Kontinuitetsplan IT. Bilaga till Informationssäkerhetspolicy

Relevanta dokument
GRUNDMALL FÖR KONTINUITETSPLAN / ÅTERSTARSTPLAN

Informationssäkerhetspolicy för Vetlanda kommun

EBITS Energibranschens Informations- & IT-säkerhetsgrupp

Informationssäkerhetspolicy för Nässjö kommun

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUNS NÄTVERK 1 INLEDNING BAKGRUND...1

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Informationssäkerhetspolicy för Ånge kommun

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUN

STADSDELSFÖRVALTNING. Kontinuitets- och Avbrottsplan gällande IT-stödd verksamhet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

Informationssäkerhetspolicy

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Plan för att förebygga och hantera extraordinära händelser. Beslutad av kommunfullmäktige 25 september 2017, 102/17, Dnr KS2017.

Policy för informationssäkerhet

Riktlinjer för högskolegemensamma styrdokument

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

IT-policy. Förvaltningen Björn Sandahl, förvaltningschef

Plan. för hantering av samhällsstörningar och extraordinära händelser Beslutat av: Kommunfullmäktige. Beslutandedatum:

INFORMATIONSSÄKERHET 1 INLEDNING MÅL FÖR IT-SÄKERHETSARBETET... 2

Handläggningsordning för förvaltning av IT-system vid Högskolan Dalarna

BESLUT redigerad Dnr 12/626

Krisledningsplan för Hässleholms kommun

Plan för samhällsstörning och extraordinära händelser - ledningsplan. Lysekils Kommun

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Krisledningsplan. Inför och vid särskilda och extraordinära händelser. Socialförvaltningen. Diarienummer: Krisledningsplan

KRISHANTERINGSPLAN Ledningsplan för allvarliga och extraordinära händelser i Ronneby kommun

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C

Regler och instruktioner för verksamheten

Informationssäkerhetspolicy

VGR-RIKTLINJE FÖR KOMMUNIKATION OCH DRIFT

Plan för kommunal ledning och kommunikation vid kriser och extraordinära händelser

IT-SÄKERHETSPOLICY. Stadskontoret. 1 Inledning Definition Omfattning Mål för IT-säkerhetsarbetet... 2

Rikspolisstyrelsens författningssamling

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

IT-Säkerhetsinstruktion: Förvaltning

Krisledningspolicy för Villa Lidköping BK

Informationssäkerhet i. Torsby kommun

Krisledningsplan för Oxelösunds kommun

Plan för extraordinära händelser Sektor Service. Beslutad av servicenämnden 3 september 2015, 50. Dnr SEN

Säkerhetsplan. för Friluftsfrämjandets verksamheter

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Informationssäkerhetspolicy för Ystads kommun F 17:01

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Publiceringsdatum Juni 2007 ( rev. September 2011)

BESLUT redigerad Dnr 17/617

Informationssäkerhetsanvisningar Förvaltning

Informationssäkerhetspolicy för Katrineholms kommun

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

Bilaga till rektorsbeslut RÖ28, (5)

IT-säkerhetsinstruktion Förvaltning

Behandling av personuppgifter enligt dataskyddslagstiftningen. Riktlinjer

Rapportering vid personuppgiftsincidenter

Driftsäkerhet. Ett utbildningsmaterial för god funktion och säkerhet i stadsnäten

Övergripande beskrivningar av akademiska funktioner i GIH:s organisation

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Reglemente för intern kontroll

Dnr UFV 2017/93. Informationssäkerhet. Riktlinjer för säkerhetsarbetet vid Uppsala universitet. Fastställda av Universitetsdirektören

Informationssäkerhet - Instruktion för förvaltning

Informationssäkerhetspolicy

KRISPLAN VID STOCKHOLMS UNIVERSITET

Informationssäkerhetspolicy

Riktlinjer för styrdokument

Stöd för ifyllnad av formuläret för itincidentrapportering

Informationssäkerhetspolicy för Umeå universitet

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Kungsörs kommuns författningssamling Nr D.5

Policy Document Number ESS Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet

Myndigheten för samhällsskydd och beredskaps författningssamling

Informationssäkerhetspolicy KS/2018:260

Plan för kommunal ledning och information vid kriser och extraordinära händelser

Informationssäkerhetspolicy

Beslut om att inrätta funktionen tjänsteman i beredskap samt revidering av kommunens ledningsplan för extraordinär händelse

Protokollsutdrag. 346 Revisionsrapport Uppföljning IT-säkerhet och införande av dataskyddsförordningen - svar Dnr KS/2018:384

Slutrapport. Certifiering LADOK Pontus Abrahamsson Lösningsarkitekt Säkerhet

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet

Kommunikationsplan vid kris

Handlingsplan för persondataskydd

Krisplan vid Linnéuniversitetet allmän bakgrund Beslutad av rektor Dnr: ST 2013/

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

KRISPLAN OCH INCIDENTHANTERING

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Handlingsplan för Samhällsstörning

Riktlinjer för kris- och kontinuitetshantering

Riktlinje för informationssäkerhet

Policy och strategi för informationssäkerhet

Policy fo r krisberedskap KOMMUNFULLMÄKTIGE

Riktlinjer för kris- och kontinuitetshantering

Krisledningsplan

DATASKYDD (GDPR) Del 1: Kommun- /regionledning

Dnr

Riktlinjer för säkerhet i Växjö kommun

Riktlinjer för kris- och kontinuitetshantering

Förmåga att motstå svåra påfrestningar genom alternativa lösningar

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Handläggningsordning för krishantering

Styrdokument för krisberedskap i Markaryds kommun

Informationssäkerhetspolicy. Linköpings kommun

Transkript:

Intendentur och service Chef Fredrik Nilsson STYRDOKUMENT Diarienummer: GIH 2018/245 Datum: 2018-05-09 Beslutat av: Rektor Beslutsdatum: 2018-06-13 Ersätter Dnr: Ö 2013/219 Giltighetstid: Tillsvidare 1(8) Bilaga till Informationssäkerhetspolicy Gymnastik- och idrottshögskolan Lidingövägen 1 Box 5626 114 86 Stockholm Tel 08-120 537 00 www.gih.se registrator@gih.se

2(8) Innehållsförteckning Bakgrund och Syfte... 3 Villkor för aktivering av kontinuitetsplan... 3 Katastrof... 3 Allvarligt avbrott... 3 Inledande aktiviteter... 3 Analys av störningen/avbrottet... 3 Process för upptäckt av avbrott... 3 Namn och roll i Katastrofgruppen:... 4 Åtgärder Avbrottsplan... 5 Incidentrapporteringsskyldighet... 5 IT-incidenter... 5 Personuppgiftsincident... 5 Checklistor vid olika typer av incidenter... 5 Systemfunktion utslagen... 5 Hårdvara... 5 Applikationer... 5 Sabotage... 5 Virus... 5 Aktivering av reservdrift/reservrutin... 6 Syfte med reservdrift... 6 Beslut om förberedelser av reservdrift/reservrutin... 6 Samordnare för reservdrift/reservrutin... 6 Instruktioner för samordnaren... 6 Loggbok... 6 Förberedelser för reservdrift/reservrutin... 6 Beslut om övergång till reservdrift/reservrutin... 6 Reservdrift och reservrutiner... 7 Servicenivå, prioriteringar... 7 Utformning av reservdrift... 7 Lagstiftning... 7 Backuphantering... 7 Återläsning... 7 Revidering och underhåll av kontinuitetsplanen... 8 Utbildning och övning... 8 Grupper som informerar internt... 8 Kontaktuppgifter... 8

3(8) BAKGRUND OCH SYFTE Kontinuitetsplanering är en metod för att säkerställa GIH:s leveransförmåga av IT-system och IT-drift vid störningar och/eller avbrott. Detta omfattar ofta en avbrottsplan och en katastrofplan för IT. Skador och säkerhetsrisker förebyggs genom bl.a.: Backup/säkerhetsarkivering Dokumentation Revidering och underhåll av IT-system Utbildning En kontinuitetsplan för IT måste hållas aktuell och kontinuerligt anpassas till förändringar i organisationen. VILLKOR FÖR AKTIVERING AV KONTINUITETSPLAN ska omfatta de åtgärder som ska säkerställa en kontinuerlig drift vid allvarligare avbrott och/eller störningar. Planen ska aktiveras när en katastrof och/eller ett allvarligt avbrott har inträffat. Katastrof Definition av katastrof enligt GIH är att leverantörens datahall där vi har våra servrar samt att vårt eget serverrum förstörs av brand, vattenläckage eller liknande. Allvarligt avbrott Definition av en allvarlig händelse enligt GIH är att vi förlorar kontakten till vår driftleverantörs serverhall eller att vårt datanät går ner. INLEDANDE AKTIVITETER Analys av störningen/avbrottet Innan åtgärderna för att återskapa påbörjas, bör katastrofgruppen genomföra en snabb analys av omfattning och vilka konsekvenser avbrottet/störningen kan orsaka samt analysera var/varför avbrottet/störningen uppstått. Process för upptäckt av avbrott Olika källor som kan upptäcka avbrott, samt informationsflöden vid avbrottsrapportering: 1. Larm via övervakning Larm från driftleverantörens övervakningssystem för vår virtuella servermiljö eller från vår leverantör av telefoni, datakommunikation och datanät.

4(8) 2. Drift för systemet Avbrott p.g.a.: Exchange tjänster och andra tjänster som går ned. Prestandaproblem: CPU, minne, disk Högt belastade e-post köer Hårdvarufel Fel i operativsystem Fel i applikationer 3. E-post ifrån användare Information från våra användare om störning eller driftfel. 4. Teknisk Drift Avbrott p.g.a.: Fel i nätverkskomponenter, t ex switchar, routrar, brandvägg mm. Kabel- eller fiberfel LARM Larm ska ske när det uppstått en störning eller ett avbrott där åtgärden inte hanteras enligt normal drifthantering och/eller omfattningen inte omedelbart kan bedömas eller avhjälpas. Larm ska ske till: Rektor Förvaltningschef Ansvarig chef för IT Den person som tar emot larmet kontrollerar om kontinuitetsplanen ska aktiveras enligt villkoren nedan. Om kontinuitetsplanen ska aktiveras ska katastrofgruppen sammankallas snarast. KATASTROFGRUPPEN De personer som ska vara med och ta beslut om alternativa rutiner, återstart och eventuella korrigerande åtgärder ska finnas med i gruppen. En katastrofgrupp ska inrättas med i förväg utsedda medlemmar, inklusive ersättare. Namn och roll i Katastrofgruppen: Förvaltningschef Ansvarig chef för IT Kommunikationsansvariga Katastrofgruppen har det övergripande ansvaret och ska fatta beslut om bland annat: 1. förbereda reservdrift 2. övergå till reservdrift 3. övergå till normal drift 4. information till användare 5. övergång till alternativa rutiner

5(8) ÅTGÄRDER AVBROTTSPLAN Incidentrapporteringsskyldighet IT-incidenter GIH har rapporteringsskyldighet vid IT-incidenter till MSB, Myndigheten för samhällsskydd och beredskap, och dess enhet CERT (www.cert.se). Rapportering av incident ska då ske inom 24 timmar från det att incident inträffat. Personuppgiftsincident GIH har rapporteringsskyldighet vid personuppgiftsincidenter till tillsynsmyndighet. Rapportering av incident ska ske inom 72 timmar från det att incident inträffat. Checklistor vid olika typer av incidenter Åtgärder som görs efter ett avbrott/incident. Systemfunktion utslagen Se Klassificering av TA-system för GIH.xlsx för systemansvarig. Se även Kontaktuppgifter Leverantörer.xlsx. Dokumenten finns i Informationssäkerhetspärmen. Hårdvara Se Checklista Hårdvara. Dokumentet finns i Informationssäkerhetspärmen. Applikationer Se Klassificering av TA-system för GIH.xlsx. Dokumentet finns i Informationssäkerhetspärmen. Sabotage Vid misstanke om sabotage, dokumentera datum/tid, fota och gör polisanmälan. Virus Vid misstanke om smitta med datavirus eller motsvarande, se Checklista vid Virus.xlsx. Dokumentet finns i Informationssäkerhetspärmen.

6(8) AKTIVERING AV RESERVDRIFT/RESERVRUTIN Syfte med reservdrift Reservdriften ska hålla bästa möjliga funktion utan att äventyra eller försena återgången till normal drift. Beslut om förberedelser av reservdrift/reservrutin Katastrofgruppen beslutar om förberedelse för övergång till reservdrift/reservrutin. Samordnare för reservdrift/reservrutin Dennes uppgift är att leda och samordna arbetet med förberedelser och genomförande av reservdrift/reservrutin. INSTRUKTIONER FÖR SAMORDNAREN Samordnarens uppgifter är att: 1. fördela arbetet till olika arbetsgrupper. 2. flera gånger dagligen lämna lägesrapporter till katastrofgruppen. 3. hålla regelbundna möten för att informera arbetsgrupperna om arbetsläget. 4. följa upp viktiga beslutspunkter för respektive arbetsgrupp. 5. samordna arbetet mellan arbetsgrupperna så att åtgärderna vidtas i rätt ordning. Loggbok En loggbok ska föras över alla åtgärder som vidtas. För varje aktivitet ska loggen innehålla datum, tidpunkt, ansvarig och namnet på den som skrivit in aktiviteten. FÖRBEREDELSER FÖR RESERVDRIFT/RESERVRUTIN Säkerställ viktig infrastruktur och logistik. BESLUT OM ÖVERGÅNG TILL RESERVDRIFT/RESERVRUTIN Beslut om övergång till reservdrift/reservrutin fattas av katastrofgruppen.

7(8) RESERVDRIFT OCH RESERVRUTINER Servicenivå, prioriteringar Respektive verksamhetsansvarig fastställer på vilken servicenivå som verksamheten ska upprätthållas vid en katastrofsituation. Utformning av reservdrift Driftrutiner för en situation med reservdrift bör utgå från de ordinarie rutinerna. Kraven på att snabbt få igång en reservdrift kan dock tvinga fram lösningar som avviker från ordinarie rutiner. Därför är det viktigt att dokumentera reservdriftens: Driftrutiner Konfigurationer Utformning av reservrutiner Exempel på vad som kan användas vid utformning av reservrutiner är: 1. Specifik utpekad dator. 2. Listor uttagna i förväg på verksamhetskritiska system med drift internt. 3. Manuella rutiner för nedtagning av hårdvara. 4. Återgång till normal drift. Lagstiftning Följande lagar ställer krav på GIH: 1. Högskolelag och Högskoleförordning 2. Tryckfrihetsförordningen 3. Offentlighetsprincipen 4. Arkivlagen och beslut om vad som ska sparas och val av media för långtidslagring av data 5. Dataskyddsförordningen (GDPR) BACKUPHANTERING Säkerhetskopior ska tas med en sådan frekvens att ingen allvarlig skada uppstår om information på original datamedia och minnesenheter förloras. Säkerhetskopior ska förvaras på annan plats än original. Detta hanteras av vår driftleverantör. ÅTERLÄSNING Återläsning sköts av vår driftleverantör vid begäran.

8(8) REVIDERING OCH UNDERHÅLL AV KONTINUITETSPLANEN Kontinuitetsplanen bör revideras en gång per år om inte annat beslutats Ansvarig för revidering är ansvarig chef för IT. UTBILDNING OCH ÖVNING För att verksamheten ska kunna bedrivas under någon form av katastrof eller Kris måste berörd personal få utbildning och övning inom: Krishantering utifrån GIH:s Krisledningsplan Eftersom GIH har vår servermiljö på annan plats än på GIH kan vi endast testa nätförbindelsen. DISTRIBUTION Information på denna kontinuitetsplan för IT finns hos ansvarig chef för IT. INFORMATIONSSPRIDNING Ansvarig för informationsspridning är GIH:s kommunikatörer mot allmänheten. All informationsspridning ska föregås av beslut i katastrofgruppen. Intern informationsspridning sker genom ansvarig chef för IT. Grupper som informerar internt 1. Ansvarig chef för IT 2. IT-personalen hjälper till med att besvara tekniska/drift-frågor 3. Reception LEVERANTÖRER Övergång till reservdrift medför att organisationens leverantörer direkt eller indirekt kommer att påverkas/inblandas. Det är därför nödvändigt att informera dessa om situationen som inträffat samt vad detta innebär för deras del som t.ex. nya rutiner. Informationen bör endast innehålla det som är relevant för dessa parter. Kontaktuppgifter Se Kontaktuppgifter Leverantörer.xlsx. Dokumentet finns i Informationssäkerhetspärmen.

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss