Södertälje kommun. Rapport: IT- och informationssäkerhet

Storlek: px
Starta visningen från sidan:

Download "Södertälje kommun. Rapport: IT- och informationssäkerhet 2012-08-31"

Transkript

1

2 Södertälje kommun Rapport: IT- och informationssäkerhet

3 Sammanfattning Bakgrund På uppdrag av de förtroendevalda revisorerna i Södertälje kommun har Ernst & Young genomfört en granskning av IT- och informationssäkerhet, vad gäller policys, riktlinjer och hantering av säkerhetsfrågor på övergripande nivå i kommunen. Granskningens syfte har varit att skapa en utgångspunkt för arbetet med IT- och informationssäkerhet inom Södertälje kommun. Granskningen har gjorts mot Myndigheten för samhällsskydd och beredskaps ramverk för informationssäkerhet, BITS. Övergripande slutsatser Av samtliga 72 granskningspunkter är fördelningen av bedömningarna följande: Kontrollen finns och fungerar tillfredsställande: 67 % Kontrollen finns och fungerar delvis: 18 % Kontrollen finns ej eller fungerar ej tillfredsställande: 14 % Ej tillämplig, kontrollen behövs ej av särskilda skäl: 1 % Jämfört med andra kommuner som Ernst & Young gjort liknande granskningar för ligger Södertälje kommuns måluppfyllnad - det vill säga den grad Södertälje kommun uppfyller valda rekommendationer ur BITS - över kommungenomsnittet. Iakttagelser Nedan listas våra mest väsentliga iakttagelser och rekommendationer. Fullständiga iakttagelser och rekommendationer finns i kapitel 4. # Iakttagelse och rekommendation Prioritet 1. Avsaknad av generella riktlinjer för hantering av behörigheter Vi rekommenderar Södertälje kommun att dokumentera och implementera generella riktlinjer för att skapa nya/förändra/ta bort behörigheter i system, samt för att periodiskt granska behörigheter. 2. Avsaknad av generella riktlinjer för hantering av programförändringar Vi rekommenderar Södertälje kommun att dokumentera och implementera generella riktlinjer för beslut och hantering av programförändringar. 3. Arbetet med informationssäkerhet följs ej upp kontinuerligt Vi rekommenderar Södertälje kommun att kontinuerligt följa upp arbetet med informationssäkerhet. Södertälje kommun bör bland annat genomföra regelbundna penetrationstester, liksom granskningar kring efterlevnaden av gällande policys och riktlinjer. Hög Hög Hög ii

4 Innehållsförteckning 1 Bakgrund Syfte Metod Avgränsningar Iakttagelser Granskningsprotokoll Jämförelse mot andra kommuner Slutsatser och rekommendationer Generella slutsatser Rekommendationer Övriga rekommendationer iii

5 1 Bakgrund 1.1 Syfte Idag bedrivs så gott som all verksamhet i en kommun med någon form av datoriserat stöd. Stödet har med tiden utvecklats till en förutsättning för att kunna bedriva verksamhet. För att uppnå kommunens verksamhetsmål krävs att informationen i verksamhetsstödet är tillgänglig, riktig och har korrekt konfidentialitet samt är spårbar. På uppdrag av kommunrevisorerna i Södertälje kommun har Ernst & Young genomfört en granskning av IT- och informationssäkerhet, vad gäller policys, riktlinjer och hantering av säkerhetsfrågor på övergripande nivå i kommunen. Syftet med granskningen är att skapa en utgångspunkt för arbetet med IT- och informationssäkerhet inom Södertälje kommun. I granskningen har gällande säkerhetsnivåer bedömts mot BITS, Myndigheten för samhällsskydd och beredskaps ramverk för informationssäkerhet. BITS står för Basnivå för informationssäkerhet och har sitt ursprung i den internationella informationssäkerhetsstandarden ISO/IEC En jämförelse har även gjorts med resultatet från liknande granskningar i andra kommuner och organisationer. 1.2 Metod Baserat på erfarenheter från tidigare kommunrevisioner har Ernst & Young valt ut ett antal relevanta kontroller som presenteras i BITS, fördelat på elva huvudområden: 1. Säkerhetspolicy 2. Organisation av säkerheten 3. Hantering av tillgångar 4. Personalresurser och säkerhet 5. Fysisk och miljörelaterad säkerhet 6. Styrning av kommunikation och drift 7. Styrning av åtkomst 8. Anskaffning, utveckling och underhåll av informationssystem 9. Hantering av informationssäkerhetsincidenter 10. Kontinuitetsplanering i verksamheten 11. Efterlevnad 1 av 17

6 Rapporten redovisar i vilken grad kommunen uppfyller valda rekommendationer ur BITS. Resultatet är en sammanvägd bedömning, som baseras på information som lämnats vid intervjuerna samt genom erhållen dokumentation. Den sammanvägda bedömningen av svaren på kontrollerna har bedömts enligt följande alternativ: Kontrollen finns och fungerar tillfredsställande. Kontrollen finns och fungerar delvis. Nej E/T Kontrollen finns ej eller fungerar ej tillfredsställande. Ej tillämplig, kontrollen behövs ej av särskilda skäl. Analysen baseras på erhållen dokumentation samt på intervjuer med Jens Lindh (it-strateg), Jonas Knutsson (it-chef) samt Tommy Nilsson (drift och avtalsansvarig). Arbetet med informationssäkerhet samordnas av kommunens it-strateg. Arbetet har genomförts av Jonas Edberg och Tobias Hermansson under juni/juli 2012 och kvalitetssäkrats av Anna Nielanger. De intervjuade har fått möjlighet att faktagranska rapporten. 1.3 Avgränsningar Iakttagelser och analyser baseras enbart på information som har inhämtats vid intervjuer och förelagd dokumentation. Inga tester har genomförts. Det kan finnas brister i kommunens hantering av informationssäkerhet som vi inte har identifierat. Arbetet har inte omfattat test av generella ITkontroller och applikationskontroller. Denna rapport tar endast hänsyn till nuläget i Södertälje kommun. 2 av 17

7 2 Iakttagelser 2.1 Granskningsprotokoll Granskningspunkt Kommentar Utvärdering 1 Säkerhetspolicy 1.1 Har kommunen en informations-/itsäkerhetspolicy? 2 Organisation av säkerheten 2.1 Finns det en informationssäkerhetssamordnare/- funktion för informationssäkerhet? 2.2 Har ledningen utsett systemägare för samtliga informationssystem? 2.3 Har organisationen utsett systemansvariga? 2.4 Finns det en samordningsfunktion för att länka samman den operativa verksamheten för informationssäkerhet och ledningen? Kommunen har en IT-säkerhetspolicy som beslutades IT-säkerhetspolicyn innefattar en beskrivning över målen för Södertälje kommuns IT-säkerhetsarbete, liksom beskrivning av riktlinjer för att uppnå målen. Likaså innefattar ITsäkerhetspolicyn en beskrivning av både det övergripande och det operativa ansvaret för IT-säkerheten. IT-säkerhetspolicyn specificerar att policyn skall revideras varje år, vilket inte skett omarbetades dokumentet, men den nya versionen beslutades aldrig. Enligt respondenterna behöver policyn ses över och uppdateras, bland annat avseende hantering av incidenter. Under våren 2012 har en förändring avseende ansvaret för samordningen av arbetet med informationssäkerhet gjorts för att säkerställa att Södertälje kommun arbeta mer proaktivt än tidigare med området. Södertälje kommun har utsett kommunens IT-strateg som ansvarig för informationssäkerhetsarbetet och han har sedan den första maj 2012 en separat budget för detta arbete. Kommunens IT-strateg rapporterar numera direkt till kommunstrategen inom kommunstyrelsens kontor och ingår ej i kommunens IT-enhet, som han tidigare gjort. En preliminär handlingsplan för arbetet med informationssäkerhet har tagits fram. Planen innefattar bland annat åtgärdspunkter relaterat till PUL, revidering av informationssäkerhetspolicyn, planer för systemsäkerhetsgenomgång samt översyn av centrala avtal. Samtliga verksamhetskritiska system har en utsedd systemägare. Det åligger respektive kontorschef att tillse att systemägare utses. För att säkerställa efterlevnad kontrollerar IT-enheten vid systemspecifika beställningar att systemförteckningen är uppdaterad med utsedd systemägare och systemförvaltare. Utöver detta har även den externa leverantören Tieto, vilken sköter driften av ett flertal system, instruktion om att ej ta över driften av nya system om inte systemägare och systemförvaltare finns utpekade. Systemägares roll och ansvar finns specificerade i kommunens IT-säkerhetspolicy. Kommunen har utsett systemägare och systemförvaltare för majoriteten av sina system. För vissa mindre system finns endast kontaktperson utsedd. Samliga system och ansvariga finns dokumenterat i kommunens systemförteckning SAR. Systemförvaltares/kontaktpersoners roll och ansvar finns specificerade i kommunens IT-säkerhetspolicy. Under våren 2012 har Södertälje kommun utsett kommunens ITstrateg som ansvarig för informationssäkerhetsarbetet. 3 av 17

8 Granskningspunkt Kommentar Utvärdering 2.5 Har ansvaret för informationssäkerheten reglerats i avtal för informationsbehandling som lagts ut på en utomstående organisation? 3 Hantering av tillgångar 3.1 Är organisationens information klassad avseende sekretess/riktighet/tillgänglighet? 3.2 Har samtliga informationssystem identifierats och dokumenterats i en aktuell systemförteckning? 3.3 Finns det en ansvarsfördelning för organisationens samtliga informationstillgångar? 3.4 Finns det upprättat dokument för hur informationsbehandlingsresurser får användas? 4 Personalresurser och säkerhet 4.1 Får inhyrd/inlånad personal information om vilka säkerhetskrav och instruktioner som gäller? Kommunen har lagt ut drift av system på ett flertal olika externa parter, så som Tieto, Aditro (lönesystemet) och Logica (ekonomisystemet). Respondenterna ser ett behov av att ta fram riktlinjer för hur avtalsskrivning med extern part skall hanteras, och standardskrivningar som alltid skall inkluderas. Ernst & Young har erhållit avtalen med Aditro och Logica. Avtalen med Aditro reglerar områden så som sekretess och servicenivåer. Avtalen med Logica reglerar områden så som sekretess, servicenivåer och ändringshantering. Vi har inte kunnat identifiera någon revisionsklausul i något av avtalen. Då större avtal skall ingås skall kommunens IT-strateg vara involverad. Utöver detta bistår även IT-enheten med kompetens kring kravställning relaterat till IT vid behov. Någon komplett informationsklassning har ej genomförts. I systemförteckningen anges dock om ett system innehåller personuppgifter samt om ett system är verksamhetskritiskt. Utöver detta har en tillgänglighetsklassning gjorts inom ramen för avtalet med Tieto där systemen delats in i fyra nivåer, T1 T4. Kommunen använder sig av en checklista för att bedöma om ett system är verksamhetskritiskt eller ej. Denna checklista kommer att ses över. Inom kommunen finns en systemförteckning kallad SAR. Förteckningen specificerar bland annat vem som ansvarar för respektive system, vem som är systemförvaltare, kostnadskod, om systemet innehåller personuppgifter samt huruvida systemet är verksamhetskritiskt eller ej. Vid tillfället för granskningen innehöll listan ca 200 system. Uppdatering av systemförteckningen i samband med att en systemägare slutar sker manuellt, däremot görs det inte alltid när en systemägare byter tjänst. Periodisk genomgång av listan för att säkerställa att samtliga system har en utpekad systemägare sker ej. Det åligger respektive systemägare att uppdatera informationen i förteckningen. Uppdatering sker via ett formulär på kommunens nätverk. Systemägare och systemförvaltare/kontaktperson har angetts för majoriteten av kommunens system och finns dokumenterat i systemförteckning SAR. Kommunen använder sig av en ett dokument kallat Användarförsäkran vilket personal måste godkänna vid varje påloggning mot kommunens nätverk. Användarförsäkran behandlar bland annat användningen av kommunens datorer, internet, e-post samt lösenord och behörigheter. Kommunens saknar rutin för att tredje part som tilldelas åtkomst till kommunens nätverk och system tar del av ITsäkerhetspolicyn. Inhyrd personal hanteras på samma sätt som vanliga användare och godkänner Användarförsäkran vid varje påloggning. I samband med att åtkomst tilldelas till kommunens sociala system skall även tystnadsplikt skrivas under. Externa konsulter tilldelas åtkomst först efter att respektive systemägare godkänt dess åtkomst. För att ansluta används sedan mjukvara för att upprätta krypterad anslutning, påloggning ser med tvåparts-autentisering. Vid påloggning behöver inte användarförsäkras godkännas, konsulter erhåller dock en länk till dokumentet när deras behörighet läggs upp. 4 av 17

9 Granskningspunkt Kommentar Utvärdering 4.2 Har systemägaren definierat vilka krav som ställs på användare som får tillgång till informationssystem och information? 4.3 Finns det framtagna dokumenterade säkerhetsinstruktioner för användare? 4.4 Genomförs utbildningsinsatser inom informationssäkerhet regelbundet? 4.5 Finns det användarhandledning för ett informationssystem att tillgå? 4.6 Dras åtkomsträtten till information och informationsbehandlingsresurser in vid avslutande av anställning eller vid förflyttning? 5 Fysisk och miljörelaterad säkerhet 5.1 Finns funktioner för att förhindra obehörig fysisk tillträde till organisationens lokaler och information? 5.2 Har IT-utrustning som kräver avbrottsfri kraft identifierats? 5.3 Finns larm kopplat till larmmottagare för: - brand, temperatur, fukt? - sker test till larmmottagare? Kommunen använder sig av det gemensamma dokumentet Användarförsäkran vilket måste godkännas vid påloggning till kommunens nätverk. För kommunens sociala system finns framtagna dokument med ytterligare krav vilka alltid måste godkännas för att erhålla åtkomst. Kommunen använder sig av dokumentet Användarförsäkran vilket måste godkännas vid påloggning till kommunens nätverk. Utöver detta finns även specifika instruktioner för de system som driftas av Tieto, bland annat i respektive systembeskrivning vilken är tillgänglig för supporten. Nej, utbildningsinsatser genomförs ej regelbundet. Det ingår dock i den åtgärdsplan som tagits fram. Respektive systemägare ansvarar för att användarhandledning finns tillgängligt. För de större verksamhetssystemen är användarhandledningen inbyggd och tillgänglig direkt i systemen. IT-enheten tillhandahåller även en Webbhjälp, vilket är en databas med handledning kring bland annat MS Office, policys och riktlinjer. Denna nås både på intranätet samt hemifrån vid inloggning. Det åligger respektive systemägare att anmäla till IT-enheten när personal skall ha ändrade behörigheter. En stor del av systemen är kopplade mot kommunens gemensamma katalogtjänst, Active Directory, vilken innehåller samtliga användare med tillgång till kommunens nätverk. När personal avslutar sin tjänst i personalavdelningens system sätts motsvarande användarprofil i katalogtjänsten i två veckors karantän, innan slutlig borttagning påbörjas. Behörigheter i de system som inte är kopplade till katalogtjänsten skall anmälas för borttag till IT-enheten av respektive systemägare när personal slutar. Bland dessa system återfinns bland annat kommunens socialsystem. Timanställd personal som behöver tillgång till socialsystemen tilldelas åtkomst till gruppkonton. Åtkomsten dokumenteras enligt respondenterna i en manuell logg och inloggning sker med tvåparts-autentisering. För att logga på samtliga av kommunens system krävs åtkomst till kommunens nätverk. Stadshuset använder sig av ett passerkortssystem vilket administreras av inre service. Samma system reglerar även tillträdet till kommunens datahall. Stadshuset och datahallen är utrustat med avbrottsfri kraft i två nivåer. Vid ett eventuellt avbrott tar direkt en avbrottsfri kraftförsörjning baserad på batterier vid. För avbrott längre än 20 min används istället ett dieselaggregat, vilket täcker stora delar av stadshuset. Testning av den avbrottsfria kraften har skett och administreras av kommunens säkerhetsavdelning. Kommunens datahall är utrustad med brand-, temperatur- och fuktlarm vilka skall testas löpande av leverantören Tieto och rapporteras till IT-enheten. Några tester har vid tidpunkten för granskningen ännu inte genomförts/rapporterats till kommunen. Nej 5.4 Finns i direkt anslutning till viktig datorkommunikationsutrustning kolsyresläckare? Datahallen är utrustad med automatisk gas-släckning. 5 av 17

10 Granskningspunkt Kommentar Utvärdering 5.5 Regleras tillträde till utrymmen med känslig information eller informationssystem utifrån informationens skyddsbehov? Tillträdesrättigheter, rutiner för upprättande? För att få tillträde till datahallen görs beställning via e-post till inre service, som även tilldelar åtkomsten efter godkännande från utpekad person på IT-enheten. För tillträde krävs både kort och tillhörande kod, samtliga tillträden loggas. Rutin för periodisk genomgång av listan över personer med tillträde till kommunens datahall finns och skall genomföras av driftsansvarig på IT-enheten. Leverantören ansvarar för den fysiska säkerheten i datahallen, samtlig utrustning ägs dock av kommunen. För att få tillgång krävs en beställning av arbete, att arbetet utförs av en godkänd leverantör, att personen som skall utföra arbetet är utpekad av leverantören samt att besöket föranmäls till Tieto. Föranmälan skall även verifieras av IT-enheten. 5.6 Är korskopplingsskåp låsta? Samtliga korskopplingsskåp i stadshuset är låsta. Vid tillfället för granskningen är en genomgång av samtliga korskopplingsskåp inom kommunens skolor påbörjad, inom vilken olåsta skåp påträffats. Nycklar till korskopplingsskåpen har supportpersonalen samt inre service. 5.7 Raderas känslig information på ett säkert sätt från utrustning som tas ur bruk eller återanvänds? 6 Styrning av kommunikation och drift 6.1 Finns det driftdokumentation för verksamhetskritiska informationssystem? 6.2 Är klockorna i informationssystemen synkroniserade med godkänd exakt tidsangivelse? 6.3 Sker system-/programutveckling samt tester av modifierade system åtskilt från driftmiljön? 6.4 Finns rutiner för hur utomstående leverantörers tjänster följs upp och granskas? 6.5 Godkänner lämplig personal (systemägaren) driftsättningar av förändrade informationssystem? 6.6 Finns det för både servrar och klienter rutiner för skydd mot skadlig programkod? Kommunen använder sig av leverantören Tieto för att radera information på hårddiskar och minnen, vilka sedan återanvänds. Rutinen är enligt respondenterna dokumenterad hos Tieto. I samband med att en hårddisk rensas raderas även användarens hemkatalog samt e-postkonto. I praktiken är det möjligt att återanvända kommunens datorer utan att hårddisken raderas. Användare kan logga in på samtliga datorer med det egna användarkontot. Kommunen har som policy att ej spara känslig information lokalt, vilket enligt respondenterna inte alltid efterlevs. Respektive chef ansvarar för att datorer samlas in och att information raderas på korrekt sätt., driftdokumentation finns enligt respondenterna för verksamhetskritiska system. Tieto är ansvarig för att säkerställa att driftdokumentation finns upprättad och enligt respondenterna har Tieto som rutin att ej ta över driften av ett system utan upprättad driftdokumentation på server och systemnivå. Utöver driftdokumentationen skall även Tieto ha en operativ driftshandbok upprättad., kommunen har en gemensam lösning för datahallen. En majoritet av de kritiska verksamhetssystemen har en separat testmiljö, bland annat personalsystemet samt ekonomisystemet. Data i testmiljöerna är inte alltid uppdaterad. Kommunens kritiska verksamhetssystem består i huvudsak av standardsystem. Det finns ingen specifik dokumenterad rutin definierad för hur leveransuppföljningen skall utföras. Utpekad person på IT-enheten koordinerar leveransuppföljningen relaterat till Tieto via återkommande driftsmöten. För övriga leverantörer ansvarar respektive person i verksamheten som ingått avtalet, vilket i praktiken oftast är systemägaren., kommunen har rutiner för driftsättning. Slutligt godkännande av respektive systemägare krävs alltid., MacAfee köps in som tjänst från leverantören Tieto för de administrativa näten. Inom skolan används F-Secure. 6 av 17

11 Granskningspunkt Kommentar Utvärdering 6.7 Har organisations nätverk delats upp i mindre enheter (segmentering), så att en (virus) attack enbart drabbar en del av nätverket? 6.8 Genomförs säkerhetskopiering regelbundet? 6.9 Genomförs regelbundna tester för att säkerställa att informationssystem kan återstartas från säkerhetskopior? 6.10 Finns det en aktuell förteckning över samtliga externa anslutningar? 6.11 Saknas alternativa vägar vid sidan av organisationens brandvägg in till det interna nätverket? 6.12 Är det möjligt att logga säkerhetsrelevanta händelser? 6.13 Finns det riktlinjer avseende förvaringstid för datamedia? 6.14 Finns det dokumenterade regler avseende vilken information som får skickas utanför organisationen? 6.15 Gäller det för e-postsystem och andra viktiga system att de är isolerade från externa nät? (DMZ) t.ex. genom någon form av brandväggsfunktion? 6.16 Sparas revisionsloggar för säkerhetsrelevanta händelser? 7 Styrning av åtkomst 7.1 Har organisationen satt upp dokumenterade regler för åtkomst/tillträde för tredjeparts åtkomst till information eller informationssystem? 7.2 Tilldelas användare en behörighetsprofil som endast medger åtkomst till informationssystem som krävs för att lösa arbetsuppgifterna? 7.3 Begränsas rätten att installera nya program i nätverket samt den egna arbetsstationen till endast utsedd behörig personal?, kommunens nätverk är segmenterat i administrativt nätverk, elevnätverk, publikt nätverk samt resursnätverk. Leverantören Tieto ansvarar för säkerhetskopiering. Kommunen har tagit fram ett baskoncept som gäller för alla system i datahallen. Backuper tas löpande varje dag, veckovis samt månadsvis. Kompletta säkerhetskopior förvaras i brandsäkert skåp utanför stadshuset. Enligt avtalet med Tieto skall stickprovskontroll med återläsningstester genomföras, något som historiskt inte alltid skett. Systemägare kan även åberopa ytterligare återläsningstest. Kommunen har en aktuell förteckning över det hundratalet externa anslutningar som finns inom kommunen. Anslutningarna gås igenom i samband med licensgenomgång., alternativa vägar vid sidan av brandväggen saknas. För konton till kommunens nätverket loggas användar-id, tidpunkt för inloggning/utloggning samt misslyckade inloggningsförsök. Hanteringen av loggarna regleras i driftavtalet med Tieto, någon aktiv övervakning förekommer inte. Loggarna lagras i en månad. Nätverkstrafik som går genom brandväggen loggas på en central loggserver., detta regleras i avtalet med Tieto. Säkerhetskopior förvaras på en plats utanför stadshuset i brandsäkert skåp. Detta finns specificerat i riktlinjer för e-post med bilaga. Kommunen har även specifika riktlinjer för hantering av data relaterat till socialsystemen. Riktlinjerna reviderades vid tillfället för granskningen efter kritik från Datainspektionen., viktiga system är isolerade med hjälp av brandvägg. Loggar över åtkomst via kommunens nätverk lagras i en månad., detta finns enligt respondenterna dokumenterat i Tietos driftsinstruktion. Externa konsulter måste använda Södertäljes lösning för krypterad anslutning. Slutligt beslut om behörighet till ett system tas av respektive systemägare. När en användare läggs upp i lönesystemet skapas automatiskt ett konto till kommunens nätverk i katalogtjänsten Active Directory. Uppgifter om kontot måste sedan begäras ut av närmaste chef. Åtkomst till kritiska system måste godkännas av respektive systemägare och tilldelas ej med automatik vid anställning. Externa användare erhåller inget e-postkonto hos kommunen, vilket vanliga användare gör. Majoriteten av kommunens användare kan endast ta emot paketerad mjukvara från Service Desk. Ett tiotal användare är dock godkända av IT-enheten och har möjligheten att installera egna program. 7 av 17

12 Granskningspunkt Kommentar Utvärdering 7.4 Har organisationen en dokumenterad rutin för tilldelning, borttag eller förändring av behörighet? Är de kommunicerade till ansvarig för behörigheter? 7.5 Får nya användare ett initialt lösenord som de måste byta, till ett eget valt lösenord vid första användning? 7.6 Genomförs kontinuerlig (minst en gång per år) kontroll av organisationens behörigheter? 7.7 Har systemadministratörer/- tekniker/-användare individuella unika användaridentiteter? 7.8 Öppnas låsta användarkonton först efter säker identifiering av användaren? 7.9 Finns en gemensam lösenordspolicy? 7.10 Sker automatisk aktivering av skärmsläckare och automatisk låsning av obevakade arbetsstationer efter visst givet tidsintervall? Upplåsning kan endast ske med lösenord Är brandväggsfunktionen den enda kanalen för IP-baserad datakommunikation till och från organisationen? 7.12 Finns en dokumenterad brandväggspolicy där det beskrivs vilka tjänster brandväggen skall tillhandahålla? 7.13 Används trådlösa lokala nät? I så fall, finns det åtgärder mot obehörig avlyssning och obehörigt utnyttjande av resurser? 7.14 Finns det en karta över nuvarande säkerhetsarkitektur (tekniska anvisningar) för interna och externa nät och kommunikationssystem? Tillgång till kommunens nätverk tilldelas med automatik. För tillgång till specifika system krävs godkännande av respektive systemägare. Kommunen saknar gemensam rutin för tilldelning och periodisk genomgång av behörigheter. I IT-säkerhetspolicyn beskrivs det som systemförvaltares ansvar att sköta löpande uppgifter som att ge nya användare rätt behörigeter. Specifika rutiner finns enligt respondenterna framtagna för vissa av de kritiska verksamhetssystemen. För tillgång till specifika mappar på kommunens filserver krävs godkännande från respektive mappägare., användare tilldelas ett initialt lösenord till kommunens nätverk vilket måste bytas vid första påloggningen. Kommunen saknar gemensam rutin för att periodisk gå igenom alla tilldelade behörigheter i verksamhetssystemen, detta görs dock enligt respondenterna regelbundet i social- och omsorgssystemet. Kommunens katalogtjänst, Active Directory, som hanterar behörigheter till nätverket är kopplat till personalsystemet och användare som avslutar sin tjänst tas bort med automatik., alla fastanställda har en unik användaridentitet. Det finns dock även ett par opersonliga konton inom vården som används vid korta inhopp. Dessa har begränsade behörigheter och enligt respondenterna förs en manuell log över vem som har tillgång., konton låses upp av service desk först efter motringning eller godkännande av närmaste chef. Tieto har tillgång till information om vem som är chef och kan kontakta den personen direkt. Kommunen tillhandahåller även en tjänst inom vilket lösenord kan återställas med hjälp av SMS som skickas till personens registrerade telefonnummer. Konton till kommunens nätverk låses med automatik efter upprepade felaktiga inloggningar., lösenordspolicy finns publicerad i Webbhjälpen som tillhandahålls av IT-enheten., kommunens datorer har aktiverade skärmsläckare samt automatiskt utloggning som standard. Skrämsläckaren går igång efter 10 minuters inaktivitet och kräver då lösenord för att låsas upp., all IP-baserad kommunikation går genom kommunens brandvägg., kommunen har dokumenterade regler för vilka tjänster som brandväggen skall tillhandahålla. Godkännande av förändringar i reglerna görs av driftsansvarig på IT-enheten. Leverantören Tieto är ansvarig för de faktiska inställningarna i brandväggen. En uppsättning rutinhandböcker lagras på gemensam disk åtkomlig för både Tieto och Södertälje kommun och skall uppdateras av Tieto. Kommunen använder sig av trådlösa nät i stadshuset samt i ett flertal skolor. Stadshusets trådlösa nät är inte koppat till kommunens interna nätverk. De trådlösa näten i skolorna är segmenterade och kommunens interna trafik avskild., kommunens nuvarande säkerhetsarkitektur är dokumenterad. Nej Nej 8 av 17

13 Granskningspunkt Kommentar Utvärdering 7.15 Har organisationen upprättat dokumenterade riktlinjer avseende lagring? Kommunen saknar gemensamma riktlinjer avseende lagring - rutiner för gallring finns dock. Utöver detta har respektive förvaltning dokumenthanteringsplaner Har verksamheten ställt tekniska säkerhetskrav avseende användandet av mobil datorutrustning och distansarbete? 7.17 Har systemägaren eller motsvarande beslutat om att ett informationssystems information ska få bearbetas på distans med stationär eller mobil utrustning? 7.18 Finns det aktuell dokumentation med regler för distansarbete? 8 Anskaffning, utveckling och underhåll av informationssystem 8.1 Har en systemsäkerhetsanalys upprättats och dokumenterats för varje informationssystem som bedöms som viktigt? 8.2 Krypteras persondata som förmedlas över öppna nät? 8.3 Finns det angiven personal som ansvarar för systemunderhåll? 8.4 Finns det regler för hur system- och programutveckling ska genomföras? 8.5 Finns det regler och riktlinjer avseende beslut om programändringar? Vid distansarbete använder sig kommunen av krypterad anslutning via VPN. Inloggning sker med token och personlig kod. Kommunen har även ett mindre antal webbapplikationer med enparts-autentisering för vanliga användare och tvåpartsautentisering via SMS för chefer. VPN beställs via ett webbaserat verktyg hos Tieto. Beställning måste godkännas av närmaste chef. Efter godkännande skickas mjukvara och token till användarens hemadress., detta beslutas av respektive systemägare. Säkerhetsrutiner kring distansarbete finns dokumenterat i avtalet med Tieto. Kommunen saknar dokumenterade regler för distansarbete vad avser exempelvis fysiskt skydd av utrustning i hemmet eller utanför den ordinarie arbetsplatsen. Kommunen har fastställt att en systemsäkerhetsplan skall finns för alla verksamhetskritiska system, vilken åligger respektive systemägare att upprätta. Kommunen har själva genomfört analys mot standarden BITS avseende personalsystemet och e-postsystemet. Arbetet var dock tidskrävande och avslutades inte. I enlighet med kommunens åtgärdsplan för IT-säkerhet kommer förenklade analys samt klassning av resterande system att genomföras., persondata som förmedlas över öppna nät är krypterad. ITenheten har beställt en integrationslista över alla anslutningar mellan kommunens system som Tieto ansvarar för. Hos Tieto finns utpekade personer med ansvar för att utföra systemunderhåll. Kommunen genomför ingen egen utveckling och har endast övergripande rutin för att beställa ändringar från leverantörer. Leverantören Tieto har en dokumenterad rutin för ändringshantering. Kommunen har endast en övergripande processbeskrivning för beställning av ändringar från leverantörer. Gemensam rutin med instruktioner kring beställning, testning och godkännande av ändringar saknas. Enligt respondenterna skall verksamheten ej beställa utveckling direkt från leverantörer, alla ärenden skall istället gå via ITenheten. IT-enheten är dock endast ett stöd och respektive systemägare måste slutligt godkänna alla ändringar. Vi noterade att det pågår ett arbete med att skapa en gemensam förvaltningsmodell för Södertälje kommun, Haninge kommun och Nynäshamn kommun där ansvar/roller och rutiner mot Tieto tydliggörs. Nej Nej Ej tillämpligt Nej 8.6 Finns det dokumenterade rutiner för hur utbildning ska genomföras för köpta system? Omfattar rutinen även kompletterande utbildning vid program- och funktionsändringar? Kommunen saknar gemensamma dokumenterade riktlinjer kring utbildning. Det är respektive systemägares ansvar att utbildning av användarna sker. Utbildning hanteras i praktiken oftast genom att systemleverantören utbildar så kallade superanvändare som i sin tur genomför utbildning med övriga användare. Nej 9 av 17

14 Granskningspunkt Kommentar Utvärdering 9 Hantering av informationssäkerhetsincidenter 9.1 Finns det dokumenterade instruktioner avseende vart användare skall vända sig och hur de skall agera vid funktionsfel, misstanke om intrång eller vid andra störningar? 10 Kontinuitetsplanering i verksamheten 10.1 Finns det en gemensam kontinuitetsplan dokumenterad för organisationen? 10.2 Har systemägaren eller motsvarande beslutat om den längsta acceptabla tid som informationssystemet bedöms kunna vara ur funktion innan verksamheten äventyras? 10.3 Finns det en dokumenterad avbrottsplan med återstarts- och reservrutiner för datadriften som vidtas inom ramen för ordinarie driften? 10.4 Har omständigheter som ska betecknas som kris/katastrof (extraordinära händelser) för verksamheten kartlagts? 11 Efterlevnad 11.1 Används endast programvaror i enlighet med gällande avtal och licensregler? 11.2 Har organisationen förtecknat och anmält personuppgifter till personuppgiftsombud? 11.3 Genomförs interna och externa penetrationstester kontinuerligt? Användare skall vända sig till service desk vid incidenter, vilket står beskrivet på Webbhjälpen som tillhandahålls av IT-enheten. Service desk, vilken sköts av Tieto, har dokumenterade rutiner för hur incidenter skall hanteras. Service desk kan kontaktas via telefon, e-post och direkt via ett webbgränssnitt. Enligt kommunens IT-säkerhetspolicy skall incidenter rapporteras till närmaste chef eller systemförvaltare samt till IT-avdelningen, vilket inte längre är aktuellt. Kommunen har en generell kontinuitetsplan för kommunen i helhet, IT täcks dock endast delvis in. Enligt respondenterna behöver planen ses över. I servicenivåavtalet med Tieto finns specificerat fyra olika servicenivåer, T1 T4. Åtgärdstiderna för fel varierar mellan två till 16 timmar. I dagsläget ligger enligt respondenterna majoriteten av kommunens system på nivån T2 med en återstartstid på fyra timmar, medans ett fåtal verksamhetskritiska system ligger på nivå T1 med en återstartstid på två timmar. Denna indelning är gjord av IT-enheten. Då avtalet med Tieto ej är leveransgodkänt har respektive systemägare ej tagit ställning till vilken nivå deras system kräver, detta kommer att göras efter leveransgodkännandet. Kommunen saknar en gemensam rutin avseende upprättande av återstart- och reservrutiner. Enligt IT-policyn ansvarar systemägare för att i samverkan med IT-enheten genomföra kontinuitetsplanering och ta fram avbrottsplaner för systemen. Tieto ansvarar för prioriteringsordningen i enlighet med gällande servicenivåer. Enligt respondenterna saknas upprättade avbrottsplaner för de system som driftas av Tieto. Det finns möjlighet att avropa tjänster från Tieto rörande återstart- och reservrutiner, vilket inte har gjorts. Enligt respondenterna har säkerhetsavdelningen en definition för vad som skall betecknas som extraordinär händelse. Tieto har en rutin för att hantera incidenter, vilken används då incidenter inkommer till service desk. IT-enheten ansvarar för att licenser finns för gemensamma system. För övriga system är det upp till respektive systemägare att överlämna uppgifterna till IT-enheten som lagrar dessa för hela kommunens räkning. Kommunen planerar att lägga över uppföljningen av licenser på Tieto. Tanken är att verksamheterna då skall rapportera vilka licenser som används till Tieto som dokumenterar i en gemensam databas. Vid tillfället för denna granskning var en licensgenomgång påbörjad. Kommunen har ett PUL-ombud per nämnd. Ett samarbete med stadsjuristerna är planerat för att reda ut hur personuppgiftsombud skall hanteras framöver. Enligt respondenterna har samtliga socialsystem personuppgiftsombud, det är dock oklart hur de ser ut för kommunens mindre systemen. Penetrationstester har historiskt genomförts återkommande av IT-enheten, senaste testningen genomfördes dock för sex år sedan. Ytterligare tester är planerade att genomföras av extern part inom samarbetet med Haninge och Nynäshamn kommun. Nej Nej 10 av 17

15 Granskningspunkt Kommentar Utvärdering 11.4 Granskar ledningspersoner regelbundet att säkerhetsrutiner, - policy och -normer efterlevs? I kommunens IT-säkerhetspolicy fastställs att säkerhetsgranskning av verksamhetskritiska system skall genomföras årligen, vilket inte gjorts. Någon regelbunden granskning avseende efterlevnad av policys och normer genomförs ej inom kommunen. Historiskt har ansvaret för informationssäkerhet legat inom ITenheten, under våren 2012 har rollen som IT-strateg vilket inkluderar ansvaret för informationssäkerheten inom kommunen flyttats ut till en separat enhet vilket förenklar framtida granskningar. Nej 11 av 17

16 3 Jämförelse mot andra kommuner Ernst & Young har gjort ett flertal gapanalyser mot BITS hos Sveriges kommuner. Tack vare detta kan vi mäta Södertälje kommuns mognadsgrad rörande informationssäkerhet mot ett genomsnitt av de kommuner vi granskat. I diagrammet nedan representerar ytterkanten 100 % måluppfyllnad, medan mittpunkten anger 0 % måluppfyllnad. Siffrorna anger respektive område i BITS enligt: 1. Säkerhetspolicy 2. Organisation av säkerheten 3. Hantering av tillgångar 4. Personalresurser och säkerhet 5. Fysisk och miljörelaterad säkerhet 6. Styrning av kommunikation och drift 7. Styrning av åtkomst 8. Anskaffning, utveckling och underhåll av informationssystem 9. Hantering av informationssäkerhetsincidenter 10. Kontinuitetsplanering i verksamheten 11. Efterlevnad Mognadsgrad av informationssäkerhet Jämförelse mot kommungenomsnitt Kommunsnitt Södertälje kommun Bild 3.1. Kommunjämförelse, mognadsgrad 12 av 17

17 4 Slutsatser och rekommendationer 4.1 Generella slutsatser Av samtliga 72 granskningspunkter är fördelningen av bedömningarna följande: Kontrollen finns och fungerar tillfredsställande: 67 % Kontrollen finns och fungerar delvis: 18 % Nej Kontrollen finns ej eller fungerar ej tillfredsställande: 14 % E/T Ej tillämplig, kontrollen behövs ej av särskilda skäl: 1 % Kommunens starkaste områden relativt kommungenomsnittet är: Organisation av säkerheten Hantering av tillgångar Personalresurser och säkerhet Kommunens svagaste områden relativt kommungenomsnittet är: Säkerhetspolicy Efterlevnad Anskaffning, utveckling och underhåll av informationssystem 13 av 17

18 4.2 Rekommendationer Nedan följer våra rekommendationer samt vårt förslag på prioritering utifrån bedömd risk och väsentlighet. Rekommendationerna är prioriterade enligt följande: Hög Medel Låg Nyckelkontroll ej på plats/ej effektiv. Bristen bör åtgärdas snarast för att säkerställa god intern kontroll på kort sikt. Nyckelkontroll delvis på plats/delvis effektiv. Bristen bör åtgärdas för att säkerställa god intern kontroll på lång sikt. Nyckelkontroll på plats men effektivitet kan förbättras. Bristen bör åtgärdas på lång sikt. # Iakttagelse och rekommendation Prioritet 1. Iakttagelse: Avsaknad av generella riktlinjer för hantering av behörigheter Vi har noterat att det saknas generella riktlinjer för förändring och borttag av behörigheter till kommunens verksamhetssystem. Vi har också noterat att det saknas generella riktlinjer för genomgång av behörigheter till verksamhetssystem. För vissa verksamhetssystem kan den enskilda förvaltningen dock ha skapat egna rutiner. Rekommendation: Vi rekommenderar Södertälje kommun att dokumentera och implementera generella riktlinjer för att skapa nya/förändra/ta bort behörigheter i systemen, samt för att granska rättigheter i systemen. Följande kontroller och aktiviteter bör finnas med: Det skall framgå vem som får beställa nya behörigheter, ändring av behörigheter och borttag av behörigheter (vanligtvis enhetschef eller personalavdelning) Mottagare av beställning bör kontrollera att beställaren har befogenheter att göra beställning Information om att konto har skapats bör skickas med kopia till beställaren Kontouppgifter bör ej skickas okrypterade över publika nätverk Användaren bör byta lösenord vid första inloggning Det skall framgå vem som ansvarar för att en person som slutar ej längre har rättigheter till systemen (vanligtvis enhetschef eller personalavdelning) Det skall framgå vem (vanligtvis systemägaren) som är ansvarig för att periodvis gå igenom behörigheterna i respektive verksamhetssystem, för att säkerställa att dessa är korrekta, och hur ofta denna kontroll skall genomföras Hög 14 av 17

19 # Iakttagelse och rekommendation Prioritet 2. Iakttagelse: Avsaknad av generella riktlinjer för hantering av programförändringar Vi har noterat att kommunen saknar generella riktlinjer som avser beslut om programförändringar. Rekommendation: Vi rekommenderar Södertälje kommun att dokumentera och implementera generella riktlinjer för beslut om programförändringar. Följande kontroller och aktiviteter bör finnas med: Det skall framgå vem som får beställa förändringar Alla beställningar av förändringar skall vara dokumenterade Beställning skall godkännas av systemägare (eller motsvarande) Acceptanstest av förändring skall göras i miljö separerad från produktionsmiljö. Testfall i testprotokoll bör vara länkade till krav i beställning Testresultat skall godkännas av systemägare (eller motsvarande) Vid större förändringar bör uppföljning av förändringens verksamhetsnytta göras. 3. Iakttagelse: Arbetet med informationssäkerhet följs ej upp kontinuerligt Vi har noterat att kommunen inte följer upp arbetet med informationssäkerhet, exempelvis genom penetrationstester och granskningar kring efterlevnad av framtagna policys och riktlinjer. Rekommendation: Vi rekommenderar Södertälje kommun att kontinuerligt följa upp arbetet med informationssäkerhet. Södertälje kommun bör bland annat genomföra regelbundna penetrationstester, liksom granskningar kring efterlevnaden av gällande policys och riktlinjer. 4. Iakttagelse: Inaktuell informationssäkerhetspolicy Vi har noterat att kommunen har en inaktuell informationssäkerhetspolicy. Den nuvarande är daterad till Rekommendation: Vi rekommenderar kommunen att uppdatera nuvarande informationssäkerhetspolicy så att den speglar nuläget och hantering av tillämpbara krav i den internationella informationssäkerhetsstandarden ISO/IEC Dessa krav innefattar riskhantering, organisation, informationsklassning, personalsäkerhet, fysisk säkerhet, kommunikation och drift, styrning av åtkomst, utveckling och förvaltning, incidenthantering, kontinuitetsplanering och efterlevnad. 5. Iakttagelse: Bristande utbildningsinsatser kring informationssäkerhet Vi har noterat att kommunen ej regelbundet utbildar personal i kring informationssäkerhet. Rekommendation: Vi rekommenderar Södertälje kommun att regelbundet utbilda personal i informationssäkerhet. Exempelvis bör en initial utbildning ske vid nyanställning och sedan kompletteras regelbundet utifrån personalens behov. Hög Hög Medel Medel 15 av 17

20 # Iakttagelse och rekommendation Prioritet 6. Iakttagelse: Avsaknad av riktlinjer kring distansarbete Vi har noterat att kommunen saknar riktlinjer kring distansarbete. Rekommendation: Vi rekommenderar kommunen att upprätta dokumentation med regler för distansarbete. Riktlinjerna bör bland annat omfatta fysisk säkerhet och regler för utförande av informationsbehandlingsresurser från organisationens lokaler. 7. Iakttagelse: Avsaknad av riktlinjer för uppföljning av leverantörers tjänster Vi har noterat att kommunen saknar dokumenterad riktlinje för att hur uppföljning av de tjänster som levereras av kommunens externa leverantörer skall utföras. Rekommendation: Vi rekommenderar kommunen att dokumentera riktlinjer för hur utomstående leverantörers tjänster skall följas upp och vem som är ansvarig för utförandet av uppföljningen. Att följa upp utomstående leverantörers tjänster är viktigt för att säkerställa att en lämplig nivå på informationssäkerhet och utförande av tjänster enligt avtal. 8. Iakttagelse: Avbrottsplaner saknas Vi har ej identifierat några existerande avbrottsplaner. Rekommendation: Vi rekommenderar Södertälje kommun att för kritiskt verksamhetsstöd skapa rutiner för skapande av avbrottsplaner. Rutinerna bör adressera: Reservrutiner vid avbrott Rutiner för återställning av system Rutiner för återskapande av förlorad information Rutiner för inmatning av data från reservrutiner Periodisk testning av rutiner 9. Iakttagelse: Informationsklassning ej genomförd Vi har noterat att kommunen ej genomfört informationsklassning. Rekommendation: Vi rekommenderar Södertälje kommun att upprätta en informationsklassningspolicy som definierar informationsklasser samt anger hur informationen per informationsklass skall hanteras samt att informationsklassning skall genomföras. 10. Iakttagelse: Avsaknad av systemsäkerhetsanalyser Vi har noterat att det ej upprättats systemsäkerhetsanalyser för samtliga informationssystem som bedöms som verksamhetskritiska. Rekommendation: Vi rekommenderar kommunen att upprätta systemsäkerhetsanalyser för samtliga verksamhetskritiska system. Systemsäkerhetsanalyserna bör redogöra för de samlade kraven avseende tillgänglighet, riktighet och sekretess. Medel Medel Medel Låg Låg 16 av 17

Ystad kommun. Rapport: IT-revision. Göteborg, 2011-07-07

Ystad kommun. Rapport: IT-revision. Göteborg, 2011-07-07 Ystad kommun Rapport: IT-revision Göteborg, 2011-07-07 Sammanfattning Bakgrund På uppdrag av de förtroendevalda revisorerna i Ystad kommun har Ernst & Young genomfört en IT-revision i kommunen. IT-revisionens

Läs mer

Revisionsrapport 3/2010 Genomförd på uppdrag av revisorerna maj/sept 2010. Haninge kommun. Rapport: IT-revision, granskning av informationssäkerheten

Revisionsrapport 3/2010 Genomförd på uppdrag av revisorerna maj/sept 2010. Haninge kommun. Rapport: IT-revision, granskning av informationssäkerheten Revisionsrapport 3/2010 Genomförd på uppdrag av revisorerna maj/sept 2010 Haninge kommun Rapport: IT-revision, granskning av informationssäkerheten Sammanfattning Bakgrund På uppdrag av de förtroendevalda

Läs mer

Revisionsrapport Genomförd på uppdrag av revisorerna augusti 2010. Båstads kommun. Rapport: IT-revision. Göteborg, 2010-08-25

Revisionsrapport Genomförd på uppdrag av revisorerna augusti 2010. Båstads kommun. Rapport: IT-revision. Göteborg, 2010-08-25 Revisionsrapport Genomförd på uppdrag av revisorerna augusti 2010 Båstads kommun Rapport: IT-revision Göteborg, 2010-08-25 Sammanfattning Bakgrund På uppdrag av de förtroendevalda revisorerna i Båstads

Läs mer

Revisionsrapport 1-2011 Genomförd på uppdrag av revisorerna juni 2011. Lidingö Stad. Rapport: IT-revision. Stockholm, 2011-06-14

Revisionsrapport 1-2011 Genomförd på uppdrag av revisorerna juni 2011. Lidingö Stad. Rapport: IT-revision. Stockholm, 2011-06-14 Revisionsrapport 1-2011 Genomförd på uppdrag av revisorerna juni 2011 Lidingö Stad Rapport: IT-revision Stockholm, 2011-06-14 2 av 17 Sammanfattning Bakgrund På uppdrag av de förtroendevalda kommunrevisorerna

Läs mer

Vetlanda kommun. Granskning avseende IT- och informationssäkerhet enligt BITS

Vetlanda kommun. Granskning avseende IT- och informationssäkerhet enligt BITS Revisionsrapport 2013 Genomförd på uppdrag av de förtroendevalda revisorerna i Vetlanda kommun Vetlanda kommun Granskning avseende IT- och informationssäkerhet enligt BITS Innehållsförteckning Sammanfattning...

Läs mer

Uppföljning av tidigare granskningar

Uppföljning av tidigare granskningar Revisionsrapport 7/2014 Uppföljning av tidigare granskningar Södertälje kommun Innehåll 1 Inledning...2 1.1 Syfte och revisionsfrågor...2 1.2 Revisionskriterier...2 1.3 Metod...2 1.4 Avgränsning...2 2

Läs mer

Regler och instruktioner för verksamheten

Regler och instruktioner för verksamheten Informationssäkerhet Regler och instruktioner för verksamheten Dokumenttyp Regler och instruktioner Dokumentägare Kommungemensam ITsamordning Dokumentnamn Regler och instruktioner för verksamheten Dokumentansvarig

Läs mer

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUNS NÄTVERK 1 INLEDNING...1 2 BAKGRUND...1

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUNS NÄTVERK 1 INLEDNING...1 2 BAKGRUND...1 GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUNS NÄTVERK 1 INLEDNING...1 2 BAKGRUND...1 3 VERKSAMHETSBESKRIVNING...1 3.1 ANVÄNDNINGSSÄTT - FUNKTIONSBESKRIVNING...1 3.1.1 Användning under normala förhållanden

Läs mer

Granskning av IT-säkerhet

Granskning av IT-säkerhet TJÄNSTESKRIVELSE 1 (1) Sociala nämndernas förvaltning 2015-02-11 Dnr: 2014/957-IFN-012 Marie Carlsson - bi901 E-post: marie.carlsson@vasteras.se Kopia till Individ- och familjenämnden Granskning av IT-säkerhet

Läs mer

Upplands Väsby kommun

Upplands Väsby kommun Revisionsrapport nr 5/ Upplands Väsby kommun Innehållsförteckning 1. Bakgrund... 3 1.1 Syfte... 3 1.2 Metod... 3 1.3 Avgränsningar... 4 2. Iakttagelser... 5 2.1 IT-organisation... 5 2.2 IT-system... 5

Läs mer

Policy Document Number ESS-0002649 Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet

Policy Document Number ESS-0002649 Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet Revision 1 (3) State Released Plan för IT Säkerhet DOCUMENT REVISION HISTORY Revision Reason for revision Date 1 New Document 2013-02-26 List of Authors List of Reviewers List of Approvers Skölde, Daniel/Ulrika

Läs mer

Informationssäkerhet Riktlinje Förvaltning

Informationssäkerhet Riktlinje Förvaltning Informationssäkerhet Riktlinje Förvaltning Fastställd av kommundirektören 2011-06-20 Innehåll 1 Informationssäkerhet 3 2 Organisation och ansvar 4 2.1 Informationssäkerhetssamordnare... 4 2.2 IT-chef...

Läs mer

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUN

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUN GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUN 06-07 GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUNS NÄTVERK 1 INLEDNING...1 2 BAKGRUND...1 3 VERKSAMHETSBESKRIVNING...2 3.1 ANVÄNDNINGSSÄTT - FUNKTIONSBESKRIVNING...2

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2006-09-07 Informationssäkerhetspolicy Antagen av kommunfullmäktige 2006-09-28, 140 Innehåll 1 INLEDNING...3 2 MÅL FÖR INFORMATIONSSÄKERHETSARBETET...4 2.1 LÅNGSIKTIGA MÅL...4 2.2 ÅRLIGA MÅL...4 3 ORGANISATION,

Läs mer

IT-säkerhetsinstruktion Förvaltning

IT-säkerhetsinstruktion Förvaltning IT-säkerhetsinstruktion Förvaltning 2013-09-24 1.0 IT- S Ä K E R H E T S I N S T R U K T I O N IT-säkerhetsinstruktion Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se

Läs mer

Informationssäkerhet - Informationssäkerhetspolicy

Informationssäkerhet - Informationssäkerhetspolicy Informationssäkerhet - Informationssäkerhetspolicy Informationssäkerhetspolicy 2008-08-29 Innehållsförteckning 1 Inledning... 1 2 Mål för IT-sbäkerhetsarbetet... 2 2.1 Långsiktiga mål... 2 2.2 Årliga mål...

Läs mer

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) INFORMATIONSSÄKERHETSPOLICY Innehållsförteckning Sida 1.1 Informationssäkerhet 1 1.2 Skyddsområden 1 1.3 Övergripande mål 2 1.4 Årliga mål 2 1.5 Organisation

Läs mer

Informationssäkerhetsanvisning

Informationssäkerhetsanvisning HÖGSKOLAN I BORÅS STYRDOKUMENT 2012-12-12 Dnr 074-11-19 Informationssäkerhetsanvisningar Användare Beslutad av enhetschef för Gemensamma förvaltningen i enlighet med rektors beslut fattat den 16 februari

Läs mer

2012-12-12 Dnr 074-11-19

2012-12-12 Dnr 074-11-19 HÖGSKOLAN I BORÅS STYRDOKUMENT 2012-12-12 Dnr 074-11-19 Regler för informationssäkerhet Regler för informationssäkerhet är beslutade av enhetschefen för i enlighet med Högskolans säkerhetspolicy (dnr 288-11-101)

Läs mer

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och beredskap föreskriver. I dokumentet kommer fortsättningsvis

Läs mer

Informationssäkerhetsinstruktion Användare: Övriga (3:0:2)

Informationssäkerhetsinstruktion Användare: Övriga (3:0:2) Informationssäkerhetsinstruktion Användare: Övriga (3:0:2) Kommunalförbundet ITSAM Revision: 20130317 Dnr: 2013/00036 Kommunalförbundet ITSAM, Storgatan 36A, 590 36 Kisa Tel: 0494 197 00, Fax: 0494 197

Läs mer

Rapport: IT-Revision 2014 Genomförd på uppdrag av revisorerna Mars 2014. Kungsbacka Kommun. Rapport: IT-revision 2014-03-17

Rapport: IT-Revision 2014 Genomförd på uppdrag av revisorerna Mars 2014. Kungsbacka Kommun. Rapport: IT-revision 2014-03-17 Rapport: IT-Revision 2014 Genomförd på uppdrag av revisorerna Mars 2014 Kungsbacka Kommun Rapport: IT-revision 2014-03-17 Sammanfattning Bakgrund På uppdrag av de förtroendevalda revisorerna i Kungsbacka

Läs mer

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 3 RIKTLINJER FÖR ATT UPPNÅ MÅLEN... 3 3.1 ALLMÄNT... 3 3.2 LEDNING OCH ANSVAR FÖR IT-SÄKERHET... 3 3.2.1 Systemägare... 3 3.2.2

Läs mer

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet Dnr 1-516/2013 (ersätter Dnr 6255-2012-060) Gäller från och med Informationsklass: K1R2T1 Bilaga 2. Ansvarsbeskrivningar

Läs mer

IT-säkerhetsinstruktion

IT-säkerhetsinstruktion IT-säkerhetsinstruktion Innehållsförteckning 1. ANVÄNDARENS ANSVAR...2 2. ÅTKOMST TILL INFORMATION...2 2.1 BEHÖRIGHET...2 2.2 INLOGGNING...2 2.3 VAL AV LÖSENORD...2 2.4 BYTE AV LÖSENORD...2 3. DIN ARBETSPLATS...3

Läs mer

SÄKERHETSFÖRESKRIFTER FÖR FÖRVALTNING AV IT-SYSTEM

SÄKERHETSFÖRESKRIFTER FÖR FÖRVALTNING AV IT-SYSTEM FÖRFATTNINGSSAMLING (8.1.3) SÄKERHETSFÖRESKRIFTER Dokumenttyp Riktlinjer Ämnesområde IT Ägare/ansvarig IT-strateg Antagen av KS 2012-02-08 47 Revisions datum Förvaltning KSF, stab Dnr KS/2010:1056 Giltig

Läs mer

Informationssäkerhetspolicy för Nässjö kommun

Informationssäkerhetspolicy för Nässjö kommun Författningssamling Antagen av kommunfullmäktige: 2014-11-27 173 Informationssäkerhetspolicy för Nässjö kommun Innehåll 1 Inledning... 3 1.1 Begreppsförklaring... 3 2 Syfte... 4 3 Mål för Informationssäkerhetsarbetet...

Läs mer

Informationssäkerhetsinstruktion: Användare

Informationssäkerhetsinstruktion: Användare EXEMPEL 1 Informationssäkerhetsinstruktion: Användare (Infosäk A) Innehållsförteckning 1. INSTRUKTIONENS ROLL I INFORMATIONSSÄKERHETSARBETET...2 2. ANVÄNDARENS ANSVAR...2 3. ÅTKOMST TILL INFORMATION...2

Läs mer

IT-säkerhetspolicy. Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se Webbplats: www.finspang.

IT-säkerhetspolicy. Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se Webbplats: www.finspang. IT-säkerhetspolicy IT-säkerhetspolicy Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se Webbplats: www.finspang.se Innehåll Sammanfattning 1 IT-säkerhetspolicy

Läs mer

Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret

Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret Antagen av Kommunfullmäktige 2009-04-23 57 1. Allmänt... 3 1.1 Inledning... 3 1.2 Begreppet informationssäkerhet

Läs mer

IT-säkerhetspolicy. Fastställd av KF 2005-02-16

IT-säkerhetspolicy. Fastställd av KF 2005-02-16 IT-säkerhetspolicy Fastställd av KF 2005-02-16 IT-säkerhetspolicy Sidan 2 (9) Revisionsinformation Datum Åtgärd Ansvarig Version 2004-11-19 3.4 Ändrat första meningen PGR 2.0 förvaltningen -> verksamheten

Läs mer

Riktlinjer för IT-säkerhet i Halmstads kommun

Riktlinjer för IT-säkerhet i Halmstads kommun Riktlinjer för IT-säkerhet i Halmstads kommun VER 1.0 Innehåll Inledning...3 Definition av IT-säkerhet...3 Omfattning...3 Vikten av IT-säkerhet...3 Mål för IT-säkerhetsarbetet...4 Ledning och ansvar...4

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2009-07-15 1 (9) Informationssäkerhetspolicy Antagen av kommunfullmäktige den 2009-10-21, 110 Kommunstyrelseförvaltningen Postadress Besöksadress Telefon Telefax E-post Hemsida 462 85 Vänersborg Sundsgatan

Läs mer

EXEMPEL. Informationssäkerhetsinstruktion: Kontinuitet och Drift (Infosäk KD)

EXEMPEL. Informationssäkerhetsinstruktion: Kontinuitet och Drift (Infosäk KD) EXEMPEL Informationssäkerhetsinstruktion: Kontinuitet och Drift (Infosäk KD) Innehållsförteckning 1 Instruktionens roll i informationssäkerhetsarbetet 4 2 Organisation och ansvar för säkerhetsarbetet 5

Läs mer

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet 2008:490 kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet Fastställt av kommunfullmäktige 2008-10-02 302 komplettering gjord

Läs mer

Lösenordsregelverk för Karolinska Institutet

Lösenordsregelverk för Karolinska Institutet Lösenordsregelverk för Karolinska Institutet Dnr 1-213/2015 Version 2.0 Gäller från och med 2015-05-18 Sida 2 av 7 Lösenordsregelverk för Karolinska Institutet - Sammanfattning Syfte Det övergripande syftet

Läs mer

Bilaga 3c Informationssäkerhet

Bilaga 3c Informationssäkerhet SID 1 (9) Bilaga 3c Informationssäkerhet Förfrågningsunderlag Upphandling av ett helhetsåtagande avseende IT-stöd för pedagogiskt material inom Skolplattform Stockholm Box 22049, 104 22 Stockholm. Besöksadress

Läs mer

Granskning av IT-säkerheten inom Lunds kommun

Granskning av IT-säkerheten inom Lunds kommun Revisionsrapport 2015 Genomförd på uppdrag av revisorerna Juni 2015 Granskning av IT-säkerheten inom Lunds kommun Innehållsförteckning 1 Sammanfattning... 4 1.1 Bakgrund...4 1.2 Övergripande slutsatser...4

Läs mer

Säkerhetsinstruktion. Procapita Vård och Omsorg

Säkerhetsinstruktion. Procapita Vård och Omsorg PM Handläggare Vårt diarienummer Datum Sidan 1(16) Säkerhetsinstruktion Procapita Vård och Omsorg Senast reviderad: 2010-12-29 Detta dokument är fastställt av systemägare för Procapita Vård och Omsorg

Läs mer

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina 1 IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina Riksrevisionen har som ett led i den årliga revisionen av Skatteverket granskat IT-generella kontroller i ekonomisystemet Agresso,

Läs mer

Policy och strategi för informationssäkerhet

Policy och strategi för informationssäkerhet Styrdokument Dokumenttyp: Policy och strategi Beslutat av: Kommunfullmäktige Fastställelsedatum: 2014-10-23, 20 Ansvarig: Kanslichefen Revideras: Vart 4:e år eller vid behov Följas upp: Vartannat år Policy

Läs mer

Informationssäkerhetsinstruktion Mora, Orsa och Älvdalens kommuner

Informationssäkerhetsinstruktion Mora, Orsa och Älvdalens kommuner Informationssäkerhetsinstruktion Mora, Orsa och Älvdalens kommuner - Användare Informationssäkerhetsinstruktion gemensam Mora, Orsa och Älvdalens kommuner Innehållsförteckning 1 Inledning... 1 2 Klassning

Läs mer

IT-SÄKERHETSPOLICY. Stadskontoret. 1 Inledning... 1. 1.1 Definition... 2. 1.2 Omfattning... 2. 2 Mål för IT-säkerhetsarbetet... 2

IT-SÄKERHETSPOLICY. Stadskontoret. 1 Inledning... 1. 1.1 Definition... 2. 1.2 Omfattning... 2. 2 Mål för IT-säkerhetsarbetet... 2 IT-SÄKERHETSPOLICY 1 Inledning... 1 1.1 Definition... 2 1.2 Omfattning... 2 2 Mål för IT-säkerhetsarbetet... 2 3 Ledning och ansvar för IT-säkerheten... 3 4 Lagar och andra regelverk... 4 5 IT-säkerhetsarbetet...

Läs mer

Riktlinjer. Informationssäkerhet och systemförvaltning

Riktlinjer. Informationssäkerhet och systemförvaltning Riktlinjer Informationssäkerhet och systemförvaltning LULEÅ KOMMUN RIKTLINJER Dnr 1 (5) 2012-11-29 Riktlinjer för roller och ansvar inom informationssäkerhet och systemförvaltning En god systemförvaltning

Läs mer

RIKTLINJER FÖR IT-SÄKERHET

RIKTLINJER FÖR IT-SÄKERHET FÖRFATTNINGSSAMLING (8.1.3) RIKTLINJER FÖR IT-SÄKERHET Dokumenttyp Riktlinjer Ämnesområde IT Ägare/ansvarig IT-strateg Antagen av KS 2012-02-08 47 Revisions datum Förvaltning KSF, stab Dnr KS/2010:1056

Läs mer

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner Riktlinjer avseende Informationssäkerheten Sida 1 Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner Informationssäkerhet är en del i kommunernas lednings- och kvalitetsprocess

Läs mer

Båstads kommun Granskning av IT-säkerhet. Revisionsrapport juni 2015 Genomförd på uppdrag av revisorerna

Båstads kommun Granskning av IT-säkerhet. Revisionsrapport juni 2015 Genomförd på uppdrag av revisorerna Båstads kommun Granskning av IT-säkerhet Revisionsrapport juni 2015 Genomförd på uppdrag av revisorerna Innehåll 1. Sammanfattning... 3 2. Inledning... 5 2.1. Bakgrund... 5 2.2. Syfte och avgränsning...

Läs mer

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy inom Stockholms läns landsting LS 1112-1733 Informationssäkerhetspolicy inom Stockholms läns landsting 2013-02-01 Beslutad av landstingsfullmäktige 2013-03-19 2 (7) Innehållsförteckning 1 Inledning...3 2 Mål... 4 3 Omfattning... 4 4

Läs mer

Säkerhetsinstruktioner för användare av Falköpings kommuns nätverk

Säkerhetsinstruktioner för användare av Falköpings kommuns nätverk Säkerhetsinstruktioner för användare av Falköpings kommuns nätverk SÄKERHETSINSTRUKTIONER FÖR ANVÄNDARE AV FALKÖPINGS KOMMUNS NÄTVERK 1 BAKGRUND... 1 2 INLOGGNING... 1 3 HANTERING AV INFORMATION... 3 4

Läs mer

SÄKERHETSINSTRUKTIONER FÖR ANVÄNDARE AV IT SYSTEM

SÄKERHETSINSTRUKTIONER FÖR ANVÄNDARE AV IT SYSTEM SÄKERHETSINSTRUKTIONER FÖR ANVÄNDARE AV IT SYSTEM Version 2002-11-20 INNEHÅLLSFÖRTECKNING BAKGRUND...3 INLOGGNING...3 HANTERING AV INFORMATION...4 INTERNET...5 E-POST...6 INCIDENTER...6 BÄRBAR PC...6 ARBETSPLATSEN...7

Läs mer

Organisation för samordning av informationssäkerhet IT (0:1:0)

Organisation för samordning av informationssäkerhet IT (0:1:0) Organisation för samordning av informationssäkerhet IT (0:1:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd: Direktionen 20130926 Dnr: 0036/13 Kommunalförbundet ITSAM,

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688 Revisionsrapport Malmö Högskola 205 06 Malmö Datum Dnr 2012-05-22 32-2011-0688 Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011 Riksrevisionen har som ett led

Läs mer

Riktlinjer för IT i Lilla Edets kommun. 2. Syftet med IT i Lilla Edets kommun

Riktlinjer för IT i Lilla Edets kommun. 2. Syftet med IT i Lilla Edets kommun Datum Dnr Dpl 2009-09-10 2009/KS0203-1 005 Riktlinjer för IT i Lilla Edets kommun 1. Introduktion Det politiskt styrande dokumentet för IT-användning i Lilla Edets kommun är denna riktlinje, som fastställs

Läs mer

IT-säkerhetspolicy. Antagen av kommunfullmäktige 2004-06-21

IT-säkerhetspolicy. Antagen av kommunfullmäktige 2004-06-21 IT-säkerhetspolicy Antagen av kommunfullmäktige 2004-06-21 1 Det moderna samhället är starkt beroende av att elförsörjning, telekommunikationer och IT-system fungerar. Om dessa påverkas kan svåra störningar

Läs mer

Informationssa kerhet - Lidingo Stad

Informationssa kerhet - Lidingo Stad Informationssa kerhet - Lidingo Stad Informationssäkerhet reglerar inte bara hur vi arbetar med kommunens it-baserade informationssystem utan även andra former av information. Det är betydelsen av informationen

Läs mer

Svar på revisionsrapport Behörighetsgranskning Cosmic och Aplus, samt Granskning avseende IT- och informationssäkerhet

Svar på revisionsrapport Behörighetsgranskning Cosmic och Aplus, samt Granskning avseende IT- och informationssäkerhet Missiv beslutsunderlag Diarienr: 14LTK1283 Handläggare: n Cserpes, Kansliavdelningen Datum: 2015-03-02 Regionstyrelsen Svar på revisionsrapport Behörighetsgranskning Cosmic och Aplus, samt Granskning avseende

Läs mer

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun Revisionsrapport Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång Björn Johrén, Säkerhetsspecialist Klippans kommun Innehållsförteckning 1. Inledning 1 1.1.

Läs mer

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Beslutsdatum 2007-06-11 (rev. 2014-11- 24 )

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Beslutsdatum 2007-06-11 (rev. 2014-11- 24 ) Fastighetsavdelningen STYRDOKUMENT Leif Bouvin 14-11-24 dnr V 2014/853 031-789 58 98 Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet Publiceringsdatum November 2014 Publicerad Beslutsfattare

Läs mer

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhetspolicy IT (0:0:0) Informationssäkerhetspolicy IT (0:0:0) Antagen av kommunfullmäktige 2014-02-24, KF 29 Informationssäkerhetspolicy IT (0:0:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd:

Läs mer

Översiktlig granskning av IT-säkerheten

Översiktlig granskning av IT-säkerheten Revisionsrapport Översiktlig granskning av IT-säkerheten Östhammars kommun April 2009 Göran Persson Lingman 1 Innehållsförteckning 1. Inledning... 3 1.1 Bakgrund... 3 1.2 Syfte... 3 1.3 Metod... 4 1.4

Läs mer

Riktlinjer inom ITområdet

Riktlinjer inom ITområdet Riktlinjer inom ITområdet Uppsala universitet Fastställda av universitetsdirektören 2013-06-25 Reviderade 2013-10-30 Innehållsförteckning 1 Inledning 3 2 Ansvar 3 2.1 Efterlevnad 3 2.2 Uppdatering av riktlinjerna

Läs mer

Fastställd av kommundirektören 2011-06-20. Informationssäkerhet Riktlinje Kontinuitet och drift

Fastställd av kommundirektören 2011-06-20. Informationssäkerhet Riktlinje Kontinuitet och drift Fastställd av kommundirektören 2011-06-20 Informationssäkerhet Riktlinje Kontinuitet och drift Innehåll 1 Informationssäkerhet 3 2 Organisation och ansvar för säkerhetsarbetet 4 2.1 IT-Support... 4 3 Hantering

Läs mer

Gemensamma anvisningar för informationsklassning. Motala kommun

Gemensamma anvisningar för informationsklassning. Motala kommun Gemensamma anvisningar för informationsklassning Motala kommun Beslutsinstans: Kommunfullmäktige Diarienummer: 11/KS 0071 Datum: 2011-08-22 Paragraf: 107 Reviderande instans: Kommunstyrelsen Diarienummer:

Läs mer

Rapport avseende granskning av IT-säkerhet. Östersunds kommun

Rapport avseende granskning av IT-säkerhet. Östersunds kommun Rapport avseende granskning av IT-säkerhet Östersunds kommun November 2014 Innehåll Sammanfattning 1 1. Inledning 2 1.1. Uppdrag och bakgrund 2 1.2. Revisionsfråga 2 1.3. Revisionskriterier 2 1.4. Avgränsning

Läs mer

Tekniskt driftdokumentation & krishantering v.1.0

Tekniskt driftdokumentation & krishantering v.1.0 Tekniskt driftdokumentation & krishantering v.1.0 Denna driftdokumentation avser driftmiljön hos Camero AB:s webbhotell, både delade och dedikerade lösningar. Teknisk dokumentation Cameros webbhotell har

Läs mer

AppGate och Krisberedskapsmyndighetens basnivå för informationssäkerhet, BITS

AppGate och Krisberedskapsmyndighetens basnivå för informationssäkerhet, BITS AppGate ch Krisberedskapsmyndighetens basnivå för infrmatinssäkerhet, BITS En intrduktin i säkerhet. AppGate AppGate är ett svenskt säkerhetsföretag med sina rötter inm försvarsindustrin. AppGates teknik

Läs mer

Säkerhetspolicy för Göteborgs Stad

Säkerhetspolicy för Göteborgs Stad (Styrelsemöte i Förvaltnings AB Framtiden 2014-12-09) Säkerhet & lokaler Gemensamt för staden Säkerhetspolicy för Göteborgs Stad - Policy/riktlinjer/regler Handläggare: Peter Lönn Fastställare: Kommunfullmäktige

Läs mer

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Riktlinjer för säkerhetsarbetet vid Uppsala universitet Dnr UFV 2010/424 Riktlinjer för säkerhetsarbetet vid Uppsala universitet Fastställda av Universitetsdirektören 2010-03-31 Innehållsförteckning 1 Inledning 3 2 Ansvar 3 3 Underlåtelse 3 4 Definitioner 3

Läs mer

Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm

Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm Vervas allmänna råd till föreskrift om statliga myndigheters arbete med säkert

Läs mer

ANVÄNDARHANDBOK Advance Online

ANVÄNDARHANDBOK Advance Online ANVÄNDARHANDBOK Advance Online 2013-09-27 INNEHÅLL Innehåll... 2 Välkommen till Advance Online!... 3 Allmän information... 3 Idén bakom Advance Online... 3 Att logga in på en terminalstation... 4 Allmänt...

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datum Diarienr 2011-12-12 757-2011 Socialnämnden Lunds Kommun 221 00 Lund Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datainspektionens beslut Datainspektionen

Läs mer

Jämtlands Gymnasieförbund

Jämtlands Gymnasieförbund Jämtlands Gymnasieförbund Svar på revisionsrapport - Granskning av ITsäkerhetspolicy Dnr 212-2013 Linda Lignell Innehållsförteckning 1. Allmänt... 3 2. Efterlevnad av policyn... 3 2.1. IT-säkerhetspolicy...

Läs mer

2013-09-25. Uddevalla kommun. Granskning av IT-säkerheten. cutting through complexity TM

2013-09-25. Uddevalla kommun. Granskning av IT-säkerheten. cutting through complexity TM Uddevalla kommun Granskning av IT-säkerheten 2013-09-25 cutting through complexity TM Innehållsförteckning Kontaktperson vid KPMG: Henrik Leffler Manager, KPMG Göteborg Sammanfattning Tel: 031 614826 Mobil:

Läs mer

Riktlinjer för IT-resurser inom Nyköpings kommun

Riktlinjer för IT-resurser inom Nyköpings kommun Dnr RIKTLINJER för IT-resurser inom Nyköpings kommun Dnr 2/44 Innehållsförteckning Inledning... 4 1 Mål... 4 2 för informationssäkerhet... 4 2.1 Definitioner... 4 2.2 Hantering av utomstående parter...

Läs mer

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6 Bromölla kommun KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6 Antagen/Senast ändrad Gäller från Dnr Kf 2013-09-30 151 2013-10-01 2013/320 RIKTLINJER FÖR INFORMATIONSSÄKERHET Riktlinjer för informationssäkerhet

Läs mer

Elektronisk informationssäkerhet. Riktlinjer för Användare - anställda och förtroendevalda. Eslövs kommun

Elektronisk informationssäkerhet. Riktlinjer för Användare - anställda och förtroendevalda. Eslövs kommun Elektronisk informationssäkerhet Riktlinjer för Användare - anställda och förtroendevalda Eslövs kommun Dokumentet Riktlinjer för användare anställda och förtroendevalda är antaget av kommunstyrelsens

Läs mer

Allmänna villkor för infrastrukturen Mina meddelanden

Allmänna villkor för infrastrukturen Mina meddelanden Allmänna villkor för infrastrukturen Mina meddelanden Bilaga 1 Krav på säkerhet för brevlådeoperatörer version 1.2 (Gäller fr.o.m. 2015-11-11) 2 Bakgrund och syfte Skatteverket tillhandahåller en myndighetsgemensam

Läs mer

Informationssäkerhet, Linköpings kommun

Informationssäkerhet, Linköpings kommun 1 (6) E-Lin projektet 2013-10-28 Informationssäkerhet, Linköpings kommun Delrapport 2 Innehåll Dokumenthistorik... 3 1. Syfte... 3 2. Bakgrund... 3 2.1 Målgrupp... 3 3. Frågeställningar... 3 4. Undersökning...

Läs mer

I Central förvaltning Administrativ enhet

I Central förvaltning Administrativ enhet ., Landstinget II DALARNA I Central förvaltning Administrativ enhet ~llaga LS 117,4 BESLUTSUNDERLAG Landstingsstyrelsen Datum 2013-11-04 Sida 1 (3) Dnr LD13/02242 Uppdnr 652 2013-10-21 Landstingsstyrelsens

Läs mer

Riktlinje för säkerhetskrav vid upphandling av IT-stöd

Riktlinje för säkerhetskrav vid upphandling av IT-stöd 1 (5) Ver. 1.1-2008-11-06 Riktlinje för säkerhetskrav vid upphandling av IT-stöd 1. Inledning Detta dokument redogör för vissa grundläggande säkerhetskrav som bör ställas i samband med anskaffning eller

Läs mer

ANVÄNDARHANDBOK. Advance Online

ANVÄNDARHANDBOK. Advance Online ANVÄNDARHANDBOK Advance Online INNEHÅLL Innehåll... 2 Välkommen!... 3 Allmän information... 3 Idén bakom Advance Online... 3 Att logga in på en terminalstation... 4 Allmänt... 4 Citrix-klienten... 4 Inloggning...

Läs mer

Handläggningsordning för förvaltning av IT-system vid Högskolan Dalarna

Handläggningsordning för förvaltning av IT-system vid Högskolan Dalarna Handläggningsordning för förvaltning av IT-system vid Högskolan Dalarna Beslut: Rektor 2012-01-16 Revidering: - Dnr: DUC 2012/63/10 Gäller fr o m: 2012-01-16 Ersätter: - Relaterade dokument: - Ansvarig

Läs mer

Informationssäkerhetsinstruktion Användare: Elever (3:0:1)

Informationssäkerhetsinstruktion Användare: Elever (3:0:1) Informationssäkerhetsinstruktion Användare: Elever (3:0:1) Kommunalförbundet ITSAM Revision: 20130307 Dnr: 2013/00036 Kommunalförbundet ITSAM, Storgatan 36A, 590 36 Kisa Tel: 0494 197 00, Fax: 0494 197

Läs mer

Säkerhetsinstruktion för användare av UmUs it-resurser

Säkerhetsinstruktion för användare av UmUs it-resurser Sid 1 (7) Säkerhetsinstruktion för användare av UmUs it-resurser Innehållsförteckning 1 Bakgrund...2 2 Tillgång till it-resurserna...2 3 Hantering av information...4 4 Programvaror...4 5 Internet...4 6

Läs mer

Revisionsrapport. Kalmar kommun. Förstudie av personalsystemet. Caroline Liljebjörn. 10 oktober 2011

Revisionsrapport. Kalmar kommun. Förstudie av personalsystemet. Caroline Liljebjörn. 10 oktober 2011 Revisionsrapport Förstudie av personalsystemet Kalmar kommun Caroline Liljebjörn Förstudie av personalsystemet 2011-10-10 Caroline Liljebjörn Stefan Wik Kalmar kommun Förstudie av personalsystemet Innehållsförteckning

Läs mer

IT-säkerhetspolicy Instruktion 2012-09-17 Kommunfullmäktige. Senast reviderad 2012-08-27. Beskriver IT-säkerhetarbetet.

IT-säkerhetspolicy Instruktion 2012-09-17 Kommunfullmäktige. Senast reviderad 2012-08-27. Beskriver IT-säkerhetarbetet. 2012-08-27 Sidan 1 av 6 IT-säkerhetspolicy Dokumentnamn Dokumenttyp Fastställd/upprättad Diarie nummer Fastställd av IT-säkerhetspolicy Instruktion 2012-09-17 Kommunfullmäktige Dokumentansvarig/ processägare

Läs mer

Ansvar och roller för ägande av information samt ägande och förvaltande av informationssystem i Umeå kommun

Ansvar och roller för ägande av information samt ägande och förvaltande av informationssystem i Umeå kommun roller för ägande av information samt ägande och förvaltande av informationssystem i Umeå kommun Dokumenttyp Regler Dokumentägare Kommungemensam IT-samordning Dokumentnamn roller för ägande av information

Läs mer

IT-riktlinjer Nationell information

IT-riktlinjer Nationell information IT-riktlinjer Nationell information Syftet med denna It-riktlinje: den ska vägleda i användningen av Studiefrämjandets gemensamma datornätverk och dess it-resurser, vilket även innefattar den egna datorarbetsplatsen.

Läs mer

Härjedalens Kommuns IT-strategi

Härjedalens Kommuns IT-strategi FÖRFATTNINGSSAMLING BESLUT GÄLLER FR FLIK SID Kf 105/04 2004-09-20 1 Härjedalens Kommuns IT-strategi En vägvisare för kommunal IT 2 INNEHÅLL Sid 1. BESKRIVNING 3 1.1 Syfte och omfattning 3 1.2 Kommunens

Läs mer

Strategi Program Plan Policy» Riktlinjer Regler

Strategi Program Plan Policy» Riktlinjer Regler Strategi Program Plan Policy» Riktlinjer Regler Borås Stads Riktlinjer för IT Riktlinjer för IT 1 Fastställt av: Kommunstyrelsen Datum: 20 juni 2011 För revidering ansvarar: Kommunstyrelsen För ev uppföljning

Läs mer

Icke funktionella krav

Icke funktionella krav 1 (9) Underskriftstjänst Svensk e-legitimation 2 (9) INNEHÅLL 1 Inledning... 3 2 Tillgänglighet och kapacitet... 3 2.1 Svarstider... 3 3 Administrativ säkerhet... 4 3.1 Policy och regelverk... 4 3.1.1

Läs mer

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet Innehållsförteckning 1. Generell informationssäkerhet... 4 1.1. Styrande dokumentation... 4 1.2. Organisation... 4 Incidenthantering...

Läs mer

Policy för informationssäkerhet

Policy för informationssäkerhet .. - T C Q o,.. e Policy för informationssäkerhet Landstingsdirektörens stab augusti 2015 CJiflt LANDSTINGET BLEKINGE Innehållsförteckning Inledning och bakgrund... 3 Syfte... 3 Mål... 3 Genomförande...

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy Dnr: KS 2012/170 Fastställd av KF 2012-10-25 152 1 (20) Informationssäkerhetspolicy Informationssäkerhet är den del i kommunens lednings- och kvalitetsprocess som avser hantering av verksamhetens information.

Läs mer

checklista informationssäkerhet vid hantering av it-system

checklista informationssäkerhet vid hantering av it-system 55 Bilaga 9 checklista informationssäkerhet vid hantering av it-system Säkerhet för den private hem-pc-användaren och det mindre energiföretaget Observera att bristande säkerhet i PC:n inte bara drabbar

Läs mer

Informationssäkerhet Policy och riktlinjer för Stockholms läns sjukvårdsområde

Informationssäkerhet Policy och riktlinjer för Stockholms läns sjukvårdsområde 1 (12) Informationssäkerhet Policy och riktlinjer för Stockholms läns sjukvårdsområde Dokumentnamn Regnr Gäller fr.o.m Informationssäkerhet - riktlinjer för 2013-01-22 SLSO Handläggare Godkänd/signatur

Läs mer

Kapitel 15 Efterlevnad

Kapitel 15 Efterlevnad Kapitel 15 Efterlevnad Organisationers verksamhet regleras av lagar och avtal. Många verksamheter måste också följa särskilda författningar eller krav som ställts upp av myndigheterna. Att handla i strid

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Jönköpings län Kerem Kocaer Johan Elmerhag Jean Odgaard September 2013 Innehållsförteckning

Läs mer

Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK)

Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK) Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK) 1. Allmänt Dessa Allmänna villkor reglerar Socialnämndens anslutning till Sammansatt Bastjänst

Läs mer