REVISIONSRAPPORT. Grundläggande IT-säkerhet. Landstinget Halland. Februari Rolf Aronsson. Telefon: ,

Storlek: px
Starta visningen från sidan:

Download "REVISIONSRAPPORT. Grundläggande IT-säkerhet. Landstinget Halland. Februari 2003. Rolf Aronsson. Telefon: 031-61 96 66, 070-554 28 42"

Transkript

1 REVISIONSRAPPORT Grundläggande IT-säkerhet Landstinget Halland Februari 2003 Rolf Aronsson Telefon: , Anders Personsgatan 12, Göteborg E-post:

2 2 Innehållsförteckning 1. SAMMANFATTNING AV SYNPUNKTER OCH ÖVERVÄGANDEN Allmänt Policy och andra styrdokument/säkerhetsorganisation Klassificering och kontroll av tillgångar Personal och säkerhet Fysisk och miljörelaterad säkerhet Kommunikation och drift Styrning av åtkomst Identifiering och åtkomstkontroll - samlad bedömning Loggning och uppföljning - sammanvägd bedömning Avbrottsplanering och reservrutiner Efterlevnad uppföljning och kontroll UPPDRAG OCH GENOMFÖRANDE NULÄGESBESKRIVNING, ANALYS OCH BEDÖMNINGAR Policy och andra styrdokument Centrala styrdokument: Övriga styrande dokument Pågående projekt Ledningssystem för informationssäkerhet Sammanvägd bedömning Säkerhetsorganisation Sammanvägd bedömning Klassificering och kontroll av tillgångar Sammanvägd bedömning Personal och säkerhet Sammanvägd bedömning...12 (2)

3 3 3.5 Fysisk och miljörelaterad säkerhet Datormiljöer och lokala nätverk (Fastighetsnät) Sammanvägd bedömning Kommunikation och drift Sammanvägd bedömning Styrning av åtkomst Identifiering och åtkomstkontroll - samlad bedömning Loggning och uppföljning - sammanvägd bedömning Avbrottsplanering och reservrutiner Sammanvägd bedömning Efterlevnad uppföljning och kontroll...19 (3)

4 4 1. Sammanfattning av synpunkter och överväganden 1.1 Allmänt IT-säkerheten inom Landstinget Halland är mycket hög och det finns en medvetenhet hos ledningen och ansvarig personal kring behovet av säkerhet. De synpunkter som har framförts i tidigare granskningar av IT-säkerheten inom landstinget har åtgärdats eller kommer att åtgärdas i det projektarbete kring ledningssystem för informationssäkerhet som pågår inom landstinget. I vår analys har vi dock funnit områden där vi har framfört synpunkter som syftar till att ytterligare förstärka säkerhetsnivån. 1.2 Policy och andra styrdokument/säkerhetsorganisation Administrativ säkerhet är grunden för hög IT-säkerhet i verksamheten. Tydligt ledningsansvar, policy och riktlinjer och säkerhetsplaner är basen för ett strukturerat arbetssätt. Det finns tydliga och fastlagda styrdokument både på politisk nivå (IS/IT-policy) och på operativ ledningsnivå (IS/IT-strategi). Dessa lägger fast mål och strategi och är grundläggande för.användningen och utvecklingen av IS/IT inom landstinget. Pågående projekt med att ta fram processer och rutiner för ett ledningssystem för informationssäkerhet visar också på höga ambitioner att utveckla säkerheten inom landstinget. (4)

5 5 IT-organisationen - inklusive ansvar för IS/IT-säkerheten är väl beskriven i strategin och i det förslag kring Ansvar, befogenheter och organisation som projektgruppen för informationssäkerhet har tagit fram. Ansvaret följer väl linjeorganisationen med tydlig samordningsorganisation. 1.3 Klassificering och kontroll av tillgångar Klassificering och kontroll av tillgångar är erfarenhetsmässigt dåligt utvecklat i dom flesta organisationer trots att detta är grundläggande för en bra informationssäkerhet enkelt kan man säga att det handlar om att man vet vad man skall skydda och varför. Inom landstinget finns idag ingen klassificering av tillgångar vad vi kunnat finna utöver givetvis en grov klassificering av vad som är sekretessbelagd information (patientjournaler m.m.) och vad som är öppen och offentlig information. I projektet informationssäkerhet finns dock en tydlig ansats att skapa riktlinjer kring klassificering och kontroll av tillgångar. Enligt vår uppfattning bör detta område prioriteras. 1.4 Personal och säkerhet Enligt vår uppfattning så är krav och rutiner vid hanteringen av sekretess både vad gäller egen personal och konsulter tillfredställande. I våra intervjuer har behovet av utvidgad personkontroll för exempelvis IT-tekniker med hög kompetens och höga rättigheter diskuterats. Vi tar inte tagit ställning varken vad gäller de rättsliga möjligheterna eller behovet, men vi anser att frågan bör diskuteras och prövas genom analys av risker etc. 1.5 Fysisk och miljörelaterad säkerhet Skyddsnivån vid datorhallarna i länssjukhuset och Sjukhuset i Varberg är mycket hög. Regler och rutiner för loggning av personal som besöker datorhallarna bör ses över och dokumenteras. Dokumenterade regler och rutiner bör upprättas för säker avveckling eller återanvändning av utrustning både vad gäller servrar och nätanslutna arbetsstationer. Om icke nätanslutna persondatorer hanterar känslig information bör regelverket även omfatta dessa. Det finns idag ett antal lokala datorrum med applikationsservrar som hanterar känslig information, vilket tydligt framgår av serverförteckning enligt bilaga 1. Vi har inte gjort någon analys av skyddsnivåerna, men har fått indikationer på att det fysiska skyddet varierar. Det är heller inte möjligt - bl.a. av ekonomiska skäl - att upprätthålla samma skyddsnivå som i centrala datorhallar. (5)

6 6 Vi rekommenderar att man inom landstinget intensifierar processen att överföra så många servrar som möjligt till centrala datorhallar. Framförallt bör detta i första hand gälla servrar som hanterar känslig och sekretessbelagd information. 1.6 Kommunikation och drift Eftersom genomgången är grundläggande och bygger på intervjuer samt omfattar i huvudsak rutiner för säkerhetskopiering och virusskydd samt incidenthantering så görs ingen heltäckande bedömning. Vid intervjuer har vi också diskuterat andra delar inom kommunikation och drift, men vi har valt att inte närmare kommentera detta i denna rapport. Vi konstaterar också att området kommunikation och drift kommer att prioriteras i projektgruppen för informationssäkerhet. Dokumenterade riktlinjer och rutiner för säkerhetskopiering bör upprättas och omfatta samtliga datorhallar och lokala servrar i landstinget. 1.7 Styrning av åtkomst Identifiering och åtkomstkontroll - samlad bedömning Sammanvägt kan vi konstatera att säkerhetsnivån vid åtkomst av landstingets nätverk är relativt hög. Det finns dock anledning att projektgruppen för informationssäkerhet prioriterar detta område för att därigenom skapa tydliga och enhetliga riktlinjer inom landstinget. Vår analys skall också betraktas som mycket översiktlig och har inte behandlat behovet i nätverk och enskilda system av mer avancerade åtkomstskydd aktiva kort, PIN-koder, krav i patientjournallag m.m Loggning och uppföljning - sammanvägd bedömning Inom landstinget sker omfattande loggning av säkerhetshändelser i inloggningsservrar, mailservrar och brandväggar m.m. I olika system finns också behov av behandlingshistorik för att i efterhand kunna följa upp vem som har gjort vad och när i systemen. Vi har inte närmare granskat förekomsten av loggar och behandlingshistorik i olika system utan konstaterar att det viktigaste i nuläget är att man gemensamt i landstinget skapar riktlinjer och föreskrifter för hur loggning och behandlingshistorik skall ske i framtiden. 1.8 Avbrottsplanering och reservrutiner Vi har inte genomfört någon systematisk granskning av avbrottsplaner och reservrutiner, men konstaterar att det finns olika synsätt inom landstinget. Det finns därför anledning att genomföra risk- och sårbarhetsanalyser för olika system för att finna lämpliga nivåer i reservoch handlingsplaner. Framförallt gäller detta vid händelser som innebär mycket långa avbrott. (6)

7 7 1.9 Efterlevnad uppföljning och kontroll Vi har inte genomfört någon specifik granskning inom detta område. I rapporten finns flera exempel där vi lyfter fram behovet av bättre dokumentation av regler och rutiner, vilket är förutsättning för strukturerad uppföljning och kontroll. Uppföljning av IT-säkerhet utifrån egna styrdokument och rutiner samt krav i lagstiftningen är en del av den interna kontroll som ligger inom styrelse/nämnders ansvarsområden. Som exempel på områden kan nämnas; tillämpning av personuppgiftslagen, missbruk av E-post eller sökningar på Internet 1 och följsamhet till patientjournallagen i vårdadministrativa system. 2. Uppdrag och genomförande Granskningen har genomförts på uppdrag av landstingets revisorer och syftar övergripande till en bedömning av om IT-säkerheten är tillfredsställande inom landstinget utifrån krav i lagstiftning och förordningar, god IT-sed samt intern IT-säkerhetspolicy och framtagna riktlinjer. Granskningen har också omfattat en uppföljning av tidigare övergripande granskning av ITsäkerheten med utgångspunkt från rapport Övergripande analys av IT-säkerheten, daterad och dels landstingets svar daterat I uppdraget ingår också att efter riskanalys lämna förslag till fördjupade insatser. Dessa har lämnats i separat rapport till landstingets revisorer. Genomförandet har skett genom studier av dokument, intervjuer i grupp och enskilt samt utvärdering och verifiering av skyddsnivåer och förslag till åtgärder. Intervjuer har gjorts med IT-direktör, IT-säkerhetsansvarig och Teknikansvarig vid Landstingets IT-avdelning samt med IT-ansvariga och IT-säkerhetsansvariga vid Länssjukhuset och Sjukhuset i Varberg samt vid Primärvårdsförvaltningen i Varberg. 1 Enligt uppgift finns ett uppdrag till IT-ansvariga från landstingsledningen att stickprovsmässigt granska Internetloggar som skapas i s.k. proxyserver vid sökningar på Internet. Anmälan om missbruk skall göras till berörd verksamhetschef. (7)

8 8 Granskningen har genomförts med ett synsätt som innebär att IT-säkerheten är en del av informationssäkerheten 2 och övrig säkerhet inom landstinget. IT-säkerheten är en del av den totala säkerheten Samverkan, ledning och styrning med övrig säkerhet och riskhantering Total säkerhet Inform ationssäkerhet Administrativ säkerhet IT-säkerhet ADB-säkerhet Komm unikationssäkerhet Krav på IT-säkerhet fastställs av olika intressenter samt i olika lagstiftningar bl.a. sekretesslagen och personuppgiftslagen. Kraven kan sammanfattas i olika områden: Sekretess säkerställande av att informationen är tillgänglig endast för dem som har behörighet för åtkomst. Riktighet skydd av information och behandlingsmetoder så att de förblir korrekta och fullständiga. Tillgänglighet säkerställande av att behöriga användare vid behov har tillgång till informationen och tillhörande tillgångar. Även spårbarhet är viktigt för hög IT-säkerhet, d.v.s att registrering av avvikelser och andra säkerhetsrelevanta händelser täcker krav på tillförlitlighet och bevisbarhet. 2 Informationssäkerhet omfattar skydd av all information inom en organisation. Som exempel kan nämnas: pappersdokument, fax, e-post, visad på film eller talad. 2 I vår bedömning av krav och skyddsnivåer utgår vi från svensk standard kring ledningssystem för informationssäkerhet (SS-ISO/IEC 17799). (8)

9 9 I rapporten beskrivs olika områden som är viktiga för att uppnå en hög säkerhet. I vissa avsnitt har vi medvetet valt en låg detaljeringsgrad i beskrivning av skyddsnivåer vid ITavdelningen eller vid granskade förvaltningar. 3. Nulägesbeskrivning, analys och bedömningar 3.1 Policy och andra styrdokument En IT-säkerhetspolicy skall spegla ledningens viljeinriktning. Policyn bör bl.a. definiera mål, organisation och ansvar samt principer kring genomförandet av säkerhetsarbetet i landstinget. Med utgångspunkt från policyn bör det också finnas strategier och riktlinjer på ledningsnivå samt föreskrifter och dokumenterade rutiner Centrala styrdokument: IS/IT-policy, som är antagen av landstingsstyrelsen i september Denna slår fast på vilket sätt informationssystem (IS), informationsteknik (IT), kommunikation, säkerhet och sekretess ska utvecklas och drivas inom Landstinget Halland. I policyn finns också tydliga mål för IT-verksamheten inklusive att Ledning och styrning av IS/IT-utvecklingen skall ske enligt landstingets IS/IT-strategi. IS/IT 3 -strategin är baserad på IS/IT-policyn och lägger fast att den strategiska inriktningen och utvecklingen av IS/IT är en ledningsfråga. IS/IT skall vara ett stöd för verksamheten och ge utrymme för nytänkande samt bidra till verksamhetsutveckling. Strategin beskriver för övrigt följande områden: o Organisation och ansvar o System, kommunikation och information o Säkerhet och integritet o Drift, teknik och förvaltning 3 Med IS/IT beskrivs i strategin avses system och teknik för insamling, bearbetning, återfinnande samt kommunikation och presentation av data (text, bild och tal). I begreppet IS/IT ingår även säkerhet och sekretess. (9)

10 10 o Ekonomi och effektivitet Strategin bifogas i bilaga Övriga styrande dokument Inom landstinget finns ett flertal styrande dokument, exempelvis policy och föreskrifter vid länssjukhuset och Sjukhuset i Varberg och övriga förvaltningar. Dessa kommenteras i förekommande fall under respektive område nedan. Policy och andra styrdokument kommer också att inarbetas i det projekt som pågår för att ta fram ett Ledningssystem för informationssäkerhet Pågående projekt Ledningssystem för informationssäkerhet Inom landstinget pågår ett omfattande projekt för att utveckla ett ledningssystem för informationssäkerhet med tydliga beskrivningar av processer och rutiner. Projektarbetet bedrivs utifrån svensk standard Ledningssystem för informationssäkerhet (SS-ISO/IEC 17799). I bilaga 4 beskrivs arbetets omfattning och inriktning i Förslag till Ledningssystem för informationssäkerhet. I vår analys utgår vi från samma modell för standard kommentarer görs därför under olika avsnitt i rapporten Sammanvägd bedömning Det finns tydliga och fastlagda styrdokument både på politisk nivå (IS/IT-policy) och på operativ ledningsnivå (IS/IT-strategi). Dessa lägger fast mål och strategi och är grundläggande för.användningen och utvecklingen av IS/IT inom landstinget. Pågående projekt med att ta fram processer och rutiner för ett ledningssystem för informationssäkerhet visar också på höga ambitioner att utveckla säkerheten inom landstinget. 3.2 Säkerhetsorganisation Informationssäkerheten är en del av verksamhetsansvaret och bör därför följa linjeorganisationen. Utöver tydligt ansvar på nämnd/förvaltningsnivå bör det finnas en samordningsfunktion för hela landstinget. IT-organisationen beskrivs tydligt i IS/IT-strategin (bilaga 1). Dessutom har man i projektet informationssäkerhet som ett första steg tagit fram ett förslag Område Ansvar, befogenheter och organisation. Detta återfinns i bilaga 5 och är också ett exempel på hur områden inom Ledningssystem för informationssäkerhet kommer att utformas. (10)

11 Sammanvägd bedömning IT-organisationen - inklusive ansvar för IS/IT-säkerheten är väl beskriven i strategin och i det förslag kring Ansvar, befogenheter och organisation som projektgruppen för informationssäkerhet har tagit fram. Ansvaret följer väl linjeorganisationen med tydlig samordningsorganisation. 3.3 Klassificering och kontroll av tillgångar En väsentlig grund för en hög säkerhet är att landstingets tillgångar är förtecknade och klassificerade utifrån behovet av skyddsnivå. Med tillgångar avses här information 4, program 5, fysiska tillgångar 6 och tjänster Sammanvägd bedömning Klassificering och kontroll av tillgångar är erfarenhetsmässigt dåligt utvecklat i dom flesta organisationer trots att detta är grundläggande för en bra informationssäkerhet enkelt kan man säga att det handlar om att man vet vad man skall skydda och varför. Inom landstinget finns idag ingen klassificering av tillgångar vad vi kunnat finna utöver givetvis en grov klassificering av vad som är sekretessbelagd information (patientjournaler m.m.) och vad som är öppen och offentlig information. I projektet informationssäkerhet finns dock en tydlig ansats att skapa riktlinjer kring klassificering och kontroll av tillgångar. Enligt vår uppfattning bör detta område prioriteras. 3.4 Personal och säkerhet Målet är att minska riskerna för mänskliga misstag, missbruk av tillgångar och att skapa garantier för hög följsamhet till lagar och egna bestämmelser inom landstinget. En viktig del är att all personal som hanterar eller kan komma åt känslig information skriver under en särskild sekretessförbindelse. Inom landstinget skriver all personal under en blankett 4 Databaser, filer, systemdokumentation, användarmanualer, utbildningsmaterial, drift- och servicerutiner, avbrottsplaner, arkiverade data och information. 5 Tillämpnings- och systemprogram, utvecklingsprogram och hjälpprogram. 6 Datautrustning, kommunikationsutrustning, magnetmedia och annan teknisk utrustning. 7 Bearbetnings- och kommunikationstjänster och andra tjänster. (11)

12 12 som intygar att man har tagit del av dokumentet NETIKETT (Riktlinjer för användning och handhavande av Landstingets Hallands IS/IT-system). Detta dokument hanterar förutom flera områden också sekretess inom landstinget. Konsulter och extern servicepersonal som kan komma åt känslig information undertecknar också en särskild sekretessförbindelse Sammanvägd bedömning Enligt vår uppfattning så är krav och rutiner vid hanteringen av sekretess både vad gäller egen personal och konsulter tillfredställande. I våra intervjuer har behovet av utvidgad personkontroll för exempelvis IT-tekniker med hög kompetens och höga rättigheter diskuterats. Vi tar inte tagit ställning varken vad gäller de rättsliga möjligheterna eller behovet, men vi anser att frågan bör diskuteras och prövas genom analys av risker etc. 3.5 Fysisk och miljörelaterad säkerhet Målet med säkrade utrymmen för datorer och annan utrustning är att förhindra obehörigt tillträde och störningar i landstingets lokaler och information Datormiljöer och lokala nätverk (Fastighetsnät) Datordrift bedrivs på flera ställen inom landstinget. Datorhallar finns Länssjukhuset i Halmstad, Sjukhuset i Varberg och vid datorhotellet i TietoEnator i Halmstad. Dessutom finns ett antal lokala serverrum inom primärvården och vid enskilda kliniker. I bilaga 1 finns förteckning över servrar och i bilaga 2 förteckning över applikationer som körs i olika servermiljöer. I våra intervjuer med IT-ansvariga och IT-säkerhetsansvariga har bl.a. följande frågeställningar diskuterats. Är skalskyddet för landstingets datorrum fysiskt heltäckande? D.v.s. det får inte finnas luckor i skalskyddet där inbrott kan ske. Ytterväggar och dörrar (inom skalskyddat rum) måste ha en solid konstruktion samt lämpligt skydd mot obehörigt tillträde, t.ex. kodlås, galler, larm och lås. Är säkrade (skalskyddade) utrymmen skyddade genom avvägda tillträdeskontroller så att endast behörig personal får tillträde? Övervakas besökare (servicepersonal m.fl.) i tillräcklig omfattning? (12)

13 13 Finns system (kodlås) installerat som loggar alla besök i datorrum eller annat skyddsklassat utrymme? Är loggarna skyddade mot förändring samt med säker förvaring? Är skyddade lokaler larmade (inbrott och brand) med koppling till larmcentral? Har någon bedömning av insatstiden genomförts? Finns flera oberoende matningsvägar för elförsörjningen? Finns utrustning för avbrottsfri elförsörjning (UPS)? Har någon riskanalys genomförts vad gäller skydd av el- och telekablar? Finns väl avvägda avtal om service och underhåll för att garantera driften? Finns dokumenterade regler och rutiner för säker avveckling eller återanvändning av utrustning (servrar och nätanslutna arbetsstationer)? Sammanfattning av genomgången Datorhallarna vid Länssjukhuset och Sjukhuset i Varberg har mycket hög säkerhetsnivå. Placeringen av hallarna innebär en mycket hög skyddsnivå med bra skalskydd och ytterväggar och dörrar av solid konstruktion. Det finns också mycket avancerad automatisk släckningsutrustning vid bägge datorhallarna. Tillträdesskyddet är mycket högt ett fåtal personer har tillträde genom särskilda kort och nycklar. Konsulter och servicepersonal som besöker datorrummen övervakas. När det gäller loggning av personal som besöker datorrummen finns idag viss skillnad. Vid länssjukhuset sker loggning samt särskild besöksliggare. I Varberg sker idag enligt uppgift ingen loggning eller besöksliggare detta är dock något som diskuteras och som kommer att införas. Larm som indikerar brand och inbrott med koppling till larmcentraler finns vid samtliga datorhallar. Det finns flera oberoende matningsvägar för elförsörjningen. Exempelvis sker elförsörjning vid landssjukhuset från tre olika håll. Dessutom utrustning för avbrottsfri elförsörjning (UPS). (13)

14 14 Rutiner finns för avveckling av media som hanterar känslig information, d.v.s. i första hand hårddiskar och band med patientrelaterad information. Dessa förstörs (slås sönder eller borras) innan dom lämnar sjukhuset. Vi har dock inte kunnat återfinna någon dokumentation. Inom primärvårdsförvaltningarna finns lokalt placerade s.k. fileservrar och applikationsservrar. Patientjournalsystemet BMS körs på central server placerad vid länsjukhuset. Vid vårdcentralerna finns i viss utsträckning fileservrar. Vid tandvården finns lokala servrar i viss utsträckning som hanterar applikationen OPUS. Enligt uppgift finns dessa i låsta utrymmen som är larmade Sammanvägd bedömning Skyddsnivån vid datorhallarna i länssjukhuset och Sjukhuset i Varberg är mycket hög. Regler och rutiner för loggning av personal som besöker datorhallarna bör ses över och dokumenteras. Dokumenterade regler och rutiner bör upprättas för säker avveckling eller återanvändning av utrustning både vad gäller servrar och nätanslutna arbetsstationer. Om icke nätanslutna persondatorer hanterar känslig information bör regelverket även omfatta dessa. Det finns idag ett antal lokala datorrum med applikationsservrar som hanterar känslig information, vilket tydligt framgår av serverförteckning enligt bilaga 1. Vi har inte gjort någon analys av skyddsnivåerna, men har fått indikationer på att det fysiska skyddet varierar. Det är heller inte möjligt - bl.a. av ekonomiska skäl - att upprätthålla samma skyddsnivå som i centrala datorhallar. Vi rekommenderar att man inom landstinget intensifierar processen att överföra så många servrar som möjligt till centrala datorhallar. Framförallt bör detta i första hand gälla servrar som hanterar känslig och sekretessbelagd information. 3.6 Kommunikation och drift Kommunikation och drift är ett omfattande och i flera avseenden komplicerat tekniskt område. I landstingets nät hanteras en komplex datakommunikation som knyter samman olika enheter och förvaltningar oberoende av geografiskt läge. Dessutom finns en omfattande integrering mellan olika system, vilket innebär informationsöverföring i mycket stor omfattning. Vår genomgång är grundläggande och bygger på intervjuer samt omfattar i huvudsak rutiner för säkerhetskopiering och virusskydd samt incidenthantering. (14)

15 15 Virusskyddet hanteras centralt inom landstinget. och består av flera delar; lokalt på samtliga arbetsstationer, på servrar, i brandväggen och på mailservrarna. I arbetsstationerna används McAfee Virusscan. Uppdatering sker genom att en server hämtar dat-filer ibland flera gånger per dygn. Arbetsstationerna hämtar sedan filen med automatik. På servrarna heter programvaran NetShield och fungerar på samma sätt som för arbetstationerna. I mailservrarna heter programmet Groupshield som skannar utgående mail. En gång per vecka så skannas samtliga brevlådor. I brandväggen finns ett program som heter Webshield som skannar alla externa mail. Vi har genom intervjuer analyserat säkerhetskopieringen vid länssjukhuset och Sjukhuset i Varberg. Kopieringen sker automatiskt med hjälp av s.k. bandrobotar som finns i säkrade och larmade utrymmen. Säkerhetskopiorna förvaras i särskilda väl skyddade utrymmen. Backuptagningen registreras också i särskild databas (länssjukhuset) med möjlighet att styra bl.a. återläsningar. För lokala servrar sker säkerhetskopieringen lokalt enligt uppgift efter särskilda schema (dagvecko-, månadsband etc). Dokumentation som tydligt beskriver regler och rutiner finns vid några förvaltningar, men saknas vid andra. Det finns således ingen samlad dokumentationen för samtliga datorhallar och lokala serverrum. Rutiner för incidenthantering finns och är dokumenterad. Det finns särskild blankett s.k. avvikelserapport. Enligt uppgift så pågår upphandling av ett nytt IT-system för avvikelsehantering som skall hantera brand, säkerhet, miljö och drift. Incidenthanteringen omfattar samtliga störningar inom landstinget Sammanvägd bedömning Eftersom genomgången är grundläggande och bygger på intervjuer samt omfattar i huvudsak rutiner för säkerhetskopiering och virusskydd samt incidenthantering så görs ingen heltäckande bedömning. Vid intervjuer har vi också diskuterat andra delar inom kommunikation och drift, men vi har valt att inte närmare kommentera detta i denna rapport. Vi konstaterar också att området kommunikation och drift kommer att prioriteras i projektgruppen för informationssäkerhet. Dokumenterade riktlinjer och rutiner för säkerhetskopiering bör upprättas och omfatta samtliga datorhallar och lokala servrar i landstinget. (15)

16 Styrning av åtkomst Målet är att skydda nätverk, system, databaser och information mot obehörig åtkomst eller utnyttjande. Eftersom det fysiska skyddet blir alltmer utvecklat så flyttas fokus alltmer mot den logiska säkerheten, d.v.s. åtkomstskydd av information i nätverk, program och databaser. I detta sammanhang är det därför viktigt att ha ett väl utbyggt behörighetskontrollsystem. Den hierarkiska uppbyggnaden kan beskrivas på följande sätt: Uppbyggnad av behörighetskontrollsystem Behörighetskontrollsystem Identifiering Å tkom stk ontroll Loggning T illgån g till funktioner Tillgång till lagrade data Datain tegritet U tnyttjand e Spårbarhet Begreppsförklaringar: Identifiering sker genom uppgivande av identitet samt att systemet verifierar äktheten. Åtkomstkontrollen skall styra tillgången till ett systems samtliga resurser, som omfattar både data, program, skrivare, kommunikationsmöjligheter m m. Loggning omfattar både säkerhetshändelser (ex vis åtkomstförsök med felaktigt lösenord) och s k behandlingshistorik (vem har gjort vad, när och hur) i enskilda system. Dataintegritet definieras som informationssystemets förmåga att förhindra att lagrade data förvanskas genom bl a kontroll av riktighet, signering samt möjlighet att återskapa varje version av informationen. Vår genomgång omfattar styrning av åtkomst till nätverket i landstinget. Vi har inte analyserat behörighetskontrollerna till enskilda system Identifiering och åtkomstkontroll - samlad bedömning När det gäller åtkomst av nätverket är säkerhetsnivån relativt god med bl.a. krav på regelbundna byte av lösenord (63 dagar), utspärrning efter 3 försök med felaktigt lösenord. Krav på antal tecken i lösenord är 6 tecken. Lösenord skall vara unika och använt lösenord skall inte kunna återanvändas. Idag kommer systemet ihåg 6 lösenord bakåt i tiden. (16)

17 17 Systemet (NT) ställer idag inga krav på format av lösenord, men det finns en tydlig rekommendation att lösenord skall innehålla en kombination av alfabetiska och numeriska tecken. Det finns i viss utsträckning s.k. gruppidentiteter med mycket begränsad åtkomst till nätverket. Dessa används av ambulerande personal inom landstinget. Uppläggning av nya identiteter görs på förvaltningsnivå. Särskilda blanketter finns för beställning av behörigheter. Beställningen skrivs under av respektive verksamhetschef. Vid länssjukhuset sker också underskrift av den som ansöker om identiteten. Av blanketten framgår också vilken behörighet som skall tilldelas, exempelvis tillgång till patientjournalsystem (PAS, Svedstar m.fl.). I dag finns något olika tillämpningar: Länssjukhuset sparar samtliga blanketter. Sjukhuset i Varberg sparar inte blanketterna efter att registrering har skett. Innehavaren av identiteten skriver inte heller under beställningen eller kvitterar mottagandet. Sammanvägt kan vi konstatera att säkerhetsnivån vid åtkomst av landstingets nätverk är relativt hög. Det finns dock anledning att projektgruppen för informationssäkerhet prioriterar detta område för att därigenom skapa tydliga och enhetliga riktlinjer inom landstinget. Vår analys skall också betraktas som mycket översiktlig och har inte behandlat behovet i nätverk och enskilda system av mer avancerade åtkomstskydd aktiva kort, PIN-koder, krav i patientjournallag m.m Loggning och uppföljning - sammanvägd bedömning Inom landstinget sker omfattande loggning av säkerhetshändelser i inloggningsservrar, mailservrar och brandväggar m.m. I olika system finns också behov av behandlingshistorik för att i efterhand kunna följa upp vem som har gjort vad och när i systemen. Vi har inte närmare granskat förekomsten av loggar och behandlingshistorik i olika system utan konstaterar att det viktigaste i nuläget är att man gemensamt i landstinget skapar riktlinjer och föreskrifter för hur loggning och behandlingshistorik skall ske i framtiden. Vad vi kan finna så saknas riktlinjer/föreskrifter för loggning och behandlingshistorik i nuläget. Loggning och uppföljning av olika händelser har stor betydelse för kontroll av säkerheten i olika avseende och är dessutom en grundförutsättning för att skapa god intern kontroll genom planenliga uppföljningar och kontroller. Det finns därför anledning att ta fram riktlinjer/föreskrifter för när, hur, var loggning och uppföljning skall ske. Detta gäller både säkerhetshändelser i inloggningsserverar, mailservrar och brandväggar och behandlingshistorik i enskilda system. (17)

18 18 Som exempel på frågor kan noteras: 1) Hur länge 8 och på vilket media 9 skall loggfiler (behandlingshistorik) sparas? 2) Vilka kontrollmål gäller, d.v.s. av vilken anledning sparas uppgifterna? 3) Organisation för uppföljning och kontroll? 4) Vilka krav på selektiv loggning (terminal, användare, register m.m.) skall finnas? 5) Vilka krav skall finnas på program för rapportuttag? 3.8 Avbrottsplanering och reservrutiner Målet med avbrottsplanering och reservrutiner är att motverka avbrott i verksamheten och att skydda kritiska rutiner från oförutsedda allvarligare avbrott i verksamheten. I avbrottshanteringen bör också ingå att identifiera och minska risker, begränsa följderna av skadliga händelser och att säkerställa återgång till normal drift. Beredskapen för avbrott hanteras idag med något olika synsätt inom landstinget. Vid Sjukhuset i Varberg finns sedan 1994 en katastrofplan för ADB, med detaljerad beskrivning av olika åtgärder inklusive reservrutiner för olika kritiska system. Planen har också använts vid några tillfällen bl.a. i samband med omfattande byte av server. Vid länssjukhuset finns ingen plan för totalhaveri. Det finns dock en plan för beredskap dygnet runt, vilken är dokumenterad i särskild databas. För övrigt ligger ansvaret för reservrutiner på respektive klinik. Inom primärvården ansvarar respektive förvaltningschef för att det finns reservrutiner Sammanvägd bedömning Vi har inte genomfört någon systematisk granskning av avbrottsplaner och reservrutiner, men konstaterar att det finns olika synsätt inom landstinget. Det finns därför anledning att genomföra risk- och sårbarhetsanalyser för olika system för att finna lämpliga nivåer i reservoch handlingsplaner. Framförallt gäller detta vid händelser som innebär mycket långa avbrott. 8 Om inte lagstiftningen ställer högre krav bör loggade uppgifter sparas i två år. 9 Vid lagring av loggar (behandlingshistorik) på exempelvis tapekassetter/server/cd är det viktigt att också förvara dessa med utgångspunkt från den klassificering av tillgångar och sekretess som gäller. (18)

19 Efterlevnad uppföljning och kontroll Vi har inte genomfört någon specifik granskning inom detta område. I rapporten finns flera exempel där vi lyfter fram behovet av bättre dokumentation av regler och rutiner, vilket är förutsättning för strukturerad uppföljning och kontroll. Uppföljning av IT-säkerhet utifrån egna styrdokument och rutiner samt krav i lagstiftningen är en del av den interna kontroll som ligger inom styrelse/nämnders ansvarsområden. Som exempel på områden kan nämnas; tillämpning av personuppgiftslagen, missbruk av E-post eller sökningar på internet 10 och följsamhet till patientjournallagen i vårdadministrativa system. 10 Enligt uppgift finns ett uppdrag till IT-ansvariga från landstingsledningen att stickprovsmässigt granska Internetloggar som skapas i s.k. proxyserver vid sökningar på Internet. Anmälan om missbruk skall göras till berörd verksamhetschef. (19)

REVISIONSRAPPORT. Intern kontroll och säkerhet vid elektronisk handläggning av leverantörsfakturor. Arvika kommun. September 2005.

REVISIONSRAPPORT. Intern kontroll och säkerhet vid elektronisk handläggning av leverantörsfakturor. Arvika kommun. September 2005. REVISIONSRAPPORT Intern kontroll och säkerhet vid elektronisk handläggning av leverantörsfakturor Arvika kommun September 2005 Rolf Aronsson (1) Innehållsförteckning 1. Sammanfattning av synpunkter...3

Läs mer

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy inom Stockholms läns landsting LS 1112-1733 Informationssäkerhetspolicy inom Stockholms läns landsting 2013-02-01 Beslutad av landstingsfullmäktige 2013-03-19 2 (7) Innehållsförteckning 1 Inledning...3 2 Mål... 4 3 Omfattning... 4 4

Läs mer

IT-säkerhetspolicy. Fastställd av KF 2005-02-16

IT-säkerhetspolicy. Fastställd av KF 2005-02-16 IT-säkerhetspolicy Fastställd av KF 2005-02-16 IT-säkerhetspolicy Sidan 2 (9) Revisionsinformation Datum Åtgärd Ansvarig Version 2004-11-19 3.4 Ändrat första meningen PGR 2.0 förvaltningen -> verksamheten

Läs mer

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 3 RIKTLINJER FÖR ATT UPPNÅ MÅLEN... 3 3.1 ALLMÄNT... 3 3.2 LEDNING OCH ANSVAR FÖR IT-SÄKERHET... 3 3.2.1 Systemägare... 3 3.2.2

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om informationssäkerhet, it-verksamhet och insättningssystem;

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010. Revisionsrapport Verket för högskoleservice Box 24070 104 50 Stockholm Datum Dnr 2011-03-08 32-2010-0738 Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Jönköpings län Kerem Kocaer Johan Elmerhag Jean Odgaard September 2013 Innehållsförteckning

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om it-system, informationssäkerhet och insättningssystem;

Läs mer

REVISIONSRAPPORT. Landstinget Halland. Säkerhet och intern kontroll i vårdinformationssystem. mars 2004. Rolf Aronsson Leif Jacobsson

REVISIONSRAPPORT. Landstinget Halland. Säkerhet och intern kontroll i vårdinformationssystem. mars 2004. Rolf Aronsson Leif Jacobsson REVISIONSRAPPORT Landstinget Halland Säkerhet och intern kontroll i vårdinformationssystem mars 2004 Rolf Aronsson Leif Jacobsson www.pwcglobal.com/se www.komrev.se Innehållsförteckning 1. SAMMANFATTNING

Läs mer

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting Informationssäkerhetspolicy för Stockholms läns landsting 1 Innehållsförteckning Inledning... 3 Mål... 4 Omfattning... 4 Innebörd... 4 Ansvar... 6 Uppföljning och revidering... 7 LS 1112-1733 Beslutad

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Observera att denna konsoliderade version är en sammanställning, och att den tryckta författningen är den officiellt giltiga. En konsoliderad version är en fulltextversion där alla ändringar har införts

Läs mer

Svensk Standard SS ISO/IEC 17799 SS 62 77 99-2

Svensk Standard SS ISO/IEC 17799 SS 62 77 99-2 Svensk Standard SS ISO/IEC 17799 SS 62 77 99-2 Ledningssystem för informationssäkerhet () Informationssäkerhet Informationssäkerhet Administrativ säkerhet IT-säkerhet ADB-säkerhet Kommunikationssäkerhet

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2006-09-07 Informationssäkerhetspolicy Antagen av kommunfullmäktige 2006-09-28, 140 Innehåll 1 INLEDNING...3 2 MÅL FÖR INFORMATIONSSÄKERHETSARBETET...4 2.1 LÅNGSIKTIGA MÅL...4 2.2 ÅRLIGA MÅL...4 3 ORGANISATION,

Läs mer

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Riktlinjer för säkerhetsarbetet vid Uppsala universitet Dnr UFV 2010/424 Riktlinjer för säkerhetsarbetet vid Uppsala universitet Fastställda av Universitetsdirektören 2010-03-31 Innehållsförteckning 1 Inledning 3 2 Ansvar 3 3 Underlåtelse 3 4 Definitioner 3

Läs mer

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation Presentation Informationssäkerhet Kim Strandberg Informationssäkerhetsstrateg/jurist kim.strandberg@regionostergotland.se 010-103 03 385 Region Informationssäkerhet, Östergötland 2015-03-11, Kim Strandberg

Läs mer

Uppföljning av rapport Säkerhet och intern kontroll i PA/Lönesystemet samt fördjupade analyser

Uppföljning av rapport Säkerhet och intern kontroll i PA/Lönesystemet samt fördjupade analyser Revisionsrapport* Uppföljning av rapport Säkerhet och intern kontroll i PA/Lönesystemet samt fördjupade analyser Landstinget Halland 2006-12-13 Rolf Aronsson 1 2 Innehållsförteckning 1 Sammanfattning av

Läs mer

Informationssäkerhet - Informationssäkerhetspolicy

Informationssäkerhet - Informationssäkerhetspolicy Informationssäkerhet - Informationssäkerhetspolicy Informationssäkerhetspolicy 2008-08-29 Innehållsförteckning 1 Inledning... 1 2 Mål för IT-sbäkerhetsarbetet... 2 2.1 Långsiktiga mål... 2 2.2 Årliga mål...

Läs mer

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUNS NÄTVERK 1 INLEDNING...1 2 BAKGRUND...1

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUNS NÄTVERK 1 INLEDNING...1 2 BAKGRUND...1 GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUNS NÄTVERK 1 INLEDNING...1 2 BAKGRUND...1 3 VERKSAMHETSBESKRIVNING...1 3.1 ANVÄNDNINGSSÄTT - FUNKTIONSBESKRIVNING...1 3.1.1 Användning under normala förhållanden

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Östergötland Kerem Kocaer Magnus Olson-Sjölander Björn Johrén IT-specialister Eva Andlert

Läs mer

Lokal informationssäkerhetspolicy, lokala informationssäkerhetsriktlinjer och anvisningar

Lokal informationssäkerhetspolicy, lokala informationssäkerhetsriktlinjer och anvisningar Handläggare: Christina Hegefjärd 1 (1) PAN 2015-12-01 P 6 TJÄNSTEUTLÅTANDE 2015-12-01 PaN A1510-0031257 PaN A1510-0031157 PaN A1510-0031057 Lokal informationssäkerhetspolicy, lokala informationssäkerhetsriktlinjer

Läs mer

Policy Document Number ESS-0002649 Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet

Policy Document Number ESS-0002649 Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet Revision 1 (3) State Released Plan för IT Säkerhet DOCUMENT REVISION HISTORY Revision Reason for revision Date 1 New Document 2013-02-26 List of Authors List of Reviewers List of Approvers Skölde, Daniel/Ulrika

Läs mer

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhetspolicy IT (0:0:0) Informationssäkerhetspolicy IT (0:0:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd: Direktionen 20130926 Dnr:0036/13 Kommunalförbundet ITSAM, Storgatan 36A, 590 36

Läs mer

I Central förvaltning Administrativ enhet

I Central förvaltning Administrativ enhet ., Landstinget II DALARNA I Central förvaltning Administrativ enhet ~llaga LS 117,4 BESLUTSUNDERLAG Landstingsstyrelsen Datum 2013-11-04 Sida 1 (3) Dnr LD13/02242 Uppdnr 652 2013-10-21 Landstingsstyrelsens

Läs mer

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUN

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUN GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUN 06-07 GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUNS NÄTVERK 1 INLEDNING...1 2 BAKGRUND...1 3 VERKSAMHETSBESKRIVNING...2 3.1 ANVÄNDNINGSSÄTT - FUNKTIONSBESKRIVNING...2

Läs mer

Informationssäkerhet, Linköpings kommun

Informationssäkerhet, Linköpings kommun 1 (6) E-Lin projektet 2013-10-28 Informationssäkerhet, Linköpings kommun Delrapport 2 Innehåll Dokumenthistorik... 3 1. Syfte... 3 2. Bakgrund... 3 2.1 Målgrupp... 3 3. Frågeställningar... 3 4. Undersökning...

Läs mer

IT-verksamheten, organisation och styrning

IT-verksamheten, organisation och styrning IT-verksamheten, organisation och styrning KPMG Örebro 27 februari 2007 Antal sidor 12 Innehåll 1. Inledning 1 2. Syfte 1 3. Metod 1 4. Sammanfattning 2 5. IT-verksamhet, organisation och ansvar 3 5.1.1

Läs mer

IT-säkerhet Externt och internt intrångstest

IT-säkerhet Externt och internt intrångstest Revisionsrapport IT-säkerhet Externt och internt intrångstest Region Halland Kerem Kocaer December 2012 Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Angreppssätt... 4 Syfte och

Läs mer

Jämtlands Gymnasieförbund

Jämtlands Gymnasieförbund Jämtlands Gymnasieförbund Svar på revisionsrapport - Granskning av ITsäkerhetspolicy Dnr 212-2013 Linda Lignell Innehållsförteckning 1. Allmänt... 3 2. Efterlevnad av policyn... 3 2.1. IT-säkerhetspolicy...

Läs mer

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group www.transcendentgroup.com Målsättning Öka förståelsen för nyttan med IT-revision Vad innebär intern IT-revision? Jmf

Läs mer

IT-säkerhetsinstruktion Förvaltning

IT-säkerhetsinstruktion Förvaltning IT-säkerhetsinstruktion Förvaltning 2013-09-24 1.0 IT- S Ä K E R H E T S I N S T R U K T I O N IT-säkerhetsinstruktion Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se

Läs mer

Bilaga 3c Informationssäkerhet

Bilaga 3c Informationssäkerhet SID 1 (9) Bilaga 3c Informationssäkerhet Förfrågningsunderlag Upphandling av ett helhetsåtagande avseende IT-stöd för pedagogiskt material inom Skolplattform Stockholm Box 22049, 104 22 Stockholm. Besöksadress

Läs mer

IT-SÄKERHETSPOLICY. Stadskontoret. 1 Inledning... 1. 1.1 Definition... 2. 1.2 Omfattning... 2. 2 Mål för IT-säkerhetsarbetet... 2

IT-SÄKERHETSPOLICY. Stadskontoret. 1 Inledning... 1. 1.1 Definition... 2. 1.2 Omfattning... 2. 2 Mål för IT-säkerhetsarbetet... 2 IT-SÄKERHETSPOLICY 1 Inledning... 1 1.1 Definition... 2 1.2 Omfattning... 2 2 Mål för IT-säkerhetsarbetet... 2 3 Ledning och ansvar för IT-säkerheten... 3 4 Lagar och andra regelverk... 4 5 IT-säkerhetsarbetet...

Läs mer

Policy för informationssäkerhet

Policy för informationssäkerhet .. - T C Q o,.. e Policy för informationssäkerhet Landstingsdirektörens stab augusti 2015 CJiflt LANDSTINGET BLEKINGE Innehållsförteckning Inledning och bakgrund... 3 Syfte... 3 Mål... 3 Genomförande...

Läs mer

Översiktlig granskning av IT-säkerheten

Översiktlig granskning av IT-säkerheten Revisionsrapport Översiktlig granskning av IT-säkerheten Östhammars kommun April 2009 Göran Persson Lingman 1 Innehållsförteckning 1. Inledning... 3 1.1 Bakgrund... 3 1.2 Syfte... 3 1.3 Metod... 4 1.4

Läs mer

Riktlinjer för IT-säkerhet i Halmstads kommun

Riktlinjer för IT-säkerhet i Halmstads kommun Riktlinjer för IT-säkerhet i Halmstads kommun VER 1.0 Innehåll Inledning...3 Definition av IT-säkerhet...3 Omfattning...3 Vikten av IT-säkerhet...3 Mål för IT-säkerhetsarbetet...4 Ledning och ansvar...4

Läs mer

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet.

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet. Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet. Följande allmänna råd ansluter till förordningen (2006:942) om krisberedskap och

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2009-07-15 1 (9) Informationssäkerhetspolicy Antagen av kommunfullmäktige den 2009-10-21, 110 Kommunstyrelseförvaltningen Postadress Besöksadress Telefon Telefax E-post Hemsida 462 85 Vänersborg Sundsgatan

Läs mer

PM 2009-01-21. DANDERYDS KOMMUN Kommunledningskontoret Johan Haesert KS 2008/0177. Översyn av IT- och telefonidrift - lägesrapport.

PM 2009-01-21. DANDERYDS KOMMUN Kommunledningskontoret Johan Haesert KS 2008/0177. Översyn av IT- och telefonidrift - lägesrapport. 1(5) KS 2008/0177 Översyn av IT- och telefonidrift - lägesrapport Bakgrund Under det gångna året har inträffat ett antal driftstopp inom IT och telefoni som fått allvarliga konsekvenser genom att för verksamheten

Läs mer

Riktlinjer informationssäkerhet

Riktlinjer informationssäkerhet informationssäkerhet Norrbottens läns landstings riktlinjer för informationssäkerhet beskriver hur hanteringen av information ska ske. All information omfattas oberoende av mediatyp. Styrande dokument

Läs mer

Riktlinjer för informationsklassning

Riktlinjer för informationsklassning Fastighetsavdelningen RIKTLINJER FÖR IT-SÄKERHET Leif Bouvin 13-05-02 dnr V 2013/415 031-786 58 98 Riktlinjer för informationsklassning Publiceringsdatum November 2007 (Maj 2013) Publicerad Beslutsfattare

Läs mer

Kamedo. IT-haverier i vården. Johan Carlstedt Socialstyrelsen

Kamedo. IT-haverier i vården. Johan Carlstedt Socialstyrelsen Kamedo IT-haverier i vården Johan Carlstedt Socialstyrelsen Katastrofmedicinska observatörsstudier Vad är Kamedo? Vad studeras? Hur bedrivs arbetet? Varför den här rapporten? Ökande antal IT-haverier inom

Läs mer

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet 2008:490 kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet Fastställt av kommunfullmäktige 2008-10-02 302 komplettering gjord

Läs mer

Bengt Sebring OKTOBER 2000 Ordförande GRANSKNINGSRAPPORT 3 Sida: 1

Bengt Sebring OKTOBER 2000 Ordförande GRANSKNINGSRAPPORT 3 Sida: 1 ÅSTORPS KOMMUN GRANSKNING AV IT-SÄKERHET 2000 Bengt Sebring Ordförande GRANSKNINGSRAPPORT 3 Sida: 1 Innehållsförteckning Sammanfattning....... 3 1. Inledning....... 4 1.1 Syfte med revisionen...... 4 1.2

Läs mer

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun 2013-2016

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun 2013-2016 Informationssäkerhetspolicy Informationssäkerhetspolicy för Vingåkers kommun 013-016 Innehållsförteckning 1 Mål... Syfte... 3 Ansvarsfördelning... 4 Definition... 5 Genomförande och processägare... 3 Dokumentnamn

Läs mer

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6)

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6) Internt penetrationstest Tierps kommun Revisionsrapport Juni 2011 Erik Norman 1(6) Innehållsförteckning 1. Sammanfattning... 3 1.1. Bakgrund... 3 1.2. Revisionsfråga... 3 2. Angreppssätt... 4 2.1. Omfattning

Läs mer

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ 2006-01-31. Agenda

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ 2006-01-31. Agenda IT governance i praktiken: Styrning och kontroll över ITriskerna med ISO2700X Fredrik Björck Transcendent Group för ADBJ 2006-01-31 Agenda IT governance definierat IT governance i praktiken och infosäk

Läs mer

Revisionsrapport: Granskning av IT-säkerhetspolicy. Revisionen har genom KPMG genomfört en granskning av IT-säkerhetspolicy.

Revisionsrapport: Granskning av IT-säkerhetspolicy. Revisionen har genom KPMG genomfört en granskning av IT-säkerhetspolicy. Revisorerna Direktionen Revisionsrapport: Revisionen har genom KPMG genomfört en granskning av IT-säkerhetspolicy. Revisionen önskar att direktionen lämnar synpunkter på de slutsatser som finns redovisade

Läs mer

Förstudie: Övergripande granskning av ITdriften

Förstudie: Övergripande granskning av ITdriften Revisionsrapport Förstudie: Övergripande granskning av ITdriften Jönköpings Landsting Juni 2013 Innehållsförteckning Sammanfattning... 1 1. Inledning... 2 1.1. Bakgrund... 2 1.2. Uppdrag och revisionsfrågor...

Läs mer

Säkerhet vid behandling av personuppgifter i forskning

Säkerhet vid behandling av personuppgifter i forskning Säkerhet vid behandling av personuppgifter i forskning Magnus Bergström IT-säkerhetsspecialist magnus.bergstrom@datainspektionen.se www.datainspektionen.se Först några ord om informationssäkerhet Organisationens

Läs mer

Informationssäkerhetsanvisningar Förvaltning

Informationssäkerhetsanvisningar Förvaltning HÖGSKOLAN I BORÅS STYRDOKUMENT 2012-12-12 Dnr 074-11-19 Informationssäkerhetsanvisningar Förvaltning i enlighet med rektors beslut fattat den 16 februari 2010 (dnr 020-09-101). Gäller från och med den

Läs mer

Bilaga 3 Säkerhet Dnr: /

Bilaga 3 Säkerhet Dnr: / stockholm.se Utbildningsförvaltningen Avdelningen för utveckling och samordning Hantverkargatan 2F 104 22 Stockholm Växel 08-508 33 000 www.stockholm.se Innehåll 1 Inledning 3 2 Krav på säkerhetsarbete

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688 Revisionsrapport Malmö Högskola 205 06 Malmö Datum Dnr 2012-05-22 32-2011-0688 Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011 Riksrevisionen har som ett led

Läs mer

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner Riktlinjer avseende Informationssäkerheten Sida 1 Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner Informationssäkerhet är en del i kommunernas lednings- och kvalitetsprocess

Läs mer

Granskning av IT-säkerhet

Granskning av IT-säkerhet TJÄNSTESKRIVELSE 1 (1) Sociala nämndernas förvaltning 2015-02-11 Dnr: 2014/957-IFN-012 Marie Carlsson - bi901 E-post: marie.carlsson@vasteras.se Kopia till Individ- och familjenämnden Granskning av IT-säkerhet

Läs mer

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun Revisionsrapport Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång Björn Johrén, Säkerhetsspecialist Klippans kommun Innehållsförteckning 1. Inledning 1 1.1.

Läs mer

Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm

Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm Vervas allmänna råd till föreskrift om statliga myndigheters arbete med säkert

Läs mer

Primärvården Falkenberg. 40 000 invånare Hälso- och sjukvård och tandvård 240 anställda

Primärvården Falkenberg. 40 000 invånare Hälso- och sjukvård och tandvård 240 anställda Primärvården Falkenberg 40 000 invånare Hälso- och sjukvård och tandvård 240 anställda 1 PRIMÄRVÅRDEN FALKENBERG Organisationss chema Basenheter Distriktsöverläkare Samordningstandläkare Folkhälsa Falkenberg

Läs mer

Gemensamma anvisningar för informationsklassning. Motala kommun

Gemensamma anvisningar för informationsklassning. Motala kommun Gemensamma anvisningar för informationsklassning Motala kommun Beslutsinstans: Kommunfullmäktige Diarienummer: 11/KS 0071 Datum: 2011-08-22 Paragraf: 107 Reviderande instans: Kommunstyrelsen Diarienummer:

Läs mer

EXEMPEL. Informationssäkerhetsinstruktion: Kontinuitet och Drift (Infosäk KD)

EXEMPEL. Informationssäkerhetsinstruktion: Kontinuitet och Drift (Infosäk KD) EXEMPEL Informationssäkerhetsinstruktion: Kontinuitet och Drift (Infosäk KD) Innehållsförteckning 1 Instruktionens roll i informationssäkerhetsarbetet 4 2 Organisation och ansvar för säkerhetsarbetet 5

Läs mer

Sammanfattning av riktlinjer

Sammanfattning av riktlinjer Sammanfattning av riktlinjer INFORMATIONSSÄKERHET FÖR ANVÄNDARE inom Luleå kommunkoncern 2015-03-04 Informationssäkerhet för användare beskriver hur Luleå kommun hanterar den information som används i

Läs mer

Informationssäkerhet Riktlinje Förvaltning

Informationssäkerhet Riktlinje Förvaltning Informationssäkerhet Riktlinje Förvaltning Fastställd av kommundirektören 2011-06-20 Innehåll 1 Informationssäkerhet 3 2 Organisation och ansvar 4 2.1 Informationssäkerhetssamordnare... 4 2.2 IT-chef...

Läs mer

Informationssäkerhet i. Torsby kommun

Informationssäkerhet i. Torsby kommun 2008-09-15 Informationssäkerhet i Torsby kommun Säkerhetsplan 20080915 IT-avdelningen Besöksadress Nya Torget 8, Torsby Torsby kommun 20. IT-avdelningen 685 80 Torsby 0560-160 97 0560-160 25 fax it@torsby.se

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Beslut Dnr 2006-12-12 1896-2005 Landstingsstyrelsen Landstinget i Värmland 651 82 Karlstad (er beteckning LK/052693) Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Datainspektionens beslut

Läs mer

FÖRSVARSMAKTENS INTERNA BESTÄMMELSER

FÖRSVARSMAKTENS INTERNA BESTÄMMELSER FÖRSVARSMAKTENS INTERNA BESTÄMMELSER FIB 2010:2 Utkom från trycket 2010-01-21 Omtryck Föreskrifter om ändring i Försvarsmaktens interna bestämmelser (FIB 2006:2) om IT-säkerhet; beslutade den 15 januari

Läs mer

Policy för säkerhetsarbetet i. Södertälje kommun

Policy för säkerhetsarbetet i. Södertälje kommun Policy för säkerhetsarbetet i Södertälje kommun Antagen av kommunfullmäktige den 28 september 1998 2 Södertälje kommun reglerar genom detta policydokument sin inställning till säkerhet och trygghet. Säkerhetspolicyn

Läs mer

IT-säkerhetspolicy. Antagen av kommunfullmäktige 2004-06-21

IT-säkerhetspolicy. Antagen av kommunfullmäktige 2004-06-21 IT-säkerhetspolicy Antagen av kommunfullmäktige 2004-06-21 1 Det moderna samhället är starkt beroende av att elförsörjning, telekommunikationer och IT-system fungerar. Om dessa påverkas kan svåra störningar

Läs mer

IT-säkerhetspolicy för Landstinget Sörmland

IT-säkerhetspolicy för Landstinget Sörmland Bilaga 1, LS 115 /02 1.0 1(5) IT-säkerhetspolicy för Landstinget Sörmland Inledning Bakgrund och motiv Mål Medel Omfattning Organisation och ansvar Regelverk 1.0 2(5) Inledning Policyn är landstingsstyrelsens

Läs mer

2012-12-12 Dnr 074-11-19

2012-12-12 Dnr 074-11-19 HÖGSKOLAN I BORÅS STYRDOKUMENT 2012-12-12 Dnr 074-11-19 Regler för informationssäkerhet Regler för informationssäkerhet är beslutade av enhetschefen för i enlighet med Högskolans säkerhetspolicy (dnr 288-11-101)

Läs mer

Metodstöd www.informationssäkerhet.se 2

Metodstöd www.informationssäkerhet.se 2 Övervaka www.informationssäkerhet.se 2 Upphovsrätt Tillåtelse ges att kopiera, distribuera, överföra samt skapa egna bearbetningar av detta dokument, även för kommersiellt bruk. Upphovsmannen måste alltid

Läs mer

Informationsklassning

Informationsklassning Norrmalms stadsdelsförvaltning 2003-09-09 Bilaga 5 s Informationsklassning Inledning Data som lagras och bearbetas i stadens IT-system bildar information som representerar stora värden. För att få en heltäckande

Läs mer

Informationssäkerhetsanvisning

Informationssäkerhetsanvisning HÖGSKOLAN I BORÅS STYRDOKUMENT 2012-12-12 Dnr 074-11-19 Informationssäkerhetsanvisningar Användare Beslutad av enhetschef för Gemensamma förvaltningen i enlighet med rektors beslut fattat den 16 februari

Läs mer

Intern åtkomst till känsliga personuppgifter hos försäkringsbolag. Datainspektionens rapport 2010:2

Intern åtkomst till känsliga personuppgifter hos försäkringsbolag. Datainspektionens rapport 2010:2 Intern åtkomst till känsliga personuppgifter hos försäkringsbolag Intern åtkomst till känsliga personuppgifter hos försäkringsbolag. Pris 53 kr, inklusive moms. Tryckt hos Intellecta infolog i Solna, oktober

Läs mer

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet Innehållsförteckning 1. Generell informationssäkerhet... 4 1.1. Styrande dokumentation... 4 1.2. Organisation... 4 Incidenthantering...

Läs mer

ITsäkerhetspolicy. Antagen av kommunstyrelsen 1999-03-03 46-99

ITsäkerhetspolicy. Antagen av kommunstyrelsen 1999-03-03 46-99 ITsäkerhetspolicy Antagen av kommunstyrelsen 1999-03-03 46-99 IT-säkerhetspolicy för Denna policy uttrycker kommunledningens syn på behovet av IT-säkerhet i Lysekils kommun. Den anger omfattning och ansvarsfördelning

Läs mer

IT-säkerhet Internt intrångstest

IT-säkerhet Internt intrångstest Revisionsrapport IT-säkerhet Internt intrångstest Botkyrka kommun Janne Swenson Maj 2015 Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Väsentlighets- och riskanalys... 3 Angreppssätt...

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010. Revisionsrapport Gymnastik- och idrottshögskolan Box 5626 114 86 Stockholm Datum Dnr 2011-03-08 32-2010-0728 Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan

Läs mer

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål. Informationssäkerhetspolicy 2011-2014 1. Bakgrund Detta dokument fastställs av kommunfullmäktige och gäller för all verksamhet inom kommunen. Detta betyder att det inte finns utrymme att besluta om lokala

Läs mer

SÄKERHETSPOLICY I FÖR FALKÖPINGS KOMMUN

SÄKERHETSPOLICY I FÖR FALKÖPINGS KOMMUN 1 Kommunstyrelsen SÄKERHETSPOLICY I FÖR FALKÖPINGS KOMMUN Syfte med säkerhetsarbetet Syftet med säkerhetsarbetet är att: Verka för en säker och trygg kommun genom att förebygga och hantera förluster, störningar

Läs mer

Interna kontrollen Primärvårdsnämnden i Varberg 2004-10-06

Interna kontrollen Primärvårdsnämnden i Varberg 2004-10-06 REVISIONSRAPPORT Interna kontrollen Primärvårdsnämnden i Varberg Anita Andersson Leif Johansson 2004-10-06 Innehållsförteckning 1. Inledning...3 1.1 Uppdraget...3 1.2 Bakgrund...3 1.3 Syfte och metod...3

Läs mer

Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet

Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet Gäller från och med 2009-01-01 Dnr 5581/2008-030 Beslut 2008-12-10 Dnr:5581/2008-030 Universitetsdirektören Regler och riktlinjer för IT-säkerhet

Läs mer

Informations- och IT-säkerhet i kommunal verksamhet

Informations- och IT-säkerhet i kommunal verksamhet Informations- och IT-säkerhet i kommunal verksamhet En kommuns roll i trygghets och säkerhetsarbetet och var informations- och IT-säkerheten kommer in i detta Vad, vem och hur man kan arbeta med informations-

Läs mer

FÖRHINDRA DATORINTRÅNG!

FÖRHINDRA DATORINTRÅNG! FÖRHINDRA DATORINTRÅNG! Vad innebär dessa frågeställningar: Hur görs datorintrång idag Demonstration av datorintrång Erfarenheter från sårbarhetsanalyser och intrångstester Tolkning av rapporter från analyser

Läs mer

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket 15-12-07 1/6 Tillämpningsområde 1 Denna författning innehåller bestämmelser om myndigheternas arbete med informationssäkerhet och deras tillämpning av standarder i sådant arbete. 2 Författningen gäller

Läs mer

Informationssäkerhet en patientsäkerhetsfråga. Maria Jacobsson Socialstyrelsen

Informationssäkerhet en patientsäkerhetsfråga. Maria Jacobsson Socialstyrelsen Informationssäkerhet en patientsäkerhetsfråga Maria Jacobsson Socialstyrelsen Syftet med patientdatalagen tillgodose patientsäkerhet och god kvalitet samt främja kostnadseffektivitet patienters och övriga

Läs mer

Handledning i informationssäkerhet Version 2.0

Handledning i informationssäkerhet Version 2.0 Handledning i informationssäkerhet Version 2.0 2013-10-01 Dnr 1-516/2013 (ersätter Dnr 6255/12-060) Informationssäkerhet 6 saker att tänka på! 1. Skydda dina inloggningsuppgifter och lämna aldrig ut dem

Läs mer

Revisionsrapport Borgholms kommun Caroline Liljebjörn 1 juni 2016

Revisionsrapport Borgholms kommun Caroline Liljebjörn 1 juni 2016 www.pwc.se Revisionsrapport Uppföljning av ITgranskning från år 2013 Caroline Liljebjörn 1 juni 2016 Innehåll Sammanfattning och revisionell bedömning...2 1.1. Bedömningar mot kontrollmål...2 2. Inledning...4

Läs mer

REVISIONSRAPPORT. Löpande granskning av redovisning och administrativa rutiner avseende. Byggnads- samt Miljö- och hälsoskyddsnämnden.

REVISIONSRAPPORT. Löpande granskning av redovisning och administrativa rutiner avseende. Byggnads- samt Miljö- och hälsoskyddsnämnden. REVISIONSRAPPORT Löpande granskning av redovisning och administrativa rutiner avseende Byggnads- samt Miljö- och hälsoskyddsnämnden Hylte Kommun November 2002 Rolf Bergman Tommy Karlsson www.pwcglobal.com/se

Läs mer

Regler och instruktioner för verksamheten

Regler och instruktioner för verksamheten Informationssäkerhet Regler och instruktioner för verksamheten Dokumenttyp Regler och instruktioner Dokumentägare Kommungemensam ITsamordning Dokumentnamn Regler och instruktioner för verksamheten Dokumentansvarig

Läs mer

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet Fastighetsavdelningen STYRDOKUMENT Leif Bouvin 07-05-24 dnr A 13 349/ 07 031-789 58 98 Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet Publiceringsdatum Juni 2007 Publicerad Beslutsfattare

Läs mer

ANVÄNDARHANDBOK. Advance Online

ANVÄNDARHANDBOK. Advance Online ANVÄNDARHANDBOK Advance Online INNEHÅLL Innehåll... 2 Välkommen!... 3 Allmän information... 3 Idén bakom Advance Online... 3 Att logga in på en terminalstation... 4 Allmänt... 4 Citrix-klienten... 4 Inloggning...

Läs mer

Inspektion enligt personuppgiftslagen (1998:204)

Inspektion enligt personuppgiftslagen (1998:204) Protokoll Dnr 2004-10-28 1368-2004 Inspektion enligt personuppgiftslagen (1998:204) Tillsynsobjekt: Gotlands kommun, hälso- och sjukvårdsnämnden (nämnden) Tid: torsdagen den 28 oktober 2004, kl. 09.00

Läs mer

Förklarande text till revisionsrapport Sid 1 (5)

Förklarande text till revisionsrapport Sid 1 (5) Förklarande text till revisionsrapport Sid 1 (5) Kravelementen enligt standarden ISO 14001:2004 Kap 4 Krav på miljöledningssystem 4.1 Generella krav Organisationen skall upprätta, dokumentera, införa,

Läs mer

Plan för informationssäkerhet vid Högskolan Dalarna 2015

Plan för informationssäkerhet vid Högskolan Dalarna 2015 Plan för informationssäkerhet vid Högskolan Dalarna 2015 Beslut: 2015-05-04 Reviderad: Dnr: DUC 2015/769/10 Ersätter: Relaterade dokument: Policy för informationssäkerhet Ansvarig: Förvaltningschef Innehållsförteckning

Läs mer

Sedan år 2000 har Anita Eckersand arbetat inom Varbergs kommun.

Sedan år 2000 har Anita Eckersand arbetat inom Varbergs kommun. V A R B E R G S K O M M U N föregångare inom IT-säkerhet av lena lidberg Vilka är kommunens viktigaste IT-system? Och hur länge kan systemen ligga nere innan det uppstår kaos i verksamheterna? Frågor som

Läs mer

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet RIKTLINJER Riktlinjer för styrning av IT-verksamhet RIKTLINJER 2 Riktlinjer för styrning av IT-verksamhet. 1 Inledning Håbo kommuns övergripande styrdokument inom IT är IT-policy för Håbo kommun. Riktlinjer

Läs mer

Revisionsrapport. Nerikes Brandkår. Granskning av IT-säkerhet 2011-03-07. Anders Pålhed

Revisionsrapport. Nerikes Brandkår. Granskning av IT-säkerhet 2011-03-07. Anders Pålhed Revisionsrapport Granskning av IT-säkerhet Nerikes Brandkår 2011-03-07 Anders Pålhed 1. Sammanfattning... 3 2. Inledning... 3 3. Syfte... 4 3.1 Metod... 4 3.2 Avgränsning... 4 4. IT-säkerhetens olika delar...

Läs mer

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) INFORMATIONSSÄKERHETSPOLICY Innehållsförteckning Sida 1.1 Informationssäkerhet 1 1.2 Skyddsområden 1 1.3 Övergripande mål 2 1.4 Årliga mål 2 1.5 Organisation

Läs mer

SOLLENTUNA FÖRFATTNINGSSAMLING 1

SOLLENTUNA FÖRFATTNINGSSAMLING 1 FÖRFATTNINGSSAMLING 1 IT-STRATEGI FÖR SOLLENTUNA KOMMUN Antagen av fullmäktige 2003-09-15, 109 Inledning Informationstekniken har utvecklats till en världsomspännande teknik som omfattar datorer, telefoni,

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010. Revisionsrapport Kungl. Konsthögskolan Box 163 65 103 26 Stockholm Datum Dnr 2011-03-09 32-2010-0732 Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010

Läs mer

Förnyad certifiering av driftleverantörerna av Ladok

Förnyad certifiering av driftleverantörerna av Ladok Dnr UmU 190-4909-05 Sida 1 av 1 Ulrika Ringeborn/IT-strateg Lunds universitet Umeå universitet Uppsala universitet Förnyad certifiering av driftleverantörerna av Ladok Enligt beslut av Ladokkonsortiets

Läs mer