Systemdrift och Systemförvaltning Centrala verksamhetssystem Service Desk

Relevanta dokument
Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Bilaga 3 Säkerhet Dnr: /

Riktlinjer för informationssäkerhet. ver 1.0. Antagen av Kommunstyrelsen

Bilaga 10 Säkerhet. Dnr: / stockholm.se. Stadsledningskontoret It-avdelningen

Kommunrevisionen: granskning av generella IT-kontroller 2014

Processbeskrivning fakturahantering

INFORMATIONSSÄKERHETSPOLICY

AppGate och Krisberedskapsmyndighetens basnivå för informationssäkerhet, BITS

Aktivitets- och internkontrollplan, bilaga till nämndsplan Lokala nämnden Halmstad år 2015

Taxor och avgifter - Översiktlig granskning av den interna kontrollen

Riktlinjer för upphandling av konsulttjänster och entreprenader inom mark, anläggnings och byggsektorn

SITHS rekommendationer för internt revisionsarbete

Aktivitets- och internkontrollplan, bilaga till nämndsplan Lokala nämnden Halmstad år 2015

Verksamhetsplan 2015 Regionservice, Region Halland. Samverkad med arbetstagarorganisationerna

Svenska Röda Korsets yttrande över Förslag till en nationell institution för mänskliga rättigheter i Sverige (Ds 2019:4)

Integritetspolicy för givare

Integritetspolicy Bokförlaget Nona

Leverantörskvalificering

Kravspecifikation / Uppdragsbeskrivning

Policy för personuppgiftshantering i Brf Näsbyallé

Revisionsrapport 2010 Genomförd på uppdrag av revisorerna i Jönköpings kommun. Jönköpings kommun Granskning av användaradministrationen

Intern styrning och kontroll vid Stockholms universitet

NORD FONSKOMMISISON AB INTEGRITETSPOLICY. Antagen av styrelsen i Nord Fondkommission AB

Intern kontroll inom Försörjningsstöd

INTEGRITETSPOLICY ADJURE AB

Riktlinjer för Lex Sarah

Producenter: anvisning om hur checklistan för kontroll av planen för egenkontroll och hur denna omsätts i praktiken fylls i

Manus till presentationen. Vaccination mot HPV. Version

EBITS Energibranschens Informations- & IT-säkerhetsgrupp

Kris & beredskapsarbete i Östhammar Strategienheten/Säkerhet & Beredskap

Allmänna bestämmelser för Certifiering

Riktlinjer för individuell planering och dokumentation av genomförandet av insatser inom särskilda boenden i Töreboda Kommun

BILAGA III EKONOMISKA OCH AVTALSMÄSSIGA REGLER

Reglemente för Miljö- och byggnämnden i Lilla Edets kommun. Antaget av: Kommunfullmäktige Datum: Dnr: KS 2018/451

Policy för personuppgiftshantering 2018 Antagen av styrelsen för PRO i Tullinge vid styrelsemötet Version 1.

AVVIKELSEHANTERINGSPROCESSEN

Processbeskrivning ITIL Change Management

Informationssäkerhetsinstruktion: Förvaltning (Infosäk F)

Överenskommelse om kommunernas krisberedskap

Landstinget Dalarna. Granskning av finansförvaltningen Rapport. KPMG AB Antal sidor: 12

Svar på motion från Emil Broberg (V) m.fl Städning av vårdlokaler i egen regi (LiÖ )

Identifiera, förebygga och motverka osakliga könsskillnader i kärnverksamheten

Sammanfattande bedömning och förbättringsåtgärder

Arbetsprogram för Betalningsrådet

Checklista förändringsledning best practice Mongara AB

Revisionsrapport 2017 Genomförd på uppdrag av revisorerna december Laholms kommun Granskning av IT-säkerhet och informationssäkerhet

Förskolan Västanvind

VÄGLEDNING FÖR MINIMIKRAV FÖR BEHÖRIGHET FÖR PERSONER SOM UTFÖR REGELBUNDNA KONTROLLER OCH MONTERINGSKONTROLLER AV TORNKRANAR OCH MOBILKRANAR

SAMVERKAN, ÖPPNA LOKALA BREDBANDSNÄT OCH PRISVÄRDA TJÄNSTER

Reglemente för Tekniska nämnden i Lilla Edets kommun. Antaget av: Kommunfullmäktige Datum: Dnr: KS 2018/452

ABB Sverige har fattat beslut om att samtliga entreprenörer och konsulter skall certifieras i arbetsmiljöoch säkerhet

Sollentuna kommun. Samverkan mellan kommun och landsting vid in- och utskrivning inom den slutna hälso- och sjukvården

Överenskommelse om kommunernas krisberedskap

Landstinget i Värmland. Förstudie IT-säkerhet Rapport. Offentlig sektor - kommuner och landsting KPMG AB Antal sidor: 10

Plan mot diskriminering och kränkande behandling ombord på T/S Gunilla

Malltext Tredjepart- /Samarbetsavtal HSA och SITHS

Rutin för domänvalidering. Verifiering av organisationer och ombud

Uppgifter som samlas in när du använder våra tjänster

1(2) För kännedom; Fullmäktiges. presidium. uppföljning. barn- och. iakttagelser: finns. lokalt. Behov. Omorganisering. g renodlat tjänsterna

Aktörsgemensam CBRNEstrategi

Policyn inkluderar de föreskrifter för kommunens medelsförvaltning som fullmäktige enligt 8 kap 3 Kommunallagen har att fastställa.

Riktlinjer för godkännande och rätt till bidrag för. Enskild förskola, fritidshem och pedagogisk omsorg

AVTAL Utförande av Personlig assistans för vuxna i Visby Upphandling

BILAGA III EKONOMISKA OCH AVTALSMÄSSIGA REGLER

Anbudsförfrågan revisionsuppdrag Bonava. Uppdrag

INFORMATION OM BEHANDLING AV DINA PERSONUPPGIFTER - SÄKERHETSCENTER

Rutin för domänvalidering. Verifiering av organisationer och ombud

Strategi för att minska ungdomskriminalitet

Förslag på samarbetsorganisation för gemensam plattform för nationellt digitalt folkbibliotek

Vetlanda kommun. Granskning av Överförmyndarverksamheten

Patientsäkerhetsberättelse Stockholm Spine Center

Uppföljning av social omsorg enligt socialtjänstlagen vid Linnégårdens vård- och omsorgsboende 2014

Rockpanel / ROCKWOOL AB ( ROCKWOOL ) vill säkerställa din integritet online.

Revisionsrapport. Intern kontroll snöröjning. Vänersborgs kommun. Datum Henrik Bergh. Revisionskonsult kommunal sektor

INTEGRITETSPOLICY. Uppgifter som samlas in när du använder våra tjänster

Innehåller instruktioner för hur du ska fylla i mallen Egenkontroll för elinstallationsarbete som finns i EL-VIS Mall

Beslutet skickas till: Styrelsen för Stiftelsen Gräsmarks gåvomedelsfond

Kravställ IT system på rätt sätt

Nya tillstånd och tydligare krav i IVO:s tillsyn från 2 januari 2019

Plan för systematiskt säkerhets- och arbetsmiljöarbete inom Oxelösunds kommun

Storstockholms brandförsvar Dnr /2013. AVTAL avseende tilläggstjänsten Brandskyddsutbildning

Leverantörsbetalningar

Guide till datadriven verksamhetsstyrning

Avsluta vår användning av personuppgifter för marknadsföring. Personuppgifter som användare lämnar ut till andra användare

SAMVERKANSAVTAL VIMMERBY KOMMUN 2013

Revisionsrapport. Investeringar. Katrineholms kommun. Annika Hansson, Cert kommunal revisor Jukka Törrö November 2011

Ändamål och rättslig grund för behandlingen av dina personuppgifter.

BILAGA III EKONOMISKA OCH AVTALSMÄSSIGA REGLER

Vattenfall Innovation Awards

Riktlinjer för arbete med nyanlända elever

Inför rapporteringen av 2016 års utsläpp

Reglemente för Individnämnden i Lilla Edets kommun. Antaget av: Kommunfullmäktige Datum: Dnr: KS 2018/447

Kvalitetsgranskning av svenskundervisning för invandrare (sfi) i Stockholms stad

Integritetspolicy. Senast uppdaterad i maj Vårt sekretessåtagande. Vi ska

Södermalms. Montessoriförskolas Plan mot diskriminering och kränkande behandling 2018

Krisplan Ådalsskolan

Uppföljning av social omsorg enligt socialtjänstlagen vid Kampementets vård- och omsorgsboende

Bilaga 1 Överföring av arbetsmiljöarbetsuppgifter till förvaltningschefen för skolförvaltningen, Enköpings kommun

REGLER FÖR CENTRUM VID GÖTEBORGS UNIVERSITET

Förskolechefen har under läsåret utbildat personalen i pedagogisk dokumentation.

Transkript:

SID 1 (6) Bilaga 4A Säkerhetskrav Förfrågningsunderlag Systemdrift ch Systemförvaltning Centrala verksamhetssystem Service Desk 105 35 STOCKHOLM. Telefn 08-508 29 000. Fax 08-508 29 036. Org. nr 212000-0142 Besöksadress: Ragnar Östbergsplan 1 www.stckhlm.se

SID 2 (6) 1 BAKGRUND OCH SYFTE... 3 2 KRAV PÅ SÄKERHETSARBETE... 3 2.1 INFORMATIONSSÄKERHETSSYSTEM... 3 2.2 INGÅENDE AKTIVITETER I IT-SÄKERHETSARBETET:... 3 3 UPPFÖLJNING AV INTERN KONTROLL... 4 4 HANTERING AV SEKRETESSBELAGDA UPPGIFTER... 5 5 STADENS SÄKERHETSPROGRAM... 5 6 KRAV PÅ KOMMUNIKATIONSLÖSNINGAR... 5 7 KRISBEREDSKAP... 6

SID 3 (6) 1 BAKGRUND OCH SYFTE Av denna bilaga framgår de säkerhetskrav sm ställs på leveransen. Stckhlm stad bedriver samhällsviktig verksamhet sm mfattas av Lag (2006:544) m kmmuners ch landstings åtgärder inför ch vid extrardinära händelser i fredstid ch höjd beredskap. Utöver de krav sm ställs i denna bilaga ska leverantören följa stadens vid var tid gällande säkerhetsprgram inklusive riktlinjer. 2 KRAV PÅ SÄKERHETSARBETE Leverantören ska kntinuerligt arbeta med att planera, följa upp ch förbättra kvalitet ch säkerhet i leveransen. Detta för att uppfylla verksamhetens säkerhetsbehv ch se till att infrmatinen hanteras på ett säkert sätt för alla it-tjänster ch prcessaktiviteter. Detta arbete ska vara rganiserat med ansvariga utpekade hs leverantören ch ha stöd ch engagemang från leverantörens verkställande företagsledning. Syftet med säkerhetsarbetet är att förhindra, eller minska knsekvenserna av, önskade händelser inm leveransen ch att under alla mständigheter upprätthålla stadens förmåga att fullgöra sina åtaganden. I arbetet ingår alla åtgärder vars samlade effekt är att förebygga ch begränsa knsekvenserna av störningar för infrmatinshanteringen. I detta ingår: Åtkmstbegränsning (Sekretess) skydd mt behörig åtkmst av infrmatin Riktighet åtgärder för att åstadkmma rätt kvalitet på infrmatin Tillgänglighet åtgärder för att säkra drift ch funktinalitet Spårbarhet möjligheten att fastställa vem sm gjrt vad eller att kunna verifiera rsaken till en händelse 2.1 Infrmatinssäkerhetssystem Leverantören ska, utöver de prcesser för egenkntrll sm leverantören anger i sitt anbud, ha ett generellt prcessrienterat it-säkerhetsarbete, sm i enlighet med ITIL v3 är sammanhållet av ett infrmatinssäkerhetssystem, där plicys, säkerhetskntrller, andra säkerhetsåtgärder, säkerhetsrevisiner, schemalagda säkerhetstester ch klassificering av känslig data ch risker finns dkumenterade. Systemet ska möjliggöra för leverantören att leva upp till krav enligt detta avtal. Infrmatinssäkerhetssystemet ska minst ha beaktat följande aspekter: Stadens infrmatin, rganisatin, struktur, interna/externa krav ch risker med dessa Stadens strategier, planer ch budget för it-leveranser ch risker med dessa Specifik känslig data Lagstiftning Incidenter Förändringar sm påverkar säkerheten, till exempel framtida planer ch krav 2.2 Ingående aktiviteter i it-säkerhetsarbetet: Styrning: Organisera it-säkerhetsarbetet med tydligt ansvar ch mandat - Planering: Planera för säkerhetshöjande åtgärder, inkluderande att genmföra riskanalyser, dkumentera detta samt besluta m åtgärder med anledning av detta. Klartgöra interna krav på nödvändiga avtal,

SID 4 (6) rller, ch andra säkerhetsrelaterade krav, samt sätta plicies för: Nyttjande av it (inklusive beivrandet av missbruk), behörigheter, lösenrd, e-pst, internet, anti-virus, säkerhetsklassning av infrmatin, fjärråtkmst, underleverantörsstyrning inklusive ch deras tillgång till system ch data samt eventuella kmpletterande särskilda säkerhetsstrategier - alternativa arbetssätt ch rutiner för den händelse att leverantören själv drabbas av störningar i sin interna verksamhet. Implementering: Kmmunicera ch säkra awareness hs leverantörens persnal, klassificering av data ch infrmatin. Definiera krav på persnlig ch fysisk säkerhet, fastställa riktlinjer för behörigheter ch för hanteringen av säkerhetsincidenter. Utse ch dkumentera ansvariga för säkerheten i leveransens lika delar, både för de levererade tjänsterna i sin helhet ch för enskilda system. Utvärdera: Genmföra revisiner av säkerhetsarbetet (både interna samt ge tillgång till av staden utsedda revisrer). Struktur för kntinuerlig utvärdering av säkerhetsincidenter. Löpande arbete: Genmföra dagliga aktiviteter såsm: kmmunicera plicys ch övervaka efterlevnaden av dessa, övervaka, hantera ch rapprtera säkerhetsincidenter genmföra penetratinstester löpande följa upp vilka persner sm har lika frmer av administratörsrättigheter i stadens verksamhetssystem ch tillhörande nätverk samt rapprtera till stadens kntaktpersner hur många ch vilka dessa persner är ha en kntinuerlig översyn av skydd mt behörig åtkmst säkerställa uppnådd säkerhet mellan stadens resurser ch leverantörens resurser sm används för att leverera tjänsterna genmföra kntinuitetsplanering ch riskanalyser för kntinuitet genmföra kapacitetsplanering ch riskanalys för kapacitet verifiera att leveransen lever upp till ställda krav i stadens säkerhetsprgram ch riktlinjer samt föreslå åtgärder vid eventuella avvikelser. Detta arbete ska halvårsvis rapprteras till staden i frm av en skriftlig rapprt ch en föredragning på kntraktsnivån enligt samverkansmdellen, se bilaga 7. kntinuerligt arbeta med förbättringar av it-säkerhetsarbetet. 3 UPPFÖLJNING AV INTERN KONTROLL Staden har en stark ambitin ch ansvar för att upprätthålla gd intern kntrll ch säkerhet inm it, med gda möjligheter till övervakning ch effektiv uppföljning. Detta gäller ckså de delar av verksamheten sm är föremål för utkntraktering. Den interna kntrllen inbegriper till exempel rganisatin, prcesser ch teknik. Leverantören ska ha ett kntinuerligt arbete med intern kntrll sm syftar till att säkerställa att aktiviteter inm säkerhetsarbetet enligt 2.2 van sker ch ger avsedd effekt. Detta arbete ska dkumenteras ch minst var sjätte månad rapprteras till stadens bjektansvariga ch på ett övergripande plan till staden på kntraktsnivån. Uppföljning av intern kntrll ch säkerhet kan genmföras genm revisiner av staden. Vid revisiner ska leverantören inm skälig tid ställa infrmatin ch resurser till stadens förfgande sm stöd för genmförande av revisinen.

SID 5 (6) Uppföljningen kan ckså genmföras genm att leverantören tillhandahåller rapprter avseende internkntrll sm är verifierade av berende tredje part. För system där staden så begär ch sm har en påverkan på den finansiella rapprteringen inm staden, ska leverantören årligen inm ramen för avtalad leverans, tillhandahålla en tredjepartsrapprt enligt standarden ISAE 3402 typ 2 (Internatinal Standard n Assurance Engagements, Bestyrkanderapprter m Kntrller på en Servicebyrå) eller annan mtsvarande bestyrkanderapprt. Leverantören ska även på förfrågan från staden medverka i att utfrma ch ta fram bestyrkanderapprter avseende internkntrll ch säkerhet inm mråden sm inte täcks av ISAE 3402. Exempel på mråden är sekretess/åtkmst, riktighet, tillgänglighet ch spårbarhet rapprterade i enlighet med standarden ISAE 3000. 4 HANTERING AV SEKRETESSBELAGDA UPPGIFTER Leverantören ska inm systemförvaltningen begränsa antalet persner sm har åtkmst till känsliga uppgifter sm bearbetas i stadens system. Sådan åtkmstbegränsning kan behöva vara lgisk (behörigheter ch rättighetsstyrning i system) men ckså fysisk (åtgärder vidtas för åtkmstbegränsning ch spårbarhet av åtkmst till de delar av leverantörens lkaler sm används i förvaltning, utveckling ch test av system sm innehåller känsliga data). 5 STADENS SÄKERHETSPROGRAM Leverantören ska följa tillämpliga delar av staden Infrmatinssäkerhetsprgram, inklusive riktlinjer. Prgrammet ch riktlinjerna utgör bilaga 4B ch 4C. 6 KRAV PÅ KOMMUNIKATIONSLÖSNINGAR Leverans sker till överenskmmen överlämningspunkt inm Stckhlms kmmungräns. Överlämningspunkten kmmer att finnas i någn av stadens knutpunkter, sm i dagsläget finns på Östermalm, Södermalm eller Alvik, berende på vilket gegrafiskt läge sm passar bäst i förhållande till leverantörens datacenter. Staden svarar för drift ch hårdvara för all kmmunikatinsutrustning på sin sida överlämningspunkten ch leverantören för all drift ch hårdvara på sin sida överlämningspunkten. I detta ansvar ingår att svara för all säkerhet rörande förbindelsen till leverantörens datacenter ch säkerheten i datacentret, inklusive layer 2 ch layer 3säkerhet samt eventuella brandväggar. De krav på säkerhet sm ställs vid infrmatinsklassning av stadens system ska uppfyllas av leverantören. Leverantören ska ha en egen serverarea/lan för stadens system. Uppkppling från stadens system i leverantörens datacenter får inte ske direkt mt internet. Anslutning till internet ska ske via stadens nät, det vill säga via överlämningspunkten. Leverantören får inte heller ansluta nät sm är anslutet till stadens överlämningspunkt direkt mt internet. För att undvika IP-krckar ska leverantören använda sig av IP-adresser inm stadens IPplan eller av egna publika IP-adresser. Om leverantören använder sig av egna publika IPadresser ska dessa inte finnas rutade på internet.

SID 6 (6) I de fall vissa delar av tjänsterna, efter överenskmmelse med staden, kmmer att realiseras via mlntjänster får dessa tjänster anslutas direkt mt internet. Stadens säkerhetsriktlinjer ska dck alltid uppfyllas, se bilaga 4B ch 4C. 7 KRISBEREDSKAP Leveransen av tjänsterna mfattar delar sm är av str betydelse för stadens krisledning, varför det är av str vikt att kunna upprätthålla leveransen även under situatiner sm kris ch krig. Leverantören ska kunna samöva ch samverka med stadens krisledningsrganisatin.

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss