Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet



Relevanta dokument
Sjunet standardregelverk för informationssäkerhet

Regelverk för informationssäkerhet Omformulering av tidigare version 3.0

Sjunet Anslutningsavtal Förenklat regelverk för informationssäkerhet

Förvaltningsplan för Sjunet

HSA Tjänsteanslutningsprocess. Kriterier och anslutningsinstruktioner för tjänster som vill nyttja informationen i HSA

HSA Tjänsteanslutningsprocess. Kriterier och anslutningsinstruktioner för tjänster som vill nyttja informationen i HSA

Organisation för samordning av informationssäkerhet IT (0:1:0)

EBITS Energibranschens IT-säkerhetsforum

HSA Anslutningsavtal. HSA-policy

BILAGA 5 - Fö reskrifter fö r Sambiömbud Versiön: 1.0.1

Tillgänglighet, Kontinuitet och Incidenthantering. Förutsättningar för nyttoeffekter. Leif Carlson

Informationssäkerhetspolicy

Riktlinjer för IT-säkerhet i Halmstads kommun

Identifieringstjänst SITHS. - Beskrivning och tjänstespecifika villkor

BILAGA 3 Tillitsramverk Version: 2.02

Myndigheten för samhällsskydd och beredskaps författningssamling

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Avtal om Kundens användning av Journal via nätet Bilaga 1 - Specifikation av tjänsten Journal via nätet (Enskilds direktåtkomst)

Myndigheten för samhällsskydd och beredskaps författningssamling

Informationssäkerhetspolicy för Ånge kommun

Anvisningar för användare vid användning av e- Tjänster. Anvisningar och rekommendationer för användare av e-tjänster i samverkan SAML & SSO

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

BILAGA 3 Tillitsramverk

Journal via nätet - Beskrivning och tjänstespecifika villkor

IT-Säkerhetsinstruktion: Förvaltning

Välkommen till enkäten!

Avtal om Kundens användning av tjänsten Video- och distansmöte

Video- och distansmöte - Beskrivning och tjänstespecifika villkor

Informationssäkerhetspolicy IT (0:0:0)

Finansinspektionens författningssamling

HSA-policy. Version

Policy Document Number ESS Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

BILAGA 3 Tillitsramverk Version: 2.1

Bilaga 1 - Handledning i informationssäkerhet

Avtal om Kundens användning av

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

Tjänsteavtal för ehälsotjänst

Avtal avseende förvaltning av gemensamma infrastrukturtjänster för ehälsa HSA/SITHS

Informationssäkerhetspolicy

Portförändringar. Säkerhetstjänster 2.1 och framåt

Vägledning för innovativ applikations- och tjänsteutveckling

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Elektronisk remiss. Beskrivning och tjänstespecifika villkor

Nitha IT-stöd för händelseanalys. Beskrivning och tjänstespecifika villkor

Ansvarsförbindelse för Stockholms Läns Landstings Elektroniska Katalog (EK)

Välkommen som Sambi-kund!

Tillitsramverket. Detta är Inera-federationens tillitsramverk.

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Nationell patientöversikt en lösning som ökar patientsäkerheten

Finansinspektionens författningssamling

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Checklista. Konsumentinförande via Agent, Nationell Patientöversikt (NPÖ)

Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13

Säkerhetstjänster Spärr,Samtycke,Logg. Beskrivning och tjänstespecifika villkor

Sjunet robust DNS. Teknisk Beskrivning

Avbrott i bredbandstelefonitjänst

Plan för informationssäkerhet vid Högskolan Dalarna 2015

Vi skyddar din information. Vårt informationssäkerhetsarbete och skydd av personuppgifter

Inkoppling av annan huvudman för användning av Region Skånes nätverk - RSnet

Uppdatering av HSA-policyn. HSA Nätverksmöte

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Sjukvårdsrådgivningen Kundtjänst 2008

IT-säkerhetsinstruktion Förvaltning

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet

Transportstyrelsens föreskrifter om hantering av krypteringsnycklar och certifikat för tillverkning av digitala färdskrivare;

Villkor för anslutning till Nationella tjänsteplattformen

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Nationell Tjänsteplattform och säkerhetsarkitektur. Per Brantberg, område arkitektur/infrastruktur

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet.

Informationssäkerhetspolicy för Nässjö kommun

BILAGA 3 Tillitsramverk Version: 1.3

Avtal om Kundens mottagande av intyg från Mina intyg Bilaga 1 - Specifikation av tjänsten mottagande av intyg från Mina Intyg

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Bilaga 3 Säkerhet Dnr: /

Anslutningsavtal avseende anslutning till nationell patientöversikt (NPÖ) version 1.1

Avtal om Kundens användning av Pascal Bilaga 1 - Tjänstespecifikation Pascal

Malltext Tredjepart- /Samarbetsavtal HSA och SITHS

Nationell Patientöversikt. - Beskrivning och tjänstespecifika villkor

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhetspolicy. Linköpings kommun

Informationssäkerhetspolicy för Ystads kommun F 17:01

Systemförvaltnings Modell Ystads Kommun(v.0.8)

Lokal informationssäkerhetspolicy för hälso- och sjukvårdsförvaltningen

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr Kommunikation som tjänst - A

Bilaga till rektorsbeslut RÖ28, (5)

BESLUT. Ärendet Egeninitierad verksamhetstillsyn av vårdgivarens informationssäkerhet

FÖRSVARSMAKTENS INTERNA BESTÄMMELSER

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

Checklista. För åtkomst till Svevac

Stöd och behandling. Beskrivning och tjänstespecifika villkor

INFORMATIONSSÄKERHET 1 INLEDNING MÅL FÖR IT-SÄKERHETSARBETET... 2

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

SITHS i Easy. Handledning i hanteringen av Självdeklarationen. SITHS i Easy SITHS Förvaltning Senast ändrad Sid 1/9

Informationssäkerhet - Informationssäkerhetspolicy

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Informationssäkerhetsanvisningar Förvaltning

Transkript:

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet

Innehållsförteckning 1. Generell informationssäkerhet... 4 1.1. Styrande dokumentation... 4 1.2. Organisation... 4 Incidenthantering... 5 1.3. Riskhantering... 5 SJUNET specifika regler... 6 2. Förutsättningar för avtal... 6 2.2. Teknisk integration... 6 2.3. Tillgänglighetspåverkan... 8 2.4. Systemackreditering... 10 2.5. Tredjepartsleverans... 11 Revisionshistorik Version och datum Författare Kommentar 3.00-080203 Leif C Bifogas vi förnyelse av Sjunetavtal 3.02-100923 Maria B Text överförd till Ineras dokumentmall 3.03-121108 Leif C, Lars Ö, Omarbetad struktur. Remiss Björn G 3.04-121113 Lars Ö Struktur 3.05-121114 Lars Ö Struktur 3.06-121116 Leif C Justeringar 3.07-121121 Leif C & Co Justeringar 3.08-130131 Leif C & Co Remiss till förvaltningsgruppen och Ineras externa informationssäkerhetsråd. 3.1-130320 Leif C Beslutad och publicerad version Sid 2/12

Definitioner Informationssäkerhet används genomgående för informationssäkerhet och IT-säkerhet. Ordet Kund används för alla, genom avtal, anslutna aktörer, Beställare används för Inera AB och ordet Leverantör används för TDC Sverige AB. Syfte Syftet med detta dokument och regelverk är att: Utgöra fundamentet för tillit mellan aktörer inom svensk vård och omsorg. Ange vad Kunden kan förvänta sig av Sjunet ur informationssäkerhetssynpunkt. Beskriva de krav som Sjunet ställer på Kunden och på de tjänster och IT-system som nyttjar Sjunet med avseende på informationssäkerhet. Utgöra en del av Sjunets anslutningsavtal, mellan Kund och Beställare. Berörda dokument Följande dokument berörs av detta regelverk: Allmänna villkor, Sjunet, HSA, SITHS Sjunet Anslutningsavtal Sjunet informationssäkerhet Sjunet ska betraktas som ett öppet men kvalitetssäkrat nät med en reducerad hotbild och med syftet att tillhandahålla mycket hög tillgänglighet och god prestanda för alla aktörer inom svensk vård och omsorg. Till skillnad från Internet ställs krav på och kontroller sker av alla anslutna Kunder med avseende på följsamhet mot detta regelverk s.k. Ackreditering. Granskningsrutiner möjliggör att följsamhet mot detta avtalade regelverk kan upprätthållas över tid. Sammantaget med att Sjunet inte är anslutet till Internet, gör att största hotet mot informationssäkerhet och tillit kommer från respektive Kunds organisation, system och interna nätverk. Detta synsätt ger inriktningen för Informationssäkerheten på Sjunet där alla Kunder ska veta att alla andra Kunder följer samma regelverk och granskas regelbundet. Avgränsning Bestämmelser avseende informationssäkerhet såsom legala krav kring sekretess, utlämnande och andra relaterade områden finns i ett antal lagar och förordningar. Kunden förutsätts ha tillräckliga kunskaper om och följa dessa lagar och förordningar. Kunden ansvara själv för att, utifrån sin verksamhets krav, planera, dokumentera och öva tillräckliga åtgärder för att kunna hantera ev. avbrott och störningar på Sjunet, s.k. Kontinuitetsplanering. Förvaltning av regelverket Regelverket förvaltas av Sjunets förvaltningsgrupp i samråd med Ineras externa informationssäkerhetsgrupp och beslutas av CeHis programstyrgrupp för infrastrukturtjänster. Sid 3/12

REGELVERK 1. Generell informationssäkerhet Att ge stöd för informationssäkerhet i enlighet med organisationens verksamhetskrav, relevanta författningar och Sjunets krav. Omfattning: Omfattar delar av kap 4 och 5 av SS-ISO/IEC 27001 1.1. Styrande dokumentation 1.1.1. Informationssäkerhetspolicy Kunden ska införa och förvalta en informationssäkerhetspolicy eller motsvarande styrande dokument som tydligt beskriver ledningens viljeinriktning för organisationens informationssäkerhet. Det styrande policydokumentet ska beskriva Att och Varför organisationen ska bedriva IT och informationssäkerhet. Rekommendation att följa metodstödet på www.informationssakerhet.se 1.2. Organisation 1.2.1. Informationssäkerhetsorganisation Kunden ska ha minst en av ledningen utsedd informationssäkerhetsansvarig person. Inera rekommenderar kunden att ha en organisation med ansvar och resurser att hantera informationssäkerhetsfrågor vars omfattning står i relation till organisationens storlek. Landstingsdirektör, Kommundirektör eller VD är alltid högst ansvarig. 1.2.2. Aktuell kunskap Kundens fasta och inhyrda personal ska genomgå en grundläggande utbildning inom informationssäkerhet. Viktigt att organisationens fasta och inhyrda personal känner till skillnaderna mellan begreppen informationssäkerhet och ITsäkerhet och varför Sjunet har speciella regler. Sid 4/12

Incidenthantering 1.2.3. Incidenthantering Det ska finnas beslutade och kända anvisningar för ITincidenthantering. Det ska finnas anvisningar som är styrda från organisationens riktlinjer eller motsvarande dokument som beskriver.hur 1.2.4. Rutiner för driftavbrott relaterade till Sjunet Rutiner för att rapportera planerade driftavbrott till Nationell kundservice, ska vara dokumenterade och kända av berörd personal. Avser servicefönster och andra planerade avbrott som kan beröra tillgänglighet till Sjunet 1.2.5. Rutiner för rapportering av incidenter relaterade till Sjunet Rutiner för att rapportera informationssäkerhets- och IT-incidenter till Nationell kundservice, ska vara dokumenterade och kända av berörd personal. Avser t.ex. intrångsförsök, virusangrepp eller oplanerat driftavbrott. Verksamheten/organisationen bör ha en resurssatt, dokumenterad och känd krishanteringsgrupp. 1.3. Riskhantering 1.3.1. Riskanalys Att alla risker inför förändringar som berör Sjunet ska vara identifierade, värderade och hanterade Kunden ska alltid genomföra och dokumentera en riskanalys inför planerade förändringar som kan påverka egna anslutningens tillgänglighet eller övriga verksamheter anslutna till kunden. Om förändringen är av större dignitet ska alltid Sjunet förvaltning meddelas. Sid 5/12

SJUNET specifika regler 2. Förutsättningar för avtal Omfattning: Säkerställa att enbart behöriga aktörer är anslutna till Sjunet Förutsättningar för ett giltigt anslutningsavtal 2.1.1. Aktörer inom vård och omsorg Enbart aktörer inom svensk vård och omsorg får ansluta sig och vara anslutna. Avser offentliga och privata aktörer som bedriver vård eller omsorg samt leverantörer av produkter och tjänster till dessa. 2.1.2. Avtal med huvudman Privata aktörer ska ha ett giltigt avtal med vård- eller omsorgens offentliga huvudman. Avtalet ska vara skriftligt och giltigt under anslutningsavtalets hela avtalsperiod. 2.2. Teknisk integration 2.2.1. Integrationsskiss 2.2.2. Styrd förvaltning av nätverk och skyddsfunktioner Att reglera teknisk informationssäkerhet och implementeringen i enlighet med Sjunets krav. Kunden ska i Självdekarationen bifoga en Integrationsskiss samt förtydligande text som tydligt visar funktioner och kopplingar till andra nätverk. Integrationsskissen med förtydligande text, ska vara på en sådan detaljeringsnivå att informationen kan användas för riskanalys av kundens tekniska integration av Sjunet i sin verksamhet. Kunden ska i Självdeklarationen bifoga dokumentation som beskriver förvaltningen av nätverk och skyddsfunktioner. Sid 6/12

I Självdeklarationen ska Kunden lämna information om funktioner såsom IDS/IPS, trafikstyrning, brandväggsregler mm för att Inera ska kunna genomföra en eventuell riskanalys. 2.2.3. Stoppa otillbörlig trafik All obehörig trafik till och från Sjunet ska vara stoppad. Dokumentation ska kunna redovisas. Med obehörig trafik avses trafik som inte avser kommunikation med andra parter anslutna till Sjunet. Alla portar i Sjunet brandväggsfunktion ska vara stängda för ingående och utgående trafik för sådan kommunikation. 2.2.4. IP-adresser Endast tilldelade publika IP-adresser från Sjunets adressrymd, ska användas. 2.2.5. Internet Internet får inte anslutas till Sjunet. Sid 7/12

2.2.6. Spårbarhet Alla förändringar i konfigurering av kommunikationsutrustning och brandväggar som påverkar trafik till och från Sjunet ska kunna spåras. Det ska finnas styrkande dokument som tydligt visar handhavande av förändring på utrustning gällande trafik till och från Sjunet för att möjliggöra uppföljning av incidenter 2.2.7. Insynskydd Kunden ska säkerställa skalskydd och behörigt tillträde till Sjunetutrustning som finns inom kundens lokaler. Det ska finnas rutiner hos organisationen som säkerställer att endast behöriga personer kan komma åt utrustningen som avser Sjunet. 2.3. Tillgänglighetspåverkan Omfattning: 2.3.1. Missbruk av Sjunet Att förhindra aktiviteter som kan påverka tillgänglighet och prestanda negativt för andra aktörer, IT-system och -tjänster. Missbruk av och tester över Sjunet Sjunet får inte missbrukas så att tillgänglighet och prestanda för andra tjänster kan försämras. Det är inte tillåtet att via Sjunet transportera stora volymer av data utan kopplingar till Kundens normala verksamhet 2.3.2. Meddela testbehov över Sjunet Projekt/organisationer som avser att testa IT-system över Sjunet ska, senast 3 veckor före planerat genomförande informera Sjunet förvaltning om vad testerna omfattar och avser. Organisationen måste invänta ett godkännande innan testerna kan genomföras. En riskanalys kommer att genomföras som ett underlag till beslut i nationellt ändringsråd CCB (Change Control Board) Sid 8/12

2.3.3. Servicefönster vid test över Sjunet 2.3.4. Kontinuerlig verksamheten Testansvarig ska, före genomförandet av godkända tester, meddela Nationell kundservice. Genomförandet av planerade tester, ska alltid meddelas Nationell kundservice enligt gällande rutinerna för Servicefönster Kunden ska själv vidtaga tillräckliga åtgärder för att hantera både eventuella avbrott och störningar samt driftavbrott vid planerat underhåll. Sid 9/12

2.4. Systemackreditering Detta kapitel är bara aktuellt för Kunder som har eller kommer att ha IT-system som utbyter information mellan Sjunet och andra nät, t.ex. Internet. Omfattning: 2.4.1. Avskiljande av nät Att säkerställa att system med flera nätanslutningar inte ökar risken för störningar av Sjunets drift Systemackrediteringen är uppdelad i tre delar: 1. Godkännande av säkerhetsarkitektur. 2. Granskning av implementerad säkerhetsarkitektur före driftsättning 3. Penetrationstester i samband med driftsättning. Information och informationsresurser får enbart göras tillgängliga från både Internet och Sjunet, efter godkännande av Sjunet förvaltning. 2.4.2. Integrationsskiss Godkännandeprocessen benämns som Systemackreditering Kunden ska i Självdekarationen bifoga en integrationsskiss som tydligt visar hur system som utbyter information mellan Internet och Sjunet är konfigurerade och publicerade. 2.4.3. Skyddsfunktioner En detaljerad beskrivning av säkerhetsarkitekturen ska bifogas integrationsskissen. Integrationsskiss med tillhörande beskrivning ska ge möjlighet till riskanalys av arkitekturen hos Kunden 2.4.4. Penetrationstest Penetrationstester ska utföras i samband med driftsättning av godkända lösningar. Testerna kan utföras av ansvarig organisation och resultatet ska då delges Inera. Testerna kan även komma att utföras av Inera. Sid 10/12

2.5. Tredjepartsleverans Detta kapitel är bara aktuellt för Kunder som är Tredjepartsleverantör enligt definitionen som publiceras på. Omfattning: Skyldigheter som Tredjepartleverantör Att bibehålla hög informationssäkerhet och tillit till Sjunet när en aktör ges access till Sjunet genom en annan organisation än Inera. Offentliga aktörer och privata vårdgivare kan agera Tredjepartsleverantör av Sjunet för att underlätta tillgängligheten av Sjunet för andra organisationer. Vid en Tredjepartsanslutning är det viktigt att Sjunets grundfundament tillgänglighet och tillit bärs fram på ett korrekt och kvalitetssäkrat sätt. En Tredjepartsleverantör ska teckna ett avtal med Tredjepartskunden där det tydligt framgår att Tredjepartskunden ska följa Sjunets regelverk. En kopia på detta avtal ska skickas till Inera. En mall att använda finns publicerad på Ineras webbsida. 2.5.1. Information om Tredjepartsanslutningar En Tredjepartsleverantör ska alltid, inom 1 vecka, meddela Inera AB om nya eller förändrade tredjepartsanslutningar. 2.5.2. Granskning av Tredjepartsanslutna En Tredjepartsleverantör ska på begäran, dock minst 1 gång per år, granska Tredjepartskundens följsamhet mot gällande regelverk för Sjunet enligt metod och verktygsstöd som tillhandahålls av Inera AB. Verktygsstödet för granskning är programmet Easy Sid 11/12

Referenser För mer detaljerad information, se: Beställarens webbplats, Ramavtal Sjunet 2007, Revision 2012. Anslutningsavtal Sjunet. Sid 12/12