Riktlinjer för informationssäkerhet i Göteborgs Stad

Transkript

1 Handling 2008 nr 124 Riktlinjer för informationssäkerhet i Göteborgs Stad Till Göteborgs kommunfullmäktige Kommunstyrelsens förslag Kommunstyrelsen tillstyrker stadskansliets förslag i tjänsteutlåtande den 4 september 2008 och föreslår att kommunfullmäktige beslutar: 1. Förslag till Riktlinjer för informationssäkerhet i Göteborg Stad godkänns. 2. Styrdokument från 1995 Policy och riktlinjer för ADB-säkerhet i Göteborgs Stad upphör att gälla. Göteborg den 24 september 2008 Göteborgs kommunstyrelse Jan Hallberg Benny Stålesjö 1(1)

2 Tjänsteutlåtande Utfärdat Diarienummer 0347/08 Repronummer 202/08 Organisation och IT-utveckling IT-strategiska gruppen Jan Svensson Telefon E-post: Riktlinjer för informationssäkerhet i Göteborgs Stad Förslag till beslut I kommunstyrelsen och kommunfullmäktige: 1. Förslag Riktlinjer för informationssäkerhet i Göteborgs Stad godkänns 2. Styrdokument från 1995 Policy och riktlinjer för ADB-säkerhet i Göteborgs Stad upphör att gälla Sammanfattning Stadskansliet har tillsammans med representanter för förvaltningar och bolag i Göteborgs stad utarbetat ett förslag till nya stadsövergripande riktlinjer för informationssäkerhet. De nya riktlinjerna ska ersätta det inaktuella styrdokumentet Policy och riktlinjer för ADB-säkerhet i Göteborgs stad från Informationssäkerhetsområdet är en delmängd av säkerhetsområdet och föreslagna riktlinjer kompletterar säkerhetspolicyn med fokus på informationssäkerhetsområdet. De föreslagna riktlinjerna avses gälla såväl förvaltningar som bolag och andra organisationer där nu gällande säkerhetspolicy för Göteborgs Stad är giltig. Förslaget till nya riktlinjer har sänts på remiss till förvaltningar, bolag och de fackliga organisationerna. Förslaget får brett stöd från förvaltningar och bolag. De påpekanden och synpunkter som inkommit på enskildheter i förslaget rör framförallt en önskan om mer detaljerade krav. Detaljeringen bör dock utformas på nästa styrdokumentsnivå (regler) och/eller i lokala verksamhetsspecifika styrdokument enligt beslutad struktur för stadsövergripande styrdokument ( Riktlinjer för Göteborgs Stads styrdokument, diarienummer 0408/07). Ekonomiska konsekvenser Arbetet med att införliva riktlinjerna ska ske inom det ordinarie utvecklings- och förändringsarbetet inom respektive bolag och förvaltning. De åtgärder som anges i riktlinjerna kan sägas vara grundläggande och allmänt vedertagna som de flesta verksamheter rimligen redan borde tillämpa. En bedömning av kostnaden för en verksamhets informationssäkerhetsarbete bör även omfatta kostnaden för den skada som verksamheten eller annan kan drabbas av vid en eventuell incident. Beslut om införande av åtgärder baseras på en riskbedömning där konsekvenserna av en riskhändelse lyfts fram. Det är således inte fråga om en kostnadsökning, utan om ett medvetet val av kostnadsslag dvs åtgärdskostnad istället för skadekostnad. 1(4)

3 Bakgrund I stadens författningssamling finns det idag ett stadsövergripande styrdokument kallat Policy och riktlinjer för ADB-säkerhet i Göteborgs stad från Önskemål och behov av att ersätta nuvarande styrdokument har framställts från flertalet verksamheter i staden. Behov av revidering framkom även vid inventeringen av stadens nuvarande styrdokument som genomfördes under Anledning till att nuvarande styrdokument behöver ersättas är bl a att det ej är heltäckande för området, ej heller kopplat till stadens säkerhetspolicy samt ej i linje med den utveckling och standardisering som skett inom området under senare tid. Sammantaget medför detta att styrningen av och stödet till stadens verksamheter inom informationssäkerhetsområdet ej är överensstämmande med det behov som föreligger. Ärende Motiv för stadsövergripande riktlinjer för informationssäkerhet Information är en av stadens viktigaste tillgångar och utgör en förutsättning för att kunna bedriva verksamheten. Stadens informationstillgångar måste därför behandlas och skyddas på ett tillfredsställande sätt. Informationssäkerhet handlar om verksamhetens kvalitet. Att förbättra informationssäkerheten innebär inte enbart att tillmötesgå interna och externa krav, utan att förbättra verksamheten i sig. Att ha en god informationssäkerhet är en kvalitetsaspekt, ett sätt att uppnå god intern kontroll, ordning och reda. En god informationssäkerhet utgör också en förutsättning för en rad olika IT-baserade funktioner och tjänster som i sig kan vara kostnadsbesparande eller effektiviserande för verksamheten. Ett stadsövergripande styrdokument för informationssäkerhetsområdet skapar en homogen, grundläggande utgångspunkt samt ger likvärdiga förutsättningar för ett strukturerat och systematiserat informationssäkerhetsarbete i staden. Ett gemensamt styrdokument skapar även samsyn som underlättar säkerställandet av informationsutbyte och integration av informationssystem i staden. Genom ett gemensamt synsätt och förhållningssätt till informationssäkerhetsområdet så underlättas även möjligheten att skapa förtroende hos stadens intressenter såsom medborgare, företag, myndigheter, medarbetare etc. Utgångspunkter för utarbetandet av riktlinjerna Utgångspunkten för säkerhetsarbetet i Göteborgs Stad är den gemensamma säkerhetspolicyn där grunder, mål, omfattning, ansvar, metoder och uppföljning beskrivs. Informationssäkerhetsområdet är en delmängd av säkerhetsområdet och föreslagna riktlinjer kompletterar säkerhetspolicyn med fokus på informationssäkerhetsområdet. De föreslagna riktlinjerna avses gälla såväl förvaltningar som bolag och andra organisationer där nu gällande säkerhetspolicy för Göteborgs Stad är giltig dvs förvaltningar och bolag där Göteborgs stad har ett avgörande ägarinflytande. Arbetsgång vid utarbetandet av riktlinjerna Presentation av upplägg, syfte och mål presenterades på ett gemensamt förvaltningsoch bolagschefsmöte i december Samma information presenterades därefter i CSG i januari En inbjudan om deltagande i utarbetandet gick därefter ut till samtliga bolag och förvaltningar. 34 stycken anmälde sig till arbetsgruppen som startades upp i februari. Representationen i arbetsgruppen blev jämnt fördelad mellan bolag (13 st.), stadsdelsförvaltningar (11 st.) och fackförvaltningar (10 st.). Göteborgs Stad Stadskansliet, tjänsteutlåtande 2(4)

4 Det utarbetade förslaget gick ut som remiss till samtliga bolag och förvaltningar under tiden enheter svarade på remissen. Remissen medförde ett antal mindre justeringar av förslaget. Samverkan kring det färdigställda förslaget har genomförts i CSG den 3 september. Riktlinjernas koppling till stadens säkerhetspolicy De föreslagna riktlinjerna kompletterar säkerhetspolicyn med fokus på informationssäkerhetsområdet. Denna samordning av stadens säkerhetspolicy och föreslagna riktlinjer för informationssäkerhet ligger i linje med hur stadens styrdokument ska vara strukturerade och medför därmed att inte samma fråga regleras i olika dokument samt klarlägger dokumenthierarkin. Vid inventeringen av stadens nuvarande styrdokument som genomfördes under 2007 konstaterades det att säkerhetspolicyn ej är aktuell för revidering. Riktlinjernas koppling till svensk och internationell standard En av ansatserna vid utarbetandet av riktlinjerna har varit att ligga i linje med de åtgärdsmål och säkerhetsåtgärder som definieras i den etablerade svenska och internationella standarden inom området SS-ISO/IEC Denna standard har blivit den vedertagna internationella standard som normalt nyttjas vid skapande av regelverk för informationssäkerhet. Några exempel på organisationer och verksamheter med viss anknytning till staden som har standarden (eller dess tidigare version) som utgångspunkt för informationssäkerheten Krisberedskapsmyndighetens rekommendation ( Basnivå för informationssäkerhet ) som definierar en lägsta nivå för informationssäkerheten som inte bör underskridas för såväl privat som offentlig verksamhet är avstämd mot den tidigare versionen av standarden och kommer framgent att följa SS-ISO/IEC Statskontorets mallregelverk för informationssäkerhet ( OffLIS ) bygger på den tidigare versionen av standarden Vervas (Verket för förvaltningsutveckling) föreskrift om statliga myndigheters arbete med informationssäkerhet kravställer att SS-ISO/IEC ska följas Stockholms stads policy och riktlinjer för informationssäkerhet baseras på den tidigare versionen av standarden Genom att knyta an stadens riktlinjer till en vedertagen standard skapas förutsättningar för trovärdighet och tillit i förhållande till vår omvärld. Det ger även stöd för certifiering för de verksamheter som så önskar. Synpunkter från verksamheten Med utgångspunkt från inkomna remissvar (36 st.) kan man konstatera att en stor majoritet är nöjd med utformningen av riktlinjerna. Vissa enheter har kommit med påpekanden och synpunkter på enskildheter i förslaget, framförallt med önskemål om mer detaljerade krav. Flera enheter lyfter fram det positiva med att riktlinjerna är kortfattade, lättöverskådliga och tydliga. Någon enstaka anser att dokumentet är svårläst. Övriga synpunkter som framförts är huvudsakligen önskemål om vissa förtydliganden. Nedan ett diagram som beskriver den sammanfattande helhetsbedömningen av riktlinjernas utformning som gjorts av enheterna i remissvaren. En sammanställning över inkomna remissvar med stadskansliets kommentarer samt tydliggörande av införda ändringar finns i bilaga 2. Göteborgs Stad Stadskansliet, tjänsteutlåtande 3(4)

5 Bild: Diagram över enheternas helhetsbedömning Stadskansliets synpunkter Det sätt, på vilket förslaget tagits fram, innebär att det måste anses vara väl förankrat bland stadens verksamheter och i den krets av medarbetare som äger sakkunskap inom det aktuella området. Remissförfarandet ger ytterligare stöd för detta påstående i och med att en stor majoritet är nöjd med utformningen. De påpekanden och synpunkter som inkommit gäller framförallt önskemål om mer detaljerade krav. En av utgångspunkterna för utformandet har varit att följa strukturen för stadsövergripande styrdokument och därmed undvika detaljstyrning. Detaljering ska utformas på nästa styrdokumentsnivå (regler) och/eller i lokala verksamhetsspecifika styrdokument. Övriga synpunkter som framförts är huvudsakligen önskemål om vissa förtydliganden som också ändrats i det slutgiltiga förslaget där så varit möjligt. En sammanställning över inkomna remissvar med stadskansliets kommentarer till dessa samt tydliggörande av införda ändringar finns i bilaga 2. Stadskansliets förslag Stadskansliet föreslår att kommunstyrelsen och kommunfullmäktige beslutar i enlighet med Stadskansliets förslag till beslut. Bilaga 1 Riktlinjer för informationssäkerhet i Göteborgs Stad Bilaga 2 Sammanställning över inkomna remissvar Göteborgs Stad Stadskansliet, tjänsteutlåtande 4(4)

6 Bilaga 1 RIKTLINJER FÖR INFORMATIONSSÄKERHET I GÖTEBORGS STAD 1 INLEDNING ALLMÄNT OM INFORMATIONSSÄKERHET MÅL TILLÄMPNING INFORMATIONSKLASSNING ANSVAR FÖR INFÖRANDE KRAV - GRUNDSÄKERHETSNIVÅ HANTERING AV INFORMATIONSTILLGÅNGAR PERSONALRESURSER OCH SÄKERHET FYSISK OCH MILJÖRELATERAD SÄKERHET STYRNING AV KOMMUNIKATION OCH DRIFT STYRNING AV ÅTKOMST ANSKAFFNING, UTVECKLING OCH UNDERHÅLL AV INFORMATIONSSYSTEM HANTERING AV INCIDENTER KONTINUITETSPLANERING I VERKSAMHETEN UPPFÖLJNING DEFINITIONER OCH BEGREPP...7 1

7 1 Inledning Utgångspunkten för säkerhetsarbetet i Göteborgs Stad är den gemensamma Säkerhetspolicyn där Grunder, Mål, Omfattning, Ansvar, Metoder och Uppföljning beskrivs. Som ett komplement till Säkerhetspolicyn finns dessa Riktlinjer för Informationssäkerhet som fokuserar på informationssäkerhetsområdet. Andra och underliggande stadsövergripande styrdokument kan ytterligare förtydliga och komplettera regelverket. Utöver ovanstående kan det även finnas kompletterande lokala regelverk utformade inom bolag och förvaltningar (motsv.). 2 Allmänt om informationssäkerhet Information är en av stadens viktigaste tillgångar och utgör en förutsättning för att kunna bedriva verksamheten. Stadens informationstillgångar måste därför behandlas och skyddas på ett tillfredsställande sätt samtidigt som tillgången till information och öppenheten inom stadens verksamheter förblir så stor som möjligt. Med informationstillgångar avses all information och informationshanterande resurser såsom manuella och IT-baserade informationssystem. Med informationssäkerhet avses att upprätthålla: Sekretess, informationstillgångar är tillgängliga endast för behöriga Riktighet, informationstillgångar förändras eller påverkas inte oönskat eller utom kontroll Tillgänglighet, informationstillgångar kan nyttjas efter behov i förväntad utsträckning och inom önskad tid Utgångspunkt för stadens arbete med informationssäkerhet är att följa etablerade svenska och internationella standarder inom området såsom ISO/IEC Mål Det övergripande målet med dessa riktlinjer är att säkerställa stadens informationstillgångar. För stadens informationssäkerhetsarbete ska gälla att: All personal har kunskap om tillämpliga informationssäkerhetsregler samt tillräckliga kunskaper om informationssäkerhet i förhållande till sina arbetsuppgifter Informationsförsörjningen är säker, effektiv och bidrar till ökat skydd och stöd för medarbetare, samverkande partners och tredje man Krishanteringsförmågan upprätthålls Alla tillgångar både i form av information och teknisk utrustning har skydd i tillräcklig grad Informationstillgångar som är av vikt för verksamheten riskanalyseras fortlöpande Hot mot informationstillgångarna förebyggs 4 Tillämpning För informationssäkerhetsområdet tillämpas en grundsäkerhetsnivå som gäller för all informationshantering i Göteborgs Stad som blivit klassad i nivå 1 för ett eller flera av skyddsområdena sekretess, riktighet eller tillgänglighet (se avsnitt om informationsklassning nedan). Ambitionen är att grundsäkerhetsnivån ska vara väl balanserad och ge en generellt 2

8 acceptabel säkerhetsnivå. Dessa riktlinjer beskriver grundsäkerhetsnivån där de detaljerade kraven återfinns i avsnitt 7 nedan. För informationshantering som har ett utökat skyddsbehov (nivå 2) ska kompletterande åtgärder införas inom ett eller flera av de tre skyddsområdena sekretess, riktighet eller tillgänglighet. För information som klassats i nivå 0 avseende alla tre skyddsområdena finns inga stadsövergripande krav på skyddsåtgärder. 5 Informationsklassning Klassningsmodellen är framförallt framtagen som ett stöd till informationsägarna och för att skapa samsyn om nivåer eftersom ett stort informationsutbyte sker inom staden. Ett viktigt underlag för att uppnå en verksamhetsanpassad informationsklassning är resultatet från genomförda riskanalyser. Tillämpliga lagar och andra giltiga styrdokument skall alltid uppfyllas och vägas in i klassningen. Informationsklassningen skall utformas så att tillgången till information och öppenheten inom stadens verksamheter förblir så stor som möjligt för intressenter och allmänhet. Kravnivå Sekretess Riktighet Tillgänglighet Nivå 2 Klassningsaspekt Känslig information som kan medföra allvarlig skada för egen eller annan organisations verksamhet eller för enskild person om den röjs för obehörig Information som kan medföra allvarlig skada för egen eller annan organisations verksamhet eller för enskild person om den är felaktig. Information som ingår i eller stöder kontinuerlig och kritisk verksamhet där avbrott innebär att man inte kan upprätthålla nödvändig tillgänglighet och servicenivå. Avbrott kan medföra allvarlig skada för egen eller annan organisations verksamhet eller för enskild person Nivå 1 Klassningsaspekt GRUNDSÄKERHETSNIVÅ Information som kan medföra skada för egen eller annan organisations verksamhet eller för enskild person om den röjs för obehörig Information som kan medföra skada för egen eller annan organisations verksamhet eller för enskild person om den är felaktig Information som ingår i eller stöder kontinuerlig verksamhet där avbrott kan medföra skada för egen eller annan organisations verksamhet eller för enskild person Nivå 0 Klassningsaspekt Information som är öppen och avsedd för eller kan spridas till en obestämd krets mottagare utan risk för negativa konsekvenser. Spridning medför ingen skada. Information som kan förändras utan risk för negativa konsekvenser Oriktig information medför försumbar eller ingen skada Information med lågt verksamhetsberoende. Kan vara otillgänglig en längre tid utan risk för negativa konsekvenser. Brist på åtkomst medför försumbar eller ingen skada. 6 Ansvar för införande Ansvaret för säkerhet och säkerhetsarbete stipuleras i säkerhetspolicyn för Göteborgs Stad och skiljer sig inte för informationssäkerhetsområdet. 7 Krav - Grundsäkerhetsnivå 7.1 Hantering av informationstillgångar Samtliga informationssystem ska finnas förtecknade. I förteckningen beskrivs ändamål samt ansvarsfördelning såsom informationsägare, systemägare etc 3

9 Tillämpliga regler, lagar, avtalsrättsliga åtaganden etc ska klart och tydligt definieras och dokumenteras för respektive informationssystem Informationsägaren ansvarar för informationsklassningen och att erforderligt skydd införs samt att säkerheten uppfyller ställda och rättsliga krav Alla som hanterar informationstillgångar har ett ansvar att upprätthålla informationssäkerheten 7.2 Personalresurser och säkerhet Kraven som ställs på personer som ska få tillgång till information och informationssystem ska vara definierade Det ska finnas användarinstruktion för respektive informationssystem Användarinstruktionen ska utformas på ett sådant sätt att en användares behov av att sätta sig in i detaljer kring gällande lagstiftning/regler för informationssystemet minimeras 7.3 Fysisk och miljörelaterad säkerhet Tillträde till lokaler som behöver skyddas mot obehörigt tillträde ska regleras och styras utifrån de krav som ställs av vederbörandes arbetssituation För säkerställande av centrala utrymmen med IT-baserade informationssystem, såsom datorhallar, ska o det fysiska skyddet ska vara entydigt definierat och dokumenterat där dokumentationen är skyddad från åtkomst av obehöriga o vara försett med ett skalskydd som är motståndskraftigt mot forcering och som är i nivå med skyddsklass 3 enligt Svenska Stöldskyddsföreningen. o tillträde regleras restriktivt och strikt styras utifrån de krav som ställs av vederbörandes arbetssituation o det finnas dokumenterade besöksrutiner som inkluderar säkerställd besökslogg o besökare lätt kunna identifieras o besökare övervakas av behörig personal o larm med larmmottagare finnas för inbrott, brand, temperatur och fukt o systematiskt brandskyddsarbete enligt statens Räddningsverks allmänna råd bedrivas 7.4 Styrning av kommunikation och drift Det ska finnas en formellt beslutad driftdokumentation för IT-baserade informationssystem som minst omfattar återstarts- och återställningsrutiner, incidenthantering, ändringshantering samt hantering av logginformation. Ansvar gällande drift inkl systemoch säkerhetsadministration ska också vara tydliggjort Loggning och skapande av spårbarhet för viktiga och säkerhetskritiska händelser ska ske. Loggning och loggarna ska skyddas för obehöriga samt vid behov analyseras och kunna nyttjas vid incidentutredningar Det ska för IT-baserade informationssystem finnas upptäckts- och skyddsåtgärder mot oönskad programkod och obehörigt nyttjande 4

10 7.5 Styrning av åtkomst Åtkomst och behörighet till informationstillgångar ska ges restriktivt och strikt styras utifrån de krav som ställs av vederbörandes arbetssituation Ansvarsfördelning och uppdelning av arbetsuppgifter ska tillämpas så att risken för missbruk begränsas För IT-baserade informationssystem ska endast ett fåtal personer erhålla privilegierade behörighet samt åtkomst till källprogramarkiv, operativsystem, systemhjälpmedel och revisionshjälpmedel Regelverk och rutin för registrering och avregistrering av behörigheter och åtkomst samt tilldelning av lösenord för IT-baserade informationssystem ska dokumenteras och finnas formellt beslutad Autenticering och åtkomstkontroll till IT-baserade informationssystem (gäller ej för öppen information) ska baseras på minst lösenord och bygga på unika användaridentiteter som är personliga och som ej får delas med andra Det ska finnas dokumenterade regler för vad som är tillåtet för anslutningar mellan ITbaserade informationssystem 7.6 Anskaffning, utveckling och underhåll av informationssystem Säkerhetsaspekter ska beaktas vid utveckling och anskaffning av informationssystem så att tillräckligt skydd uppnås. Att säkerhetsrutiner och regelverk efterlevs och motsvarar verksamhetens krav under informationssystemets hela livscykel inklusive avveckling och destruktion ska säkerställas och följas upp regelbundet System-/programutveckling och tester av modifierade IT-baserade informationssystem ska ske åtskilt från driftmiljön Det ska finnas formellt beslutade rutiner för ändringshantering för att inte åsidosätta befintliga skyddsåtgärder samt för att skapa ändringshistorik Det ska finnas regler för hur system- och programutveckling ska genomföras samt för installation av programvaror i IT-baserade informationssystem som är i drift Upphovsrättsliga frågor ska vara reglerade i avtal All systemdokumentation ska i rimlig omfattning och grad vara fullständig och aktuell samt uppdateras vid förändringar i informationssystem. Systemdokumentationen ska minst omfatta vad informationssystemets olika delar består av, en övergripande beskrivning av de olika delarnas uppgift samt en dokumentation över de funktioner som är relevanta för säkerheten IT-baserade informationssystem ska regelbundet analyseras för att identifiera sårbarheter eller problem som eventuellt kan orsaka incidenter 7.7 Hantering av incidenter Det ska finnas en formell fastlagd rutin för hur informationssystemets användare ska agera vid incidenter Det ska finnas rutiner för rapportering, loggning, åtgärdande, informationsspridning, eskalering, uppföljning och analys av incidenter 5

11 7.8 Kontinuitetsplanering i verksamheten Det ska finnas formella beslut gällande den längsta tid som information kan vara otillgänglig eller informationssystemet bedöms kunna vara ur funktion innan verksamheten påverkas i oacceptabel omfattning. Till grund för beslut ligger resultat från genomförda riskanalyser Grundat på verksamhetskraven ska det finnas en dokumenterad och formellt beslutad kontinuitetsplan. Övervägande om det finns behov av katastrofplanering ska ske Kontinuitetsplaner som inkluderar IT-baserade informationssystem ska omfatta återstartsoch reservrutiner för driftverksamheten som vidtas inom ramen för ordinarie drift så att återstart kan ske inom fastställd tid Återstarts- och reservrutiner för IT-baserade informationssystem såsom säkerhetskopiering och återläsning ska finnas och vara dokumenterade samt verifierade och anpassade för aktuell verksamhet Kontinuitetsplanen ska hållas aktuell och helt eller delvis testas årligen samt finnas tillgänglig för berörda i händelse av avbrott 8 Uppföljning Enligt gällande säkerhetspolicy skall uppföljning av säkerhetsnivån årligen ske inom stadens förvaltningar och bolag i form av intern kontroll. Resultatet rapporteras till nämnd/styrelse. 6

12 9 Definitioner och begrepp Nedan återfinns definitioner på begrepp som tillämpas i dessa riktlinjer. Begrepp Autenticering Hot Identitet Incident Informationssystem Informationssäkerhet Informationstillgång Informationsägare Kontinuitetsplan Logg Lösenord Revisionshjälmedel Risk Riskanalys Skada Skalskydd Skydd, skyddsåtgärd Spårbarhet Systemägare Definition Verifiering av uppgiven identitet. Möjlig, oönskad händelse med negativa konsekvenser för verksamheten. Unik beteckning för en viss individ eller ett visst föremål Enligt Säkerhetspolicyn för Göteborgs Stad innebär Incident händelse som kunnat resultera i en skada för verksamheten. För att få följsamhet mot standarder inom området så täcker begreppet i detta sammanhang även händelse som gett oönskade konsekvenser för verksamheten Rutiner, metoder, procedurer etc organiserade för behandling av information, såväl manuella som helt eller delvis IT-baserade Säkerhet beträffande informationstillgångar rörande förmågan att bevara och upprätthålla sekretess, riktighet och tillgänglighet. All information och informationshanterande resurser såsom manuella och IT-baserade informationssystem Generellt den som bestämmer ändamålen med och medlen för behandling och hantering av informationen. Ansvaret för informationen och dess säkerhet följer med ansvaret för verksamheten. Beskriver hur verksamheten ska bedrivas när kritiska verksamhetsprocesser allvarligt påverkas under en längre tid. För Grundsäkerhetsnivån ska planering göras för att möta hoten inom ramen för de normala verksamhetsrutinerna. Planering för att möta katastrofsituationer dvs exceptionellt allvarliga störningar som ej kan hanteras inom ramen för normal verksamhet ingår ej i Grundsäkerhetsnivån. Insamlad information om händelser som sker/utförs Teckensträng som anges för att verifiera en identitet System, program, funktioner etc som kan användas för att identifiera brister och/eller tydliggöra uppfyllelse av krav, regelverk, standarder etc Kombination av sannolikheten för att ett givet hot realiseras och därmed uppkommande skadekostnad Process som identifierar säkerhetsrisker, bestämmer deras betydelse och ger underlag för beslut om säkerhetsnivå. Ekonomisk skada, men, badwill eller annan skada för staden, den egna organisationens verksamhet eller intressent såsom personal, kommuninnevånare, annan organisations verksamhet, tredje man etc. Skyddet som finns för den omslutningsyta, såsom väggar, golv, tak, dörrar etc, som avgränsar en lokal från omvärlden Handling, procedur eller tekniskt arrangemang som, genom att minska sårbarheten möter identifierat hot. Möjlighet att entydigt kunna härleda utförda aktiviteter i systemet till en identifierad användare. Den som styr och samordnar förvaltning och utveckling av ett system 7