Informationsklassning



Relevanta dokument
Informationssäkerhetspolicy IT (0:0:0)

Riktlinjer för IT-säkerhet i Halmstads kommun

IT-säkerhetsinstruktion Förvaltning

Policy Document Number ESS Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet

Säker informationshantering utifrån ett processperspektiv

Metod för klassning av IT-system och E-tjänster

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

IT-säkerhetspolicy. Fastställd av KF

PERSONUPPGIFTSBITRÄDESAVTAL

INFORMATIONSSÄKERHET 1 INLEDNING MÅL FÖR IT-SÄKERHETSARBETET... 2

Informationssäkerhetspolicy

Informationssäkerhetspolicy KS/2018:260

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUN

Riktlinjer för informationssäkerhet

Juridiska säkerhetskrav

1. Förvaltning:... Verksamhetsområde: Kontaktperson: Personregistrets benämning. 4. Hur sker information till de registrerade?

IT-Säkerhetsinstruktion: Förvaltning

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Riktlinjer för informationsklassning

Processorienterad informationsklassning

Riktlinjer för dataskydd

Gemensamma anvisningar för informationsklassning. Motala kommun

Informationssäkerhetspolicy för Ånge kommun

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Riktlinjer. Informationssäkerhet och systemförvaltning

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

Informationssäkerhet - Informationssäkerhetspolicy

Riktlinjer för digital arkivering i Linköpings kommun

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

Vilma Lisboa April 2010

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

POLICY FÖR E-ARKIV STOCKHOLM

ITsäkerhetspolicy. Antagen av kommunstyrelsen

Säkerhet vid behandling av personuppgifter i forskning

Rätt informationssäkerhet är A&O vid införande av välfärdsteknologi. Jeanna Thorslund, Sveriges Kommuner och Landsting Thomas Nilsson, Certezza

Riktlinjer för informationssäkerhet

Informationssäkerhetspolicy IT (0:0:0)

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Informations- och IT-säkerhet i kommunal verksamhet

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUNS NÄTVERK 1 INLEDNING BAKGRUND...1

Informationssäkerhet - Instruktion för förvaltning

Informationssäkerhetsanvisningar Förvaltning

RIKTLINJER FÖR IT-SÄKERHET

Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK)

Ansvar och roller för ägande av information samt ägande och förvaltande av informationssystem i Umeå kommun

Regelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga D. Personuppgiftsbiträdesavtal. Version: 2.

EBITS Energibranschens IT-säkerhetsforum

Verket för förvaltningsutvecklings författningssamling ISSN Utgivare: Lena Jönsson, Verva, Box 214, Stockholm

SOLLENTUNA FÖRFATTNINGSSAMLING 1

E-delegationen VLDS 4.1 Juridiska aspekter på digital samverkan v1.0

Förutsättningar för gallring efter skanning 1 (5) Tillsynsavdelningen Datum Dnr RA /1121 Håkan Lövblad

Tillsyn enligt personuppgiftslagen (1998:204) avseende behörighetsstyrning i ParaGå

Riktlinje för informationssäkerhet

Rättvisare, säkrare, enklare Nya regler för tryckbärande anordningar

VGR-RIKTLINJE FÖR KOMMUNIKATION OCH DRIFT

Handbok Informationsklassificering

Riktlinjer för informationssäkerhet

Strategi för bevarande av elektroniska handlingar vid Karolinska Institutet

Strategi för dokument och arkivhantering i Sundsvalls kommunkoncern

Policy för användande av IT

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

VGR-RIKTLINJE FÖR ÅTKOMST TILL INFORMATION

Informationssäkerhetsanvisning

Informationssäkerhetspolicy

Plan för informationssäkerhet vid Högskolan Dalarna 2015

SÄKERHETSFÖRESKRIFTER FÖR FÖRVALTNING AV IT-SYSTEM

Syfte Behörig. in Logga 1(6)

SÄKERHETSPLAN FÖR PERSONUPPGIFTSBEHANDLING SOCIALFÖRVALTNINGEN GISLAVEDS KOMMUN

Informationssäkerhet, Linköpings kommun

POLICY FÖR E-ARKIV STOCKHOLM

Bilaga b, (Användaravtal Nyps) Personuppgiftsbiträdesavtal

Leif Bouvin dnr A / Riktlinjer för systemanskaffning och systemutveckling

SÅ HÄR GÖR VI I NACKA

Behörighetsanmälan för Alectas internetkontor Företag

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Kvalitetshandbok Biobankens namn/tillhörighet Utgåva Sida Sidan 1 av 8 Framtagen av Granskad och fastställd av Datum

PERSONUPPGIFTSBITRÄDESAVTAL

Lokal informationssäkerhetspolicy, lokala informationssäkerhetsriktlinjer och anvisningar

Checklista för utvärdering av miljöledningssystem enligt ISO 14001:2004

Kanslichef - Tillsvidare

Myndigheten för samhällsskydd och beredskaps författningssamling

IT-konsekvensanalys dataskyddsförordning

Informationssäkerhet och earkiv Rimforsa 14 april 2016

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

Föreningen kommer vidare att skriva avtal med sin systemleverantör. Leverantören kommer också att ta emot föreningens säkerhetskopior.

Riktlinjer för IT och informationssäkerhet - förvaltning

Behörighet i Alectas internetkontor - Ombud

I n fo r m a ti o n ssä k e r h e t

ISO I PRAKTIKEN

VÄGLEDANDE RÅD OCH BESTÄMMELSER FÖRVALTNING & DRIFT AV IT INOM TIMRÅ KOMMUN

Riktlinjer informationssäkerhetsklassning

Instruktion enligt personuppgiftslagen (1998:204) för Eskilstuna kommunkoncern

IT-säkerhetspolicy. Finspångs kommun Finspång Telefon Fax E-post: Webbplats:

Transkript:

Norrmalms stadsdelsförvaltning 2003-09-09 Bilaga 5 s Informationsklassning Inledning Data som lagras och bearbetas i stadens IT-system bildar information som representerar stora värden. För att få en heltäckande uppfattning om säkerhetskraven i dessa IT-säkerhetssystem måste hänsyn tas till följande faktorer: - krav på informationens riktighet - krav på tillgänglighet - krav på åtkomstbegränsning - krav på spårbarhet När kraven är identifierade kan rätt skyddsnivå fastställas för det aktuella informationssystemet/databasen. De system som är väsentliga för verksamheten skall informationsklassas vartannat år. Vid nyutveckling/anskaffning av informationssystem skall informationsklassning ske i ett tidigt skede. Avdelningschef/enhetschef ansvarar för att detta genomförs. Definition Med informationsklassning avses en metod att indela informationen med hänsyn till vilken skyddsnivå systemägaren kräver, när det gäller Riktighet, Tillgänglighet, Åtkomstbegränsning och Spårbarhet. Genomförande Deltagare vid ett klassningstillfälle bör vara, förvaltningens systemrepresentant, användare, system/driftstekniskt ansvarig samt IT-säkerhetssamordnare i rollen som klassningsledare. Vid klassning av lokala system bör systemförvaltaren för lokala system deltaga. Vid tillfället ges en kort information om IT-säkerhet och var klassningen kommer in i enlighet med förvaltningens och stadens IT-säkerhetsregler. Därefter görs en beskrivning av systemet genom att blanketten Protokoll för klassificering av IT-system fylls i. Informationsklassning/2003-09-09/B.Broo/E.Eriksson

2 2003-09-09 2(12) Efter detta går man igenom klassificeringsmatrisen och kommer överens om vilken klass systemet skall ha. Grundnivå (klass 3) Förhöjd nivå (klass 2) Högsta nivå (klass 1) När man enats om en klassificering dokumenteras detta i protokollet. Nästa moment är att kontrollera att den satta klassificeringen överensstämmer med nuläget när det gäller erforderlig säkerhetsnivå. För varje klassificeringstal finns ett antal åtgärder beskrivna i åtgärdskatalogen. Efter genomförd kontroll skall de åtgärder som är kvar att genomföra förtecknas i prioriteringsordning på en bristlista och undertecknas av systemägarrepresentanten. Efter en lämplig tid görs en ny kontroll och eventuella brister prioriteras.

3 2003-09-09 3(12) Åtgärdskatalog För klass 3 behöver inga specifika åtgärder vidtas. De generella bestämmelser som gäller för IT-säkerheten i staden måste givetvis följas. RIKTIGHET Klass 2 1 + + Rimlighetskontroller för data som ger önskad informationskvalité skall finnas Kommentar: kontrollera att det finns stöd i programmet för automatiska kontroller av viktiga inmatade uppgifterna t ex datumformat, obligatoriska fält, felaktiga slutsummor, spärr mot orimligt höga summor etc + + Rutiner för datainsamling skall vara sådana att störningar minimeras Kommentar: kontrollera befintliga pappers- kontorsrutiner i det flöde som sker innan uppgifterna matas in i programmet. Titta även på samma rutiner sedan programmet lämnat ifrån sig uppgifter + + Utbildningsplan för personal skall fastläggas och genomförandet säkerställas Kommentar: se till att introduktionsutbildning och fortutbildning finns att tillgå i samband med köpet av programmet. Tänk på behovet av utbildning av nyanställd personal. + + Erforderlig dokumentation skall upprättas och a-jourhållas + + Samtliga tester som systemutvecklingsmodellen kräver skall genomföras + + Övriga kvalitetssäkrings- och sårbarhetsanalyser som erfordras enligt utvecklingsmodellen skall genomföras - + Regelbunden dialog med systemets samtliga intressenter skall etableras Kommentar: intressenter kan exempelvis vara andra systemägare som har gränssnitt mot det klassade

4 2003-09-09 4(12) - + Systemägaren skall garantera datas riktighet genom undertecknad kvalitetsdeklaration - + Systemutvecklingsarbetet skall bedrivas mot fastställda ändringsterminer, s.k releaser - + Rutiner för datainsamling skall vara sådana att störningar minimeras

5 2003-09-09 5(12) TILLGÄNGLIGHET Klass 2 1 + + Behov av klimatanläggning (kyla, fukt) och skydd mot gasoch vätskeutströmning skall prövas utifrån den aktuella situationen i serverrummet. + + Avbrottsfri kraft (UPS) skall alltid finnas. + + Operatörskonsol skall skyddas med lösenord. + + Rutiner för säkerhetskopiering skall fastställas efter aktuell verksamhets behov. Dock bör alltid backup på data tas minst en gång per vecka. + + Rutiner för märkning av backup-media skall fastställas + + Återläsningsrutiner (Restore) skall testas regelbundet. + + Säkerhetskopia skall förvaras i arkiv med brandklass motsvarande 120 minuter enligt Statens Provningsanstalts kriterier i annan byggnad än driftstället. + + Åtskild test- och produktionsmiljö skall finnas för att undvika driftstörningar. + + Beroende av nyckelpersonal skall minimeras + + Funktion för användarstöd skall finnas etablerad. Kommentar: kan vara help-desk, jourtelefon, korridorstödsfunktion etc + + Avtal om service på utrustning skall finnas. - + Tillträde till driftlokaler skall kunna loggas - + Alternativ driftcentral skall finnas tillgänglig - + Den alternativa driftcentralen skall kunna användas även under icke avbrottstid.

6 2003-09-09 6(12) - + Spegling av diskar skall fungera kontinuerligt - + Personella och administrativa rutiner skall upprättas för att kunna hantera alternativ driftcentral. - + Möjlighet till alternativa datakommunikationsvägar skall finnas och arrangeras efter verksamhetens behov

7 2003-09-09 7(12) ÅTKOMSTBEGRÄNSNING Klass 2 1 + + För aktuell systemmiljö godkänt behörighetskontrollsystem skall användas + + Detaljerade rutiner för behörighetsadministrationen skall upprättas + + Användarstöd skall ges möjlighet till support för viss lösenordshantering + + Om betalningsförmedling sker skall elektroniskt sigill användas. + + Om betalningsförmedling sker skall digital signatur användas när denna tjänst fått standardiserad utformning. + + Beroende av nyckelpersonal skall minimeras + + Eventuellt behov av destruktion av lagringsmedia skall beaktas - + Kryptering av lagrat och överfört data skall ske i enlighet med stadens standard då sekretessbelagd information hanteras i IT-system - + Destruktion av lagringsmedia skall ske på godkänt vis Kommentar: MFO har avtal med destruktionsföretag - + Behörighetskontrollsystem för operativsystemet skall finnas

8 2003-09-09 8(12) SPÅRBARHET Klass 2 1 + + System- och applikationsloggar skall alltid vara påslagna + + Detaljerade rutiner för loggning och uppföljning skall fastställas - + Speciella funktioner skall byggas om inte applikationen stöder verksamhetens och revisionens krav

9 2003-09-09 9(12) Protokoll för klassificering av IT-system ALLMÄNNA UPPGIFTER System Datum för klassificering Beskrivning Avgränsning Närvarande Namn Roll

10 2003-09-09 10(12) REDOVISNING AV RESULTAT Förvaltningsorganisation Roll Organisation Legala krav Lag Tillämpbar Uppfylld Kommentar Tryckfrihetsförordningen Sekretesslagen Bokföringslagen/ Lagen om kommunal redovisning Lagen om Upphovsmannarätt Arkivlagen Lagen om skydd av företagshemligheter Personuppgiftslagen Socialtjänstlagen Säkerhetsskyddslagen Särskilda uppgifter för system som innehåller personuppgifter

11 2003-09-09 11(12) Ändamål med behandlingen Kategori av personer som berörs av behandlingen Personuppgifter som skall behandlas Mottagare till uppgifterna Säkerhetsåtgärder Överföring till tredje land (Internet) KLASSIFICERING Klass Riktighet Tillgänglighet Åtkomstbegränsning Spårbarhet Kommentarer till klassificeringen

12 2003-09-09 12(12) UNDERSKRIFT Protokollet skall undertecknas av klassningsledaren. Systemägaren för de lokala systemen alternativt förvaltningens representant för de övergripande systemen fastställer klassificeringen och de övriga förhållanden som försättsbladet och bristlistan redovisar genom att justera detta protokoll. (ort, datum) (klassningsledare) (namnförtydligande) Justeras: (ort, datum) (Systemägarrepresentant för de lokala systemen/systemrepresentant för övergripande system) (namnförtydligande)

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss