Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

Relevanta dokument
Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

IT-Säkerhetsinstruktion: Förvaltning

Regelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga D. Personuppgiftsbiträdesavtal. Version: 2.

PERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)

Roller för information behöver också fastställas, använd gärna nedanstående roller som kommer från SKL och deras verktyg

PERSONUPPGIFTSBITRÄDESAVTAL

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Policy för behandling av personuppgifter

Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13

Informationssäkerhetspolicy

Novare Peritos - Integritetspolicy. Datum för ikraftträdande: Senast uppdaterad:

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

Säkerhet vid behandling av personuppgifter i forskning

Informationssäkerhetspolicy KS/2018:260

Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK)

Policy för informations- säkerhet och personuppgiftshantering

Duo Search AB - Integritetspolicy

Novare Public - Integritetspolicy. Datum för ikraftträdande: Senast uppdaterad:

Informationssäkerhetspolicy IT (0:0:0)

Novare Executive Search - Integritetspolicy. Datum för ikraftträdande: Senast uppdaterad:

Informationssäkerhetspolicy för Ånge kommun

Bilaga 3 Säkerhet Dnr: /

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE

Översikt av GDPR och förberedelser inför 25/5-2018

ADDSECURES BEHANDLING AV PERSONUPPGIFTER

Policy Document Number ESS Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Novare Propell - Integritetspolicy. Datum för ikraftträdande: Senast uppdaterad:

Vi skyddar din information. Vårt informationssäkerhetsarbete och skydd av personuppgifter

Personuppgiftsbiträdesavtal

Riktlinje för informationssäkerhet

MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE Bil 7

Tillägg om Zervants behandling av personuppgifter

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun

Fördelning av ansvar för informationssäkerhet. Version: 1. Beslutsinstans: Regiondirektören

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Handlingsplan för persondataskydd

Personuppgiftsbiträdesavtal

PERSONUPPGIFTSBITRÄDESAVTAL

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Novare Professionals - Integritetspolicy. Datum för ikraftträdande: Senast uppdaterad:

Informationssäkerhet, Linköpings kommun

Säfflehälsan AB Att: Maud Sinclair Sundsgatan 1 B Säffle. 2. Vi skriver under avtalen. 3. Ni får er kopia återsänd.

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Informationssäkerhetspolicy

Sekretesspolicy för marknadsföringsregister

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

Personuppgiftsbiträdesavtal

Sekretesspolicy för privatkunder

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ Agenda

Personuppgiftsbiträdesavtal

PERSONUPPGIFTSBITRÄDESAVTAL

Informationssäkerhetspolicy

PERSONUPPGIFTSBITRÄDESAVTAL

1. DEFINITIONER. Detta Databehandlingstillägg (detta Tillägg ) har införlivats i Tjänsteavtalet ( Avtalet ) som ingåtts mellan

PERSONUPPGIFTSBITRÄDESAVTAL

IT-Policy. Tritech Technology AB

Bilaga Personuppgiftsbiträdesavtal

Integritetspolicy Vilka personuppgifter behandlar vi? När behandlar vi personuppgifter? Vad använder vi personuppgifter till?

Bilaga b, (Användaravtal Nyps) Personuppgiftsbiträdesavtal

Juridik och informationssäkerhet

INTEGRITETSPOLICY FÖR ROSENDAL106 AB OCH DOTTERBOLAG

Novare Potential - Integritetspolicy. Datum för ikraftträdande: Senast uppdaterad:

Informationssäkerhetspolicy

Rikspolisstyrelsens författningssamling

Bilaga 1: Personuppgiftsbiträdesavtal 1/10

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Så här behandlar vi dina personuppgifter

1. INLEDNING 2. PERSONUPPGIFTSANSVARIG 3. INSAMLING OCH ÄNDAMÅL

Bilaga 3 Personuppgiftsbiträdesavtal

PERSONUPPGIFTSBITRÄ DESÄVTÄL

PERSONUPPGIFTSBITRÄDESAVTAL

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

BILAGA Personuppgiftsbiträdesavtal

En guide om GDPR och vad du behöver tänka på

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

Informationssäkerhetspolicy för Ystads kommun F 17:01

InTime International AB (nedan kallat Personuppgiftsbiträdet ) med organisationsnummer och adress Varvsgatan 47, Luleå

Informationssäkerhetspolicy. Linköpings kommun

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

IT-säkerhetspolicy för Landstinget Sörmland

Informationssäkerhet - Informationssäkerhetspolicy

Riktlinjer för dataskydd

Välkommen till enkäten!

Personuppgiftsbiträdesavtal

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Allmänna villkor för infrastrukturen Mina meddelanden

Bilaga Personuppgiftsbiträdesavtal UPP 2016/235. Innehållsförteckning

Policy för behandling av personuppgifter i Brain Accounting och Brain Competence

I samband med att du söker arbete hos oss och lämnar personuppgifter till oss.

GDPR OCH OUTSOURCING - VEM BÄR ANSVARET?

Bilaga - Personuppgiftsbiträdesavtal

Integritetspolicy för skydd av personuppgifter Bonnier Fastigheter AB med dotterbolag

Bilaga Personuppgiftsbiträdesavtal Innehållsförteckning

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Transkript:

Policy för tekniska och organisatoriska åtgärder för 14 juni 2018 Peter Dickson

Sida 2 av 6 Innehåll Inledning... 3 Organisation... 3 Allmänt om det tekniska säkerhetsarbetet... 4 Kontinuitetsplanering... 4 Åtkomst/behörighet... 4 Ansvarsfördelning... 4 Tester... 5 Dualitet... 5 Spårbarhet... 5 Övervakning... 5 Fysisk säkerhet och miljöskydd... 5 Teknisk säkerhet... 5 Lagring och överföring... 5 Säkerhetskopiering och återställning... 5 Efterlevnad av övriga GDPR-krav... 6

Sida 3 av 6 Inledning PRI hanterar stora mängder skyddsvärd information som vi antingen själva ansvarar för eller som vi hanterar för andras räkning. Detta gäller bland annat personuppgifter samt egna och kunders affärshemligheter. Övergripande regler för hur detta ska göras finns i våra avtal och i olika lagar, som Dataskyddsförordningen. Internt regleras vårt arbete av riktlinjer och instruktioner, och beskrivs praktiskt i policies, processbeskrivningar och liknande. Denna policy beskriver övergripande hur PRI konkret arbetar för att uppfylla sina åtaganden och minimera riskerna runt den hanterade informationen. Ur teknisk synvinkel skiljer sig inte skyddet av personuppgifter nämnvärt från skyddet av annan känslig information, såsom affärshemligheter eller kurspåverkande ekonomisk information. Däremot innehåller Dataskyddsförordningen vissa specifika krav på hanteringen av personuppgifter, som givetvis ska uppfyllas. Denna översikt anger den aktuella miniminivån på de säkerhetsåtgärder som ska tillämpas. Det ingår dock i PRI:s åtaganden att fortlöpande förbättra säkerheten och anpassa skyddet till de nya hot som uppträder i omgivningen och de nya tekniska hjälpmedel som finns för att skydda information. På grund av det tekniska landskapets föränderlighet måste därför denna sammanställning vara principiell och övergripande. Avtal med kund kan i vissa fall medföra att striktare åtgärder tillämpas än de generella som beskrivs i denna policy. I de fall PRI använder underleverantörer för att uppfylla sina åtaganden ska PRI säkerställa att underleverantörerna utför de säkerhetsåtgärder som krävs av dem för att denna policy ska uppfyllas. Organisation PRI ska basera sitt säkerhetsarbete på vid var tid gällande lagstiftning samt bolaget styrande dokument som fastställs av bolagets VD eller styrelse samt avtal med kunder. Bolagets Informationssäkerhetsansvarige ska ansvara för att leda och samordna arbetet med informationssäkerheten inom verksamheten, med bland annat följande uppgifter: Ansvarar för styrande dokument på informationssäkerhetsområdet och deras efterlevnad Genomför riskanalys och riskhantering runt informationssäkerhet Samordnar arbetet runt regelefterlevnad på informationssäkerhetsområdet Övergripande kravställning på olika säkerhetsåtgärder Det direkta ansvaret för informationssäkerheten i respektive system ska ligga hos en utsedd systemägare. Ansvarig för det tekniska säkerhetsarbetet ska vara IT-säkerhetsansvarig, vars ansvar bland annat är: Ta fram och utveckla regelverk för IT-säkerhet Koordinera säkerhetsaktiviteter Analysera logiska (och fysiska) risker Leda hantering av säkerhetshot och säkerhetsincidenter

Sida 4 av 6 PRI ska vidmakthålla instruktioner för hur samtliga medarbetare inklusive underleverantörer ska agera för att minimera hot mot informationssäkerheten. Dessa instruktioner ska vara väl spridda till, förstådda av och tillämpade av samtliga berörda. Allmänt om det tekniska säkerhetsarbetet Grundprincipen för det tekniska säkerhetsarbetet hos PRI är att säkerhetsklassen avgör vilka krav som ställs på säkerhetsåtgärderna (typ av autentisering, kryptografiskt skydd etc.). De säkerhetsklasser som tillämpas är: Öppen - Information med full tillgänglighet för alla inom och utanför bolaget Intern - Information med tillgänglighet endast för medarbetare Konfidentiell - Information med tillgänglighet för ett fåtal medarbetare Hemlig - Mycket känslig information (till exempel känsliga personuppgifter) med tillgänglighet för ett fåtal medarbetare Konfidentiell eller hemlig information ska alltid klassas. All information som tillhör kunder och alla personuppgifter är klassade som minst konfidentiella. Konfidentiell eller hemlig information kallas i det följande skyddsklassad. Kontinuitetsplanering PRI ska vidmakthålla kris- och beredskapsplaner för sin informationsbehandling med syfte att minimera störningar i verksamheten inklusive åtaganden i förhållande till kunder vid extrema händelser såsom till exempel brand i datahall. Åtkomst/behörighet Skyddsklassad information ska skyddas från alla former av otillåten behandling, såsom oavsiktlig och avsiktlig förstöring, obehörig tillgång och otillåten spridning. Åtkomsten till skyddsklassad information ska begränsas till personer som arbetar på PRI eller på uppdrag av PRI och som dessutom behöver informationen för att utföra sina arbetsuppgifter. Varje individs åtkomst ska begränsas till den information och de rättigheter som behövs för uppgiftens fullgörande. PRI ska ha behörighetskontrollsystem som förhindrar obehörig åtkomst till skyddsklassad information. Åtkomst till informationen ska ske med personliga användaridentiteter. Åtkomst till hemlig information, exempelvis känsliga personuppgifter, ska kräva speciell behörighet och/eller förstärkt skydd. Det ska finnas utpekade funktioner som får godkänna, ändra eller återkalla behörigheter. Behörigheter som inte används ska inaktiveras. Behörigheter avseende åtkomst till skyddsklassad information ska revideras minst en gång per år eller oftare utifrån säkerhetsklass. Ansvarsfördelning Fördelning av ansvar mellan individer ska göras så att risken för missbruk minimeras, till exempel så att samma individ inte kan genomföra en systemändring och sedan produktionssätta ändringen.

Sida 5 av 6 Tester Skyddsklassad information får inte finnas i test- eller utvecklingsmiljöer och får inte användas i system- eller enhetstester. Dualitet Dualitet ska tillämpas för riskutsatta åtgärder, såsom utbetalningar. Detta innebär att åtgärden inte kan genomföras om inte två individer med tillräcklig behörighet har godkänt den. Spårbarhet Riskfulla systemåtgärder som utförs av användare ska automatiskt loggas i en separat tabell, som inte kan förändras av användarna. Åtgärd, användare och - i förekommande fall - föreoch eftervärde ska sparas. Övervakning Övervakning av teknisk infrastruktur ska utföras kontinuerligt och utvärderas dagligen. Fysisk säkerhet och miljöskydd PRI ska begränsa åtkomsten till lokaler och anläggningar, där informationssystem som behandlar skyddsklassad information finns, till att endast omfatta identifierade behöriga personer. Lokalerna ska skyddas med larm för brand och inbrott. Teknisk säkerhet PRI ska ha säkerhetsåtgärder på plats för att minska risken för att skadlig programvara exekveras i IT-miljön. Dessa inkluderar brandväggar, skiktade nätverk samt att aktuella antivirusprogram med uppdaterade definitioner ska finnas på alla arbetsstationer. För servrar tillämpas en kombination av antivirusprogram och andra åtgärder, till exempel övervakning av trafik. Lagring och överföring Skyddsklassad information får endast då det är nödvändigt flyttas utanför PRI:s och dess underleverantörers anläggningar. Om det gäller kunds information måste flytten även vara i överensstämmelse med uppdraget och gällande avtal. Skyddsklassad information får inte lagras på arbetsstationer, bärbara datorer eller mobila enheter utan kryptering. Den får inte heller överföras på publika nätverk utan kryptering. Media som har använts för skyddsklassad information som tas ur drift måste rensas från all information på ett säkert sätt. Utskrivet material med skyddsklassad information ska förvaras på säkert sätt och destrueras när det inte längre behövs. Säkerhetskopiering och återställning PRI ska regelbundet minst dagligen göra säkerhetskopior av all information som inte är av temporär natur, samt minst årligen genomföra återställningstester.

Sida 6 av 6 Säkerhetskopiorna och dataåterställningsrutinerna ska lagras på en annan säker plats än där den primära datorutrustningen som behandlar informationen finns. Efterlevnad av övriga GDPR-krav PRI ska vid förfrågan bistå personuppgiftsansvarig med att ta fram/ändra individers personuppgifter för vilka personuppgiftsansvarig ansvarar. PRI ska vid avtalets upphörande, om inget annat avtalats, ta bort all information som omfattas av avtalet så länge detta inte hindras på legal grund.

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss