Syfte: Gällande princip: Att minimera riskerna för mänskliga misstag, missbruk av resurser i verksamheten samt brott såsom t ex stöld och bedrägeri. De anställda brukar kallas företagets viktigaste resurs, men för att denna resurs skall vara av fullgott värde krävs utbildning. Utbildningen måste också följas upp, dvs det måste säkerställas att det finns ett säkerhetsmedvetande hos de anställda. Ansvarsfördelning: Chefer ansvarar för att egen och extern personal får en god och anpassad utbildning. Chefer ansvarar också för att underställd personal ej utnyttjar informationstillgångar på ett otillbörligt sätt. Den som anlitar konsult ansvarar för att avtal med konsulten upprättas, att han/hon får utbildning i [fs] säkerhetsregler och rutiner, att konsulten genomför sitt uppdrag i enlighet med [fs] säkerhetsregler. Referenser: [här refereras till andra dokument som kan vara av intresse i sammanhanget] 3.1 Säkerhet i arbetsbeskrivning och vid rekrytering och omplacering Mål: Att minska riskerna för mänskliga misstag, stöld, bedrägeri och missbruk av resurser Inkluderande av säkerhet i beskrivning av ansvar i arbetet Alla medarbetare, chefer som medarbetare, skall vara medvetna om sitt ansvar vad gäller informationssäkerhet. Chefer i linjeorganisationen ansvarar för att medarbetare och eventuella leverantörer till linjeorganisationen är säkerhetsmedvetna. De skall vara informerade om och arbeta i enlighet med [fs] informationssäkerhetsföreskrifter Sekretessavtal 1. Driftpersonal, leverantörens personal och konsulter skall vara medvetna om gällande sekretessbestämmelser. För leverantörer och konsulter skall detta regleras i avtal. 2. Användare skall ha fått information om gällande sekretessbestämmelser för att få tillgång till systemet. 3. För all personal som har tillgång till system som åsatts sekretesskyddsnivå [ange skyddsnivå] gäller att de: skall ha fått skriftlig information om sekretessbestämmelser skall ha skriftligen bekräftat detta genom sekretessförbindelse. 12

13 3.2 Användarutbildning Mål: Att säkerställa att användare är medvetna om hoten mot informationssäkerheten och är rustade så att de i sitt dagliga arbete kan stödja [fs] säkerhetsregler. Utbildning och information till all egen och all inhyrd personal skall ingå i en kontinuerlig process för att skapa medvetande om informationssäkerhet i allmänhet och gällande säkerhetsregler i synnerhet Utbildning och övning i informationssäkerhet Utbildning och information i informationssäkerhet skall ges till all personal dels allmänt och dels enligt identifierade behov. Användardokumentation skall finnas - för alla IT-system som används av mer än en person, - för alla IT-system i övrigt som ingår som en del i verksamheten. Användardokumentationen riktas till användare av datasystemet. Den utformas med hänsyn till olika användarens kunskaper och behov och riktas både till normal användare och till nybörjare. Dokumentationen skall minst innehålla: - Övergripande beskrivning - Handhavande av systemets funktioner - Systemets förvaltningsorganisation - Vart man vänder sig för att få hjälp samt anmäler fel och incidentrapporter. - Säkerhetsbestämmelser för systemet och dess information. Användardokumentation kan med fördel integreras i systemet eller vara tillgänglig "on line". 13

14 3.3 Reaktion på säkerhetsincidenter och funktionsfel Mål: Att undvika skador på grund av säkerhetsincidenter och brister samt att övervaka och dra lärdom av dessa Rapportering av säkerhetsincidenter Säkerhetsincidenter skall snarast möjligt rapporteras för att möjliggöra nödvändiga åtgärder för att minimera skada, åtgärda brister och utreda eventuell brottslighet. Följande gäller för rapporteringen: - Den ligger till grund för uppföljning av inträffade incidenter och redovisning till verksamhetsledning. - Den skall göras till närmaste chef eller enligt fastlagd rapporteringsrutin som sedan sänds vidare till [ange ansvarig roll]. IT-incidenter inom [f] skall rapporteras med hjälp av framtagen blankettmall. Det är systemägaren som har rapporteringsplikten, men alla som berörs av en IT-incident skall göra ansvarig systemägare uppmärksammad på att en IT-incident har inträffat så att denne kan skriva en rapport om det inträffade. Observera att även tekniska haverier som varit till allvarligt men för verksamheten är att betrakta som incidenter. Se instruktionen Rutin för rapportering av IT-incidenter. Instruktionen och blankett för rapportering finns att tillgå på intranätet med följande sökväg: [ange sökväg] Rapportering av säkerhetsmässiga svagheter Användare av information och IT-system skall till [ange roll] rapportera de säkerhetsmässiga svagheter i system och rutiner som denne uppmärksammar. Rapporteringen kan i enkla fall göras via epost. Allvarligare säkerhetsmässiga svagheter noteras på papper och sänds via internposten i slutet kuvert till systemägaren Rapportering av funktionsfel i program Användare som uppmärksammar funktionsfel i IT-system skall rapportera detta enligt rutin för sådan rapportering Disciplinär process Överträdelser av [fs] regler och riktlinjer för informationssäkerhet är en personalfråga och hanteras av den anställdes närmaste chef. Misstanke om att någon grovt nyttjat [fs] IT-systemresurser i eget vinstsyfte för privat sidoverksamhet skall anmälas till [ange roll] för utredning. 14

15 4. Fysisk och miljörelaterad säkerhet Syfte: Gällande princip: Förhindra att obehöriga får tillträde till utrymmen där [f] har IT-system som hanterar känslig information. Informationstillgångarna skall skyddas mot fysisk och miljörelaterad skada. Brister i det fysiska skyddet kan leda till att det logiska skyddet sätts ur spel. Ansvarsfördelning: [ange roll] ansvarar för det fysiska skyddets utformning. Varje medarbetare ansvarar för att hålla uppsikt över att det fysiska skyddet inte har satts ur spel. Fysisk säkerhet är ett ägarkrav och är också ett krav i lagstiftningen. För att hålla tillräckligt hög nivå krävs säkerhetsmedveten personal. Referenser: [här refereras till andra dokument som kan vara av intresse i sammanhanget] 4.1 Säkrade utrymmen Mål: Att förhindra obehörigt tillträde och åtkomst, skador och störningar i organisationens lokaler och information. För säkrade utrymmen gäller: - Information om ett säkrat utrymmes existens och syfte skall begränsas. - Säkrade utrymmen skall vara låsta. - Utomståendes (även servicepersonals) tillträde skall begränsas så långt möjligt. - Fotografering och annan avbildning får endast ske efter särskilt tillstånd Skalskydd För verksamheten kritiska eller viktiga informationsbehandlingsresurser bör inrymmas i säkra utrymmen inom ett avgränsat skalskydd med lämpliga spärrar och tillträdeskontroller. De bör skyddas fysiskt mot otillåten åtkomst, skada och störning. Nivån på skalskyddet fastställes med hjälp av riskanalys. Etablerat fysiskt skydd skall samverka med [fs] yttre skalskydd. Utrymmen för gemensamma informationsbehandlingsresurser, centrala datorer, serverdatorer och nätverkskomponenter som är kritiska för verksamheten betecknas som "säkra utrymmen". Installationer av tillträdesskydd, inbrottslarm och brandlarm bör grundas på av auktoriserad organisations normer om sådana finns, t ex Försäkringsförbundets regler RUS, nivå 2. 15

16 4.2 Skydd av utrustning Mål: Att förhindra förlust, skada eller åverkan på utrustning samt förhindra avbrott i verksamheten. Utrustning för informationsbehandling, servrar, arbetsplats-pc etc. skall skyddas fysiskt mot säkerhetshot och miljörisker. Skyddets nivå skall följa [fs] generella regler eller fastställas genom riskanalys Placering och skydd av utrustning Som riktlinjer och anvisningar för fysiskt skydd vid placering av informationsbehandlingsutrustning gäller följande - Utrustning skall skyddas för obehörigas tillträde. Skyddet skall vara anpassat efter vad som framkommit i riskanalys. - Om känslig eller sekretessbelagd information behandlas skall insynsaspekten beaktas vid placering, t.ex. vid fönster. - Eventuellt anvisat stöldskydd skall användas eller alternativa skyddsåtgärder skall övervägas. - Påverkan av skada p.g.a. brand, rök, vatten, damm, vibrationer, kemiska substanser, brister i elförsörjning skall beaktas. En påslagen terminal eller arbetsplatsdator som är inloggad i ett eller flera system innebär en exponering av systemets information. Arbetsplatsutrustning som inte är bemannad dygnet runt skall därför loggas ut ur och stängas av efter arbetstidens slut. Skärmsläckaren skall vara aktiverad så att lösenord måste ges när arbetsplatsen stått orörd 20 minuter. Observera gällande regler för lösenord. Skrivares placering skall ur säkerhetssynpunkt avgöras utifrån den information som skrivaren skall användas för. Skrivare som skall användas för information som klassats i sekretessklass 2 eller 3 skall placeras på sådant sätt att obehöriga ej får tillgång till skrivaren. I utrymme där sekretessbelagd eller i övrigt känslig information skrivs ut bör ej finnas telefax, kopiator, skanner eller liknande utrustning. Verksamhetsansvarig linjechef (eller den denne utser) ansvarar för ordningen runt skrivaren. Kvarliggande utskrifter skall makuleras och pappersdamm avlägsnas för att minska brandrisken vid eventuella elfel. PC, skrivare och annan datorutrustning är stöldbegärlig. Arbetsplatsutrustning får därför inte placeras i lokaler som inte har skalskydd som är anpassat för hotbilden. Utrymmen för serverdatorer och nätverksutrustning i drift får ej användas som förråd. 16

17 4.2.5 Säkerhet för utrustning utanför egna lokaler Utrustning som används utanför [fs] lokaler skall skyddas så att samma säkerhetsnivå uppnås som om utrustningen användes i de egna lokalerna. Detta skall uppnås genom lämplig kombination av tekniska, fysiska och logiska skyddsåtgärder samt genom regler för handhavande. Bärbar PC: Samma regler för säkerhetsnivå som för nätansluten standard-pc skall gälla vid användning av bärbar PC. Vid arbete utanför ordinarie arbetsplats skall förvaring av såväl utrustning som disketter ägnas särskild uppmärksamhet på grund av stöldrisk, virusrisk och risk för informationsförlust. Användaren ansvarar för att backup och säkerhetskopiering av lokalt lagrad data sker. Beroende på vilken information PC:n innehåller kan särskilda säkerhetsåtgärder behöva vidtas. Distansarbetsplats: Samma regler för säkerhetsnivå som för nätansluten arbetsplats inom [f] skall gälla vid arbete på distansarbetsplats. Detta innebär bland annat att samma fysiska skydd, BKS, m.m. (beroende på klassificering) som krävs för arbetsplats inom [f] skall anordnas innan arbetsplatsen kan tas i bruk Säker avveckling eller återanvändning av utrustning Avveckling eller återanvändning av utrustning skall ske så att informationsförlust eller obehörig åtkomst förhindras. Standard-PC, eller annan utrustning för informationsbehandling, som inte utnyttjas skall återlämnas till [fs] IT-enhet eller motsvarande eller hanteras enligt särskild instruktion för uttjänt utrustning. För all datorutrustning som skrotas skall formellt skrotningsprotokoll upprättas. All förvaring av reservutrustning, ny utrustning som inte hunnit installeras och utrustning som skall återanvändas eller utrangeras skall ske i låsta utrymmen. Lagrad information skall raderas säkert, alternativt skall minnesmedia, hårddisk, diskett etc. förstöras vid utrangering, skrotning, avyttring eller återanvändning av standard-pc, bärbar PC eller annan utrustning där information lagrats. Hårddisk med kvalificerat hemlig information skall alltid förstöras vid utrangering. Beträffande datamedia med känslig information, se

18 4.3 Allmänna åtgärder Mål: Att förhindra att information och informationsbehandlingsresurser äventyras eller stjäls. Information och informationsbehandlingsresurser kan skyddas både genom tekniska skyddsåtgärder och personalens handhavande. Alla förhållanden kan vanligen inte regleras utan ordning, reda och sunt förnuft bör uppmuntras som en del av arbetskulturen. Alla chefer har en viktig uppgift i att uppträda föredömligt Policy för dokumentförvaring på rummet och på bildskärm Ordningsregler skall finnas för hantering av information både i form av dokument och med hjälp av datorer. Dokument med känsligt innehåll skall förvaras så att obehöriga inte kan ta del av informationen. Följande bör beaktas: Hur olika typer av känslig information skall förvaras och hanteras på rummet, så att de anställda är medvetna om att information som ligger framme lätt kan komma obehöriga till del till skada för [f]. Vilken information som skall låsas in i brandsäkert skåp respektive säkerhetsskåp. Hur utskrifter av känslig information skall hanteras. Regler för dokumentförvaring på skrivbord och på bildskärm bör övervägas. 18

19 5. Styrning av kommunikation och drift Syfte: Säkerställa korrekt och säker drift av IT-utrustningarna. Gällande princip: Säkerhetskraven för varje IT-system eller kritisk informationsresurs skall anges utifrån genomförd klassificering. Angivna säkerhetskrav skall jämföras med aktuell situation för att utforma åtgärdsprogram. Redan på planeringsstadiet av datorsystem och kommunikationslösningar måste säkerhetsaspekterna beaktas. Ansvarsfördelning: IT-chefen ansvarar för all datorutrustning vilket inkluderar utrustning för LAN och i viss mån WAN. K-chefen ansvarar för viss utrustning för kommunikation mot anläggningar. Referenser: [här refereras till andra dokument som kan vara av intresse i sammanhanget] 5.1 Driftrutiner och ansvar Mål: Att säkerställa korrekt och säker drift av informationsbehandlingsresurser. Chefen för IT-avdelningen är ansvarig för ledning och drift av gemensamma informationsbehandlingsresurser för verksamheten. Ansvaret omfattar att tillgodose överenskomna krav på sekretess, riktighet och tillgänglighet i tillämpad infrastruktur för informationsbehandling inklusive datakommunikation Dokumenterade driftrutiner Driftrutiner skall vara dokumenterade och hållas aktuella och ändringsrutin för driftdokumentation skall tillämpas Styrning av ändringar i drift Fastställda processer för hantering av förändringar i system skall alltid följas. Process för ändringshantering skall följas även för åtgärder som är av ren infrastrukturell karaktär. Motsvarande process skall följas när det gäller program som erhålls från programleverantör. Samtliga ändringar skall också kunna härledas till en ansvarig beställare. Förändringar i driftmiljö, utrustning och rutiner skall styras genom formell rutin som innebär: - identifiering och registrering av större ändringar; - konsekvensanalys av sådana ändringar; - godkännande/beslutsform för ändringar; - informationskrav till verksamheten; - rutin för avbrytande av och återställande av misslyckade ändringar. Systemförvaltaren ansvarar för att ovanstående regler följs. 19

20 5.1.3 Rutin för att återställa system efter allvarlig IT-incident Att återställa system efter allvarlig IT-incident kräver både förberedelser och kompetens. Processen för att återställa system efter allvarlig IT-incidenthantering kännetecknas bland annat av att: - det skall vara klarlagt hur och till vem rapportering skall ske; - det skall finnas resurser för att prioritera och åtgärda inträffade incidenter, inklusive beslutsmodell; - det skall finnas rutin för information, som del av åtgärderna, statistiskt och till ledning och övriga; - skeenden och åtgärder skall vara spårbara eller möjliga att följa upp i efterhand; - det skall finnas rutiner för återställning till normal drift efter att en incident åtgärdats; - rutinerna skall ta hänsyn till eventuellt behov av polisutredning vid misstanke om brottslig handling. Varje organisation som genom avtal eller delegation ansvarar för drift av IT-system för [fs] räkning skall i samarbete med uppdragsgivaren alternativt systemägarna för aktuella system upprätta rutiner för vissa onormala situationer. Rutinerna skall bl.a. ange: - Hur användarna informeras vid driftstörningar. - Hur rapportering skall ske vid störningar, fel och IT-incidenter. - Hur prioritering skall göras mellan system. - Hur man skall agera vid samtidiga störningar i flera system Uppdelning av arbetsuppgifter Arbetsuppgifter och ansvarsområden skall delas upp så att möjligheter till obehörig förändring eller missbruk av information eller tjänster minskas Uppdelning av utvecklings- och produktionsresurser Utvecklings-, test- och driftmiljö skall utformas så att risk för sammanblandning minimeras. Åtgärderna bör medge att: - utvecklings- och driftprogram kan köras i skilda tekniska miljöer; - utvecklings- och testarbete kan åtskiljas. 20

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2009-07-15 1 (9) Informationssäkerhetspolicy Antagen av kommunfullmäktige den 2009-10-21, 110 Kommunstyrelseförvaltningen Postadress Besöksadress Telefon Telefax E-post Hemsida 462 85 Vänersborg Sundsgatan

Läs mer

SÄKERHETSINSTRUKTIONER FÖR ANVÄNDARE AV IT SYSTEM

SÄKERHETSINSTRUKTIONER FÖR ANVÄNDARE AV IT SYSTEM SÄKERHETSINSTRUKTIONER FÖR ANVÄNDARE AV IT SYSTEM Version 2002-11-20 INNEHÅLLSFÖRTECKNING BAKGRUND...3 INLOGGNING...3 HANTERING AV INFORMATION...4 INTERNET...5 E-POST...6 INCIDENTER...6 BÄRBAR PC...6 ARBETSPLATSEN...7

Läs mer

Policy Document Number ESS-0002649 Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet

Policy Document Number ESS-0002649 Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet Revision 1 (3) State Released Plan för IT Säkerhet DOCUMENT REVISION HISTORY Revision Reason for revision Date 1 New Document 2013-02-26 List of Authors List of Reviewers List of Approvers Skölde, Daniel/Ulrika

Läs mer

Regler och instruktioner för verksamheten

Regler och instruktioner för verksamheten Informationssäkerhet Regler och instruktioner för verksamheten Dokumenttyp Regler och instruktioner Dokumentägare Kommungemensam ITsamordning Dokumentnamn Regler och instruktioner för verksamheten Dokumentansvarig

Läs mer

Informationssäkerhetsanvisning

Informationssäkerhetsanvisning HÖGSKOLAN I BORÅS STYRDOKUMENT 2012-12-12 Dnr 074-11-19 Informationssäkerhetsanvisningar Användare Beslutad av enhetschef för Gemensamma förvaltningen i enlighet med rektors beslut fattat den 16 februari

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2006-09-07 Informationssäkerhetspolicy Antagen av kommunfullmäktige 2006-09-28, 140 Innehåll 1 INLEDNING...3 2 MÅL FÖR INFORMATIONSSÄKERHETSARBETET...4 2.1 LÅNGSIKTIGA MÅL...4 2.2 ÅRLIGA MÅL...4 3 ORGANISATION,

Läs mer

IT-säkerhetsinstruktion

IT-säkerhetsinstruktion IT-säkerhetsinstruktion Innehållsförteckning 1. ANVÄNDARENS ANSVAR...2 2. ÅTKOMST TILL INFORMATION...2 2.1 BEHÖRIGHET...2 2.2 INLOGGNING...2 2.3 VAL AV LÖSENORD...2 2.4 BYTE AV LÖSENORD...2 3. DIN ARBETSPLATS...3

Läs mer

Informationssäkerhet Riktlinje Förvaltning

Informationssäkerhet Riktlinje Förvaltning Informationssäkerhet Riktlinje Förvaltning Fastställd av kommundirektören 2011-06-20 Innehåll 1 Informationssäkerhet 3 2 Organisation och ansvar 4 2.1 Informationssäkerhetssamordnare... 4 2.2 IT-chef...

Läs mer

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 3 RIKTLINJER FÖR ATT UPPNÅ MÅLEN... 3 3.1 ALLMÄNT... 3 3.2 LEDNING OCH ANSVAR FÖR IT-SÄKERHET... 3 3.2.1 Systemägare... 3 3.2.2

Läs mer

Bilaga 3c Informationssäkerhet

Bilaga 3c Informationssäkerhet SID 1 (9) Bilaga 3c Informationssäkerhet Förfrågningsunderlag Upphandling av ett helhetsåtagande avseende IT-stöd för pedagogiskt material inom Skolplattform Stockholm Box 22049, 104 22 Stockholm. Besöksadress

Läs mer

Säkerhet i fokus. Säkerhet i fokus

Säkerhet i fokus. Säkerhet i fokus Säkerhet i fokus Säkerhet i fokus Säkerhet är en av våra viktigaste frågor. Våra hyresgäster bedriver en daglig verksamhet i allt från kriminalvårds anstalter och domstolsbyggnader till speciella vårdhem

Läs mer

Säkerhetsinstruktion för användare av UmUs it-resurser

Säkerhetsinstruktion för användare av UmUs it-resurser Sid 1 (7) Säkerhetsinstruktion för användare av UmUs it-resurser Innehållsförteckning 1 Bakgrund...2 2 Tillgång till it-resurserna...2 3 Hantering av information...4 4 Programvaror...4 5 Internet...4 6

Läs mer

Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm

Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm Vervas allmänna råd till föreskrift om statliga myndigheters arbete med säkert

Läs mer

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy inom Stockholms läns landsting LS 1112-1733 Informationssäkerhetspolicy inom Stockholms läns landsting 2013-02-01 Beslutad av landstingsfullmäktige 2013-03-19 2 (7) Innehållsförteckning 1 Inledning...3 2 Mål... 4 3 Omfattning... 4 4

Läs mer

Informationssäkerhetsinstruktion: Användare

Informationssäkerhetsinstruktion: Användare EXEMPEL 1 Informationssäkerhetsinstruktion: Användare (Infosäk A) Innehållsförteckning 1. INSTRUKTIONENS ROLL I INFORMATIONSSÄKERHETSARBETET...2 2. ANVÄNDARENS ANSVAR...2 3. ÅTKOMST TILL INFORMATION...2

Läs mer

Informationssäkerhetsinstruktion Användare: Övriga (3:0:2)

Informationssäkerhetsinstruktion Användare: Övriga (3:0:2) Informationssäkerhetsinstruktion Användare: Övriga (3:0:2) Kommunalförbundet ITSAM Revision: 20130317 Dnr: 2013/00036 Kommunalförbundet ITSAM, Storgatan 36A, 590 36 Kisa Tel: 0494 197 00, Fax: 0494 197

Läs mer

IT-säkerhetsinstruktion Förvaltning

IT-säkerhetsinstruktion Förvaltning IT-säkerhetsinstruktion Förvaltning 2013-09-24 1.0 IT- S Ä K E R H E T S I N S T R U K T I O N IT-säkerhetsinstruktion Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se

Läs mer

Informations- säkerhet

Informations- säkerhet ISec Code of Conduct Internal information Informations- säkerhet Ditt ansvar! ISec Code of Conduct Informationssäkerhet Scanias verksamhet är beroende av att information är tillgänglig och hanteras på

Läs mer

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUNS NÄTVERK 1 INLEDNING...1 2 BAKGRUND...1

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUNS NÄTVERK 1 INLEDNING...1 2 BAKGRUND...1 GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUNS NÄTVERK 1 INLEDNING...1 2 BAKGRUND...1 3 VERKSAMHETSBESKRIVNING...1 3.1 ANVÄNDNINGSSÄTT - FUNKTIONSBESKRIVNING...1 3.1.1 Användning under normala förhållanden

Läs mer

IT-riktlinjer Nationell information

IT-riktlinjer Nationell information IT-riktlinjer Nationell information Syftet med denna It-riktlinje: den ska vägleda i användningen av Studiefrämjandets gemensamma datornätverk och dess it-resurser, vilket även innefattar den egna datorarbetsplatsen.

Läs mer

Rikspolisstyrelsens författningssamling

Rikspolisstyrelsens författningssamling Rikspolisstyrelsens författningssamling ISSN 0347 545X Utgivare: chefsjuristen Lars Sjöström Rikspolisstyrelsens föreskrifter och allmänna råd om anskaffning, användning, utveckling och förändring av Polisens

Läs mer

Säkerhetsinstruktioner för användare av Falköpings kommuns nätverk

Säkerhetsinstruktioner för användare av Falköpings kommuns nätverk Säkerhetsinstruktioner för användare av Falköpings kommuns nätverk SÄKERHETSINSTRUKTIONER FÖR ANVÄNDARE AV FALKÖPINGS KOMMUNS NÄTVERK 1 BAKGRUND... 1 2 INLOGGNING... 1 3 HANTERING AV INFORMATION... 3 4

Läs mer

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ 2006-01-31. Agenda

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ 2006-01-31. Agenda IT governance i praktiken: Styrning och kontroll över ITriskerna med ISO2700X Fredrik Björck Transcendent Group för ADBJ 2006-01-31 Agenda IT governance definierat IT governance i praktiken och infosäk

Läs mer

Informationssäkerhet - Informationssäkerhetspolicy

Informationssäkerhet - Informationssäkerhetspolicy Informationssäkerhet - Informationssäkerhetspolicy Informationssäkerhetspolicy 2008-08-29 Innehållsförteckning 1 Inledning... 1 2 Mål för IT-sbäkerhetsarbetet... 2 2.1 Långsiktiga mål... 2 2.2 Årliga mål...

Läs mer

Myndigheten för samhällsskydd och beredskaps författningssamling

Myndigheten för samhällsskydd och beredskaps författningssamling Myndigheten för samhällsskydd och beredskaps författningssamling Utgivare: Key Hedström, Myndigheten för samhällsskydd och beredskap ISSN 2000-1886 MSBFS Utkom från trycket den 8 januari 2010 Myndigheten

Läs mer

IT-Policy Vuxenutbildningen

IT-Policy Vuxenutbildningen IT-Policy Vuxenutbildningen För att du som användare skall kunna leva upp till de säkerhetskrav som ställs på dig måste du känna till kommunkoncernens förhållningssätt och regelverk angående hur du får

Läs mer

Informationssäkerhetsinstruktion Användare: Elever (3:0:1)

Informationssäkerhetsinstruktion Användare: Elever (3:0:1) Informationssäkerhetsinstruktion Användare: Elever (3:0:1) Kommunalförbundet ITSAM Revision: 20130307 Dnr: 2013/00036 Kommunalförbundet ITSAM, Storgatan 36A, 590 36 Kisa Tel: 0494 197 00, Fax: 0494 197

Läs mer

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Riktlinjer för säkerhetsarbetet vid Uppsala universitet Dnr UFV 2010/424 Riktlinjer för säkerhetsarbetet vid Uppsala universitet Fastställda av Universitetsdirektören 2010-03-31 Innehållsförteckning 1 Inledning 3 2 Ansvar 3 3 Underlåtelse 3 4 Definitioner 3

Läs mer

Riktlinjer för IT-säkerhet i Halmstads kommun

Riktlinjer för IT-säkerhet i Halmstads kommun Riktlinjer för IT-säkerhet i Halmstads kommun VER 1.0 Innehåll Inledning...3 Definition av IT-säkerhet...3 Omfattning...3 Vikten av IT-säkerhet...3 Mål för IT-säkerhetsarbetet...4 Ledning och ansvar...4

Läs mer

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet 2008:490 kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet Fastställt av kommunfullmäktige 2008-10-02 302 komplettering gjord

Läs mer

checklista informationssäkerhet vid hantering av it-system

checklista informationssäkerhet vid hantering av it-system 55 Bilaga 9 checklista informationssäkerhet vid hantering av it-system Säkerhet för den private hem-pc-användaren och det mindre energiföretaget Observera att bristande säkerhet i PC:n inte bara drabbar

Läs mer

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) INFORMATIONSSÄKERHETSPOLICY Innehållsförteckning Sida 1.1 Informationssäkerhet 1 1.2 Skyddsområden 1 1.3 Övergripande mål 2 1.4 Årliga mål 2 1.5 Organisation

Läs mer

Regler och riktlinjer för IT-säkerhet i Ronneby kommun

Regler och riktlinjer för IT-säkerhet i Ronneby kommun FÖRFATTNINGSSAMLING Utgivare: Kommunledningskontoret Gäller från: 2004-04-01 Antagen: KF 47/2004 i Ronneby kommun 1. Allmänt 1.1. Begrepp används i betydelsen att i första hand omfatta skydd av information

Läs mer

Regler för användning av Riksbankens ITresurser

Regler för användning av Riksbankens ITresurser Regler för användning av Riksbankens ITresurser MAJ 2009 1 Inledning I det följande ges regler för användning av Riksbankens IT-resurser, vilka gäller för alla medarbetare i Riksbanken samt konsulter och

Läs mer

Riktlinje för säkerhetskrav vid upphandling av IT-stöd

Riktlinje för säkerhetskrav vid upphandling av IT-stöd 1 (5) Ver. 1.1-2008-11-06 Riktlinje för säkerhetskrav vid upphandling av IT-stöd 1. Inledning Detta dokument redogör för vissa grundläggande säkerhetskrav som bör ställas i samband med anskaffning eller

Läs mer

Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret

Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret Antagen av Kommunfullmäktige 2009-04-23 57 1. Allmänt... 3 1.1 Inledning... 3 1.2 Begreppet informationssäkerhet

Läs mer

Kapitel 10 Styrning av kommunikation och drift

Kapitel 10 Styrning av kommunikation och drift Kapitel 10 Styrning av kommunikation och drift En förutsättning för att de flesta informationssystem ska fungera är den underliggande kommunikationen. Varje enhet måste kunna lita på att nödvändiga resurser

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om it-system, informationssäkerhet och insättningssystem;

Läs mer

Gemensamma anvisningar för informationsklassning. Motala kommun

Gemensamma anvisningar för informationsklassning. Motala kommun Gemensamma anvisningar för informationsklassning Motala kommun Beslutsinstans: Kommunfullmäktige Diarienummer: 11/KS 0071 Datum: 2011-08-22 Paragraf: 107 Reviderande instans: Kommunstyrelsen Diarienummer:

Läs mer

Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet

Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet Gäller från och med 2009-01-01 Dnr 5581/2008-030 Beslut 2008-12-10 Dnr:5581/2008-030 Universitetsdirektören Regler och riktlinjer för IT-säkerhet

Läs mer

IT-säkerhetspolicy. Fastställd av KF 2005-02-16

IT-säkerhetspolicy. Fastställd av KF 2005-02-16 IT-säkerhetspolicy Fastställd av KF 2005-02-16 IT-säkerhetspolicy Sidan 2 (9) Revisionsinformation Datum Åtgärd Ansvarig Version 2004-11-19 3.4 Ändrat första meningen PGR 2.0 förvaltningen -> verksamheten

Läs mer

Allmänna villkor för infrastrukturen Mina meddelanden

Allmänna villkor för infrastrukturen Mina meddelanden Allmänna villkor för infrastrukturen Mina meddelanden Bilaga 1 Krav på säkerhet för brevlådeoperatörer version 1.2 (Gäller fr.o.m. 2015-11-11) 2 Bakgrund och syfte Skatteverket tillhandahåller en myndighetsgemensam

Läs mer

Informationssäkerhetspolicy för Nässjö kommun

Informationssäkerhetspolicy för Nässjö kommun Författningssamling Antagen av kommunfullmäktige: 2014-11-27 173 Informationssäkerhetspolicy för Nässjö kommun Innehåll 1 Inledning... 3 1.1 Begreppsförklaring... 3 2 Syfte... 4 3 Mål för Informationssäkerhetsarbetet...

Läs mer

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUN

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUN GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUN 06-07 GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUNS NÄTVERK 1 INLEDNING...1 2 BAKGRUND...1 3 VERKSAMHETSBESKRIVNING...2 3.1 ANVÄNDNINGSSÄTT - FUNKTIONSBESKRIVNING...2

Läs mer

Informationssäkerhet

Informationssäkerhet Informationssäkerhet Information och anvisningar för medarbetare i Stockholms läns sjukvårdsområde Informationssäkerhet 3 Informationssäkerhet inom Stockholms läns sjukvårdsområde (SLSO) Med informationssäkerhet

Läs mer

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet Innehållsförteckning 1. Generell informationssäkerhet... 4 1.1. Styrande dokumentation... 4 1.2. Organisation... 4 Incidenthantering...

Läs mer

Denna instruktion syftar till att ge dig kunskaper och riktlinjer om hur du hanterar

Denna instruktion syftar till att ge dig kunskaper och riktlinjer om hur du hanterar Utgivare: Kommunledningsförvaltningen Kansli Gäller fr. o m: Lagakraftvunnet beslut Beslut: KF 47, 2004-04-05 1 Inledning Kommunernas Säkerhetspolicy IT beskriver närmare hur vi arbetar med IT-säkerheten

Läs mer

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner Riktlinjer avseende Informationssäkerheten Sida 1 Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner Informationssäkerhet är en del i kommunernas lednings- och kvalitetsprocess

Läs mer

Informationssäkerhetsinstruktion Mora, Orsa och Älvdalens kommuner

Informationssäkerhetsinstruktion Mora, Orsa och Älvdalens kommuner Informationssäkerhetsinstruktion Mora, Orsa och Älvdalens kommuner - Användare Informationssäkerhetsinstruktion gemensam Mora, Orsa och Älvdalens kommuner Innehållsförteckning 1 Inledning... 1 2 Klassning

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datum Diarienr 2013-05-08 1552-2012 Socialnämnden i Norrköpings kommun Rådhuset 601 81 Norrköping Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datainspektionens

Läs mer

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet Dnr 1-516/2013 (ersätter Dnr 6255-2012-060) Gäller från och med Informationsklass: K1R2T1 Bilaga 2. Ansvarsbeskrivningar

Läs mer

Handbok Informationsklassificering

Handbok Informationsklassificering Stockholms stad Handbok Informationsklassificering Stockholm 2008-03-18 1. Informationssäkerhet Kraven på säkerhet i en organisation med IT-stöd skall ställas i relation till de krav som ställs på organisationens

Läs mer

EBITS Energibranschens Informations- & IT-säkerhetsforum BITS. Checklista för f r mindre energiföretag. retag INLEDNING

EBITS Energibranschens Informations- & IT-säkerhetsforum BITS. Checklista för f r mindre energiföretag. retag INLEDNING Checklista för f r mindre energiföretag retag INLEDNING Lennart Castenhag, Svenska Kraftnät E Energibranschens rmations- & IT-säkerhetsforum Håkan Eriksson, Kraft Att tänka på när vi använder PC privat:

Läs mer

För att du som användare skall kunna leva upp till de säkerhetskrav som ställs på dig måste du känna till. Lärare och Elever har olika krav: Lärare

För att du som användare skall kunna leva upp till de säkerhetskrav som ställs på dig måste du känna till. Lärare och Elever har olika krav: Lärare För att du som användare skall kunna leva upp till de säkerhetskrav som ställs på dig måste du känna till. Lärare och Elever har olika krav: Lärare Lösenord lösenordet ska vara minst 8 tecken långt. lösenordet

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om informationssäkerhet, it-verksamhet och insättningssystem;

Läs mer

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Beslutsdatum 2007-06-11 (rev. 2014-11- 24 )

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Beslutsdatum 2007-06-11 (rev. 2014-11- 24 ) Fastighetsavdelningen STYRDOKUMENT Leif Bouvin 14-11-24 dnr V 2014/853 031-789 58 98 Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet Publiceringsdatum November 2014 Publicerad Beslutsfattare

Läs mer

Säkerhetspolicy för Göteborgs Stad

Säkerhetspolicy för Göteborgs Stad (Styrelsemöte i Förvaltnings AB Framtiden 2014-12-09) Säkerhet & lokaler Gemensamt för staden Säkerhetspolicy för Göteborgs Stad - Policy/riktlinjer/regler Handläggare: Peter Lönn Fastställare: Kommunfullmäktige

Läs mer

2012-12-12 Dnr 074-11-19

2012-12-12 Dnr 074-11-19 HÖGSKOLAN I BORÅS STYRDOKUMENT 2012-12-12 Dnr 074-11-19 Regler för informationssäkerhet Regler för informationssäkerhet är beslutade av enhetschefen för i enlighet med Högskolans säkerhetspolicy (dnr 288-11-101)

Läs mer

Sammanfattning av riktlinjer

Sammanfattning av riktlinjer Sammanfattning av riktlinjer INFORMATIONSSÄKERHET FÖR ANVÄNDARE inom Luleå kommunkoncern 2015-03-04 Informationssäkerhet för användare beskriver hur Luleå kommun hanterar den information som används i

Läs mer

Regel. Användning av Riksbankens IT-resurser. Inledning. Användning av IT-resurser

Regel. Användning av Riksbankens IT-resurser. Inledning. Användning av IT-resurser Regel BESLUTSDATUM: 2014-03-24 BESLUT AV: Anders Vredin BEFATTNING: Avdelningschef ANSVARIG AVDELNING: Stabsavdelningen FÖRVALTNINGSANSVARIG: Lars Andersson HANTERINGSKLASS: Ö P P E N SVERIGES RIKSBANK

Läs mer

Juridik och informationssäkerhet

Juridik och informationssäkerhet 2 KAPITEL Juridik och informationssäkerhet Sammanfattning Information som hanteras i socialtjänstens hemtjänstverksamhet (hemtjänst) och i kommunal hälso- och sjukvård (hemsjukvård) innehåller känsliga

Läs mer

Riktlinjer för användande av kommunens datorer och Internet för anställda och förtroendevalda i Laholms kommun

Riktlinjer för användande av kommunens datorer och Internet för anställda och förtroendevalda i Laholms kommun Fastställd av kommunstyrelsen 2012-11-13 Dnr 2012-259 Riktlinjer för användande av kommunens datorer och Internet för anställda och förtroendevalda i Laholms kommun Användningen av IT-stöd i vårt dagliga

Läs mer

AppGate och Krisberedskapsmyndighetens basnivå för informationssäkerhet, BITS

AppGate och Krisberedskapsmyndighetens basnivå för informationssäkerhet, BITS AppGate ch Krisberedskapsmyndighetens basnivå för infrmatinssäkerhet, BITS En intrduktin i säkerhet. AppGate AppGate är ett svenskt säkerhetsföretag med sina rötter inm försvarsindustrin. AppGates teknik

Läs mer

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och beredskap föreskriver. I dokumentet kommer fortsättningsvis

Läs mer

Säkerhetsinstruktion. Procapita Vård och Omsorg

Säkerhetsinstruktion. Procapita Vård och Omsorg PM Handläggare Vårt diarienummer Datum Sidan 1(16) Säkerhetsinstruktion Procapita Vård och Omsorg Senast reviderad: 2010-12-29 Detta dokument är fastställt av systemägare för Procapita Vård och Omsorg

Läs mer

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation Presentation Informationssäkerhet Kim Strandberg Informationssäkerhetsstrateg/jurist kim.strandberg@regionostergotland.se 010-103 03 385 Region Informationssäkerhet, Östergötland 2015-03-11, Kim Strandberg

Läs mer

Förutsättningar för gallring efter skanning 1 (5) Tillsynsavdelningen Datum Dnr RA 01-2011/1121 Håkan Lövblad 2011-10-26

Förutsättningar för gallring efter skanning 1 (5) Tillsynsavdelningen Datum Dnr RA 01-2011/1121 Håkan Lövblad 2011-10-26 Tillsynsavdelningen Datum Dnr RA 01-2011/1121 Håkan Lövblad 2011-10-26 1 (5) Förutsättningar för gallring efter skanning För att myndighet ska få gallra pappershandlingar efter skanning fordras det myndighetsspecifika

Läs mer

Elektronisk informationssäkerhet. Riktlinjer för Användare - anställda och förtroendevalda. Eslövs kommun

Elektronisk informationssäkerhet. Riktlinjer för Användare - anställda och förtroendevalda. Eslövs kommun Elektronisk informationssäkerhet Riktlinjer för Användare - anställda och förtroendevalda Eslövs kommun Dokumentet Riktlinjer för användare anställda och förtroendevalda är antaget av kommunstyrelsens

Läs mer

Kapitel 15 Efterlevnad

Kapitel 15 Efterlevnad Kapitel 15 Efterlevnad Organisationers verksamhet regleras av lagar och avtal. Många verksamheter måste också följa särskilda författningar eller krav som ställts upp av myndigheterna. Att handla i strid

Läs mer

ANVÄNDARHANDBOK. Advance Online

ANVÄNDARHANDBOK. Advance Online ANVÄNDARHANDBOK Advance Online INNEHÅLL Innehåll... 2 Välkommen!... 3 Allmän information... 3 Idén bakom Advance Online... 3 Att logga in på en terminalstation... 4 Allmänt... 4 Citrix-klienten... 4 Inloggning...

Läs mer

ANVÄNDARHANDBOK Advance Online

ANVÄNDARHANDBOK Advance Online ANVÄNDARHANDBOK Advance Online 2013-09-27 INNEHÅLL Innehåll... 2 Välkommen till Advance Online!... 3 Allmän information... 3 Idén bakom Advance Online... 3 Att logga in på en terminalstation... 4 Allmänt...

Läs mer

Fastställd av kommundirektören 2011-06-20. Informationssäkerhet Riktlinje Kontinuitet och drift

Fastställd av kommundirektören 2011-06-20. Informationssäkerhet Riktlinje Kontinuitet och drift Fastställd av kommundirektören 2011-06-20 Informationssäkerhet Riktlinje Kontinuitet och drift Innehåll 1 Informationssäkerhet 3 2 Organisation och ansvar för säkerhetsarbetet 4 2.1 IT-Support... 4 3 Hantering

Läs mer

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhetspolicy IT (0:0:0) Informationssäkerhetspolicy IT (0:0:0) Antagen av kommunfullmäktige 2014-02-24, KF 29 Informationssäkerhetspolicy IT (0:0:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd:

Läs mer

Rekryteringsmyndighetens interna bestämmelser

Rekryteringsmyndighetens interna bestämmelser Rekryteringsmyndighetens interna bestämmelser Rekryteringsmyndighetens interna bestämmelser om användning av myndighetens IT-utrustning samt IT-tjänster och telefoni RIB 2014:1 beslutade den 9 april 2014.

Läs mer

IT-säkerhetspolicy. Antagen av kommunfullmäktige 2004-06-21

IT-säkerhetspolicy. Antagen av kommunfullmäktige 2004-06-21 IT-säkerhetspolicy Antagen av kommunfullmäktige 2004-06-21 1 Det moderna samhället är starkt beroende av att elförsörjning, telekommunikationer och IT-system fungerar. Om dessa påverkas kan svåra störningar

Läs mer

Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK)

Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK) Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK) 1. Allmänt Dessa Allmänna villkor reglerar Socialnämndens anslutning till Sammansatt Bastjänst

Läs mer

Kapitel 12 Efterlevnad

Kapitel 12 Efterlevnad Kapitel 12 Efterlevnad Inledning I appendix A till SS 62 77 99-2 refereras till normativa krav för att uppfylla ett ledningssystem för informationssäkerhet. Nedan följer råd som finns i SS-ISO/IEC 17799

Läs mer

ITsäkerhetspolicy. Antagen av kommunstyrelsen 1999-03-03 46-99

ITsäkerhetspolicy. Antagen av kommunstyrelsen 1999-03-03 46-99 ITsäkerhetspolicy Antagen av kommunstyrelsen 1999-03-03 46-99 IT-säkerhetspolicy för Denna policy uttrycker kommunledningens syn på behovet av IT-säkerhet i Lysekils kommun. Den anger omfattning och ansvarsfördelning

Läs mer

Plan för informationssäkerhet vid Högskolan Dalarna 2015

Plan för informationssäkerhet vid Högskolan Dalarna 2015 Plan för informationssäkerhet vid Högskolan Dalarna 2015 Beslut: 2015-05-04 Reviderad: Dnr: DUC 2015/769/10 Ersätter: Relaterade dokument: Policy för informationssäkerhet Ansvarig: Förvaltningschef Innehållsförteckning

Läs mer

Icke funktionella krav

Icke funktionella krav 1 (9) Underskriftstjänst Svensk e-legitimation 2 (9) INNEHÅLL 1 Inledning... 3 2 Tillgänglighet och kapacitet... 3 2.1 Svarstider... 3 3 Administrativ säkerhet... 4 3.1 Policy och regelverk... 4 3.1.1

Läs mer

Metoder för att öka informationssäkerheten. och därmed minska säkerhetsriskerna

Metoder för att öka informationssäkerheten. och därmed minska säkerhetsriskerna Metoder för att öka informationssäkerheten och därmed minska säkerhetsriskerna Mål Att utifrån en riskanalys identifiera förbättringsåtgärder som ökar säkerheten i verksamheten kunna välja lämpliga åtgärder

Läs mer

Riktlinjer för informationssäkerhet

Riktlinjer för informationssäkerhet UFV 2012/715 Riktlinjer för informationssäkerhet Anvisningar för genomförande av risk- och hotbildsanalyser Fastställd av: Säkerhetschef 2012-04-02 Innehållsförteckning 1 Riskanalyser av systemförvaltningsobjekt

Läs mer

Svensk Standard SS ISO/IEC 17799 SS 62 77 99-2

Svensk Standard SS ISO/IEC 17799 SS 62 77 99-2 Svensk Standard SS ISO/IEC 17799 SS 62 77 99-2 Ledningssystem för informationssäkerhet () Informationssäkerhet Informationssäkerhet Administrativ säkerhet IT-säkerhet ADB-säkerhet Kommunikationssäkerhet

Läs mer

Lösenordsregelverk för Karolinska Institutet

Lösenordsregelverk för Karolinska Institutet Lösenordsregelverk för Karolinska Institutet Dnr 1-213/2015 Version 2.0 Gäller från och med 2015-05-18 Sida 2 av 7 Lösenordsregelverk för Karolinska Institutet - Sammanfattning Syfte Det övergripande syftet

Läs mer

IT-säkerhetsinstruktion för användare

IT-säkerhetsinstruktion för användare Utgivare: Kommunledningsenheten Gäller från: 1 januari 2007 Antagen: KF 246/2006 STYRDOKUMENT IT-säkerhetsinstruktion för användare 1 Inledning Ronneby kommuns IT-policy 1, Policy för IT-säkerhet i Ronneby

Läs mer

SÄKERHETSFÖRESKRIFTER FÖR FÖRVALTNING AV IT-SYSTEM

SÄKERHETSFÖRESKRIFTER FÖR FÖRVALTNING AV IT-SYSTEM FÖRFATTNINGSSAMLING (8.1.3) SÄKERHETSFÖRESKRIFTER Dokumenttyp Riktlinjer Ämnesområde IT Ägare/ansvarig IT-strateg Antagen av KS 2012-02-08 47 Revisions datum Förvaltning KSF, stab Dnr KS/2010:1056 Giltig

Läs mer

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad: 2013-10-23

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad: 2013-10-23 Informationssäkerhet vid Karolinska Universitetssjukhuset Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad: 2013-10-23 Förlorar vi informationen, om den är felaktig eller manipulerad

Läs mer

SOLLENTUNA FÖRFATTNINGSSAMLING

SOLLENTUNA FÖRFATTNINGSSAMLING Regler för informationssäkerhet i Sollentuna kommun Antagna av kommunstyrelsen 2014-02-19 26, dnr 2014/0041 KS.063 Innehåll 1. Inledning... 4 2 Omfattning... 4 3 Process för informationssäkerhet inom Sollentuna

Läs mer

Regler för IT-säkerhet Version 1.2 Upprättad av: Peter Jimmefors Upprättad: 2012-09-17 Fastställd av: Johan Fritz Fastställd: 2012-09-17

Regler för IT-säkerhet Version 1.2 Upprättad av: Peter Jimmefors Upprättad: 2012-09-17 Fastställd av: Johan Fritz Fastställd: 2012-09-17 Datum Dnr Dpl 2012-09-17 2012/KS0194-1 005 Regler för IT-säkerhet Version 1.2 Upprättad av: Peter Jimmefors Upprättad: 2012-09-17 Fastställd av: Johan Fritz Fastställd: 2012-09-17 Bakgrund Information

Läs mer

Säkerhet för personuppgifter

Säkerhet för personuppgifter Säkerhet för personuppgifter Datainspektionens allmänna råd 1 Innehåll Inledning 4 Ansvaret för säkerheten 6 Organisation 11 Hotbild 14 Säkerhetsnivå 16 Säkerhetsåtgärder 19 Sammanfattning 26 Några begrepp

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688 Revisionsrapport Malmö Högskola 205 06 Malmö Datum Dnr 2012-05-22 32-2011-0688 Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011 Riksrevisionen har som ett led

Läs mer

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6 Bromölla kommun KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6 Antagen/Senast ändrad Gäller från Dnr Kf 2013-09-30 151 2013-10-01 2013/320 RIKTLINJER FÖR INFORMATIONSSÄKERHET Riktlinjer för informationssäkerhet

Läs mer

Informationssäkerhetsinstruktion. medarbetare

Informationssäkerhetsinstruktion. medarbetare 2009-11-06 Informationssäkerhetsinstruktion för medarbetare Upplands-Bro kommun Antagen av kommundirektören 2010-02-18 Sid 2 (9) 1 Inledning... 3 2 Medarbetarens ansvar... 3 3 Åtkomst till information

Läs mer

Kravställning på e-arkiv från informationssäkerhetsperspektiv

Kravställning på e-arkiv från informationssäkerhetsperspektiv Kravställning på e-arkiv från informationssäkerhetsperspektiv Författare: Delprojektgruppen informationssäkerhet Årtal: 2014 Författare: Delprojektgruppen informationssäkerhet Sammanfattning Inom ramen

Läs mer

Regler för användning av Oskarshamns kommuns IT-system

Regler för användning av Oskarshamns kommuns IT-system Regler för användning av Oskarshamns kommuns IT-system Gäller från 2006-01-01 1. Bakgrund Information är en viktig tillgång för vår organisation. All information som har skapats här på kommunen har tagit

Läs mer

IT-Policy. Tritech Technology AB

IT-Policy. Tritech Technology AB IT-Policy Tritech Technology AB 1 av 6 Innehåll 1 Dokumentinformation...3 1.1 Syfte och målgrupp 3 1.2 Ansvar 3 1.3 Nyttjande 3 1.4 Distribution 3 1.5 Versionshistorik 3 1.6 Godkännande 3 2 IT-Policy...4

Läs mer

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group www.transcendentgroup.com Målsättning Öka förståelsen för nyttan med IT-revision Vad innebär intern IT-revision? Jmf

Läs mer

Säkerhetsföreskrifter Gäller från och med 2014-10-01

Säkerhetsföreskrifter Gäller från och med 2014-10-01 1 (6) Gäller från och med 2014-10-01 INNEHÅLL SID 1 Allmänt... 2 1.1 Omfattning... 2 1.2 Informationsskyldighet... 2 1.3 Giltighet... 2 2 Informationssäkerhet... 2 2.1 Sekretess... 2 2.2 Hanteringsregler...

Läs mer