Leverantörsförslag till samarbete kring säkerhetstest



Relevanta dokument
Systemförvaltningshandbok

IT-verksamheten, organisation och styrning

Informationssäkerhetspolicy för Vetlanda kommun

Lönsam syn på lön. är det möjligt? En gemensam skrift från Ledarna och Industri- och KemiGruppen

Digital strategi för Strängnäs kommun

Revisionsstrategi

IT-policy med strategier Dalsland

Tjörns Miljö AB Budgetdokument 2010

Ramverk för systemförvaltning

Handledning alternativa lönemodellen. En handledning skapad av SLA och Kommunal

Informationssäkerhet - Instruktion för förvaltning

Protokoll. Utbildningsnämndens arbetsutskott

Personal- och arbetsgivarutskottet

Slutrapport projektgenomförande - Aurora Innovation AB

Att förändra framgångsrikt. Exempel på planeringsmatriser till förtydligade och kompletterade områden i förskolans läroplan

Tilldelningsbeslut och upphandlingsprotokoll avseende upphandling av budget & prognosverktyg för kommande ramavtal med Åklagarmyndigheten

Projektplan för avfallsplanearbete SÖRAB

Lundens förskola. Plan mot diskriminering och kränkande behandling

LYFTIS lyft teknikämnet i skolan. Ett material för struktur i utveckling av skolans teknikämne.

Rengsjö förskolas plan mot diskriminering och kränkande behandling

IPv6 EN GOD BÖRJAN GER ETT GOTT SLUT. LÅT OSS BÖRJA.

E-tjänst över näringsidkare

Förfrågningsunderlag: Valfrihet inom hemtjänsten i Krokoms kommun. Lag om valfrihet (LOV) gällande omvårdnad och/eller service

Sammanfattning. Inledning 1 (5) SAMMANFATTNING AV SLUTRAPPORT

Jämförelse mellan miljöledningssystemen Svensk Miljöbas, ISO och EMAS Svensk Miljöbas 3:2013

Förklaringstexter till SKL:s uppföljningsformulär

IT-chefen 2011 Rapport om IT-chefens vardag på svenska företag

FÖRÄLDRASAMVERKAN STIMULERAR OCH UTVECKLAR

Redovisning av uppdrag lämnade till förvaltning, gymnasiechef eller administration av gymnasienämnden 2010

Lönebildning och lönesamtal

Detta dokument anger uppgifter och ansvarsfördelning mellan och inom olika delar av ledningen för Margarethaskolan i Knivsta.

Workshop: Hälsofrämjande ledarskap och medarbetarskap, kl

Grundläggande IT-strategi för Falkenbergs kommun Kommunledningskontoret IT-avdelningen

VERKSAMHETSPLAN 2014/2015

Avtal. Mediebevakning Referensnr: nummer: E-post: se

Artister för miljön. Redovisning av interrimsstyrelsens förslag till verksamhetsbeskrivning

Kristinebergskolan åk 4-6s plan mot diskriminering och kränkande behandling

Anteckningar Strategiska styrgruppen

KOMMUNIKATIONSPLAN. HELENA GRANATH Innovatum

VARIM VILL: En presentation av branschorganisationen för svensk vattenreningsindustri.

UTBILDNING: Socialt ansvar

Policy för informationssäkerhet

Stockholms universitets miljöledningssystem

Handläggningsordning för förvaltning av IT-system vid Högskolan Dalarna

Styrning och uppföljning inom Bildningsutskottets verksamhetsområde

Lönnens förskolas plan mot diskriminering och kränkande behandling

HANDBOK. för dig som medverkar i Ifous FoU-program

ORGANISATION FÖR LÄRARES KARRIÄRUPPDRAG

Folkhälsokommitténs sekretariat. Johan Jonsson

Brief EuroPride 2018

Programområde Vägledande idé och tanke Perspektiv Elevens perspektiv.. 5. Föräldrarnas perspektiv... 5

ATT DRIVA JÄMSTÄLLDHET

Säkerhetsbrister i kundplacerad utrustning

Metodbok i innovationsupphandling

Bengt Friberg, kommunchef Maria Larsson, personalchef. Anita Olsson, utredare Kristina Stillmark, chef CUL 77. Mia Larsson

Matematikstrategi

Gäller från 1 januari 2015 ALLMÄNNA VILLKOR. 1. Team och tjänster. 2. Arvoden och kostnader 1(6)

Förskolan Kornknarren. - om arbetssätt, förhållningssätt och Törebodas värdegrund och vision

Förskolan Ängslyckans plan mot diskriminering och kränkande behandling

Utbildningsförvaltningen. Spånga gymnasium 7-9 [117]

Högskolegemensam handlingsplan för hållbar utveckling

Snabbintroduktion till Öppen Teknisk Plattform (ÖTP) för medborgare

Projekt L4U Lean Life Long Learning Ungdom Enköping Kommun

Granbergs Förskolas plan mot diskriminering och kränkande behandling

Revisionsrapport Granskning av Enhetlighet i biståndsbedömning för försörjningsstöd Christina Svensson. Arvika kommun

Rostocks förskolas plan mot diskriminering och kränkande behandling

Samverkansprojektet Svensk geoprocess

Diarienr. HUVUDKONTORET MiT-ENHETEN. IT-bilaga Hälsoval. Landstinget Dalarna. Version: 1.1 Versionsdatum:

Framtidsbild Västsverige

till Landstingsstyrelsen överlämna förvaltningens förslag

Bilaga 22 till kundval hemtjänst IT relaterade beskrivningar

Jomala kommun Mål och riktlinjer

Till dig som driver företag

Utbildningsförvaltningen. Arbetsplan för Hallaryds förskola

RIKTLINJER FÖR LOKALRESURSPLANERING, LOKALFÖRSÖRJNING OCH LOKALANVÄNDNING

Policy för internationellt arbete

Riktlinjer för godkänt/icke godkänt betyg på examensarbetet på civilingenjörs /arkitekt- och masterprogram

KommITS 10 år! Internationell vårkonferens maj 2006

Avtalsvillkor. 1 Inledning. 2 Definitioner. 3 Villkorens tillämpningsområde. 4 Kvalificeringsvillkor. Egendeklaration av registrerade produkter

1 Kortfattad introduktion till området och avropsprocessen Beskrivning av området Beskrivning av avropsprocessen 3

Insatser till barn i behov av särskilt stöd

Lednings- och styrdokument STYRNING OCH ORGANISATION. Styrdokument antaget av kommunfullmäktige den 20 juni 2011

Revidering av policy och regler för informationssäkerhet i Stockholms stad

Utvecklingssamtal vid Stockholms universitet

Verksamhetsplan Arbetsåren

Kapitel 7 Hantering av tillgångar

Näringslivsstrategi för Nynäshamns kommun

Rapport från enkät Digital kompetens lärare f-6

Verksamhetsplan för SIS/TK 466 Belägenhetsadresser

Missiv Dok.bet. PID131548

Ledningssystem för kvalitet

1 Information om upphandlingen

Åshammars. Plan mot diskriminering och kränkande behandling

Lönepolicy. med kriterier, tillämpningar, samt handlingsplan för åren Fastställd av Kommunfullmäktige 2014-xx-xx, paragraf xx

Lärandet. Lekfullhet. Vårt Kunskapscenter får genom praktiska och mer sinnliga aktiviteter barn och unga intresserade av energi och miljö

Ledningen i fokus - starkare styrning krävs för att utveckla statlig verksamhet med bra och säkra IT-/e-tjänster

Kompetensområden och kompetensnivåer. vid miljöförvaltningen

KVALITETS- OCH KONTROLLBESTÄMMELSER FÖR ELEKTRISK UTRUSTNING

Effektrapport, Skåne Stadsmission 2015

Tjänsteskrivelse. Uthyrning/utlån av skollokaler

Transkript:

Samarrbetsförslag Version 1.1 1(6) Utfärdare Claes-Olof Olsson Ert datum Er referens Leverantörsförslag till samarbete kring säkerhetstest Företag: Accolm AB Parter: Föreningen Sambruk + fem utvalda/frivilliga kommuner Syftet med projektet CVA är 1. Skapa tydligare riktlinjer för kommunens inleverans och interndebitering av förvaltnings överbryggande IT tjänster. 2. Främja kommunens engagemang i kvalitativt säkrade e-tjänster både internt samt mot kommunens individer. 3. Främjande av ett tydliggörande i kommunens incidenthanteringsprocess Visionen är att: 1. Sammanställa ett underlag vid upphandling och andra förvaltnings överbryggande IT lösningar samt bidra till en tydligare bild om hur kravställning och informationsflödet inom de förvaltningarna ser ut då deltagarna kommer från både verksamhet och IT. 2. Medverkande får en större insikt i de sårbarheter man står inför och samtidigt informeras om hur man bäst skyddar sig mot dessa. Genom workshops och utbildning få förhöjd intern IT säkerhetskunskap och kompetens i förebyggande åtgärder. Informationen skapar dialoger mellan kommuner och bidrar till det kommunala säkerhetsforumet. Fr a m st äll d fr ån en av F O R M so ft A B 3. Tydliggöra kommunens interna tekniska ansvarsområden samt tilldela verksamhetens driftstekniska resurser ägare som vid en akut situation snabbt kan identifieras.

2(6) Projektetförutsättningar Parterna avser genomföra ett projekt (Projektet), omfattande primärt applicerande av en av Accolms lösningar kallad Continuous Vulnerability Assessment (CVA) på Sambruks egen IT-miljö samt på motsvarande villkor för fem (5) av Sambruks valda medlemskommuner. Sambruk avser inkludera fem av sina medlemskommuner i projektet. Syftet med projektet är att demonstrera Accolms förmåga att hjälpa till med att upptäcka sårbarheter i webbapplikationer och / eller nätverk samt hjälpa säkra webbapplikationer och nätverk, bevisa Accolms kunnande inom området, förbättra Sambruks webbapplikationssäkerhet samt genom Accolms webbaserade verktyg Enterprise Security Console (ESC) synliggöra Applikation / Server / Nätverk /Infrastruktur sårbarheter i Sambruks IT-miljö för Sambruk, utbyta kunskap mellan parterna, och i vidare mening pröva parternas förmåga att främja varandras intressen. Projektets omfattning och utförande beskrivs i kommande stycken. Accolms prestation Projektet kommer att bestå av: 1. Skanning av valfria applikationer samt externt och internt nätverk 2. Presentation av identifierade sårbarhet och risker 3. Demonstration: Sambruks, respektive deltagande kommuners nytta i att använda ESC, t.ex. scan rapporter, scanhistorik, trendanalyser, översyn av publicerade sårbarheter relevant för Sambruk, och deltagande kommuner, anpassningsbarhet för Ledning, Utvecklare och Tekniska användare, hur ESC hjälper Sambruk samt deltagande kommuner följa MSB s incidenthanteringsprocess etc.. Projektet avses ge Sambruk och deltagande kommuner en förhöjd säkerhetsnivå samt en förnyad inblick i sin egen IT-miljö, dess styrkor och svagheter på samma sätt som inom Accolms kommersiella uppdrag. Sambruk och deltagande kommuner antas lägga ned en självvald mängd arbete för att åtgärda de sårbarheter som upptäckts. Kostnad Den monetära ersättningen är 0 kr, och består istället av Sambruks prestationer enligt nedan. Sambruks prestation Sambruk skall visa upp Accolm genom en logotyplänk och tillhörande sponsringsbudskap på sin hemsida, i samma stil som andra sponsrande leverantörer. Denna länk och budskap skall kvarstå under år 2015, med möjlighet till förlängning till sådan tidslängd som Sambruk anser står i proportion till projektets omfattning och den levererade nyttan.

3(6) Accolm får rätt att berätta om Projektet som pedagogiskt exempel i kontakter med t ex andra svenska kommuner, för att underlätta förståelsen av sitt budskap samt referenssyfte. Sambruk erbjuder sig ställa upp som referenskontakt i händelse av att organisation inom dess verksamhetsområde, dvs svenska kommuner, överväger att anlita Accolm och vill ställa frågor om Accolm. Accolm och Sambruk skall ger varandra ömsesidigt utrymme att föra ut sina budskap till relevant publik tex vid seminarier eller andra evenemang om relaterade ämnen, genom på platsmedverkan, utdelning av material eller liknande. Motsvarande gäller för tryckta publikationer eller motsvarande som parterna kan komma att publicera under 2015. Projektets genomförande Etapp 1 1. Identifiering av nyckelpersoner/resurser som omfattas i projektet. 2. Specificera implementationen av CVA, genom att sammanställa information för berörda tekniska system. 3. Upprättning av site to site IPSec VPN koppling. 4. Val av webapplikationer, nätverk, tid, frekvens för skanning. I de fall kommunens driftansvar även inkluderar utomstående system är det av yttersta vikt att dokumentationen innehåller uppgifter för de system som ej ska inkluderas i projektet, ex. livsuppehållande system etc. Etapp 2 1. Konkretisera samt fördela ansvar för aktuella verksamhetskritiska tekniska system. 2. CVA som aktivitet, workshop och utbildning i ESC. 3. Scanning av valda webapplikationer samt nätverk. 4. Resultatanalys av CVA 5. Genomgång av resultatanalys med sammanfattningsrapport, åtgärdsrapport och åtgärdsinstruktioner. 6. Implementation av åtgärdsrekommendationer. 7. Genomförande av etapp 2, pkt 3 6 igen.

4(6) Parallellt med Etapp 2 genomförs projektets del 3; Tydliggörande av Incidenthanteringsprocess. Etapp 3 1. Sammanställning av underlag för informationsflöde och interna kravställningar. 2. Gemensam genomgång av erfarenheter och lärdomar. 3. Sammanfattning, utvärdering och projektavslutning.

5(6) Appendix 1 1.1 De kommuner som inkluderas i projektet åtar sig uppdraget att dokumenterar vilka interna personer/positioner och verksamhetsområden/förvaltningar som berörs av projektet. Definiera de olika aktiviteterna inom dessa och skapa en aktivitetslista. 2.1 Projektet ger de medverkande kommunerna en större insikt i de sårbarheter man står inför och informerar samtidigt hur man bäst skyddar sig mot dessa. Utöver att höja säkerheten och få nöjdare användare även spara arbetstid. 3.1 I linje med SKL, MSB och PTS stödja införandet av säker adressering på internet. Detta inkluderar beskrivelse av vilka rutiner och säkerhetslösningar som måste etableras för att uppfylla de mål som beskrivs av MSB i bl.a styrdokumentet, Att hantera överbelastningsattacker. Systemförvaltningsmodellen ger förbättrad intern resursöverblick samt beskriver roller och ansvar kring systemförvaltning av kommunens ITsystem. Se beskrivning av roller i appendix 2

6(6) Appendix 2 Roller i systemförvaltningsorganisation Systemägare Systemägaren ansvarar för ett systemförvaltningsobjekt och beslutar om utveckling och avveckling av systemförvaltningsobjektet. Systemägaren tar beslut om mål och budget för systemförvaltningsobjektet i form av systemförvaltningsplan. Systemägaren utser systemförvaltare. Systemägaren tecknar överenskommelse, SLA, med systemägare IT. Systemägare IT Systemägare IT ansvarar för att tillgodose behov av infrastruktur och teknisk plattform för ett systemförvaltningsobjekt. Systemägare IT deltar i fastställande av systemförvaltningsplan. Systemägare IT utser teknisk systemförvaltare. Systemägare IT är IT-chefen. Om systemförvaltningsobjektet nyttjas gemensamt av flera förvaltningar skall det finnas skriftliga överenskommelser om villkoren för detta. Systemförvaltare En systemförvaltare ska, inom givna ekonomiska ramar, ta ett funktionellt ansvar för ett förvaltningsobjekt. Detta innefattar att driva utveckling enligt uppsatta systemförvaltningsplaner, följa upp efterlevnad av avtal mm. Teknisk systemförvaltare En teknisk systemförvaltare ska i samråd med systemförvaltaren ta ett tekniskt ansvar för förvaltningsobjektet. Detta förutsätter kompetens om de specifika tekniska förutsättningar som gäller för förvaltningsobjektet. Den tekniska systemförvaltaren är ett stöd till systemförvaltaren i tekniska frågeställningar. Informationsägare Informationsägaren har det övergripande och yttersta ansvaret för den information som används av ett eller flera system. Informationsägare fattar det avgörande besluten om informationen, om det behövs utveckling, förvaltning och avveckling av informationen.