Informationssäkerhetsinstruktion Förvaltning IT (1:0:0)

Relevanta dokument
IT-säkerhetspolicy R

Bilaga 1 Handledning i informationssäkerhet

Informationssäkerhetsanvisningar Förvaltning

Informationssäkerhetsinstruktion: Förvaltning (Infosäk F)

Organisation för samordning av informationssäkerhet IT (0:1:0)

Rapport Hantering av IT-säkerhet. Timrå kommun

Informationssäkerhetspolicy IT (0:0:0)

RUTIN FÖR KLASSIFICERING AV INFORMATION

ÅTKOMST TILL VERKSAMHETSSYSTEM RIKTLINJE GÄLLANDE BEHÖRIGHET

Arkivreglemente för Sydarkivera

Informationssäkerhet - Instruktion för förvaltning

Informationssäkerhet

Överenskommelse avseende uppföljningssystemet SUS

Informationshantering och journalföring. informationssäkerhet för god vård

Beskrivning av uppföljningssystemet SUS Bilaga 1 till Överenskommelse avseende uppföljningssystemet SUS

Systemförvaltningsmodell för Högskolan i Borås

Arkivreglemente för Sydarkivera

Följsamhet till fullmäktiges reglemente för intern kontroll

Administratör Rollbeskrivning och stödjande instruktion. e-tjänst för ansökan om statsbidrag Senast uppdaterad:

Post- och telestyrelsens författningssamling

Socialstyrelsens föreskrifter och allmänna råd (2011:9) om ledningssystem för systematiskt kvalitetsarbete

Internkontrollplan 2014 Jämtlands Räddningstjänstförbund

Arkivreglemente för Varbergs kommun

Informationssäkerhetspolicy IT (0:0:0)

Förslag till ny informationssäkerhetspolicy för trafikförvaltningen inklusive ingående verksamheter

Socialstyrelsens författningssamling

Rutin för hantering av privata medel inom vård och omsorg

Avtal om distansarbete

Kulturskoleanordnare i Järfälla

ARKIVREGLEMENTE FÖR NYNÄSHAMNS KOMMUN

Infrastrukturen för Svensk e-legitimation

Myndigheten för samhällsskydd och beredskaps allmänna råd om statliga myndigheters informationssäkerhet

Arkivreglemente för Lerums kommun

Att hantera digital information i Stockholms stad. stockholm.se

Checklistans användningsområde

Skolinspektionen Nyanlända 2016

Riktlinjer systematiskt arbetsmiljöarbete - Bilaga 2. Fördelning av arbetsmiljöuppgifter samt returnering av arbetsmiljöuppgifter

Tillämpning. Kommun, offentlighet. och. sekretess

Riktlinjer för medborgardialog

Bilaga till FÖ 1, Telefonipolicy Konstfack

Arkivreglemente POLICY. Kommunledningskontoret, kanslienheten Lina Rådegård, utredare,

Policy för informationssäkerhet

Policy för Svenska kyrkans gemensamma IT-plattform

KOMMUNALT ARKIVREGLEMENTE

Normativ specifikation

Förslag till Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters risk- och sårbarhetsanalyser

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

VÅLD HOT OCH. inom omsorg och skola

Sammanfattning. Utgångspunkter

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Sverigedemokraternas medlemsregister

MANUAL TILL AVTALSMALL FÖR KIST- OCH URNTRANSPORTER

Rutiner och information om systematiskt arbetsmiljöarbetet enligt AFS 2001:1 vid Lysekils FF

Rutin för rapportering och handläggning av anmälningar enligt Lex Sarah

DALS-EDS KOMMUN REGLEMENTE. ARKIVREGLEMENTE Antaget av kommunfullmäktige , 26

Reviderad förbundsordning för Samordningsförbundet Activus i Piteå gällande från

BEHANDLINGEN AV UPPGIFTER I ANVÄNDAR- LOGG ENLIGT PERSONUPPGIFTSLAGEN

Gemensamma författningssamlingen avseende hälso- och sjukvård, socialtjänst, läkemedel, folkhälsa m.m.

LOKAL RIKTLINJE FÖR HOT- OCH VÅLDSSITUATIONER

Kommittédirektiv. Inrättandet av ett nytt universitet som omfattar verksamheterna vid Växjö universitet och Högskolan i Kalmar. Dir.

AVLÖSARSERVICE I HEMMET 9:5 LSS

Flik 1.3. BJURHOLMS KOMMUN Äldre- och handikappomsorg. Att lämna samtycke

Granskning av ansvarsutövande och intern kontroll år 2014

IT-verksamheten, organisation och styrning

Informationssäkerhetspolicy för Vetlanda kommun

Kommittédirektiv. Stödsystem för hantering av innovationer och immateriella tillgångar vid universitet och högskolor. Dir.

Lokal informationssäkerhetspolicy, lokala informationssäkerhetsriktlinjer och anvisningar

BUDGET 2017 MED PLAN

Svarsjournal. Publikationsnamn

A. Allmänna villkor. Midpoint AB Drottninggatan Karlstad. Tel. +46 (0) Web. E-post.

Uppgradering till DentalEye 3.2

IAM- Lunds universitet. Identity & Access Management

Arkivreglemente för Hultsfreds kommun

Beslut för grundsärskola

Riktlinjer för social dokumentation för utförare inom omsorg om funktionsnedsatta och äldreomsorg

FU 2000 Generella arbetsmiljökrav

RP 305/2010 rd. I propositionen föreslås att lagen om besvärsnämnden. intressen skyddas genom sekretessen. Besvärsinstansernas

Riktlinjer för social dokumentation

Personlig assistans med Kiruna Kommun som assistansanordnare

Verksamhetsplan Habiliteringen. Habiliteringen, Habilitering & Hälsa

IT-säkerhetsinstruktion Förvaltning

Särskild avgift enligt lagen (2000:1087) om anmälningsskyldighet för vissa innehav av finansiella instrument

ADMINISTRATIVA REGLER OCH VÄGLEDNING

Särskilt stöd i grundskolan

Tryckfrihetsförordning

Bilaga 13. Verksamhetsskyddsavtal

Upprättad Reviderad AVVIKELSE och RISKHANTERING riktlinjer

Åklagarmyndigheten, Ekobrottsmyndigheten, Polismyndigheten och Tullverket

ANVÄNDARHANDLEDNING FÖR

Behörigheter och loggkontroll. Gällivare kommun

Instruktion för arbete med säkerhetsskydd

Styrmodell för Vimmerby kommun. Antaget av kommunfullmäktige , 231

Förberedelser inför EU:s dataskyddsförordning

Styrdokument för krisberedskap

Mellan Landskrona kommun, nedan kallad Landskrona och Svalövs kommun, nedan kallad Svalöv samt Bjuvs kommun, nedan kallad Bjuv har träffats

Svensk författningssamling

Anvisning om psykosocial skyddsrond

Anvisning om arbetsgivaransvar enligt arbetsmiljölagen

Regler och instruktioner för verksamheten

ARKIVREGLEMENTE för <din kommun>

Svensk författningssamling

Transkript:

Informationssäkerhetsinstruktion Förvaltning IT (1:0:0) Kommunalförbundet ITSAM Revision: 20151130 Ersätter: 20130227 Dnr: 2013/00036 Kommunalförbundet ITSAM, Storgatan 36A, 590 36 Kisa Tel: 0494 197 00, Fax: 0494 197 99, Org nr: 222000 2584

Sid 2 (10)

Innehåll Innehåll... 3 Instruktionens roll i informationssäkerhetsarbetet... 5 1 Organisation och ansvar... 6 1.1 Direktion... 6 1.2 Stab (ledning)... 6 1.3 Informationssäkerhetsansvarig... 6 1.4 Systemägare... 6 1.5 Systemförvaltare... 6 1.6 Kommunalförbundet ITSAMs verkställande tjänsteman... 6 1.7 Systemtekniker... 7 1.8 Behörighetsansvarig... 7 1.9 Behörighetsadministratör... 7 1.10 Arkivansvarig... 7 1.11 Användare... 7 2 Regler och rutiner... 7 2.1 Ansvar för tillgångar... 7 2.2 Informationsklassificering... 8 2.3 Under anställningen... 8 2.4 Säkrade utrymmen... 8 2.5 Kontroll av utomstående tjänsteleverantör... 8 2.6 Hantering av datamedia... 8 2.7 Distribution av media... 8 2.8 Övervakning... 8 2.9 Styrning av användares åtkomst... 8 2.10 Styrning av åtkomst till nätverk... 9 2.11 Styrning av åtkomst till operativsystem... 9 2.12 Distansarbete... 9 2.13 Säkerhetskrav på system... 9 Sid 3 (10)

2.14 Säkerhet i utvecklings- och underhållsprocesser... 10 2.15 Hantering av informationssäkerhetsincidenter och förbättringar... 10 Sid 4 (10)

Instruktionens roll i informationssäkerhetsarbetet Styrande dokument är övergripande informationssäkerhetspolicy med tillhörande underliggande policys samt dokumenten - Organisation för samordning av informationssäkerhet IT, informationssäkerhetsinstruktionerna Förvaltning IT (Infosäk F), Kontinuitet och Drift IT (Infosäk KD) och Användare IT (Infosäk A), fördelad på grupperna Personal, Elever och Övriga. Informationssäkerhetspolicyn syftar till att klarlägga: övergripande viljeinriktning och mål för informationssäkerhetsarbetet inom IT krav på riktlinjer för områden av särskild betydelse Organisation för samordning av informationssäkerhet IT syftar till att klarlägga: IT-driftorganisationen och dess roll i informationssäkerhetsarbetet inom IT Informationssäkerhetsinstruktion Förvaltning IT (Infosäk F) syftar till att klarlägga: Hur förvaltning av IT-system ska organiseras och struktureras IT-organisationen och det ansvar som ingår i de olika rollerna regler för systemutveckling, systemunderhåll och incidenthantering Informationssäkerhetsinstruktion Kontinuitet och Drift IT (Infosäk KD) syftar till att klarlägga: IT-organisationen och det ansvar som finns för drift av informationssystemen regler för säkerhetskopiering, lagring, driftadministration och kontinuitetsplanering Informationssäkerhetsinstruktion Användare IT (Infosäk A-P, A-E, A-Ö) syftar till att klarlägga: hur användare ska verka för att upprätthålla en god säkerhet Sid 5 (10)

1 Organisation och ansvar 1.1 Direktion Kommunalförbundet ITSAMs direktion fattar inriktningsbesluten hur informationssäkerhetsarbetet inom IT ska bedrivas. 1.2 Stab (ledning) Verkställande tjänsteman ska i enlighet med direktionens beslut se till att informationssäkerhetsarbetet efterlevs. Detta inkluderar frågor avseende anskaffning, drift, förvaltning och avveckling av informationshanteringsresurser. 1.3 Informationssäkerhetsansvarig Informationssäkerhetsansvarig stödjer arbetet med att uppnå informationssäkerhetspolicyns mål och ansvarar för analyser av de delar av IT-stödet som är gemensamma för hela verksamheten. Informationssäkerhetsansvarig initierar och stödjer systemägarnas arbete med att genomföra enskilda systemsäkerhetsanalyser. 1.4 Systemägare Inom ramen för antagna mål och resurser fattar systemägaren beslut om de egna systemens införande, drift, förvaltning och avveckling. Systemägaren ansvarar för att systemsäkerhetsanalyser för de egna systemen genomförs. Som systemägare ska för varje kommun finnas en utpekad person per system. 1.5 Systemförvaltare Systemförvaltaren utses av systemägaren och är operativt ansvarig för systemet. Systemförvaltaren ansvarar för att verkställa beslut fattade av systemägaren ansvarar för systemets funktionalitet och den dagliga användningen ansvarar för användar- och behörighetsadministration i systemet ansvarar för support i verksamhetsrelaterade frågor genomför erforderliga utbildningar dokumenterar uppkomna fel, brister och incidenter i systemet och rapporterar dessa till systemägaren och Kommunalförbundet ITSAM dokumenterar förslag till ändringar/utveckling av systemet är kontaktperson mot systemleverantör och Kommunalförbundet ITSAM deltar i arbetet med IT-säkerhetsfrågor initierar och medverkar i tester i samband med felrättningar och uppgraderingar Som systemförvaltare ska för varje kommun finnas en utpekad person per system. 1.6 Kommunalförbundet ITSAMs verkställande tjänsteman Kommunalförbundet ITSAMs verkställande tjänsteman är systemägare för de system som definieras som Core-system och som är vitala och strategiska för en fungerande IT-infrastruktur såsom den inom ITSAM. System som avses är förtecknade i systeminventeringen och exempel på sådana är e- post, fillager, IDM, metakatalog, system för certifikatutgivning etc. Verkställande tjänsteman ansvarar för att de strategiska systemens tekniska delar fungerar och att basnivåerna gällande drift och kontinuitet uppfylls. Verkställande tjänsteman för kommunalförbundet är ytterst: Sid 6 (10)

driftansvarig för kommunalförbundets olika IT-systems tekniska delar remissinstans i IT-frågor beställarkompetens inom IT-området systemägare för förvaltningsövergripande IT-system ansvarig för beslut tillsammans med andra systemägare vid disciplinära åtgärder av användare teknisk rådgivare till systemägare av förvaltningsspecifika system ansvarar för upphandlingar av hård- och mjukvara tillsammans med systemägare vilka har det fulla ekonomiska ansvaret ansvarig för att upprätta IT-systemsäkerhetsplan och medverkar i granskningsarbetet inför driftgodkännande av system teknisk rådgivare då förändringar i system är aktuella ansvarig för att driften av förvaltningsspecifika system sköts ansvarig för att IT-systemen håller den tekniska och funktionella kvalitet som överenskommits med systemägare och att systemen fungerar ihop med samverkande IT-system ansvarig för att tillhandahålla IT-utrustning med tillräcklig kapacitet och driftsäkerhet 1.7 Systemtekniker Systemtekniker som tillhör Kommunalförbundet ITSAM, innehar den tekniska kompetensen, och ansvarar tillsammans med systemägare och systemförvaltare för att den dagliga driften upprätthålls enligt överenskommelse mellan systemägaren och verkställande tjänsteman eller av denne delegerad person. 1.8 Behörighetsansvarig Se systemförvaltare. 1.9 Behörighetsadministratör Se systemförvaltare. 1.10 Arkivansvarig Arkivansvarig ansvarar dels för att informationsflöden dokumenteras och uppdateras kontinuerligt, dels ansvarar för att tillgängligheten till informationsmängder finns för rätt subjekt och dels ansvarar för att informationsmängder säkerhetskopieras och återställs vid behov. 1.11 Användare Användare är de som i sitt dagliga arbete använder implementerade system och som har det yttersta ansvaret för att på ett regelmässigt vis hantera den tillgängliga informationen med avseende på integritet, sekretess och tillgänglighet. 2 Regler och rutiner 2.1 Ansvar för tillgångar IT-utrustning ska vara förtecknad och inventerad. Av förteckningen ska framgå var tillgångarna är placerade samt vem som ansvarar för tillgången. Omflyttning och överlåtelse av tillgång får inte ske utan samråd med kommunalförbundet ITSAM. Sid 7 (10)

2.2 Informationsklassificering Regler för klassning av information framgår av Infosäk A. 2.3 Under anställningen Information och utbildning av anställda omfattar: Innehållet i Informationssäkerhetspolicy IT och Infosäk A-P, A-E och A-Ö Systemägare/verksamhetsansvarig ansvarar för att: nya användare ges grundläggande informationssäkerhetsutbildning före tilldelning av behörighet i systemet. användarhandledning för aktuellt system finns. medarbetare har tillräckliga kunskaper om säkerhetsreglerna för de system de behöver för de egna arbetsuppgifterna. 2.4 Säkrade utrymmen Känslig information från system ska lagras på resurser i datorhallar som ska vara försedda med kontrollsystem för in- och utpassering. Utrymmen med kopplingspunkter ska vara låsta. Känslig information som inte hanteras i system ska förvaras i brandklassade säkerhetsskåp. Övervakning av servicepersonal, städpersonal m.fl. ska ske och beslut ska tas av VD eller av denne delegerad person om och när tillträde till säkrade utrymmen tillåts. Beslut skall dokumenteras. 2.5 Kontroll av utomstående tjänsteleverantör Beställare av utomstående leverantörers tjänster ska följa upp och granska att överenskommelser gällande informations- och IT-säkerheten följs. 2.6 Hantering av datamedia Datamedia med sekretessbelagd information som ska avvecklas överlämnas till kommunalförbundet som hanterar destruktion av media. 2.7 Distribution av media Om media som innehåller känslig information måste transporteras fysiskt ska systemägaren kontaktas för beslut om tillvägagångssätt. 2.8 Övervakning Systemloggar ska föras och för dessa ska systemägaren besluta: vad som ska loggas hur ofta loggarna ska analyseras vem som ansvarar för analyser av loggarna hur länge loggarna ska sparas hur loggarna ska förvaras Detaljerad information samt anvisningar för användning och övervakning av loggfiler framgår av separat dokument, upprättat av systemägaren. 2.9 Styrning av användares åtkomst För att säkerställa att endast behöriga användare förekommer i systemen ska beställning, borttagande eller ändring av åtkomst till system ske på föreskrivet sätt och dokumenteras enlig gällande rutiner. Media innehållande lösenord, PIN-koder och certifikatnycklar ska förvaras inlåsta. Styrande dokument: Informationssäkerhetsinstruktion A, Policy för åtkomstkontroll. Sid 8 (10)

2.10 Styrning av åtkomst till nätverk Verkställande tjänsteman ansvarar för att genom anvisningar reglera: autentisering vid externa anslutningar anslutning av utrustning till interna och externa nätverk anslutning av externa nätverk till eget nät med ingående säkerhetsfunktioner, autentisering mm anslutning av trådlösa nät säkerhet vid Internetanslutning att en översikt av säkerhetsarkitekturer för interna nätverket och kommunikationsanslutningar upprättas administrationen av brandväggen samt besluta om vad som ska loggas i den, vem som ansvarar för uppföljningen av loggarna, hur ofta uppföljning ska ske och hur länge loggarna ska sparas att upprätta underlag för ledningens beslut om kommunikationstjänster 2.11 Styrning av åtkomst till operativsystem Verkställande tjänsteman beslutar i vilken utsträckning användning av administrationsverktyg eller systemhjälpmedel som kan förbigå system- och tillämpningsspärrar ska användas. 2.12 Distansarbete Systemägare beslutar om ett systems information ska få hanteras på distans. Distansarbete ska vara reglerat i avtal mellan arbetsgivaren och den anställde. Styrande dokument: Informationssäkerhetsinstruktion A, Policy för åtkomstkontroll 2.13 Säkerhetskrav på system Inför nyanskaffning och införande av ett system ska systemägare i samråd med kommunalförbundet utforma en projektplan för införandet. Denna plan ska minst omfatta: beskrivning av behov och mål med anskaffningen en inledande systemsäkerhetsanalys Analysen syftar till att klarlägga säkerhetskraven på det system som planeras införas och den utökas därefter med en kravspecifikation som minst omfattar: integrationskrav med andra system krav på test tidplan personella och ekonomiska resurser fastställa omfattning av användarutbildning krav på acceptans Projektledare för nyanskaffningsprojekt förbereder överlämnandet från test och utveckling till drift och förvaltning tillsammans med den blivande systemägaren. Beslut om tidpunkt när systemet övergår från projekt till förvaltning fattas i samråd mellan kommunalförbundet och systemägaren. I och med överlämnandet övergår ansvaret till systemägaren som då också övertar all dokumentation och upprättar en systemsäkerhetsanalys. Driftgodkännande avser den process som syftar till att fastställa om ett system uppfyller ställda säkerhetskrav. Denna process omfattar följande steg: systemägare driftgodkänner sina system efter genomförd systemsäkerhetsanalys systemägaren koordinerar sina krav med informationssäkerhetsansvarig informationssäkerhetsansvarig ansvarar för att underlag för driftgodkännande behandlas av systemägaren samt undertecknas och arkiveras Sid 9 (10)

2.14 Säkerhet i utvecklings- och underhållsprocesser Förslag om önskemål på förändringar i systemet lämnas av systemförvaltaren till systemägaren. Arbetet bedrivs enligt organisationens process och rutin för införande och utveckling av systemet. 2.15 Hantering av informationssäkerhetsincidenter och förbättringar Vid misstanke om intrång eller andra incidenter ska användare agera enligt Informationssäkerhetsinstruktion A-P, A-E och A-Ö. Informationssäkerhetsansvarig ska till verkställande tjänsteman och systemägare sammanställa och rapportera: intrång och försök till intrång brott mot lagstiftning och internt regelverk incidenter som orsakar eller skulle kunna orsaka betydande avbrott och störningar konsekvenser och förslag till åtgärder efter intrång eller funktionsfel Sid 10 (10)

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss