Hot och så rbårhetskåtålog fo r medlemmår i Såmbi
|
|
- Gunilla Pålsson
- för 8 år sedan
- Visningar:
Transkript
1 1 Ht ch så rbårhetskåtålg f r medlemmår i Såmbi Innehållsförteckning 1. Syfte Ansvar Risk Skyddsvärde Skada Legala krav Ht Htaktörer Htlista Infrmatinssäkerhetsplicy Organisatin av infrmatinssäkerhetsarbetet Persnalsäkerhet Hantering av tillgångar Styrning av åtkmst Kryptering Fysisk ch miljörelaterad säkerhet Driftsäkerhet Kmmunikatinssäkerhet Anskaffning, utveckling ch underhåll av system Leverantörsrelatiner Hantering av infrmatinssäkerhetsincidenter Infrmatinssäkerhetsaspekter avseende hantering av verksamhetens kntinuitet Efterlevnad Sårbarhet Sårbarhetslista Infrmatinssäkerhetsplicy Organisatin av infrmatinssäkerhetsarbetet htkatalg _v1.dcxHtkatalg _v1.dcx
2 Persnalsäkerhet Hantering av tillgångar Styrning av åtkmst Kryptering Fysisk ch miljörelaterad säkerhet Driftsäkerhet Kmmunikatinssäkerhet Anskaffning, utveckling ch underhåll av system Leverantörsrelatiner Hantering av infrmatinssäkerhetsincidenter Infrmatinssäkerhetsaspekter avseende hantering av verksamhetens kntinuitet Efterlevnad Appendix Riskanalysens arbetsuppgifter Syfte Detta dkument listar ett axplck ptentiella ht, ett antal sårbarheter samt ett urval legala krav sm kan vara aktuella för en medlem i Sambi (Samverkan för behörighet ch identitet inm hälsa, vård ch msrg) i dess rll sm E-legitimatinsutfärdare, Identitetsintygsutgivare, Attribututgivare ch/eller Tjänsteleverantör. Dkumentet kan även med fördel användas av Leverantör till Medlem. Dessa listr gör inget anspråk på att vara fullständiga eller att allt sm listas är relevant för varje medlem. Listan är mer tänkt att fungera sm en hjälp, inspiratin ch checklista för riskanalysen. Medlem bör ha mvärldsbevakning för att hålla sin riskanalys aktuell då vi lever i en ständigt föränderlig värld. 2. Ansvar Infrmatinssäkerhet är en tvärsektriell fråga sm berör alla ch det ställer ökade krav på samverkan mellan interna ch externa aktörer hs medlemmen. Kunskapsuppbyggnad, uppföljning ch utvärdering är centrala inslag i styrningen av denna typ av frågr vilket ställer ökade krav på ledningens förmåga att priritera mellan ch samrdna lika perspektiv. Det finns ett mfattande regelverk sm behandlar infrmatinssäkerhetsmrådet. Reglerna anger bland annat vilka krav sm ställs på aktörerna inm vård, hälsa ch msrg. Reglerna för medlemmen återfinns i tillitsramverket, i lagstiftning ch genm förrdningar m.m. Vissa myndigheter har ckså utfärdat föreskrifter ch allmänna råd. htkatalg _v1.dcxHtkatalg _v1.dcx
3 3 Vad gäller att ta fram risk-, ht- ch sårbarhetsanalyser, samt vidta säkerhetsåtgärder för att kmma till rätta med brister är arbetet baserat på verksamhetsansvaret ch ansvarsprincipen. Verksamhetsansvaret innebär att varje enskild medlem är ansvarig för att den egna infrmatinssäkerheten är tillräcklig utifrån den dagliga verksamhet medlemmen bedriver. Ansvarsprincipen innebär att den medlem sm nrmalt ansvarar för en verksamhet har samma ansvar att infrmatinssäkerheten fungerar även under en krissituatin. Därför genm verksamhetsansvaret ch ansvarsprincipen har medlemmen en åtagande att aktivt samverka med andra medlemmar ch federatinsperatören för att kunna lösa sina uppgifter. 3. Risk Medlemmens dimensinering av ledningssystemet för infrmatinssäkerhet ska ske mt infrmatinssäkerhetsrisken via en riskanalys. Inm IT-säkerhet betraktas risken sm någt dåligt. Risken kan utryckas i frm av kmbinatin av ht ch sårbarhet (risk = ht x sårbarhet) där risken blir sannlikheten för att ett givet ht realiseras ch därmed uppkmmande skada. Denna skada kan vara mt hälsa eller liv men ckså annat sm exempelvis skada på persnliga integriteten, eknmisk, förtrende eller miljö. Fastställande av risken sker med hjälp av en riskanalys, den sm söker förslag till en enkel metd rekmmenderas att ta till sig MSB dkumentet Riskanalys Skyddsvärde Skyddsvärde används för att filtrera risker. Medlemmen behöver vid riskanalysen ta hänsyn till skyddsvärdet eftersm av legala eller andra rsaker, exempelvis vid behv av tillgänglighet, är värt mer att skydda än annat. 4. Skada Skadan är knsekvensen av att en risk realiseras. Vård, hälsa ch msrg regleras av en mängd lika krav, interna sm externa (inklusive legala). Att förlra förmågan att uppfylla ställda krav, avsett m dessa är utryckta i text eller sm våra implicita förväntningar kan resultera i skada hs användarrganisatin eller tjänsteleverantörer men även tredjepart kan ta skada exempelvis patienten vars persnliga integritet blir kränkt Legala krav Arbetet inm vård, hälsa ch msrgssektrn regleras i viktiga delar av krav i lagstiftningen. Lagar ch föreskrifter kan innehålla krav sm behöver tas med i riskanalysen ch sm därmed kan påverka rganisatinens ledningssystem för infrmatinssäkerhet (LIS). Medlemmen uppmanas därför att försäkra sig m att ha en lista av lagar ch föreskrifter sm är relevanta, kmpletta ch aktuella för den egna verksamheten. Sm hjälp, inspiratin ch checklista vid riskanalysen har det sammanställts 1 MSB dkument för Riskanalys återfinns sm en del av metdstödet på webbplatsen htkatalg _v1.dcxHtkatalg _v1.dcx
4 4 ett extrakt av lagar sm är aktuella inm vård, hälsa ch msrgssektrn. Några av de viktigaste lagarna inm sektrn är (listan uppdaterades senast ): Persnuppgiftslag (1998:204) Patientlag (2014:821) Apteksdatalag (2009:367) Lag (2005:258) m läkemedelsförteckning Lag (1996:1156) m receptregister Patientsäkerhetslagen (2010:659) Förrdning (2006:196) m register över häls- ch sjukvårdspersnal Scialtjänstlagen (2001:453) Lag (2001:454) m behandling av persnuppgifter inm scialtjänsten Förrdning (2001:637) m behandling av persnuppgifter inm scialtjänsten Lagen (1993:387) m stöd ch service till vissa funktinshindrade Patientdatalagen (2008:355) Offentlighets- ch sekretesslag (2009:400) Smittskyddslagen (2004:168) Lagen (2008:286) m kvalitets- ch säkerhetsnrmer vid hantering av mänskliga vävnader ch celler Lagen (1993:584) m medicintekniska prdukter 5. Ht Att medlemmen ska eftersträva gd infrmatinssäkerhet handlar inte bara m att följa de regler sm finns för verksamhetens skull. I dagens samhälle är tillgång till tillförlitlig infrmatin, fta i realtid, en kritisk resurs. Ht är en möjlig, önskad händelse med negativa knsekvenser för verksamheten. En str del av den infrmatin sm skapas ch lagras i systemen är viktig ch samtidigt känslig. Åtkmst till system inm vård, hälsa ch msrg bygger på identiteter ch behörigheter kan fungera. Persnuppgifter innehåller integritetskänslig infrmatin, vilket därför mgärdas av särskild lagstiftning inm vård, hälsa ch msrg. Det handlar exempelvis m infrmatinen i beställningssystem, patientjurnaler, utredningar eller frskningsverksamhet. Andra exempel på känslig infrmatin rör exempelvis medicintekniska tjänster, persnalregister ch förhållanden sm rör läkemedel. Är infrmatinen förlrad, stulen, manipulerad eller spridd till behöriga kan det få htkatalg _v1.dcxHtkatalg _v1.dcx
5 5 allvarliga följder. Dessutm tillkmmer att berenden ch kpplingar mellan lika tekniska system mellan medlemmarna är en sårbarhetsfaktr i sig genm att störningar kan få knsekvenser sm både är svåra att förutse ch hantera sm ökar ckså risken för att verksamheten inte kan bedrivas på ett tillfredsställande sätt m inte IT-verksamheten fungerar Htaktörer Det grundläggande prblemet avseende infrmatinssäkerhet är att det för en htaktör räcker med ett hål för att ta sig in medan medlemmen måste hantera samtliga möjliga svagheter. Dessutm kan medlemmen endast testa ch skydda sig mt de svagheter sm han känner till. Resurserna sm finns tillgängligt hs htaktören för att genmföra htet har str variatin avseende mfattning, kapacitet, knsekvens, tillfälle ch uttålighet. Detta medför att sannlikheten ch knsekvenserna för varje ht måste analyseras även där intentinen för htaktören kan vara svår att prediktera, exempelvis för hårdvarufel i en databasdisk sm hör till en mlntjänst. En kvalificerad aktör kan lägga resurser på att kartlägga en unik eller känd säkerhetsbrist samt utveckla egna innvativa verktyg för att explatera denna. Detta kan utmynna i ett instrument sm skulle kunna vara verksamt för intrång, ch därpå följande extraktin av infrmatin ur i princip samtliga nätverk sm tillämpar hård eller mjukvara sm bär på säkerhetsbristen. Vad sm gör till verklighet ett ht varierar från stater ch statsunderstödda aktörer, terrrister, rganiserad brttslighet till fel ch störningar sm inte rsakas av antagnister utan berr på mjuk- eller hårdvarufel, prcessbrister, bristande kvalitetskntrll, slarv, missbedömningar eller rena lycksfall. Dessutm finns det ht ch risker sm inte uppstår på grund av angrepp, utan snarare på grund av rganisatinens egna misstag ch bristfälliga riskhantering. 2 Exempel på htaktörer: Nuvarande ch tidigare anställda Patienter, nuvarande ch tidigare Hackers, enskilda ch rganisatiner Kriminella, enskilda ch rganisatiner Hårdvara Mjukvara Infrastruktur Myndigheter, frskare samt andra rganisatiner, interna sm externa Pressen ch andra nyfikna Knkurrenter Naturen ch miljön Men även där verksamheten styrs av tydliga regler så kan det uppstå en värdeknflikt i utförandet. Instruktinerna sm förväntas gynna hög infrmatinssäkerhet kan hamna knflikt med användarens 2 Infrmatinssäkerhet trender 2015 Myndigheten för samhällsskydd ch beredskap (MSB) Publ.nr: MSB779 - januari 2015 ISBN: htkatalg _v1.dcxHtkatalg _v1.dcx
6 6 önskemål, exempelvis att lätt minnas sitt lösenrd. Där kan den sm utlöser en händelsekedja inte ens är medveten m sin aktörsrll, exempelvis genm att utnyttja återanvända lösenrd sänker eller helt undanröjer kntrllen sm ska ske vid inlggning. Därför räcker det inte bara med att analysera ett yttre eller inre ht utan även hur regler ch metder sm förväntas vara riskreducerande fungerar i praktiken i strt hs medlemmen ch hs den enskilda medarbetaren samt hs leverantören. Detta medför ckså att uppföljning ch förbättringar av ledningssystemets tillämpning har str betydelse för att minska på riskerna Htlista För att genmföra en riskanalys behövs en aktuell lista på relevanta ht. Nedanstående lista av ht speglar främst strukturen i standarden ISO27002, Infrmatinsteknik-Säkerhetstekniker-Riktlinjer för infrmatinssäkerhetsåtgärder. För att förenkla listan så har inte varje ht tagits upp överallt även m htet är applicerbar på flera eller alla rubrikerna. Detta medför behv av att bedöma htets mfattning, kapacitet, knsekvens, tillfälle ch uttålighet är någt sm bör utföras sm en naturlig del av riskanalysen. Listan bör kunna fungera sm en hjälp, inspiratin ch checklista vid insamling av underlag till riskanalysen. Här följer en lista av ht: Infrmatinssäkerhetsplicy Avbrtt eller fel hs affärsprcesser Avsaknad av eller felaktig riskanalys Ej utförd eller felaktig infrmatinssäkerhetsanalys Organisatin av infrmatinssäkerhetsarbetet Avsaknad av infrmatinsägare Avsaknad av kunskap m prcesser, prcessteg ch rutiner Avsaknad av prcessteg ch rutiner för att göra tillräcklig hantering i samband med prjektavslut, avslutad anställning eller avslutat uppdrag Avsaknad av prcessteg ch rutiner för att göra tillräckligt kravarbete i samband med prjektering, inköp eller utveckling Avsaknad av rutin för hur datrskärmar, tangentbrd ch infrmatinsbärare placeras i utrymmen med yttre insyn Avsaknad av systemägare Avsaknad av, fullständiga eller felaktiga styrdkument Delade ansvarsförhållanden Ej utdelat ansvar Felaktig kunskapsnivå Felaktiga behörighetstilldelningar Företagsbrttslighet Gruppkntn sm saknar ansvarig ägare Infrmatinsägare sm inte känner till sitt ansvar Kmpetensutarmning Nyckelpersnberenden Oklara ansvarsförhållanden htkatalg _v1.dcxHtkatalg _v1.dcx
7 7 Otillräcklig kmpetensförsörjning Permanent eller temprär frånvar eller undersktt av persnal Prcesser, prcessteg ch rutiner är ej dkumenterade, har fullständig eller felaktig dkumentatin Resursbrist Styrdkument sm saknar förankring Systemägare sm inte känner till sitt ansvar Persnalsäkerhet Ansvar för anställdas aktiviteter Bedrägeri Cyberstalking Diskriminering Fysiskt överfall för att kmma åt eller skada infrmatin Försäkringsbedrägeri Hämnd mt arbetsplats Manipulering Mänskliga fel Pandemier ch sjukdm Passiv-aggressivt beteende Rättssak mt arbetsgivare Skandaler Tjänstefel Vandalism Vårdslöshet Hantering av tillgångar Angrepp med hjälp av eller via sciala applikatiner Angrepp med hjälp av eller via sciala metder Användarfel Att kmprmettera knfidentiell infrmatin Avsaknad av eller felaktig infrmatinsklassning Avsaknad av eller felaktig rutin för infrmatinsklassning Avsaknad av eller felaktig systemklassning Avsaknad av eller felaktiga rutiner för destruktin av infrmatin ch infrmatinsbärare Avsaknad av eller felaktiga rutiner för gallring av infrmatin Avsaknad av eller felaktiga rutiner för systemklassning Bakdörr / fallucka Bedrägeri Brtt mt lagstiftningen Dirty tricks DNS attack Dålig publicitet htkatalg _v1.dcxHtkatalg _v1.dcx
8 8 Expnera affärshemligheter Expnera strategi ch nya prdukter Förskingring Förfalskning av register Försäljning av stulen infrmatinen Illegal infiltrering Immaterialrätt stöld Industrispinage Infrmatinsläckage Infrmatin utpressning Insider röjer skyddsvärd infrmatin till behörig IP spfing Hemsida förvanskning Man-in-the-middle-attack Mutr Missbruk av infrmatinssystem Nätverks sniffning Oavsiktlig förändring av data i ett infrmatinssystem Oavsiktligt röjande av skyddsvärd infrmatin Obehörig användning av upphvsrättsskyddat material Obehörig åtkmst till infrmatinssystemet Obehöriga ändringar av pster Obehörig fysisk tillgänglighet till infrmatin Patentintrång Phishing Prisövervakning Spam Spinprgram System manipulering System penetrering Skadr rsakade av tredje part Smutskastning Scial ingenjörsknst Spineri Stöld Söker upp knfidentiella infrmatin för egen eller andras vinning TCP / IP-kapning Tillgrepp av frskningsresultat Tjuvlyssning Trjan Upphvsrättsintrång Utläggning ch hantering av skyddsvärd infrmatin på prjektplatser htkatalg _v1.dcxHtkatalg _v1.dcx
9 9 Utlämnande av infrmatin Utpressning VPN tunnel kapning Virus Wrms Återspelningsattacker Styrning av åtkmst Avsaknad av eller felaktig rutin för besökshantering Avsaknad av eller felaktig rutin för plicy/rutin Rent skrivbrd ch tm skärm Avsaknad av eller felaktig rutin för skärmlåsning eller lösenrdslåst skärmsläckare Avsaknad av eller felaktiga rutiner för att ta brt icke aktiva användare Dld eller falsk användaridentitet Felaktig behörighetsadministratin För höga behörigheter hs användare För höga behörigheter hs persnal i helpdesk För höga behörigheter hs persnal sm arbetar med testning För höga behörigheter hs persnal sm jbbar med utveckling Hanteringen av gruppkntn saknar eller har felaktiga rutiner Lösenrdsattack Utlämnande av lösenrd utan kntrll av mttagare Kryptering Avlyssning Avsaknad av eller felaktiga rutiner för hantering av kryptnycklar ch kryptteknik Knäcka kryptering Återspelning Fysisk ch miljörelaterad säkerhet Avsaknad av eller felaktig rutin för brandsyn Avsaknad av eller felaktiga rutiner för hantering av säkerhet ch skydd Blixt Bmb attack Bmbht Brand Farligt material relaterade händelser Förreningar, exempelvis luftburna Skred Sleruptin Strmar Terrristattacker Vandalism Översvämning htkatalg _v1.dcxHtkatalg _v1.dcx
10 Driftsäkerhet Attacker på fysisk infrastruktur Avsaknad av eller felaktiga rutiner för att underhålla skydd mt skadlig kd Avsaknad av eller felaktiga rutiner för hantering av larm ch akuta händelser Destruktin av jurnaler Felaktiga rutiner för kntrll av spårdata ch lggar Förlust av el Förlust av stödtjänster Fel på utrustning Missbruk av releaseverktyg Obehörig användning av prgramvara Obehörig installatin av prgramvara Prgram fel Strejk i den egna rganisatinen eller hs leverantör Sabtage Sabtageprgram Skadlig kd Skadr till följd av penetratinstester Strejk, arbetstagares eller lckut, arbetsgivares åtgärder Kmmunikatinssäkerhet Fel i kmmunikatinslänkar Fysisk störning av kmmunikatiner Tillgång till nätet av behöriga Anskaffning, utveckling ch underhåll av system Avsaknad av eller felaktiga rutiner för att utrangera gammal utrustning Avsaknad av eller tillräcklig testning ch kvalitetskntrll Avsaknad av eller tillräcklig uppföljning ch/eller kntrll Avsaknad av prcessteg eller rutiner för att genmföra nödvändig hantering i samband med utrangering av datamedia, system eller infrastrukturutrustning Avsaknad av rutiner för dkumentatin av systemknfiguratin Fel i underhåll Leverantörsrelatiner Avsaknad av eller felaktiga avtalsvillkr på leverantör i samband med utkntraktering Avsaknad av eller fullständigt styrande kntrakt ch avtal Avsaknad av kravställning på leverantör i samband med utkntraktering Avsaknad av säkerhetsbilagr till kntrakt ch avtal Avsaknad av uppföljning av existerande styrande kntrakt ch avtal Brtt mt avtalsförhållanden Ej utförd eller felaktigt utförd säkerhetsskyddad upphandling Felaktig kravställning på leverantör i samband med utkntraktering htkatalg _v1.dcxHtkatalg _v1.dcx
11 Hantering av infrmatinssäkerhetsincidenter Avsaknad av eller felaktiga rutiner för hantering av säkerhetsrelaterade IT-incidenter Avsaknad av eller felaktiga rutiner för hantering av säkerhetsrelaterade IT-incidenter Avsaknad av eller felaktiga rutiner för uppföljning av säkerhetsrelaterade IT-incidenter Falsifierade IT-incident rapprter Infrmatinssäkerhetsaspekter avseende hantering av verksamhetens kntinuitet Avsaknad av eller felaktig krishantering Avsaknad av kntinuitetsplanering Ej efterlevnad av kntinuitetsplaner Ej övad kntinuitetsplanering Felaktig eller ej uppdaterad kntinuitetsplanering Efterlevnad Avsaknad av rutiner för kntrll av spårdata ch lggar Ingen uppföljning eller utvärdering av effekt, kvalitet eller knsekvens hs prcesser, prcessteg eller rutiner 6. Sårbarhet Sårbarhet inm infrmatinssäkerhet är svaghet gällande en tillgång eller grupp av tillgångar, vilken kan utnyttjas av ett eller flera ht sm därmed expnerar rganisatinen för en risk. Därför är sårbarhet den sammanvägda bilden av vår förmåga att skydda system, infrastruktur, verksamhet eller infrmatin utifrån säkerhetsmedvetande, tillgängliga resurser ch expneringen i tid ch rum Sårbarhetslista Genm att förstå sårbarheten så öppnas möjlighet att hantera risken. Nedanstående lista av sårbarheter speglar främst strukturen i standarden ISO27002, Infrmatinsteknik- Säkerhetstekniker-Riktlinjer för infrmatinssäkerhetsåtgärder. Dessa presenterade sårbarheter gör inget anspråk på att vara en kmplett lista eller att samtliga sårbarheter är relevanta för medlemmens verksamhet, resurser eller infrmatin. Listan bör fungera sm en hjälp, inspiratin ch checklista vid insamling av underlag till riskanalysen. Här följer en lista av sårbarheter: Infrmatinssäkerhetsplicy Affärsprcess förändring saknar eller brister i infrmatinssäkerhetsanalys Affärsprcess har brister Brist på intern dkumentatin Brist på riskanalys Bristande tillgång till styrande regler ch instruktiner samt kntrllregler Otillräcklig förändringsledning Otillräckligt säkerhetsmedvetande htkatalg _v1.dcxHtkatalg _v1.dcx
12 12 Otillräckliga affärsregler Otillräckliga affärsstyrning Prcesser sm inte tar hänsyn till mänskliga faktrer Organisatin av infrmatinssäkerhetsarbetet Avsaknad av eller felaktig skräppsthantering Anslutning av persnliga enheter till företagsnätverket Brist på infrmatinssäkerhetsmedvetande Brist på rutiner för att scanna in infrmatin Brist på rent skrivbrd ch tydlig tm skärm plicy Diskutera infrmatin på ffentliga platser E-psta dkument med infrmatin För mycket behörighet i en persn Förlra säkerhetsdsr, mbiltelefner (läsplatta, laptp) med säkerhetsappar eller autentiseringskrt såsm ID-krt Installera tillåten prgramvara eller appar Interaktin med kunden Lagrar infrmatin på mbila enheter sm mbiltelefner, läsplattr, laptp, etc Låta behöriga få tillgång till arbetsplatsen Otillräcklig åtskillnad mellan lika funktiner Skicka ch dkument Skriva ner lösenrd ch känslig infrmatin Scial interaktin Ta brt eller inaktivera säkerhetsverktyg Tillgång till infrmatin utanför kntret (papper, mbiltelefner, bärbara datrer) Persnalsäkerhet Brist på eller för låg påföljd när man inte följer infrmatinssäkerhetsplicy ch regler Brister i rekryteringsprcessen Omtiverade anställda Otillräcklig utbildning av medarbetare Otillräcklig övervakning av anställda Saknar psitiv mtivering för att följa infrmatinssäkerhetsplicy ch regler Tidigare anställda sm arbetar för knkurrenter Tidigare anställda behåller företagets infrmatin Tidigare anställda diskuterar rganisatinens angelägenheter Utför inte säkerhetsprövning Hantering av tillgångar Bristande hantering för avveckling av infrmatin Bristande hantering kapacitet Bristande kntrll över infrmatin sm går in ch ut Enkelt att kpiera Okntrllerad kpiering av infrmatin Okntrllerad nedladdning från Internet Otillräcklig klassificering av infrmatin htkatalg _v1.dcxHtkatalg _v1.dcx
13 Styrning av åtkmst Användarrättigheter inte regelbundet granskade Brist på förfarandet för att ta brt åtkmsträttigheter vid uppsägning Brist på system för identifiering ch autentisering Brist på validering av behandlad infrmatin Fildelning överrider behörighetskntrllen Kmplicerade användargränssnitt Lösenrd tillåts utan granskning av deras frceringsstyrka eller återanvändning Medlemskap i sciala nätverk öppnar upp för infrmatinsinsamling Okntrllerad användning av infrmatinssystem Otillräcklig kntrll av fysisk åtkmst Otillräcklig lösenrdshantering Snabba tekniska förändringar Specialsystem sm man vet för lite m Tekniska hinder för att åstadkmma önskad styrning Webbläsare Kryptering Brist på plicy för användning av kryptgrafi Otillräckligt skydd för kryptgrafiska nycklar Fysisk ch miljörelaterad säkerhet Kntr ch datacenter anläggningar vars placering är så att de kan ta skada av naturkatastrfer Opålitliga strömkällr Otillräcklig fysiskt skydd Otillräckligt kablage säkerhet utanför Sveriges gränser Platsen sårbar för översvämningar Platsen är lkaliserad i mråde med hög brttslighet Platser sm är plitiskt instabila Platser under statlig spineri, exempelvis där kmmunikatin, systemdelar eller tjänsten utförs Samlar kritisk eller all infrmatin i samma gegrafiska plats Utrustning känslighet för fukt ch förreningar Utrustning känslighet för temperatur Driftsäkerhet Brist på backup Brist på redundans Bristande underhåll Fel i systemdriften Felaktig knfiguratin av hårdvara Hårdvara känslighet för damm, värme ch fukt Hårdvara med knstruktinsfel Knfiguratinsfel ch missade säkerhetsmeddelanden htkatalg _v1.dcxHtkatalg _v1.dcx
14 14 Missat säkerhetsuppdateringar Otillräcklig eller regelbunden backup Otillräcklig IT-kapacitet Utgången eller inte underhållen hårdvara Utrustning känsligheten för förändringar i spänning Kmmunikatinssäkerhet Alltför stra privilegier Använder Wifi-nät Använder Bluetth kpplade tangentbrd Brist på skydd för mbil utrustning Oskyddad nätverkskmmunikatin Osäkra nätverksarkitektur Outnyttjade användar-ids Onödiga jbb ch skript sm utför uppgifter på infrmatin eller knfiguratin Oskyddade ffentliga nätverksanslutningar Otillräcklig nätverkshantering Vidareförmedlar rganisatinens nätverk via egen ruter exempelvis i mbila enheter sm mbiltelefner, läsplattr, laptp, etc Öppna fysiska anslutningar, IP-adresser ch prtar Anskaffning, utveckling ch underhåll av system Avyttring av lagringsmedia utan att radera infrmatin Brist på verifieringskedja Kunderna har tillgång till säkra mråden Kundens tillgång till infrmatin (exempelvis via kundprtal) Odkumenterad prgramvara Otillräcklig ersättning av äldre utrustning Otillräcklig förändringsledning Otillräcklig segregering av perativa- ch testanläggningar Otillräcklig testning Oskyddad användarinmatning Otillräcklig testning av prgramvara Prgramvarubuggar ch knstruktinsfel Prgramvara sm inte tar hänsyn till mänskliga faktrer Prgramvarans kmplexitet Prgramvara sm en tjänst (överlåtit kntrllen av infrmatin) Prgramleverantörer sm går i knkurs eller byter ägare Leverantörsrelatiner Avsaknad av eller bristfällig supprt på levererad prgramvara ch tjänster Delar knfidentiell infrmatin med partners ch leverantörer Dålig val av testdata Försörjningsavbrtt på infrmatin htkatalg _v1.dcxHtkatalg _v1.dcx
15 15 Levererad prgramvara är buggig Ofullständig specifikatin för prgramvaruutveckling Otillräcklig övervakning av leverantörer Partners ch leverantörer saknar eller brister i infrmatinssäkerhet Störningar av telekmtjänster Störningar av allmännyttiga tjänster såsm el, gas, vatten Hantering av infrmatinssäkerhetsincidenter Otillräcklig incident ch prblemhantering Infrmatinssäkerhetsaspekter avseende hantering av verksamhetens kntinuitet Brist i kntinuitetsplanering Efterlevnad Brist på regelbundna revisiner Brist på eller dålig tillämpning av internrevisin Övertr på säkerhetsgranskningar htkatalg _v1.dcxHtkatalg _v1.dcx
16 16 7. Appendix Riskanalysens arbetsuppgifter Fastställande av risken sker med hjälp av en riskanalys. Detta appendix visar ett förslag till hur detta görs med den metd sm rekmmenderas i MSB dkumentet Riskanalys 3, kapitel 3, Riskanalysens arbetsuppgifter. Övriga avsnitt i dkumentet avseende förberedelser ch sammanställning hänvisas direkt till källan. Välj ch beskriv analysbjektet Bestäm dig för vad sm ska analyseras, exempelvis attributkälla ch intygsutgivare. Flera analysbjekt Har du flera bjekt att analysera så beskriv bjektet ch dess avgränsningar. Ta ett bjekt i taget, exempelvis: attributhantering för tillfälligt anställda. Identifiera ht ch sårbarheter Htlistan är lång, välj ut vilka ht är relevanta för bjektet sm ska analyseras. När du ser listan så känner du kanske igen några ht sm redan har inträffat ch några sm kan inträffa. För detta analysbjekt så upplevs nedanstående ht under rubriken Styrning av åtkmst sm relevanta: Felaktig behörighetsadministratin För höga behörigheter hs användare Om någn av vanstående ht inträffar, ställ frågan vilken skada sm kan rsakas m htet realiseras, exempelvis gör en tydlig beskrivning att med för höga behörighet så kan en medarbetare få tillgång till att ändra infrmatin sm är förbjudet enligt lagstiftningen. Sårbarhetslistan hanteras på mtsvarande sätt ger förslag på sårbarheter i analysbjektet, vad det är sm kan ge en öppning i analysbjektet, exempelvis så kan följande vara relevanta: Användarrättigheter inte regelbundet granskade Brist på förfarandet för att ta brt åtkmsträttigheter vid uppsägning Beskriv vad det finns för sårbarheter i analysbjektet sm är relevant, exempelvis: användarrättigheter för tillfälligt anställda sm återkmmer på nytt till arbetsplatsen återfår de behörigheter sm persnen hade förut. 3 MSB dkument för Riskanalys återfinns sm en del av metdstödet på webbplatsen htkatalg _v1.dcxHtkatalg _v1.dcx
17 17 Att tänka på i gruppdiskussinen Dkumentera htet ch sårbarheten, gå vidare i att söka fler ht ch sårbarheter i analysbjektet, lämna lösningstänket till senare, gör bilden tydlig så att deltagarna förstår sammanhanget. Sammanställ ch gruppera ht Ta brt dubbletter ch förbättra beskrivningarna. Få till en kmplett lista av ht ch sårbarheter sm kan grupperas ihp, vissa kan överlappa varandra, en ht kan angripa flera sårbarheter eller lika kmbinatiner av ht ch sårbarheter. Bedöm risken knsekvens ch sannlikhet Knsekvensen av att ett ht realiseras är en beskrivning av skadan. Skadan kan bli verklig på många lika sätt, exempelvis så kan en persn få fel rll i systemet men sm i all välvilja skriver in en upplysning sm av andra uppfattas sm diagns resultera senare i en allvarlig skada hs en patient. Förslag på att gradera knsekvensen: försumbar skada måttlig skada betydande skada allvarlig skada När säkerhetsåtgärden är stark så kanske htet inträffar mycket sällan men är sårbarheten str hs analysbjektet så ökar sannlikheten att htet kan penetrera sårbarheten. Förslag på att gradera sannlikheten att htet kan penetrera sårbarheten: mycket sällan en gång på 100 år sällan en gång på 10 år regelbundet - årligen fta mer än en gång per år htkatalg _v1.dcxHtkatalg _v1.dcx
18 18 Inplacering av hten i en matris Skapa en matris ch placera in identifierade ht ch sårbarheter utifrån deras knsekvens (den skada de kan tillsammans åstadkmma) ch sannlikhet, se figuren nedan: Figur 1 Matris med inlagd ht ch sårbarhet Det kan behövas flera matriser för att täcka ett analysbjekt ch ha lika matriser för varje analysbjekt. Ta fram åtgärdsförslag priritera Matrisen visar var det finns högst risk. Skyddsvärdet kan variera ch behöver tas med vid arbetat att priritera ch i vilken rdning att ta fram åtgärdsförslag. htkatalg _v1.dcxHtkatalg _v1.dcx
AppGate och Krisberedskapsmyndighetens basnivå för informationssäkerhet, BITS
AppGate ch Krisberedskapsmyndighetens basnivå för infrmatinssäkerhet, BITS En intrduktin i säkerhet. AppGate AppGate är ett svenskt säkerhetsföretag med sina rötter inm försvarsindustrin. AppGates teknik
Läs merRiktlinjer för informationssäkerhet. ver 1.0. Antagen av Kommunstyrelsen 2013-05-29
Riktlinjer för infrmatinssäkerhet ver 1.0 Antagen av Kmmunstyrelsen 2013-05-29 sid 2 (7) 1. Inledning Tanums kmmuns övergripande styrdkument inm IT-mrådet är IT-plicy för Tanums kmmun. Plicyn är antagen
Läs merInformationssäkerhetsinstruktion: Förvaltning (Infosäk F)
EXEMPEL 1 Infrmatinssäkerhetsinstruktin: Förvaltning (Infsäk F) Innehållsförteckning 1 INSTRUKTIONENS ROLL I INFORMATIONSSÄKERHETSARBETET...2 2 ORGANISATION OCH ANSVAR...2 2.1 LEDNINGEN...2 2.2 IT-BEREDNINGSGRUPP...2
Läs merSystemdrift och Systemförvaltning Centrala verksamhetssystem Service Desk
SID 1 (6) Bilaga 4A Säkerhetskrav Förfrågningsunderlag Systemdrift ch Systemförvaltning Centrala verksamhetssystem Service Desk 105 35 STOCKHOLM. Telefn 08-508 29 000. Fax 08-508 29 036. Org. nr 212000-0142
Läs merRevisionsrapport 2010 Genomförd på uppdrag av revisorerna i Jönköpings kommun. Jönköpings kommun Granskning av användaradministrationen
Revisinsrapprt 2010 Genmförd på uppdrag av revisrerna i Jönköpings kmmun Jönköpings kmmun Granskning av användaradministratinen Innehåll 1. Bakgrund ch syfte... 3 2. Metd ch avgränsning... 3 3. Begreppsförklaringar...
Läs merInnehåller instruktioner för hur du ska fylla i mallen Egenkontroll för elinstallationsarbete som finns i EL-VIS Mall
Guide Innehåller instruktiner för hur du ska fylla i mallen Egenkntrll för elinstallatinsarbete EL-Inf i Växjö AB LINEBORGSPLAN 3, 352 33 VÄXJÖ 0470-72 40 30 SUPPORT@EL-INFO.SE 1 Inledning/Förrd 2 Företagets
Läs merRiktlinjer för upphandling av konsulttjänster och entreprenader inom mark, anläggnings och byggsektorn
Tekniska nämnden 2012 01 26 3 10 Tekniska nämndens arbetsutsktt 2012 01 12 13 25 Dnr 2011/937.05 Riktlinjer för upphandling av knsulttjänster ch entreprenader inm mark, anläggnings ch byggsektrn Ärendebeskrivning
Läs merKravspecifikation / Uppdragsbeskrivning
Kravspecifikatin / Uppdragsbeskrivning Prjektledare / Utvecklare Knsulttjänst för prjektledning ch kmpetensförstärkning i Sametingets IT Utvecklingsprjekt Bakgrund Sametinget bedriver några starkt utvecklingsinriktade
Läs merFU 2000 Generella arbetsmiljökrav
Systemmdell FU 2000 Handling 7.4 Giltig från Versinsnummer Antal sidr 2010-03-31 Utgåva J 7 Diarienummer Utgivningsdatum Antal bilagr F10-2409/PE50 2010-03-31 0 Beslutsfattare CGD Stab Persnal Handläggande
Läs merProcessbeskrivning ITIL Change Management
PrcIT-P-012 Prcessbeskrivning ITIL Change Management Lednings- ch kvalitetssystem Fastställt av IT-chef/biträdande IT-chef 2014-02-06 Innehållsförteckning 1 Inledning 3 1.1 Symbler i prcessbeskrivningarna
Läs merIntern styrning och kontroll vid Stockholms universitet
Revisinsrapprt Stckhlms universitet 106 91 Stckhlm Datum Dnr 2008-04-03 32-2007-0804 Intern styrning ch kntrll vid Stckhlms universitet Riksrevisinen har sm ett led i den årliga revisinen av Stckhlms universitet
Läs merLeverantörskvalificering
siemens.cm Leverantörskvalificering Siemens AB Bäste leverantör, Kvalitet, miljö ch arbetsmiljö värderas högt på Siemens. Ni sm leverantör till ss bidrar aktivt till vårt gemensamma arbete att till Siemens
Läs merSAMMANTRÄDES PROTOKOLL
W KOMMUNSTYRELSEN /... Sammantrildesdatum "~:::-. TRANAs KOMMUN 2013-06-18 Sida 8 (22) )
Läs merDelmarknad 4: Privatmarknaden. - Bilaga till PTS marknadsöversikt för innovatörer
Delmarknad 4: Privatmarknaden - Bilaga till PTS marknadsöversikt för innvatörer N E W S Innehåll Bakgrund... 3 Delmarknad 4: Privatmarknaden... 4 Intrduktin... 4 Struktur ch rganisatin... 4 Användarnas
Läs merDel 5: Rekommendationer och projektrapport
Arkiveringsrekmmendatiner Del 5: Rekmmendatiner ch prjektrapprt fi2 förvaltningsinfrmatin infrmatinsleveranser Prjektet Arkiveringsrekmmendatiner syftar till att ge en genmlysning av knsekvenser för dagens
Läs merChecklista förändringsledning best practice Mongara AB
Checklista förändringsledning best practice Mngara AB Detta dkument ska ses sm ett underlag för vilka frågeställningar vi jbbar med inm ramen för förändringsledning. I dkumentet har vi valt att se prcessen
Läs merKrisledningsorganisation vid Linköpings universitet
Il e U UNIVERSITET LINKÖPINGS 1(6) Krisledningsrganisatin vid Linköpings universitet 1. Syfte ch mål Linköpings universitets (LiU) krisledningsrganisatin är ett kmplement till samhällets kris- ch katastrfberedskap.
Läs merFolkhälsoplan 2012-2014 BRÅ- och Folkhälsorådet
Flkhälsplan 2012-2014 BRÅ- ch Flkhälsrådet I Nrdanstigs kmmun anser vi att brttsförebyggande arbete ch en väl utvecklad flkhälsa är viktiga framgångsfaktrer för att göra kmmunen trygg ch attraktiv att
Läs merIntegritetspolicy. Senast uppdaterad i maj Vårt sekretessåtagande. Vi ska
Integritetsplicy Senast uppdaterad i maj 2018 Vårt sekretessåtagande Vi ska se till att dina persnuppgifter lagras säkert ch knfidentiellt inte sälja dina uppgifter till tredje part ge dig sätt att när
Läs merEBITS 2008-11-20 Energibranschens Informations- & IT-säkerhetsgrupp
2008-11-20 Energibranschens Infrmatins- & IT-säkerhetsgrupp Samtrafik i gemensam utrustning Syfte EBITS har sett ett behv av ett klargörande dkument när frågan m samtrafik i egen ptfiber blivit allt vanligare.
Läs merRisk- och sårbarhetsanalys av SUNET Box för Karolinska Institutet
Risk- ch sårbarhetsanalys av SUNET Bx för Karlinska Institutet 2015-01-19 Dnr: 1-35/2015 Innehåll 1. Sammanfattning... 2 2. Bakgrund. 4 3. Nuläge..... 4 4. SUNET Bx i krthet... 5 5. Juridiska aspekter.
Läs merINFORMATIONSSÄKERHETSPOLICY
INFORMATIONSSÄKERHETSPOLICY Inm Hälsinglands Utbildningsförbund ska varje behandling av persnuppgifter ske med hänsyn till den enskildes persnliga integritet ch rättssäkerhet. Ovanstående plicy är antagen
Läs merBilaga 1 Överföring av arbetsmiljöarbetsuppgifter till förvaltningschefen för skolförvaltningen, Enköpings kommun
Bilaga 1 Överföring av arbetsmiljöarbetsuppgifter till förvaltningschefen för sklförvaltningen, Enköpings kmmun I min egenskap av rdförande i nämnden överför jag till dig sm förvaltningschef för sklförvaltningen
Läs merPolicy för personuppgiftshantering 2018 Antagen av styrelsen för PRO i Tullinge vid styrelsemötet Version 1.
Plicy för persnuppgiftshantering 2018 Antagen av styrelsen för PRO i Tullinge vid styrelsemötet 180605. Versin 1. Inledning ch syfte t med denna plicy är att säkerställa att PRO Tullinge hanterar persnuppgifter
Läs merCHECKLISTA FÖR NYA MEDARBETARE VID ONKOLOGI-PATOLOGI
2014-09-25 CHECKLISTA FÖR NYA MEDARBETARE VID ONKOLOGI-PATOLOGI Krav för inträde till institutinen Grund för vistelse ch typ av finansiering (sida 2) Dkument till HR-enheten på Z1:00 (sida 2) Närmaste
Läs merTaxor och avgifter - Översiktlig granskning av den interna kontrollen
www.pwc.se Revisinsrapprt Taxr ch avgifter - Översiktlig granskning av den interna kntrllen Per Åke Brunström Certifierad kmmunal revisr September 2015 Innehåll Sammanfattning... 2 1. Inledning... 3 1.1.
Läs merArbetsprogram för Betalningsrådet
Arbetsprgram för Betalningsrådet 2017-2019 DATUM: 2017-10-04 Organisatin av arbetet Detta arbetsprgram mfattar periden ktber 2017 till ktber 2019 ch är baserat på de förslag på aktiviteter sm deltagarna
Läs merAllmänna bestämmelser för Certifiering
[2012] Allmänna bestämmelser för Certifiering AB ÅKERIKONSULT AB Åkeriknsult INNEHÅLLSFÖRTECKNING: Inledning... 4 Sveriges Åkeriföretag - Revisinsråd... 4 Kvalitets-/miljö-/arbetsmiljö-ch trafiksäkerhetscertifikat...
Läs merProcessbeskrivning fakturahantering
ST 2013/288-1.1 Prcessbeskrivning fakturahantering Beslutat av Charltte Byström Gäller från 2013-06-12 Innehåll Fakturahantering LNU 3 Fakturahantering 3 Prccessbeskrivning 4 Rller/ansvar 4 Arbetsmment
Läs merLeverantörsbetalningar
Varje år betalar Sveriges 290 kmmuner felaktigt ut hundratals miljner krnr i egentliga eller felaktiga transaktiner. Med några enkla åtgärder skulle en str del av dessa kunna undvikas! Dkumentet avser
Läs merRockpanel / ROCKWOOL AB ( ROCKWOOL ) vill säkerställa din integritet online.
Sekretessplicy Rckpanel / ROCKWOOL AB ( ROCKWOOL ) vill säkerställa din integritet nline. Det är därför sm ROCKWOOL har regler, Binding Crprate Rules (BCRs), för dataskydd sm ska följas av alla blag sm
Läs merSITHS rekommendationer för internt revisionsarbete
SITHS rekmmendatiner för internt revisinsarbete SITHS rekmmendatiner för internt revisinsarbete SITHS Plicy Authrity Revisinshistrik Versin Datum Författare Kmmentar 0.1 2016-03-17 Cathrine Anderssn Reviderat
Läs merVetlanda kommun. Granskning av Överförmyndarverksamheten
Revisinsrapprt 2013 Genmförd på uppdrag av de förtrendevalda revisrerna i Vetlanda kmmun Vetlanda kmmun Granskning av Överförmyndarverksamheten Innehåll 1. Sammanfattning...2 2. Inledning...3 2.1. Bakgrund...
Läs merRiktlinjer för Lex Sarah
2012-03-16 Sida 1 Riktlinjer för Lex Sarah Enligt SL 14 kap 2 ch LSS 24 a ska var ch en sm fullgör uppgifter inm scialtjänsten eller LSS medverka till att den verksamhet sm bedrivs ch de insatser sm genmförs
Läs merProjektnamn: Vägledning för ett hälsosamt åldrande Seniorguiden. upprättades: Upprättad av: Namn Therese Räftegård Färggren och Anna Jansson
PROJEKTPLAN Prjektnamn: Vägledning för ett hälssamt åldrande Senirguiden Prjektansvarig: Avdelning: Kunskapsutveckling Enhet: Uppväxtvillkr ch hälssamt åldrande Prjektplan Juni 2010 upprättades: Upprättad
Läs merLivslångt lärande Kompetensutveckling i arbetslivet. Författare: Olle Ahlberg
Livslångt lärande Kmpetensutveckling i arbetslivet Författare: Olle Ahlberg Bakgrund Stra teknikskiften har genmsyrat samhället ch arbetsmarknaden under lång tid. Men till skillnad från tidigare skiften
Läs merVad är kompetens och vad är rätt kompetens?
Vad är kmpetens ch vad är rätt kmpetens? Det är dags att börja med att definiera detta. Om du ställer frågan vad behöver man kunna för att utföra sina arbetsuppgifter så blir det ftast lite lättare. Det
Läs merTRANSPORTSKYDD - VÄGTRANSPORTER
TRANSPORTSKYDD - VÄGTRANSPORTER SPI:s vägledning för skyddsplan i enlighet med ADR-S kapitel 1.10 för tankbilstransprter av petrleumprdukter. Rekmmendatinen är fastställd av SPI:s driftkmmitté i mars 2006
Läs merSAMVERKANSAVTAL VIMMERBY KOMMUN 2013
Samverkansavtal SAMVERKANSAVTAL VIMMERBY KOMMUN 2013 1 Vimmerby kmmun vill skapa förutsättningar för ett psitivt arbetsklimat, en gd hälsa ch en gd arbetsmiljö, där inflytande, delaktighet ch utveckling
Läs merProducenter: anvisning om hur checklistan för kontroll av planen för egenkontroll och hur denna omsätts i praktiken fylls i
Föredragen av Nurttila Annika Sida/sidr 1 / 7 Prducenter: anvisning m hur checklistan för kntrll av planen för egenkntrll ch hur denna Syftet med kntrllen är att utreda m prducenten i sin plan för egenkntrll
Läs merMolntjänster från Microsoft En checklista för vårdorganisationer i Sverige
Mlntjänster från Micrsft En checklista för vårdrganisatiner i Sverige Att börja använda mlntjänster inm sjukvården är inte längre en fråga m, utan frågan är snarare när. Men vilken mlnlösning ska man välja?
Läs merIntegritetspolicy Bokförlaget Nona
Integritetsplicy Bkförlaget Nna 1. Inledning På Bkförlaget Nna AB (Bkförlaget Nna) värnar vi m din persnliga integritet. Den 25 maj 2018 trädde dataskyddsförrdningen i kraft vilket innebär att dina rättigheter
Läs merKravställ IT system på rätt sätt
Kravställ IT system på rätt sätt Upphandling IT system petter.ulander@adviceu.se 070 2125800 Upphandling IT system Vad behöver vi? En mdern sprtbil? Upphandling IT system En rejäl lastbil? Upphandling
Läs merKommunrevisionen: granskning av generella IT-kontroller 2014
KMMUNLEDNINGSKNTRET Handläggare Ditz Catrin Nilssn Maria Datum 2015-02-03 Diarienummer KSN-2014-1679 Kmmunstyrelsen Kmmunrevisinen: granskning av generella IT-kntrller 2014 Förslag till beslut Kmmunstyrelsen
Läs merSvar på motion från Emil Broberg (V) m.fl Städning av vårdlokaler i egen regi (LiÖ 2015-185)
Svar på mtin från Emil Brberg (V) m.fl Städning av vårdlkaler i egen regi (LiÖ 2015-185) Mtinärerna berör en viktig fråga. Städning av vårdlkaler utgör en viktig del för att skapa en gd inmhusmiljö för
Läs merPolicy för personuppgiftshantering i Brf Näsbyallé
Plicy för persnuppgiftshantering i Brf Näsbyallé Antagen av styrelsen för Brf Näsbyallé 2018-10-08 Inledning ch syfte Syftet med denna plicy är att säkerställa att Brf Näsbyallé hanterar persnuppgifter
Läs merKOMMUNIKATIONSSTRATEGI GÖTEBORGS MILJÖVETENSKAPLIGA CENTRUM, GMV,
KOMMUNIKATIONSSTRATEGI GÖTEBORGS MILJÖVETENSKAPLIGA CENTRUM, GMV, VID CHALMERS OCH GÖTEBORGS UNIVERSITET FASTSTÄLLD: 2011-05-19 1 INNEHÅLL 1.Kmmunikatinsstrategins syfte, mfattning ch gränser... 3 2.Övergripande
Läs mer1(2) För kännedom; Fullmäktiges. presidium. uppföljning. barn- och. iakttagelser: finns. lokalt. Behov. Omorganisering. g renodlat tjänsterna
SLUTDOKUMENTT 2013-03-12 1(2) För kännedm; Fullmäktiges presidium Partiernas gruppledare Kmmunstyrelsen Barn- ch utbildningsnämnden Barn- ch utbildningsnämndens verksamhet i östra kmmundelen samt uppföljning
Läs merMEDDELANDE OM LEDIG TJÄNST FÖR ATT UPPRÄTTA EN RESERVLISTA. It-expert (M/K)
MEDDELANDE OM LEDIG TJÄNST FÖR ATT UPPRÄTTA EN RESERVLISTA Benämning Tjänstegrupp/lönegrad AD 6 Typ av kntrakt Referens Sista ansökningsdag Anställningsrt It-expert (M/K) Tillfälligt anställd VEXT/18/338/AD
Läs merAktivitets- och internkontrollplan, bilaga till nämndsplan Lokala nämnden Halmstad år 2015
Aktivitets- ch internkntrllplan, bilaga till nämndsplan Lkala nämnden Halmstad år 2015 [Reviderad 2015-05-18] Lkala nämndens uppdrag Det övergripande uppdraget för lkal nämnd är att ur ett invånarperspektiv
Läs merRevisionsrapport. Lokalsamordning. Vänersborgs kommun. Datum 2011-10- 13. Henrik Bergh. Revisionskonsult kommunal sektor
Revisinsrapprt Lkalsamrdning Vänersbrgs kmmun Datum 2011-10- 13 Henrik Bergh Revisinsknsult kmmunal sektr Innehållsförteckning 1. Uppdrag ch genmförande... 3 2. Sammanfattning... 3 3. Revisinell bedömning...
Läs merStyrning ökat fokus på brukares och patienters medskapande
Styrning ökat fkus på brukares ch patienters medskapande Synen på brukare ch patienter sm medskapare i vård, msrg eller andra ffentligfinansierade tjänster har förändrats under senare år. Detta var bakgrunden
Läs merVerksamhetsplan 2015 Regionservice, Region Halland. Samverkad med arbetstagarorganisationerna 2015-02-23
150210 Verksamhetsplan 2015 Reginservice, Regin Halland Samverkad med arbetstagarrganisatinerna 2015-02-23 1. Inledning Varje medarbetare inm Reginservice är en representant för de värderingar sm gäller
Läs merKOMMUNIKATIONSPLAN. Digital Agenda för Västra Mälardalen samt Tillgänglighet till Hållbar IT. Revisionshistorik. Bilagor
KOMMUNIKATIONSPLAN Digital Agenda för Västra Mälardalen samt Tillgänglighet till Hållbar IT Prjektägare:, Mikael Lagergren Prjektledare: Per Fröling ch Mttagare: Deltagare i prjektet ch andra intressenter.
Läs merIntegritetspolicy för givare
Integritetsplicy för givare Vi vill ge dig full insyn i hur vi behandlar dina persnuppgifter ch hur du kan skydda din integritet. Varje individ har sin egen uppfattning ch syn på sin integritet. För att
Läs merStrategi för att minska ungdomskriminalitet
Strategi för att minska ungdmskriminalitet Beslutsdatum 20XX-XX-XX Dkumenttyp Plan Beslutad av Kmmunfullmäktige Dkumentägare Brttsförebyggande strateg Diarienummer 2017/KS 0316 005 Giltighetstid Tillsvidare
Läs merDatum. Ansökan om bidrag till öppen förskola i regi av Vaksala församling, Svenska kyrkan Uppsala
%i)h 12-0,2 K Uppsala "KOMMUN Handläggare Göran Hedefalk KONTORET FÖR BARN, UNGDOM OCH ARBETSMARKNAD Datum Diarienummer 2012-01-27 BUN-2011-0298 Barn- ch ungdmsnämnden Ansökan m bidrag till öppen förskla
Läs merLåneavtal för personlig elevdator
Datum 2014-05-15 Avtalsnr. 201401 Sklförvaltningen Bilaga 2 B B Låneavtal för persnlig elevdatr Kristinehamns kmmun 1 Allmänna förutsättningar Kristinehamns kmmun erbjuder eleverna att under sin studietid,
Läs merLekmannarevision 2017 Systematiskt arbetsmiljöarbete. Göransson Arena AB
www.pwc.se Revisinsrapprt Systematiskt arbetsmiljöarbete Lina Olssn, Cert. kmmunal revisr Erika Brlin Januari 2018 Innehåll 1. Sammanfattning... 2 1.1. Inledning... 2 1.2. Bedömning... 2 1.3. Rekmmendatiner...
Läs merLedning för kvalitet i vård och omsorg
Ledning för kvalitet i vård ch msrg Förrd Denna skrift riktar sig till förtrendevalda, vårdgivare ch chefer med ansvar för vård ch msrg. Syftet är att stimulera till att utvecklingen av kvalitetssystem
Läs merRiktlinjer för individuell planering och dokumentation av genomförandet av insatser inom särskilda boenden i Töreboda Kommun
Riktlinjer för individuell planering ch dkumentatin av genmförandet av insatser inm särskilda benden i Törebda Kmmun Beslutat av kmmunstyrelsen 2012-05-02 diarienummer KS 2011/0232 Innehåll 1. INLEDNING...
Läs merBeskrivning av Metakatalog. Sundsvalls kommun
Beskrivning av Metakatalg Sundsvalls kmmun Innehåll 1. ALLMÄNT OM METAKATALOGEN... 3 2. SYFTE... 3 2.1 AUTOMATISERING AV IT-ADMINISTRATION... 3 2.1.1 Effektivisering av IT-administratin... 4 2.2 VIDAREUTNYTTJANDE
Läs mer13. Utvecklingssamtal hos IOGT-NTO
13. Utvecklingssamtal hs IOGT-NTO Syfte Att få rganisatinen att fungera bättre. Att bidra till medarbetarnas persnliga utveckling. Att stämma av mt mål. Att stämma av samarbetet mellan rganisatinsgrenarna
Läs merVattenfall Innovation Awards
Vattenfall Innvatin Awards Hantering av Uppfinnare, prcess ch tlkning av legala aspekter Tidsplan: 1. Vattenfalls (VF) utser en intern jury, bestående av ca 10 persner, sm bedömer ch beslutar m vilka idéer
Läs merVerksamhetsbera ttelse 2014 Campus Alingsa s
Verksamhetsbera ttelse 2014 Campus Alingsa s Innehåll INLEDNING... 3 1. UTBILDNINGAR... 4 1.1 Högre utbildning... 5 1.2 Yrkeshögskla... 6 2. SAMVERKAN OCH UTVECKLING... 6 2.1 Westum... 6 2.1.1 KOBRA...
Läs merPlus500CY Ltd. Säkerhets- och cookie policy
Plus500CY Ltd. Säkerhets- ch ckie plicy Säkerhets- ch Ckie Plicy Denna webbplats drivs av Plus500CY Ltd. ("vi, ss eller vår"). Det är vår plicy att respektera infrmatinssekretess ch enskildas integritet.
Läs merDatautvinning från digitala lagringsmedia DT2002
Datautvinning från digitala lagringsmedia DT2002 26:e maj 2009 0900-1300 IDE, Högsklan i Halmstad Kntaktpersn: Mattias Weckstén, ankn. 7396 Betyg: 55 p => 3 70 p => 4 85 p => 5 Max: 100 p Tillåtna hjälpmedel:
Läs merIntern kontroll inom Försörjningsstöd
Revisinsrapprt Intern kntrll inm Försörjningsstöd Inger Kullberg Cert. kmmunal revisr Anna Gröndahl Stadsrevisinen i Örebr kmmun Intern kntrll inm försörjningsstöd Innehållsförteckning 1 Sammanfattning
Läs merFolkhälsoplan för 2015
Flkhälsplan för 2015 antagen i Kmmunfullmäktige 2015-02-19 Flkhälsplan med inriktning ch pririteringar inför 2015 Inledning Kmmunfullmäktige antg 090625 Flkhälsplitisk plicy för Västra Götaland att gälla
Läs merGuide till datadriven verksamhetsstyrning
Guide till datadriven verksamhetsstyrning Bakgrund Reaktiv verksamhetsstyrning med fkus på förklaring Traditinellt sett har man månadsmöten en till två veckr efter ett månadsskifte där man tittar på föregående
Läs merDIGITALISERINGSPLAN 2016-2025
Statens museer för världskultur 2015-12-21 Dnr 467/2015 DIGITALISERINGSPLAN 2016-2025 Plan för digitalisering av Världskulturmuseernas samlingar Södra vägen 54 Bx 5306, 402 27 Götebrg Telefn: 010-456 11
Läs merIdentifiera, förebygga och motverka osakliga könsskillnader i kärnverksamheten
1 (5) Avdelningen för gemensamma kundfrågr 2015-02-27 Ändringsdatum Serienummer Versin Identifiera, förebygga ch mtverka sakliga könsskillnader i kärnverksamheten Målgrupp De här riktlinjerna riktar sig
Läs merMalltext Tredjepart- /Samarbetsavtal HSA och SITHS
Malltext Tredjepart- /Samarbetsavtal HSA ch SITHS Malltext Tredjepart-/Samarbetsavtal HSA ch SITHS Versin 1.2 HSA ch SITHS Förvaltning 2016-11-30 Allmänt Detta dkument är framtaget sm hjälp för de rganisatiner
Läs merPOLICY FÖR BARNKONVENTIONEN I KUNGSBACKA KOMMUN 2007-2011
POLICY FÖR BARNKONVENTIONEN I KUNGSBACKA KOMMUN 2007-2011 Kungsbacka kmmuns plicy Alla beslut ch allt arbete i Kungsbacka kmmun sm rör barn ch ungdmar ska utgå från ch göras i enlighet med FN:s knventin
Läs merYH och internationalisering
YH ch internatinalisering Myndigheten för yrkeshögsklan ISBN-nr: 978-91-87073-25-0 Dnr: MYH 2015/140 Omslagsbild: Bildarkivet 1 (10) Datum: 2014-12-16 Dnr: MYH 2015/140 Rapprt Yrkeshögsklan ch internatinalisering
Läs merFU 2000 Generella arbetsmiljökrav
Systemmdell FU 2000 Handling 7.4 Giltig från Versinsnummer Antal sidr 2010-03-31 Utgåva J 6 Diarienummer Utgivningsdatum Antal bilagr F10-2409/PE50 2010-03-31 0 Beslutsfattare CGD Stab Persnal Handläggande
Läs merDigital strategi för Ödeshögs kommunala skola
Digital strategi för Ödeshögs kmmunala skla 2017-2019 Inledning Någnting har hänt då det gäller svensk skla ch IT. Från att tidigare ha diskuterat frågr m datrer ch appar talar nu plitiker, debattörer
Läs merVård- och omsorgsnämndens plan för funktionshinder 2016-2025
Vård- ch msrgsnämndens plan för funktinshinder 2016-2025 INLEDNING 3 Visin.3 Värdegrund ch nämndens mål 3 Verksamhetsidé.3 KOMMUNGEMENSAMT ARBETE.4 Eknmi 5 Jämställdhet.5 Histrik.7 Övergripande mvärldsperspektiv.8
Läs merRevisionsplan 2016 för Tidaholms kommun och dess helägda bolag och stiftelser
Tidahlms kmmun Revisrena Revisinsplan 2016 för Tidahlms kmmun ch dess helägda blag ch stiftelser 1 Uppdrag Revisrerna är kmmunfullmäktiges, ch ytterst medbrgarnas rgan för kntrll av ch stöd till nämnderna
Läs merSchoolSoft 2015-05-05
SchlSft 2015-05-05 Arkivering Nytt läsår Schemasystem: K-Skla ch GPUntis Nedan följer en lista på vad sm bör göras i SchlSft mellan två läsår. Berende på sklans sätt att arbeta kan det finnas mindre avvikelser
Läs merSamråd om översynen av EU:s handikappstrategi
Samråd m översynen av EU:s handikappstrategi 2010 2020 Omkring 80 miljner människr i EU har en funktinsnedsättning. De stöter fta på hinder sm gör att de inte kan leva sm andra. EU vill få brt hindren
Läs merPolicy Wastetofuel på Facebook
Helsingbrg 2012-03-15 Plicy Wastetfuel på Facebk Facebk Facebk är ett scialt nätverk, sm i dagsläget är det mest använda i Sverige. Syfte med Facebk: Föra dialg med målgrupper Starta diskussiner Skapa
Läs merKT Cirkulär 2/2015 bilaga 1 1 (15) Kiiski 26.2.2015. Ny diskrimineringslag. Diskrimineringslag 1.1.2015 (1325/2014)
KT Cirkulär 2/2015 bilaga 1 1 (15) Ny diskrimineringslag Diskrimineringslag 1.1.2015 (1325/2014) Lagens syfte (1 ) Lagens tillämpningsmråde (2 ) Den nya diskrimineringslagen, sm trädde i kraft den 1 januari
Läs merStyrelse och rektor. Revisionsrapport Upphandling. Internrevisionen Dnr LiU-2008/01363 2008-05-26 1(8) 1. Bakgrund
Internrevisinen 1(8) Styrelse ch rektr Revisinsrapprt Upphandling 1. Bakgrund Internrevisinen (IR)har i enlighet med fastställd revisinsplan för verksamhetsåret 2008 utfört granskning av upphandling. Sedan
Läs merBeBos process för energieffektiviserande renovering
BeBs prcess för energieffektiviserande renvering BeB-prcessen Är ett metdiskt tillvägagångsätt för energieffektiviserande renvering med bästa möjliga utfall på inmhusmiljö, energianvändning ch kunskapsuppbyggnad.
Läs merTjänstebeskrivning. Tjänsteöversikt. Omfattning för Copilot Optimize-tjänster. Co ilot Optimize CAA-1000. Omfattning
Tjänstebeskrivning C ilt Optimize CAA-1000 Tjänsteöversikt Denna Tjänstebeskrivning ("Tjänstebeskrivningen") ingås mellan dig, kunden, ("dig" eller "Kunden") ch den Dell-enhet sm identifierats på din faktura
Läs mer1 (2) Landstingets revisorer 2006-12-19 Dnr REV/31/06
1 (2) Landstingets revisrer 2006-12-19 Dnr REV/31/06 Revisinschef Lennart Ledin Tfn: 063-14 75 27 Landstingsstyrelsen VAS eknmirutiner Revisinskntret har på uppdrag av ss granskat ch bedömt m det vårdadministrativa
Läs merSvenska Röda Korsets yttrande över Förslag till en nationell institution för mänskliga rättigheter i Sverige (Ds 2019:4)
Stckhlm, 13 maj 2019 Ku2018/02102/DISK Till: Arbetsmarknadsdepartementet a.remissvar@regeringskansliet.se Svenska Röda Krsets yttrande över Förslag till en natinell institutin för mänskliga rättigheter
Läs merAnvändningstillstånd för testbruk av Geodataplattformens utvecklings- och utbildningsmiljö
Användningstillstånd för testbruk av 1 (5) Mttagande företag Mttagarens namn Mttagarens gatuadress Pstfack Pstanstalt Användningstillstånd för testbruk av Lantmäteriverket beviljar användningstillstånd
Läs merRåd och riktlinjer för mobil försäljning av mat i Mjölby, Mantorp och Skänninge
Råd ch riktlinjer för mbil försäljning av mat i Mjölby, Mantrp ch Skänninge Beslutade av kmmunstyrelsen Framtagna av Tekniska kntret, Miljökntret, Byggnadskntret, Näringslivskntret ch Medbrgarservice Namn:
Läs merINSTRUKTION 1 (18) INSTRUKTION TILL BLANKETT FÖR ANSÖKAN OM VERKSAMHETSTILLSTÅND FÖR VÄRDEPAPPERSFÖRETAG
INSTRUKTION 1 (18) INSTRUKTION TILL BLANKETT FÖR ANSÖKAN OM VERKSAMHETSTILLSTÅND FÖR VÄRDEPAPPERSFÖRETAG Bakgrund Finansinspektinen handlägger ansökan m tillstånd för kreditinstitut, värdepappersföretag,
Läs merVälkommen till Unga Kvinnors Värn
Välkmmen till Unga Kvinnrs Värn Skyddat bende, persnal dygnet runt (HVB) Skyddat bende i träningslägenhet Kvalificerad kntaktpersn Stödgruppverksamhet NIKE Terapiverksamhet Kunskapsspridning Det var första
Läs merSkarpnäcks stadsdelsförvaltning. Likabehandlingsplan Sida 1 (9) Västra Bagarmossens förskolor
Skarpnäcks stadsdelsförvaltning Västra Bagarmssens försklr Likabehandlingsplan Sida 1 (9) 2015-09-05 Västra Bagarmssens försklr Bx 51 17 121 17 Jhanneshv Telefn 08-50815000 stckhlm.se Sida 2 (9) Vår likabehandlingsvisin
Läs merINTEGRITETSPOLICY. Uppgifter som samlas in när du använder våra tjänster
INTEGRITETSPOLICY Vi på Damaskus Maskinskydd värnar m dig ch din persnliga integritet. Det är viktigt för ss att du ska känna dig trygg när du lämnar dina uppgifter till ss. Vi behandlar därför dina persnuppgifter
Läs merAtt bli en kompetent kravställare av kompetens och öka anställningsbarhet hos medarbetarna
Att bli en kmpetent kravställare av kmpetens ch öka anställningsbarhet hs medarbetarna Hur kan vi i praktiken agera för att underlätta att strategi ch perativ förmåga ska kunna gå hand i hand inm ramen
Läs merSAMVERKAN, ÖPPNA LOKALA BREDBANDSNÄT OCH PRISVÄRDA TJÄNSTER
SAMVERKAN, ÖPPNA LOKALA BREDBANDSNÄT OCH PRISVÄRDA TJÄNSTER Rapprt framtagen inm ramen för trepartsöverenskmmelsen mellan Hyresgästernas riksförbund, Fastighetsägarna ch SABO 2 Innehållsförteckning Sida
Läs merTrygghetsplan för Hardemo förskolan. Likabehandlingsplan och plan mot kränkande behandling
Trygghetsplan för Hardem försklan Likabehandlingsplan ch plan mt kränkande behandling 2018-2019 Vår visin: Hardem förskla är en plats där alla respekterar varandra. Där barn ch vuxna kan öppet framföra
Läs merFörskolan Västanvind
Försklan Västanvind Västanvinds plan mt diskriminering ch kränkande behandling (likabehandlingsplan) 2015-05-25 Visin Västanvind är en förskla där alla avsett kön, etnisk bakgrund, religin, funktinshinder,
Läs merMiljöavdelningen informerar om: Egenkontroll. på förskolor och skolor enligt Miljöbalken 2011-01-25
Miljöavdelningen infrmerar m: Egenkntrll på försklr ch sklr enligt Miljöbalken 2011-01-25 Varför ska en egenkntrll finnas? Eftersm lkaler för sklr, försklr ch fritidshem är anmälningspliktiga enligt miljöbalken
Läs merGranskning av kommunens krisberedskap. Sollentuna kommun
www.pwc.se Revisinsrapprt Granskning av kmmunens krisberedskap Martin Bernhardtz Per Larssn Sllentuna kmmun Oktber 2017 Innehåll Sammanfattning... 2 1. Inledning... 3 1.1. Bakgrund... 3 1.2. Revisinsfråga...
Läs mer