Förnyad certifiering av driftleverantörerna av Ladok

Relevanta dokument
Förslag till SLA (Service Level Agreement) avseende datordrift av Ladok

Slutrapport. Certifiering LADOK Pontus Abrahamsson Lösningsarkitekt Säkerhet

Riktlinjer för informationssäkerhet

VGR-RIKTLINJE FÖR KOMMUNIKATION OCH DRIFT

Riktlinje för informationssäkerhet

Ladokstyrelse 847 Information från förvaltningen Karin Åström, Objektägare Ulrika Ringeborn, Objektägare IT

Riktlinjer för informationssäkerhet

DNR: ITS Sid 1 (13) Enheten för IT-stöd och systemutveckling (ITS) Ramavtal RAMAVTAL

Informationssäkerhetsanvisningar Förvaltning

Revisionsrapport. IT-revision Solna Stad ecompanion

Informationssäkerhetspolicy för Ånge kommun

Bilaga 1. Definitioner

Bilaga 3c Informationssäkerhet

EXEMPEL. Informationssäkerhetsinstruktion: Kontinuitet och Drift (Infosäk KD)

1 Risk- och sårbarhetsanalys

Uppföljningsrapport IT-revision 2013

Granskning av säkerheten i mobila enheter. Internrevisionsrapport

Tjänstekatalog (Aktuell version, oktober 2014)

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Konsoliderad version av

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

IT-säkerhetspolicy. Fastställd av KF

Riktlinjer för informationsklassning

Checklista Identitetshanteringssystem för SWAMID 2.0. Utarbetad tillsammans med SUNET CERT och SUSEC

Informationssäkerhetsanvisning

Checklista för Driftsättning - Länsteknik

Kontinuitetsplan IT. Bilaga till Informationssäkerhetspolicy

IT-SÄKERHETSPOLICY. Stadskontoret. 1 Inledning Definition Omfattning Mål för IT-säkerhetsarbetet... 2

IT ordlista Svensk -Engelsk Begreppsförklaringar

Riktlinjer för IT-säkerhet i Halmstads kommun

Riktlinjer för Informationssäkerhet Falkenbergs Kommun Kommunledningskontoret

Information om Ineras certifieringstjänst

IT-säkerhetsinstruktion Förvaltning

Myndigheten för samhällsskydd och beredskaps författningssamling

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Avtal om Kundens användning av tjänsten Video- och distansmöte

Växjö kommun. Övergripande säkerhetsgranskning. säkerhet avseende externt och internt dataintrång. Informationssäkerhetsspecialister:

Myndigheten för samhällsskydd och beredskaps författningssamling

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

INFORMATIONSSÄKERHET 1 INLEDNING MÅL FÖR IT-SÄKERHETSARBETET... 2

Regler och instruktioner för verksamheten

Drift. IT säkerhetsinstruktion: Upprättad av: Johan Israelsson

Finansinspektionens författningssamling

Kontoregler för Linnéuniversitetet

Fastställd av kommundirektören Informationssäkerhet Riktlinje Kontinuitet och drift

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina

Service Level Agreement mall för kommunalt IT-stöd

Sourcingdagarna, 8-9 Februari

Konsoliderad version av

Västerås stad. Uppföljande granskning av IT-säkerheten inom Sociala nämndernas förvaltning

RIKTLINJER FÖR IT-SÄKERHET

Revisionsrapport Borgholms kommun Caroline Liljebjörn 1 juni 2016

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

Policy Document Number ESS Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet

Informationssäkerhet vid Lunds Universitet. Mötesplats Rydberg 3:e oktober Lennart Österman

Arbetsplatstjänsten / SUA

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

16 Utplåning av personuppgifter ur kvalitetsregister

SOLUTION BRIEF. Varför backup som tjänst från Savecore?

Informationssäkerhet - Informationssäkerhetspolicy

Informationssäkerhet Riktlinje Förvaltning

Dokument: Objektägare-ITs placering. Författare Malin Zingmark, Förnyad förvaltning

Bilaga 3c Informationssäkerhet

Bevarande/gallring av personuppgifter i kvalitetsregister

Definition av tjänst Datorarbetsplats

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

Systemförvaltningshandbok

Dnr

Video- och distansmöte - Beskrivning och tjänstespecifika villkor

Vi ser ett behov av att det genomförs utbildningsaktiviteter inom kommunen.

Icke funktionella krav

Service Level Agreement (SLA) - Ladokdrift

Identifieringstjänst SITHS. - Beskrivning och tjänstespecifika villkor

Bilaga 3 Säkerhet Dnr: /

Informationssäkerhetspolicy

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

POLICY & RIKTLINJER. Antaget av kommunfullmäktige , 40

Arkivkrav för IT system med elektroniska handlingar vid Lunds universitet

IT-verksamheten, organisation och styrning

Säkerhetspolicy för Göteborgs Stad

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

Informationssäkerhetspolicy IT (0:0:0)

Landstingets styrning och kontroll av ITavbrottsplaner

LANDSTINGSSERVICE I UPPSALA LÄN STYR- OCH ÖVERVAKNINGSSYSTEM. 5 Scadasystem.doc. Dokument Scadasystem. Sidnr 1(9)

IT-Säkerhetsinstruktion: Förvaltning

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Publiceringsdatum Juni 2007 ( rev. September 2011)

VÄGLEDANDE RÅD OCH BESTÄMMELSER FÖRVALTNING & DRIFT AV IT INOM TIMRÅ KOMMUN

Förnyad förvaltning, ändamålsenlig driftbild Östersund Jonas Brorsson

Sollentuna kommun. Generella IT kontroller Visma Affärslösningar. Detaljerade observationer och rekommendationer. November 2017

Handläggningsordning för förvaltning av IT-system vid Högskolan Dalarna

BRANDSKYDDSPOLICY. Antaget av kommunfullmäktige Reviderad Ks

Region Gotland. Generella IT kontroller Visma och HR Plus. Detaljerade observationer och rekommendationer. Februari 2017

Revisionsrapport: Granskning av IT-säkerhetspolicy. Revisionen har genom KPMG genomfört en granskning av IT-säkerhetspolicy.

Revisionsrapport Granskning av generella ITkontroller för ett urval av system vid Skatteverket 2018

Riktlinje för Systemförvaltning

IT-säkerhetspolicy. Finspångs kommun Finspång Telefon Fax E-post: Webbplats:

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Informationsklassning

Transkript:

Dnr UmU 190-4909-05 Sida 1 av 1 Ulrika Ringeborn/IT-strateg Lunds universitet Umeå universitet Uppsala universitet Förnyad certifiering av driftleverantörerna av Ladok Enligt beslut av Ladokkonsortiets styrelse genomförs under 2015 en förnyad certifieringsprocess avseende drift av Ladok vid de idag certifierade driftleverantörerna. Certifieringsprocessen genomförs med hjälp av konsulten Pontus Abrahamsson, ATEA (pontus.abrahamsson@atea.se). Respektive driftleverantör ska skriftligt intyga att samtliga fastställda certifieringskriterier uppfylls. Denna skriftliga verifiering ska skickas via post till undertecknad. För att komplettera denna verifiering ska bifogade uppföljningsfrågor besvaras i ett avstämningsmöte med konsulten. Respektive driftleverantör tar direkt kontakt med Pontus Abrahamsson för att boka denna avstämning via distansmöte (exempelvis Adobe connect). Avstämningsmöte mellan driftleverantör och konsult bör bokas så fort som möjligt. Inför avstämningsmötet ska relevant dokumentation tas fram. Hela certifieringsprocessen ska vara avslutad vecka 46 för att därefter avrapporteras till Ladokkonsortiets förvaltningsstyrgrupp. När det gäller kostnader i samband med den förnyade certifieringsprocessen förutsätts respektive driftleverantör stå för kostnader som kan uppstå för att uppfylla certifieringsvillkoren samt besvara uppföljningsfrågorna. Kostnaden för den konsult som genomför certifieringsprocessen tas av Ladokkonsortiet. På styrelsens uppdrag Ulrika Ringeborn Ulrika Ringeborn IT-avdelningen Linnéuniversitetet 351 95 VÄXJÖ

drift av Ladok Sida 1 av 3 Certifieringskriterier för drift av nuvarande Ladoksystem Certifieringskriterierna nedan avser de åtaganden driftleverantören har gentemot olika systemägare. Samtlig dokumentation som åberopas för nedanstående certifieringskriterier skall finnas samlad. Alternativt skall en förteckning finnas över var dokumentation som åberopas kan återfinnas. 1 IT-säkerhet 1.1 Det skall finnas krypterad informationsöverföring mellan slutanvändare och driftleverantör. 1.2 Dokumenterade rutiner för certifikatshantering skall kunna redovisas. Dokumentationen skall minst redogöra för hantering när certifikat går ut, byts ut, lagring av privat nyckel samt återkallande. 1.3 Driftleverantörens organisation avseende IT-säkerhet skall finnas dokumenterad. 1.4 Dokumenterad tillgång till specialister avseende rådgivning om IT-säkerhetsfrågor skall finnas. 1.5 Dokumenterade katastrofrutiner skall testas minst en gång per år. 2 Personal 2.1 Dokumenterad bemanningsplan över hur kontinuitet, kompetensutveckling och sårbarhet säkras i personalplaneringen skall finnas. 2.2 Driftleverantören skall kunna redovisa dokumenterad åtgärdsplan vid akut personalbortfall. 2.3 Beredskapsbemanning skall kunna erbjudas 7 x 24. 2.4 Sekretessavtal med all driftspersonal skall finnas inklusive tredjepart. 2.5 Redovisning av resursåtgång skall kunna ske på tillförlitligt sätt (tidsredovisningssystem). 2.6 Utvecklings- och driftspersonal skall organisatoriskt särskiljas. 3 Driftmiljö 3.1 Dokumenterat regelverk för incidenthantering avseende drift av servrar och tillhörande utrustning skall finnas. Hänsyn skall tas till SUNETs krav: http://www.sunet.se/omsunet/policyfragor/it-sakerhet.html. 3.2 Dokumenterade regler för installation och konfiguration av servrar och tillhörande utrustning skall finnas. 3.3 Dokumenterade regler för åtkomst för produktionsmaskin och applikationsprogramvara skall finnas avseende driftspersonal samt tredjepart. 3.4 Separata datorhallar i olika byggnader för redundans skall finnas, med lägst säkerhetsklass SSF 200:3 nivå 2 med avseende på fysiskt intrång. 3.5 In- och utpasseringssystem med loggning skall finnas till datorhallarna.

drift av Ladok Sida 2 av 3 3.6 Dokumenterad underhållsrutin för fysisk miljö i datorhallarna skall finnas. 3.7 Automatiskt brandsläckningssystem alternativt s.k. early-warning-system skall finnas i datorhallarna. 3.8 Automatiserad klimatanläggning med därtill tillhörande rutin för övervakning skall finnas i datorhallen. 3.9 Reservkraft vid bristande elförsörjning skall finnas och vid externa åtaganden även innefatta lokal anslutning till SUNET. Det skall även finnas en dokumenterad informations- och kommunikationsplan mellan driftleverantören och beställarna för dessa tillfällen. 3.10 Dokumenterade regler för nedtagning och återstart av utrustning vid avbrott skall finnas. 3.11 Vid katastroftillfälle skall driftleverantören påbörja upprättande av drift i alternativ lokal inom 1 timme under ordinarie arbetstid samt avsluta upprättande av drift i alternativ lokal inom 12 timmar under ordinarie arbetstid. Det skall finnas en dokumenterad informations- och kommunikationsplan mellan driftleverantören och beställarna för katastroftillfällen. 3.12 Dokumenterad plan för säker avveckling av utrustning med avseende på informationshantering skall finnas. 3.13 Vid utrangering av utrustning skall gällande miljölagstiftning användas. 4 Service Level Agreement, SLA 4.1 Formaliserad överenskommelse skall tecknas mellan driftleverantör och beställare med utgångspunkt i den av konsortiet rekommenderade SLA-modellen. 4.2 Tillgänglighet i enlighet med SLA skall kunna redovisas. 4.3 PUB-avtal i anslutning till SLA skall kunna redovisas. 5 Säkerhetskopiering 5.1 Driftleverantören skall ha system för säkerhetskopiering och återläsning för såväl inkrementell som fullständig backup utan störningar i reguljär applikationsdrift. 5.2 Säkerhetskopiering skall kunna erbjudas vid alla tidpunkter på dygnet om så önskas av beställaren. Dokumenterade rutiner för säkerhetskopiering (inklusive ansvarsfördelning, medierotering, osv.) skall finnas. 5.3 Den tekniska kvaliteten på säkerhetskopiering med avseende på klocksynkronisering skall kunna garanteras. 5.4 Fullständig återläsning av system skall ske minst en gång per år och återläsningstest skall ske minst en gång per månad. 5.5 Matchande serviceavtal motsvarande säkerhetskopieringens tillgänglighet på såväl hård- som mjukvara skall finnas.

drift av Ladok Sida 3 av 3 5.6 Utrustning för löpande säkerhetskopiering skall placeras i en annan brandcell än den/de datorhallar som säkerhetskopieringen avser medan mediet är aktivt. Om säkerhetskopior för löpande drift är löstagbara skall de förvaras i säkerhetsskåp av klassning lägst SSEN1047-1 (skåpen kan vara märkta S120DIS). 5.7 När säkerhetskopiering är avslutad skall säkerhetskopiorna och de verifierade arkivkopiorna flyttas till annan byggnad och förvaras i säkerhetsskåp av klassning lägst SSEN1047-1 (skåpen kan vara märkta S120DIS). Arkivkopiorna kan också överlämnas till systemägare för förvaring.

Uppföljningsfrågor till respektive driftleverantör Sida 1 av 1 Uppföljningsfrågor till respektive driftleverantör Nedanstående punkter ska besvaras av respektive driftleverantör i kontakt med extern konsult som utsetts av Ladokkonsortiet. 1. Har något förändrats avseende certifieringskriterierna sedan 2012? 2. Har något utöver certifieringskriterierna förändrats avseende driftsmiljön sedan 2012? 3. Hur har den sedan 2012 tillagda punkten 4.3 i certifieringskriterierna hanterats (PUB-avtal i anslutning till SLA skall kunna redovisas)? 4. Genomgång av inträffade incidenter sedan 2012 och hur de har hanterats. 5. Har några förändringar skett i utförande av tredje driftparts åtagande? 6. Ta fram exempel på att rutiner har utförts och inte bara bevis på att rutiner finns dokumenterade. 7. Ta fram exempel på att kontinuitetsplaner (och andra planer) är uppdaterade och i tillämpliga fall testade.

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss