SÄKERHETSINSTRUKTION PRIMULA systemet

Relevanta dokument
Säkerhetsinstruktion 1 BAKGRUND INLOGGNING HANTERING AV INFORMATION INTERNET E-POST INCIDENTER...

SÄKERHETSINSTRUKTIONER FÖR ANVÄNDARE AV IT SYSTEM

Säkerhetsinstruktion för användare av UmUs it-resurser

GENERELL SÄKERHETSINSTRUKTION FÖR FALKÖPINGS KOMMUNS ADMINISTRATIVA NÄTVERK

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUN

IT-Säkerhetsinstruktion: Förvaltning

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUNS NÄTVERK 1 INLEDNING BAKGRUND...1

Generell säkerhetsinstruktion. för Falköpings kommuns nätverk

Säkerhetsinstruktion. Procapita Vård och Omsorg

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

INFORMATIONSSÄKERHET 1 INLEDNING MÅL FÖR IT-SÄKERHETSARBETET... 2

ANVÄNDARHANDBOK. Advance Online

Policy Document Number ESS Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet

För att du som användare skall kunna leva upp till de säkerhetskrav som ställs på dig måste du känna till. Lärare och Elever har olika krav: Lärare

Informationssäkerhetspolicy

Bilaga 1 - Handledning i informationssäkerhet

Handledning i informationssäkerhet Version 2.0

ANVÄNDARHANDBOK Advance Online

Säkerhetsinstruktion. Procapita VoO. Sammanfattning

Lösenordsregelverk för Karolinska Institutet

IT-säkerhetsinstruktion

ORU /2016 Användning av IT-resurser - riktlinjer vid Örebro universitet

Granskning av generella IT-kontroller för ett urval system vid Skatteverket 2017

Informationssäkerhetsinstruktion Användare: Övriga (3:0:2)

Säkerhetsinstruktioner för användare av Falköpings kommuns nätverk

IT-Policy Vuxenutbildningen

Guide för säker behörighetshantering

Informationssäkerhet - Informationssäkerhetspolicy

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Riktlinjer för användande av kommunens datorer och Internet för anställda och förtroendevalda i Laholms kommun

IT-riktlinjer Nationell information

IT-säkerhetsinstruktion Förvaltning

Informationssäkerhet

Informationssäkerhetsanvisning

DOKUMENTNAMN: IT-användarpolicy SKAPAT DEN: TYP AV DOKUMENT: Policy SENAST ÄNDRAT DEN:

8 Regler och styrning av behörigheter till databasen

IT-policy. Förvaltningen Björn Sandahl, förvaltningschef

IT-säkerhetspolicy. Fastställd av KF

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.3

PERSONUPPGIFTSBITRÄDESAVTAL

Dnr UFV 2013/1490. Lösenordshantering. Rutiner för informationssäkerhet. Fastställd av Säkerhetchef Reviderad

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

Checklista Identitetshanteringssystem för SWAMID 2.0. Utarbetad tillsammans med SUNET CERT och SUSEC

Ansvarsförbindelse för Stockholms Läns Landstings Elektroniska Katalog (EK)

Giltig från Version Nr 1.2

POLICY FÖR DATA- OCH INFORMATIONSSÄKERHET VID BMC I LUND

Arkivkrav för IT system med elektroniska handlingar vid Lunds universitet

RIKTLINJE FÖR JOURNALSYSTEM LOGGKONTROLLER I PROCAPITA

Kontinuitetsplan IT. Bilaga till Informationssäkerhetspolicy

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

Villkor för kommunens användning av GeoVy och behandling av personuppgifter för Lantmäteriets räkning

Riktlinjer för informationssäkerhet

Denna föreskrift riktar sig till anställda vid Stockholms universitet samt till personer som arbetar på uppdrag av universitetet.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Granskning av generella IT-kontroller för PLSsystemet

Informationssäkerhetsinstruktion: Användare

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina

Regelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga D. Personuppgiftsbiträdesavtal. Version: 2.

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

SÄKERHETSFÖRESKRIFTER FÖR FÖRVALTNING AV IT-SYSTEM

Tullverkets författningssamling

Denna instruktion syftar till att ge dig kunskaper och riktlinjer om hur du hanterar

1. Förvaltning:... Verksamhetsområde: Kontaktperson: Personregistrets benämning. 4. Hur sker information till de registrerade?

Elektronisk informationssäkerhet. Riktlinjer för Användare - anställda och förtroendevalda. Eslövs kommun

IT-säkerhetsinstruktion för användare

Bilaga Personuppgiftsbiträdesavtal UPP 2016/235. Innehållsförteckning

VGR-RIKTLINJE FÖR KOMMUNIKATION OCH DRIFT

BDS-UNDERHÅLLET. Användarens instruktion Kommunerna

IT-säkerhetspolicy Instruktion Kommunfullmäktige. Senast reviderad Beskriver IT-säkerhetarbetet.

Hantering av behörigheter och roller

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Informationssäkerhetsanvisningar Förvaltning

EDA KOMMUN. nformationssäkerhet - Informationssäkerhetspolicy

Det föreslagna beslutet medför inga kända ekonomiska konsekvenser för kommunen.

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Publiceringsdatum Juni 2007 ( rev. September 2011)

Regler för användning av Riksbankens ITresurser

Organisation för samordning av informationssäkerhet IT (0:1:0)

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Regler och styrning av åtkomst till data

Logga in Översikt/Dashboard Avvikande produkter Arbeten misslyckades Senaste gjorda Systemmeddelanden...

Tekniska villkor för värdeautomater styrda från värdsystem

VÄGLEDANDE RÅD OCH BESTÄMMELSER FÖRVALTNING & DRIFT AV IT INOM TIMRÅ KOMMUN

RIKTLINJER FÖR IT-SÄKERHET

Behandling av personuppgifter vid Göteborgs universitet

Handlingsplan för persondataskydd

Anvisning Gemensamma konton GIT

Riktlinje för säkerhetskrav vid upphandling av IT-stöd

SÄKERHETSPLAN FÖR PERSONUPPGIFTSBEHANDLING SOCIALFÖRVALTNINGEN GISLAVEDS KOMMUN

Administrativ IT-säkerhetspolicy Version 1.0 Fastställd

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Revisionsrapport Granskning av generella ITkontroller för ett urval av system vid Skatteverket 2018

GRUNDSÄKERHET. Allmänna råd. till föreskrifter om. för samhällsviktiga datasystem hos beredskapsmyndigheter. Utgåva 3, december 1999

Ansvar och roller för ägande av information samt ägande och förvaltande av informationssystem i Umeå kommun

POLISMYNDIGHETEN I IT-POLICY 1 (5) ÖSTERGÖTLANDS LÄN Förvaltningsavdelningen

Transkript:

IT-SÄKERHET SÄKERHETSINSTRUKTION PRIMULA systemet Innehållsförteckning 1 Inledning... 1 2 Behörighet... 1 3 Loggning... 3 4 Lagar och Förordningar... 4 5 Säkerhetskopiering... 4 6 Datamedia... 5 7 Datakommunikation... 5 8 Driftssäkerhet... 5 9 Incidenter... 5 10 Klientprogram... 6 11 Arbetsplatsen... 6 12 Information och utbildning... 6 13 Dokument... 6 Fastställt av Löneadministrativa enheten i samråd med IT-enheten. Informationen kontrollerades senast den 14 juni 2002. Ansvarig för dokumentet: Rose-Marie Ringlöw

1 Inledning Denna säkerhetsinstruktion gäller personal- och löneberäkningssystemet Primula, i detta dokument även kallat systemet. Säkerhetsinstruktionen innehåller de regler för drift och informationshantering som gäller specifikt för Primulasystemet. För övrig information hänvisas till handboken för Primula och internt avtal tecknat med Umdac. 2 Behörighet Det som regleras i säkerhetsinstruktionen är: tilldelning och uppföljning av behörighet från initialt beslut om behörighet till att denna upphör att användarnas behörighet enbart omfattar åtkomst av nödvändiga systemresurser vilket underlättas genom möjligheten att arbeta med olika behörighetsmallar vem som har rätt att besluta om behörighet att beslut om behörighet skall dokumenteras och innehålla alla uppgifter som är nödvändiga för att behörig användare skall kunna läggas in i systemet att det skall finnas en fastställd organisation för behörighetsadministration för att säkerställa att det endast är beslutade behörigheter som läggs in i systemet att varje användare skall ha en unik användaridentitet och ett lösenord som endast denne känner till och kan ändra att ett lösenord skall bestå av minst 6 tecken och högst 16 tecken och vara konstruerat så att det inte lätt går att avslöja att användarna ska tvingas byta lösenord enligt de intervall som systemägaren beslutar 2.1 Tilldelning och uppföljning Endast medarbetare som har behov av systemets information i sitt arbete skall tilldelas behörighet till systemet. Behörighetssystemet är så konstruerat att det går att dela upp åtkomsten till information i systemet i väl avgränsade delar. Dessa delar går att kombineras så att varje sådan kombination motsvarar ett för verksamheten naturligt avgränsat arbetsområde, en mall. Mallar skall inte, annat än av mycket starka skäl, specialdesignas för en användare. Om så sker skall den beskrivas i dokumentationen över behörighetskontrollsystemet. Skälen för att tilldela en person en särskild mall skall vara dokumenterade på behörighetsbeslutet. Anledningen till att undvika specialdesignade mallar är att underlätta såväl som att upprätthålla en effektiv behörighetsadministration som att övervaka systemet via loggning. Systemadministration och behörighetsadministration bör vara åtskilda. När en användare flyttar till ett annat arbetsområde skall mallen också ändras. Det innebär att såväl utvidgning som inskränkning av behörighet kan komma ifråga. Slutar en medarbetare sin anställning eller planeras vara borta från arbetet mer än sex 1

månader, skall dennes användaridentitet plockas bort eller göras inaktivt under motsvarande tid. I verksamheten finns olika behörighetsmallar. Systemadministratören och systemägaren skall regelbundet (minst var 6:e månad) kontrollera att de behörigheter som finns till systemet överensstämmer med befintlig personals behov och funktioner i verksamheten. Kontot för sysadm-behörighet och dess lösenord skall förvaras i förseglat kuvert i säkerhetsskåp. 2.2 Beslut om behörighet Ansökan om behörighet till systemet skall ske skriftligt på blankett framtagen för detta ändamål och lämnas till systemägaren. Denne kontrollerar namn och funktion och beslutar om behörighetsmall. 2.3 Behörighetsadministration Beslut om behörighet fattas enligt ovan. Beslutet om behörighet lämnas till systemadministratör 1 som lägger upp behörigheten till systemet. I händelse av att denne ej är tillgänglig inom en vecka lämnas beslutet till systemadministratör 2. Motsvarande gäller när behörigheter skall ändras eller tas bort. Hanteringen från ansökan till praktisk tilldelning skall ske inom en vecka. Observera att endast behörigheter som beslutats av systemägaren får läggas upp. Fixprogram och andra sätt att kringgå behörighetssystemet får ej användas. 2.4 Behörighet upphör Om den anställdes anställning upphör eller om den anställde får andra arbetsuppgifter så skall systemägaren omedelbart informeras om detta. Ovarsam användning av systemet eller underlåtenhet att följa regler och instruktioner kan leda till att rätten att använda systemet dras in. 2.5 Användaridentitet Användaridentiteten skall bestå av: org enhetsnummer samt de två första bokstäverna i förnamnet och två sista i efternamnet 2.6 Lösenord 2.6.1 Initialt lösenord Första gången en användare loggar in i systemet tilldelas denne ett temporärt lösenord som han får av systemadministratören. Detta lösenord går bara att använda för att komma in i systemet och där byta det till ett personligt lösenord. Härigenom säkerställs att det är bara är användaren som ensam känner till lösenordet. 2

2.6.2 Distribution av lösenord För användare gäller att personligt kvittera ut lösenordet. Normalt kvitteras lösenordet ut i samband med utbildningen i Primula. 2.6.3 Lösenordet skall bestå av minst 6 tecken Behörighetssystemet är så konfigurerat att endast lösenord som består av 6-16 alfanumeriska tecken godtas. 2.6.4 Lösenordets livslängd Lösenordet är giltigt under en period av högst 60 dagar. När en användare vid inloggning i Primula har fem dagar kvar tills lösenordet upphör att gälla kommer en bild som frågar användaren om denne vill byta lösenord. Vid inloggning när antalet behörighetsdagar är passerat avbryts inloggningsförsöket. I detta fall måste användaren vända sig till behörighetsadministratören för att få ett nytt temporärt lösenord. 2.6.5 Tidigare använda lösenord Avändaren kan byta sitt eget lösenord hur många gånger som helst och när som helst dock inte oftare än en gång under 30 dagar. Ett nytt lösenord får inte vara lika som det gamla. 2.6.6 Antal inloggningsförsök Om felaktig användaridentitet eller lösenord anges avbryts inloggningen efter tre felaktiga försök. Användaren skall därvid kontakta systemadministratören och lämna en förklaring. Därefter kan systemadministratören åter aktivera aktuellt användaridentitet och tilldela det ett nytt initialt lösenord. 3 Loggning Registrering skall ske av alla användaridentiteter som har haft tillgång till Primula (godkända inloggningar, utloggningar), och när detta skett. Därutöver skall loggen innehålla uppgifter om vilka händelser som utförts, dvs. vilka register tillgången avsett, om läsning, registrering eller ändring skett. Se vidare leverantörens dokumentation över logghistorik. Enligt internavtal med Umdac så ansvarar de för att analys av säkerhetsloggar sker regelbundet och avrapporterar resultatet till systemägaren. Ett logganalyshjälpmedel skall användas för att granska loggen med avseende på misslyckade inloggningsförsök. Säkerhetsloggarna sparas tillsammans med säkerhetskopian. 3

4 Lagar och Förordningar Det personaldministrativa arbetet styrs av många lagar och förordningar. Arbetsgivarverket (AgV) ger varje år ut Författningsboken. Boken vänder sig till statliga myndigheter och innehåller ett urval av författningar, föreskrifter och allmänna råd avseende personaladministrativa bestämmelser för statlig verksamhet. Bland annat kan följande nämnas: Personuppgiftslagen (PUL) Lagen om anställningsskydd (LAS) Medbestämmandelagen (MBL) Lagen om offentlig anställning (LOA) Arbetstidslagen (ATL) Dessutom regleras personalarbetet av kollektivavtalet ALFA samt av Högskolelagen och Högskoleförordningen. 5 Säkerhetskopiering All den information som finns i systemet är universitetets egendom. För att säkerställa de värden informationen representerar är det mycket viktigt att informationen bevaras på ett säkert sätt. Detta skall ske genom: att all information för samtliga register, databaser och loggar skall lagras på gemensamma resurser. Detta för att säkerställa att informationen verkligen omfattas av säkerhetskopieringen. att Umdac kontrollerar att information på datamedia som används är läsbar. att Umdac utför säkerhetskopiering av de gemensamma resurserna till tape och dessa kopior lagras säkert. Omfattningen är: att varje vardag sker en kumulativ säkerhetskopiering en serie av fullständiga kopior tas en gång per vecka att den kopia som tas den sista vardagen under året betecknas som en s.k. årskopia Bevarandet sker så: att en kopia tagen en gång per vecka sparas i 3 månader att en kopia tagen en gång per månad sparas i 24 månader, att årskopian bevaras i x år. Kolla med Ann-Britt. Förvaring sker så: att pågående veckas kopior finns tillgängliga i bandroboten att den senaste veckans kopior placeras på annan plats utanför Umdac:s lokaler att övriga säkerhetskopieband som ej sitter i bandroboten förvaras i Umdacs bandarkiv 4

att årskopiorna förvaras i Umdacs bandarkiv 6 Datamedia Verksamhetskritisk information skall lagras på gemensamma resurser. Sker lagring av annan information på lokala arbetsstationer har respektive arbetstagare ansvar att se till att sådan information förvaras minst lika säkert som den information som lagras på centrala resurser. Årskopiorna av uppgifterna ur personalsystemet bevaras separat i 2 år. 7 Datakommunikation Allmänt hänvisas till regler och rutiner upplagda på Umdac. Export av data sker i krypterad form till bank. Dessa filer är sigillerade. Om fjärrdiagnostik förekommer så skall kommunikationen ske på ett säkert sätt och enligt principerna: Förbindelsen skall enbart vara öppen vid givet servicetillfälle Användaren måste identifiera sig vid inloggning Rotlösenordet skall bytas omedelbart efter utfört arbete Krypterad förbindelse skall användas vid åtkomst på operativsystemnivå Att motringning skall tillämpas 8 Driftssäkerhet Driften av Primula skall enbart hanteras av Umdac enligt internt avtal och löneadministrationens systemadministratörer. För att självständigt kunna sköta driften skall personerna ifråga tillsammans ha god kompetens om: den plattform som nätverket och systemet nyttjar nätverkets logiska och fysiska uppbyggnad den utrustning som används hur lagring av data sker den externa kommunikation som förekommer de applikationer som driften avser hur drift, felsökning och återstart skall genomföras säkerhet vad avser nätverket och systemet Systemet skall vara tillgängligt för användarna alla dagar 07.00 23.00. Vid särskilda tillfällen (månadsavslut m.m.) kan systemägaren besluta om begränsad tillgänglighet till systemet. Driften av systemet skall systemadministratörerna kunna utföra från respektive arbetsstation, men endast efter inloggning med systemadministratörsbehörighet. 9 Incidenter Med incident menas: Dataintrång, exempelvis intrång i behörighetskontrollsystemet 5

datavirus eller annan fientlig kod i nätverket händelse som medför driftavbrott eller fysisk skada (stöld, brand, vatten, blixtnedslag, värme, sabotage) Alla medarbetare i organisationen och extern personal som utför uppdrag för universitetets räkning skall rapportera inträffade säkerhetsincidenter och upptäckta säkerhetsbrister till närmaste chef, systemadministratören eller IRT (Incident Response Team) vid Umdac. 10 Klientprogram Installation av klientprogramvaran utföres efter beslut från systemägaren. Installation av programvaran utföres genom distribution över webben. 11 Arbetsplatsen Datorer, program, dokumentation och kanske framför allt lagrad information representerar stora värden. Därför måste vi skydda dessa genom att de lokaler i vilka persondator används är låsta när vi ej har utrustningen under uppsikt och att utrustningarna är stöldskyddsmärkta. Medarbetare som lämnar datorarbetsplatsen skall använda skärmsläckaren på datorn som ska ha ett lösenord alternativt logga av, även om det bara är för en kortare stund. Medarbetare bör kräva legitimation av servicepersonal som kommer till platsen för åtgärdande av fel och vid behov även kontrollera hos systemadministratören att service är beställd och att personalen är behörig. Vid service skall eventuell känslig information avlägsnas från hårddisken alternativt regleras i avtal med serviceföretaget. 12 Information och utbildning För att säkerhetsarbetet skall nå avsedd effekt är det nödvändigt att samtliga användare av systemet har kunskap om och förståelse kring organisationens säkerhetsarbete och de säkerhetsåtgärder som gäller för datasystemen. Innan en ny medarbetare beviljas behörighet till systemet skall han vara informerad om universitetes säkerhetsregler. Ansvaret för att medarbetarna informeras och utbildas i säkerhetsfrågor ligger hos deras chef (verksamhetsansvarige chefen, prefekten). 13 Dokument IT-säkerhet vid Umeå universitet http://www.umu.se/it/dok/it-sec.html Regler för användning av Umeå universitets (UmU) datorsystem, datornät och IT-baserade tjänster http://www.umu.se/it/dok/anvregler.html Säkerhetsinstruktion användare http://www.umu.se/it/umu_internt/ithandbok/sakanvandare.pdf Ansvarsförbindelse för systemadministratör http://www.umu.se/it/dok/sysadmforb.html Behörighetsbeslut 6

Internuppdrag UMDAC Dessa instruktioner har utarbetats utifrån ÖCBs IT-säkerhetsguide FA22 och anpassats till Umeå universitets verksamhet. 7

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss