UTKAST. Riktlinjer vid val av molntjänst

Relevanta dokument
Riktlinjer. Informationssäkerhetsklassning

Analys av RFI. IT-stöd Socialtjänsten. Sammanfattning:

Riktlinjer informationssäkerhetsklassning

IT-stöd Barn- och utbildningsförvaltning

Handbok för arbete med kvalificerad, säker och långsiktig Informationsförvaltning

Informationssäkerhet vid upphandling och inköp av IT-system och tjänster

Långsiktig teknisk målbild Socialtjänsten

IT-plansprocessen. Titel: IT-plansprocessen Version: 2.0 Godkänd av: Joakim Jenhagen Chef IT-stab Datum:

Roller för information behöver också fastställas, använd gärna nedanstående roller som kommer från SKL och deras verktyg

Riktlinjer vid utveckling av IT-stöd

Teknisk målbild. Skola på webben

Strategi för långsiktig informationsförvaltning och införande av e-arkiv

Rätt informationssäkerhet är A&O vid införande av välfärdsteknologi. Jeanna Thorslund, Sveriges Kommuner och Landsting Thomas Nilsson, Certezza

POLICY FÖR E-ARKIV STOCKHOLM

IT-säkerhetspolicy Instruktion Kommunfullmäktige. Senast reviderad Beskriver IT-säkerhetarbetet.

Handlingsplan för persondataskydd

5 säkerhetsaspekter att tänka på vid skapandet av din digitala assistent

POLICY FÖR E-ARKIV STOCKHOLM

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

Informationsklassning och systemsäkerhetsanalys en guide

1 (7) Arbetsgången enligt BITS-konceptet

Inkoppling av annan huvudman för användning av Region Skånes nätverk - RSnet

VÄGLEDNING INFORMATIONSKLASSNING

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Bilaga 3c Informationssäkerhet

Novare Public - Integritetspolicy. Datum för ikraftträdande: Senast uppdaterad:

Information om dataskyddsförordningen

Novare Peritos - Integritetspolicy. Datum för ikraftträdande: Senast uppdaterad:

Dnr

Novare Propell - Integritetspolicy. Datum för ikraftträdande: Senast uppdaterad:

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Informationsförvaltningshandbok

Bilaga 3 Säkerhet Dnr: /

Novare Executive Search - Integritetspolicy. Datum för ikraftträdande: Senast uppdaterad:

Riktlinjer för dataskydd

Riktlinje för Systemförvaltning

Informationssäkerhet - Informationssäkerhetspolicy

Riktlinjer för IT och informationssäkerhet - förvaltning

Informationssäkerhetspolicy för Ånge kommun

IT-Policy. Tritech Technology AB

Duo Search AB - Integritetspolicy

Novare Professionals - Integritetspolicy. Datum för ikraftträdande: Senast uppdaterad:

POLICY INFORMATIONSSÄKERHET

Granskning av IT-säkerhet

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

Informationssäkerhetspolicy

Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13

Regler och instruktioner för verksamheten

Riktlinjer för informationssäkerhet

Riktlinjer för informationssäkerhet

I n fo r m a ti o n ssä k e r h e t

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Rikspolisstyrelsens författningssamling

Granskning av IT-säkerhet

Personuppgiftsbiträdesavtal

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Ansvarsförbindelse för Stockholms Läns Landstings Elektroniska Katalog (EK)

Novare Potential - Integritetspolicy. Datum för ikraftträdande: Senast uppdaterad:

Informationssäkerhetspolicy

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Riktlinjer för informationssäkerhet

Regeringens mål för IT-politiken är att Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter.

Österåkers kommuns styrdokument

Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

Riktlinjer för informationssäkerhet

1(6) Informationssäkerhetspolicy. Styrdokument

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

IT-plan för Söderköpings kommun

Federering i praktiken

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Informationssäkerhetspolicy

2 Integritetspolicyns tillämpningsområde

Bilaga - Personuppgiftsbiträdesavtal

Remissutgåva. Program för informationssäkerhet

Regelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga D. Personuppgiftsbiträdesavtal. Version: 2.

KURS I JURIDIKS PERSONUPPGIFTSPOLICY

KVALITETSLEDNINGSSYSTEM

Vårdval primär hörselrehabilitering i Östergötland

Sweden-Bangladesh Business Council (SBBC) - Integritetspolicy

Dataskyddspolicy

Behandling av personuppgifter deltagare

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

Koncernkontoret Enheten för säkerhet och intern miljöledning

EDA KOMMUN. nformationssäkerhet - Informationssäkerhetspolicy

EBITS Arbetsgruppen för Energibranschens Reviderad Informationssäkerhet

Dataintrång - åtgärder vid misstanke om olovlig åtkomst

Beslutas att Rutin Följa upp miljömål, version 1.0, som ska börja tillämpas fr.o.m. den 12 september 2014.

Riktlinjer för personuppgiftshantering

GDPR OCH OUTSOURCING - VEM BÄR ANSVARET?

Personuppgiftsbiträdesavtal

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Vi har här sammanställt hur vi samlar in och hanterar dina personuppgifter i enlighet med Dataskyddsförordningen (GDPR).

Version Datum Kommentar Utfärdare. 1.0a Första utkastet Joakim Jenhagen. 1.0b Andra utkastet Thomas Norlin Joakim Jenhagen

InfraGeoTech AB INTEGRITETSPOLICY

Bilaga IT till förfrågningsunderlag Bil 3 Inledning

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Dataskyddspolicy

Inledning. Handlingsplan EU:s nya dataskyddsförordning Dorotea kommun

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

Transkript:

UTKAST Riktlinjer vid val av molntjänst

Innehållsförteckning Dokumentinformation... 2 Riktlinjer vid val av molntjänst... 3 Inledning... 3 Definition av begreppet molntjänst... 3 Aktiviteter innan val av molntjänst... 4 Informationssäkerhetsklassning... 4 Påbörja framtagande av en informationsförvaltningsplan... 4 Kravställ på leverantör utifrån informationssäkerhetsklassning... 4 Upprätta avtal med leverantör... 5 Färdigställ informationsförvaltningsplan... 5 Påbörja flytt av information/driftsättning av IT-stöd... 5 Aktiviteter efter driftsättning... 5 Revision av leverantör... 5 Risker... 5

Dokumentinformation Titel Dokumenttyp Skapat av Riktlinjer vid val av molntjänst Riktlinje Jari Koponen/Petronella Enström, Koncernstaben Datum 2016-06-21 Senast ändrad 2016-06-21 Godkänt av Linda Gustafsson, Koncernstaben (TF IT-direktör) Version 1.1 Versionshantering Version Datum Ändrad av Kommentar 1.0 2016-06-21 Jari Koponen Första version beslutad efter godkännande på IT-samråd. 1.1a 2017-03-27 Petronella Enström Reviderad utifrån HIT-projektet 1.1 2017-03-30 Jari Koponen Korrigerat instruktionerna rörande informationssäkerhet och kravställning något.

Riktlinjer vid val av molntjänst Dessa riktlinjer ska stötta dig som systemägare av ett IT-stöd och/eller verksamhetsansvarig vid valet att använda en molntjänst. Inledning Molntjänst är en allt mer vanlig driftform av IT-stöd och den marknadsförs ofta som ett enklare och billigare alternativ till intern drift. Molntjänster är också ofta mycket kostnadseffektiva, det är ofta leverantörer som specialiserar sig på att tillhandahålla ett system till många kunder och kan då göra detta mer effektivt. Men att lägga ut sin IT-drift till en extern leverantör i form av en molntjänst innebär också att du väljer att flytta din verksamhets information till en extern part, information som ofta är kärnan i din verksamhet och kan innehålla känsliga uppgifter. Därför behöver du vara en mycket mer aktiv kravställare och beställare om du väljer att använda en molntjänst. Du behöver vara väl medveten om riskerna det innebär att lägga ut er information till en extern part och du måste ha säkrat att informationen hanteras på ett säkert och korrekt sätt samt följa upp hanteringen över tid. Definition av begreppet molntjänst I dessa riktlinjer definierar vi samtliga driftformer som sker utanför kommunkoncernens nätverk som molntjänster.

Aktiviteter innan val av molntjänst Innan en molntjänst överhuvudtaget kan användas är du ansvarig för att genomföra en del aktiviteter som syftar till att säkra den information som ska hanteras. Följande aktiviteter skall genomföras innan användning av en molntjänst. Informationssäkerhetsklassning Det första steget som alltid måste genomföras är en informationssäkerhetsklassning av informationen som hanteras inom IT-stödet. Detta innebär att ni som verksamhet bedömer informationen som hanteras inom IT-stödet utefter fyra parametrar: Riktighet vikten av tillförlitlig, korrekt, fullständig information Konfidentialitet vikten av åtkomstbegränsning Spårbarhet vikten av att kunna spåra olika händelser Tillgänglighet vikten av tillgång till informationen inom önskad tid Utifrån denna klassning får ni reda på vilken typ av information som hanteras inom IT-stödet och därmed vilka krav ni skall ställa på den leverantör som ska tillhandahålla drift av ITstödet. Se riktlinjer för informationssäkerhetsklassning. Sundsvalls kommunkoncern använder verktyget KLASSA från SKL som stöd för detta steg. I verktyget KLASSA genomför verksamheten tillsammans med en informationssäkerhetskunnig person en informationssäkerhetsklassning av er information som samtidigt dokumenteras. Verktyget kan nås på adressen https://klassa-info.skl.se/. Påbörja framtagande av en informationsförvaltningsplan I koncernen finns en modell för informationsförvaltning som skall följas, inom modellen ska man ta fram en informationsförvaltningsplan för den informationsmängd som hanteras inom tjänsten. En informationsförvaltningsplan bör alltid påbörjas tidigt i processen och fyllas på löpande. Mallen för informationsförvaltningsplan finns att hämta på http://utveckling.sundsvall.se/modeller-och-metoder/. Kravställ på leverantör utifrån informationssäkerhetsklassning Utifrån genomförd klassning av information skall ni kravställa gentemot leverantör av ITstöd. Kravställningen ska vara på rätt nivå utifrån vilken information som hanteras och lagras i lösningen. Dessa krav rör allt från vilka personer som har åtkomst till er information, den fysiska säkerheten runt informationen till tekniska krav på molntjänsten.

Denna kravställning skall ske oavsett om det är inom en upphandling eller om det är ändring av driftform inom ett befintligt avtal. En bruttolista över tekniska- och informationssäkerhetskrav är framtagen tillsammans med en instruktion för hur den ska användas. Denna används för att ta fram relevanta krav vid upphandling/kravställning av funktion eller tjänst som kräver ett IT-stöd eller vid upphandling av ett rent IT-stöd. Upprätta avtal med leverantör Först när leverantör bekräftat att de lever upp till samtliga krav som ställs kan ett avtal knytas, avtalet ska innehålla alla ställda krav samt ett specifikt avtal för hur personuppgifter skall hanteras (personuppgiftsbiträdesavtal). Om det är inom en upphandling är detta en relativt given process, men om ändring av driftform sker under ett befintligt avtal skall även detta avtal uppdateras utefter de nya förutsättningarna och den nya kravställningen. Färdigställ informationsförvaltningsplan Färdigställ den påbörjade informationsförvaltningsplanen med all relevant information utifrån slutlig lösning för hantering av information. Påbörja flytt av information/driftsättning av IT-stöd Ingen information får flyttas till eller skapas inom ett IT-stöd som levereras som molntjänst förrän ovanstående aktiviteter är slutförda. Är inte aktiviteterna slutförda finns det en risk att ni bryter mot lagar och regler för hur information och personuppgifter får hanteras inom er verksamhet. Aktiviteter efter driftsättning Genom ovanstående aktiviteter bedömer ni och säkrar att leverantör uppfyller era krav innan driftsättning sker, men det är lika viktigt att över tid även säkerställa att leverantören uppfyller era krav enligt avtal. Revision av leverantör Det är starkt rekommenderat att genomföra eller beställa en revision av leverantörens hantering av information enligt gällande avtal. Detta innebär ofta att en extern part besöker leverantören fysiskt och granskar om de lever upp till de krav som de åtagit sig att uppfylla. Denna revision är din verksamhets sätt att säkerställa att er information hanteras på ett korrekt sätt. Risker

Vad är vanliga risker som uppstår om man inte sköter valet av en molntjänst på rätt sätt? Nedan kan du ta del av dessa vanliga risker och vad som krävs för att förebygga det. Åtkomsten till IT-stödet blir helt beroende av internetanslutning Som stor organisation blir vi ibland utsatta för olika typer av attacker som kan innebära att koncernens internetanslutning går ned eller blir väldigt seg. Detta är naturligtvis något som koncernen jobbar med att förebygga men det är helt omöjligt att skydda sig 100%. Samtliga molntjänster kommer under denna typ av fel vara onåbara eller mycket sega att använda medan interna tjänster är fortsatt tillgängliga. Åtgärd: Gör en aktiv bedömning hur viktigt det är för din verksamhet att informationen finns tillgänglig. Detta sker under arbetet med informationsklassning. Verksamhetsinformation och personuppgifter hamnar i fel händer När man rent praktiskt väljer att lägga ut all sin information till en extern part innebär det att den externa parten hanterar din verksamhets information åt dig. Risken ökar för att information hamnar i fel händer när din verksamhet inte längre har direkt koll på allt från fysisk säkerhet kring lagringen av information och andra typer av skydd som finns kring din information. Åtgärd: Det är av stor vikt att du klassar den information som lagras i aktuellt IT-stöd för att avgöra vilken typ av information som finns. Utifrån nivån på information ska korrekta krav ställas på leverantören och ett avtal för hantering av personuppgifter måste knytas. Inlåsning av information Om verksamheten inte ställer tydliga krav rörande ägarskap och nyttjanderätt av informationen finns risk för inlåsning då informationen hanteras av annan part. Om denna part inte delger informationen vid t ex avslutat avtal uppstår en inlåsning där verksamheten inte har tillgång till sin information. Åtgärd: Var tydlig med kravställning kring ägarskap och nyttjanderätt av all information som hanteras inom molntjänsten. Ställ även tydliga krav på att din verksamhet ska kunna ta del av all information från IT-stödet i ett öppet format.

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss