Bilaga 3 Säkerhet Dnr: /

Relevanta dokument
Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Bilaga 10 Säkerhet. Dnr: / stockholm.se. Stadsledningskontoret It-avdelningen

Systemdrift och Systemförvaltning Centrala verksamhetssystem Service Desk

Informationssäkerhetspolicy

Informationssäkerhetspolicy inom Stockholms läns landsting

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Myndigheten för samhällsskydd och beredskaps författningssamling

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Fördelning av ansvar för informationssäkerhet. Version: 1. Beslutsinstans: Regiondirektören

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Informationssäkerhetspolicy för Ystads kommun F 17:01

IT-Säkerhetsinstruktion: Förvaltning

Bilaga 6 Servicenivåer och Viten Dnr: /

1(6) Informationssäkerhetspolicy. Styrdokument

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr Kommunikation som tjänst - A

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun

Bilaga 10 Riktlinjer informationssäkerhet Dnr: /2015 Förfrågningsunderlag

Informationssäkerhetspolicy

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

VGR-RIKTLINJE FÖR KOMMUNIKATION OCH DRIFT

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Regelverk och myndighetsstöd för ökad informationssäkerhet inom dricksvattenförsörjningen (NIS) Anders Östgaard

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Myndigheten för samhällsskydd och beredskaps författningssamling

Bilaga 11 Mall för Inbjudan till Förnyad Konkurrensutsättning

Informationssäkerhet - Informationssäkerhetspolicy

Informationssäkerhetspolicy. Linköpings kommun

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Informationssäkerhetspolicy

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

Regelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga D. Personuppgiftsbiträdesavtal. Version: 2.

Informationssäkerhetspolicy IT (0:0:0)

Allmänna villkor för infrastrukturen Mina meddelanden

Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK)

Riktlinjer för informationssäkerhet

Riktlinjer för säkerhetsarbetet

Informationssäkerhetspolicy för Ånge kommun

POLICY INFORMATIONSSÄKERHET

Koncernkontoret Enheten för säkerhet och intern miljöledning

Bilaga till rektorsbeslut RÖ28, (5)

Informationssäkerhetspolicy

Ledningssystem för Informationssäkerhet

POLICY för behandling av personuppgifter inom EKSTAM & PARTNERS FÖRETAGSFÖRMEDLING AB.

Plan för informationssäkerhet vid Högskolan Dalarna 2015

Ledningssystem för Informationssäkerhet

Informationssäkerhetspolicy för Umeå universitet

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Kravställning på e-arkiv från informationssäkerhetsperspektiv

I n fo r m a ti o n ssä k e r h e t

Verksamhetsplan Informationssäkerhet

POLICY FÖR E-ARKIV STOCKHOLM

Tillitsdeklarationen och revisionsprocessen. Åsa Wikenståhl Efosdagen

Informationssäkerhetsanvisningar Förvaltning

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

SÄKERHETSPOLICY I FÖR FALKÖPINGS KOMMUN

IT-säkerhetsinstruktion Förvaltning

ISO/IEC och Nyheter

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Administrativ säkerhet

Allmänna villkor för infrastrukturen Mina meddelanden

PERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)

Policy för informations- säkerhet och personuppgiftshantering

Säkerhetspolicy för Västerviks kommunkoncern

Checklista inför att den nya Dataskyddsförordningen, GDPR, träder i kraft den. 25 maj Detta är i princip taget från SKLs checklista.

Riktlinjer för informationssäkerhet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

SÄKERHETSPOLICY FÖR VÄSTERVIKS KOMMUNKONCERN ANTAGEN AV KOMMUNFULLMÄKTIGE , 8

BESLUT. Instruktion för informationsklassificering

Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36) Remiss från Justitiedepartementet Remisstid den 24 augusti

Informationssäkerhet, Linköpings kommun

Bilaga 3c Informationssäkerhet

Finansinspektionens författningssamling

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13

Bilaga 1a Personuppgiftsbiträdesavtal

POLICY FÖR E-ARKIV STOCKHOLM

Bilaga 1. Definitioner

Bilaga 3c Informationssäkerhet

Bilaga IT till förfrågningsunderlag Bil 3 Inledning

Ledningssystem för IT-tjänster

Bilaga 8D Tjänster för Stadens Pedagogiska Verksamheter

Riktlinjer för dataskydd

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

Riktlinjer för IT-säkerhet i Halmstads kommun

Finansinspektionens författningssamling

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

Integritetspolicy för Yogayamas kunder

Metod för klassning av IT-system och E-tjänster

SÅ HÄR GÖR VI I NACKA

Regler och instruktioner för verksamheten

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

E-strategi för Strömstads kommun

Policy för informationssäkerhet

Transkript:

stockholm.se Utbildningsförvaltningen Avdelningen för utveckling och samordning Hantverkargatan 2F 104 22 Stockholm Växel 08-508 33 000 www.stockholm.se

Innehåll 1 Inledning 3 2 Krav på säkerhetsarbete 3 2.1 Allmänt 3 2.2 Ledningssystem för informationssäkerhet 4 2.3 Ingående aktiviteter i säkerhetsarbetet 4 2.4 Ansvar för tillgångar 5 2.5 Radering och destruktion 5 2.6 Säker avveckling eller återanvändning av utrustning 5 2.7 Hantering av Stadens information 6 2.8 Medgivande för anslutning till nätverk 6 2 (6) Upphandling av Digitala Enheter och Kringutrustning

1 Inledning Definitioner som används i detta dokument har den betydelse som anges i Bilaga 1 (Begrepp och definitioner). Denna bilaga reglerar på en övergripande nivå arbetet med krav på säkerhet som beskrivs i Ramavtalet. Ramavtalsleverantören ska följa dessa krav samt Stadens vid var tid gällande riktlinjer för informationssäkerhet. 2 Krav på säkerhetsarbete 2.1 Allmänt Ramavtalsleverantören ska kontinuerligt arbeta med att planera, följa upp och förbättra kvalitet och säkerhet i tillhandahållandet av Leveransen. Detta för att uppfylla Stadens säkerhetsbehov och se till att information hanteras på ett säkert sätt för hela Leveransen och processaktiviteter. Detta arbete ska vara organiserat med ansvariga utpekade hos Ramavtalsleverantören och genomsyra Ramavtalsleverantörens arbete med Leveransen. Syftet med säkerhetsarbetet är att förhindra, eller minska konsekvenserna av, alternativt sannolikheten för, oönskade händelser inom tillhandahållandet av Produkterna och att upprätthålla Stadens förmåga att fullgöra sina åtaganden innefattande bland annat myndighetskrav och krav enligt Gällande Rätt. I arbetet ingår alla åtgärder vars samlade effekt är att förebygga och minimera konsekvenserna av störningar och avbrott för informationshanteringen. I detta åtagande ingår att säkerställa att informationen får rätt nivå av säkerhet med avseende på informationssäkerhetsaspekterna: Åtkomstbegränsning (sekretess) skydd mot obehörig åtkomst av information, Riktighet skydd mot oönskad förändring, påverkan eller insyn, Tillgänglighet åtgärder för att säkra drift och funktionalitet, och Spårbarhet möjligheten att fastställa vem som gjort vad eller att kunna verifiera orsaken till en händelse. Upphandling av Digitala Enheter och Kringutrustning 3 (6)

2.2 Ledningssystem för informationssäkerhet Ramavtalsleverantören ska, utöver de processer för egenkontroll som Ramavtalsleverantören anger i sitt anbud, ha ett generellt processorienterat it-säkerhetsarbete, som i enlighet med ITIL Security Management eller motsvarande är sammanhållet av ett ledningssystem för informationssäkerhet (LIS), där policys, säkerhetskontroller, andra säkerhetsåtgärder, säkerhetsrevisioner, schemalagda säkerhetstester och klassificering av känslig data och risker finns dokumenterade. Ledningssystemet ska möjliggöra för Ramavtalsleverantören att leva upp till krav enligt detta Ramavtal. Ledningssystemet för informationssäkerhet ska minst ha beaktat följande aspekter: Stadens information, organisation, struktur, interna/externa krav och risker med dessa, Stadens strategier, planer och budget för it-leveranser och risker med dessa, Specifik känslig data, Lagstiftning, Incidenter och digitala angrepp, och Förändringar som påverkar säkerheten, till exempel framtida planer och krav. 2.3 Ingående aktiviteter i säkerhetsarbetet Nedanstående aktiviteter ska ingå i Ramavtalsleverantörens säkerhetsarbete. På begäran av Staden ska Ramavtalsleverantören redovisa att dessa aktiviteter utförs samt den övergripande metod som används. Styrning; - organisera it- och informationssäkerhetsarbetet med tydligt ansvar och mandat relaterade till Ramavtalsleverantörens åtagande, Planering; - planera för säkerhetshöjande åtgärder där så är tillämpligt, inklusive att genomföra risk- och sårbarhetsanalyser, dokumentera dessa samt besluta om åtgärder med anledning av dessa. Analyserna ska genomföras i enlighet med Stockholm Stads modell för risk- och sårbarhetsanalys, Klargöra interna roller och säkerhetsrelaterade krav, samt, där så är tillämpligt, sätta ett internt regelverk för; - hur tillåten användning av it (inklusive beivrandet vid missbruk) ska ske, 4 (6) Upphandling av Digitala Enheter och Kringutrustning

- hur hanteringen av behörigheter, lösenord, e-post, internet, antivirus och säkerhetsklassning av information ska ske, - hur hanteringen av fjärråtkomst, underleverantörsstyrning inklusive deras tillgång till system och data samt eventuella kompletterande särskilda säkerhetsstrategier ska ske, och - hur arbetet med alternativa arbetssätt och rutiner, för den händelse att Ramavtalsleverantören själv drabbas av störningar i sin interna verksamhet ska ske. Etablering; - kommunicera om och utbilda Ramavtalsleverantörens personal avseende informationssäkerhetsarbetet (exempelvis gällande klassificering av data och information), - fastställa riktlinjer för behörigheter och för hanteringen av säkerhetsincidenter, och - utse och dokumentera ansvariga för säkerheten i Leveransens olika delar, exempelvis Beställning och avveckling av Förhyrda Produkter. Löpande arbete: Genomföra dagliga aktiviteter såsom; - Verifiera att Leveransen lever upp till ställda krav i Stockholm Stads Riktlinje informationssäkerhet samt föreslå åtgärder vid eventuella avvikelser, - Kontinuerligt arbeta med förbättringar av informationssäkerhetsarbetet. 2.4 Ansvar för tillgångar Ramavtalsleverantören ansvarar för att alla levererade Produkter tas upp i en förteckning och att denna förteckning hålls uppdaterad. 2.5 Radering och destruktion Ramavtalsleverantören ska snarast radera, utplåna eller avidentifiera uppgifter på Stadens begäran. Ramavtalsleverantören ska kunna försäkra Staden om att uppgifterna raderas inom en överenskommen tid. 2.6 Säker avveckling eller återanvändning av utrustning Ramavtalsleverantören ansvarar för att ha rutiner för destruktion av lagringsmedia som innehåller känslig information eller licensierade program då mediet avvecklas. Media ska förstöras, avmagnetiseras eller överskrivas på ett säkert sätt i samband med avveckling eller återanvändning. Upphandling av Digitala Enheter och Kringutrustning 5 (6)

2.7 Hantering av Stadens information Ramavtalsleverantören ska begränsa antalet personer som har åtkomst till skyddade och känsliga uppgifter. Ramavtalsleverantören ska behandla dessa uppgifter i enlighet med gällande lag samt Stadens skriftliga instruktioner i enlighet med Ramavtalet. 2.8 Medgivande för anslutning till nätverk Utrustning och system som ingår i Leveransen till Staden får inte utan skriftligt medgivande från Staden anslutas till nätverk som kan nås av annan leverantör eller används för leverans till annan Part. 6 (6) Upphandling av Digitala Enheter och Kringutrustning

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss