Bilaga 3 Säkerhet Dnr: /

Transkript

1 stockholm.se Utbildningsförvaltningen Avdelningen för utveckling och samordning Hantverkargatan 2F Stockholm Växel

2 Innehåll 1 Inledning 3 2 Krav på säkerhetsarbete Allmänt Ledningssystem för informationssäkerhet Ingående aktiviteter i säkerhetsarbetet Ansvar för tillgångar Radering och destruktion Säker avveckling eller återanvändning av utrustning Hantering av Stadens information Medgivande för anslutning till nätverk 6 2 (6) Upphandling av Digitala Enheter och Kringutrustning

3 1 Inledning Definitioner som används i detta dokument har den betydelse som anges i Bilaga 1 (Begrepp och definitioner). Denna bilaga reglerar på en övergripande nivå arbetet med krav på säkerhet som beskrivs i Ramavtalet. Ramavtalsleverantören ska följa dessa krav samt Stadens vid var tid gällande riktlinjer för informationssäkerhet. 2 Krav på säkerhetsarbete 2.1 Allmänt Ramavtalsleverantören ska kontinuerligt arbeta med att planera, följa upp och förbättra kvalitet och säkerhet i tillhandahållandet av Leveransen. Detta för att uppfylla Stadens säkerhetsbehov och se till att information hanteras på ett säkert sätt för hela Leveransen och processaktiviteter. Detta arbete ska vara organiserat med ansvariga utpekade hos Ramavtalsleverantören och genomsyra Ramavtalsleverantörens arbete med Leveransen. Syftet med säkerhetsarbetet är att förhindra, eller minska konsekvenserna av, alternativt sannolikheten för, oönskade händelser inom tillhandahållandet av Produkterna och att upprätthålla Stadens förmåga att fullgöra sina åtaganden innefattande bland annat myndighetskrav och krav enligt Gällande Rätt. I arbetet ingår alla åtgärder vars samlade effekt är att förebygga och minimera konsekvenserna av störningar och avbrott för informationshanteringen. I detta åtagande ingår att säkerställa att informationen får rätt nivå av säkerhet med avseende på informationssäkerhetsaspekterna: Åtkomstbegränsning (sekretess) skydd mot obehörig åtkomst av information, Riktighet skydd mot oönskad förändring, påverkan eller insyn, Tillgänglighet åtgärder för att säkra drift och funktionalitet, och Spårbarhet möjligheten att fastställa vem som gjort vad eller att kunna verifiera orsaken till en händelse. Upphandling av Digitala Enheter och Kringutrustning 3 (6)

4 2.2 Ledningssystem för informationssäkerhet Ramavtalsleverantören ska, utöver de processer för egenkontroll som Ramavtalsleverantören anger i sitt anbud, ha ett generellt processorienterat it-säkerhetsarbete, som i enlighet med ITIL Security Management eller motsvarande är sammanhållet av ett ledningssystem för informationssäkerhet (LIS), där policys, säkerhetskontroller, andra säkerhetsåtgärder, säkerhetsrevisioner, schemalagda säkerhetstester och klassificering av känslig data och risker finns dokumenterade. Ledningssystemet ska möjliggöra för Ramavtalsleverantören att leva upp till krav enligt detta Ramavtal. Ledningssystemet för informationssäkerhet ska minst ha beaktat följande aspekter: Stadens information, organisation, struktur, interna/externa krav och risker med dessa, Stadens strategier, planer och budget för it-leveranser och risker med dessa, Specifik känslig data, Lagstiftning, Incidenter och digitala angrepp, och Förändringar som påverkar säkerheten, till exempel framtida planer och krav. 2.3 Ingående aktiviteter i säkerhetsarbetet Nedanstående aktiviteter ska ingå i Ramavtalsleverantörens säkerhetsarbete. På begäran av Staden ska Ramavtalsleverantören redovisa att dessa aktiviteter utförs samt den övergripande metod som används. Styrning; - organisera it- och informationssäkerhetsarbetet med tydligt ansvar och mandat relaterade till Ramavtalsleverantörens åtagande, Planering; - planera för säkerhetshöjande åtgärder där så är tillämpligt, inklusive att genomföra risk- och sårbarhetsanalyser, dokumentera dessa samt besluta om åtgärder med anledning av dessa. Analyserna ska genomföras i enlighet med Stockholm Stads modell för risk- och sårbarhetsanalys, Klargöra interna roller och säkerhetsrelaterade krav, samt, där så är tillämpligt, sätta ett internt regelverk för; - hur tillåten användning av it (inklusive beivrandet vid missbruk) ska ske, 4 (6) Upphandling av Digitala Enheter och Kringutrustning

5 - hur hanteringen av behörigheter, lösenord, e-post, internet, antivirus och säkerhetsklassning av information ska ske, - hur hanteringen av fjärråtkomst, underleverantörsstyrning inklusive deras tillgång till system och data samt eventuella kompletterande särskilda säkerhetsstrategier ska ske, och - hur arbetet med alternativa arbetssätt och rutiner, för den händelse att Ramavtalsleverantören själv drabbas av störningar i sin interna verksamhet ska ske. Etablering; - kommunicera om och utbilda Ramavtalsleverantörens personal avseende informationssäkerhetsarbetet (exempelvis gällande klassificering av data och information), - fastställa riktlinjer för behörigheter och för hanteringen av säkerhetsincidenter, och - utse och dokumentera ansvariga för säkerheten i Leveransens olika delar, exempelvis Beställning och avveckling av Förhyrda Produkter. Löpande arbete: Genomföra dagliga aktiviteter såsom; - Verifiera att Leveransen lever upp till ställda krav i Stockholm Stads Riktlinje informationssäkerhet samt föreslå åtgärder vid eventuella avvikelser, - Kontinuerligt arbeta med förbättringar av informationssäkerhetsarbetet. 2.4 Ansvar för tillgångar Ramavtalsleverantören ansvarar för att alla levererade Produkter tas upp i en förteckning och att denna förteckning hålls uppdaterad. 2.5 Radering och destruktion Ramavtalsleverantören ska snarast radera, utplåna eller avidentifiera uppgifter på Stadens begäran. Ramavtalsleverantören ska kunna försäkra Staden om att uppgifterna raderas inom en överenskommen tid. 2.6 Säker avveckling eller återanvändning av utrustning Ramavtalsleverantören ansvarar för att ha rutiner för destruktion av lagringsmedia som innehåller känslig information eller licensierade program då mediet avvecklas. Media ska förstöras, avmagnetiseras eller överskrivas på ett säkert sätt i samband med avveckling eller återanvändning. Upphandling av Digitala Enheter och Kringutrustning 5 (6)

6 2.7 Hantering av Stadens information Ramavtalsleverantören ska begränsa antalet personer som har åtkomst till skyddade och känsliga uppgifter. Ramavtalsleverantören ska behandla dessa uppgifter i enlighet med gällande lag samt Stadens skriftliga instruktioner i enlighet med Ramavtalet. 2.8 Medgivande för anslutning till nätverk Utrustning och system som ingår i Leveransen till Staden får inte utan skriftligt medgivande från Staden anslutas till nätverk som kan nås av annan leverantör eller används för leverans till annan Part. 6 (6) Upphandling av Digitala Enheter och Kringutrustning