Hantering av behörigheter och roller

Relevanta dokument
Riktlinjer för informationssäkerhet

Riktlinjer för informationssäkerhet

Riktlinjer för informationssäkerhet

Dnr UFV 2013/1490. Lösenordshantering. Rutiner för informationssäkerhet. Fastställd av Säkerhetchef Reviderad

Säker informationshantering

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Ledningssystem för Informationssäkerhet

Säker hantering av mobila enheter och portabla lagringsmedia

Dnr UFV 2018/1965. Kamerabevakning. Rutiner för fysisk säkerhet. Fastställda av: Säkerhetschef

Ledningssystem för Informationssäkerhet

Riktlinjer för informationssäkerhet

Riktlinjer för egendomsskydd

Dnr UFV 2017/93. Informationssäkerhet. Riktlinjer för säkerhetsarbetet vid Uppsala universitet. Fastställda av Universitetsdirektören

Riktlinjer för säkerhetsarbetet

Informationssäkerhetspolicy för Umeå universitet

Informationssäkerhetspolicy för Ystads kommun F 17:01

Informationssäkerhetspolicy. Linköpings kommun

Anskaffning och drift av IT-system

Riktlinjer för informationssäkerhet

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Informationssäkerhetspolicy inom Stockholms läns landsting

Riktlinjer för egendomsskydd

Rutiner för fysisk säkerhet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

I Central förvaltning Administrativ enhet

Riktlinjer för informationssäkerhet

Informationssäkerhetspolicy

Riktlinjer för informationssäkerhet

Kommunstyrelsens förslag till antagande av reviderad informationssäkerhetspolicy Ärende 11 KS 2017/336

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Riktlinjer för egendomsskydd

POLICY INFORMATIONSSÄKERHET

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Informationssäkerhetspolicy

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Myndigheten för samhällsskydd och beredskaps författningssamling

Finansinspektionens författningssamling

Informationssäkerhetspolicy KS/2018:260

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

Riktlinje för informationssäkerhet

VÄGLEDNING INFORMATIONSKLASSNING

Revidering av riktlinjer för Informationssäkerhet vid Högskolan i Skövde

1 INLEDNING ALLMÄNT OM INFORMATIONSSÄKERHET MÃL FÖRKOMMUNENS lnformationssäkerhetsarbete ROLLER OCH ANSVAR...

Informationssäkerhetspolicy för Ånge kommun

Informationssäkerhetspolicy S/~LA KOMMUN KOMMUNFULLMÄKTIGE. Bi l aga KS 2015 / 135/1 INFORMATIONSSÄKERHETSPOLICY FÖR SALA KOMMUN

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Koncernkontoret Enheten för säkerhet och intern miljöledning

Dnr

Bilaga till rektorsbeslut RÖ28, (5)

Policy för informationssäkerhet

Finansinspektionens författningssamling

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

1(6) Informationssäkerhetspolicy. Styrdokument

Riktlinjer inom ITområdet

Informationssäkerhet vid Lunds Universitet. Mötesplats Rydberg 3:e oktober Lennart Österman

Policy Document Number ESS Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet

Finansinspektionens författningssamling

Kommunal författningssamling för Smedjebackens kommun. Informationssäkerhetspolicy. 97 Dnr 2016/00447

Riktlinjer för informationssäkerhet

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

I n fo r m a ti o n ssä k e r h e t

Myndigheten för samhällsskydd och beredskaps författningssamling

Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13

Styrning av behörigheter

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

Fortsatt arbete utifrån dataskyddsförordningen, GDPR. Denna presentation utgår i första hand från ett informationssäkerhetsmässigt perspektiv

Informationssäkerhetspolicy IT (0:0:0)

Remissutgåva. Program för informationssäkerhet

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

myndigheter En andra granskning av informationssäkerhet i staten RiR 2016:8 Informationssäkerhetsarbete

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun

Riktlinjer för IT-säkerhet i Halmstads kommun

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Regler och instruktioner för verksamheten

Informationssäkerhetspolicy

Fördelning av ansvar för informationssäkerhet. Version: 1. Beslutsinstans: Regiondirektören

Granskning av generella IT-kontroller för ett urval system vid Skatteverket 2017

EDA KOMMUN. nformationssäkerhet - Informationssäkerhetspolicy

Informationssäkerhetspolicy

BESLUT. Instruktion för informationsklassificering

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet

Informations- och IT-säkerhet i kommunal verksamhet

Policy för informationssäkerhet

Bilaga 3 Säkerhet Dnr: /

Fortsättning av MSB:s metodstöd

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

Granskning av generella IT-kontroller för ett urval system vid Skatteverket

Informationssäkerhetspolicy

Riktlinjer för Informationssäkerhet Falkenbergs Kommun Kommunledningskontoret

Justitiedepartementet Stockholm

1 (7) Arbetsgången enligt BITS-konceptet

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Transkript:

Dnr UFV 2018/1170 Hantering av behörigheter och roller Rutiner för informationssäkerhet Fastställda av Säkerhetschefen 2018-08-14

Innehållsförteckning 1 Inledning 3 2 Ansvar 3 2.1 Efterlevnad 3 2.2 Uppdatering av rutinerna 3 3 Definitioner 4 4 Omfattning 4 4.1 Grundläggande krav avseende hantering av behörigheter och roller 4 4.2 Angående dokumentation av behörigheter och roller 5 2

1 Inledning Universitetets arbete med informationssäkerhet bedrivs i enlighet MSB:s föreskrifter om statliga myndigheters informationssäkerhet (MSBFS 2016:1) och svensk standard SS- ISO/IEC 27001. Att ha dokumenterade rutiner för hantering av roller och behörigheter lyfts fram som tydliga krav i dessa. Ett flertal av de krav som finns listade i universitetets material för kravanalyser (Riskhantering av informationssystem Rutiner för informationssäkerhet (UFV 2018/211), bilaga 3) har en tydlig koppling till säkerhetsåtgärder med fokus på hantering av behörigheter och roller. Rutinerna har fastställts i syfte att säkerställa att information som betraktas som känslig utifrån aspekterna konfidentialitet och riktighet skyddas från obehörig åtkomst och obehörig förändring detta genom att användare ges tillträde endast till den information och de tjänster som de specifikt givits tillträde till roller som i sin tur medför rättigheter är tydligt definierade momenten registrering och avregistrering av användare och behörigheter styrs av dokumenterade rutiner behörigheter hålls aktuella genom att regelbundna granskningar genomförs 2 Ansvar 2.1 Efterlevnad Ansvaret för efterlevnad av dessa rutiner fördelar sig enligt följande: Prefekt/motsvarande vid sin institution, avdelning eller motsvarande. Områdesföreståndare för samordning inom sitt intendenturområde. Systemägare, e-områdesansvarig/motsvarande för att följa rutinerna i utvecklings- och förvaltningsarbete samt driftuppdrag. Säkerhetschef för planering, samordning och uppföljning samt kontroll av efterlevnad. Verksamma vid universitetet för att följa rutinerna. 2.2 Uppdatering av rutinerna Säkerhetschefen ansvarar för att rutinerna kontinuerligt uppdateras och att underliggande stöddokument fastställs. 3

3 Definitioner Informationssäkerhet. Säkerhet för informationstillgångar avseende förmågan att upprätthålla önskad tillgänglighet, riktighet, konfidentialitet (sekretess) och spårbarhet. Systemägare beskriver i detta dokument den roll som har det övergripande ansvaret för förvaltning och drift av ett eller flera IT-system. Rollen e-områdesansvarig, som används inom de delar av organisationen som tillämpar universitetets e-förvaltnings-modell, innefattas i begreppet systemägare. 4 Omfattning 4.1 Grundläggande krav avseende hantering av behörigheter och roller Nedanstående krav ska beaktas vid all behörighetshantering kopplad till system och tjänster som används vid Uppsala universitet. Behörigheter/behörighetsnivåer samt därtill ev. förekommande roller, som i sin tur medför rättigheter, ska vara tydligt definierade och dokumenterade. Dokumentationen ska hållas aktuell och uppdateras exempelvis vid eventuella förändringar i definitioner. Tilldelning, ändring samt borttag av behörigheter ska följa rutiner som säkerställer att förekommande behörigheter hålls aktuella. Förändringar som sker i organisationen, exempelvis genom en person byter roll alternativt avslutar sin tjänstgöring ska återspeglas i personens innehav av behörigheter. Den totala bilden av aktuella behörigheter i ett system ska kunna göras tydlig på ett enkelt vis för att möjliggöra fortlöpande kontroller av gällande behörigheter. Ansvaret för att praktiskt genomföra dessa kontroller ska vara tydligt delegerat. Vid sidan av de fortlöpande kontrollerna ska en större planerad behörighetsinventering genomföras minst en gång per år alternativt vartannat år beroende på systemets klassificering. En kravanalys enligt universitetets metod för kravanalysering (Riskhantering av informationssystem Rutiner för informationssäkerhet (UFV 2018/211), bilaga 3) ger besked om periodicitet vad gäller den planerade behörighetsinventeringen. Behörigheter ska, så långt det är möjligt, vara baserade på personliga användaridentiteter. Gruppidentiteter får endast användas i undantagsfall omgärdat av en bedömning av säkerhetsmässiga konsekvenser. Då externa parter tilldelas behörigheter i universitetets system ska detta föregås av en riskbedömning. I ett fall då externa parter ges tillgång till känslig information ska 4

detta omgärdas av en restriktiv hållning samt därtill föregås av en bakgrundskontroll där samtliga aktuella personer inkluderas. 4.2 Angående dokumentation av behörigheter och roller En dokumentation som innehåller relevant information och som uppdateras löpande utgör en nödvändighet i sammanhanget. Nedanstående punkter anger grundläggande krav och förutsättningar vad avser dokumentation av behörigheter och roller. Det åligger systemägare, e-områdesansvarig/motsvarande att tillse att dokumentation över behörigheter och roller upprättas och hålls aktuell. Information om vilka som innehar behörigheter att hantera känslig information kan i sig själv betraktas som känslig och i behov av skydd. Det är av stor vikt att dokumentationen förvaras och hanteras med hänsyn tagen till känsligheten i denna. Kraven på vad som behöver dokumenteras och hur dokumentationen bäst utformas skiljer sig från fall till fall. Det åligger systemägare, e-områdesansvarig/motsvarande att utforma dokumentationen i enlighet med de aktuella behoven. 5

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss