REVISIONSRAPPORT. Grundläggande IT-säkerhet. Landstinget Halland. Februari Rolf Aronsson. Telefon: ,

Storlek: px
Starta visningen från sidan:

Download "REVISIONSRAPPORT. Grundläggande IT-säkerhet. Landstinget Halland. Februari 2003. Rolf Aronsson. Telefon: 031-61 96 66, 070-554 28 42"

Transkript

1 REVISIONSRAPPORT Grundläggande IT-säkerhet Landstinget Halland Februari 2003 Rolf Aronsson Telefon: , Anders Personsgatan 12, Göteborg E-post:

2 2 Innehållsförteckning 1. SAMMANFATTNING AV SYNPUNKTER OCH ÖVERVÄGANDEN Allmänt Policy och andra styrdokument/säkerhetsorganisation Klassificering och kontroll av tillgångar Personal och säkerhet Fysisk och miljörelaterad säkerhet Kommunikation och drift Styrning av åtkomst Identifiering och åtkomstkontroll - samlad bedömning Loggning och uppföljning - sammanvägd bedömning Avbrottsplanering och reservrutiner Efterlevnad uppföljning och kontroll UPPDRAG OCH GENOMFÖRANDE NULÄGESBESKRIVNING, ANALYS OCH BEDÖMNINGAR Policy och andra styrdokument Centrala styrdokument: Övriga styrande dokument Pågående projekt Ledningssystem för informationssäkerhet Sammanvägd bedömning Säkerhetsorganisation Sammanvägd bedömning Klassificering och kontroll av tillgångar Sammanvägd bedömning Personal och säkerhet Sammanvägd bedömning...12 (2)

3 3 3.5 Fysisk och miljörelaterad säkerhet Datormiljöer och lokala nätverk (Fastighetsnät) Sammanvägd bedömning Kommunikation och drift Sammanvägd bedömning Styrning av åtkomst Identifiering och åtkomstkontroll - samlad bedömning Loggning och uppföljning - sammanvägd bedömning Avbrottsplanering och reservrutiner Sammanvägd bedömning Efterlevnad uppföljning och kontroll...19 (3)

4 4 1. Sammanfattning av synpunkter och överväganden 1.1 Allmänt IT-säkerheten inom Landstinget Halland är mycket hög och det finns en medvetenhet hos ledningen och ansvarig personal kring behovet av säkerhet. De synpunkter som har framförts i tidigare granskningar av IT-säkerheten inom landstinget har åtgärdats eller kommer att åtgärdas i det projektarbete kring ledningssystem för informationssäkerhet som pågår inom landstinget. I vår analys har vi dock funnit områden där vi har framfört synpunkter som syftar till att ytterligare förstärka säkerhetsnivån. 1.2 Policy och andra styrdokument/säkerhetsorganisation Administrativ säkerhet är grunden för hög IT-säkerhet i verksamheten. Tydligt ledningsansvar, policy och riktlinjer och säkerhetsplaner är basen för ett strukturerat arbetssätt. Det finns tydliga och fastlagda styrdokument både på politisk nivå (IS/IT-policy) och på operativ ledningsnivå (IS/IT-strategi). Dessa lägger fast mål och strategi och är grundläggande för.användningen och utvecklingen av IS/IT inom landstinget. Pågående projekt med att ta fram processer och rutiner för ett ledningssystem för informationssäkerhet visar också på höga ambitioner att utveckla säkerheten inom landstinget. (4)

5 5 IT-organisationen - inklusive ansvar för IS/IT-säkerheten är väl beskriven i strategin och i det förslag kring Ansvar, befogenheter och organisation som projektgruppen för informationssäkerhet har tagit fram. Ansvaret följer väl linjeorganisationen med tydlig samordningsorganisation. 1.3 Klassificering och kontroll av tillgångar Klassificering och kontroll av tillgångar är erfarenhetsmässigt dåligt utvecklat i dom flesta organisationer trots att detta är grundläggande för en bra informationssäkerhet enkelt kan man säga att det handlar om att man vet vad man skall skydda och varför. Inom landstinget finns idag ingen klassificering av tillgångar vad vi kunnat finna utöver givetvis en grov klassificering av vad som är sekretessbelagd information (patientjournaler m.m.) och vad som är öppen och offentlig information. I projektet informationssäkerhet finns dock en tydlig ansats att skapa riktlinjer kring klassificering och kontroll av tillgångar. Enligt vår uppfattning bör detta område prioriteras. 1.4 Personal och säkerhet Enligt vår uppfattning så är krav och rutiner vid hanteringen av sekretess både vad gäller egen personal och konsulter tillfredställande. I våra intervjuer har behovet av utvidgad personkontroll för exempelvis IT-tekniker med hög kompetens och höga rättigheter diskuterats. Vi tar inte tagit ställning varken vad gäller de rättsliga möjligheterna eller behovet, men vi anser att frågan bör diskuteras och prövas genom analys av risker etc. 1.5 Fysisk och miljörelaterad säkerhet Skyddsnivån vid datorhallarna i länssjukhuset och Sjukhuset i Varberg är mycket hög. Regler och rutiner för loggning av personal som besöker datorhallarna bör ses över och dokumenteras. Dokumenterade regler och rutiner bör upprättas för säker avveckling eller återanvändning av utrustning både vad gäller servrar och nätanslutna arbetsstationer. Om icke nätanslutna persondatorer hanterar känslig information bör regelverket även omfatta dessa. Det finns idag ett antal lokala datorrum med applikationsservrar som hanterar känslig information, vilket tydligt framgår av serverförteckning enligt bilaga 1. Vi har inte gjort någon analys av skyddsnivåerna, men har fått indikationer på att det fysiska skyddet varierar. Det är heller inte möjligt - bl.a. av ekonomiska skäl - att upprätthålla samma skyddsnivå som i centrala datorhallar. (5)

6 6 Vi rekommenderar att man inom landstinget intensifierar processen att överföra så många servrar som möjligt till centrala datorhallar. Framförallt bör detta i första hand gälla servrar som hanterar känslig och sekretessbelagd information. 1.6 Kommunikation och drift Eftersom genomgången är grundläggande och bygger på intervjuer samt omfattar i huvudsak rutiner för säkerhetskopiering och virusskydd samt incidenthantering så görs ingen heltäckande bedömning. Vid intervjuer har vi också diskuterat andra delar inom kommunikation och drift, men vi har valt att inte närmare kommentera detta i denna rapport. Vi konstaterar också att området kommunikation och drift kommer att prioriteras i projektgruppen för informationssäkerhet. Dokumenterade riktlinjer och rutiner för säkerhetskopiering bör upprättas och omfatta samtliga datorhallar och lokala servrar i landstinget. 1.7 Styrning av åtkomst Identifiering och åtkomstkontroll - samlad bedömning Sammanvägt kan vi konstatera att säkerhetsnivån vid åtkomst av landstingets nätverk är relativt hög. Det finns dock anledning att projektgruppen för informationssäkerhet prioriterar detta område för att därigenom skapa tydliga och enhetliga riktlinjer inom landstinget. Vår analys skall också betraktas som mycket översiktlig och har inte behandlat behovet i nätverk och enskilda system av mer avancerade åtkomstskydd aktiva kort, PIN-koder, krav i patientjournallag m.m Loggning och uppföljning - sammanvägd bedömning Inom landstinget sker omfattande loggning av säkerhetshändelser i inloggningsservrar, mailservrar och brandväggar m.m. I olika system finns också behov av behandlingshistorik för att i efterhand kunna följa upp vem som har gjort vad och när i systemen. Vi har inte närmare granskat förekomsten av loggar och behandlingshistorik i olika system utan konstaterar att det viktigaste i nuläget är att man gemensamt i landstinget skapar riktlinjer och föreskrifter för hur loggning och behandlingshistorik skall ske i framtiden. 1.8 Avbrottsplanering och reservrutiner Vi har inte genomfört någon systematisk granskning av avbrottsplaner och reservrutiner, men konstaterar att det finns olika synsätt inom landstinget. Det finns därför anledning att genomföra risk- och sårbarhetsanalyser för olika system för att finna lämpliga nivåer i reservoch handlingsplaner. Framförallt gäller detta vid händelser som innebär mycket långa avbrott. (6)

7 7 1.9 Efterlevnad uppföljning och kontroll Vi har inte genomfört någon specifik granskning inom detta område. I rapporten finns flera exempel där vi lyfter fram behovet av bättre dokumentation av regler och rutiner, vilket är förutsättning för strukturerad uppföljning och kontroll. Uppföljning av IT-säkerhet utifrån egna styrdokument och rutiner samt krav i lagstiftningen är en del av den interna kontroll som ligger inom styrelse/nämnders ansvarsområden. Som exempel på områden kan nämnas; tillämpning av personuppgiftslagen, missbruk av E-post eller sökningar på Internet 1 och följsamhet till patientjournallagen i vårdadministrativa system. 2. Uppdrag och genomförande Granskningen har genomförts på uppdrag av landstingets revisorer och syftar övergripande till en bedömning av om IT-säkerheten är tillfredsställande inom landstinget utifrån krav i lagstiftning och förordningar, god IT-sed samt intern IT-säkerhetspolicy och framtagna riktlinjer. Granskningen har också omfattat en uppföljning av tidigare övergripande granskning av ITsäkerheten med utgångspunkt från rapport Övergripande analys av IT-säkerheten, daterad och dels landstingets svar daterat I uppdraget ingår också att efter riskanalys lämna förslag till fördjupade insatser. Dessa har lämnats i separat rapport till landstingets revisorer. Genomförandet har skett genom studier av dokument, intervjuer i grupp och enskilt samt utvärdering och verifiering av skyddsnivåer och förslag till åtgärder. Intervjuer har gjorts med IT-direktör, IT-säkerhetsansvarig och Teknikansvarig vid Landstingets IT-avdelning samt med IT-ansvariga och IT-säkerhetsansvariga vid Länssjukhuset och Sjukhuset i Varberg samt vid Primärvårdsförvaltningen i Varberg. 1 Enligt uppgift finns ett uppdrag till IT-ansvariga från landstingsledningen att stickprovsmässigt granska Internetloggar som skapas i s.k. proxyserver vid sökningar på Internet. Anmälan om missbruk skall göras till berörd verksamhetschef. (7)

8 8 Granskningen har genomförts med ett synsätt som innebär att IT-säkerheten är en del av informationssäkerheten 2 och övrig säkerhet inom landstinget. IT-säkerheten är en del av den totala säkerheten Samverkan, ledning och styrning med övrig säkerhet och riskhantering Total säkerhet Inform ationssäkerhet Administrativ säkerhet IT-säkerhet ADB-säkerhet Komm unikationssäkerhet Krav på IT-säkerhet fastställs av olika intressenter samt i olika lagstiftningar bl.a. sekretesslagen och personuppgiftslagen. Kraven kan sammanfattas i olika områden: Sekretess säkerställande av att informationen är tillgänglig endast för dem som har behörighet för åtkomst. Riktighet skydd av information och behandlingsmetoder så att de förblir korrekta och fullständiga. Tillgänglighet säkerställande av att behöriga användare vid behov har tillgång till informationen och tillhörande tillgångar. Även spårbarhet är viktigt för hög IT-säkerhet, d.v.s att registrering av avvikelser och andra säkerhetsrelevanta händelser täcker krav på tillförlitlighet och bevisbarhet. 2 Informationssäkerhet omfattar skydd av all information inom en organisation. Som exempel kan nämnas: pappersdokument, fax, e-post, visad på film eller talad. 2 I vår bedömning av krav och skyddsnivåer utgår vi från svensk standard kring ledningssystem för informationssäkerhet (SS-ISO/IEC 17799). (8)

9 9 I rapporten beskrivs olika områden som är viktiga för att uppnå en hög säkerhet. I vissa avsnitt har vi medvetet valt en låg detaljeringsgrad i beskrivning av skyddsnivåer vid ITavdelningen eller vid granskade förvaltningar. 3. Nulägesbeskrivning, analys och bedömningar 3.1 Policy och andra styrdokument En IT-säkerhetspolicy skall spegla ledningens viljeinriktning. Policyn bör bl.a. definiera mål, organisation och ansvar samt principer kring genomförandet av säkerhetsarbetet i landstinget. Med utgångspunkt från policyn bör det också finnas strategier och riktlinjer på ledningsnivå samt föreskrifter och dokumenterade rutiner Centrala styrdokument: IS/IT-policy, som är antagen av landstingsstyrelsen i september Denna slår fast på vilket sätt informationssystem (IS), informationsteknik (IT), kommunikation, säkerhet och sekretess ska utvecklas och drivas inom Landstinget Halland. I policyn finns också tydliga mål för IT-verksamheten inklusive att Ledning och styrning av IS/IT-utvecklingen skall ske enligt landstingets IS/IT-strategi. IS/IT 3 -strategin är baserad på IS/IT-policyn och lägger fast att den strategiska inriktningen och utvecklingen av IS/IT är en ledningsfråga. IS/IT skall vara ett stöd för verksamheten och ge utrymme för nytänkande samt bidra till verksamhetsutveckling. Strategin beskriver för övrigt följande områden: o Organisation och ansvar o System, kommunikation och information o Säkerhet och integritet o Drift, teknik och förvaltning 3 Med IS/IT beskrivs i strategin avses system och teknik för insamling, bearbetning, återfinnande samt kommunikation och presentation av data (text, bild och tal). I begreppet IS/IT ingår även säkerhet och sekretess. (9)

10 10 o Ekonomi och effektivitet Strategin bifogas i bilaga Övriga styrande dokument Inom landstinget finns ett flertal styrande dokument, exempelvis policy och föreskrifter vid länssjukhuset och Sjukhuset i Varberg och övriga förvaltningar. Dessa kommenteras i förekommande fall under respektive område nedan. Policy och andra styrdokument kommer också att inarbetas i det projekt som pågår för att ta fram ett Ledningssystem för informationssäkerhet Pågående projekt Ledningssystem för informationssäkerhet Inom landstinget pågår ett omfattande projekt för att utveckla ett ledningssystem för informationssäkerhet med tydliga beskrivningar av processer och rutiner. Projektarbetet bedrivs utifrån svensk standard Ledningssystem för informationssäkerhet (SS-ISO/IEC 17799). I bilaga 4 beskrivs arbetets omfattning och inriktning i Förslag till Ledningssystem för informationssäkerhet. I vår analys utgår vi från samma modell för standard kommentarer görs därför under olika avsnitt i rapporten Sammanvägd bedömning Det finns tydliga och fastlagda styrdokument både på politisk nivå (IS/IT-policy) och på operativ ledningsnivå (IS/IT-strategi). Dessa lägger fast mål och strategi och är grundläggande för.användningen och utvecklingen av IS/IT inom landstinget. Pågående projekt med att ta fram processer och rutiner för ett ledningssystem för informationssäkerhet visar också på höga ambitioner att utveckla säkerheten inom landstinget. 3.2 Säkerhetsorganisation Informationssäkerheten är en del av verksamhetsansvaret och bör därför följa linjeorganisationen. Utöver tydligt ansvar på nämnd/förvaltningsnivå bör det finnas en samordningsfunktion för hela landstinget. IT-organisationen beskrivs tydligt i IS/IT-strategin (bilaga 1). Dessutom har man i projektet informationssäkerhet som ett första steg tagit fram ett förslag Område Ansvar, befogenheter och organisation. Detta återfinns i bilaga 5 och är också ett exempel på hur områden inom Ledningssystem för informationssäkerhet kommer att utformas. (10)

11 Sammanvägd bedömning IT-organisationen - inklusive ansvar för IS/IT-säkerheten är väl beskriven i strategin och i det förslag kring Ansvar, befogenheter och organisation som projektgruppen för informationssäkerhet har tagit fram. Ansvaret följer väl linjeorganisationen med tydlig samordningsorganisation. 3.3 Klassificering och kontroll av tillgångar En väsentlig grund för en hög säkerhet är att landstingets tillgångar är förtecknade och klassificerade utifrån behovet av skyddsnivå. Med tillgångar avses här information 4, program 5, fysiska tillgångar 6 och tjänster Sammanvägd bedömning Klassificering och kontroll av tillgångar är erfarenhetsmässigt dåligt utvecklat i dom flesta organisationer trots att detta är grundläggande för en bra informationssäkerhet enkelt kan man säga att det handlar om att man vet vad man skall skydda och varför. Inom landstinget finns idag ingen klassificering av tillgångar vad vi kunnat finna utöver givetvis en grov klassificering av vad som är sekretessbelagd information (patientjournaler m.m.) och vad som är öppen och offentlig information. I projektet informationssäkerhet finns dock en tydlig ansats att skapa riktlinjer kring klassificering och kontroll av tillgångar. Enligt vår uppfattning bör detta område prioriteras. 3.4 Personal och säkerhet Målet är att minska riskerna för mänskliga misstag, missbruk av tillgångar och att skapa garantier för hög följsamhet till lagar och egna bestämmelser inom landstinget. En viktig del är att all personal som hanterar eller kan komma åt känslig information skriver under en särskild sekretessförbindelse. Inom landstinget skriver all personal under en blankett 4 Databaser, filer, systemdokumentation, användarmanualer, utbildningsmaterial, drift- och servicerutiner, avbrottsplaner, arkiverade data och information. 5 Tillämpnings- och systemprogram, utvecklingsprogram och hjälpprogram. 6 Datautrustning, kommunikationsutrustning, magnetmedia och annan teknisk utrustning. 7 Bearbetnings- och kommunikationstjänster och andra tjänster. (11)

12 12 som intygar att man har tagit del av dokumentet NETIKETT (Riktlinjer för användning och handhavande av Landstingets Hallands IS/IT-system). Detta dokument hanterar förutom flera områden också sekretess inom landstinget. Konsulter och extern servicepersonal som kan komma åt känslig information undertecknar också en särskild sekretessförbindelse Sammanvägd bedömning Enligt vår uppfattning så är krav och rutiner vid hanteringen av sekretess både vad gäller egen personal och konsulter tillfredställande. I våra intervjuer har behovet av utvidgad personkontroll för exempelvis IT-tekniker med hög kompetens och höga rättigheter diskuterats. Vi tar inte tagit ställning varken vad gäller de rättsliga möjligheterna eller behovet, men vi anser att frågan bör diskuteras och prövas genom analys av risker etc. 3.5 Fysisk och miljörelaterad säkerhet Målet med säkrade utrymmen för datorer och annan utrustning är att förhindra obehörigt tillträde och störningar i landstingets lokaler och information Datormiljöer och lokala nätverk (Fastighetsnät) Datordrift bedrivs på flera ställen inom landstinget. Datorhallar finns Länssjukhuset i Halmstad, Sjukhuset i Varberg och vid datorhotellet i TietoEnator i Halmstad. Dessutom finns ett antal lokala serverrum inom primärvården och vid enskilda kliniker. I bilaga 1 finns förteckning över servrar och i bilaga 2 förteckning över applikationer som körs i olika servermiljöer. I våra intervjuer med IT-ansvariga och IT-säkerhetsansvariga har bl.a. följande frågeställningar diskuterats. Är skalskyddet för landstingets datorrum fysiskt heltäckande? D.v.s. det får inte finnas luckor i skalskyddet där inbrott kan ske. Ytterväggar och dörrar (inom skalskyddat rum) måste ha en solid konstruktion samt lämpligt skydd mot obehörigt tillträde, t.ex. kodlås, galler, larm och lås. Är säkrade (skalskyddade) utrymmen skyddade genom avvägda tillträdeskontroller så att endast behörig personal får tillträde? Övervakas besökare (servicepersonal m.fl.) i tillräcklig omfattning? (12)

13 13 Finns system (kodlås) installerat som loggar alla besök i datorrum eller annat skyddsklassat utrymme? Är loggarna skyddade mot förändring samt med säker förvaring? Är skyddade lokaler larmade (inbrott och brand) med koppling till larmcentral? Har någon bedömning av insatstiden genomförts? Finns flera oberoende matningsvägar för elförsörjningen? Finns utrustning för avbrottsfri elförsörjning (UPS)? Har någon riskanalys genomförts vad gäller skydd av el- och telekablar? Finns väl avvägda avtal om service och underhåll för att garantera driften? Finns dokumenterade regler och rutiner för säker avveckling eller återanvändning av utrustning (servrar och nätanslutna arbetsstationer)? Sammanfattning av genomgången Datorhallarna vid Länssjukhuset och Sjukhuset i Varberg har mycket hög säkerhetsnivå. Placeringen av hallarna innebär en mycket hög skyddsnivå med bra skalskydd och ytterväggar och dörrar av solid konstruktion. Det finns också mycket avancerad automatisk släckningsutrustning vid bägge datorhallarna. Tillträdesskyddet är mycket högt ett fåtal personer har tillträde genom särskilda kort och nycklar. Konsulter och servicepersonal som besöker datorrummen övervakas. När det gäller loggning av personal som besöker datorrummen finns idag viss skillnad. Vid länssjukhuset sker loggning samt särskild besöksliggare. I Varberg sker idag enligt uppgift ingen loggning eller besöksliggare detta är dock något som diskuteras och som kommer att införas. Larm som indikerar brand och inbrott med koppling till larmcentraler finns vid samtliga datorhallar. Det finns flera oberoende matningsvägar för elförsörjningen. Exempelvis sker elförsörjning vid landssjukhuset från tre olika håll. Dessutom utrustning för avbrottsfri elförsörjning (UPS). (13)

14 14 Rutiner finns för avveckling av media som hanterar känslig information, d.v.s. i första hand hårddiskar och band med patientrelaterad information. Dessa förstörs (slås sönder eller borras) innan dom lämnar sjukhuset. Vi har dock inte kunnat återfinna någon dokumentation. Inom primärvårdsförvaltningarna finns lokalt placerade s.k. fileservrar och applikationsservrar. Patientjournalsystemet BMS körs på central server placerad vid länsjukhuset. Vid vårdcentralerna finns i viss utsträckning fileservrar. Vid tandvården finns lokala servrar i viss utsträckning som hanterar applikationen OPUS. Enligt uppgift finns dessa i låsta utrymmen som är larmade Sammanvägd bedömning Skyddsnivån vid datorhallarna i länssjukhuset och Sjukhuset i Varberg är mycket hög. Regler och rutiner för loggning av personal som besöker datorhallarna bör ses över och dokumenteras. Dokumenterade regler och rutiner bör upprättas för säker avveckling eller återanvändning av utrustning både vad gäller servrar och nätanslutna arbetsstationer. Om icke nätanslutna persondatorer hanterar känslig information bör regelverket även omfatta dessa. Det finns idag ett antal lokala datorrum med applikationsservrar som hanterar känslig information, vilket tydligt framgår av serverförteckning enligt bilaga 1. Vi har inte gjort någon analys av skyddsnivåerna, men har fått indikationer på att det fysiska skyddet varierar. Det är heller inte möjligt - bl.a. av ekonomiska skäl - att upprätthålla samma skyddsnivå som i centrala datorhallar. Vi rekommenderar att man inom landstinget intensifierar processen att överföra så många servrar som möjligt till centrala datorhallar. Framförallt bör detta i första hand gälla servrar som hanterar känslig och sekretessbelagd information. 3.6 Kommunikation och drift Kommunikation och drift är ett omfattande och i flera avseenden komplicerat tekniskt område. I landstingets nät hanteras en komplex datakommunikation som knyter samman olika enheter och förvaltningar oberoende av geografiskt läge. Dessutom finns en omfattande integrering mellan olika system, vilket innebär informationsöverföring i mycket stor omfattning. Vår genomgång är grundläggande och bygger på intervjuer samt omfattar i huvudsak rutiner för säkerhetskopiering och virusskydd samt incidenthantering. (14)

15 15 Virusskyddet hanteras centralt inom landstinget. och består av flera delar; lokalt på samtliga arbetsstationer, på servrar, i brandväggen och på mailservrarna. I arbetsstationerna används McAfee Virusscan. Uppdatering sker genom att en server hämtar dat-filer ibland flera gånger per dygn. Arbetsstationerna hämtar sedan filen med automatik. På servrarna heter programvaran NetShield och fungerar på samma sätt som för arbetstationerna. I mailservrarna heter programmet Groupshield som skannar utgående mail. En gång per vecka så skannas samtliga brevlådor. I brandväggen finns ett program som heter Webshield som skannar alla externa mail. Vi har genom intervjuer analyserat säkerhetskopieringen vid länssjukhuset och Sjukhuset i Varberg. Kopieringen sker automatiskt med hjälp av s.k. bandrobotar som finns i säkrade och larmade utrymmen. Säkerhetskopiorna förvaras i särskilda väl skyddade utrymmen. Backuptagningen registreras också i särskild databas (länssjukhuset) med möjlighet att styra bl.a. återläsningar. För lokala servrar sker säkerhetskopieringen lokalt enligt uppgift efter särskilda schema (dagvecko-, månadsband etc). Dokumentation som tydligt beskriver regler och rutiner finns vid några förvaltningar, men saknas vid andra. Det finns således ingen samlad dokumentationen för samtliga datorhallar och lokala serverrum. Rutiner för incidenthantering finns och är dokumenterad. Det finns särskild blankett s.k. avvikelserapport. Enligt uppgift så pågår upphandling av ett nytt IT-system för avvikelsehantering som skall hantera brand, säkerhet, miljö och drift. Incidenthanteringen omfattar samtliga störningar inom landstinget Sammanvägd bedömning Eftersom genomgången är grundläggande och bygger på intervjuer samt omfattar i huvudsak rutiner för säkerhetskopiering och virusskydd samt incidenthantering så görs ingen heltäckande bedömning. Vid intervjuer har vi också diskuterat andra delar inom kommunikation och drift, men vi har valt att inte närmare kommentera detta i denna rapport. Vi konstaterar också att området kommunikation och drift kommer att prioriteras i projektgruppen för informationssäkerhet. Dokumenterade riktlinjer och rutiner för säkerhetskopiering bör upprättas och omfatta samtliga datorhallar och lokala servrar i landstinget. (15)

16 Styrning av åtkomst Målet är att skydda nätverk, system, databaser och information mot obehörig åtkomst eller utnyttjande. Eftersom det fysiska skyddet blir alltmer utvecklat så flyttas fokus alltmer mot den logiska säkerheten, d.v.s. åtkomstskydd av information i nätverk, program och databaser. I detta sammanhang är det därför viktigt att ha ett väl utbyggt behörighetskontrollsystem. Den hierarkiska uppbyggnaden kan beskrivas på följande sätt: Uppbyggnad av behörighetskontrollsystem Behörighetskontrollsystem Identifiering Å tkom stk ontroll Loggning T illgån g till funktioner Tillgång till lagrade data Datain tegritet U tnyttjand e Spårbarhet Begreppsförklaringar: Identifiering sker genom uppgivande av identitet samt att systemet verifierar äktheten. Åtkomstkontrollen skall styra tillgången till ett systems samtliga resurser, som omfattar både data, program, skrivare, kommunikationsmöjligheter m m. Loggning omfattar både säkerhetshändelser (ex vis åtkomstförsök med felaktigt lösenord) och s k behandlingshistorik (vem har gjort vad, när och hur) i enskilda system. Dataintegritet definieras som informationssystemets förmåga att förhindra att lagrade data förvanskas genom bl a kontroll av riktighet, signering samt möjlighet att återskapa varje version av informationen. Vår genomgång omfattar styrning av åtkomst till nätverket i landstinget. Vi har inte analyserat behörighetskontrollerna till enskilda system Identifiering och åtkomstkontroll - samlad bedömning När det gäller åtkomst av nätverket är säkerhetsnivån relativt god med bl.a. krav på regelbundna byte av lösenord (63 dagar), utspärrning efter 3 försök med felaktigt lösenord. Krav på antal tecken i lösenord är 6 tecken. Lösenord skall vara unika och använt lösenord skall inte kunna återanvändas. Idag kommer systemet ihåg 6 lösenord bakåt i tiden. (16)

17 17 Systemet (NT) ställer idag inga krav på format av lösenord, men det finns en tydlig rekommendation att lösenord skall innehålla en kombination av alfabetiska och numeriska tecken. Det finns i viss utsträckning s.k. gruppidentiteter med mycket begränsad åtkomst till nätverket. Dessa används av ambulerande personal inom landstinget. Uppläggning av nya identiteter görs på förvaltningsnivå. Särskilda blanketter finns för beställning av behörigheter. Beställningen skrivs under av respektive verksamhetschef. Vid länssjukhuset sker också underskrift av den som ansöker om identiteten. Av blanketten framgår också vilken behörighet som skall tilldelas, exempelvis tillgång till patientjournalsystem (PAS, Svedstar m.fl.). I dag finns något olika tillämpningar: Länssjukhuset sparar samtliga blanketter. Sjukhuset i Varberg sparar inte blanketterna efter att registrering har skett. Innehavaren av identiteten skriver inte heller under beställningen eller kvitterar mottagandet. Sammanvägt kan vi konstatera att säkerhetsnivån vid åtkomst av landstingets nätverk är relativt hög. Det finns dock anledning att projektgruppen för informationssäkerhet prioriterar detta område för att därigenom skapa tydliga och enhetliga riktlinjer inom landstinget. Vår analys skall också betraktas som mycket översiktlig och har inte behandlat behovet i nätverk och enskilda system av mer avancerade åtkomstskydd aktiva kort, PIN-koder, krav i patientjournallag m.m Loggning och uppföljning - sammanvägd bedömning Inom landstinget sker omfattande loggning av säkerhetshändelser i inloggningsservrar, mailservrar och brandväggar m.m. I olika system finns också behov av behandlingshistorik för att i efterhand kunna följa upp vem som har gjort vad och när i systemen. Vi har inte närmare granskat förekomsten av loggar och behandlingshistorik i olika system utan konstaterar att det viktigaste i nuläget är att man gemensamt i landstinget skapar riktlinjer och föreskrifter för hur loggning och behandlingshistorik skall ske i framtiden. Vad vi kan finna så saknas riktlinjer/föreskrifter för loggning och behandlingshistorik i nuläget. Loggning och uppföljning av olika händelser har stor betydelse för kontroll av säkerheten i olika avseende och är dessutom en grundförutsättning för att skapa god intern kontroll genom planenliga uppföljningar och kontroller. Det finns därför anledning att ta fram riktlinjer/föreskrifter för när, hur, var loggning och uppföljning skall ske. Detta gäller både säkerhetshändelser i inloggningsserverar, mailservrar och brandväggar och behandlingshistorik i enskilda system. (17)

18 18 Som exempel på frågor kan noteras: 1) Hur länge 8 och på vilket media 9 skall loggfiler (behandlingshistorik) sparas? 2) Vilka kontrollmål gäller, d.v.s. av vilken anledning sparas uppgifterna? 3) Organisation för uppföljning och kontroll? 4) Vilka krav på selektiv loggning (terminal, användare, register m.m.) skall finnas? 5) Vilka krav skall finnas på program för rapportuttag? 3.8 Avbrottsplanering och reservrutiner Målet med avbrottsplanering och reservrutiner är att motverka avbrott i verksamheten och att skydda kritiska rutiner från oförutsedda allvarligare avbrott i verksamheten. I avbrottshanteringen bör också ingå att identifiera och minska risker, begränsa följderna av skadliga händelser och att säkerställa återgång till normal drift. Beredskapen för avbrott hanteras idag med något olika synsätt inom landstinget. Vid Sjukhuset i Varberg finns sedan 1994 en katastrofplan för ADB, med detaljerad beskrivning av olika åtgärder inklusive reservrutiner för olika kritiska system. Planen har också använts vid några tillfällen bl.a. i samband med omfattande byte av server. Vid länssjukhuset finns ingen plan för totalhaveri. Det finns dock en plan för beredskap dygnet runt, vilken är dokumenterad i särskild databas. För övrigt ligger ansvaret för reservrutiner på respektive klinik. Inom primärvården ansvarar respektive förvaltningschef för att det finns reservrutiner Sammanvägd bedömning Vi har inte genomfört någon systematisk granskning av avbrottsplaner och reservrutiner, men konstaterar att det finns olika synsätt inom landstinget. Det finns därför anledning att genomföra risk- och sårbarhetsanalyser för olika system för att finna lämpliga nivåer i reservoch handlingsplaner. Framförallt gäller detta vid händelser som innebär mycket långa avbrott. 8 Om inte lagstiftningen ställer högre krav bör loggade uppgifter sparas i två år. 9 Vid lagring av loggar (behandlingshistorik) på exempelvis tapekassetter/server/cd är det viktigt att också förvara dessa med utgångspunkt från den klassificering av tillgångar och sekretess som gäller. (18)

19 Efterlevnad uppföljning och kontroll Vi har inte genomfört någon specifik granskning inom detta område. I rapporten finns flera exempel där vi lyfter fram behovet av bättre dokumentation av regler och rutiner, vilket är förutsättning för strukturerad uppföljning och kontroll. Uppföljning av IT-säkerhet utifrån egna styrdokument och rutiner samt krav i lagstiftningen är en del av den interna kontroll som ligger inom styrelse/nämnders ansvarsområden. Som exempel på områden kan nämnas; tillämpning av personuppgiftslagen, missbruk av E-post eller sökningar på internet 10 och följsamhet till patientjournallagen i vårdadministrativa system. 10 Enligt uppgift finns ett uppdrag till IT-ansvariga från landstingsledningen att stickprovsmässigt granska Internetloggar som skapas i s.k. proxyserver vid sökningar på Internet. Anmälan om missbruk skall göras till berörd verksamhetschef. (19)

REVISIONSRAPPORT. Intern kontroll och säkerhet vid elektronisk handläggning av leverantörsfakturor. Arvika kommun. September 2005.

REVISIONSRAPPORT. Intern kontroll och säkerhet vid elektronisk handläggning av leverantörsfakturor. Arvika kommun. September 2005. REVISIONSRAPPORT Intern kontroll och säkerhet vid elektronisk handläggning av leverantörsfakturor Arvika kommun September 2005 Rolf Aronsson (1) Innehållsförteckning 1. Sammanfattning av synpunkter...3

Läs mer

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy inom Stockholms läns landsting LS 1112-1733 Informationssäkerhetspolicy inom Stockholms läns landsting 2013-02-01 Beslutad av landstingsfullmäktige 2013-03-19 2 (7) Innehållsförteckning 1 Inledning...3 2 Mål... 4 3 Omfattning... 4 4

Läs mer

REVISIONSRAPPORT. Landstinget Halland. Säkerhet och intern kontroll i vårdinformationssystem. mars 2004. Rolf Aronsson Leif Jacobsson

REVISIONSRAPPORT. Landstinget Halland. Säkerhet och intern kontroll i vårdinformationssystem. mars 2004. Rolf Aronsson Leif Jacobsson REVISIONSRAPPORT Landstinget Halland Säkerhet och intern kontroll i vårdinformationssystem mars 2004 Rolf Aronsson Leif Jacobsson www.pwcglobal.com/se www.komrev.se Innehållsförteckning 1. SAMMANFATTNING

Läs mer

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Riktlinjer för säkerhetsarbetet vid Uppsala universitet Dnr UFV 2010/424 Riktlinjer för säkerhetsarbetet vid Uppsala universitet Fastställda av Universitetsdirektören 2010-03-31 Innehållsförteckning 1 Inledning 3 2 Ansvar 3 3 Underlåtelse 3 4 Definitioner 3

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om informationssäkerhet, it-verksamhet och insättningssystem;

Läs mer

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUNS NÄTVERK 1 INLEDNING...1 2 BAKGRUND...1

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUNS NÄTVERK 1 INLEDNING...1 2 BAKGRUND...1 GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUNS NÄTVERK 1 INLEDNING...1 2 BAKGRUND...1 3 VERKSAMHETSBESKRIVNING...1 3.1 ANVÄNDNINGSSÄTT - FUNKTIONSBESKRIVNING...1 3.1.1 Användning under normala förhållanden

Läs mer

Policy Document Number ESS-0002649 Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet

Policy Document Number ESS-0002649 Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet Revision 1 (3) State Released Plan för IT Säkerhet DOCUMENT REVISION HISTORY Revision Reason for revision Date 1 New Document 2013-02-26 List of Authors List of Reviewers List of Approvers Skölde, Daniel/Ulrika

Läs mer

Svensk Standard SS ISO/IEC 17799 SS 62 77 99-2

Svensk Standard SS ISO/IEC 17799 SS 62 77 99-2 Svensk Standard SS ISO/IEC 17799 SS 62 77 99-2 Ledningssystem för informationssäkerhet () Informationssäkerhet Informationssäkerhet Administrativ säkerhet IT-säkerhet ADB-säkerhet Kommunikationssäkerhet

Läs mer

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 3 RIKTLINJER FÖR ATT UPPNÅ MÅLEN... 3 3.1 ALLMÄNT... 3 3.2 LEDNING OCH ANSVAR FÖR IT-SÄKERHET... 3 3.2.1 Systemägare... 3 3.2.2

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om it-system, informationssäkerhet och insättningssystem;

Läs mer

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation Presentation Informationssäkerhet Kim Strandberg Informationssäkerhetsstrateg/jurist kim.strandberg@regionostergotland.se 010-103 03 385 Region Informationssäkerhet, Östergötland 2015-03-11, Kim Strandberg

Läs mer

IT-säkerhetspolicy. Fastställd av KF 2005-02-16

IT-säkerhetspolicy. Fastställd av KF 2005-02-16 IT-säkerhetspolicy Fastställd av KF 2005-02-16 IT-säkerhetspolicy Sidan 2 (9) Revisionsinformation Datum Åtgärd Ansvarig Version 2004-11-19 3.4 Ändrat första meningen PGR 2.0 förvaltningen -> verksamheten

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2006-09-07 Informationssäkerhetspolicy Antagen av kommunfullmäktige 2006-09-28, 140 Innehåll 1 INLEDNING...3 2 MÅL FÖR INFORMATIONSSÄKERHETSARBETET...4 2.1 LÅNGSIKTIGA MÅL...4 2.2 ÅRLIGA MÅL...4 3 ORGANISATION,

Läs mer

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUN

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUN GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUN 06-07 GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUNS NÄTVERK 1 INLEDNING...1 2 BAKGRUND...1 3 VERKSAMHETSBESKRIVNING...2 3.1 ANVÄNDNINGSSÄTT - FUNKTIONSBESKRIVNING...2

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2009-07-15 1 (9) Informationssäkerhetspolicy Antagen av kommunfullmäktige den 2009-10-21, 110 Kommunstyrelseförvaltningen Postadress Besöksadress Telefon Telefax E-post Hemsida 462 85 Vänersborg Sundsgatan

Läs mer

IT-säkerhetsinstruktion Förvaltning

IT-säkerhetsinstruktion Förvaltning IT-säkerhetsinstruktion Förvaltning 2013-09-24 1.0 IT- S Ä K E R H E T S I N S T R U K T I O N IT-säkerhetsinstruktion Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se

Läs mer

Översiktlig granskning av IT-säkerheten

Översiktlig granskning av IT-säkerheten Revisionsrapport Översiktlig granskning av IT-säkerheten Östhammars kommun April 2009 Göran Persson Lingman 1 Innehållsförteckning 1. Inledning... 3 1.1 Bakgrund... 3 1.2 Syfte... 3 1.3 Metod... 4 1.4

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Jönköpings län Kerem Kocaer Johan Elmerhag Jean Odgaard September 2013 Innehållsförteckning

Läs mer

Bilaga 3c Informationssäkerhet

Bilaga 3c Informationssäkerhet SID 1 (9) Bilaga 3c Informationssäkerhet Förfrågningsunderlag Upphandling av ett helhetsåtagande avseende IT-stöd för pedagogiskt material inom Skolplattform Stockholm Box 22049, 104 22 Stockholm. Besöksadress

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688 Revisionsrapport Malmö Högskola 205 06 Malmö Datum Dnr 2012-05-22 32-2011-0688 Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011 Riksrevisionen har som ett led

Läs mer

I Central förvaltning Administrativ enhet

I Central förvaltning Administrativ enhet ., Landstinget II DALARNA I Central förvaltning Administrativ enhet ~llaga LS 117,4 BESLUTSUNDERLAG Landstingsstyrelsen Datum 2013-11-04 Sida 1 (3) Dnr LD13/02242 Uppdnr 652 2013-10-21 Landstingsstyrelsens

Läs mer

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group www.transcendentgroup.com Målsättning Öka förståelsen för nyttan med IT-revision Vad innebär intern IT-revision? Jmf

Läs mer

Informationssäkerhet Riktlinje Förvaltning

Informationssäkerhet Riktlinje Förvaltning Informationssäkerhet Riktlinje Förvaltning Fastställd av kommundirektören 2011-06-20 Innehåll 1 Informationssäkerhet 3 2 Organisation och ansvar 4 2.1 Informationssäkerhetssamordnare... 4 2.2 IT-chef...

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Östergötland Kerem Kocaer Magnus Olson-Sjölander Björn Johrén IT-specialister Eva Andlert

Läs mer

Policy för informationssäkerhet

Policy för informationssäkerhet .. - T C Q o,.. e Policy för informationssäkerhet Landstingsdirektörens stab augusti 2015 CJiflt LANDSTINGET BLEKINGE Innehållsförteckning Inledning och bakgrund... 3 Syfte... 3 Mål... 3 Genomförande...

Läs mer

Informationssäkerhet - Informationssäkerhetspolicy

Informationssäkerhet - Informationssäkerhetspolicy Informationssäkerhet - Informationssäkerhetspolicy Informationssäkerhetspolicy 2008-08-29 Innehållsförteckning 1 Inledning... 1 2 Mål för IT-sbäkerhetsarbetet... 2 2.1 Långsiktiga mål... 2 2.2 Årliga mål...

Läs mer

Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm

Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm Vervas allmänna råd till föreskrift om statliga myndigheters arbete med säkert

Läs mer

Riktlinjer informationssäkerhet

Riktlinjer informationssäkerhet informationssäkerhet Norrbottens läns landstings riktlinjer för informationssäkerhet beskriver hur hanteringen av information ska ske. All information omfattas oberoende av mediatyp. Styrande dokument

Läs mer

Jämtlands Gymnasieförbund

Jämtlands Gymnasieförbund Jämtlands Gymnasieförbund Svar på revisionsrapport - Granskning av ITsäkerhetspolicy Dnr 212-2013 Linda Lignell Innehållsförteckning 1. Allmänt... 3 2. Efterlevnad av policyn... 3 2.1. IT-säkerhetspolicy...

Läs mer

ITsäkerhetspolicy. Antagen av kommunstyrelsen 1999-03-03 46-99

ITsäkerhetspolicy. Antagen av kommunstyrelsen 1999-03-03 46-99 ITsäkerhetspolicy Antagen av kommunstyrelsen 1999-03-03 46-99 IT-säkerhetspolicy för Denna policy uttrycker kommunledningens syn på behovet av IT-säkerhet i Lysekils kommun. Den anger omfattning och ansvarsfördelning

Läs mer

Informationssäkerhet, Linköpings kommun

Informationssäkerhet, Linköpings kommun 1 (6) E-Lin projektet 2013-10-28 Informationssäkerhet, Linköpings kommun Delrapport 2 Innehåll Dokumenthistorik... 3 1. Syfte... 3 2. Bakgrund... 3 2.1 Målgrupp... 3 3. Frågeställningar... 3 4. Undersökning...

Läs mer

IT-säkerhet Externt och internt intrångstest

IT-säkerhet Externt och internt intrångstest Revisionsrapport IT-säkerhet Externt och internt intrångstest Region Halland Kerem Kocaer December 2012 Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Angreppssätt... 4 Syfte och

Läs mer

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet 2008:490 kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet Fastställt av kommunfullmäktige 2008-10-02 302 komplettering gjord

Läs mer

EXEMPEL. Informationssäkerhetsinstruktion: Kontinuitet och Drift (Infosäk KD)

EXEMPEL. Informationssäkerhetsinstruktion: Kontinuitet och Drift (Infosäk KD) EXEMPEL Informationssäkerhetsinstruktion: Kontinuitet och Drift (Infosäk KD) Innehållsförteckning 1 Instruktionens roll i informationssäkerhetsarbetet 4 2 Organisation och ansvar för säkerhetsarbetet 5

Läs mer

Riktlinjer för IT-säkerhet i Halmstads kommun

Riktlinjer för IT-säkerhet i Halmstads kommun Riktlinjer för IT-säkerhet i Halmstads kommun VER 1.0 Innehåll Inledning...3 Definition av IT-säkerhet...3 Omfattning...3 Vikten av IT-säkerhet...3 Mål för IT-säkerhetsarbetet...4 Ledning och ansvar...4

Läs mer

IT-SÄKERHETSPOLICY. Stadskontoret. 1 Inledning... 1. 1.1 Definition... 2. 1.2 Omfattning... 2. 2 Mål för IT-säkerhetsarbetet... 2

IT-SÄKERHETSPOLICY. Stadskontoret. 1 Inledning... 1. 1.1 Definition... 2. 1.2 Omfattning... 2. 2 Mål för IT-säkerhetsarbetet... 2 IT-SÄKERHETSPOLICY 1 Inledning... 1 1.1 Definition... 2 1.2 Omfattning... 2 2 Mål för IT-säkerhetsarbetet... 2 3 Ledning och ansvar för IT-säkerheten... 3 4 Lagar och andra regelverk... 4 5 IT-säkerhetsarbetet...

Läs mer

Informationssäkerhetsanvisning

Informationssäkerhetsanvisning HÖGSKOLAN I BORÅS STYRDOKUMENT 2012-12-12 Dnr 074-11-19 Informationssäkerhetsanvisningar Användare Beslutad av enhetschef för Gemensamma förvaltningen i enlighet med rektors beslut fattat den 16 februari

Läs mer

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6)

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6) Internt penetrationstest Tierps kommun Revisionsrapport Juni 2011 Erik Norman 1(6) Innehållsförteckning 1. Sammanfattning... 3 1.1. Bakgrund... 3 1.2. Revisionsfråga... 3 2. Angreppssätt... 4 2.1. Omfattning

Läs mer

Säkerhetspolicy för Göteborgs Stad

Säkerhetspolicy för Göteborgs Stad (Styrelsemöte i Förvaltnings AB Framtiden 2014-12-09) Säkerhet & lokaler Gemensamt för staden Säkerhetspolicy för Göteborgs Stad - Policy/riktlinjer/regler Handläggare: Peter Lönn Fastställare: Kommunfullmäktige

Läs mer

IT-säkerhetspolicy för Landstinget Sörmland

IT-säkerhetspolicy för Landstinget Sörmland Bilaga 1, LS 115 /02 1.0 1(5) IT-säkerhetspolicy för Landstinget Sörmland Inledning Bakgrund och motiv Mål Medel Omfattning Organisation och ansvar Regelverk 1.0 2(5) Inledning Policyn är landstingsstyrelsens

Läs mer

Regler och instruktioner för verksamheten

Regler och instruktioner för verksamheten Informationssäkerhet Regler och instruktioner för verksamheten Dokumenttyp Regler och instruktioner Dokumentägare Kommungemensam ITsamordning Dokumentnamn Regler och instruktioner för verksamheten Dokumentansvarig

Läs mer

Kamedo. IT-haverier i vården. Johan Carlstedt Socialstyrelsen

Kamedo. IT-haverier i vården. Johan Carlstedt Socialstyrelsen Kamedo IT-haverier i vården Johan Carlstedt Socialstyrelsen Katastrofmedicinska observatörsstudier Vad är Kamedo? Vad studeras? Hur bedrivs arbetet? Varför den här rapporten? Ökande antal IT-haverier inom

Läs mer

Gemensamma anvisningar för informationsklassning. Motala kommun

Gemensamma anvisningar för informationsklassning. Motala kommun Gemensamma anvisningar för informationsklassning Motala kommun Beslutsinstans: Kommunfullmäktige Diarienummer: 11/KS 0071 Datum: 2011-08-22 Paragraf: 107 Reviderande instans: Kommunstyrelsen Diarienummer:

Läs mer

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet RIKTLINJER Riktlinjer för styrning av IT-verksamhet RIKTLINJER 2 Riktlinjer för styrning av IT-verksamhet. 1 Inledning Håbo kommuns övergripande styrdokument inom IT är IT-policy för Håbo kommun. Riktlinjer

Läs mer

Informationssäkerhetspolicy för Nässjö kommun

Informationssäkerhetspolicy för Nässjö kommun Författningssamling Antagen av kommunfullmäktige: 2014-11-27 173 Informationssäkerhetspolicy för Nässjö kommun Innehåll 1 Inledning... 3 1.1 Begreppsförklaring... 3 2 Syfte... 4 3 Mål för Informationssäkerhetsarbetet...

Läs mer

Revisionsrapport. Översiktlig granskning av IT-säkerheten. Smedjebackens kommun. Oktober 2008. Göran Persson Lingman

Revisionsrapport. Översiktlig granskning av IT-säkerheten. Smedjebackens kommun. Oktober 2008. Göran Persson Lingman Revisionsrapport Översiktlig granskning av IT-säkerheten Smedjebackens kommun Oktober 2008 Göran Persson Lingman Innehållsförteckning 1. Inledning...3 1.1 Bakgrund...3 1.2 Syfte...3 1.3 Metod...4 1.4 Avgränsning...4

Läs mer

Revisionsrapport. Nerikes Brandkår. Granskning av IT-säkerhet 2011-03-07. Anders Pålhed

Revisionsrapport. Nerikes Brandkår. Granskning av IT-säkerhet 2011-03-07. Anders Pålhed Revisionsrapport Granskning av IT-säkerhet Nerikes Brandkår 2011-03-07 Anders Pålhed 1. Sammanfattning... 3 2. Inledning... 3 3. Syfte... 4 3.1 Metod... 4 3.2 Avgränsning... 4 4. IT-säkerhetens olika delar...

Läs mer

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun Revisionsrapport Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång Björn Johrén, Säkerhetsspecialist Klippans kommun Innehållsförteckning 1. Inledning 1 1.1.

Läs mer

IT-säkerhetspolicy. Antagen av kommunfullmäktige 2004-06-21

IT-säkerhetspolicy. Antagen av kommunfullmäktige 2004-06-21 IT-säkerhetspolicy Antagen av kommunfullmäktige 2004-06-21 1 Det moderna samhället är starkt beroende av att elförsörjning, telekommunikationer och IT-system fungerar. Om dessa påverkas kan svåra störningar

Läs mer

Sammanfattning av riktlinjer

Sammanfattning av riktlinjer Sammanfattning av riktlinjer INFORMATIONSSÄKERHET FÖR ANVÄNDARE inom Luleå kommunkoncern 2015-03-04 Informationssäkerhet för användare beskriver hur Luleå kommun hanterar den information som används i

Läs mer

2012-12-12 Dnr 074-11-19

2012-12-12 Dnr 074-11-19 HÖGSKOLAN I BORÅS STYRDOKUMENT 2012-12-12 Dnr 074-11-19 Regler för informationssäkerhet Regler för informationssäkerhet är beslutade av enhetschefen för i enlighet med Högskolans säkerhetspolicy (dnr 288-11-101)

Läs mer

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ 2006-01-31. Agenda

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ 2006-01-31. Agenda IT governance i praktiken: Styrning och kontroll över ITriskerna med ISO2700X Fredrik Björck Transcendent Group för ADBJ 2006-01-31 Agenda IT governance definierat IT governance i praktiken och infosäk

Läs mer

Plan för informationssäkerhet vid Högskolan Dalarna 2015

Plan för informationssäkerhet vid Högskolan Dalarna 2015 Plan för informationssäkerhet vid Högskolan Dalarna 2015 Beslut: 2015-05-04 Reviderad: Dnr: DUC 2015/769/10 Ersätter: Relaterade dokument: Policy för informationssäkerhet Ansvarig: Förvaltningschef Innehållsförteckning

Läs mer

Förstudie: Övergripande granskning av ITdriften

Förstudie: Övergripande granskning av ITdriften Revisionsrapport Förstudie: Övergripande granskning av ITdriften Jönköpings Landsting Juni 2013 Innehållsförteckning Sammanfattning... 1 1. Inledning... 2 1.1. Bakgrund... 2 1.2. Uppdrag och revisionsfrågor...

Läs mer

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun 2013-2016

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun 2013-2016 Informationssäkerhetspolicy Informationssäkerhetspolicy för Vingåkers kommun 013-016 Innehållsförteckning 1 Mål... Syfte... 3 Ansvarsfördelning... 4 Definition... 5 Genomförande och processägare... 3 Dokumentnamn

Läs mer

Informationssäkerhet en patientsäkerhetsfråga. Maria Jacobsson Socialstyrelsen

Informationssäkerhet en patientsäkerhetsfråga. Maria Jacobsson Socialstyrelsen Informationssäkerhet en patientsäkerhetsfråga Maria Jacobsson Socialstyrelsen Syftet med patientdatalagen tillgodose patientsäkerhet och god kvalitet samt främja kostnadseffektivitet patienters och övriga

Läs mer

Allmänna villkor för infrastrukturen Mina meddelanden

Allmänna villkor för infrastrukturen Mina meddelanden Allmänna villkor för infrastrukturen Mina meddelanden Bilaga 1 Krav på säkerhet för brevlådeoperatörer version 1.2 (Gäller fr.o.m. 2015-11-11) 2 Bakgrund och syfte Skatteverket tillhandahåller en myndighetsgemensam

Läs mer

Säkerhet i fokus. Säkerhet i fokus

Säkerhet i fokus. Säkerhet i fokus Säkerhet i fokus Säkerhet i fokus Säkerhet är en av våra viktigaste frågor. Våra hyresgäster bedriver en daglig verksamhet i allt från kriminalvårds anstalter och domstolsbyggnader till speciella vårdhem

Läs mer

ANVÄNDARHANDBOK Advance Online

ANVÄNDARHANDBOK Advance Online ANVÄNDARHANDBOK Advance Online 2013-09-27 INNEHÅLL Innehåll... 2 Välkommen till Advance Online!... 3 Allmän information... 3 Idén bakom Advance Online... 3 Att logga in på en terminalstation... 4 Allmänt...

Läs mer

Riktlinje för säkerhetskrav vid upphandling av IT-stöd

Riktlinje för säkerhetskrav vid upphandling av IT-stöd 1 (5) Ver. 1.1-2008-11-06 Riktlinje för säkerhetskrav vid upphandling av IT-stöd 1. Inledning Detta dokument redogör för vissa grundläggande säkerhetskrav som bör ställas i samband med anskaffning eller

Läs mer

Informations- och IT-säkerhet i kommunal verksamhet

Informations- och IT-säkerhet i kommunal verksamhet Informations- och IT-säkerhet i kommunal verksamhet En kommuns roll i trygghets och säkerhetsarbetet och var informations- och IT-säkerheten kommer in i detta Vad, vem och hur man kan arbeta med informations-

Läs mer

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad: 2013-10-23

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad: 2013-10-23 Informationssäkerhet vid Karolinska Universitetssjukhuset Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad: 2013-10-23 Förlorar vi informationen, om den är felaktig eller manipulerad

Läs mer

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner Riktlinjer avseende Informationssäkerheten Sida 1 Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner Informationssäkerhet är en del i kommunernas lednings- och kvalitetsprocess

Läs mer

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet Innehållsförteckning 1. Generell informationssäkerhet... 4 1.1. Styrande dokumentation... 4 1.2. Organisation... 4 Incidenthantering...

Läs mer

Granskning av IT-säkerhet

Granskning av IT-säkerhet TJÄNSTESKRIVELSE 1 (1) Sociala nämndernas förvaltning 2015-02-11 Dnr: 2014/957-IFN-012 Marie Carlsson - bi901 E-post: marie.carlsson@vasteras.se Kopia till Individ- och familjenämnden Granskning av IT-säkerhet

Läs mer

Regler och riktlinjer för IT-säkerhet i Ronneby kommun

Regler och riktlinjer för IT-säkerhet i Ronneby kommun FÖRFATTNINGSSAMLING Utgivare: Kommunledningskontoret Gäller från: 2004-04-01 Antagen: KF 47/2004 i Ronneby kommun 1. Allmänt 1.1. Begrepp används i betydelsen att i första hand omfatta skydd av information

Läs mer

Sedan år 2000 har Anita Eckersand arbetat inom Varbergs kommun.

Sedan år 2000 har Anita Eckersand arbetat inom Varbergs kommun. V A R B E R G S K O M M U N föregångare inom IT-säkerhet av lena lidberg Vilka är kommunens viktigaste IT-system? Och hur länge kan systemen ligga nere innan det uppstår kaos i verksamheterna? Frågor som

Läs mer

Myndigheten för samhällsskydd och beredskaps författningssamling

Myndigheten för samhällsskydd och beredskaps författningssamling Myndigheten för samhällsskydd och beredskaps författningssamling Utgivare: Key Hedström, Myndigheten för samhällsskydd och beredskap ISSN 2000-1886 MSBFS Utkom från trycket den 8 januari 2010 Myndigheten

Läs mer

Förutsättningar för gallring efter skanning 1 (5) Tillsynsavdelningen Datum Dnr RA 01-2011/1121 Håkan Lövblad 2011-10-26

Förutsättningar för gallring efter skanning 1 (5) Tillsynsavdelningen Datum Dnr RA 01-2011/1121 Håkan Lövblad 2011-10-26 Tillsynsavdelningen Datum Dnr RA 01-2011/1121 Håkan Lövblad 2011-10-26 1 (5) Förutsättningar för gallring efter skanning För att myndighet ska få gallra pappershandlingar efter skanning fordras det myndighetsspecifika

Läs mer

SÄKERHETSFÖRESKRIFTER FÖR FÖRVALTNING AV IT-SYSTEM

SÄKERHETSFÖRESKRIFTER FÖR FÖRVALTNING AV IT-SYSTEM FÖRFATTNINGSSAMLING (8.1.3) SÄKERHETSFÖRESKRIFTER Dokumenttyp Riktlinjer Ämnesområde IT Ägare/ansvarig IT-strateg Antagen av KS 2012-02-08 47 Revisions datum Förvaltning KSF, stab Dnr KS/2010:1056 Giltig

Läs mer

Hantering av IT-risker

Hantering av IT-risker Hantering av IT-risker Landstinget i Östergötland Revisionsrapport Januari 2011 Jon Arwidson Magnus Olson-Sjölander Fredrik Eriksson Eva Andlert Certifierad kommunal revisor 1 av 10 Innehållsförteckning

Läs mer

IT-säkerhetsinstruktion

IT-säkerhetsinstruktion IT-säkerhetsinstruktion Innehållsförteckning 1. ANVÄNDARENS ANSVAR...2 2. ÅTKOMST TILL INFORMATION...2 2.1 BEHÖRIGHET...2 2.2 INLOGGNING...2 2.3 VAL AV LÖSENORD...2 2.4 BYTE AV LÖSENORD...2 3. DIN ARBETSPLATS...3

Läs mer

Att införa LIS. Förberedelser inför anpassning till ISO/IEC 17799

Att införa LIS. Förberedelser inför anpassning till ISO/IEC 17799 2003-01-24 Energibranschens IT-säkerhet 1 (13) Att införa LIS Förberedelser inför anpassning till ISO/IEC 17799 Vad är informationssäkerhet? Information är en tillgång som, liksom andra viktiga tillgångar

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Beslut Dnr 2006-12-12 1896-2005 Landstingsstyrelsen Landstinget i Värmland 651 82 Karlstad (er beteckning LK/052693) Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Datainspektionens beslut

Läs mer

FÖRHINDRA DATORINTRÅNG!

FÖRHINDRA DATORINTRÅNG! FÖRHINDRA DATORINTRÅNG! Vad innebär dessa frågeställningar: Hur görs datorintrång idag Demonstration av datorintrång Erfarenheter från sårbarhetsanalyser och intrångstester Tolkning av rapporter från analyser

Läs mer

REVISIONSRAPPORT. Landstinget Halland. Säkerhet och intern kontroll i PA/lönesystemet. Mars 2005. Rolf Aronsson Leif Jacobsson Anita Andersson

REVISIONSRAPPORT. Landstinget Halland. Säkerhet och intern kontroll i PA/lönesystemet. Mars 2005. Rolf Aronsson Leif Jacobsson Anita Andersson REVISIONSRAPPORT Landstinget Halland Säkerhet och intern kontroll i PA/lönesystemet Övergripande granskning av rutiner, ansvar m.m. Mars 2005 Rolf Aronsson Leif Jacobsson Anita Andersson (1) Innehållsförteckning

Läs mer

Riksarkivets författningssamling

Riksarkivets författningssamling Riksarkivets författningssamling ISSN 0283-2941 Riksarkivets föreskrifter och allmänna råd om elektroniska handlingar (upptagningar för automatiserad behandling); RA-FS 2009:1 Utkom från trycket den 1

Läs mer

Handbok Informationsklassificering

Handbok Informationsklassificering Stockholms stad Handbok Informationsklassificering Stockholm 2008-03-18 1. Informationssäkerhet Kraven på säkerhet i en organisation med IT-stöd skall ställas i relation till de krav som ställs på organisationens

Läs mer

Regel. Behandling av personuppgifter i Riksbanken. 1 Personuppgifter

Regel. Behandling av personuppgifter i Riksbanken. 1 Personuppgifter Regel BESLUTSDATUM: 2013-11-06 BESLUT AV: Anders Vredin BEFATTNING: Avdelningschef ANSVARIG AVDELNING: Stabsavdelningen FÖRVALTNINGSANSVARIG: Åsa Sydén HANTERINGSKLASS Ö P P E N SVERIGES RIKSBANK SE-103

Läs mer

IT-säkerhet Internt intrångstest

IT-säkerhet Internt intrångstest Revisionsrapport IT-säkerhet Internt intrångstest Botkyrka kommun Janne Swenson Maj 2015 Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Väsentlighets- och riskanalys... 3 Angreppssätt...

Läs mer

ANVÄNDARHANDBOK. Advance Online

ANVÄNDARHANDBOK. Advance Online ANVÄNDARHANDBOK Advance Online INNEHÅLL Innehåll... 2 Välkommen!... 3 Allmän information... 3 Idén bakom Advance Online... 3 Att logga in på en terminalstation... 4 Allmänt... 4 Citrix-klienten... 4 Inloggning...

Läs mer

Tillämpningsanvisningar för tillgång till och utlämnande av patientinformation

Tillämpningsanvisningar för tillgång till och utlämnande av patientinformation Sid 1(5) Tillämpningsanvisningar för tillgång till och utlämnande av patientinformation Inledning Hantering av patientinformation inom Region Skåne ska ske utifrån patientdatalagen (SFS 2008:355), Socialstyrelsens

Läs mer

GRANSKNINGSRAPPORT. Uppföljning IT-granskningar. Projektledare: Lotta Onsö. Beslutad av revisorskollegiet 2013-06-12. Malmö stad Revisionskontoret

GRANSKNINGSRAPPORT. Uppföljning IT-granskningar. Projektledare: Lotta Onsö. Beslutad av revisorskollegiet 2013-06-12. Malmö stad Revisionskontoret GRANSKNINGS Uppföljning IT-granskningar Projektledare: Lotta Onsö Beslutad av revisorskollegiet 2013-06-12 RAPP Uppföljning IT-granskningar Postadress: Stadshuset, 205 80 Malmö Besöksadress: August Palms

Läs mer

Riktlinjer för informationshantering och journalföring i hälsooch sjukvården i särskilt boende i Järfälla kommun.

Riktlinjer för informationshantering och journalföring i hälsooch sjukvården i särskilt boende i Järfälla kommun. 2008-08-15 1 (6) Reviderad 2010-04-21 Riktlinjer för informationshantering och journalföring i hälsooch sjukvården i särskilt boende i Järfälla kommun. Nedanstående lagar, förordningar allmänna råd ligger

Läs mer

Välkommen till enkäten!

Välkommen till enkäten! Sida 1 av 12 Välkommen till enkäten! Enkäten går ut till samtliga statliga myndigheter, oavsett storlek. För att få ett så kvalitativt resultat av uppföljningen som möjligt är varje myndighets svar av

Läs mer

INFORMATIONSSÄKERHET EN PATIENTSÄKERHETSFRÅGA

INFORMATIONSSÄKERHET EN PATIENTSÄKERHETSFRÅGA INFORMATIONSSÄKERHET EN PATIENTSÄKERHETSFRÅGA NATIONELLT NÄTVERK FÖR LÄKARSEKRETERARE 2011 11 10 STOCKHOLM Rose-Mharie Åhlfeldt Institutionen för Kommunikation och Information Bild 1 VEM ÄR JAG? Universitetslektor

Läs mer

Kravställning på e-arkiv från informationssäkerhetsperspektiv

Kravställning på e-arkiv från informationssäkerhetsperspektiv Kravställning på e-arkiv från informationssäkerhetsperspektiv Författare: Delprojektgruppen informationssäkerhet Årtal: 2014 Författare: Delprojektgruppen informationssäkerhet Sammanfattning Inom ramen

Läs mer

Att analysera värderingar bakom inforamtionssäkerhet. Fil. Dr. Ella Kolkowska ella.kolkowska@oru.se

Att analysera värderingar bakom inforamtionssäkerhet. Fil. Dr. Ella Kolkowska ella.kolkowska@oru.se Att analysera värderingar bakom inforamtionssäkerhet Fil. Dr. Ella Kolkowska ella.kolkowska@oru.se Agenda 1. Bakgrund varför studera värderingar? 2. Hur VBC-method 3. Hur kan resultatet från analyser användas

Läs mer

För att du som användare skall kunna leva upp till de säkerhetskrav som ställs på dig måste du känna till. Lärare och Elever har olika krav: Lärare

För att du som användare skall kunna leva upp till de säkerhetskrav som ställs på dig måste du känna till. Lärare och Elever har olika krav: Lärare För att du som användare skall kunna leva upp till de säkerhetskrav som ställs på dig måste du känna till. Lärare och Elever har olika krav: Lärare Lösenord lösenordet ska vara minst 8 tecken långt. lösenordet

Läs mer

IT-riktlinjer Nationell information

IT-riktlinjer Nationell information IT-riktlinjer Nationell information Syftet med denna It-riktlinje: den ska vägleda i användningen av Studiefrämjandets gemensamma datornätverk och dess it-resurser, vilket även innefattar den egna datorarbetsplatsen.

Läs mer

Informations- säkerhet

Informations- säkerhet ISec Code of Conduct Internal information Informations- säkerhet Ditt ansvar! ISec Code of Conduct Informationssäkerhet Scanias verksamhet är beroende av att information är tillgänglig och hanteras på

Läs mer

Icke funktionella krav

Icke funktionella krav 1 (9) Underskriftstjänst Svensk e-legitimation 2 (9) INNEHÅLL 1 Inledning... 3 2 Tillgänglighet och kapacitet... 3 2.1 Svarstider... 3 3 Administrativ säkerhet... 4 3.1 Policy och regelverk... 4 3.1.1

Läs mer

Informationssäkerhetsinstruktion Användare: Elever (3:0:1)

Informationssäkerhetsinstruktion Användare: Elever (3:0:1) Informationssäkerhetsinstruktion Användare: Elever (3:0:1) Kommunalförbundet ITSAM Revision: 20130307 Dnr: 2013/00036 Kommunalförbundet ITSAM, Storgatan 36A, 590 36 Kisa Tel: 0494 197 00, Fax: 0494 197

Läs mer

Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet

Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet Gäller från och med 2009-01-01 Dnr 5581/2008-030 Beslut 2008-12-10 Dnr:5581/2008-030 Universitetsdirektören Regler och riktlinjer för IT-säkerhet

Läs mer

IT-Policy Vuxenutbildningen

IT-Policy Vuxenutbildningen IT-Policy Vuxenutbildningen För att du som användare skall kunna leva upp till de säkerhetskrav som ställs på dig måste du känna till kommunkoncernens förhållningssätt och regelverk angående hur du får

Läs mer

Policy och strategi för informationssäkerhet

Policy och strategi för informationssäkerhet Styrdokument Dokumenttyp: Policy och strategi Beslutat av: Kommunfullmäktige Fastställelsedatum: 2014-10-23, 20 Ansvarig: Kanslichefen Revideras: Vart 4:e år eller vid behov Följas upp: Vartannat år Policy

Läs mer

Informationssäkerhet

Informationssäkerhet Informationssäkerhet Information och anvisningar för medarbetare i Stockholms läns sjukvårdsområde Informationssäkerhet 3 Informationssäkerhet inom Stockholms läns sjukvårdsområde (SLSO) Med informationssäkerhet

Läs mer

IT-Policy. Tritech Technology AB

IT-Policy. Tritech Technology AB IT-Policy Tritech Technology AB 1 av 6 Innehåll 1 Dokumentinformation...3 1.1 Syfte och målgrupp 3 1.2 Ansvar 3 1.3 Nyttjande 3 1.4 Distribution 3 1.5 Versionshistorik 3 1.6 Godkännande 3 2 IT-Policy...4

Läs mer

Terminologi inom informationssäkerhetsområdet HB 550 har blivit TR-50

Terminologi inom informationssäkerhetsområdet HB 550 har blivit TR-50 Terminologi inom informationssäkerhetsområdet HB 550 har blivit TR-50 TK 318 2015-09-02 Jan-Olof Andersson Bearbetat underlag från: Lars Söderlund/Rose-Mharie Åhlfeldt 2015-09-07 1 TR-50 Teknisk rapport

Läs mer

Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK)

Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK) Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK) 1. Allmänt Dessa Allmänna villkor reglerar Socialnämndens anslutning till Sammansatt Bastjänst

Läs mer