Riktlinje för mobil användning av IT - remissvar



Relevanta dokument
Riktlinje för mobil användning av Internet, e-post och mobila enheter

Riktlinje för mobil användning av IT - remissvar

Riktlinje för mobil användning av IT

Riktlinje för användning av Internet, e-post och mobila enheter

Överflyttning av ärenden mellan kommuner reglerades tidigare i 16 kap 1 SoL. I och med lagändringen återfinns motsvarande regler i 2 a kap SoL.

RIKTLINJER FÖR ANVÄNDNING AV PTS IT- ARBETSPLATS

Riktlinjer för bisysslor

Riktlinje för mobil användning av Internet, e-post och mobila enheter

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Alla barn har rätt till en bostad! svar på motion väckt av Birgitta Ljung (MP), Marianne Broman (MP) och Åke Wickberg (MP)

Metod för klassning av IT-system och E-tjänster

Gäller från 1 januari 2007 Antagen av KF 246/2006. IT-säkerhetsinstruktion för användare

Planerings- och personalutskottet

Uppföljning av korttidsvistelse - Habiliteket AB

Ansökan om överlåtelse av förskolan Atlas från Förskolan Luna ekonomisk förening

Uppföljning av särskilt boende - funktionshinderområdet, egen regi

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

Syfte...1 Omfattning...1 Beskrivning...1

Informationssäkerhetspolicy för Vetlanda kommun

Äldreomsorgens årsberättelse om lex Sarah 2012, egen regi

e-strategi i utbildningen

POLICY FÖR DATA- OCH INFORMATIONSSÄKERHET VID BMC I LUND

Rehabiliteringspolicy för Huddinge kommun

Förändring av ersättning till utförare av särskilt boende

Granskning av målstyrning och mätetal svar på revisionsskrivelse från Huddinge kommuns revisorer

Regelverk 1-1. Överenskommelse för lån av ipad. Avtal om lån av studie-ipad med möjlighet att använda den för privat bruk utanför skolans lokaler.

Telefonipolicy. Innehållsförteckning

Trygg och effektiv utskrivning från sluten vård (SOU 2015:20) yttrande

L! arienummar. Samtliga styrelser/nämnder bör vidta åtgärder för att säkerställa rutiner angående bisyssla så att riktlinjen följs.

POLISMYNDIGHETEN I IT-POLICY 1 (5) ÖSTERGÖTLANDS LÄN Förvaltningsavdelningen

IT-policy Scenkonst Västernorrland AB

Yttrande om lagförslag av ett gemensamt ansvar för mottagande av nyanlända - PM från Arbetsmarknadsdepartementet

Uppföljning av särskilt boende LSS

Plan för tillsyn enligt alkohollagen, tobakslagen och lagen om handel med vissa receptfria läkemedel

Trygg och effektiv utskrivning från sluten vård (SOU 2015:20) yttrande

Strategi för samverkan med högskolor och universitet - remissvar

Rätt information på rätt plats och i rätt tid (SOU 2014:23) remissvar

Uppföljning Attendo familjerådgivning

Gratis SL-kort till alla gymnasieelever Svar på motion väckt av Marie Fors (S)

Ändring av namnet på Arvodeskommittén till Kommittén för arvodes- och partistödsfrågor samt fastställande av reglemente för kommittén

Ändring av egenavgiften för familjerådgivning

Granskning av manuella utbetalningar svar på revisionsskrivelse

Äldreombudsmannens rapport - oktober till december 2015

Tilläggsavtal 3 till avtal om ändring och tillägg till mark- och exploateringsavtal för fastigheten Orren 7 i Stuvsta

Remiss- Webbriktlinjer för Huddinge kommun 2014

Vetenskapsrådets informationssäkerhetspolicy

Enkel Säkerhetspolicy för Mobila enheter

BARN- OCH UNGDOMSNÄMNDEN. Ärende nr 4

Informationssäkerhet i. Torsby kommun

Rätt information på rätt plats och i rätt tid (SOU 2014:23) remissvar

Ansökan om godkännande och rätt till bidrag för Familjedaghemmet Rosen

Basutbud till skolan från folkbiblioteksverksamheten

Informationshantering Vägval Älgö

Tillsyn enligt personuppgiftslagen (1998:204) Intern åtkomst till personuppgifter hos Migrationsverket

skyddsrond: Digital arbetsmiljö

Återvinningsstation för glas, plåt, plast, kartong på Palissadvägen svar på medborgarförslag väckt av Fransisco Garcia Gonzalez

Dokumenttyp. Namn på uppdraget. Integrering mellan larmhanteringssystem och vård- och omsorgssystem

IT-verksamheten, organisation och styrning

Öppna en ungdomsgård i Vårby Haga/Masmomedborgarförslag

Enkätundersökning med personal, före arbete med digitalt stöd i hemmet

Kallelse till Huddinge brottsförebyggande råd

Riktlinjer vid användning av e-post i

Nationella riktlinjer för vård och omsorg vid demenssjukdom egen regi

Uppföljning av 2008 års granskning av informationssäkerheten hos Knivsta kommun KS-2011/787

Riktlinjer för behandling av personuppgifter vid webbpublicering

Ändring av egenavgiften för familjerådgivning

Riktlinje för användning av Internet, e-post och mobila enheter

Uppföljning av ramavtal HVB missbruk och socialpsykiatri 2013

Frågor rörande kommunens bolag med anledning av ändrade bestämmelser i 3 kap. 17 och 6 kap. kommunallagen

Det föreslagna beslutet medför inga kända ekonomiska konsekvenser för kommunen.

Kommunövergripande riktlinjer för säkerhet och krisberedskap i Östra Göinge kommun mandatperioden

Granskning av demensvård yttrande över revisonsrapport

Utredning om införande av digital nämndhantering för socialnämnden

Svar över vidtagna åtgärder önskas före februari månads utgång 2009.

Anmälan av delegationsbeslut till kommunstyrelsens sammanträde den 29 april 2015

Framställan om förändrad trängselskatt i Stockholm (Fi2013/2867) - svar på remiss från Finansdepartementet

Policy för informationssäkerhet

Översyn av riktlinjer för att motverka mutor

Ge kultur-och fritidsnämnden i uppdrag att i samarbete med Samkraft skapa en cykelverkstad för ungdomar - svar på motion väckt av Lisbeth Krogh (HP)

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

1T1 SOLLENTUNA KOMMUN e

Informationssäkerhetsinstruktion användare

Värdegrund för Huddinge kommun remissvar

Patientsäkerhetsberättelse CityAkuten i Praktikertjänst AB

Huddinge kommuns ombud på 2014 års bolagsstämmor i SRV återvinning AB innefattande direktiv till ombudet

Socialnämnden TJÄNSTEUTLÅTANDE 1 (3) SOCIAL- OCH ÄLDREOMSORGSFÖRVALTNINGEN DATUM DIARIENR SIDA SN-2012/ KS-2012/1085.

Informationssäkerhet - Instruktion för förvaltning

Arbetsmiljöpolicy för Vingåkers kommun

Riktlinjer vid examination

Regler för behandling av personuppgifter vid Högskolan Dalarna

Hur gör jag med dokumenten?

Utbildnings- och informationsmaterial för pilot papperslös nämndhantering Sundbybergs stad våren 2012

Hemvårdsförvaltningen/Socialförvaltningen. RUTIN Dokumentnamn Riktlinjer för hälso- och sjukvårdsdokumentation RIKTLINJE

Äldreombudsmannens årsrapport 2015

Informationssäkerhet för Sektor omsorg

Svar till kommunrevisionen avseende genomförd IT-revision

Kallelse till Huddinges råd för funktionshinderfrågor

Tillsyn enligt personuppgiftslagen (1998:204) avseende behörighetsstyrning i ParaGå


Säkerhetsåtgärder vid kameraövervakning

Transkript:

SOCIAL- OCH ÄLDREOMSORGSFÖRVALTNINGEN TJÄNSTEUTLÅTANDE 2014-02-12 SN-2013/4961.156 KS-2013/1036.156 1 (3) HANDLÄGGARE Christina Ring 08-535 378 15 christina.ring@huddinge.se Socialnämnden Riktlinje för mobil användning av IT - remissvar Förslag till beslut Socialnämnden godkänner förvaltningens tjänsteutlåtande Riktlinje för mobil användning av IT-remissvar och överlämnar det till kommunstyrelsens förvaltning som sitt yttrande i ärendet. Sammanfattning Kommunstyrelsens kansli har arbetat fram en riktlinje för mobil användning av IT som skickats på remiss till socialnämnden. Riktlinjen tydliggör krav gällande informationssäkerhet baserat på dagens ökade behov av flexibla och mobila arbetssätt. Förvaltningen ställer sig positiv till riktlinjen då den tydliggör krav gällande informationssäkerhet och stödjer förvaltningens arbete inom området. Framtagande av ytterligare modeller och mallar till stöd är önskvärt samt tydliggörande kring roller och ansvarsförhållanden. Förvaltningen arbetar aktivt med informationssäkerhet då mängden känslig information är stor. Till exempel är en framtagen rutin för logguppföljning under införande. Beskrivning av ärendet Socialnämnden har fått en remiss från kommunstyrelsens förvaltning: Riktlinje för mobil användning av IT. Remissen består av tre dokument. Riktlinje för användning av Internet, e-post och mobila enheter, Säkerhetsinställningar mobila enheter samt rutiner för incidenthantering. samt Informationsklassificeringsmodell för informationstillgångar. Riktlinjen utgår från dagens ökade behov av flexibla arbetsformer som i sin tur ställer ökade krav på säkerhet i informationssystem för att uppfylla bland annat lagkrav. Målgruppen är anställda, förtroendevalda och andra som har tillgång till kommunens verksamhetssystem. Riktlinjen pekar på ansvar kring kommunens säkerhet som ska följa linjeorganisationen samt vikten av information och utbildning för medarbetare i frågan. Vidare tas användning av olika digitala verktyg upp och hur dessa får användas. Till exempel är Internet och e-post arbetsverktyg och POSTADRESS Social- och äldreomsorgsförvaltningen 141 85 HUDDINGE BESÖKSADRESS Gymnasietorget 1, plan 5 TELEFON (VX) OCH FAX 08-535 300 00 08-535 378 20 E-POST OCH WEBB social@huddinge.se www.huddinge.se

SOCIAL- OCH ÄLDREOMSORGSFÖRVALTNINGEN TJÄNSTEUTLÅTANDE 2014-02-12 SN-2013/4961.156 KS-2013/1036.156 2 (3) får endast användas för privat bruk om det inte inkräktar på arbetet, medför kostnader eller på annat sätt skadar kommunen. Distansarbete i verksamhetssystem utanför arbetsplatsen och åtkomst till information via mobila applikationer, ska ha föregåtts av en risk- och sårbarhetsanalys. Detta för att säkerställa korrekt informationshantering och tillämpliga säkerhetslösningar. Varje chef ansvarar för att medarbetarna har kompetens gällande mobilt utnyttjande av IT och att lagar, policys och riktlinjer är kända och följs. Som ett komplement till risk- och sårbarhetsanalys ska också informationsklassificering av verksamhetssystemens information göras för att identifiera konsekvenser av felaktig hantering av informationen. Rutinen beskriver en säkerhetsorganisation och pekar på att förvaltningarna ska ha ansvariga som hjälper till med riskanalyser och annat i informationssäkerhetsarbetet. Uppföljning ska ske regelbundet i syfte att säkerställa att verksamheten lever efter gällande lagar och fastställda policys och riktlinjer, genom till exempel regelbundna logguppföljningar av användarnas aktiviteter i kommunens olika system. Ansvarig för att kontroller finns och genomförs är verksamhetschef, informations- och systemägare. Till riktlinjerna finns två bilagor. En av dessa listar säkerhetsinställningar för mobila enheter och rutin för incidenthantering. Den andra visar en informationsklassificeringsmodell. Förvaltningens synpunkter Förvaltningen ser positivt på riktlinjen och anser att den fångar de viktiga frågor organisationen står inför gällande ökande mobilt och flexibelt arbete med digitala verktyg. Då informationshantering är kopplat till kommunens säkerhet så är det bra med en tydlighet var ansvaret ligger för detta. Riktlinjen ger stöd gällande krav på teknik och hantering av information. Förvaltningen önskar att ett fortsatt arbete sker genom ett framtagande av kommungemensamma mallar och modeller som stöd i förvaltningarnas arbete med informationssäkerhet. Rutinen redogör för att det ska finnas lokalt utsedda personer i varje förvaltning som är behjälplig med olika analyser i arbetet, vilket är positivt. Förvaltningen ser behov av komplettering där roller definieras. Precis som vi har rollerna systemansvarig och systemägare så är det av vikt att tydliggöra till exempel informationsansvarig och informationsägare. För förvaltningen är arbetet med informationssäkerhet av största vikt då stora mängder av känslig information hanteras. Förvaltningen arbetar mycket inom verksamhetsutveckling med IT där till exempel Nationell ehälsa är drivande

SOCIAL- OCH ÄLDREOMSORGSFÖRVALTNINGEN TJÄNSTEUTLÅTANDE 2014-02-12 SN-2013/4961.156 KS-2013/1036.156 3 (3) gällande nya digitala och mobila arbetssätt. Införandet av ett mer strukturerat arbetssätt kring informationssäkerhet kan under en övergångsperiod innebära ett ökat arbete inom förvaltningen då modeller och metoder behöver arbetas in och viss kompetensutveckling kan behövas. Vad gäller uppföljning och loggkontroll av användares aktiviteter i verksamhetssystem arbetar förvaltningen med detta idag. En rutin för kontroller är framtagen för verksamhetssystemen och är under införande i förvaltningen. Britt-Marie Karlén Förvaltningschef Christina Ring Enhetschef IT Bilagor 1. Riktlinje för användning av Internet, e-post och mobila enheter 2. Säkerhetsinställningar mobila enheter samt rutiner för incidenthantering 3. Informationsklassificeringsmodell för informationstillgångar Beslutet delges Kommunstyrelsens förvaltning

KOMMUNSTYRELSENS FÖRVALTNING BILAGA 1 2013-10-14 KS-2013/1036.156 1 (3) HANDLÄGGARE Ingela D Hellström 08-535 301 71 Ingela.d.hellstrom@huddinge.se <Mottagare> Säkerhetsinställningar mobila enheter samt rutiner för incidenthantering För att så långt möjligt skydda att individer och verksamheter drabbas av incidenter till följd av virus, skadlig kod eller identitetsstölder ska mobila enheter ha följande säkerhetsinställningar: Enheten är ett arbetsredskap och ska inte lånas ut till andra för annat syfte eller lämnas obevakade utan uppsikt. Kodlås ska vara aktiverat och enheten ska vara inställd för att låsas automatisk efter 30 sekunders inaktivitet. Enheten ska vara inställd för att automatisk utloggning ska ske från tjänster och verksamhetssystem efter 10 minuters inaktivitet. Användarnamn och lösenord för inloggning till olika program eller applikationer ska inte förvaras i den mobila enheten. Automatiska inloggningar bör undvikas. Det är inte tillåtet att använda annan anställds användaridentitet för inloggning. Bluetooth ska vara inaktiverad när den inte används. Enheten ska vara inställd på att vara osynlig när funktionen används samt vara inställd på att inte tillåta automatiska uppkopplingar. Anslutning till verksamhetssystem via öppna WIFI-nätverk, exempelvis på allmänna platser eller nätverk som inte är krypterade, får endast ske via krypterad förbindelse (https). Enheten ska ha säkerhetsprogramvara installerad samt ha funktion för distansradering av information vid förlust av enhet. Enheter som synkroniseras med kommunens e-postkonto och kalender ska vara inställda så att original finns kvar på kommunens e- postserver för att minska risken för att information förkommer vid POSTADRESS Kommunstyrelsens förvaltning BESÖKSADRESS Kommunalvägen 28 TELEFON (VX) OCH FAX 08-535 300 00 08-535 301 70 E-POST OCH WEBB huddinge@huddinge.se www.huddinge.se 141 85 HUDDINGE

KOMMUNSTYRELSENS FÖRVALTNING BILAGA 1 2013-10-14 KS-2013/1036.156 2 (3) förlust av enhet. Synkronisering ska endast kunna ske efter angivande av låskod. Uppdatering av mobila enheter ska ske fortlöpande vartefter nya säkerhetsuppdateringar lanseras eller annars på uppmaning av centrala IT-sektionen. Vid resa utanför EU/EES får inga personuppgifter hänförliga till arbetet bearbetas eller hanteras på enheten. Länkar, filer och program från okända avsändare bör behandlas restriktivt då det kan innehålla virus eller skadlig kod. Vid tveksamhet kontakta IS/IT-samordnare eller centrala IT-sektionen innan sådan öppnas eller installeras. Funktion för automatisk öppning av meddelande ska vara avstängd på enheten. Centralt förinställda säkerhetsinställningar får inte stängas av eller förändras. Det är inte tillåtet att jailbreaka eller annars göra rooting på den mobila enheten. GPS-funktion ska vara avstängd om funktionen inte behövs i tjänsten. Det är inte tillåtet att byta SIM-kort i enheten för att använda den privat. Det är inte tillåtet att använda enheten som modem eller att annars kringgå ordinarie uppkoppling mot verksamhetssystem. Incidenthantering Om misstanke finns om att någon annan använt anställds användaridentitet, att enheten har utsatts för virus eller annan skadlig kod ska det omgående anmälas till närmaste chef. För att minska risken för vidarespridning ska följande göras: Ange vilket system, tjänst eller applikation det gäller och vid vilken tid det upptäcktes. Om något avviker från det normala exempelvis att information har lagts till, tagits bort eller kanske vidarebefordrats från något e- postkonto.

KOMMUNSTYRELSENS FÖRVALTNING BILAGA 1 2013-10-14 KS-2013/1036.156 3 (3) Undvik om möjligt att tills vidare använda enheten. Om enheten har tappats bort eller blivit stulen ska det omedelbart anmälas till IT-sektion för att minska risken för vidarespridning av information etc. Vid förlust ska lösenord omedelbart bytas på inloggning till konton som enheten har haft access till.

KOMMUNSTYRELSENS FÖRVALTNING Kansli DATUM SIDA DIARIENUMMER 18 november 2013 1 (2) KS-2013/1036.156 KOMMUNSTYRELSENS FÖRVALTNING Bilaga 2 Informationsklassificeringsmodell för informationstillgångar Spårbarhet 4 Konsekvensnivformation Åtkomstbegränsning 1 Riktighet 2 Tillgänglighet till in- 3 Allvarlig/ Information som, om den Oriktig information kan Avbrott i tillgänglighet till katastrofal kommer i orätta händer, kan medföra allvarlig/katastrofal skada medföra allvarlig/katastrofal skada. information kan medföra allvarlig/katastrofal skada. Användning eller ändring av information ska ske under strikt kontrollerade former och enbart tillåtas för särskilt godkänd personal. För information som kan bli föremål för sekretess enl. 15 kap. 1-2 OSL Mycket strikt kontroll av i princip all data. 1. Information med mycket höga krav på riktighet 2. Verksamhet där hantering av information styrs av specifika lagparagrafer, t.ex. säkerhetsskyddslag (1996:627) samt säkerhetsskyddsförordning (1996:633) Alternativa rutiner ska finnas för tillgång till informationen. Vid fel ska ingen information förloras. Avsaknad av möjlighet att följa upp specificerade händelser kan medföra allvarlig/katastrofal skada. Mycket strikta krav på att entydigt kunna följa vem som gjort vad, när detta skett och liknande relaterat till säkerhetskrav i lagar och förordningar. Betydande Information som, om den kommer i orätta händer, kan medföra betydande skada. Spridning, användning eller ändring av information ska ske under kontrollerade former och enbart tillåtas för godkänd behörig personal. 1. Information som kan bli föremål för sekretess enl. OSL 7 kap 3 18 kap1-4, 8-10, 13 19 kap 3, 21 kap 1, 2,3,4, 7 23 kap 2-5 25 kap 1-6, 8, 10-11, 13-14 26 kap 1-8, 10 31 kap 16-19 2. Information som påverkas av lagkrav hänförbara till visst verksamhetsområde t ex patientjournallag. Oriktig information kan medföra betydande skada. Strikt kontroll av i princip all data. 3. Information med särskilt höga krav på riktighet (t ex affärssystem). 4. Verksamhet där hantering av information styrs av specifika lagparagrafer, t.ex. känsliga personuppgifter (pers. ansvar). 5. Information för kritiska processer i verksamheten. Avbrott i tillgänglighet till information kan medföra betydande skada. Kortvariga störningar i datordriften där information inte är tillgänglig uppgår till mindre än 4 timmar. Vid fel ska ingen information förloras. Information som ingår i eller stöder verksamhet där avbrott i datordriften innebär att man inte kan upprätthålla nödvändig tillgänglighet och servicenivå i produktionen med alternativa metoder och procedurer. 1. För verksamheten mycket kritisk information. Avsaknad av möjlighet att följa upp specificerade händelser kan medföra betydande skada. Stora krav på att entydigt kunna följa vem som gjort vad, när detta skett och liknande relaterat till revisionskrav och/eller lagar och förordningar. 1 Åtkomstbegränsning (även konfidentialitet/sekretess): att informationen skyddas för obehöriga. 2 Riktighet: att informationen är riktig och inte ändras obehörigt. 3 Tillgänglighet: att informationen finns tillgänglig för rätt person vid rätt tillfälle. 4 Spårbarhet: att på individnivå kunna visa vem som haft tillgång till informationen, när och om någonting förändrats.

KOMMUNSTYRELSENS FÖRVALTNING Kansli DATUM SIDA DIARIENUMMER 18 november 2013 2 (2) KS-2013/1036.156 KOMMUNSTYRELSENS FÖRVALTNING Måttlig Information som, om den kommer i orätta händer, kan medföra måttlig skada. Spridning, användning eller ändring av information får endast ske av godkänd behörig personal. 1. Information innehållande känsliga personuppgifter enligt PUL 2. Information som kan bli föremål för sekretess enligt OSL övriga paragrafer. 3. Information avsedd för egen personal. Oriktig information kan medföra måttlig skada. 1. Information som omfattas av lagrum där riktighetskrav anges (t ex. PUL). 2. Information som ingår i myndighetsutövning. 3. Information där krav på spårbarhet eller oavvislighet 5 föreligger. Information som ingår i eller stöder verksamhet där avbrott i tillgänglighet till information kan medföra måttlig skada. Kortvariga störningar i datordriften där information inte är tillgänglig uppgår till som mest en arbetsdag. Vid fel ska information från mer än en halv arbetsdag aldrig förloras. 1. Information som ingår i eller utgör stöd för myndighetsutövning och/eller kärnverksamhet. Avsaknad av möjlighet att följa upp specificerade händelser kan medföra måttlig skada. Spårbarhetskrav på vissa specificerade händelser och vem som skapat vad och när. Ingen eller försumbar Information som vid oönskad spridning endast medför ringa eller ingen skada 6. Informationen utgörs enbart av allmän offentlig information. Oriktig information medför endast ringa eller ingen skada. Data kan accepteras mer eller mindre utan kontroll. Avbrott i tillgänglighet till information medför endast ringa eller ingen skada. Störning i datordriften där information inte är tillgänglig under flera arbetsdagar är hanterbart. Vid fel ska information från mer än en arbetsdag aldrig förloras. Information där verksamhetsberoendet är lågt. Avsaknad av möjlighet att följa upp olika händelser medför endast ringa eller ingen skada. Inga behov av spårbarhet. 5 Med innebörden att utförande av en specifik handling inte i efterhand ska kunna förnekas av utföraren. 6 Med skada avses badwill, ekonomisk skada, men eller annan skada för kommunen eller intressent. I begreppet intressent innefattas personalen, kommuninnevånare, tredje man etc.

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss