Informationssa kerhet - Lidingo Stad



Relevanta dokument
Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Riktlinjer för Informationssäkerhet Falkenbergs Kommun Kommunledningskontoret

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhetspolicy

Dnr

Bilaga 3c Informationssäkerhet

IT-säkerhetsinstruktion Förvaltning

Informationssäkerhetspolicy för Katrineholms kommun

Informationssäkerhetspolicy

Riktlinje för informationssäkerhet

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Informationssäkerhetspolicy för Ånge kommun

Granskning av IT-säkerhet

Granskning av IT-säkerhet

Informationssäkerhetspolicy

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Kommunal författningssamling för Smedjebackens kommun. Informationssäkerhetspolicy. 97 Dnr 2016/00447

Informationssäkerhetspolicy

Informationssäkerhetspolicy. Linköpings kommun

Informationssäkerhetspolicy

Informationssäkerhet, Linköpings kommun

SÅ HÄR GÖR VI I NACKA

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Informationssäkerhetspolicy KS/2018:260

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

Riktlinjer för IT och informationssäkerhet - förvaltning

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

Informationssäkerhetsanvisning

Policy och strategi för informationssäkerhet

Ansvarsförbindelse för Stockholms Läns Landstings Elektroniska Katalog (EK)

Kommunstyrelsens förslag till antagande av reviderad informationssäkerhetspolicy Ärende 11 KS 2017/336

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Informationssäkerhet Riktlinje Förvaltning

Informationssäkerhet - Informationssäkerhetspolicy

Informationssäkerhetsanvisningar Förvaltning

IT-Säkerhetsinstruktion: Förvaltning

Vetenskapsrådets informationssäkerhetspolicy

Koncernkontoret Enheten för säkerhet och intern miljöledning

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Informationssäkerhet i. Torsby kommun

Hantering av behörigheter och roller

Regler och instruktioner för verksamheten

Informationssäkerhetspolicy

Karolinska Universitetssjukhuset i Stockholm. Verksamhetstillsyn tillsyn av vårdgivarens informationssäkerhet

EDA KOMMUN. nformationssäkerhet - Informationssäkerhetspolicy

Säkerhet vid behandling av personuppgifter i forskning

BESLUT. Ärendet Egeninitierad verksamhetstillsyn av vårdgivarens informationssäkerhet

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Myndigheten för samhällsskydd och beredskaps författningssamling

RIKTLINJER FÖR IT-SÄKERHET

Informationssäkerhetspolicy

Bilaga 3c Informationssäkerhet

Dnr UFV 2017/93. Informationssäkerhet. Riktlinjer för säkerhetsarbetet vid Uppsala universitet. Fastställda av Universitetsdirektören

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun

Lokal informationssäkerhetspolicy, lokala informationssäkerhetsriktlinjer och anvisningar

Fördelning av ansvar för informationssäkerhet. Version: 1. Beslutsinstans: Regiondirektören

Federering i praktiken

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Policy Document Number ESS Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet

I Central förvaltning Administrativ enhet

Riktlinjer för informationssäkerhet

INFORMATIONSSÄKERHET 1 INLEDNING MÅL FÖR IT-SÄKERHETSARBETET... 2

Handlingsplan för persondataskydd

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Informationssäkerhetspolicy inom Stockholms läns landsting

EBITS Energibranschens IT-säkerhetsforum

SÄKERHETSFÖRESKRIFTER FÖR FÖRVALTNING AV IT-SYSTEM

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

Informationssäkerhet - Instruktion för förvaltning

Informationssäkerhetspolicy för Ystads kommun F 17:01

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

HSA-policy. Version

Lösenordsregelverk för Karolinska Institutet

Gemensamma anvisningar för informationsklassning. Motala kommun

De 16 principerna för samverkan

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Informationssäkerhetsgranskning. ISO ledningssystem för informationssäkerhet

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter i e-post

Datainspektionens granskningar av integritetsskyddet inom vård och omsorg. Erik Janzon Datainspektionen

Verket för förvaltningsutvecklings författningssamling ISSN Utgivare: Lena Jönsson, Verva, Box 214, Stockholm

Informationssäkerhet i patientjournalen

VGR-RIKTLINJE FÖR ÅTKOMST TILL INFORMATION

Juridik och informationssäkerhet

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Katrineholms kommuns. Informationssäkerhetspo licy. IZatrineholms kommun "- Antagen av kommunfullmäktige , 106

Informationssäkerhetsinstruktion Användare: Övriga (3:0:2)

Sammanfattning av riktlinjer

Syfte Behörig. in Logga 1(6)

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Informationssäkerhetsinstruktion: Användare

Riktlinjer. Informationssäkerhet och systemförvaltning

Riktlinjer för informationssäkerhet

Riktlinjer för informationssäkerhet

Västerås stad. Uppföljande granskning av IT-säkerheten inom Sociala nämndernas förvaltning

Revisioner av nationella katalog- och identifieringstjänster - HSA och SITHS

Svensk Standard SS ISO/IEC SS

Transkript:

Informationssa kerhet - Lidingo Stad Informationssäkerhet reglerar inte bara hur vi arbetar med kommunens it-baserade informationssystem utan även andra former av information. Det är betydelsen av informationen som är styrande, inte systemen, organisationen eller tekniken. Information är en av Lidingö Stads viktigaste tillgångar och hanteringen av den är en viktig del i arbetet. Med informationstillgångar avses all information oavsett om den behandlas manuellt eller automatiserat och oberoende av dess form eller miljö den förekommer i. Policyn utgör högsta nivån i nedanstående styrande dokument som beskriver hur vi ska arbeta med informationssäkerhet. Strukturen är enligt följande: Informationssäkerhetspolicy. Beskriver den övergripande inriktningen och fastställs av kommunstyrelsen. Regler och Riktlinjer som fastställs av stadsledningskontoret. Har sin utgångspunkt ifrån informationssäkerhetspolicyn. Tillämpningar, rutiner och checklistor. Konsekvensbeskrivningar i samarbete med KSL (Detta dokument) Kommunförbundet i Stockholms län (KSL) har ambitionen att i samarbete med kommunerna skapa mallar för styrande dokument som sedan kan återanvändas. Detta ska leda till utökad användning av gemensamma modeller, termer och begrepp och underlätta samverkan. Lidingö stad har en aktiv roll i att ta fram dessa modeller för regionens räkning och har tagit fram mallar för bl. a. policy och regler och riktlinjer. Arbetet har bedrivits som en del av stadens it-säkerhetsprogram under 2010-2011. Dokumenten är baserade på riktlinjer från Myndigheten för Samhälle och Beredskap (MSB) samt de modeller som tillämpas av Stockholms stad och Stockholms läns landsting. Samma klassningsmodeller och nomenklatur tillämpas men dokumenten har anpassats för att kunna fungera i mindre verksamheter. Rollfördelning för informationssäkerhetsarbetet: Stadsledningskontoret är övergripande ansvarigt för att samordna arbete och följa upp tillämpning. Sekretariatet vid konsult och servicekontoret är operativt ansvarigt för att driva arbetet och bistå verksamheterna i informationssäkerhetsarbete. IT-enheten utgör tekniskt stöd.

Konsekvensanalysverktyg Lidingö Stad har tagit fram ett it-verktyg som, efter klassificering av sekretess, spårbarhet, tillgänglighet och riktighet, presenterar konsekvenser för respektive verksamhetssystem. Tanken är att Syftet är vidare att inte låta detta stanna vid ett konstaterande utan också förenkla informationssäkerhetsarbetet och därmed också tydliggöra de åtgärder som systemansvariga bör säkerställa för att uppnå önskad säkerhet och lyfta fram vilka konsekvenser en informationsklassning faktiskt leder till. Det senare är för många ett oskrivet blad och vi hoppas att denna fokusering leder till ett levande konsekvensverktyg som förenklar detta arbete och ytterst leder till att det som är skyddsvärt också skyddas på lämpliga sätt. Lidingö har med framgång testat fyra verksamhetssystem med hjälp av detta verktyg. Epost (Exchange/Outlook) Lönesystem (Heroma) System för skolan (Dexter) Dokument och ärendehanteringssystem (Lex) På följande sidor redovisas den kompletta databasen där varje konsekvens framgår, givet vald säkerhetsnivå. Det är viktigt att påpeka att texterna i databasen i nuläget ej kan betraktas som färdiga, de föreligger ett behov av att få synpunkter och förbättringsförslag från KSL och även ett antal kommuner.

Innehåll i databas december 2011 Tabellen nedan visar hur konsekvensverktygets textstruktur och logik är uppbyggd. Fyra olika säkerhetsområden analyseras och nivåsätts enligt nivå 1, 2 eller 3. Dessa val anges i verktyget varefter konsekvens för vald nivå framgår. Säkerhetsområden Sekretess Riktighet Tillgänglighet Spårbarhet Bits Bits Område Ref 06.1 Organisation/Roll er 06.2 Organisation/Uto mstående parter/extern access i underhållssyfte 06.2 Organisation/Uto mstående parter/extern personal 08.1 Personal/Rekryte ring 08.2 Personal/Anställ ning 08.2 Personal/Anställ ning/användarha ndledning 08.3 Personal/Avsluta nde eller förflyttning Säkerhetsområde Nivå 1 Nivå 2 Nivå 3 -Systemägare -Driftansvarig -Systemägare -Driftansvarig - -Via reglerad och loggad fjärranslutning - -Åtkomst ska föregås av genomgång av regler och introduktion till informationssysteme t. -Systemägare -Driftansvarig - Informationssäkerhetsansv arig -Informationsägare -Ej tillåtet -Åtkomst ska föregås av genomgång av regler och introduktion till informationssystemet och vara reglerat via sekretessförbindelse. - -Bakgrundskontroll -Bakgrundskontroll -Ta del av samt följa regelverk -Ta del av samt följa regelverk -Säkerhetsutbildning vid anställning och vid förändringar - -Handledning dokumenterad - -Tillgångar återlämnas. -Åtkomsträtt återkallas. -Ta del av samt följa regelverk -Säkerhetsutbildning vid anställning och vid förändringar -Årlig säkerhetsutbildning -Handledning dokumenterad -Handledning ska revideras årligen -Tillgångar återlämnas. -Åtkomsträtt återkallas.

09.1 Fysisk säkerhet/säkrade utrymmen/ Tillträdesskydd 09.2 Fysisk säkerhet/skydd av utrustning 10.01 Styrning av Driftrutiner och driftsansvar 10.02 Styrning av Kontroll av leverantör 10.03 Styrning av Systemplanering 10.04 Styrning av Skydd mot skadlig kod 10.05 Styrning av Säkerhetskopieri ng 10.06 Styrning av Säkerhetskopieri - -Låst utrymme - Inpassage registreras - -Avbrottsfri kraft Brandskydd -Larm (brand, temp, fukt) - -Övergripande systembeskrivning -Kontaktpersoner -Installation och uppgraderingsinstruk tioner -Systemägaren ska godkänna uppdateringar -Change management process ska följas - -Ansvar ska vara reglerat via avtal - -Resursplanering -Driftsgodkännande - Förvaltningsorganisat ion -Acceptanstest -Anitvirus och patchrutiner, där det är tillämpbart -Regelbunden säkerhetskopiering, -Nätansvar -Anitvirus och patchrutiner, där det är tillämpbart -Dataförlust max 1 vecka -Återläsningstest -Separerad nätadministration -Låst utrymme -Inpassage registreras -Tjänstekort eller besöksbricka skall bäras -Övervakning -Avbrottsfri kraft Brandskydd -Larm (brand, temp, fukt) -Separerad backuplagring -Logg över införsel/utförsel av media -Övergripande systembeskrivning -Kontaktpersoner -Installation och uppgraderingsinstruktioner -Change management process ska följas -Testmiljö eller motsvarade -Dokumenterade rutinbeskrivningar -Systemägaren ska godkänna uppdateringar -Instruktion för säkerhetsincidenter -Ansvar ska vara reglerat via avtal -Revision av leverantör ska genomföras minst vartannat år -Resursplanering -Driftsgodkännande -Förvaltningsorganisation -Acceptanstest -Anitvirus och patchrutiner, -Inspektion motsvarande IDS/IPS* -(*Intrusion Detection System -Intrusion Prevention System -Dataförlust max 1 dygn -Återkommande återläsningstester (årligen) -Separerad nätadministration

ng -Låsta korskopplingsskåp -Loggning av förändringar 10.07 Styrning av Hantering av media/destruktio n 10.10 Styrning av Övervakning/För varingstid för loggar 10.10 Styrning av Övervakning/Log gning 10.10 Styrning av Övervakning/Tids synkronisering 11.2 Styrning av åtkomst/använd aråtkomst 11.2 Styrning av åtkomst/använd aråtkomst/lösen ordsregler 11.3 Styrning av åtkomst/använd aråtkomst/använ dares ansvar 11.4 Styrning av åtkomst/nätverk /Anslutning av användardatorer 11.4 Styrning av åtkomst/nätverk /Anslutning av server - -Media som avvecklas skall destrueras -90 dagar, där det är tillämpbart -Loggning som visar misslyckade och lyckade inloggningar, -Tidssynkronisering -En faktors inloggning -Loggar förvaras i 180 dagar -Revisionsloggar för säkerhetsrelevanta händelser -Administratörs-och operatörsloggar -Spårbar till UTC(SP) -En faktors inloggning -Genomgång av behöriga användare årligen -Spärra behörighet inom 1 vecka - -Ändringar via ombud, via lösenordskiosk, med kontrollfråga -Byta lösenord vid första inloggningen -Skydda lösenordet -Öppet nät -Byta lösenord vid första inloggningen -Skydda lösenordet -Meddela om lösenord kan ha missbrukats -Omedelbart byta lösenord om någon antas känna till det -Pedagogiskt nät -Administrativt nät - -DMZ -Extranet -Pedagogiskt nät -Låsta korskopplingsskåp -Loggning av förändringar -Enskild säkerhetsdomän -Media som avvecklas skall destrueras -Loggar förvaras i 3 år -Alla transaktioner ska loggas -Signerade loggar -Spårbar till UTC(SP) -Två faktorsinloggning efter personlig identifiering hos behörig utfärdare -Genomgång av behöriga användare månatligen -Spärra behörighet inom 1 dag -Säkra personposter -Tvåfaktorsinloggning -Tvåfaktorsinloggning -Skydda lösenordet/kort (el.liknande) -Meddela om lösenord/kort kan ha missbrukats -Omedelbart byta lösenord/kort om någon antas känna till/stulit det -Enskild säkerhetsdomän -Enskild säkerhetsdomän

11.4 Styrning av åtkomst/nätverk /Brandväggsfunk tion 11.6 Styrning av åtkomst/informa tion och tillämpningar 11.7 Styrning av åtkomst/mobil åtkomst & distansarbete 11.7 Styrning av åtkomst/mobil åtkomst & distansarbete/inf ormationslagring på lokalt media såsom enskild dator eller telefon 12.3 Anskaffning, utv och underhåll/krypte ring 12.3 Anskaffning, utv och underhåll/krypte ring/nyckelhante ring 12.3 Anskaffning, utv och underhåll/krypte ring/signering 13.1 Säkerhetsinciden ter/rapportering 13.2 Säkerhetsinciden ter/hantering 14.1 Kontinuitetsplan -Loggning av förändringar i regelverk -Administrativ nät -Loggning av förändringar i regelverk -Utökad loggning av trafik - -Behörighetsmodell ska vara beskriven och dokumenterad - -Två faktors inloggning -Krypterad förbindelse -Enskild säkerhetsdomän -Behörighetsmodell ska vara beskriven och dokumenterad -Behörighetstilldelning ska följas upp med stickprov minst vartannat år -Ej tillåtet - -Ej tillåtet -Ej tillåtet - -Minst algoritm DES med 56 bitars nyckel längd - -Delad hemlighet, mjuk lagring - -Enbart kvittens med förnyad autentisering - -Rapportering vid identifierade incidenter - -Larm till driftansvarig - -Dokumenterad avbrottsplan -Återstartsrutin -Reservrutiner -Minst algoritm AES 128 bitars nyckel längd -Certifikat, minst mjuk lagring -Certfikatbaserad -Rapportering vid identifierade incidenter -Larm till driftansvarig med krav på inställelse -Dokumenterad avbrottsplan -Återstartsrutin -Reservrutiner

14.1 Kontinuitetsplan / Redundans 15.2 Efterlevnad/Rege lverk 15.2 Efterlevnad/Revis ion 15.2 Efterlevnad/Över syn och tester N/A N/A Förvaltningsstyrn ing - - - - - - - -Årlig översyn av brandväggsregler - - Förvaltningsmodellen tillämpas -Årlig övning -Speglade system/diskar eller motsvarande -Personal granskas för att säkerställa att regelverk efterlevs -Årligen SLA/Tillgänglighe tskrav ->90% ->95% ->99% -Årlig översyn av brandväggsregler -Årliga penetrationstester av externt exponerade system -Förvaltningsmodellen tillämpas strikt -Föreskrifter för hantering av information ska vara dokumenterade och efterlevnad ska följas upp minst vartannat år -Systemet ska ha en systemförvaltningsplan och omfattas till fullo av stadens förvaltningsmodell

Informationsklassning för vård och omsorg samt socialtjänst Lidingö Stad har i samverkan med KSL genomfört en insats med fokusering på informationsklassning för de områden som avser vård, omsorg och socialtjänst. Ett område som av naturliga orsaker ställer höga säkerhetskrav inte minst med avseende på sekretess. Syftet är vidare att inte låta detta stanna vid ett konstaterande utan också att utreda vilka konsekvenser en informationsklassning faktiskt leder till. Det senare är för många ett oskrivet blad och vi hoppas att denna fokusering leder till ett levande konsekvensverktyg som förenklar detta arbete och ytterst leder till att det som är skyddsvärt också skyddas på lämpliga sätt. Prioriterade system Inom ramen för insatsen har Lidingö Stad och KSL tillsammans valt att fokusera på följande system: Pulsen combine ASI net WebCare Kvalitetsregistret Senior Alert E-post (Exchange/Outlook) Gemensamt för samtliga system är att de används för att hantera information som ställer mycket höga krav vad gäller sekretess, oftast vad gäller riktighet och spårbarhet, och inte sällan vad gäller tillgänglighet. Gemensamt för samtliga utom Epost är att det är system som inte driftas i annans regi och som används av flera organisationer vilket behöver särskilt beaktas. Inte minst vid kravställning mot extern leverantör och hur information i systemet hanteras och separeras från andra verksamheter. Pulsen combine Pulsen combine är ett webbaserat IT-stöd för den kommunala socialtjänsten. Det är ännu ett utvecklingsprojekt hos Pulsen som pågår tillsammans med kommunerna Nacka, Täby och Upplands Väsby med målsättningen att bygga en komplett tjänst för hela den kommunala socialtjänsten. Systemet driftas av Pulsen i Borås. Den informationsklassning som är gjord i Lidingö stad har resulterat i följande bedömning: Sekretess 3 (hög) Riktighet 3 (hög) Tillgänglighet 2 (medel) Spårbarhet 3 (hög)

Utöver vad som är att betrakta som baskrav i Lidingö stad kan följande konsekvenser noteras: Åtkomst till systemet ska föregås av genomgång av regler och introduktion till informationssystemet och vara reglerat via sekretessförbindelse Föreskrifter för hantering av information ska vara dokumenterade och efterlevnad ska följas upp minst vartannat år Systemet ska ha en systemförvaltningsplan och omfattas till fullo av stadens förvaltningsmodell Tvåfaktorsautentisering krävs och identiteten skall vara personligen identifierad i samband med utfärdandet av elegitmationshandlingen. Genomgång av behöriga användare månatligen Spärra behörighet inom 1 dag Säkra personposter Årligen återkommande återläsningstester av säkerhetskopia Infrastrukturellet skall systemet ha en enskild säkerhetsdomän Inspektion motsvarande IDS/IPS (Intrusion Detection/Prevention System) Informationslagring på lokalt media såsom enskild dator eller telefon ej tillåtet Mobil användning & distansarbete ej tillåtet Extern access till systemet i underhållssyfte är ej tillåtet Där kryptering erfordras skall minst algoritm AES med 128 bitas nyckellängd användas Krypteringnycklar skall lagras minst i enlighet med mjuka certifikat All signering i systemet skall vara certifikatbaserad Alla transaktioner skall loggas Loggar skall signeras Loggar skall förvara i 3 år Efterlevnad av regler hos berörd personal skall granskas Årlig revision Revision av leverantör ska genomföras minst vartannat år Årlig övning av kontinuitetsplan Årliga penetrationstester av externt exponerade system ASI-net ASI-net är ett webbaserat IT-stöd för att underlätta arbetet med ASI-metoden (Addiction Severity Index) och för att bygga upp en databas som kan användas i behandlingsplanering, rapportering och forskning. I dialog med Råbe och Kobberstad AB som utvecklar och driftar systemet kan konstateras att någon egentlig informationsklassning inte är gjord från deras sida. Den informationsklassning som är gjord i Lidingö stad har resulterat i följande bedömning: Sekretess 3 (hög) Riktighet 3 (hög) Tillgänglighet 1 (bas) Spårbarhet 2 (medel)

Utöver vad som är att betrakta som baskrav i Lidingö stad kan följande konsekvenser noteras: Åtkomst till systemet ska föregås av genomgång av regler och introduktion till informationssystemet och vara reglerat via sekretessförbindelse Föreskrifter för hantering av information ska vara dokumenterade och efterlevnad ska följas upp minst vartannat år Systemet ska ha en systemförvaltningsplan och omfattas till fullo av stadens förvaltningsmodell Tvåfaktorsautentisering krävs och identiteten skall vara personligen identifierad i samband med utfärdandet av elegitmationshandlingen. Genomgång av behöriga användare månatligen Spärra behörighet inom 1 dag Säkra personposter Årligen återkommande återläsningstester av säkerhetskopia Infrastrukturellet skall systemet ha en enskild säkerhetsdomän Inspektion motsvarande IDS/IPS (Intrusion Detection/Prevention System) Informationslagring på lokalt media såsom enskild dator eller telefon ej tillåtet Mobil användning & distansarbete ej tillåtet Extern access till systemet i underhållssyfte är ej tillåtet Där kryptering erfordras skall minst algoritm AES med 128 bitas nyckellängd användas Krypteringnycklar skall lagras minst i enlighet med mjuka certifikat All signering i systemet skall vara certifikatbaserad Efterlevnad av regler hos berörd personal skall granskas Årlig revision Revision av leverantör ska genomföras minst vartannat år Årlig övning av kontinuitetsplan Årliga penetrationstester av externt exponerade system WebCare WebCare är ett webbaserat IT-stöd för samordnad vårdplanering mellan landsting (slutenvård och primärvård) och kommuner. Det har också till uppgift att ge faktureringsunderlag för de patientkostnader som uppkommer i enlighet med Betalningsansvarslagen, BAL. Stockholms läns lansting, som är beställare av drift- och utvecklingstjänsterna för WebCare av Tieto, har informationsklassat systemet enligt följande: Sekretess 3 (hög) Riktighet 2 (mellan) Tillgänglighet 2 (mellan) Lidingö stad har inte gjort någon annan bedömning utan följer den informationsklassning som är gjord av Stockholms läns landsting.

Utöver vad som är att betrakta som baskrav i Lidingö stad kan följande konsekvenser noteras: Åtkomst till systemet ska föregås av genomgång av regler och introduktion till informationssystemet och vara reglerat via sekretessförbindelse Föreskrifter för hantering av information ska vara dokumenterade och efterlevnad ska följas upp minst vartannat år Systemet ska ha en systemförvaltningsplan och omfattas till fullo av stadens förvaltningsmodell Tvåfaktorsautentisering krävs och identiteten skall vara personligen identifierad i samband med utfärdandet av elegitmationshandlingen. Genomgång av behöriga användare månatligen Spärra behörighet inom 1 dag Säkra personposter Årligen återkommande återläsningstester av säkerhetskopia Infrastrukturellet skall systemet ha en enskild säkerhetsdomän Inspektion motsvarande IDS/IPS (Intrusion Detection/Prevention System) Informationslagring på lokalt media såsom enskild dator eller telefon ej tillåtet Mobil användning & distansarbete ej tillåtet Extern access till systemet i underhållssyfte är ej tillåtet Där kryptering erfordras skall minst algoritm AES med 128 bitas nyckellängd användas Krypteringnycklar skall lagras minst i enlighet med mjuka certifikat All signering i systemet skall vara certifikatbaserad Efterlevnad av regler hos berörd personal skall granskas Årlig revision Revision av leverantör ska genomföras minst vartannat år Årlig övning av kontinuitetsplan Årliga penetrationstester av externt exponerade system Relaterad information från Datainspektionen DNR 543-2011 Tillsyn - WebCare uppmärksammar bland annat det faktum att känsliginformation som personuppgifter är åtkomlig med enbart användarid och lösenord. Kvalitetsregistret Senior Alert Senior Alert är ett kvalitetsregister som finns tillgängligt via webben där varje person, 65 år eller äldre, registreras med riskbedömning, vidtagna åtgärder och resultat inom områdena fall, undernäring, trycksår och munhälsa. I dialog med systemägaren på Landstinget i Jönköpings län och UCR (Uppsala Clinical Research center) som driftar systemet kan konstateras att någon egentlig informationsklassning inte är gjord från deras sida. Den informationsklassning som är gjord i Lidingö stad har resulterat i följande bedömning: Sekretess 3 (hög) Riktighet 1 (bas) Tillgänglighet 1 (bas) Spårbarhet 2 (mellan)

Utöver vad som är att betrakta som baskrav i Lidingö stad kan följande konsekvenser noteras: Åtkomst till systemet ska föregås av genomgång av regler och introduktion till informationssystemet och vara reglerat via sekretessförbindelse Föreskrifter för hantering av information ska vara dokumenterade och efterlevnad ska följas upp minst vartannat år Systemet ska ha en systemförvaltningsplan och omfattas till fullo av stadens förvaltningsmodell Tvåfaktorsautentisering krävs och identiteten skall vara personligen identifierad i samband med utfärdandet av elegitmationshandlingen. Genomgång av behöriga användare månatligen Spärra behörighet inom 1 dag Säkra personposter Årligen återkommande återläsningstester av säkerhetskopia Infrastrukturellet skall systemet ha en enskild säkerhetsdomän Inspektion motsvarande IDS/IPS (Intrusion Detection/Prevention System) Informationslagring på lokalt media såsom enskild dator eller telefon ej tillåtet Mobil användning & distansarbete ej tillåtet Extern access till systemet i underhållssyfte är ej tillåtet Där kryptering erfordras skall minst algoritm AES med 128 bitas nyckellängd användas Krypteringnycklar skall lagras minst i enlighet med mjuka certifikat All signering i systemet skall vara certifikatbaserad Efterlevnad av regler hos berörd personal skall granskas Årlig revision Revision av leverantör ska genomföras minst vartannat år Årlig övning avkontinuitetsplan Årliga penetrationstester av externt exponerade system Relaterad information från Datainspektionen DNR 708-2011 Samråd om registrering av beslutsoförmögna i det nationella kvalitetsregistret Senior Alert uppmärksammar det faktum att registrering av personer som varaktigt saknar beslutsförmåga i Senior Alert inte är förenlig med nuvarande lagstiftning. E-post (Exchange/Outlook) E-post är ett effektivt sätt att kommunicera men det är också förenat med flera risker. Det är svårt att på ett tillfredställande sätt säkerställa identiteten på både sändare och mottagare och det är svårt att säkerställa att e-post skyddas från obehörig åtkomst. Här har därför verktyget för konsekvenser av informationsklassning används omvänt vilket ger resultatet att det är högst olämpligt att använda E-postsystemet för information som ställer krav på sekretess och riktighet.

Det är därför av vikt att det finns tydliga användarinstruktioner som tydliggör att sekretessbelagd, integritetskänslig eller information som på annat sätt kan betraktas som känslig inte får skickas externt med okrypterad e-post och att e-post inte bör innehålla information som obehöriga inte ska läsa. Relaterad information från Datainspektionen DNR 756-2011 Tillsyn enligt personuppgiftslagen (1998:204) behandling av personuppgifter i e-post uppmärksammar vikten av tydliga rutiner för behandling av personuppgifter i E-post.

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss