Gemensamma anvisningar för informationsklassning. Motala kommun



Relevanta dokument
Riktlinjer för informationsklassning

Informationssäkerhetsanvisning

Pass 2: Datahantering och datahanteringsplaner

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet

Regler för IT-säkerhet vid Göteborgs universitet anger. Publiceringsdatum Juni 2007 (senaste rev. dec 2013)

Informationssäkerhetspolicy för Ånge kommun

Posthantering och annan överföring av sekretessbelagd och integritetskänslig information

Säkerhetsinstruktioner för användare av Falköpings kommuns nätverk

Informationssäkerhetspolicy

Regler för IT-säkerhet vid Göteborgs universitet anger. Publiceringsdatum Juni 2007 (senaste rev. feb 2015)

Riktlinjer för informationssäkerhet

Informationssäkerhet, Linköpings kommun

Regler för IT-säkerhet vid Göteborgs universitet anger. Publiceringsdatum Juni 2007 (rev. juni 2012)

Metod för klassning av IT-system och E-tjänster

Ärendet. Förslag till beslut Nämnden föreslås besluta att. - anta informationssäkerhets- och it-plan för Staffan Blom Förvaltningschef.

Regler för lagring av Högskolan Dalarnas digitala information

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Publiceringsdatum Juni 2007 ( rev. September 2011)

Informationssäkerhetspolicy för Katrineholms kommun

IT-säkerhetsinstruktion

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Beslutsdatum (rev )

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

POLICY FÖR E-ARKIV STOCKHOLM

Informationssäkerhetspolicy

1(6) Informationssäkerhetspolicy. Styrdokument

Rutin vid kryptering av e post i Outlook

Informationssäkerhetspolicy KS/2018:260

Bilaga 3 Anvisningar gällande Säkerhetsskydd

Informationssäkerhetsinstruktion. medarbetare

IT-säkerhetsinstruktion Förvaltning

Regelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga D. Personuppgiftsbiträdesavtal. Version: 2.

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

DOKUMENTNAMN: IT-användarpolicy SKAPAT DEN: TYP AV DOKUMENT: Policy SENAST ÄNDRAT DEN:

Informationssäkerhet - Instruktion för förvaltning

Informationssäkerhetspolicy

Riktlinjer för informationssäkerhet

Informationssäkerhet Riktlinje Förvaltning

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

POLICY FÖR E-ARKIV STOCKHOLM

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Informationssäkerhetspolicy

Informationssäkerhetspolicy

Informationssäkerhetsinstruktion: Användare

Kommunal författningssamling för Smedjebackens kommun. Informationssäkerhetspolicy. 97 Dnr 2016/00447

Mall säkerhetsskyddsavtal (nivå 1)

Instruktion för informationssäkerhetsklassning

Säker informationshantering

Dnr

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Informationsklassning , Jan-Olof Andersson

Informationssäkerhetspolicy

Informationssäkerhetspolicy. Linköpings kommun

Hur Sydarkivera långtidsbevarar digital information på ett säkert sätt

Förstudie e-arkiv Begreppslista Begreppslista 1.0

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

POLICY INFORMATIONSSÄKERHET

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhetspolicy

Informationssäkerhetspolicy för Ystads kommun F 17:01

Informationssäkerhetsanvisningar Förvaltning

Regler för IT-säkerhet vid Göteborgs universitet anger. Publiceringsdatum Juni 2007 (rev.april 2009) Beslutsdatum (rev.

Riktlinje för hantering av personuppgifter i e-post och kalender

Säkerhetsinstruktion 1 BAKGRUND INLOGGNING HANTERING AV INFORMATION INTERNET E-POST INCIDENTER...

Informations- och IT-säkerhet i kommunal verksamhet

Säkerhetsskyddsplan för Älvsbyns kommun

Bilaga 1 - Handledning i informationssäkerhet

Informationsklassning

SÄKERHETSFÖRESKRIFTER FÖR FÖRVALTNING AV IT-SYSTEM

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

I n fo r m a ti o n ssä k e r h e t

Riktlinje för användning av Internet, e-post och mobila enheter

Bilaga 3c Informationssäkerhet

Informationsklassning och systemsäkerhetsanalys en guide

Bilaga 3c Informationssäkerhet

Sekretessavtal. (Projekt namn)

Rekryteringsmyndighetens interna bestämmelser

Handlingsplan för persondataskydd

Riktlinjer för Informationssäkerhet Falkenbergs Kommun Kommunledningskontoret

Informationssäkerhet - Informationssäkerhetspolicy

Riktlinje för mobil användning av IT - remissvar

SOLLENTUNA FÖRFATTNINGSSAMLING

Dessa riktlinjer utgör en del av kommunens Informations- och kommunikationsstrategi samt kommunens e-poststrategi och fastställs av Kommunstyrelsen.

EBITS E-MÖTE / VIRTUELLT MÖTE 5 INFORMATIONSKLASSNING. 1 Syfte. 2 Avgränsningar. 3 Bakgrund. 4 Informationsformer

Fortsatt arbete utifrån dataskyddsförordningen, GDPR. Denna presentation utgår i första hand från ett informationssäkerhetsmässigt perspektiv

Anvisning om dokumenthantering vid KTH

Informationssäkerhetspolicy

Koncernkontoret Enheten för säkerhet och intern miljöledning

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

ARKIVREGLEMENTE FÖR LUNDS KOMMUN

Rekryteringsmyndighetens interna bestämmelser

Bilaga Utkast till Säkerhetsskyddsavtal (Nivå 3)

Fastställt av: Christer Lundstedt Framtaget av: Ann-Catrin Wallin Sid:1 (5) Fastställd av Ledningsgruppen för TFS

Ny i nätverket kontoansökan och information till tillfälliga användare

1 (5) Säkerhetsskyddsplan för Motala kommun Antagen av kommunstyrelsen , 286

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

Bilaga Utkast till Säkerhetsskyddsavtal (Nivå 1)

Transkript:

Gemensamma anvisningar för informationsklassning Motala kommun

Beslutsinstans: Kommunfullmäktige Diarienummer: 11/KS 0071 Datum: 2011-08-22 Paragraf: 107 Reviderande instans: Kommunstyrelsen Diarienummer: Datum: Paragraf: Gäller från: 2011-08-22 Gemensamma anvisningar för informationsklassning Följande anvisningar utgör bilaga till Motala kommuns Informationssäkerhetspolicy vilken är kommunens övergripande styrdokument för hantering av informationssäkerhet. All information i Motala kommun skall klassificeras utifrån krav på skyddsvärde, riktighet och tillgänglighet. Behandling av information som innehåller personuppgifter skall anmälas till kommunens personuppgiftsombud som ger anvisningar om hur informationen får hanteras. Informationsägare är ansvarig för informationsklassning av enskilda dokument och klassificeringen genomförs främst utifrån kriterierna skyddsvärde och riktighet. Systemägare är ansvarig för informationsklassning av hela IT-system och klassificeringen skall genomföras utifrån alla tre kriterier. Informationsklassning Resultatet från nedanstående tre olika klassificeringar skall utgöra det samlade kravet på skydd av och tillgänglighet till den aktuella informationen eller IT-systemet. De samlade kraven utgör grunden för hur informationsägaren skall hantera informationen och underlag för systemägarens kravställning på ett IT-system. Skyddsvärde (sekretess) Informationen skall vid informationsklassning bedömas utifrån kravet på skyddsvärde. Kravet på skyddsvärde klassificeras mot nedanstående fyra informationsklasser. Där informationsklass ett har lägst krav på riktighet och klass fyra högst krav på riktighet. Är informationen skyddsvärd för MK, medarbetare eller tredje part? Kan informationen beläggas med sekretess? Är informationen knuten till forskning med särskilda sekretesskrav? Klass 1 Klass 2 Klass 3 Klass 4 Gemensamma anvisningar för informationsklassning Sida 1 (4)

För information i klass 1 gäller: Informationen får lagras på arbetsstationens lokala hårddisk. Informationen får även lagras på flyttbart medium utan restriktioner. Informationen får överföras elektroniskt utan kryptering. Informationen får överföras via fax och med post, såväl internt som externt. T.ex. information som kan spridas till en obestämd krets utan risk för negativa konsekvenser. För information i klass 2 gäller: Informationen skall i första hand lagras på en fristående server och ej på arbetsstationens lokala hårddisk. Servern skall vara placerad i ett godkänt serverrum. Informationen får även lagras på flyttbart medium utan restriktioner. Informationen får överföras elektroniskt utan kryptering. Informationen får faxas under förutsättning att mottagarkontroll genomförs. Vid försändning med internpost skall förslutet kuvert användas. Extern posthantering får användas. Datamedia, som innehåller information i klass 2, ska vid transport/förvaring utanför verksamhetens lokaler alltid vara kontinuerligt övervakad eller krypterad. T.ex. intern myndighetsinformation som inte kan beläggas med sekretess enligt sekretesslagen. För information i klass 3 gäller: Informationen skall lagras på en fristående server i ett skyddat nät 1. Servern skall vara placerad i ett godkänt serverrum. Informationen får i undantagsfall lagras på en arbetsstation under förutsättning att hela lagringsmediet är krypterat och att IT-systemet inte delar ut resurser. Informationen får lagras på flyttbart medium under förutsättning att hela lagringsmediet är krypterat samt att det hålls inlåst när det inte används. 2 Dessa medium får ej lämnas utan uppsikt och ej förflyttas utanför MK:s lokaler såvida det inte skickas till annan behörig mottagare. All elektronisk överföring av informationen skall vara krypterad. Informationen får ej faxas och vid försändning externt skall postbefordran med REK och mottagningsbevis alternativt bud användas. Vid försändning med internpost skall dubbla förslutna kuvert användas. Vid byte av hårddisk skall den utbytta hårddisken förstöras mekaniskt alternativt skrivas över enligt standard DoD 5520-22.M, med ett av MK tillhandahållet överskrivningsprogram så att lagrad information inte kan återskapas. Destruktionsintyg respektive signerad anteckning om överskrivning skall arkiveras. T.ex. information som kan beläggas med sekretess enligt sekretesslagen. 1 Ett skyddat nät har regler för inkommande och utgående trafik. Nätet kan skyddas med t ex brandväggar. 1. 2 Med arbetsstation avses både stationära och bärbara persondatorer. Exempelvis CD/DVD/diskett/USB-minne/handdator/löstagbar hårddisk/band. För säkerhetskopior/backup gäller särskilda rutiner Gemensamma anvisningar för informationsklassning Sida 2 (4)

För information i klass 4 gäller: Informationen skall lagras på fristående server i isolerat nät 3 och ej på arbetsstationens lokala hårddisk. Servern skall vara placerad, separat inlåst, i ett godkänt serverrum. I de fall då server ej finns att tillgå skall informationen lagras på en krypterad separat hårddisk som när den inte nyttjas skall förvaras i säkerhetsskåp av klass SS 3492. Bärbar dator låses in på motsvarande sätt då den inte används. Informationen får lagras på annat flyttbart medium under förutsättning att hela lagringsmediet är krypterat samt att det förvaras inlåst i säkerhetsskåp av klass SS3492 när det inte används. Det flyttbara mediet får ej lämnas utan uppsikt och ej förflyttas utanför MK:s lokaler såvida det inte skickas till annan behörig mottagare. All elektronisk överföring av informationen skall vara krypterad. Informationen får inte faxas och vid försändning externt skall postbefordran med REK och mottagningsbevis alternativt bud användas. Informationen får inte sändas med internpost. Vid byte av hårddisk skall den utbytta hårddisken förstöras mekaniskt så att lagrad information inte kan återskapas. Destruktionsintyget skall arkiveras. T.ex. information knuten till uppdragsforskning med särskilda sekretesskrav, information enligt sekretesslagen 2:1 (förhållande till främmande makt) och 2:2 (försvarssekretess) Riktighet Informationen skall vid informationsklassning bedömas utifrån kravet på riktighet, det vill säga skydd mot oavsiktlig eller avsiktlig förvanskning. Kravet på riktighet klassificeras mot nedanstående tre informationsklasser. Där informationsklass A har lägst krav på riktighet och klass C högst krav på riktighet. Kan oriktig information medföra skada? Kan oriktig information medföra allvarlig skada? Klass C Klass A Klass B För information i klass A gäller: Inga krav ställs på verifiering av riktigheten i informationen eller skydd mot förvanskning av informationen. 3 Ett isolerat nät är helt fristående och inte kopplat till Internet eller andra nätverk. Gemensamma anvisningar för informationsklassning Sida 3 (4)

För information i klass B gäller: Informationen skall vara spårbar och riktigheten skall kunna verifieras t.ex. genom signering. T.ex. information som ingår i myndighetsutövning, information för vilken lagrum ställer krav på riktighet, webbinformation och dylikt. För information i klass C gäller: Varje inmatning (transaktion) eller förändring av information skall vara spårbar och riktigheten skall kunna verifieras för varje inmatning eller förändring av information. Informationen skall förses med ett högt skydd mot oavsiktlig eller avsiktlig förändring och får endast hanteras i ett skyddat nät med ett anpassat behörighetskontrollsystem. T.ex. Information i IT-system med särskilda krav på riktighet såsom ekonomiadministrativa system, IT-system för kritiska processer i verksamheten, IT-system som behandlar personuppgifter. Tillgänglighet Kravet på tillgänglighet skall uttryckas i tidstermer och i vilken utsträckning avbrott kan accepteras. Finns krav på informationens tillgänglighet? Ange tid och utsträckning för acceptabel tillgänglighet Ingen klassning behövs Vid framtagandet av kraven skall följande frågeställningar belysas: Hur länge skall informationen finnas tillgänglig? Hur många timmar per dygn skall informationen vara tillgänglig? Vad är längsta acceptabla avbrott? Vilket antal avbrott per tidsenhet kan accepteras? Varifrån skall informationen vara tillgänglig? Referenser Informationssäkerhetspolicy, 11/KS 0071, 107 Rutiner för hantering av elektronisk post, KS 2009-04-21, 121, reviderade 2010-04-08 Gemensamma anvisningar för informationsklassning Sida 4 (4)

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss