Riktlinjer för informationssäkerhet

Relevanta dokument
Riktlinjer för informationssäkerhet

Instruktion för elektronisk signering av dokument

Posthantering och annan överföring av sekretessbelagd och integritetskänslig information

Rutin vid kryptering av e post i Outlook

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Riktlinjer för informationssäkerhet

Upphandlingssystem och IT-säkerhet. Britta Johansson Sentensia

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Säkerhet vid behandling av personuppgifter i forskning

VGR-RIKTLINJE FÖR ÅTKOMST TILL INFORMATION

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter i e-post

Juridiska förutsättningar för kommunikation i Poosty

Gemensamma anvisningar för informationsklassning. Motala kommun

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Kristdemokraternas medlemsregister

Bilaga 3c Informationssäkerhet

INTEGRATIONER, INLOGGNING, SÄKERHETSASPEKTER RUNT LADOK

Datum: Version: Författare: Christina Danielsson Senast ändrad:

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Företagens användning av ID-tjänster och e-tjänster juridiska frågor

I U P. e-tjänst med förhinder? Mats Östling, IT-strateg. Sveriges Kommuner och Landsting. Kommits, Luleå Sveriges Kommuner och Landsting

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

PERSONUPPGIFTSBITRÄDESAVTAL

Sentrion och GDPR Information och rekommendationer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Riktlinjer för informationssäkerhet

Lösenordsregelverk för Karolinska Institutet

Riktlinjer för informationssäkerhet

Riktlinjer för informationsklassning

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Dokument: Attest-signatur. Författare. Sida 1 av 16 Ola Ljungkrona PO Datum

Riktlinjer för informationssäkerhet

Riktlinjer för informationssäkerhet

Koncernkontoret Området för informationsförsörjning och regionarkiv

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Socialdemokraternas medlemsregister

Nätverket för ehälsa i Östergötland. Effektmål

Tillsyn enligt personuppgiftslagen (1998:204) Autentisering av användare som medges åtkomst till personuppgifter i kreditupplysningsregister

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204) bankers användning av s.k. appar

Tillsyn enligt personuppgiftslagen (1998:204) personuppgiftsbehandling i anslutning till Pliktverkets e-tjänst för lämplighetsundersökning

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Att använda kryptering. Nyckelhantering och protokoll som bygger på kryptering

Strategi Program Plan Policy» Riktlinjer Regler

Identifieringstjänst SITHS. - Beskrivning och tjänstespecifika villkor

Lathund för Elektronisk signatur digitalt ID

Krypteringteknologier. Sidorna ( ) i boken

Huddinge kommun - första godkända utfärdare med kvalitetsmärket Svensk e- legitimation.

Hantering av behörigheter och roller

Sammanfattning av riktlinjer

Informationssäkerhet vid Lunds Universitet. Mötesplats Rydberg 3:e oktober Lennart Österman

Datainspektionens granskningar av integritetsskyddet inom vård och omsorg. Erik Janzon Datainspektionen

Anslutningsavtal. inom Infrastrukturen för Svensk e-legitimation. Bilaga 4 Rapporteringsrutiner. för Utfärdare av Svensk e-legitimation

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet

Informationssäkerhetsanvisning

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

PERSONUPPGIFTSBITRÄDESAVTAL

Gränssnitt och identiteter. - strategiska frågor inom Ladok3

Betänkandet Ett säkert statligt ID-kort - med e-legitimation (SOU 2019:14) - remissvar

EIT060 Datasäkerhet - Projekt 2. Jacob Ferm, dt08jf0 Johan Paulsson, dt08jp8 Erik Söderqvist, dt08es8 Magnus Johansson, dt08mj9 26 februari 2011

1 Informationsklassificering

Regelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga D. Personuppgiftsbiträdesavtal. Version: 2.

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Juridik och informationssäkerhet

Bilaga 2 till Rutiner för riskhantering (UFV 2018/211) Instruktion för genomförande av informationsklassificering

IT riktlinjer vid användandet av Elektronisk post

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

2

Federerad åtkomst Information om åtkomst till Apotekens Services tjänster inom ramen för en identitetsfederation.

Federering i praktiken

HELSINGFORS UNIVERSITET ANVISNING: ELEKTRONISKT STYRKTA DOKUMENT I OODI

Checklista. För åtkomst till Svevac

Datasäkerhet. Informationsteknologi sommarkurs 5p, Agenda. Slideset 10. Hot mot datorsystem. Datorsäkerhet viktigare och viktigare.

Stark autentisering i kvalitetsregister

Säker informationshantering

AMS utbetalning av statsbidrag till arbetslöshetskassorna

POLICY FÖR E-ARKIV STOCKHOLM

Dnr UFV 2013/1490. Lösenordshantering. Rutiner för informationssäkerhet. Fastställd av Säkerhetchef Reviderad

Villkor och bestämmelser Lojalitetsprogram för registrerade partners (LPRP) Villkor och bestämmelser

Riktlinjer för egendomsskydd

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Vänsterpartiets medlemsregister

BESLUT. Ärendet Egeninitierad verksamhetstillsyn av vårdgivarens informationssäkerhet

EyeNet Sweden stark autentisering i kvalitetsregister

Säfflehälsan AB Att: Maud Sinclair Sundsgatan 1 B Säffle. 2. Vi skriver under avtalen. 3. Ni får er kopia återsänd.

Allmänna villkor för Alectas internetkontor för företag

GDPR-DSF. Göran Humling IKT-Kommittén PRO Uppsala Län

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

Säker hantering av mobila enheter och portabla lagringsmedia

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

INTEGRITETSPOLICY ID06

VERISECS PLATTFORM FÖR DIGITAL TILLIT

IDkollens Användarvillkor

Bilaga Personuppgiftsbiträdesavtal

Tillsyn enligt personuppgiftslagen (1998:204)- Pensionsmyndighetens webbtjänst Dina Pensionssidor

POLICY FÖR E-ARKIV STOCKHOLM

Översikt av GDPR och förberedelser inför 25/5-2018

EIT060 Datasäkerhet - Projekt 2. Jacob Ferm, dt08jf0 Johan Paulsson, dt08jp8 Erik Söderqvist, dt08es8 Magnus Johansson, dt08mj9 26 februari 2011

Rutin för utgivning av funktionscertifikat

Rätt informationssäkerhet är A&O vid införande av välfärdsteknologi. Jeanna Thorslund, Sveriges Kommuner och Landsting Thomas Nilsson, Certezza

Transkript:

UFV 2014/389 Riktlinjer för informationssäkerhet Säkrare elektronisk kommunikation - Tvåfaktorautentisering - Kryptering av e-post - Elektronisk signering av dokument Fastställd av: Säkerhetschef 2014- -

Innehållsförteckning 1 Inledning... 3 2 Syfte... 3 3 Mål... 3 4 Omfattning... 3 4.1 Tvåfaktorautentisering... 3 4.2 Kryptering av e-post... 4 4.3 Elektronisk signering av dokument... 4 5 Genomförande... 4 4.1 Tvåfaktorautentisering... 4 4.2 Kryptering av e-post... 4 4.3 Elektronisk signering av dokument... 4 6 Bilagor... 5 2

1 Inledning Säkrare elektronisk kommunikation definieras i detta dokument som användning av en eller flera av nedanstående tjänster vid kommunikation av känslig information över nätet, t.ex. via e-post Tvåfaktorautentisering Kryptering av e-post Elektronisk signering av dokument 2 Syfte Att ge stöd till universitets verksamheter som har identifierat behov av säkrare behörighetskontroll till och/eller kommunikation av känslig information med avseende på sekretess, riktighet och tillgänglighet. Att elektronisk signering av dokument även ska bidra till effektivisering av dokumentflöden inom universitet genom att reducera behovet av att skriva ut, faxa eller skicka med vanlig post. 3 Mål Att alla informationssystem och IT-tjänster som hanterar information som, enligt universitetets riktlinjer för informationsklassificering 1, bedöms ha ett skyddsbehov motsvarande säkerhetsnivå Särskilda krav, ska Införa tvåfaktorautentisering vid inloggning till systemet/tjänsten enligt avsnitt 5.1 i dessa riktlinjer Använda kryptering av känslig information vid kommunikation av känslig information över nätet enligt avsnitt 5.2 i dessa riktlinjer Att elektroniska dokument av karaktären avtal, beslutsprotokoll eller som innehåller känslig information och där motsvarande pappersdokument skulle ha undertecknats med en handskriven namnteckning, ska Signeras elektroniskt enligt avsnitt 5.3 i dessa riktlinjer för att skydda ett dokuments integritet och autenticitet (äkthet) Att även andra typer av dokument som idag skrivs ut, undertecknas för hand och faxas eller skickas med post istället använder elektronisk signering för att effektivisera interna och externa dokumentflöden med avseende på tid och kostnad. 4 Omfattning 4.1 Tvåfaktorautentisering Vissa informationssystem och IT-miljöer inom universitetet lagrar och hanterar information med höga eller särskild höga krav på skyddsåtgärder med avseende på sekretess, riktighet eller tillgänglighet, t.ex. forskningsdata, skyddade identiteter och andra känsliga personuppgifter. 3

För att säkerställa att endast behöriga personer har åtkomst till sådan information bör s.k. stark autentisering användas. Detta innebär att en användare vid inloggning måste identifiera sig med två faktorer; något man vet och något man har (t.ex. en säkerhetsdosa eller ett s.k. smart kort). Beroende på jurisdiktioner finns det dock olika krav, eller tillitsnivåer, på den andra faktorn. 4.2 Kryptering av e-post Universitetets riktlinjer för hantering av allmänna handlingar (UFV 2012/368) anger att överföring av personuppgifter i öppna nätverk kan kräva kryptering även om överföringen görs inom universitets nätverk. När känsliga personuppgifter kommuniceras via öppna nät, t.ex. via e-post, ska uppgifterna vara krypterade på så sätt att endast den avsedda mottagaren kan ta del av uppgifterna. Krypteringen ska göras med tekniker för säkra kommunikationsprotokoll (SSL/TLS motsv.). Datainspektionen (DI) är en granskande myndighet som äger rätt att inkomma med förelägganden om att universitetet ska redogöra för sin hantering av personuppgifter i detta avseende. Förutom personuppgifter får aldrig lösenord kommuniceras i klartext via e-post och det kan även finnas goda skäl att överväga att kryptera e-post som innehåller känslig forskningsinformation, tentamensuppgifter eller -resultat, inköps- och upphandlingsinformation etc. För att kunna kryptera e-post måste ett personligt certifikat utfärdas. Detta görs endast mot uppvisande svensk giltig legitimationshandling (id-kort, körkort eller pass). 4.3 Elektronisk signering av dokument En elektronisk signatur, eller underskrift, identifierar, precis som en vanlig handskriven underskrift, personen som undertecknar ett dokument. Till skillnad från en traditionell underskrift på papper är en elektronisk underskrift svår att förfalska, eftersom den innehåller krypterad information som är unik för undertecknaren. Den kan lätt verifieras och informerar mottagarna om dokumentet har ändrats eller inte efter det att undertecknaren signerade dokumentet. För att kunna signera ett dokument krävs ett s.k. elektroniskt ID som kan liknas vid ett elektroniskt körkort eller pass som bevisar en persons identitet. 5 Genomförande 5.1 Tvåfaktorautentisering Se Bilaga 1 Anvisning för implementation och användning av tjänst för tvåfaktorautentisering. 5.2 Kryptering av e-post Se Bilaga 2 Instruktion för kryptering av e-post. 5.3 Elektronisk signering av dokument Se Bilaga 3 Instruktion för elektronisk signering av dokument. 4

6 Bilagor Bilaga 1 Anvisning för implementation och användning av tjänst för tvåfaktorautentisering. OBS! Denna tjänst är under utveckling. Måldatum för införande är ej fastställt. Bilaga 2 Instruktion för kryptering av e-post. OBS! Denna instruktion är under arbete. Prel. färdigdatum 2014-06-30. Bilaga 3 Instruktion för elektronisk signering av dokument. 5

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss