Detta dokument beskriver it-säkerheten i RAMBØLLs it-system SurveyXact och Rambøll Results.



Relevanta dokument
Krypteringteknologier. Sidorna ( ) i boken

Försöksnomineringssystem 2013

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Säkerhetsåtgärder vid kameraövervakning

Riskanalys fo r kritiska IT-system - metodbeskrivning

Metodstöd 2

SÄKERHETSLÖSNINGAR TJÄNSTEFIERAD SÄKERHET

SurveyXact funktionsöversikt Version 6.3. Allmänt om SurveyXact

E-post på ett säkrare sätt

PMSv3. Om konsten att hålla koll på ett vägnät

Tillsyn enligt personuppgiftslagen (1998:204) Intern åtkomst till personuppgifter hos Migrationsverket

POLICY FÖR DATA- OCH INFORMATIONSSÄKERHET VID BMC I LUND

Klicka på en sökrad för att få fram hänvisningar, fullständig information och möjlighet att skicka meddelande via e-post eller sms.

Skyddsnivå utifrån informationssäkerhetsklassning

Bli innovativa. På riktigt.

IT-policy Scenkonst Västernorrland AB

Instruktioner för Brf Siljans elektroniska låssystem

Så här gör du för att lägga till nytt e-postkonto i Windows 8. Öppna E-post från startskärmen.

Manual Jourläkarschema Närhälsan V7 - Version 1.0

Hur ställer jag kraven

Kravspecifikation. Hantering av systemdokument

Behörighetssystem. Ska kontrollera att ingen läser, skriver, ändrar och/eller på annat sätt använder data utan rätt att göra det

19. Skriva ut statistik

Dina surfvanor kartläggs och lämnas ut

Om mig. Manual för genomförande. Ungdomsenkät för elever i Östergötland - grundskolan år 8 och gymnasieskolan åk 2

Bilaga 22 till kundval hemtjänst IT relaterade beskrivningar

Läkemedelsförteckningen via Melior och Profdocs Journal III, användarmanual

ISY Case Schakt Trafikanordning Markuppla telse, Trafikfo reskrift

Säkerhet Användarhandbok

Instruktion för informationssäkerhetsklassning

Tillsyn enligt kreditupplysningslagen (1973:1173) och personuppgiftslagen (1998:204)

Kortbetalning i Rebus via Paynova

Dataskyddsförklaring

ASSA RX. Webbaserat passersystem för dig som jobbar med annat. ASSA ABLOY, the global leader in door opening solutions. 1

Säkerhet Användarhandbok

Nibe xx45 Viewer. Ett program för visualisering av Nibes loggar WebIQ:s Energibutiken

POLISMYNDIGHETEN I IT-POLICY 1 (5) ÖSTERGÖTLANDS LÄN Förvaltningsavdelningen

Gäller från 1 januari 2007 Antagen av KF 246/2006. IT-säkerhetsinstruktion för användare

OFFICIELLA REGLER. 4. Gå in på hemsidan och klicka på länken "Delta".

Inspektion enligt personuppgiftslagen (1998:204)

ABAX Föraridentifiering

EasyParks Integritetspolicy

Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos ett bostadsbolag

Läkarintyg för sjöfolk. Hur gå vidare?

Tillsyn enligt personuppgiftslagen (1998:204) personuppgiftsbehandling i anslutning till Pliktverkets e-tjänst för lämplighetsundersökning

ProReNata Journal. Snabbstart

IT-säkerhetspolicy för Åtvidabergs kommun

Inspektion Användarmanuel

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C

Bruksanvisning KABA MAS AUDITCON KABA MAS HAMILTON Modell 100, 200, 400, 50 och 52

En rapport om driftprofiler för trafiksäkerhetskameror

Här kan du ta del av presentationen från webbseminariet i pdf-format. Tänk på att materialet är upphovsrättsskyddat och endast till för dig som

Krypteringsprogrammet Kryptogamen

Växel

Syfte...1 Omfattning...1 Beskrivning...1

MANUAL NETALERT FÖR ANDROID VERSION 3.3

Acrobat version Du behöver ha Acrobat Pro installerat på din dator för att signera planer i Atlas. Däri finns funktion för certifiering/signering.

Manual för att registrera i Kvalitetsregister PsykosR

Teknisk kravspecifikation för nytt Omsorgs system

Hämta hem 2005 års installationspaket från Skatteverkets hemsida:

Kapitel 10 , 11 o 12: Nätdrift, Säkerhet

Lokal informationssäkerhetspolicy, lokala informationssäkerhetsriktlinjer och anvisningar

Service i toppklass! En handbok för dig som jobbar för oss hos våra hyresgäster. Vi gör det ännu bättre att vara göteborgare

Lotteriinspektionens författningssamling

Rikspolisstyrelsens författningssamling

För att använda sifferkrypto använder man en rektangel om 5 gånger 6 bokstäver.

Testa ditt SITHS-kort

Regler för behandling av personuppgifter vid Högskolan Dalarna

Çrona Tid. Behörighetssystem. Copyright DataVara AB. Produktutveckling Morgan Klebom, Christian Elber, Hans Bäcklund, Thomas Palm

Stadsarkivets anvisningar 2011:1 Hantering av allmänna e-handlingar som ska bevaras i Uppsala kommun

Stödet kan vara både praktiskt och socialt och utgår från ditt hem, men kan också omfatta situationer utanför hemmet.

Installationsanvisningar

Information till registrerade enligt personuppgiftslagen

Instruktioner för lägenhetsnumrering

Gallring av digitala handlingar

Tillsyn enligt personuppgiftslagen (1998:204) av Göteborgs universitet (Svensk nationell datatjänst)

Policy för informationssäkerhet

Hur vill du leva ditt liv efter 65? DIN PENSION VAL OCH MÖJLIGHETER

FIBER. Installationshandbok. Rev

SVERIGES 18-ÅRINGAR HAR FÅTT EN VIKTIG UPPGIFT

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

Beställnings- och installationsguide av Dubbelskydd

VILLKORSSAMMANFATTNING MC Garageförsäkring

Enkel Digital Skyltning. på några minuter...

INSTALLATION AV VITEC MÄKLARSYSTEM. Studentversion

Gesäll provet Internetprogrammering I. Författare: Henrik Fridström. Personnummer: Skola: DSV

Avropsförfrågan från ramavtal

Föreläsning 3. Datorkunskap 50p Marcus Weiderstål Bromma Gymnasium

Lösenordet till dator, mejl och självservice

Världskrigen. Talmanus

CHESS Chemical Health Environment Safety System

Att sätta upp en IPsec-förbindelse med mobil klient. Lisa Hallingström Paul Donald

1 Skapa Tabell Skapa Relationer Redigera Relationer Redigera Fält i Tabell Lägga till Poster i Tabell...

Utskick av respondentenkät

ÅGIT PRESENTERAR FILR SMIDIG OCH SÄKER FILÅTKOMST OCH DELNING

DROGHANDELN PÅ DARKNET

Steg 1 Starta Outlook 2013 och öppna konfigurationsguiden

52101 Utforska siffror

Manual Utgåva 1.2. Sidan 1

Transkript:

IT SÄKERHET Datum 2012-06-18 Från Jesper Balman Gravgaard Översättning Åsa Karlsson 1. Inledning Detta dokument beskriver it-säkerheten i RAMBØLLs it-system SurveyXact och Rambøll Results. Datum 2012-06-18 1.1 Underleverantör RAMBØLLs driftmiljö är placerad hos hostingleverantören Nianet A/S. Nianet A/S Ejby Industrivej 42 2600 Glostrup http://nianet.dk/ Rambøll Olof Palmes Allé 20 DK-8200 Aarhus N T +45 5161 1000 F +45 5161 1001 www.ramboll-management.dk CVR nr. 27 17 27 76 2. Hur dataförlust förhindras Stöldsäkerhet - Hostingmiljön står i ett SKAFOR 3-säkrat serverrum Rök-, brand- och vattensäkerhet - Hostingmiljön har en helt automatisk brandvarnaranläggning som upptäcker rökutveckling. - Hostingmiljön har en helautomatisk brandsläckningsanläggning. - Hostingmiljön har fuktsensorer under golvet. - Hostingmiljön har övervaktning dygnet runt av ström-, vattenoch brandlarm. Datasäkerhet - Det tas dagligen säkerhetskopior av all data till en backupserver på en annan plats samt till backup-band. 1/5 Rambøll Management Consulting A/S CVR-NR 60997918

- En gång per timme tas säkerhetskopior av alla ändringar som är gjorda i databasen sedan den sista dagliga säkerhetskopieringen till backup-servern på annan plats. - En gång per månad tas säkerhetskopiaor av alla databaser, vilket sparas i ett år på band på annan plats. Disaster Recovery Procedure - Det finns en katastrofberedskapsplan för hur driften ska återställas inom 24 timmar i händelse av att hostingmiljön förstörs helt. 3. Åtgärder för att säkerställa hög tillgänglighet Målet är att systemet ska vara tillgängligt för användning minst 99% av tiden. Hög tillgänglighet säkerställs genom redundans av kritiska komponenter. Redundans - Hostingmiljön har redundant strömförsäkring med både UPS och dieselgenerator. - Hostingmiljön har separata strömkablar fram till serverskåpen och till alla servar. - Hostingmiljön har redundant klimatanläggning - Alla operativa servar har redundant strömförsörjning. - All data lagras på redundanta hårddiskar. - Data lagras i en speglad databasserver - Om den primära webbservern skulle gå ner, finns det en sekundär webbserver tillgänglig. Servrar och system övervakas av ett larmsystem som omedelbart larmar driftpersonal om en händelse som påverkar tillgängligheten inträffar. 4. Så säkerställs så att obehörig inte får tillgång till data Hostingmiljön är helt åtskilt från utvecklings- och testmiljön. I följande avsnitt beskrivs hur hög säkerhet hostingmiljön samt i utvecklings- och testmiljön. Dessutom beskrivs hur systemets data är säkrat. 4.1 Hostingmiljön Fysisk säkerhet - Driftadministratören har endast tillgång via ett personligt passerkort och 2 personliga koder. - Hostingcentret för en detaljerad logg över vem som haft fysisk tillgång till servern och när. - Hostingmiljön videoövervakas vid alla in- och utgångar. - Hostingleverantören har inte fysisk tillgång till servrarna. Servrarna är inlåsta i serverskåp som endast RAMBØLLs driftpersonal har tillgång till. Lagring och förstöring av lagringsmedia (hårddisk och backupband) - All lagringsmedia är numrerade och katalogiserade. - All lagringsmedia som inte är i drift förvaras i låsta kassaskåp. 2/5

- Lagringsmedia som kasseras förstörs fysiskt. Systemsoftware - All systemsoftware uppdateras regelbundet till nya versioner och säkerhetsuppdateringar. Säkerhet i nätverk - En brandvägg finns installerat på alla servrar som endast släpper igenom godkänd trafik Antivirus - Antivirusprogram finns installerat på alla Windows-servrar i hostingmiljön. - Virusprogrammen uppdateras automatiskt en gång i timmen, och minst en gång per dygn. Driftarbetet - Fjäradministration går över krypterade SSH-förbindelser. - Det är endast möjligt att fjärrstyra fråndatorer i Ramböll Managements nätverk. - Den krypterade förbindelsen öppnas endast när en person utför fjärradministration. - Det förs en detaljerad logg över vilka personer som använder vilken server och när. Verifiering för driftarbete - Driftansvariga kan endast få tillgång till servrarna i hostingmiljön via ett personligt certifikat och en personlig kod. Tillgång till att genomföra driftarbete - Endast en liten grupp medarbetare på avdelningen Survey IT på RAMBØLL har tillgång till driftmiljön. - Det är endast dessa medarbetare som kan upprätta användare i driftmiljön. Konfigurationsansvariga - Det finns ett konfigurationsstyrningssystem som dokumenterar exakt vilka förändringar som genomförts i systemet samt när dessa förändringar genomfördes. Intrångstester - Det genomförs med jämna mellanrum intrångstester mot driftmiljön för att identifiera eventuella svagheter. 4.2 Utvecklings- och testmiljö Fysisk säkerhet - Alla servrar i utvecklings- och testmiljön är inlåsta i låsta serverrum på RAMBØLLs kontor. Endast utvalda medarbetare har nycklar till serverrummet. Data i utvecklings- och testmiljön - Data i utvecklings- och testmiljön är generellt fiktiva. - När felsökning eller test av driftmiljön i utvecklings- och testmiljön genomförs är all data anonymiserad. 3/5

Versionshantering - Det finns ett versionshanteringssystem som exakt dokumenterar vilka ändringar som har genomförts i kodfilerna samt när dessa genomfördes. Tillstånd av utvecklande - Endast medarbetare som är anställda som utvecklare på avdelningen Survey IT på RAMBØLL har tillgång till utvecklings- och testmiljön. Verifiering av utvecklar - Utvecklare kan endast få åtkomst till webbservrarna i utvecklings- och testmiljön via ett personligt certifikat och personlig kod. - Utvecklare kan endast få tillgång till databasservrarna i utvecklings- och testmiljön om de är upprättade som användare i denna. - Utvecklare kan endast få tillgång till källkodservrarna i utvecklingsmiljön om de är upprättade som användare i denna. 4.3 Systemet Systemet är webbaserat och användarna har åtkomst till systemet via Internet. Det finns två typer av användare: - Respondenter som endast mottar och besvarar personliga frågeformulär. - Administratörer som kan redigera, hantera, övervaka utvecklingen samt analysera och få rapporter osv. Kommunikation över Internet - All kommunikation mellan administratörer och systemet går krypterat med SSL. - Om respondentens webbläsare stödjer det kommer kommunikationen från respondenten till systemet gå krypterat med SSL. - Mätningsadministratören (dvs. den som är ansvarig för en viss undersökning) kan kräva att all kommunikation från respondenter till systemet skall gå krypterat. I så fall kommer respondenter vars webbläsare inte stödjer kryptering inte kunna ange sina svar i enkäten. Tillstånd för mätadministratörer - Mätadministratörer har möjlighet att styra vilken behörighet till mätningar andra administratörer ska ha i systemet - Användare från olika organisationer har aldrig tillgång till varandras data. - Vid varje sidvisning kontrolleras om den aktuella användare har tillgång till att se informationen som presenteras. - I en detaljerad logg noteras exakt vilka användare som har tillgång till vilka sidor. Verifiering av administratörer - Användare måste ange användarnamn och lösenord för att få tillgång till systemet. - Användarna får själva välja sitt lösenord som måste uppfylla systemets krav. - Användarens lösenord sparas inte i klartest i systemets databas. 4/5

Verifiering av respondenter - Respondenter som får en enkät via e-post eller pappersutskick, identifieras med hjälp av en 12-siffrig unik nyckel. Nyckeln skickas till respondenten via e-post eller postalt brev. - Den 12-siffriga nyckeln identifierar varje unik respondent och inkomna svar kopplas alltid till en unik respondentnyckel. Det är således inte möjligt att ge mer än ett svar per respondentnyckel. - När en respondent loggar in via sin respondentnyckel, genererar systemet en ny, tillfällig unik 32-siffrig (128 bit) sessionsnyckel som används för identifikation under själva besvarandet. Sessionsnyckeln inaktiveras 24 timmar efter att den är upprättad. Den 12- siffriga respondentnyckeln är alltså inte synlig i den HTML som respondenten har tillgänglig på sin dator under själva besvarandet. - Mätningsadministratören kan stänga insamlingen av data i en underökning (och därmed få tillgång via undersökningens respondentnycklar). - Mätningsadministratören kan stänga åtkomsten till besvarade enkäter (dvs. så snart en respondent har besvarat en enkät, så stängs åtkomsten via hans nyckel.) - Det förs en detaljerad logg över vilka respondenters nycklar som har tillgång och från vilket IPnummer. Även alla visningar av personuppgifter loggas. Kontroll av misslyckade inloggningsförsök - Om det förekommer flera misslyckade inloggningsförsök från ett och samma IP-adress eller användarnamn blockerar systemet automatiskt för ytterligare försök samt sänder e-post till den driftansvarige. - Blockeringen innebär att användaren är tvungen att ta paus mellan inloggningsförsöken. Dessa pauser blir längre och längre tills den är 30 minuter. - När antalet misslyckade inloggningsförsök överstiger 10 skickas en varning via e-post till de driftansvariga. Därefter skickas en ny varning var 10e misslyckat inloggningsförsök. Loggning av användaruppgifter och personlig information - Det förs en detaljerad logg över vilka användare som finns registrerade samt vilken personlig information som finns registrerad. - Varje gång en användare ser, ändrar eller behandlar personuppgifter loggas detta. - Loggen innehåller datum, användarnamn och ID samt ID på alla visade/berörda personer. - När användaren ser information om många personer samtidigt loggas ID på samtliga visade personer. - När användaren visar information av många personer efter exempelvis en sökning i en graf, tabell eller analysrapport loggas ID på de personer som ingick i uppräkningen. - Endast ID på de personer som användaren har visat kommer att loggas. ID på personer som inte visas för användaren loggas därmed inte. Vid en sökning loggas endast ID på de personer som uppfyller kriterier för sökningen. 5. Personuppgiftslagen SurveyXact och Ramböll Results uppfyller alla krav enligt Personuppgiftslagen. All information som kunden inhämtar med SurveyXact är kundens egendom. Samtliga personer som arbetar med SurveyXact och/eller Ramböll Results omfattas av tystnadsplikt. Ramböll använder inte kunder för marknadsföring utan att det är avtalat med kunden på förhand. 5/5

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss