Riktlinjer för informationssäkerhet inom. [kommun] 20XX-XX-XX Version 1.0. IT forum i samarbete med Lidingö

Storlek: px
Starta visningen från sidan:

Download "Riktlinjer för informationssäkerhet inom. [kommun] 20XX-XX-XX Version 1.0. IT forum i samarbete med Lidingö 2010-11-28"

Transkript

1 Riktlinjer för informationssäkerhet inom [kommun] 20XX-XX-XX Version 1.0 IT forum i samarbete med Lidingö

2 IT-FORUM 2 (35) Innehållsförteckning Innehållsförteckning 2 1 Inledning Efterlevnad Läsanvisning till regelverk för informationssäkerhet 5 2 Definitioner 8 3 Struktur för säkerhetsdokumentation 9 4 Riskbedömning och riskbehandling 10 5 Informationssäkerhetspolicy 11 6 Säkerhetsorganisation Allmänt Ansvar för informationssäkerhet Samordning av informationssäkerhet Hantering av externa aktörer 14 7 Hantering av tillgångar Ansvar för tillgångar Klassificering av information Märkning och hantering av information 20 8 Personal Säkerhet vid rekrytering för anställd och inhyrd personal Krav på anställda gällande informationssäkerhet Säkerhet vid avslutande av anställning eller förflyttning 21 9 Fysisk säkerhet Riktlinjer för skydd av utrustning och information Tillträdeskontroll till byggnader och lokaler Säkerhet för utrustning utanför egna lokaler Avveckling av utrustning Styrning av kommunikation och drift Driftrutiner och driftansvar Kontroll av utomstående tjänsteleverantör Systemplanering och systemgodkännande Skadlig kod Säkerhetskopiering Styrning av nätverk Mediahantering och mediasäkerhet Utbyte av information och program Elektroniskt offentliggjord information Övervakning Åtkomst till system och nätverk Verksamhetskrav på styrning av åtkomst Styrning av användares åtkomst Styrning av åtkomst för administratörer Användares ansvar Styrning av åtkomst till nätverk 26

3 IT-FORUM 3 (35) 11.6 Styrning av åtkomst till operativsystem Styrning av åtkomst till information och tillämpningar Mobil datoranvändning och distansarbete Anskaffning, utveckling och underhåll av programvaror Säkerhetskrav på informationssystem Säkerhet i tillämpningar Kryptering Säkerhet i databaser och program Hantering av incidenter Rapportering av säkerhetshändelser och svagheter Hantering av säkerhetsincidenter och förbättringar Kontinuitets- och avbrottsplanering Efterlevnad Efterlevnad av rättsliga krav Efterlevnad av säkerhetspolicy, -standarder och teknisk efterlevnad Hänsynstaganden vid revision av informationssystem Ordlista Dokumentinformation 35

4 IT-FORUM 4 (35) Inledning En informationssäkerhetspolicy beskriver den högsta ledningens vilja med informationssäkerheten. Riktlinjerna beskriver de övergripande målen i policyn och vad som ska göras för att nå målen. Rutinbeskrivningarna ska på en funktionell nivå beskriva exempelvis hur Policy skyddsåtgärder ska införas. Riktlinjer Detta dokument, riktlinjer för informationssäkerhet, innehåller de riktlinjer Rutinbeskrivningar för informationssäkerhet som gäller för hantering av såväl information som informationsbärare i form av datorer, pappersdokument, mobiltelefoner och externa minnen etc. Information kan finnas lagrad eller hanteras i digital form, men kan också vara i såväl skriftlig som muntlig form. Sålunda jämställs begreppen informationssystem och informationstillgångar i detta dokument, såvida ingen annan skrivning gör en skillnad dem åt. Ur detta följer alltså att typen av informationsbärare inte ska anses som det viktigaste ur begreppssynvinkel, men då informationen idag mest är i digital form har därför dokumentet en tyngdpunkt begreppsmässigt mot it-system och dess information. Efterlevnad Detta regelverk beskriver den informationssäkerhet som ska gälla vid arbete med information, system och program inom [kommun]. Regelverket gäller även anställda hos [kommun]s externa aktörer som har tillgång till [kommun]s information och informationssystem.

5 IT-FORUM 5 (35) Läsanvisning till regelverk för informationssäkerhet Kapitel Mottagare Kapitlets innehåll 2 Definitioner Alla Viktiga Definitioner 3 Struktur för dokumentation Alla Hänvisning till andra säkerhetsdokument 4 Riskbedömning och riskbehandling Systemägare It-personal 5 Informationssäkerhetspolicy Alla Hänvisning till policyn Ramverket för informationssäkerhet 6 Säkerhetsorganisation Alla Den organisation och de roller som hanterar informationssäkerhet 7 Hantering av tillgångar Alla Hur information och andra tillgångar ska klassas och märkas 8 Personal Personalavdelni ng Alla Informationssäkerhet vid rekrytering, uppsägning och de anställdas ansvar under anställningen 9 Fysisk säkerhet Behandlas ej i detta dokument 10 Styrning av kommunikation och drift It-personal Alla Hur informationssäkerhet ska beaktas vid systemplanering, drift, kommunikation, övervakning 11 Åtkomst till system och nätverk 12 Anskaffning, utveckling underhåll programvaror It-personal Systemägare it-personal Regler för hur åtkomst ska ges till informationstillgångar Krav för informationssäkerhet i program, inkl. signaturer och kryptering, 13 Hantering av incidenter Alla Regler för agerande vid upptäckt incident 14 Kontinuitets- och avbrottsplanering Systemägare, Systemförvaltar e It-personal Regler för att upprätthålla verksamhetens funktionalitet vid katastrofhändelser eller avbrott 15 Efterlevnad Alla Regler för hur regelverket hålls uppdaterat och

6 IT-FORUM 6 (35) aktuellt över tiden samt påföljder vid brott mot beslutat regelverk Mottagare Kapitel Kapitlets innehåll Alla 2 Definitioner Viktiga Definitioner Alla 3 Struktur för dokumentation Hänvisning till andra säkerhetsdokument Alla 5 Informationssäkerhetspolic y Hänvisning till policyn Ramverket för informationssäkerhet Alla 6 Säkerhetsorganisation Den organisation och de roller som hanterar informationssäkerhet Alla 7 Hantering av tillgångar Hur information och andra tillgångar ska klassas och märkas Alla 13 Hantering av incidenter Regler för agerande vid upptäckt incident Alla 15 Efterlevnad Regler för hur regelverket hålls uppdaterat och aktuellt över tiden samt påföljder vid brott mot beslutat regelverk It-personal Alla It-personal Systemägare It-personal Personalavdelni ng Alla 10 Styrning av kommunikation och drift 11 Åtkomst till system och nätverk 12 Anskaffning, utveckling underhåll programvaror Hur informationssäkerhet ska beaktas vid systemplanering, drift, kommunikation, övervakning Regler för hur åtkomst ska ges till informationstillgångar Krav för informationssäkerhet program, inkl. signaturer och kryptering, 8 Personal Informationssäkerhet vid rekrytering, uppsägning och de anställdas ansvar under anställningen 4 Riskbedömning och riskbehandling Systemägare It-personal Fysisk säkerhet Behandlas ej i detta dokument Systemägare, 14 Kontinuitets- och Regler för att

7 IT-FORUM 7 (35) Systemförvaltare It-personal avbrottsplanering upprätthålla verksamhetens funktionalitet vid katastrofhändelser eller avbrott

8 IT-FORUM 8 (35) Definitioner All information som hanteras eller lagras i någon form måste skyddas mot oönskad förändring, påverkan eller insyn. Det ska inte heller vara möjligt för obehöriga att ta del av informationen och de användare som har rätt till informationen ska komma åt den efter behov och inom önskad tid. Det är också av vikt att kunna identifiera vem som har gjort vad med informationen och i datasystemen. Därför kan området informationssäkerhet delas in i följande fyra egenskaper Riktighet: Att information inte kan förändras vare sig av obehöriga, av misstag eller på grund av funktionsstörning. Informationen ska vara tillförlitlig, korrekt och fullständig Sekretess: Att innehållet i dokument, information och handlingar etc. inte görs tillgängliga eller avslöjas för obehörig. Spårbarhet: Att i efterhand entydigt kunna härleda specifika aktiviteter eller händelser till ett identifierat objekt användare, skrivare, dator eller system/program. Det ska gå att se vem som tagit del av informationen, vilka förändringar som har hänt och av vem dessa har utförts. Tillgänglighet: Att information och informationstillgångar kan utnyttjas efter behov, i förväntad utsträckning och inom önskad tid utifrån de krav som ställs på verksamheten.

9 IT-FORUM 9 (35) Struktur för säkerhetsdokumentation I Informationssäkerhetspolicyn fastställs synen på informationssäkerhet, övergripande mål och organisationens intention med informationssäkerhetsarbetet. Riktlinjerna för informationssäkerhet beskriver vilka rutiner och säkerhetslösningar som måste etableras, för att uppfylla de mål som beskrivs i informationssäkerhetspolicyn. Riktlinjerna syftar inte till att detaljerat beskriva hur rutiner och säkerhetslösningar i praktiken ska utformas, utan ger en minsta förväntad nivå för dessa. Detta för att dels etablera en gemensam säkerhetsnivå som alltid måste uppnås, dels för att rutiner och säkerhetslösningar ska kunna anpassas till verksamhetens normala rutiner och sätt att arbeta. Utifrån detta upprättas rutinbeskrivningar, som detaljerat redogör för hur rutiner och säkerhetslösningar ska utformas och tillämpas, för att informationssäkerhetspolicyns krav ska efterlevas. Kommunens verksamheter ansvarar för att ta fram dessa rutiner. [kommun] ska med avseende på informationshantering följa samtliga lagar och förordningar relaterade till detta (som till exempel lagen om offentlig upphandling, personuppgiftslagen med flera). Kommunen bör också följa riktlinjer kring informationssäkerhetshantering från MSB (Myndigheten för samhällsskydd och beredskap), SKL (Sveriges kommuner och landsting), KSL (Kommunförbundet Stockholms Län), Datainspektionen och andra kommungemensamma intresseorganisationer. Övriga dokument relaterade till styrning och användning av informationstillgångar återfinns på kommunens intranät. Utöver dessa dokument kan enskilda förvaltningar ha kompletterande styrande dokument inom informationssäkerhetsområdet.

10 IT-FORUM 10 (35) Riskbedömning och riskbehandling Alla system och verksamheter är utsatta för risker. Risk- och sårbarhetsanalysen ska identifiera tänkbara störningar, allvarliga händelser samt extraordinära händelser. Arbetet syftar till att skapa robusta system samt identifiera och analysera skyddsvärda informationstillgångar. Arbetet ska fokusera på förebyggande insatser och konkreta skyddsåtgärder för människor, egendom och miljö. De risker som identifieras i risk- och sårbarhetsanalysen ska hanteras. Detta görs genom att: Genomföra förebyggande åtgärder som minskar riskerna till en acceptabel nivå. Acceptera riskerna om de inte strider mot lagstiftning eller kommunens regler. Undvika den aktivitet som orsakar att den identifierade risken blir verklighet. Överföra risken till andra parter, t.ex. försäkringsbolag eller leverantörer.

11 IT-FORUM 11 (35) Informationssäkerhetspolicy Informationssäkerhetspolicyn gäller för all hantering av information som tillhör [kommun]. Informationssäkerhetspolicyn kan erhållas från den informationssäkerhetsansvarige och finns utlagd på [kommun]s intranät.

12 IT-FORUM 12 (35) Säkerhetsorganisation Allmänt För att uppnå och upprätthålla fastställda regler för informationssäkerhet krävs en tydlig ansvarsfördelning i hela organisationen samt att tillämpliga delar av informationssäkerhetsarbetet samordnas. Den utsedda informationssäkerhetsansvarige har det yttersta informations-säkerhetsansvaret inom [kommun] och det är kommunledningens ansvar att se till att det finns en väl fungerande organisation för informationssäkerhetsarbetet. Ansvar för informationssäkerhet Flera av dessa roller beskrivs utförligare i kommunens Förvaltningsmodell för it-system. Nedan anges ansvar som är kopplat till arbetet kring informationssäkerhet. Informationssäkerhetsansvarige I korthet omfattar ansvaret för den informationssäkerhetsansvarige att: Ansvara för kommunens centrala ställningstaganden i långsiktiga, strategiska informationssäkerhetsfrågor där kommunens verksamheter och bolag behöver en gemensam färdriktning. Utforma regelverk för informationssäkerhet och uppdatera dessa vid behov. Upprätta modeller och metoder för riskanalys, incidenthantering och kontinuitetsplanering. Se till att kontinuerligt uppföljningsarbete sker inom kommunen så att informationssäkerhetsnivån upprätthålls. Vara delaktig i att hantera allvarliga incidenter. Systemägare I korthet omfattar systemägarens ansvar att: Systemet uppfyller informationssäkerhetskraven i förhållande till verksamhetens behov. Se till att riktlinjer och tillämpningsföreskrifter för systemanvändningen upprättas. Systemet uppfyller såväl lagkrav som kommunens policies. Se till att systemet och dess innehåll informationssäkerhetsklassificeras. Informationsägare Om förvaltningsobjektet bedöms omfatta en viktig informationstillgång ska en eller flera informationsägare utses. Systemägaren ska verka för att dessa informationsägare utses på ett korrekt sätt samt att de blir medvetna om sina respektive ansvar.

13 IT-FORUM 13 (35) Informationsägaren har det övergripande och yttersta ansvaret för den information som används av ett eller flera system. Informationsägare fattar de avgörande besluten om informationen, om det behövs nyutveckling, vidareutveckling, förvaltning och avveckling av informationen. I korthet omfattar informationsägarens ansvar att: Se till att informationen i systemet följer lagkrav. Delta i och stödja informationssäkerhetsarbetet. Se till hur, av vem och vilken information som ska registreras. Se till att uppgifter ska tillhandahållas enligt offentlighetsprincipen och hur detta ska ske. Se till vilka personer inom verksamheten som ska ha tillgång till informationen i systemet. Systemförvaltare I korthet omfattar systemförvaltarens ansvar att: Ge stöd till användare genom att o användarhandböcker upprättas och förvaltas o utbildning genomförs o behörighetstilldelning och uppföljning av systemanvändning o felrapporter tas emot, hanteras och följs upp Utöva styrning genom att o ansvara för rutinbeskrivning för systemadministration o ansvara för säkerhetsarbete avseende information och att informationssäkerhetsnivån upprätthålls Teknisk resursägare I korthet omfattar den tekniske resursägarens ansvar att: Driftsorganisationen lever upp till överskommen servicenivå (SLA), såväl tillgänglighets- som säkerhetsmässigt. Bevaka tekniska faktorer som påverkar systemet. Chef med personalansvar I korthet omfattar personalansvariga chefers ansvar att: Personalen är informerad om och efterlever kommunens regler för informationssäkerhet. Anlitade externa aktörer efterlever säkerhetsreglerna i dessa riktlinjer. Ge personalen möjlighet att delta vid säkerhetsutbildning. Avsätta tid för informationssäkerhetsarbete på arbetsplatsen. Arkivarien Arkivariens huvuduppgifter är: utöva tillsyn över myndigheternas dokumenthantering

14 IT-FORUM 14 (35) se till att kommunens arkiv finns ordnade och förtecknade och genom detta finns informationen sökbar för medarbetare och allmänhet se till att kommunens medarbetare har kunskap om de regler och lagar som styr dokumenthantering Medarbetare Alla medarbetare inom [kommun] ska följa det regelverk som finns kring informationssäkerhet. Alla ansvarar för att inhämta sådan information att regelverket följs. Samordning av informationssäkerhet Den informationssäkerhetsansvarige har ansvaret för att utarbeta, förvalta och följa upp regelverket för informationssäkerheten. Hantering av externa aktörer Samverkan med konsulter, externa leverantörer och entreprenörer ska regleras genom avtal. Samtliga externa aktörer ska ha kännedom om [kommun]s regelverk kring informationssäkerhet samt följa detta.

15 IT-FORUM 15 (35) Hantering av tillgångar Tillgångar i detta sammanhang är det som för [kommun] har ett värde i form av information (till exempel handlingar, dokumentation, datafiler, utbildningsmaterial, systemdokumentation), program (till exempel datorprogram, operativsystem, utvecklingsverktyg), och fysiska tillgångar (till exempel datorutrustning, telefoner, lagringsmedia). Ansvar för tillgångar Kommunens informationshantering styrs främst av bestämmelser i tryckfrihetsförordningen och Offentlighet- och Sekretesslagen (OSL) 2009:400. Huvudregeln i tryckfrihetsförordningen är att informationen ska vara tillgänglig för allmänheten, den s k offentlighetsprincipen. Undantag från huvudregeln utgör information som med stöd av reglerna i OSL kan omfattas av sekretesskydd. Det är väsentligt att varje anställd känner till vilken information, inom i första hand sitt eget ansvarsområde, som är sekretessbelagd och hur den ska hanteras. Klassificering av information Modellen för klassificeringen av informationstillgångarna, bygger på dels KSL:s riktlinjer, dels på MSB:s rekommendationer för klassificering av information. Klassificering av information är en grundläggande aktivitet för att information och resurser ges nödvändigt skydd. Det är informationen som ska vara i fokus för vad som ska skyddas. Klassificeringsmodellen som presenteras här behandlar den primära delen av tillgångarna, dvs. informationen i sig. Av praktiska skäl kan dock system och andra resurser klassificeras, t.ex. om dessa är starkt knutna till viss information. Informationen ska klassificeras utifrån den funktion och betydelse för verksamheten som den har och de konsekvenser det medför om informationen skulle hanteras felaktigt, försvinna, komma i orätta händer etc. Klassificeringen kan även fungera som ett stöd och beslutsunderlag vid motivering av investeringar inom informationssäkerhet för en organisations verksamhetsledning. Information kan ha olika nivåkrav med avseende på de fyra klassificeringarna (sekretess, spårbarhet, tillgänglighet, riktighet). Nivå 1 är den nivå som ställer störst krav och nivå 3 den som ställer lägst.

16 IT-FORUM 16 (35) SÄKERHETSNIVÅ 3 Insynsskydd / åtkomstbegränsning / sekretess Oönskad spridning av informationen medför endast ringa eller ingen skada för egen, annan organisations verksamhet eller för enskild person. Spårbarhet Avsaknaden av möjlighet att följa upp olika händelser medför endast ringa eller ingen skada för egen, annan organisations verksamhet eller för enskild person. Informationsklassningen ställer inga krav på spårbarhet. Tillgänglighet Avbrott i åtkomst till informationen medför endast ringa eller ingen skada för egen eller annan organisations verksamhet eller för enskild person. Riktighet Oriktig information medför endast ringa eller ingen skada för egen, annan organisations verksamhet eller för enskild person. SÄKERHETSNIVÅ 2 Insynsskydd / åtkomstbegränsning / sekretess Informationen innehåller sådana uppgifter som om den kommer i orätta händer kan medföra skada. Spårbarhet Avsaknaden av möjlighet att följa upp specificerade händelser kan medföra skada. Spårbarhetskrav finns på vissa specificerade händelser i hanteringen av informationen om vem som har skapat vad och tidpunkt. Tillgänglighet Information som ingår i eller stödjer verksamhet där avbrott kan medföra skada för egen eller annan organisations verksamhet eller för enskild person. Riktighet Oriktig information kan medföra skada. SÄKERHETSNIVÅ 1 Insynsskydd / åtkomstbegränsning / sekretess Informationen innehåller sådana uppgifter som om den kommer i orätta händer kan medföra allvarlig skada för egen, annan organisations verksamhet eller för enskild person.

17 IT-FORUM 17 (35) Spårbarhet Avsaknaden av möjlighet att följa upp specificerade händelser kan medföra allvarlig skada för egen, annan organisations verksamhet eller för enskild person. Det är stora krav på att entydigt kunna följa vem som har gjort vad, när detta har skett och liknande relaterat till revisionskraven och/eller lagar och förordningar. Tillgänglighet Ett avbrott kan medföra Allvarlig skada för egen eller annan organisations verksamhet eller för enskild person. Riktighet Oriktig information kan medföra allvarlig skada för egen eller annan organisations verksamhet eller för enskild person. Mycket strikt kontroll av i princip all data.

18 IT-FORUM 18 (35) Nivå Sekretess Spårbarhet Tillgänglighet Riktighet Oönskad spridning medför endast ringa eller ingen skada 3 It-systemet eller E- tjänsten innehåller enbart allmän offentlig information E-tjänsten är avsedd för bred spridning/ publicitet E-tjänst med icke känsliga personuppgifter Spårbarhet ej viktigt, finns inget behov av spårbarhet Ett avbrott medför endast ringa eller ingen skada. Verksamheten har ett lågt beroende av itsystemet E-tjänsten kan ha avbrott upp till ett dygn. Oriktig information medför endast ringa eller ingen skada Information (data) kan vara mer eller mindre utan kontroll Den enskilde kan själv ansvara för uppgifterna Nivå Sekretess Spårbarhet Tillgänglighet Riktighet 2 Oönskad spridning kan medföra skada. It-systemet innehåller information som kan blir föremål för sekretess enligt SekrL It-systemet innehåller information avsedd för egen personal It-systemet eller E- tjänsten innehåller känsliga personuppgifter enligt PUL. E-tjänsten innehåller en kundrelation, t.ex. ansökan, abonnemang Avsaknad av spårbarhet kan medföra skada Spårbarhet ska finnas på vissa specificerade händelser i systemet eller E-tjänsten Ett avbrott i it-systemet eller E-tjänsten kan medföra skada. It-systemet eller E- tjänsten ingår i myndighetsutövningen (Kärnverksamheten) E-tjänst där kundrelation föreligger mellan myndigheten och intressent. Oriktig information kan medföra skada. It-systemet omfattas av ett lagrum där riktighetskrav anges (t.ex. PUL, BFL). Informationen har krav på oavvislighet Nivå Sekretess Spårbarhet Tillgänglighet Riktighet

19 IT-FORUM 19 (35) 1 Oönskad spridning kan medföra allvarlig skada. It-systemet innehåller information som kan blir föremål för sekretess enligt SekrL, rikets säkerhet, enskilda personers ekonomi etc. It-system eller E- tjänsten omfattas av ett lagrum hänförbar till visst område E-tjänst som innefattar betalningsfunktion Avsaknad av spårbarhet kan medföra allvarlig skada Revisionskrav, lagar eller förordningar ställer krav på spårbarhet och/eller oavvislighet. Ett avbrott kan medföra allvarlig skada. It-systemet eller E- tjänsten är mycket kritisk för verksamheten och alternativt arbetssätt saknas. E-tjänsten har mycket höga krav på servicenivå Oriktig information kan medföra allvarlig skada Det behöver vara mycket strikt kontroll av i princip all data It-system med särskilt höga krav på riktighet, t.ex. affärssystem It-system eller E- tjänst där specifika lagar ställer krav på hanteringen, t.ex. känsliga personuppgifter. Allmänna handlingar Den information som kommunen hanterar, både analogt och digitalt, är till stor del allmänna handlingar. En allmän handling är en handling som inkommit till, upprättats av eller förvaras hos en myndighet. Inkommen handling Enligt tryckfrihetsförordningen är en handling inkommen när den har kommit en myndighet tillhanda genom t.ex. post, e-post eller personligt överlämnad till en representant för myndigheten. Upprättad handling En handling anses vara upprättad när den antingen har expedierats/skickats utanför myndigheten, fått sin slutliga form, justerats eller publicerats på exempelvis myndighetens webbplats. Ett register som myndigheten använder sig av t.ex. ett diarium, är upprättat så fort det tas i bruk. Förvarad handling En handling anses som förvarad hos en myndighet om den är tillgänglig för myndigheten. Däremot anses inte handlingar som förvarade hos en myndighet om handlingarna bara lagras där för annans räkning.

20 IT-FORUM 20 (35) Vad är inte allmänna handlingar? Här följer exempel på handlingar som inte är allmänna och följaktligen inte behöver hanteras utifrån offentlighetslagstiftningen: - utkast och kladdanteckningar - referenslitteratur - handlingar som inkommit till facklig representant och enbart rör den rollen - handlingar som inkommit till förtroendevald som enbart rör partipolitik - handlingar som skickas för synpunkter eller samråd. Dock blir de synpunkter som kommer in allmänna handlingar. Hantering av allmänna handlingar Handlingarna måste hanteras utifrån de krav som lagstiftning och kommunens interna regler ställer för att kunna tillgodose förvaltningens, allmänhetens, rättsäkerhetens och forskningens behov av riktig och tillgänglig information. Det kan vara hanteringsanvisningar i myndigheternas dokumenthanteringsplaner där beslut har fattats om vilka handlingar vi ska bevara och vilka vi kan gallra. Viss informationen ska bevaras för all framtid och måste då lagras på media och i format som stöds av internationella standarder för långtidslagring. Lagkraven på arkivbeständighet gäller både för analog information och digital. Märkning och hantering av information Alla informationstillgångar, och utrustning som är svår eller kostsam att ersätta ska ha en utsedd ansvarig. Den ansvarige ska utfärda rutinbeskrivningar om hur informationen och utrustningen ska och får användas. Informationstillgångar ska vara förtecknade och i vissa fall även märkta.

21 IT-FORUM 21 (35) Personal Genom säkerhetsinsatser ska riskerna minskas för den mänskliga faktorn spelar en roll vid t.ex. stöld, bedrägeri eller missbruk av informationstillgångar. Säkerhet vid rekrytering för anställd och inhyrd personal Vid rekrytering bör kontroll och uppföljning av den arbetssökandes referenser och formella meriter, som CV, meritförteckning och yrkeslegitimationsinnehav göras. En kontroll av den sökandes identitet bör också genomföras, för att klargöra att personen verkligen är den som den utger sig för att vara. Detsamma ska gälla vid anlitande av tillfällig personal för känsliga befattningar. Vid anställningens början ansvarar varje användare för att: Ta del av utbildning som ges kring informationssäkerhet. Ta del av, samt följa, det regelverk (informationssäkerhetspolicy, riktlinjer samt rutinbeskrivningar) som finns kring informationssäkerhet. Krav på anställda gällande informationssäkerhet Samtliga anställda inom [kommun] som använder kommunens information är skyldiga att känna till och efterleva kommunens policys, regler och riktlinjer med avseende på användandet. Detta gäller även om den anställde använder sig av informationen utanför tjänsten. Säkerhet vid avslutande av anställning eller förflyttning Vid anställningens slut ansvarar personalansvarig chef för att: De allmänna handlingarna gallras och bevaras enligt regelverket i myndighetens dokumenthanteringsplan. Rådgöra med den anställde om vilket arbetsmaterial som ska sparas. Notera att allt arbetsmaterial som har framställts anses vara [kommun]s egendom och inte får tas med utan chefs godkännande. Meddela vilka behörigheter som har varit aktuella för åtkomst till informationssystemen så att de avbeställs.

22 IT-FORUM 22 (35) Fysisk säkerhet Den fysiska säkerheten syftar till att skydda mot obehörigt tillträde och åtkomst, skador och störningar. Ett bra fysiskt skydd av lokaler, utrustning och dokument ska eftersträvas. Därför ska lokaler förses med inbrottsskydd, brandskydd eller andra fysiska skydd i den omfattning som krävs. En bedömning ska göras utifrån den verksamhet som förvaltningen bedriver samt de krav som ställs utifrån lagar och förordningar. Riktlinjer för skydd av utrustning och information Nivån på det fysiska skyddet ska baseras på genomförda riskanalyser och stå i proportion till identifierade risker. Grundregeln är att information aldrig ska lämnas oskyddad. Utrustning som är känslig i sig själv eller behandlar känslig information, ska placeras så att tillträde minimeras och utformningen av lämpliga skyddsåtgärder underlättas. För verksamheten kritiska it-system och informationstillgångar ska inrymmas i säkra utrymmen, omgärdade av skalskydd med lämpliga tillträdesspärrar och -kontroller. Tillträdeskontroll till byggnader och lokaler Vid behov ska tillträdeskontroll till viktiga byggnader och lokaler finnas, för att säkerställa att endast behörig personal ges tillträde. Inom varje förvaltning ska det finnas rutiner så att det säkerställs att endast anställda och övriga behöriga personer vistas i lokalerna. Vilka som är behöriga att vistas i lokalerna avgörs av verksamhetsledningen. Säkerhet för utrustning utanför egna lokaler Risker i samband med hantering av utrustning utanför de egna lokalerna ska beaktas. Liksom i övrigt gäller detta för informationsbärare i vid mening och omfattar bland annat persondatorer, handdatorer, mobiltelefoner och pappersdokument. Instruktioner ska fastställas för hur sådana informationsbärare ska hanteras. Vid utformning av skyddsåtgärder måste det beaktas att säkerhetsrisker kan variera avsevärt mellan olika platser och vid olika tidpunkter. Viktigt är att även beakta riskerna då utrustning lämnas ut till extern servicefunktion. Utförsel av informationsbärare, som innehåller känslig information, ska godkännas av informationsägaren och registreras. Rutiner för registrering fastställs och ansvaras av informationsägaren. Avveckling av utrustning Lagringsmedia, som innehåller känslig information eller licensierade program, ska förstöras, avmagnetiseras eller överskrivas på ett säkert sätt, i samband med avveckling eller återanvändning. Beslut om arkivering av data ska tas av systemägaren innan avveckling av informationstillgången.

23 IT-FORUM 23 (35)

24 IT-FORUM 24 (35) Styrning av kommunikation och drift I dokumenten [kommun]s it-plattform 2010 samt [kommun]s modell för förvaltning av it-system är hantering och krav på kommunikation och drift beskrivna. Driftrutiner och driftansvar Målet är att säkerställa korrekt och säker drift av it-miljön så att informationens sekretess, tillgänglighet, riktighet och spårbarhet upprätthålls. Ansvar och rutiner för incidenthantering ska vara etablerade. Mer information finns i dessa riktlinjer för informationssäkerhet. Driftsansvar ska fördelas på olika personer för att minska risken för oavsiktligt eller avsiktligt missbruk Kontroll av utomstående tjänsteleverantör Utomstående leverantörer som bedriver verksamhet för [kommun] kan för detta behöva tillgång till Lidingös nätverk. Informationssäkerheten och utförandet av tjänsterna ska ske enligt avtal och med bibehållen nivå av informationssäkerheten. Det ska finnas en rutin för hur uppföljning och granskning ska göras på utomstående leverantörers tjänster. I händelse att rutinerna ändras eller att utförandet ändras på annat sätt ska en förnyad riskanalys göras. Systemplanering och systemgodkännande Alla informationssystem ska godkännas av systemägaren innan driftsättning och vid förändringar i systemet ska en bedömning göras ifall driftgodkännandet ska förnyas. En viktig parameter i ett driftgodkännande är systemets klassning och dess skydd av informationen avseende sekretess, tillgänglighet, riktighet och spårbarhet. När en förvaltning planerar att införa ett nytt verksamhetssystem, ska alltid kontakt tas med arkivmyndigheten för rådgivning om möjligheterna till arkivering och gallring av digital information. Skadlig kod Skadlig kod innehåller funktioner som har till syfte att påverka datorer, kommunikation och information på ett negativt sätt. Programvaror för skydd mot skadlig kod ska installeras och kontinuerligt uppdateras på kommunens datorer. Säkerhetskopiering Den information som lagras på [kommun]s informationssystem, ska säkerhetskopieras. Flyttbara media (kap 10.7) anses inte vara lämpligt

25 IT-FORUM 25 (35) medium att lagra säkerhetskopior på. Säkerhetskopiering sker endast på de av kommunen utdelade mapparna i nätverket eller i respektive verksamhetssystem. Styrning av nätverk Skyddet av kommunens egna nätverk för informationsöverföring ska styras utifrån verksamhetens krav och kopplingar mot externa datanät. Hantering av säkerheten för nätverk, som kan sträcka sig över organisationsgränserna, kräver särskilda åtgärder Mediahantering och mediasäkerhet Som flyttbara media räknas CD-/DVD- skivor, USB-enheter, externa hårddiskar, minneskort men också telefoner med inbyggd minnesenhet m.m. Dessa flyttbara media kan medföra stor skada om de innehåller sekretessbelagd information och kommer i orätta händer. Flyttbara media ska aldrig innehålla mer information än vad som är absolut nödvändigt och användaren ansvarar för att känslig information är krypterad på mediet. Vid användande av CD-/DVD- skivor som arkivmedia, ska mediat bytas ut minst vart femte år och förvaras mörkt och svalt. Utbyte av information och program Vid informationsutbyte mellan kommunen och andra organisationer eller externa parter ska gemensamma bedömningar göras av behovet av skydd mot åtkomst skydd av riktigheten samt kraven på tillgänglighet. Ansvarsförhållanden ska vara klarlagda. Utbyte av information är t.ex. information som skickas med brev, e- post, skrivs på blädderblock eller whiteboard eller samtalas mellan människor både personligen och över telefon. Elektroniskt offentliggjord information Innan information görs allmänt tillgänglig på tex webb-sida, ska åtgärder vidtagas för att skydda riktigheten av informationen. Förvaltningar och bolag ansvarar för att information som publiceras av den egna verksamheten är korrekt och inte är sekretessbelagd. Övervakning Kritiska och säkerhetsrelevanta händelser i drift och datakommunikation ska vara spårbara. Varje transaktion ska kunna knytas till den som utfört den. Detta ska i första hand åstadkommas med automatiska loggningsfunktioner. Behovet av loggning och uppföljning av loggar (analys) fastställs av systemägaren efter verksamhetens behov samt genomförd informationsklassificering.

26 IT-FORUM 26 (35) Åtkomst till system och nätverk I dokumenten [kommun]s it-plattform 2010 samt [kommun]s modell för förvaltning av it-system är hantering och krav på åtkomst beskrivna. Verksamhetskrav på styrning av åtkomst Åtkomst till system och information ska styras utifrån verksamhetens behov och säkerhetskrav. Den som har behov av tillgång till viss information för att kunna utföra sina arbetsuppgifter ska tilldelas åtkomsträttigheter. All åtkomst ska vara behovs-baserad utifrån ansvaroch arbetsområde. Styrning av användares åtkomst Det ska finnas rutiner för att säkerställde de behörigas åtkomst och för att förhindra obehörigas åtkomst till kommunens information. Styrning av åtkomst för administratörer Alla administratörer ska ha individuella användaridentiteter. Användning av verktyg eller hjälpmedel som gör det möjligt att kringgå eller åsidosätta säkerhetssystem och behörighetsskydd ska föregås av ett godkännande av it-chefen. Inloggningsuppgifter som används för en specifik produkt vid leverans och andra standardlösenord med höga behörigheter ska förvaras inlåsta. Användares ansvar Användare ska hantera sitt sina inloggningsuppgifter på ett sätt så att obehörig åtkomst undviks, samt se till att utrustningen inte utsätts för obehörigt användande av t.ex. familjemedlemmar, vänner och bekanta. Pappersdokument, övriga lagringsmedia samt anteckningar på t.ex. Whiteboard i användarens arbetsrum måste hanteras i enlighet med hur informationen har klassats. Styrning av åtkomst till nätverk Interna och externa nätverk är informationstillgångar och ska betraktas som sådana. Kommunens nätverk ska vara tydligt avgränsat mot omvärlden genom lämplig teknik. IT-chefen ansvarar för att dokumentation upprättas angående: Tagna beslut om anslutningar till tele- och datanät. En aktuell förteckning över samtliga externa anslutningar. Regler för vad som är tillåtet för anslutningar mellan säkerhetsdomäner. Regler för hur autentisering ska ske vid externa anslutningar. Säkerhetsarkitekturer för interna och externa nät och kommunikationssystem.

27 IT-FORUM 27 (35) Regler för anslutning av utrustning till interna och externa nätverk. Regler och rutiner för anslutning av externa nätverk till organisationens eget nät med ingående säkerhetsfunktioner, autentisering etc. Anvisningar för anslutning av trådlösa nätanläggningar. Anvisningar för säkerhet vid internetanslutning. Ansvarsförhållanden kring administration av brandväggar. Nätarkitektur och konfiguration av brandväggar. Styrning av åtkomst till operativsystem Operativsystem och dess behörighetskontrollsystem ska utformas så att möjligheterna till obehörig åtkomst minimeras. Kommentar [F1]: Dessa punkter är tagna från KSLs documentation. Stämmer dessa med Lidingö, t.ex. de olika rollernas ansvar? Denna text lades till efter workshopen tidigt i September. Avvaktar Björns kommentarer /1104 Calle Styrning av åtkomst till information och tillämpningar Systemägaren för respektive system beslutar om systemet och dess information ska vara tillgängligt från externa platser. Mobil datoranvändning och distansarbete Systemägaren för respektive system beslutar om systemet och dess information ska få bearbetas på distans med stationär eller mobil utrustning. Information som är skyddad av sekretess bör inte hanteras under distansarbete, men om chef godkänner detta ska handlingarna hanteras med bibehållen sekretess.

28 IT-FORUM 28 (35) Anskaffning, utveckling och underhåll av programvaror I dokumentet [kommun]s it-plattform 2010 samt [kommun]s modell för förvaltning av it-system är hantering och krav på anskaffning utveckling och underhåll av programvaror beskrivna. Säkerhetskrav på informationssystem Alla system och all information inom [kommun] ska ha erforderligt skydd avseende sekretess, tillgänglighet, riktighet och spårbarhet. Nivån av nödvändigt skydd framkommer vid informationsklassificeringen. Säkerheten byggs i flera lager med behörighetskontroller, loggning, intrångsskydd, intrångsdetektering, skydd mot skadlig kod och kryptering. Säkerhet i tillämpningar Kontrollmekanismer bör finnas så att förväntad informationskvalitet garanteras, i synnerhet för känslig information. Sådan kontrollmekanism kan vara elektronisk underskrift och sigill. För varje program bör en systemsäkerhetsanalys upprättas som innehåller systemets samlade krav på informationssäkerhet. Kryptering Kryptering bör användas både inom [kommun] samt vid extern uppkoppling för information som ställer höga krav på: Skydd mot obehörig insyn och avlyssning. Skydd mot obehörig förändring. Skapande av elektronisk underskrift. Säker autentisering (stark autentisering). Säkerhet i databaser och program. Säkerhetsnivån på krypteringsnyckeln ska vara åtminstone lika hög som nivån på skyddet av den högst klassade, krypterade informationstillgången. Säkerhet i databaser och program För samtliga it-system som används inom [kommun] ska kommunens förvaltningsmodell tillämpas. Se dokumentet Förvaltningsmodell för itsystem i [kommun]. Information lagrade i olika verksamhetssystem ska ha identifierade informationsägare. Information som används inom flera delar av verksamheten ska eftersträvas att lagras i endast en originaldatabas.

29 IT-FORUM 29 (35) Hantering av incidenter Rapportering av säkerhetshändelser och svagheter Incidenter och säkerhetsmässiga svagheter ska, utan dröjsmål, rapporteras till närmast överordnade chef. Detta så att åtgärder kan påbörjas för att minimera skada, åtgärda bister och utreda eventuell brottslighet. Överordnad chef ansvarar därefter för att en rapport skrivs, och översänds till kommunens informationssäkerhetsansvarig. Hantering av säkerhetsincidenter och förbättringar Om det finns misstanke eller det upptäcks att en användare i [kommun]s nät har använt en dator till något olagligt eller till något som bryter mot kommunens styrande dokument ska detta anmälas till användarens chef. Upptäcks fel och brister i de system som används ska detta rapporteras till systemägaren.

30 IT-FORUM 30 (35) Kontinuitets- och avbrottsplanering Kontinuitets och avbrottsplanering är [kommun]s förmåga och beredskap att hantera störningar och/eller avbrott i verksamheten. Om en allvarlig störning eller avbrott inträffar i verksamheten kommer det att ställas stora och speciella krav på den berörda personalen. För att begränsa skadeverkningarna är det avgörande att det i förväg är bestämt den organisation som ska fungera när kontinuitetsplanen ska aktiveras. Information till personal, användare, medborgare, intressenter och massmedia måste prioriteras. Kontinuitetsplaner ska upprättas och införas för att säkerställa att identifierade viktiga funktioner kan återställas inom rimlig tid och att verksamheten har manuella rutiner för tiden under återuppbyggnadsarbetet Kontinuitetsplanen ska baseras på analys av konsekvenserna av störningar, allvarliga händelser, och extraordinära händelser med hänsyn till dess inverkan på verksamheten. Verksamhetsansvarig chef ansvarar för att det finns en dokumenterad kontinuitetsplan för de system, klassificerade enligt kapitel 7.2, som har en tillgänglighetsnivå 1 eller 2. Kontinuitetsplanen ska omfatta: - Ansvar och befogenheter för kritiska rollinnehavare. - Informationskanalerna och vilka man informerar. - Reservplaner för olika händelser. - Plan för återgång till normalläge. - Plan för återtagning av förlorad information och annat av vikt. - Rutin för uppdatering av kontinuitetsplanen.

31 IT-FORUM 31 (35) Efterlevnad En väl fungerande informationshantering bidrar till att kommunen kan fullgöra sina uppgifter. Det är därför viktigt att lagar och förordningar följs. Efterlevnad av rättsliga krav Områden som är av särskild vikt att beakta efterlevnaden av är till exempel: Arkivlagen och arkivförordningen Personuppgiftslagen Offentlighets- och sekretesslagstiftning Upphovsrättslagen Bokföringslagen och -förordningen Lagen om kommunal redovisning Särskild myndighetslagstiftning Efterlevnad av säkerhetspolicy, -standarder och teknisk efterlevnad Vid oklarheter beträffande tillämpningen av detta regelverk ska varje anställd kontakta sin chef eller informationssäkerhetsansvarige. Vid överträdelse av regelverk för informationssäkerhet kommer detta att behandlas i enlighet med kommunens personalpolicy. Disciplinära åtgärder ska i tillämpliga fall vidtas. Du är som användare personligen ansvarig för dina handlingar. Alla olagliga aktiviteter med kommunens informationshantering kommer att polisanmälas och utredas. Hänsynstaganden vid revision av informationssystem Revision av användandet av informationstillgångar kan genomföras löpande inom [kommun]. Detta inkluderar [kommun]s samtliga verksamheter. All information, informationsbehandlingsresurser samt kringutrustning och konton ägs av [kommun]. Detta innebär att allt som finns på kommunens datorer, nätverk och arkiv är [kommun]s egendom. Arbetsgivaren har rätt att kontrollera vad som finns i datorn som medarbetarna använder, samt att återställa infrastruktur och data i enlighet med detta regelverk. I varje enskilt fall där någon förvaltning eller verksamhet begär att göra avsteg från detta regelverk eller de övriga dokument som beskriver regler och riktlinjer för kommunens informationstillgångar, ska detta godkännas av berörd förvaltningschef samt stadsledningskontoret. Grund för begäran kan vara: Stöd för att utveckla verksamheten genom tjänster som inte redan erbjuds inom kommunens befintliga eller planerade informationssystem.

32 IT-FORUM 32 (35) Identifierade rationaliseringsmöjligheter inom verksamheten. Ändrade lagkrav. Undantag ska dokumenteras och bör normalt vara tidsbegränsade.

33 IT-FORUM 33 (35) Ordlista BITS Basnivå för Informationssäkerhet ett koncept för informationssäkerhet utgiven av Krisberedskapsmyndigheten. Konceptet består av en bl.a. av en bok där det anges ett antal rekommenderade säkerhetsåtgärder som minst bör vidtas för att uppnå en acceptabel säkerhetsnivå för informationssäkerheten. Enligt [kommun]s regelverk för informationssäkerhet ska informationssäkerhetsarbetet bedrivas utifrån BITS. Informationssäkerhet Säkerhet för informationstillgångar avseende förmågan att upprätthålla sekretess, riktighet, tillgänglighet och spårbarhet. Begreppet innefattar både fysisk säkerhet, it-säkerhet samt administrativ säkerhet. Informationsteknik (it) Den teknik som används för att på elektronisk väg samla in, lagra, bearbeta, kommunicera samt presentera data, bild, text och ljud. Den omfattar all användning av elektronisk informationsteknik och omfattar därmed samtliga skolsystem, vård och omsorgssystem, geografiska informationssystem, administrativa stödsystem, allmänna informationssystem samt system som är eller kan kopplas upp i nätverk. Datorer med kringutrustning, nätverk, tekniska stödsystem (operativsystem, databas, säkerhet, virusskydd, med mera), telefonikommunikationslösningar omfattas också. Informationstillgångar En organisations skyddsvärda informationsrelaterade tillgångar. Exempel på informationstillgångar är: Information (databaser, filer, metodik, dokument, etc.) Program (tillämpningar, operativsystem, etc.) Tjänster (nätförbindelser, abonnemang, etc.) Fysiska tillgångar (datorer, datamedia, lokala nätverk, etc.) Incident En händelse som avviker från det normala och som innebär en störning eller överhängande risk för störning i det dagliga arbetet, potentiellt kunde händelsen orsakat allvarliga konsekvenser för verksamheten. Kontinuitetsplan Dokument som beskriver hur verksamheten ska bedrivas när identifierade, kritiska verksamhetsprocesser allvarligt påverkas under en längre, specificerad tidsperiod. Rutinbeskrivning Dokument som detaljerat redogör för hur rutiner och säkerhetslösningar ska utformas och tillämpas, för att Informationssäkerhetspolicyns krav ska efterlevas.

34 IT-FORUM 34 (35) Andra namn på en rutinbeskrivning kan vara Instruktion, Anvisning eller en Rutin Tillgång Allt som är av värde för [kommun]. Innefattar förutom informationstillgångar även immateriella värden, som till exempel goodwill.

35 IT-FORUM 35 (35) Dokumentinformation Information Område Ramverk för Informationssäkerhet Version / Status 1.0 Godkännandeprocess Roll Namn Signatur Datum Informationssäkerhetsansva rig???? Historik Version Status Datum Författare Ändringssammanfattning 1.0 Mall Björn Söderlund Nytt dokument

Riktlinjer för informationssäkerhet

Riktlinjer för informationssäkerhet Riktlinjer för informationssäkerhet 1 Inledning En informationssäkerhetspolicy beskriver den högsta ledningens vilja med informationssäkerheten. Riktlinjerna beskriver de övergripande målen i policyn och

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2009-07-15 1 (9) Informationssäkerhetspolicy Antagen av kommunfullmäktige den 2009-10-21, 110 Kommunstyrelseförvaltningen Postadress Besöksadress Telefon Telefax E-post Hemsida 462 85 Vänersborg Sundsgatan

Läs mer

Regler och instruktioner för verksamheten

Regler och instruktioner för verksamheten Informationssäkerhet Regler och instruktioner för verksamheten Dokumenttyp Regler och instruktioner Dokumentägare Kommungemensam ITsamordning Dokumentnamn Regler och instruktioner för verksamheten Dokumentansvarig

Läs mer

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy inom Stockholms läns landsting LS 1112-1733 Informationssäkerhetspolicy inom Stockholms läns landsting 2013-02-01 Beslutad av landstingsfullmäktige 2013-03-19 2 (7) Innehållsförteckning 1 Inledning...3 2 Mål... 4 3 Omfattning... 4 4

Läs mer

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) INFORMATIONSSÄKERHETSPOLICY Innehållsförteckning Sida 1.1 Informationssäkerhet 1 1.2 Skyddsområden 1 1.3 Övergripande mål 2 1.4 Årliga mål 2 1.5 Organisation

Läs mer

IT-säkerhetsinstruktion Förvaltning

IT-säkerhetsinstruktion Förvaltning IT-säkerhetsinstruktion Förvaltning 2013-09-24 1.0 IT- S Ä K E R H E T S I N S T R U K T I O N IT-säkerhetsinstruktion Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se

Läs mer

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet 2008:490 kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet Fastställt av kommunfullmäktige 2008-10-02 302 komplettering gjord

Läs mer

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet Dnr 1-516/2013 (ersätter Dnr 6255-2012-060) Gäller från och med Informationsklass: K1R2T1 Bilaga 2. Ansvarsbeskrivningar

Läs mer

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 3 RIKTLINJER FÖR ATT UPPNÅ MÅLEN... 3 3.1 ALLMÄNT... 3 3.2 LEDNING OCH ANSVAR FÖR IT-SÄKERHET... 3 3.2.1 Systemägare... 3 3.2.2

Läs mer

Informationssäkerhetspolicy för Nässjö kommun

Informationssäkerhetspolicy för Nässjö kommun Författningssamling Antagen av kommunfullmäktige: 2014-11-27 173 Informationssäkerhetspolicy för Nässjö kommun Innehåll 1 Inledning... 3 1.1 Begreppsförklaring... 3 2 Syfte... 4 3 Mål för Informationssäkerhetsarbetet...

Läs mer

Informationssäkerhet - Informationssäkerhetspolicy

Informationssäkerhet - Informationssäkerhetspolicy Informationssäkerhet - Informationssäkerhetspolicy Informationssäkerhetspolicy 2008-08-29 Innehållsförteckning 1 Inledning... 1 2 Mål för IT-sbäkerhetsarbetet... 2 2.1 Långsiktiga mål... 2 2.2 Årliga mål...

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2006-09-07 Informationssäkerhetspolicy Antagen av kommunfullmäktige 2006-09-28, 140 Innehåll 1 INLEDNING...3 2 MÅL FÖR INFORMATIONSSÄKERHETSARBETET...4 2.1 LÅNGSIKTIGA MÅL...4 2.2 ÅRLIGA MÅL...4 3 ORGANISATION,

Läs mer

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhetspolicy IT (0:0:0) Informationssäkerhetspolicy IT (0:0:0) Antagen av kommunfullmäktige 2014-02-24, KF 29 Informationssäkerhetspolicy IT (0:0:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd:

Läs mer

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och beredskap föreskriver. I dokumentet kommer fortsättningsvis

Läs mer

Informationssäkerhet Riktlinje Förvaltning

Informationssäkerhet Riktlinje Förvaltning Informationssäkerhet Riktlinje Förvaltning Fastställd av kommundirektören 2011-06-20 Innehåll 1 Informationssäkerhet 3 2 Organisation och ansvar 4 2.1 Informationssäkerhetssamordnare... 4 2.2 IT-chef...

Läs mer

Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret

Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret Antagen av Kommunfullmäktige 2009-04-23 57 1. Allmänt... 3 1.1 Inledning... 3 1.2 Begreppet informationssäkerhet

Läs mer

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Riktlinjer för säkerhetsarbetet vid Uppsala universitet Dnr UFV 2010/424 Riktlinjer för säkerhetsarbetet vid Uppsala universitet Fastställda av Universitetsdirektören 2010-03-31 Innehållsförteckning 1 Inledning 3 2 Ansvar 3 3 Underlåtelse 3 4 Definitioner 3

Läs mer

Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm

Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm Vervas allmänna råd till föreskrift om statliga myndigheters arbete med säkert

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688 Revisionsrapport Malmö Högskola 205 06 Malmö Datum Dnr 2012-05-22 32-2011-0688 Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011 Riksrevisionen har som ett led

Läs mer

Policy och strategi för informationssäkerhet

Policy och strategi för informationssäkerhet Styrdokument Dokumenttyp: Policy och strategi Beslutat av: Kommunfullmäktige Fastställelsedatum: 2014-10-23, 20 Ansvarig: Kanslichefen Revideras: Vart 4:e år eller vid behov Följas upp: Vartannat år Policy

Läs mer

SOLLENTUNA FÖRFATTNINGSSAMLING

SOLLENTUNA FÖRFATTNINGSSAMLING Regler för informationssäkerhet i Sollentuna kommun Antagna av kommunstyrelsen 2014-02-19 26, dnr 2014/0041 KS.063 Innehåll 1. Inledning... 4 2 Omfattning... 4 3 Process för informationssäkerhet inom Sollentuna

Läs mer

Riktlinjer för IT-säkerhet i Halmstads kommun

Riktlinjer för IT-säkerhet i Halmstads kommun Riktlinjer för IT-säkerhet i Halmstads kommun VER 1.0 Innehåll Inledning...3 Definition av IT-säkerhet...3 Omfattning...3 Vikten av IT-säkerhet...3 Mål för IT-säkerhetsarbetet...4 Ledning och ansvar...4

Läs mer

2012-12-12 Dnr 074-11-19

2012-12-12 Dnr 074-11-19 HÖGSKOLAN I BORÅS STYRDOKUMENT 2012-12-12 Dnr 074-11-19 Regler för informationssäkerhet Regler för informationssäkerhet är beslutade av enhetschefen för i enlighet med Högskolans säkerhetspolicy (dnr 288-11-101)

Läs mer

IT-säkerhetspolicy. Fastställd av KF 2005-02-16

IT-säkerhetspolicy. Fastställd av KF 2005-02-16 IT-säkerhetspolicy Fastställd av KF 2005-02-16 IT-säkerhetspolicy Sidan 2 (9) Revisionsinformation Datum Åtgärd Ansvarig Version 2004-11-19 3.4 Ändrat första meningen PGR 2.0 förvaltningen -> verksamheten

Läs mer

IT-säkerhetsinstruktion

IT-säkerhetsinstruktion IT-säkerhetsinstruktion Innehållsförteckning 1. ANVÄNDARENS ANSVAR...2 2. ÅTKOMST TILL INFORMATION...2 2.1 BEHÖRIGHET...2 2.2 INLOGGNING...2 2.3 VAL AV LÖSENORD...2 2.4 BYTE AV LÖSENORD...2 3. DIN ARBETSPLATS...3

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om it-system, informationssäkerhet och insättningssystem;

Läs mer

Gemensamma anvisningar för informationsklassning. Motala kommun

Gemensamma anvisningar för informationsklassning. Motala kommun Gemensamma anvisningar för informationsklassning Motala kommun Beslutsinstans: Kommunfullmäktige Diarienummer: 11/KS 0071 Datum: 2011-08-22 Paragraf: 107 Reviderande instans: Kommunstyrelsen Diarienummer:

Läs mer

Informationssäkerhetsanvisning

Informationssäkerhetsanvisning HÖGSKOLAN I BORÅS STYRDOKUMENT 2012-12-12 Dnr 074-11-19 Informationssäkerhetsanvisningar Användare Beslutad av enhetschef för Gemensamma förvaltningen i enlighet med rektors beslut fattat den 16 februari

Läs mer

Bilaga 3c Informationssäkerhet

Bilaga 3c Informationssäkerhet SID 1 (9) Bilaga 3c Informationssäkerhet Förfrågningsunderlag Upphandling av ett helhetsåtagande avseende IT-stöd för pedagogiskt material inom Skolplattform Stockholm Box 22049, 104 22 Stockholm. Besöksadress

Läs mer

Handbok Informationsklassificering

Handbok Informationsklassificering Stockholms stad Handbok Informationsklassificering Stockholm 2008-03-18 1. Informationssäkerhet Kraven på säkerhet i en organisation med IT-stöd skall ställas i relation till de krav som ställs på organisationens

Läs mer

Informationssäkerhet, Linköpings kommun

Informationssäkerhet, Linköpings kommun 1 (6) E-Lin projektet 2013-10-28 Informationssäkerhet, Linköpings kommun Delrapport 2 Innehåll Dokumenthistorik... 3 1. Syfte... 3 2. Bakgrund... 3 2.1 Målgrupp... 3 3. Frågeställningar... 3 4. Undersökning...

Läs mer

Policy Document Number ESS-0002649 Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet

Policy Document Number ESS-0002649 Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet Revision 1 (3) State Released Plan för IT Säkerhet DOCUMENT REVISION HISTORY Revision Reason for revision Date 1 New Document 2013-02-26 List of Authors List of Reviewers List of Approvers Skölde, Daniel/Ulrika

Läs mer

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6 Bromölla kommun KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6 Antagen/Senast ändrad Gäller från Dnr Kf 2013-09-30 151 2013-10-01 2013/320 RIKTLINJER FÖR INFORMATIONSSÄKERHET Riktlinjer för informationssäkerhet

Läs mer

Allmänna handlingar. hos kommunala och landstingskommunala företag

Allmänna handlingar. hos kommunala och landstingskommunala företag Allmänna handlingar hos kommunala och landstingskommunala företag Allmänna handlingar hos kommunala och landstingskommunala företag Offentlighetsprincipen har mycket gamla anor i Sverige. Den infördes

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om informationssäkerhet, it-verksamhet och insättningssystem;

Läs mer

Myndigheten för samhällsskydd och beredskaps författningssamling

Myndigheten för samhällsskydd och beredskaps författningssamling Myndigheten för samhällsskydd och beredskaps författningssamling Utgivare: Key Hedström, Myndigheten för samhällsskydd och beredskap ISSN 2000-1886 MSBFS Utkom från trycket den 8 januari 2010 Myndigheten

Läs mer

Ansvar och roller för ägande av information samt ägande och förvaltande av informationssystem i Umeå kommun

Ansvar och roller för ägande av information samt ägande och förvaltande av informationssystem i Umeå kommun roller för ägande av information samt ägande och förvaltande av informationssystem i Umeå kommun Dokumenttyp Regler Dokumentägare Kommungemensam IT-samordning Dokumentnamn roller för ägande av information

Läs mer

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet RIKTLINJER Riktlinjer för styrning av IT-verksamhet RIKTLINJER 2 Riktlinjer för styrning av IT-verksamhet. 1 Inledning Håbo kommuns övergripande styrdokument inom IT är IT-policy för Håbo kommun. Riktlinjer

Läs mer

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner Riktlinjer avseende Informationssäkerheten Sida 1 Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner Informationssäkerhet är en del i kommunernas lednings- och kvalitetsprocess

Läs mer

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun 2013-2016

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun 2013-2016 Informationssäkerhetspolicy Informationssäkerhetspolicy för Vingåkers kommun 013-016 Innehållsförteckning 1 Mål... Syfte... 3 Ansvarsfördelning... 4 Definition... 5 Genomförande och processägare... 3 Dokumentnamn

Läs mer

Svensk Standard SS ISO/IEC 17799 SS 62 77 99-2

Svensk Standard SS ISO/IEC 17799 SS 62 77 99-2 Svensk Standard SS ISO/IEC 17799 SS 62 77 99-2 Ledningssystem för informationssäkerhet () Informationssäkerhet Informationssäkerhet Administrativ säkerhet IT-säkerhet ADB-säkerhet Kommunikationssäkerhet

Läs mer

Organisation för samordning av informationssäkerhet IT (0:1:0)

Organisation för samordning av informationssäkerhet IT (0:1:0) Organisation för samordning av informationssäkerhet IT (0:1:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd: Direktionen 20130926 Dnr: 0036/13 Kommunalförbundet ITSAM,

Läs mer

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Beslutsdatum 2007-06-11 (rev. 2014-11- 24 )

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Beslutsdatum 2007-06-11 (rev. 2014-11- 24 ) Fastighetsavdelningen STYRDOKUMENT Leif Bouvin 14-11-24 dnr V 2014/853 031-789 58 98 Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet Publiceringsdatum November 2014 Publicerad Beslutsfattare

Läs mer

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet Innehållsförteckning 1. Generell informationssäkerhet... 4 1.1. Styrande dokumentation... 4 1.2. Organisation... 4 Incidenthantering...

Läs mer

Plan för informationssäkerhet vid Högskolan Dalarna 2015

Plan för informationssäkerhet vid Högskolan Dalarna 2015 Plan för informationssäkerhet vid Högskolan Dalarna 2015 Beslut: 2015-05-04 Reviderad: Dnr: DUC 2015/769/10 Ersätter: Relaterade dokument: Policy för informationssäkerhet Ansvarig: Förvaltningschef Innehållsförteckning

Läs mer

IT-säkerhetspolicy Instruktion 2012-09-17 Kommunfullmäktige. Senast reviderad 2012-08-27. Beskriver IT-säkerhetarbetet.

IT-säkerhetspolicy Instruktion 2012-09-17 Kommunfullmäktige. Senast reviderad 2012-08-27. Beskriver IT-säkerhetarbetet. 2012-08-27 Sidan 1 av 6 IT-säkerhetspolicy Dokumentnamn Dokumenttyp Fastställd/upprättad Diarie nummer Fastställd av IT-säkerhetspolicy Instruktion 2012-09-17 Kommunfullmäktige Dokumentansvarig/ processägare

Läs mer

Kravställning på e-arkiv från informationssäkerhetsperspektiv

Kravställning på e-arkiv från informationssäkerhetsperspektiv Kravställning på e-arkiv från informationssäkerhetsperspektiv Författare: Delprojektgruppen informationssäkerhet Årtal: 2014 Författare: Delprojektgruppen informationssäkerhet Sammanfattning Inom ramen

Läs mer

ATT FASTSTÄLLA ARKIVANSVAR & ARKIVORGANISATION

ATT FASTSTÄLLA ARKIVANSVAR & ARKIVORGANISATION ATT FASTSTÄLLA ARKIVANSVAR & ARKIVORGANISATION en handledning för myndigheter i Göteborgs Stad & Västra Götalandsregionen Version 2, 2013-02-26 INNEHÅLL INLEDNING... 3 1 MYNDIGHETENS ARKIVORGANISATION...

Läs mer

Riktlinjer. Informationssäkerhet och systemförvaltning

Riktlinjer. Informationssäkerhet och systemförvaltning Riktlinjer Informationssäkerhet och systemförvaltning LULEÅ KOMMUN RIKTLINJER Dnr 1 (5) 2012-11-29 Riktlinjer för roller och ansvar inom informationssäkerhet och systemförvaltning En god systemförvaltning

Läs mer

Malmö stads riktlinjer för sociala medier

Malmö stads riktlinjer för sociala medier Malmö stads riktlinjer för sociala medier Bakgrund Sociala medier är i första hand en plats för dialog och inte en traditionell reklamkanal. Det handlar först och främst om kommunikation, konversation

Läs mer

Informationssäkerhetsinstruktion: Användare

Informationssäkerhetsinstruktion: Användare EXEMPEL 1 Informationssäkerhetsinstruktion: Användare (Infosäk A) Innehållsförteckning 1. INSTRUKTIONENS ROLL I INFORMATIONSSÄKERHETSARBETET...2 2. ANVÄNDARENS ANSVAR...2 3. ÅTKOMST TILL INFORMATION...2

Läs mer

Policy för informationssäkerhet

Policy för informationssäkerhet .. - T C Q o,.. e Policy för informationssäkerhet Landstingsdirektörens stab augusti 2015 CJiflt LANDSTINGET BLEKINGE Innehållsförteckning Inledning och bakgrund... 3 Syfte... 3 Mål... 3 Genomförande...

Läs mer

Informationssäkerhetsinstruktion Användare: Övriga (3:0:2)

Informationssäkerhetsinstruktion Användare: Övriga (3:0:2) Informationssäkerhetsinstruktion Användare: Övriga (3:0:2) Kommunalförbundet ITSAM Revision: 20130317 Dnr: 2013/00036 Kommunalförbundet ITSAM, Storgatan 36A, 590 36 Kisa Tel: 0494 197 00, Fax: 0494 197

Läs mer

Juridik och informationssäkerhet

Juridik och informationssäkerhet 2 KAPITEL Juridik och informationssäkerhet Sammanfattning Information som hanteras i socialtjänstens hemtjänstverksamhet (hemtjänst) och i kommunal hälso- och sjukvård (hemsjukvård) innehåller känsliga

Läs mer

Informations- och IT-säkerhet i kommunal verksamhet

Informations- och IT-säkerhet i kommunal verksamhet Informations- och IT-säkerhet i kommunal verksamhet En kommuns roll i trygghets och säkerhetsarbetet och var informations- och IT-säkerheten kommer in i detta Vad, vem och hur man kan arbeta med informations-

Läs mer

Säkerhetspolicy för Göteborgs Stad

Säkerhetspolicy för Göteborgs Stad (Styrelsemöte i Förvaltnings AB Framtiden 2014-12-09) Säkerhet & lokaler Gemensamt för staden Säkerhetspolicy för Göteborgs Stad - Policy/riktlinjer/regler Handläggare: Peter Lönn Fastställare: Kommunfullmäktige

Läs mer

Rikspolisstyrelsens författningssamling

Rikspolisstyrelsens författningssamling Rikspolisstyrelsens författningssamling ISSN 0347 545X Utgivare: chefsjuristen Lars Sjöström Rikspolisstyrelsens föreskrifter och allmänna råd om anskaffning, användning, utveckling och förändring av Polisens

Läs mer

Strategi Program Plan Policy» Riktlinjer Regler

Strategi Program Plan Policy» Riktlinjer Regler Strategi Program Plan Policy» Riktlinjer Regler Borås Stads Riktlinjer för IT Riktlinjer för IT 1 Fastställt av: Kommunstyrelsen Datum: 20 juni 2011 För revidering ansvarar: Kommunstyrelsen För ev uppföljning

Läs mer

Sammanfattning av riktlinjer

Sammanfattning av riktlinjer Sammanfattning av riktlinjer INFORMATIONSSÄKERHET FÖR ANVÄNDARE inom Luleå kommunkoncern 2015-03-04 Informationssäkerhet för användare beskriver hur Luleå kommun hanterar den information som används i

Läs mer

Regler för användning av Riksbankens ITresurser

Regler för användning av Riksbankens ITresurser Regler för användning av Riksbankens ITresurser MAJ 2009 1 Inledning I det följande ges regler för användning av Riksbankens IT-resurser, vilka gäller för alla medarbetare i Riksbanken samt konsulter och

Läs mer

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ 2006-01-31. Agenda

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ 2006-01-31. Agenda IT governance i praktiken: Styrning och kontroll över ITriskerna med ISO2700X Fredrik Björck Transcendent Group för ADBJ 2006-01-31 Agenda IT governance definierat IT governance i praktiken och infosäk

Läs mer

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad: 2013-10-23

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad: 2013-10-23 Informationssäkerhet vid Karolinska Universitetssjukhuset Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad: 2013-10-23 Förlorar vi informationen, om den är felaktig eller manipulerad

Läs mer

SOLLENTUNA FÖRFATTNINGSSAMLING 1

SOLLENTUNA FÖRFATTNINGSSAMLING 1 FÖRFATTNINGSSAMLING 1 IT-STRATEGI FÖR SOLLENTUNA KOMMUN Antagen av fullmäktige 2003-09-15, 109 Inledning Informationstekniken har utvecklats till en världsomspännande teknik som omfattar datorer, telefoni,

Läs mer

Informationssäkerhetsinstruktion Användare: Elever (3:0:1)

Informationssäkerhetsinstruktion Användare: Elever (3:0:1) Informationssäkerhetsinstruktion Användare: Elever (3:0:1) Kommunalförbundet ITSAM Revision: 20130307 Dnr: 2013/00036 Kommunalförbundet ITSAM, Storgatan 36A, 590 36 Kisa Tel: 0494 197 00, Fax: 0494 197

Läs mer

Riktlinjer för digital arkivering i Linköpings kommun

Riktlinjer för digital arkivering i Linköpings kommun 1 (8) E-Lin projektet 2014-06-05 Riktlinjer Riktlinjer för digital arkivering i Linköpings kommun 2 Innehåll Inledning och bakgrund... 3 Ansvar... 4 Systemupphandling... 4 Gallring... 5 Informationssäkerhet...

Läs mer

IT-säkerhetspolicy för Landstinget Sörmland

IT-säkerhetspolicy för Landstinget Sörmland Bilaga 1, LS 115 /02 1.0 1(5) IT-säkerhetspolicy för Landstinget Sörmland Inledning Bakgrund och motiv Mål Medel Omfattning Organisation och ansvar Regelverk 1.0 2(5) Inledning Policyn är landstingsstyrelsens

Läs mer

HSA-policy. Version 3.4 2011-03-22

HSA-policy. Version 3.4 2011-03-22 HSA-policy Version 3.4 2011-03-22 Innehållsförteckning Revisionshistorik... 3 Kontaktuppgifter... 3 Övergripande dokumentstruktur för HSA... 4 1. Introduktion... 6 1.1. Översikt... 6 1.2. Terminologi...

Läs mer

Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK)

Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK) Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK) 1. Allmänt Dessa Allmänna villkor reglerar Socialnämndens anslutning till Sammansatt Bastjänst

Läs mer

Granskning av IT-säkerhet

Granskning av IT-säkerhet TJÄNSTESKRIVELSE 1 (1) Sociala nämndernas förvaltning 2015-02-11 Dnr: 2014/957-IFN-012 Marie Carlsson - bi901 E-post: marie.carlsson@vasteras.se Kopia till Individ- och familjenämnden Granskning av IT-säkerhet

Läs mer

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUN

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUN GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUN 06-07 GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUNS NÄTVERK 1 INLEDNING...1 2 BAKGRUND...1 3 VERKSAMHETSBESKRIVNING...2 3.1 ANVÄNDNINGSSÄTT - FUNKTIONSBESKRIVNING...2

Läs mer

I Central förvaltning Administrativ enhet

I Central förvaltning Administrativ enhet ., Landstinget II DALARNA I Central förvaltning Administrativ enhet ~llaga LS 117,4 BESLUTSUNDERLAG Landstingsstyrelsen Datum 2013-11-04 Sida 1 (3) Dnr LD13/02242 Uppdnr 652 2013-10-21 Landstingsstyrelsens

Läs mer

Kanslichef - Tillsvidare

Kanslichef - Tillsvidare Riktlinjer för personuppgifter Dokumentnamn Dokumenttyp Fastställd/upprättad Beslutsinstans Riktlinjer för personuppgifter Riktlinje 2008-05-26 Kommunfullmäktige Dokumentansvarig Diarienummer Senast reviderad

Läs mer

Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet

Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet Gäller från och med 2009-01-01 Dnr 5581/2008-030 Beslut 2008-12-10 Dnr:5581/2008-030 Universitetsdirektören Regler och riktlinjer för IT-säkerhet

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datum Diarienr 2013-05-08 1552-2012 Socialnämnden i Norrköpings kommun Rådhuset 601 81 Norrköping Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datainspektionens

Läs mer

Informations- säkerhet

Informations- säkerhet ISec Code of Conduct Internal information Informations- säkerhet Ditt ansvar! ISec Code of Conduct Informationssäkerhet Scanias verksamhet är beroende av att information är tillgänglig och hanteras på

Läs mer

Policy för hantering av personuppgifter

Policy för hantering av personuppgifter Policy för hantering av personuppgifter Dokumenttyp: Policy Beslutad av: Kommunstyrelsen Gäller för: Varbergs kommun Dokumentnamn: Policy för hantering av personuppgifter Beslutsdatum: 2013-10-15 Dokumentansvarig

Läs mer

Regel. Användning av Riksbankens IT-resurser. Inledning. Användning av IT-resurser

Regel. Användning av Riksbankens IT-resurser. Inledning. Användning av IT-resurser Regel BESLUTSDATUM: 2014-03-24 BESLUT AV: Anders Vredin BEFATTNING: Avdelningschef ANSVARIG AVDELNING: Stabsavdelningen FÖRVALTNINGSANSVARIG: Lars Andersson HANTERINGSKLASS: Ö P P E N SVERIGES RIKSBANK

Läs mer

SÄKERHETSFÖRESKRIFTER FÖR FÖRVALTNING AV IT-SYSTEM

SÄKERHETSFÖRESKRIFTER FÖR FÖRVALTNING AV IT-SYSTEM FÖRFATTNINGSSAMLING (8.1.3) SÄKERHETSFÖRESKRIFTER Dokumenttyp Riktlinjer Ämnesområde IT Ägare/ansvarig IT-strateg Antagen av KS 2012-02-08 47 Revisions datum Förvaltning KSF, stab Dnr KS/2010:1056 Giltig

Läs mer

Välkommen till enkäten!

Välkommen till enkäten! Sida 1 av 12 Välkommen till enkäten! Enkäten går ut till samtliga statliga myndigheter, oavsett storlek. För att få ett så kvalitativt resultat av uppföljningen som möjligt är varje myndighets svar av

Läs mer

ARKIVREGLEMENTE FÖR LUNDS KOMMUN

ARKIVREGLEMENTE FÖR LUNDS KOMMUN 1(7) ARKIVREGLEMENTE FÖR LUNDS KOMMUN Antaget av kommunfullmäktige den 23 april 2015, 78 och ersätter tidigare arkivreglemente, fastställt den 29 februari 1996, 22 Förutom de i arkivlagen (SFS 1990:782)

Läs mer

Arkivreglemente. Styrdokument

Arkivreglemente. Styrdokument Arkivreglemente Styrdokument Styrdokument Dokumenttyp: Reglemente Beslutad av: Kommunfullmäktige 2012-02-29, 27 Dokumentansvarig: Kommunchefen Reviderad av: - 2 Innehållsförteckning Arkivreglemente...

Läs mer

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete 2014 En bild av myndigheternas informationssäkerhet 2014 tillämpning av MSB:s föreskrifter Enkätundersökning februari 2014 Utskick

Läs mer

Digital arkivering i Örebro kommun - riktlinjer

Digital arkivering i Örebro kommun - riktlinjer Digital arkivering i Örebro kommun - riktlinjer Antagna av kommunstyrelsen den 5 mars 2002. Dessa riktlinjer gäller alla typer av digital information, t.ex. databaser, dokument, bilder, kartor och ritningar.

Läs mer

Riksarkivets författningssamling

Riksarkivets författningssamling Riksarkivets författningssamling ISSN 0283-2941 Riksarkivets föreskrifter och allmänna råd om elektroniska handlingar (upptagningar för automatiserad behandling); RA-FS 2009:1 Utkom från trycket den 1

Läs mer

Regler och riktlinjer för IT-säkerhet i Ronneby kommun

Regler och riktlinjer för IT-säkerhet i Ronneby kommun FÖRFATTNINGSSAMLING Utgivare: Kommunledningskontoret Gäller från: 2004-04-01 Antagen: KF 47/2004 i Ronneby kommun 1. Allmänt 1.1. Begrepp används i betydelsen att i första hand omfatta skydd av information

Läs mer

Offentlighetsprincipen och allmänna handlingar

Offentlighetsprincipen och allmänna handlingar Offentlighetsprincipen och allmänna handlingar 2010 07 01 Producerat av Avdelningen för juridik, Region Skåne Form: Christian Andersson, Region Skåne Tryck: Servicelaget i Kristianstad 2010 Offentlighetsprincipen

Läs mer

Förutsättningar för gallring efter skanning 1 (5) Tillsynsavdelningen Datum Dnr RA 01-2011/1121 Håkan Lövblad 2011-10-26

Förutsättningar för gallring efter skanning 1 (5) Tillsynsavdelningen Datum Dnr RA 01-2011/1121 Håkan Lövblad 2011-10-26 Tillsynsavdelningen Datum Dnr RA 01-2011/1121 Håkan Lövblad 2011-10-26 1 (5) Förutsättningar för gallring efter skanning För att myndighet ska få gallra pappershandlingar efter skanning fordras det myndighetsspecifika

Läs mer

Informationssäkerhet Policy och riktlinjer för Stockholms läns sjukvårdsområde

Informationssäkerhet Policy och riktlinjer för Stockholms läns sjukvårdsområde 1 (12) Informationssäkerhet Policy och riktlinjer för Stockholms läns sjukvårdsområde Dokumentnamn Regnr Gäller fr.o.m Informationssäkerhet - riktlinjer för 2013-01-22 SLSO Handläggare Godkänd/signatur

Läs mer

RIKTLINJER FÖR IT-SÄKERHET

RIKTLINJER FÖR IT-SÄKERHET FÖRFATTNINGSSAMLING (8.1.3) RIKTLINJER FÖR IT-SÄKERHET Dokumenttyp Riktlinjer Ämnesområde IT Ägare/ansvarig IT-strateg Antagen av KS 2012-02-08 47 Revisions datum Förvaltning KSF, stab Dnr KS/2010:1056

Läs mer

Elektronisk informationssäkerhet. Riktlinjer för Användare - anställda och förtroendevalda. Eslövs kommun

Elektronisk informationssäkerhet. Riktlinjer för Användare - anställda och förtroendevalda. Eslövs kommun Elektronisk informationssäkerhet Riktlinjer för Användare - anställda och förtroendevalda Eslövs kommun Dokumentet Riktlinjer för användare anställda och förtroendevalda är antaget av kommunstyrelsens

Läs mer

Informationssäkerhetsinstruktion Mora, Orsa och Älvdalens kommuner

Informationssäkerhetsinstruktion Mora, Orsa och Älvdalens kommuner Informationssäkerhetsinstruktion Mora, Orsa och Älvdalens kommuner - Användare Informationssäkerhetsinstruktion gemensam Mora, Orsa och Älvdalens kommuner Innehållsförteckning 1 Inledning... 1 2 Klassning

Läs mer

IT-Policy. Tritech Technology AB

IT-Policy. Tritech Technology AB IT-Policy Tritech Technology AB 1 av 6 Innehåll 1 Dokumentinformation...3 1.1 Syfte och målgrupp 3 1.2 Ansvar 3 1.3 Nyttjande 3 1.4 Distribution 3 1.5 Versionshistorik 3 1.6 Godkännande 3 2 IT-Policy...4

Läs mer

checklista informationssäkerhet vid hantering av it-system

checklista informationssäkerhet vid hantering av it-system 55 Bilaga 9 checklista informationssäkerhet vid hantering av it-system Säkerhet för den private hem-pc-användaren och det mindre energiföretaget Observera att bristande säkerhet i PC:n inte bara drabbar

Läs mer

IT-säkerhetspolicy. Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se Webbplats: www.finspang.

IT-säkerhetspolicy. Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se Webbplats: www.finspang. IT-säkerhetspolicy IT-säkerhetspolicy Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se Webbplats: www.finspang.se Innehåll Sammanfattning 1 IT-säkerhetspolicy

Läs mer

IT-säkerhetspolicy. Antagen av kommunfullmäktige 2004-06-21

IT-säkerhetspolicy. Antagen av kommunfullmäktige 2004-06-21 IT-säkerhetspolicy Antagen av kommunfullmäktige 2004-06-21 1 Det moderna samhället är starkt beroende av att elförsörjning, telekommunikationer och IT-system fungerar. Om dessa påverkas kan svåra störningar

Läs mer

Grästorps kommun Offentlighet och arkivering. Granskningsrapport. KPMG 2002-11-06 Antal sidor: 6

Grästorps kommun Offentlighet och arkivering. Granskningsrapport. KPMG 2002-11-06 Antal sidor: 6 ering KPMG Antal sidor: 6 Innehåll 1. Inledning 1 1.1 Revisionsmål 1 2. Genomförande 1 3. Resultat 2 3.1 Kommunstyrelsen som arkivmyndighet 2 3.1.1 Kommunens arkivstruktur 2 3.1.2 Arkivrutiner 2 3.1.3

Läs mer

Riktlinjer och regler för informationssäkerhet vid Karolinska Institutet (utan bilagor)

Riktlinjer och regler för informationssäkerhet vid Karolinska Institutet (utan bilagor) Riktlinjer och regler för informationssäkerhet vid Karolinska Institutet (utan bilagor) Dnr 1-516/2013 (ersätter Dnr 6255-2012-060) Version 2.0 Gäller från och med Revisionshistorik Versionsnummer Datum

Läs mer