Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr 93-25-09 Kommunikation som tjänst - A



Relevanta dokument
Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Säkerhetsbrister i kundplacerad utrustning

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Vetenskapsrådets informationssäkerhetspolicy

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr Kommunikation som tjänst - A

Informationssäkerhetspolicy för Vetlanda kommun

MANUAL ADVANIA LEDNINGSSYSTEM

FÖRFATTNINGSSAMLING BESLUT GÄLLER FR FLIK SID Kf 83/ Kf IT-säkerhetspolicy

Tal till Kungl. Krigsvetenskapsakademien

Informationssäkerhet i. Torsby kommun

STRÖMSTADS KOMMUN SÄKERHETSPOLICY. Antagen av Kommunfullmäktige

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

Beredningen för integritetsfrågor

Kommunövergripande riktlinjer för säkerhet och krisberedskap i Östra Göinge kommun mandatperioden

Dok. Nr: VE V Verksamhetsmanual Benning Sweden AB

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

IT-säkerhetspolicy för Åtvidabergs kommun

IT-verksamheten, organisation och styrning

Patientsäkerhetsberättelse

SOX & ISO 9000-serien

Avbrott och störningar i elektroniska kommunikationsnät och tjänster

1(9) Ägardirektiv. Styrdokument

Redovisning av säkerhetsarbetet och säkerhetsläget i Västra Götalandsregionens verksamheter 2013

2014 års patientsäkerhetsberättelse för Villa Agadir

Vad vill MSB? Information till alla medarbetare om verksamheten 2014 med utgångspunkt i det vi vill uppnå i samhället

Riktlinjer och Instruktion för klagomålshantering

Beställare = Beställarenheten, Vård- och omsorgsnämnden. Stöd till vissa målgrupper som vårdar eller stödjer närstående, Socialtjänstlagen 5 kap 10.

Revisionsrapport Verksamheter på entreprenad

BILAGA 3 Tillitsramverk Version 0.8

EBITS Energibranschens IT-säkerhetsforum

Extrema vädersituationer i Stockholms län Risk- och sårbarhetsanalys samt förmågeanalys

Konferens om landstingens krisberedskap Utvecklingen av det civila försvaret. Magnus Dyberg-Ek Avdelningen för Utvärdering och lärande

Patientsäkerhetsberättelse CityAkuten i Praktikertjänst AB

Enkät rörande grossistmarknaden för högkvalitativt tillträde dnr

Patientsäkerhetsberättelse Sunnangårdens Gruppbostad

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet.

Informationssäkerhetspolicy

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Instruktion för Sveriges riksbank Bilaga 2

Krisledningsnämnd. Strategisk Krisledning. Krisledningsstab

Lagen om extraordinära händelser. Helen Kasström, MSB

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Bilaga 1: Brandskyddspolicy

2014 års patientsäkerhetsberättelse för Grönskogens äldreboende

PATIENTSÄKERHETSBERÄTTELSE. CityAkuten i Praktikertjänst AB. År 2013

2014 års patientsäkerhetsberättelse för Kvarngården.

ISO I PRAKTIKEN

Riktlinjer för systematiskt säkerhetsarbete och säkerhetsorganisation för Malung-Sälens kommun.

Informationssäkerhet - Instruktion för förvaltning

Sjöfartsverkets författningssamling

Riktlinjer för säkerhetsarbetet i Gullspångs kommun. Antagen av kommunfullmäktige

Styrsystem för Växjö kommun

Hällefors kommun. Uppföljning av intern kontroll Revisionsrapport. Offentlig sektor KPMG AB Antal sidor: 13

2015 års patientsäkerhetsberättelse och plan för 2016 Daglig Verksamhet Falkenberg Nytida AB

Patientsäkerhetsberättelse för vårdgivare

Vårt samhälle behöver ett civilt försvar för en bättre krisberedskap både till vardags och vid hot mot rikets säkerhet

Hållbarhetspolicy. Denna hållbarhetspolicy fastställdes av Castellum AB (publ) styrelse den 15 april 2015.

Bilaga Kravkatalog. Kommunikation som tjänst

Jämförelse mellan miljöledningssystemen Svensk Miljöbas, ISO och EMAS Svensk Miljöbas 3:2013

Informationssäkerhetspolicy inom Stockholms läns landsting

Kungälvs kommun - Kommunrevisionen. Informationsverksamheten Granskningsrapport. KPMG AB Antal sidor:

Riktlinjer för säkerhet i Växjö kommun

Bilaga 17 Mall för operativt samverkansavtal med GSIT 2.0- leverantören Dnr: /2015 Förfrågningsunderlag

Minnesanteckningar Driftsäkerhetsforum Tid: 26 november Plats: PTS lokaler på Valhallavägen 117 i Stockholm

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

2014 års patientsäkerhetsberättelse för Saltsjöbadens Sjukhus

Revisionsrapport: Granskning av faktureringsrutiner

SOSFS 2013:22 (M) Föreskrifter och allmänna råd. Katastrofmedicinsk beredskap. Socialstyrelsens författningssamling

Rutiner för ekonomisk uppföljning vid Stockholms universitet

En bild av kommunernas informationssäkerhetsarbete 2015

Plan för intern kontroll 2017

Varför ska vi ha en informationssäkerhetspolicy och hur tar vi fram en? En policy ska ju fånga in en organisations målsättning för ett visst område,

Säkerhetsplan. för Friluftsfrämjandets verksamheter

CERTIFIERING AV ARBETSMILJÖN

Ramverk för systemförvaltning

Digital strategi för Strängnäs kommun

Säker användning av mobil telefoni och datakommunikation inom Norrbottens Läns Landsting

Listning över landstingsgränserna. Konferens om nya patientlagen

Prioriteringsordning och planeringsunderlag för Styrel 2015

Stockholms läns landsting 1 O)

Areims miljö och energiledningssystem 2015

Teknisk handbok Projektering

Bilaga 3 Säkerhet Dnr: /

Bilaga Från standard till komponent

Införande av gemensam växelfunktion för stadens bolag och nämnder remiss

AVLÖSARSERVICE i hemmet LSS INTERN KRAVSPECIFIKATION Antagen av Vård- och omsorgsnämnden den 26 maj 2011 ( 62) Gäller from 1 januari 2012

Yttrande över KPMG:s granskning över läkemedelshanteringen inom särskilda boenden för äldre i Luleå kommun

2014 års patientsäkerhetsberättelse för. Magdalenagårdens vård och omsorgsboende

Revidering av policy och regler för informationssäkerhet i Stockholms stad

Gränsdragningen mellan den generella personuppgiftsregleringen och regleringen för området elektronisk kommunikation bör tydliggöras

Bilaga 8 Prislista Dnr: /2015 Förfrågningsunderlag

Förstudie. Nerikes Brandkår. Arbetsmiljöarbetet för ej utryckande personal Anders Pålhed

Kommissionens förordning (EU) nr 611/2013 av den 24 juni 2013 om åtgärder tillämpliga på anmälan av personuppgiftsbrott.

Vervas kräver ISO och ISO av alla statliga myndigheter. Maylis Karlsson, Utvecklingsstrateg Verva

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Utbildningsdag om informationssäkerhet

Myndigheten för samhällsskydd och beredskaps författningssamling

Transkript:

2 (14) Innehåll 1 Allmänt 3 2 4 2.1 Administrativa säkerhetskrav 4 2.2 Allmänna tekniska säkerhetskrav 6

3 (14) 1 Allmänt

2 4 (14) Informationssäkerhet och de risker myndigheter utsätts för är frågor som har stor betydelse. Att exempelvis kunna använda telefoni och kommunicera både internt och med andra myndigheter och allmänheten är en mycket viktig del i en myndighets verksamhet. skraven är indelade i dels administrativa säkerhetskrav som bl.a. omfattar policy, regelverk, rutiner, revisioner och uppföljning samt tekniska säkerhetskrav som omfattar fysisk säkerhet och data- och kommunikationssäkerhet. Utöver ställda krav i detta avsnitt kan det även finnas specifika tekniska säkerhetskrav kopplade till enskilda efterfrågade tjänster och funktioner. Svar: Telenor tillhandahåller tjänster till kunder med höga krav på kvalitet och service. En hög säkerhet på Telenor är en förutsättning för att företaget skall kunna leverera service och tjänster av hög kvalitet. Därför är vår målsättning att: information om våra kunde inte hamnar i obehörigas händer minimera störningar i våra nät och system som kan orsaka våra kunder skada eller besvär skydda företagerts tillgångar skydda våra medarbetares mentala och fysiska hälsa följa lagar, förordningar och övriga krav Detta görs genom införande och vidmakthållande av adekvat skydd inom de olika säkerhetsområdena: fysisk säkerhet informationssäkerhet personsäkerhet Interna regler och riktlinjer för detta är samlat i ett ramverk för respektive område. 2.1 Administrativa säkerhetskrav 2.1.1 Basnivå för informationssäkerhet Leverantören bör erbjuda tjänster och funktioner som uppfyller sådana säkerhetskrav att myndigheter och organisationer kan efterleva Krisberedskapsmyndighetens rekommendation Basnivå för informationssäkerhet (BITS) (KBM 2006:1) och medverka till att Beställaren kan upprätthålla en grundsäkerhet som minst motsvarar angiven basnivå. I första hand avses kapitlen 10-14 i BITS.

5 (14) Svar: Telenors ramverk för Informationssäkerhet är uppbyggt i enlighet med standarden ISO/IEC 27002:2005 Riktlinjer för styrning av informationssäkerhet och ISO/IEC 27001:2006 Ledningssystem för informationssystem Krav. Tjänsteutveckling och interna processer är i allt väsentligt i enlighet med denna standard vilket innebär att tjänsteproduktion och leveranser väl uppfyller grundkraven i KBM's BITS rekommendationer 2006:1. 2.1.2 Uppföljning och kontroll säkerhetsrevision Leverantören skall erbjuda Beställaren uppföljning och kontroll av att eventuella avtalade säkerhetsnivåer upprätthålles. Svar: Uppfylls, Telenor ställer sig positiva till att utverka modell och processer för kundens önskemål kring uppföljning och rapportering av säkerhetsstatus. Detaljer utformas i samråd med respektive kund. 2.1.3 s- och sårbarhetsanalyser Leverantören skall ha rutiner för att göra egna respektive medverka vid Beställarens säkerhets- och sårbarhetsanalyser för berörda tjänster och funktioner. Exempelvis kan detta gälla vid större förändringar i tjänst samt om beställaren begär att säkerhets- och sårbarhetsanalyser skall genomföras. Svar: Uppfylls, Telenor bedriver ett kontinuerligt arbete med identifiering av operationella risker i verksamheten, dessa riskbedömningar görs på flera olika nivåer, allt från företagsövergripande via bedömningar av risker i de olika värdekedjorna till analyser av enskilda tjänsteproducerande plattformar och infrastruktur. Telenor ställer sig positiv till att medverka i bedömningar kring risker för enskilda kunder och deras leveranser. För de kunder som önskar finns möjlighet att avtala om periodiska gemensamma forum eller arbetsmöten med fokus på risker och säkerhet. 2.1.4 Styrning & rutiner motsvarande SS-ISO/IEC 27002:2005 Leverantören skall för leverans och produktion av erbjudna tjänster och funktioner tillämpa policyer, processer, rutiner och strukturer avseende informationssäkerhet motsvarande SS-ISO/IEC 27002:2005. Svar: Uppfylls, Telenor har idag ett Ledningssystem för Informationssäkerhet som är i enlighet med SS-ISO/IEC 27002:2005 samt inrättat processer och interna kontroller motsvarande de krav som återfinns i den amerikanska Sarbane Oxley Act section 404

6 (14) 2.1.5 Redogörelse av Styrning & rutiner motsvarande SS-ISO/IEC 27002:2005 Svar: Telenor Sveriges modell för arbete med risker och säkerhet baseras på en centraliserad styrning och kontroll från företagsledningens sida, detta arbete leds av en centraliserad Risk- och savdelning, och ett decentraliserat operativt ansvar i de olika affärsområdena och avdelningarna. Modellens ledord är ansvarprincipen, likhetsprincipen och närhetsprincipen. Telenor har en lång erfarenhet som teleoperatör och därmed även lång erfarenhet och god kunskap om de specifika krav som ställs vid samarbete med stora företag, myndigheter, landsting och kommuner. 2.2 Allmänna tekniska säkerhetskrav 2.2.1 Fysisk infrastruktur Leverantören skall till Beställaren tydligt kunna redogöra för den nationella fysiska infrastruktur och det egna kommunikationsnät som tjänsten är baserad på med fysisk placering av relevanta noder och nationella framföringsvägar för fysiskt media. Svar: Uppfylls, Telenors leverans av tjänster baseras i huvudsak på egen infrastruktur och i de fall det inte är möjligt på hyrd, men av Telenor kontrollerade förbindelser. Infrastrukturen för leverans av Telenors tjänster är fördelad på ett stort antal olika anläggningar runt om i landet, allt från fullskaliga datahallar/växelhallar i byggnader eller bergrum till enskilda containrar intill en mobilmast. Det totala säkerhetsskyddet för dessa olika typer av anläggningar varierar beroende på anläggningens storlek och funktion. Figur 1 nedan beskriver Telenors nationella transmissionsnät och centrala huvudnoder.

7 (14) Figur 1 Telenors transmissionsnät

8 (14)

9 (14) Figur 2 Täckningskarta mobilnät

10 (14) 2.2.2 Uthållighet Leverantören bör följa PTS allmänna råd om god funktion och teknisk säkerhet samt uthållighet och tillgänglighet vid extraordinära händelser i fredstid efterlevs (PTSFS 2007:2). Svar: Telenor har rutiner/planer och beredskap för extraordinära händelser med påverkan på vår telekommunikationsinfrastruktur och dess funktionalitet, dessa planer revideras och testats internt med regelbundet intervall. Huvuddelen av infrastrukturen har byggts med redundans i olika nivåer och lager för att i möjligaste mån säkerställa tillgänglighet i tjänster till kund. Test av Telenors planer och beredskap sker dels genom egna tester och övningar och dels genom regelbundet deltagande i kris- och katastrofövningar ledda av PTS. PTS genomför periodiskt tillsyn av Telenor Sverige och dess dotterbolag, denna tillsyn har utfallit med goda resultat innebärande att PTS och Telenors bedömning av efterlevnaden av rekommendationerna är goda. 2.2.3 Skydd av tjänst Beskriv hur tjänster skyddas mot otillbörligt nyttjande, intrång, avlyssning, annan manipulering, sabotage och sammankoppling med andra kunders kommunikationstjänster och hur spårbarhet av förändringar och händelser i tjänsten kan säkerställas. Svar: Telenor säkerställer skyddet av sina tjänster och sin infrastruktur genom en kombination av processer, kontroller och stödsystem samt logiska och fysiska skyddsmekanismer i enlighet med vid rådande tid bedömd branschpraxis. Telenor kan för enskild kund med särskilda behov erbjuda olika tilläggstjänster inom säkerhetsområdet.

11 (14) 2.2.3.1 Mobila tjänster Logisk grundsäkerhet i mobiltelefoninätet är uppbyggt i enlighet med gällande standarder för GSM och UMTS. Detaljerade beskrivningar av säkerhetsmekanismer och tekniker återfinns i respektive produktbeskrivning. Figur 3 Grundsäkerhet i mobila tjänster

12 (14) 2.2.3.2 Fasta telefonitjänster, PSTN Grundsäkerheten i det fasta telefoninätet är i enlighet med branschstandard för PSTN. Detaljerade beskrivningar av säkerhetsmekanismer och tekniker återfinns i respektive produktbeskrivning. Figur 4 Grundsäkerhet i fasta telefonitjänster

13 (14) 2.2.3.3 Fasta datanätstjänster/kommunikationstjänster Grundsäkerheten i datanätverkstjänsterna är baserad på gällande standarder för respektive teknik. Detaljerade beskrivningar av säkerhetsmekanismer och tekniker återfinns i respektive produktbeskrivning. Figur 5 Grundsäkerhet i fasta datanätstjänster/kommunikationstjänster

14 (14) 2.2.4 Rapportering Leverantören skall omedelbart rapportera brister i skyddet av eller angrepp mot tjänsten eller till tjänsten relaterad infrastruktur till Beställaren. Svar: Uppfylls, Telenor erbjuder dels en generell rapportering och dels möjlighet till kundanpassad rapportering avseende säkerhetsrelaterade incidenter i tjänster, produkter och tjänsteproducerande plattformar i den mån det har en påverkan på leveransen till kund. Tidsförhållandet för rapporteringen är beroende på incidentens art och allvarlighetsgrad.

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss