Guide för säker behörighetshantering

Relevanta dokument
Informationsklassning och systemsäkerhetsanalys en guide

Juridik och informationssäkerhet

Lösenordsregelverk för Karolinska Institutet

SÅ HÄR GÖR VI I NACKA

8 Regler och styrning av behörigheter till databasen

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Användardokumentation Unit4-appar för Android - Tidrapportering

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Användardokumentation Unit4-appar för Android - Attestering

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Användardokumentation Godkänna beställning och attestera fakturor i mobilen.

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Bilaga nr 2: Internkontrollplan för 2016

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Rutiner för granskning av loggar från verksamhetssystem och Nationell Patientöversikt (NPÖ)

Användardokumentation Unit4-appar för Apple/iOS

Rutin för loggning av HSL-journaler samt NPÖ

I Central förvaltning Administrativ enhet

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Bilaga 1 - Handledning i informationssäkerhet

Regler för mobil återrapportering Äldreenheten och omsorgsenheten

Internkontrollplan för 2017

Unit4-appar för Apple/iOS Innehållsförteckning

Regler och rutiner för mobil återrapportering

Resultat från uppföljning av internkontrollplan 2016

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Tillsyn av åtgärder för skydd av behandlade. uppgifter i butiks- och återförsäljarledet.

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Rutiner för granskning av loggar från verksamhetssystem och Nationell Patientöversikt (NPÖ)

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Rutin för Användarkonto, Procapita omsorg

ORGANISATIONSNUMMER: ADRESS: NORDENSKIÖLDSGATAN 14, GÖTEBORG

Informationshantering och journalföring. nya krav på informationssäkerhet i vården

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

Rutin för kontroll av åtkomst till patientuppgifter-loggranskning av NPÖ, Meddix och verksamhetssystem

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter i e-post

Riktlinjer för informationshantering och journalföring i hälsooch sjukvården i särskilt boende i Järfälla kommun.

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Informationssäkerhetspolicy för Ånge kommun

Tillsyn - äldreomsorg

Användarinstruktion för säkra meddelanden Innehåll

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Datum: Version: Författare: Christina Danielsson Senast ändrad:

Informationssäkerhet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Datainspektionens granskningar av integritetsskyddet inom vård och omsorg. Erik Janzon Datainspektionen

VGR-RIKTLINJE FÖR ÅTKOMST TILL INFORMATION

Riktlinje för informationshantering och journalföring

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Loggkontroll - granskning av åtkomst till patientuppgifter

Delegerad administration i Rapporteringsportalen

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Snabbintroduktion: Komma igång med e-tjänsten

Lathund Webbstöd för Samhällsorientering Samhällskommunikatörer

Administratör för ett gruppkonto i Widgit Online funktionsverket

Riktlinjer vid lån av surfplatta för förtroendevalda

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Säkerhetsinstruktion. Procapita Vård och Omsorg

Hantering av behörigheter och roller

Informationssäkerhet i patientjournalen

Anvisning Gemensamma konton GIT

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen

Behörighetshantering. Enklare administration av ditt företags behörigheter och användare i kundportalen T

Dnr UFV 2013/1490. Lösenordshantering. Rutiner för informationssäkerhet. Fastställd av Säkerhetchef Reviderad

PM 2015:127 RVI (Dnr /2015)

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Rutin för loggkontroll och tilldelning av behörigheter i nationell patientöversikt (NPÖ) Rutinen gäller från fram till

Handledning i informationssäkerhet Version 2.0

Det föreslagna beslutet medför inga kända ekonomiska konsekvenser för kommunen.

Sammandrag av rapporteringen av ej verkställda beslut enligt SoL och LSS i Nacka för tidpunkten

Snabbstart - "första gången användare"

Reglemente för kundval

Manual för hantering av abonnemang från Natur & Kultur

Remissvar reglemente för kundval i Nacka kommun

Patientdatalagen (PdL) och Informationssäkerhet

MANUAL - ADMINISTRATION

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Rutiner för tillämpning av lex Sarah

IT-Policy Vuxenutbildningen

I samband med uppgraderingen till GDPR kompatibel version kommer alla användare av CuttingEdge behöva logga in med personliga konton.

Logghantering för hälso- och sjukvårdsjournaler

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

Hantera organisationens SDL-användare. Anvisningar för SDL-huvudanvändare

Intern åtkomst till känsliga personuppgifter hos försäkringsbolag. Datainspektionens rapport 2010:2

Integritetspolicy SwedOffice.se

I n fo r m a ti o n ssä k e r h e t

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tilläggsavtal till Kontrakt (ärendenummer)

Transkript:

2018-06-18 1 (5) GUIDE FÖR SÄKER BEHÖRIGHETSHANTERING Digitaliseringsenheten Guide för säker behörighetshantering Innehåll Om guiden... 1 Om behörigheter... 2 Gör en informationsklassning först... 2 Visa efterlevnad... 2 Rutiner för behörighetshantering... 2 Rutin för behörighetshantering av användarkonton... 2 Särskild hantering av systemadministratörer och expertanvändare... 3 Rutin för behörighetshantering av systemadministratörer och expertanvändare... 3 Rutiner för lösenordshantering... 3 Lösenordshantering i verksamhetssystem... 3 Extra säker inloggning vid sekretess, känsliga uppgifter och hög behörighet... 4 Viktigt att följa lagar, förordningar och föreskrifter... 4 För vårdgivare (Patientdatalag 2008:355)... 4 Medarbetarens egna ansvar... 5 Om guiden Denna guide riktar sig till dig som hanterar behörigheter i verksamhetssystem i Nacka kommun, till exempel som systemägare eller systemadministratör. Syftet med guiden är att ge en vägledning i hur du och din verksamhet hanterar behörigheter på ett säkert sätt. Den beskriver rutiner som bör sättas upp i anslutning till varje system. Beskrivningen av behörighetshanteringen är en tolkning av ISO 2700-seriens rekommendationer. POSTADRESS BESÖKSADRESS TELEFON E-POST SMS WEBB ORG.NUMMER Nacka kommun, 131 81 Nacka Stadshuset, Granitvägen 15 08-718 80 00 info@nacka.se 716 80 www.nacka.se 212000-0167

2 (5) Om behörigheter En behörighet är någons rätt att få tillgång till och behandla information i ett system och kan även omfatta rättigheten att ändra hela strukturen i verktyget. En behörighet kan även ge någon rätt att utföra ett uppdrag (till exempel genomföra en betalning). Behörigheter kan sättas på olika nivåer. Till exempel kan du som användare på en Sharepoint-webbplats ha behörighet att läsa och ladda ner, men inte ändra, information (låg behörighet), medan den som skapade webbplatsen (administratören) förutom att läsa, lägga till och ändra information även kan ändra hela strukturen i verktyget (hög behörighet). Kort sagt handlar behörighetshantering om att ge rätt person tillgång till rätt information vid rätt tillfälle. Gör en informationsklassning först Varje system bör genomgå en informationsklassning där risknivån bedöms för informationen. Hur högt skydd behöver finnas? Det avgör hur behörighetsstrukturen sätts upp och hur behörigheter ska hanteras. Visa efterlevnad De verksamheter som har tillgång till system med hög säkerhetsnivå (det vill säga som innehåller känslig eller sekretessbelagd information) måste säkerställa och visa att de säkerhetskrav som ställs på systemet efterlevs. Ett sätt är att använda verktyget KLASSA där du får tillgång till handlingsplaner för att höja/bygga in säkerheten till önskad nivå. Rutiner för behörighetshantering Rutin för behörighetshantering av användarkonton Skapa tydliga rutiner för tilldelning, granskning och avslut. o Skriv ner hur behörigheterna ska hanteras och granskas. o Säkra att det finns en logg över behörigheterna i systemet. o Granska behörigheterna regelbundet, till exempel kvartalsvis. Konton med höga behörigheter, som till exempel administratörer och expertanvändare, ska granskas mer frekvent. Vid granskningen kontrollerar du om kontot om kontot ännu är aktuellt och om behörighetsnivån är rätt. Tilldelning - Skriv under avtal först. Innan någon får behörighet och tillgång till ett system: säkra att personen skrivit under eventuella nödvändiga avtal (till exempel sekretessavtal) Tilldelning Skapa personliga och unika konton. Om flera personer delar på samma konto får vi problem att spåra vem som gjort vad i systemet. Då är säkerhetsnivån lägre än den bör vara. Tilldelning tillräckliga rättigheter. Användaren ska endast få tillgång till det som behövs för att kunna utföra arbetet. Avslut - Ta snarast möjligt bort behörigheter när någon slutar, och/eller byter roll i kommunen. Säkra att det finns en logg över tilldelade och avslutade behörigheter. I vissa fall behöver loggen sparas några år efter avslut (gäller särskilt höga behörigheter).

3 (5) Särskild hantering av systemadministratörer och expertanvändare En användare med hög behörighet, till exempel en systemadministratör eller en expertanvändare har ofta maximal eller hög rättighet att både hantera information och många funktioner i systemet. Det är därför extra viktigt att dessa behörigheter administreras på ett strukturerat sätt. Rutin för behörighetshantering av systemadministratörer och expertanvändare Hämta godkännande på en högre nivå: Användarkonton för systemadministratörer bör identifieras och godkännas på en högre nivå än vanliga användarkonton. Skapa och aktivera administratörskontot först när godkännandeprocessen är klar. Administratörkontot ska inte användas i syfte att utföra ordinarie arbete. Systemadministratören ska ha en hög och uppdaterad kompetens inom det aktuella verksamhetssystemet. Konton med hög behörighet ska ha en tätare intervall av säkerhetsåtgärder som exempelvis förnyade av lösenord, till exempel var sjätte månad. Det ska finnas en rutin som strikt begränsar antalet administratörkonton. Det ska finnas ett register över samtliga systemadministratörskonton och expertanvändarkonton. Det bör, om möjligt, finnas en giltighetstid för systemadministratörskonton. Rutiner för lösenordshantering Lösenordshantering i verksamhetssystem Systemet för lösenordshantering bör vara interaktivt och säkerställa kvalitativa lösenord. Det innebär att systemet ska: säkerställa lösenord av hög kvalitet. Ett bra lösenord innehåller stora och små bokstäver, siffor och specialtecken och är minst 8 tecken långt. ha en funktion där användaren bestämmer sitt eget lösenord efter de riktlinjer som systemet kräver. kräva ett nytt lösenord minst en gång per år. ha ett register över gamla lösenord, kopplat till användaren för att förhindra att samma lösenord används flera gånger. lagra och överföra lösenord på ett säkert sätt.

4 (5) Extra säker inloggning vid sekretess, känsliga uppgifter och hög behörighet Höga behörigheter och system som innehåller känsliga uppgifter eller källkod, där en konsekvens skulle bli betydande till allvarlig enligt informationsklassningsmodellen, bör säkerställa en extra säker inloggning. Gör så här: Skapa rutiner för en starkare autentisering (identitetsverifiering) av användaren. Inför striktare rutiner för att minimera åtkomst till information i systemet, det vill säga användaren ska endast ha tillgång till rätt information. Visa ett varningsmeddelande att systemet endast får användas av behörig användare. Validera informationen endast när alla data matats in. Vid fel får ingen hänvisning ges till vad felet beror på. Det ska finnas ett skydd mot brute-force -inloggningsförsök. Lösenord får inte kunna visas i klartext. Lösenord får inte överföras i klartext över ett nätverk. Säkerställ ett automatiskt avslut av inaktiva sessioner efter en definierad tidsperiod av inaktivitet. Viktigt att följa lagar, förordningar och föreskrifter Det finns flera lagar, förordningar och föreskrifter som reglerar hur information får hanteras med hänsyn till behörigheter. Det är upp till varje verksamhet att känna till och efterleva dessa lagkrav. Ett exempel är patientdatalagen nedan. För vårdgivare (Patientdatalag 2008:355) Nacka kommuns vårdgivare ska begränsa användares behörigheter till vad som behövs för att användaren ska kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården och till vad som är nödvändigt för att ge en god och säker vård. Vårdgivarens beslut om tilldelning av behörighet ska föregås av en behovs- och riskanalys.

5 (5) Medarbetarens egna ansvar Med rättigheter och behörigheter följer också ett ansvar för den information som medarbetaren hanterar. Detta gäller särskilt vid hantering av känslig och/eller sekretessbelagd information. Du som administrerar behörigheter bör i samband med tilldelning av behörigheter upplysa om medarbetarens ansvar, se nedan: Tänk på att: Skydda känslig/sekretessbelagd information den får inte spridas till obehöriga. Lagra information på ytor med rätt säkerhetsnivå. Skydda inloggningsuppgifter och/eller behörighetskoder. Håll dem för dig själv. Du bör inte använda samma lösenord till kommunens verksamhetssystem som du använder privat, till exempel i sociala medier. Du ska alltid rapportera misstänkta eller upptäckta informationssäkerhetsincidenter till servicecenter. Det kan till exempel handla om att någon obehörig fått tillgång till information.

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss