EBITS 2003-10-14 Energibranschens IT-säkerhetsforum



Relevanta dokument
Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet.

Ramverket för informationssäkerhet 2

Informationssäkerhet - Instruktion för förvaltning

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Policy för informationssäkerhet

Svar till kommunrevisionen avseende genomförd IT-revision

HSA Anslutningsavtal. HSA-policy

Rikspolisstyrelsens författningssamling

FÖRFATTNINGSSAMLING BESLUT GÄLLER FR FLIK SID Kf 83/ Kf IT-säkerhetspolicy

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ Agenda

Informationssäkerhet i. Torsby kommun

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Informationssäkerhetspolicy

Vetenskapsrådets informationssäkerhetspolicy

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Vervas kräver ISO och ISO av alla statliga myndigheter. Maylis Karlsson, Utvecklingsstrateg Verva

Säkerhetsåtgärder vid kameraövervakning

Informationssäkerhetspolicy IT (0:0:0)

IT-verksamheten, organisation och styrning

Stockholms läns landsting 1 O)

Lokal informationssäkerhetspolicy, lokala informationssäkerhetsriktlinjer och anvisningar

RS-riktlinjer för Informationssäkerhet i Västra Götalandsregionen

Systemsäkerhetsanalys förutsättningar för mobil åtkomst inom hemsjukvård.

Riktlinje för informationssäkerhet

Myndigheten för samhällsskydd och beredskaps författningssamling

Verket för förvaltningsutvecklings författningssamling ISSN Utgivare: Lena Jönsson, Verva, Box 214, Stockholm

IT-policy Scenkonst Västernorrland AB

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C

Bilaga 1 - Handledning i informationssäkerhet

Bilaga 3c Informationssäkerhet

IT-Säkerhetsinstruktion: Förvaltning

Svensk Standard SS ISO/IEC SS

Varför ska vi ha en informationssäkerhetspolicy och hur tar vi fram en? En policy ska ju fånga in en organisations målsättning för ett visst område,

Innehåll 1(14) Granskningsdokumentation

Informationssäkerhetsanvisningar Förvaltning

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Beredningen för integritetsfrågor

Informationssäkerhetsinstruktion: Förvaltning (Infosäk F)

Informationssäkerhet - Informationssäkerhetspolicy

Ändamålsbeskrivning för behandling av personuppgifter i GIT

Informationssäkerhetspolicy för Vetlanda kommun

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr Kommunikation som tjänst - A

HSA Policytillämpning

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Skyddsnivå utifrån informationssäkerhetsklassning

Revisionsrapport Kammarkollegiet Box STOCKHOLM

Fördjupning: Juridik vid införande av välfärdsteknik. Jeanna Thorslund, Jurist och Samordnare Informationssäkerhet, SKL Manólis Nymark, Jurist

VGR-RIKTLINJE FÖR ÅTKOMST TILL INFORMATION

Syfte...1 Omfattning...1 Beskrivning...1

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

FÖRSVARSMAKTENS INTERNA BESTÄMMELSER

Informationsteknologi (vårdgivare nivå C)

Ansvarsförbindelse för Stockholms Läns Landstings Elektroniska Katalog (EK)

Revidering av policy och regler för informationssäkerhet i Stockholms stad

Kapitel 8 Personalresurser och säkerhet

IT-säkerhetspolicy för Åtvidabergs kommun

Tjänsteavtal för ehälsotjänst

IT-säkerhetsinstruktion Förvaltning

J Lundh. Kraven riktas mot linjechefer och datoranvändare. Linjechefer ansvarar för att reglerna är kända i organisationen.

Region Skåne Granskning av IT-kontroller

Informationssäkerhetspolicy

Revisionsrapport 2014 Genomförd på uppdrag av revisorerna juni Hylte kommun. Granskning av den interna kontrollen avseende

Kapitel 11 Styrning av åtkomst

Datainspektionens granskningar av integritetsskyddet inom vård och omsorg. Erik Janzon Datainspektionen

Myndigheten för samhällsskydd och beredskaps författningssamling

Kvalitetsregister & legala förutsättningar. Moa Malviker Wellermark, Jurist SKL, Landstingsjurist LiÖ

Kommunrevisorerna granskar. UMEÅ KOMMUN Granskning av IT- och informationssäkerhet.

MAS Riktlinje för logghantering gällande hälso- och sjukvårdsjournaler

Sjunet standardregelverk för informationssäkerhet

Informationssäkerhet och SKLs verktyg KLASSA. Avdelningen för Digitalisering Sektionen för Informationshantering och Digital Arbetsmiljö (IDA)

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

Lagring i molnet. Dokumenthantering i högskolans Office365 ur ett offentlighetsperspektiv

Regler för behandling av personuppgifter vid Högskolan Dalarna

Förändringar i regelverket avseende införande av intygskonverteringstjänst och alternativt tekniskt anslutningsförfarande

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

IT-säkerhetspolicy Instruktion Kommunfullmäktige. Senast reviderad Beskriver IT-säkerhetarbetet.

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet

Informationssäkerhetspolicy

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Avtalsform Ramavtal & enstaka köp Namn Nyckelfri låslösning för hemtjänsten

Instruktion för informationssäkerhetsklassning

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

Åklagarmyndighetens författningssamling

IT-säkerhetspolicy. Antagen av kommunfullmäktige

Kapitel 7 Hantering av tillgångar

Regler och instruktioner för verksamheten

Regelverk för informationssäkerhet Omformulering av tidigare version 3.0

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Bilaga 3 Dnr Huvudprocesser för hantering av hemutrustningslån

Finansdepartementet. Avdelningen för offentlig förvaltning. Ändring i lagen om lägenhetsregister

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

ISO/IEC och Nyheter

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Policy och strategi för informationssäkerhet

POLISMYNDIGHETEN I IT-POLICY 1 (5) ÖSTERGÖTLANDS LÄN Förvaltningsavdelningen

Transkript:

EBITS 2003-10-14 Energibranschens IT-säkerhetsforum Bruksanvisning till malldokument för REGLER OCH RIKTLINJER FÖR INFORMATIONSSÄKERHET Version 0.1 1. Dokumentet skall anpassas specifikt för företaget. - Sök upp de ställen i dokumentet där det står [f]. Denna teckenkombination ska ersättas med företagets namn. - Sök upp de ställen i dokumentet där det står [fs]. Teckenkombinationen ska ersätta företagets i namn i genitiv. - Sök på klammerparentes, dvs tecknet [. Detta tecken inleder en anvisning om att man t ex ska skriva in gällande roll för en person eller ett dokumentnamn. 2. Dokumentet ska skrivas ut dubbelsidigt, helst i färg. 3. På sidan 5 hänvisas till IT-säkerhetskrav för IT-system. Detta är databas med ett antal säkerhetskrav. Gällande krav för ett givet system bestäms av informationsklassningen, dvs tillgänglighet, sekretess och riktighet bedöms med en 5-gradig skala. 4. Du kan skapa olika utdrag ur regelverket för t ex chefer och generella användare. Förslag till sådana utdrag ges i bilaga 1 och 2. När du gör ett sådant utdrag kan det vara lämpligt att ta med alla kapitelrubriker, målformuleringar, mm. Det är således bara antalet paragrafer (regler) som begränsas. 5. Strukturen för regelsystemet baserar sig på standarden SS-ISO/IEC 17799 med följande skillnad: - Kapitel 1 i malldokumentet motsvarar kapitel 4 i standarden. - Alla paragrafer i standarden har inte tagits med. För den som vill ha en mer fullständig omfattning av sitt regelverk hänvisas standarden som finns att köpa på SIS förlag. Den kan beställas över Internet på följande adress: http://www.sis.se/ - SIS förlag publicerar också via Internet en handledning för planeringsfasen av regelverket. Du kan ladda hem den från följande adress: http://www.sis.se/desktopdefault.aspx?tabname=%40projekt&projid=1191&menuitemid=6275 Revisionshistorik Datum Version Ansvarig Kommentar 2003-10-14 0.1 L Castenhag Ett första utkast Bruksanvisning för malldokument.doc 1 (5)

Bilaga 1: Utdrag ur regelverket för chefer och chefer 1. IT-säkerhetsorganisationen 1.1 Infrastruktur för IT-säkerhet 1.1.1 Ledningsgrupp för IT-säkerhet X 1.1.3 Fördelning av ansvar för IT-säkerheten X 1.1.6 Samarbete mellan organisationer 1.2 Säkerhet vid utomstående parts åtkomst 1.2.1 Riskanalys vid utomstående åtkomst X 1.2.2 Säkerhetsvillkor i avtal med utomstående part 1.3 Utkontraktering 1.3.1 Säkerhetskrav i utkontrakteringsavtal X 1.4 Skydd av personuppgifter 1.4.1 Behandling av personuppgifter X X 2. Klassificering av tillgångar 2.1 Ansvar för tillgångar 2.1.1 Förteckning över tillgångar 2.2 Klassificering av informationstillgångar 2.2.1 Riktlinjer för klassificering av system (säkerhetsprofil) X 2.2.2 Sekretessklassning av information X 3. Personal och säkerhet 3.1 Säkerhet i befattningsbeskrivning och 3.1.1 Inkluderande av säkerhet i beskrivning av ansvar i arbetet X X 3.1.3 Sekretessavtal X X 3.2 Användarutbildning 3.2.1 Utbildning och övning i informationssäkerhet X X 3.3 Reaktion på säkerhetsincidenter och funktionsfel 3.3.1 Rapportering av säkerhetsincidenter X X 3.3.2 Rapportering av säkerhetsmässiga svagheter X 3.3.3 Rapportering av funktionsfel i program X 3.3.5 Disciplinär process X X 4. Fysisk och miljörelaterad säkerhet 4.1 Säkrade utrymmen 4.1.1 Skalskydd 4.2 Skydd av utrustning 4.2.1 Placering och skydd av utrustning X X 4.2.5 Säkerhet för utrustning utanför egna lokaler X X 4.2.6 Säker avveckling eller återanvändning av utrustning X X 4.3 Allmänna åtgärder 4.3.1 Policy för dokumentförvaring på rummet och på bildskärm X X 5. Styrning av kommunikation och drift 2

5.1 Driftrutiner och ansvar 5.1.1 Dokumenterade driftrutiner X 5.1.2 Styrning av ändringar i drift 5.1.3 Rutin för att återställa system efter allvarlig IT-incident 5.1.4 Uppdelning av arbetsuppgifter X 5.1.5 Uppdelning av utvecklings- och produktionsresurser 5.2 Systemplanering och systemgodkännande 5.2.2 Systemgodkännande 5.3 Skydd mot skadliga program 5.3.1 Åtgärder mot skadliga program X X 5.4 Ordning och reda 5.4.1 Säkerhetskopiering 5.4.4 Övriga loggar 5.5 Styrning av nätverk 5.6 Mediahantering och mediasäkerhet 5.6.2 Avveckling av media X X 5.6.3 Rutiner för informationshantering X X 5.7 Utbyte av information och program 5.7.1 Avtal och utbyte av information och program 5.7.2 Säkerhet för media under transport 5.7.4 Säkerhet för elektronisk post X X 5.7.6 Allmänt tillgängliga system 6. Styrning av åtkomst 6.1 Verksamhetskrav på styrning av åtkomst 6.1.1 Policy för styrning av åtkomst 6.2 Styrning av användares åtkomst 6.2.1 Användarregistrering 6.2.2 Styrning av särskilda rättigheter 6.2.3 Styrning av lösenord för användare 6.2.4 Granskning av användares åtkomsträttigheter X 6.3 Användares ansvar 6.3.1 Användning av lösenord X 6.3.2 Obemannad användarutrustning X 6.4 Styrning av åtkost till nätverk 6.4.1 Policy för nyttjande av nätverkstjänster X 6.4.2 Tvingande vägval X 6.4.3 Autentisering av användare för extern utrustning 6.4.4 Autentisering av nod 6.4.5 Skydd av extern diagnosport 6.4.6 Uppdelning i nätverk 6.4.7 Kontroll över nätverksanslutning 6.4.8 Styrning av vägval 6.4.9 Säkerhet i nätverkstjänster 6.5 Styrning av åtkomst till operativsystem 3

6.5.1 Automatisk terminalidentifikation 6.5.2 Påloggningsrutin för terminal 6.5.3 Identifiering och autentisering av användare 6.5.4 Tekniska krav på lösenordsrutin 6.6 Styrning av åtkomst till tillämpningar 6.6.1 Begränsning av åtkomst till informationen X 6.6.2 Isolering av känsliga system 6.7 Övervakning av systemåtkomst och systemanvändn 6.7.1 Loggning av händelser 6.7.2 Övervakning av systemanvändning 6.7.3 Klocksynkronisering 6.8 Mobil datoranvändning och distansarbete 6.8.1 Mobil datoranvändning X X 6.8.2 Distansarbete X X 7. Systemutveckling och underhåll 7.1 Säkerhetskrav på system 7.1.1 Analys och specifikation av säkerhetskrav 7.1.2 Dokumentation av driftsatta system 7.2 Säkerhet i tillämpningssystem 7.3 Krypteringsåtgärder 7.3.1 Policy för användning av krypteringsmetoder 7.3.3 Digitala signaturer X 7.3.4 Tjänster avseende oavvislighet X 7.3.5 Nyckelhantering 7.4 Säkerhet i databaser och filer 7.4.1 Styrning av program i drift 7.4.2 Skydd av testdata 7.5 Säkerhet i utvecklings- och underhållsprocesser 7.5.1 Rutiner för styrning av ändring 7.5.3 Restriktioner mot ändringar i programpaket 7.5.4 Dolda kanaler och trojansk kod 7.5.5 Utlagd programutveckling 8. Kontinuitetsplanering 8.1 Aspekter på kontinuitetsplanering 8.1.1 Process för verksamhetens kontinuitetsplanering 8.1.4 Ramverk för verksamhetens kontinuitetsplanering 9. Efterlevnad av lagar och avtal 9.1 Efterlevnad av rättsliga krav 9.1.1 Identifiering av rättsliga krav X X 9.1.2 Immaterialrätt X 4

9.1.5 Förhindrande av missbruk informationsbehandlingsresurser X 9.1.6 Reglering av kryptering 9.2 Granskn av säkerhetspolicy och teknisk efterlevnad 9.2.1 Efterlevnad av säkerhetspolicy X 9.2.2 Kontroll av teknisk efterlevnad X 9.3 Hänsynstaganden vid revision av system 9.3.1 Styrning av revision av system 9.3.2 Skydd av hjälpmedel för revision av system 5

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss