Informationssäkerhetsinstruktion: Förvaltning (Infosäk F)



Relevanta dokument
Informationssäkerhetsanvisningar Förvaltning

Informationssäkerhet - Instruktion för förvaltning

Kravspecifikation / Uppdragsbeskrivning

Riktlinjer för informationssäkerhet. ver 1.0. Antagen av Kommunstyrelsen

Policy för informationssäkerhet

Taxor och avgifter - Översiktlig granskning av den interna kontrollen

AppGate och Krisberedskapsmyndighetens basnivå för informationssäkerhet, BITS

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

Bredbandspolicy för Skurups kommun

Riktlinjer för upphandling av konsulttjänster och entreprenader inom mark, anläggnings och byggsektorn

Aktivitets- och internkontrollplan, bilaga till nämndsplan Lokala nämnden Halmstad år 2015

CHECKLISTA FÖR NYA MEDARBETARE VID ONKOLOGI-PATOLOGI

Integrationshandledning eped - läkemedelsinstruktioner

Instruktioner samt tidplan för hantering av kapital under 2015

Revisionsrapport 2010 Genomförd på uppdrag av revisorerna i Jönköpings kommun. Jönköpings kommun Granskning av användaradministrationen

Rävekärrsskolans plan mot diskriminering och kränkande behandling 2013/2014

Åklagarmyndighetens författningssamling

Planeringsförutsättningar - Ansvarförhållanden

Informationssäkerhetspolicy

Kap 2 skollagen, elevhälsa

Revisionsrapport. Lokalsamordning. Vänersborgs kommun. Datum Henrik Bergh. Revisionskonsult kommunal sektor

Bilaga 1 Överföring av arbetsmiljöarbetsuppgifter till förvaltningschefen för skolförvaltningen, Enköpings kommun

Likabehandlingsplan / Plan mot kränkande behandling för Klippans Förskola

Processbeskrivning fakturahantering

IT-verksamheten, organisation och styrning

Likabehandlingsplan/plan mot kränkande behandling Bäckseda skola läsåret 2015/2016

Rutin för utgivning av funktionscertifikat

Informationssäkerhet i. Torsby kommun

Regler och instruktioner för verksamheten

INFORMATIONSSÄKERHETSPOLICY

Patientsäkerhetsberättelse Stockholm Spine Center

1 (2) Landstingets revisorer Dnr REV/31/06

Plan för specialundervisningen

Anslagshandbok för Stiftelsen Skogssällskapet och närstående stiftelser Ansökan, granskning och kommunikation, utlysningsår 2015

Policy för personuppgiftshantering 2018 Antagen av styrelsen för PRO i Tullinge vid styrelsemötet Version 1.

Avfallsplan. för Piteå Kommun. Bilaga 2 Miljöbedömning inklusive miljökonsekvensbeskrivning. Antagen av kommunfullmäktige 2010-XX-XX

Socialkontoret, Moravägen 4, Malung, kl

BILAGA III EKONOMISKA OCH AVTALSMÄSSIGA REGLER

Årsredovisning Armada Kanalfastigheter AB

Policy för personuppgiftshantering i Brf Näsbyallé

Plan för regional arbetsfördelning inom cancervården - för patientens skull

SAMMANTRÄDES PROTOKOLL

Folkhälsoplan för 2015

Arbetsutskottet Angarnsrummet, Tunahuset, Tuna torg 2, Vallentuna tisdagen den 15 mars 2005 kl 17.00

KALLELSE 1(1) Parlamentariska nämnden extra sammanträde. Tid: , kl 09:00-12:00 Plats: Regionens hus, sal A

Orienterbarhet upplevelser öppenhet utsikt försoning - trygghet

Yttrande från Stockholmsregionen om EU:s handlingsplan för e-förvaltning

Del 5: Rekommendationer och projektrapport

IT-Säkerhetsinstruktion: Förvaltning

Processbeskrivning ITIL Change Management

Riktlinjer för externfinansierade forskningsprojekt vid Högskolan i Skövde

Checklista förändringsledning best practice Mongara AB

ANBUDSFÖRFRÅGAN. Ni inbjuds inkomma med anbud på webb-tv lösning för sändning av kommunfullmäktige. Datum

Sätra skolas kvalitetsredovisning

Information. ALLT ni BEHÖVER VETA OM SOCKGROSSISTENS försäljning. för SKOLKLASSER. Vi lämnar alltid ett års garanti på våra produkter

Informationssäkerhetspolicy för Vetlanda kommun

Avsiktsförklaring och riktlinjer

Grundläggande IT-strategi för Falkenbergs kommun Kommunledningskontoret IT-avdelningen

C. V. Rolf Berndtson. Rolf Berndtson och har akademisk examen med betyg i företagsekonomi, ADB, matematik och meteorologi.

Plan mot diskriminering och kränkande behandling 2016

1(16) Uppföljning. Ändrad:

Dokumenthanteringsplan för Hantverkshuset i Kil AB

Plan för systematiskt säkerhets- och arbetsmiljöarbete inom Oxelösunds kommun

Smultronbackens Förskola kvalitetsredovisning

Riktlinjer och Instruktion för klagomålshantering

IT-säkerhetsinstruktion Förvaltning

Mats, Jenny och Marcus skall kolla så att de har access till banken i dagsläget.

Intern styrning och kontroll vid Stockholms universitet

Uppdrag om kvalitetsutveckling. e-lärandeområdet vid Uppsala universitet

Uppföljning av sommar 2015 Annika Sörensdotter

4.6. Sammanställning Psykiatriråd nummer: 5

Vetlanda kommun. Granskning av Överförmyndarverksamheten

Konstfack Bilaga till förvaltningsbeslut FÖ 5, 2016 Ledningens kansli

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet.

MERITSAMMANSTÄLLNING FÖR ANSÖKAN TILL PSYKOTERAPEUTPROGRAM VID LIU

Aktivitets- och internkontrollplan, bilaga till nämndsplan Lokala nämnden Halmstad år 2015

Ji Stockholms läns landsting

Regler vid verksamhetsövergång och ägarbyte

Leverantörsbetalningar

IT-säkerhetspolicy Instruktion Kommunfullmäktige. Senast reviderad Beskriver IT-säkerhetarbetet.

Krisledningsorganisation vid Linköpings universitet

ETT NAMN, TRE VERKSAMHETER, TRE MODELLER

Tjänstebeskrivning. Tjänsteöversikt. Omfattning för Copilot Optimize-tjänster. Co ilot Optimize CAA Omfattning

Innehåller instruktioner för hur du ska fylla i mallen Egenkontroll för elinstallationsarbete som finns i EL-VIS Mall

Ansökan till Samspelet om finansiering i insats

1(2) För kännedom; Fullmäktiges. presidium. uppföljning. barn- och. iakttagelser: finns. lokalt. Behov. Omorganisering. g renodlat tjänsterna

Manus till presentationen. Vaccination mot HPV. Version

Informationssäkerhetspolicy

Skarpnäcks stadsdelsförvaltning. Likabehandlingsplan Sida 1 (9) Västra Bagarmossens förskolor

KOMMUNIKATIONSPLAN. Digital Agenda för Västra Mälardalen samt Tillgänglighet till Hållbar IT. Revisionshistorik. Bilagor

KOMMUNIKATIONSSTRATEGI GÖTEBORGS MILJÖVETENSKAPLIGA CENTRUM, GMV,

Systemdrift och Systemförvaltning Centrala verksamhetssystem Service Desk

Verksamhetsbera ttelse 2014 Campus Alingsa s

DIGITALISERINGSPLAN

Hot och så rbårhetskåtålog fo r medlemmår i Såmbi

Kommunrevisionen: granskning av generella IT-kontroller 2014

Bilaga 1: Brandskyddspolicy

Identifiera, förebygga och motverka osakliga könsskillnader i kärnverksamheten

Systematiskt arbetsmiljöarbete

Riktlinjer för IT och informationssäkerhet - förvaltning

Transkript:

EXEMPEL 1 Infrmatinssäkerhetsinstruktin: Förvaltning (Infsäk F) Innehållsförteckning 1 INSTRUKTIONENS ROLL I INFORMATIONSSÄKERHETSARBETET...2 2 ORGANISATION OCH ANSVAR...2 2.1 LEDNINGEN...2 2.2 IT-BEREDNINGSGRUPP...2 2.3 INFORMATIONSSÄKERHETSSAMORDNAREN...2 2.4 SYSTEMÄGARE...2 2.5 SYSTEMFÖRVALTARE...3 2.6 IT-CHEF...3 2.7 SYSTEMADMINISTRATÖR...3 3 REGLER OCH RUTINER...3 3.1 ANSVAR FÖR TILLGÅNGAR...3 3.2 KLASSIFICERING AV INFORMATION...3 3.3 UNDER ANSTÄLLNINGEN...3 3.4 SÄKRADE UTRYMMEN...3 3.5 KONTROLL AV UTOMSTÅENDE TJÄNSTELEVERANTÖR...3 3.6 HANTERING AV DATAMEDIA...4 3.7 UTBYTE AV INFORMATION...4 3.8 ÖVERVAKNING...4 3.9 STYRNING AV ANVÄNDARES ÅTKOMST...4 3.10 STYRNING AV ÅTKOMST TILL NÄTVERK...4 3.11 STYRNING AV ÅTKOMST TILL OPERATIVSYSTEM...4 3.12 MOBIL DATORANVÄNDNING OCH DISTANSARBETE...4 3.13 SÄKERHETSKRAV PÅ INFORMATIONSSYSTEM...5 3.14 SÄKERHET I UTVECKLINGS- OCH UNDERHÅLLSPROCESSER...5 3.15 HANTERING AV INFORMATIONSSÄKERHETSINCIDENTER OCH FÖRBÄTTRINGAR...5 3.16 EFTERLEVNAD AV RÄTTSLIGA KRAV...5

Sida 2 1 Instruktinens rll i infrmatinssäkerhetsarbetet Styrande dkument för infrmatinssäkerhetsarbetet är myndighetens infrmatinssäkerhetsplicy ch infrmatinssäkerhetsinstruktinerna Förvaltning, Kntinuitet ch Drift samt Användare: Infrmatinssäkerhetsplicy Infrmatinssäkerhetsinstruktin Förvaltning (Inf (Infsäk F) Målgrupp: Ledning, systemägare ch samrdningsansvarig Infrmatinssäkerhetsinstruktin Kntinuitet ch Drift (Infsäk KD) Målgrupp: IT-driftansvariga Infrmatinssäkerhetsinstruktin Användare (Infsäk A) Målgrupp: Samtliga medarbetare Infrmatinssäkerhetsplicyn redvisar ledningens viljeinriktning ch mål för infrmatinssäkerhetsarbetet. Infsäk F utgår från plicyn ch syftar till att redvisa: den interna rganisatinen för infrmatinssäkerhetsarbetet mfattningen av det ansvar sm vilar på myndighetens rganisatin för infrmatinssäkerhetsarbetet hur infrmatinssäkerhetsarbetet ska bedrivas de generella krav sm är aktuella 2 Organisatin ch ansvar 2.1 Ledningen Ledningen fattar de avgörande besluten hur infrmatinssäkerhetsarbetet ska bedrivas. Besluten ska framgå av den årliga verksamhetsplaneringen. Ansvarets mfattning i övrigt framgår av BITS. 2.2 IT-beredningsgrupp Gruppen ska, på uppdrag av ledningen, hantera ch utreda generella frågr avseende anskaffning, drift, förvaltning ch avveckling av infrmatinshanteringsresurser. Inm ramen för detta ingår frågr sm avser infrmatinssäkerhet. Ansvariga för lika verksamhetsdelar ska vara representerade i gruppen liksm även IT-chef ch infrmatinssäkerhetssamrdnare. 2.3 Infrmatinssäkerhetssamrdnaren Infrmatinssäkerhetssamrdnaren stödjer arbetet med att uppnå infrmatinssäkerhetsplicyns mål ch ansvarar för analyser av de delar av IT-stödet sm är gemensamma för hela verksamheten. Analyserna ska genmföras med stöd av BITS Plus. Infrmatinssäkerhetssamrdnaren initierar ch stödjer systemägarnas arbete med att genmföra enskilda systemsäkerhetsanalyser. 2.4 Systemägare Inm ramen för antagna mål ch resurser fattar systemägaren beslut m de egna infrmatinssystemens införande, drift, förvaltning ch avveckling. Systemägaren ansvarar för att systemsäkerhetsanalyser för de egna infrmatinssystemen genmförs med stöd av BITS Plus.

Sida 3 2.5 Systemförvaltare Systemförvaltaren utses av systemägaren ch ansvarar, i samverkan med IT-avdelningen, för den dagliga driften ch förvaltningen av aktuellt infrmatinssystem. 2.6 IT-chef IT- chef är systemägare för det interna IT-nätverket ch har ansvaret för att detta ch infrmatinssystemens tekniska delar fungerar. IT-chef ansvarar för att identifiera de delar sm ingår i det interna IT-nätverket ch för att en analys av detta genmförs med stöd av BITS Plus. IT-chef ansvarar ckså för att Infsäk KD upprättas ch att den samrdnas med myndighetens gemensamma kntinuitetsplan. 2.7 Systemadministratör Systemadministratören tillhör IT-avdelningen, innehar den tekniska kmpetensen, ch ansvarar tillsammans med systemägare ch systemförvaltare för att den dagliga driften upprätthålls enligt överenskmmelse mellan systemägaren ch IT-chefen. 3 Regler ch rutiner 3.1 Ansvar för tillgångar Varje fysisk infrmatinsbehandlingstillgång ska vara förtecknad ch märkt ORGANISATION X samt ha ett unikt nummer. Av en förteckning ska framgå var tillgångarna är placerade samt vem sm ansvarar för tillgången. Omflyttning ch överlåtelse av tillgång får inte ske utan samråd med den ansvarige. 3.2 Klassificering av infrmatin ORGANISATION X:s mdell för klassning av infrmatin är avstämd mt BITS Plus. Regler för klassning av infrmatin ska framgå av Infsäk A. 3.3 Under anställningen Infrmatin ch utbildning av anställda ska mfatta: Infrmatinssäkerhetens betydelse för verksamheten Innehållet i Infrmatinssäkerhetsplicyn Infsäk A Nya användare ska ges grundläggande infrmatinssäkerhetsutbildning före tilldelning av behörighet i nätverket. Systemägare ansvarar för att: användarhandledning för aktuellt system finns medarbetare har tillräckliga kunskaper m säkerhetsreglerna för de infrmatinssystem de behöver för de egna arbetsuppgifterna. 3.4 Säkrade utrymmen Känslig infrmatin från infrmatinssystem ska lagras på resurser i datrhallar sm ska vara försedda med kntrllsystem för in- ch utpassering. Utrymmen med knslutrustning ska vara låsta när de är bemannade. Utrymmen med kpplingspunkter ska vara låsta. Känslig infrmatin sm inte hanteras i infrmatinssystem ska förvaras i brandklassade säkerhetsskåp. Övervakning av servicepersnal, städpersnal m.fl. ska ske ch beslut ska tas av IT-chefen m ch när tillträde till säkrade utrymmen tillåts. 3.5 Kntrll av utmstående tjänsteleverantör Beställare av utmstående leverantörers tjänster ska följa upp ch granska att säkerhetsöverenskmmelser följs.

Sida 4 3.6 Hantering av datamedia Datamedia med sekretessbelagd infrmatin sm ska avvecklas överlämnas till IT-enheten sm hanterar avvecklingen. 3.7 Utbyte av infrmatin Om media sm innehåller känslig infrmatin måste transprteras fysiskt ska säkerhetschefen kntaktas för beslut m tillvägagångssätt. 3.8 Övervakning För infrmatinssystems lggar ska systemägaren besluta: Hur fta de ska analyseras Vem sm ansvarar för analyser av dem Hur länge de ska sparas Hur de ska förvaras Detaljerad infrmatin samt anvisningar för användning ch övervakning av lggfiler framgår av separat dkument 3.9 Styrning av användares åtkmst För att säkerställa att endast behöriga användare förekmmer i infrmatinssystemen ska beställning ch brttagande av åtkmst till infrmatinssystem ske på elektrnisk blankett. Systemägare eller systemförvaltare fyller i ch skickar blanketten sm bilaga i e-pst till ITenheten. Blanketten ska sparas hs både beställaren ch IT-enheten. Samma blankett ska användas när knsulter eller andra utför arbete i infrmatinssystem. Leverantörslösenrd ch behörigheter ska förvaras inlåsta. 3.10 Styrning av åtkmst till nätverk IT-chefen ska i anvisningar reglera: autenticering vid externa anslutningar anslutning av utrustning till interna ch externa nätverk anslutning av externa nätverk till myndighetens eget nät med ingående säkerhetsfunktiner, autenticering etc. anslutning av trådlösa nät säkerhet vid Internetanslutning. IT-chefen ska ansvara för att en översikt av säkerhetsarkitekturer för interna nätverket ch kmmunikatinsanslutningar upprättas administratinen av brandväggen samt besluta m vad sm ska lggas i den, vem sm ansvarar för uppföljningen av lggarna, hur fta uppföljning ska ske ch hur länge lggarna ska sparas att upprätta underlag för ledningens beslut m kmmunikatinstjänster 3.11 Styrning av åtkmst till perativsystem IT-chefen beslutar i vilken utsträckning användning av administratinsverktyg eller systemhjälpmedel sm kan förbigå system- ch tillämpningsspärrar ska användas. 3.12 Mbil datranvändning ch distansarbete Verksamhetsansvarig chef beslutar m ett infrmatinssystems infrmatin ska få hanteras på distans med statinär eller mbil utrustning. Distansarbete ska vara reglerat i avtal mellan myndigheten ch den anställde.

Sida 5 3.13 Säkerhetskrav på infrmatinssystem Inför nyanskaffning ch införande av ett infrmatinssystem ska verksamhetsansvarig chef i samråd med IT-beredningsgruppen utfrma en prjektplan för införandet. Denna plan ska minst mfatta: verksamhetens beskrivning av behv ch mål med anskaffningen en inledande systemsäkerhetsanalys med stöd av BITS Plus. Analysen syftar till att klarlägga säkerhetskraven på det system sm planeras införas ch den utökas därefter med en kravspecifikatin sm minst mfattar: integratinskrav med andra system krav på test tidplan persnella ch eknmiska resurser klarlägga behv av användarutbildning Krav på acceptans Ansvarig för nyanskaffningsprjekt förbereder överlämnandet från test ch utveckling till drift ch förvaltning tillsammans med den tilltänkte systemägaren. Beslut m tidpunkt från vilken systemet övergår från prjekt till förvaltning fattas av systemägaren. I ch med detta övergår ansvaret till systemägaren sm då ckså övertar all dkumentatin ch upprättar en systemsäkerhetsanalys. Driftgdkännande avser den prcess sm syftar till att fastställa m ett infrmatinssystem uppfyller ställda säkerhetskrav. Denna prcess mfattar följande steg: systemägare driftgdkänner sina infrmatinssystem efter genmförd systemsäkerhetsanalys systemägaren krdinerar sina krav med infrmatinssäkerhetssamrdnare ch nätverksansvarig infrmatinssäkerhetssamrdnaren ansvarar för att underlag för beslut av ledningen m införande av infrmatinssystemet i myndigheten 3.14 Säkerhet i utvecklings- ch underhållsprcesser Förslag m önskemål på förändringar i systemet lämnas till verksamhetsansvarige för vidare befrdran till systemägaren ch IT-beredningsgruppen. Arbetet bedrivs enligt myndighetens mdell för införande ch utveckling av infrmatinssystemen. 3.15 Hantering av infrmatinssäkerhetsincidenter ch förbättringar Vid misstanke m intrång eller andra incidenter ska användare agera enligt infrmatinssäkerhetsinstruktin användare Infrmatinssäkerhetssamrdnaren ska sammanställa ch rapprtera till ledningen intrång ch försök till intrång brtt mt lagstiftning ch internt regelverk incidenter sm rsakar eller skulle kunna rsaka betydande avbrtt ch störningar knsekvenser ch förslag till åtgärder efter intrång eller funktinsfel. 3.16 Efterlevnad av rättsliga krav Anvisningar för skydd av register ch handlingar ska följas. (Se säki A bilaga).

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss