Slutrapport. Certifiering LADOK Pontus Abrahamsson Lösningsarkitekt Säkerhet

Relevanta dokument
Förnyad certifiering av driftleverantörerna av Ladok

Förstudie: Övergripande granskning av ITdriften

Myndigheten för samhällsskydd och beredskaps författningssamling

Kontinuitetsplan IT. Bilaga till Informationssäkerhetspolicy

Information om Ineras certifieringstjänst

Uppföljningsrapport IT-generella kontroller 2015

Övergripande granskning av IT-driften - förstudie

Ladokstyrelse 847 Information från förvaltningen Karin Åström, Objektägare Ulrika Ringeborn, Objektägare IT

RUTIN FÖR DRIFTSÄTTNING

Revisionsrapport. IT-revision Solna Stad ecompanion

Bilaga 1. Definitioner

Förslag till SLA (Service Level Agreement) avseende datordrift av Ladok

Uppdateringar kvalitetsmanual

Finansinspektionens författningssamling

Revisionsrapport. Kalmar kommun. Förstudie av personalsystemet. Caroline Liljebjörn. 10 oktober 2011

Checklista Identitetshanteringssystem för SWAMID 2.0. Utarbetad tillsammans med SUNET CERT och SUSEC

ÄNDRINGSPROCESS LÄNSTEKNIK

TJÄNSTEBESKRIVNING SERVICE MANAGEMENT

Revisionsrapport Borgholms kommun Caroline Liljebjörn 1 juni 2016

Finansinspektionens författningssamling

Sollentuna kommun. Generella IT kontroller Visma Affärslösningar. Detaljerade observationer och rekommendationer. November 2017

Riktlinje för informationssäkerhet

Myndigheten för samhällsskydd och beredskaps författningssamling

Hantering av IT-risker

Uppföljning av tidigare granskning

Avtal Standard dator arbetsplats (SLA)

Generella IT-kontroller uppföljning av granskning genomförd 2012

Finansinspektionens författningssamling

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Bolagsspecifika resultat Sektion 3. Page 1

Checklista för utvärdering av miljöledningssystem enligt ISO 14001:2004

VAD ÄR KVALITET? Röntgenveckan Monica Kasevik

Region Gotland. Generella IT kontroller Visma och HR Plus. Detaljerade observationer och rekommendationer. Februari 2017

Finansinspektionens författningssamling

FÖRMÅGA FÖRUTSÄTTNINGAR

GRUND - SLA. Beslutsdatum Detta dokument syftar till att beskriva grund SLA vid Göteborgs universitet STYRDOKUMENT

Riktlinje för kvalificering av Ineras kunder

Rätt säkerhet Kris

Karlstads kommuns IT-verksamhet

Bilaga 3c Informationssäkerhet

Informationssäkerhetspolicy för Umeå universitet

Svar på revisionsrapport om kommunens IT-strategi

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C

Checklista för Driftsättning - Länsteknik

Ändringsprocess för driftsättning Länsteknik

Helhetsåtagande underhåll och drift

Här nedan är ett urval av de vanligaste frågorna (FAQ, Frequently Asked Questions) som kommit till FAR och Srf konsulterna om uppdragsavtal.

Metodstöd 2

Lösning Lösningsgranskning

Organisation för samordning av informationssäkerhet IT (0:1:0)

Granskning av generella IT-kontroller för PLSsystemet

Bilaga A Checklista vid leverantörsbedömning SIDA 1AV 11

Projektkontrakt - Genomförande - Ny Studentportal

Här är ett urval av de vanligaste frågorna (FAQ, Frequently Asked Questions) som FAR och SRF har fått om uppdragsavtal.

Konsoliderad version av

Tillgänglighet, Kontinuitet och Incidenthantering. Förutsättningar för nyttoeffekter. Leif Carlson

Granskning av generella IT-kontroller för ett urval system vid Skatteverket

Request For Information (RFI)

Dokument: Objektägare-ITs placering. Författare Malin Zingmark, Förnyad förvaltning

Examensarbeten hösten 2015

Service Level Agreement mall för kommunalt IT-stöd

Sourcingdagarna, 8-9 Februari

IT-verksamheten, organisation och styrning

Service management Samverkan och rapportering

Stockholm Stadshus AB

BILAGA 2 FÖRMÅGEKATALOG

KRIS- OCH KATASTROFPLAN

Denna föreskrift riktar sig till anställda vid Stockholms universitet samt till personer som arbetar på uppdrag av universitetet.

Revisionsrapport: Informationssäkerheten i den tekniska miljön

Denna rapport inklusive allt innehåll är konfidentiellt och tillhör Intertek

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Publiceringsdatum Juni 2007 ( rev. September 2011)

BILAGA 3 Tillitsramverk Version: 1.2

Nortömmer AS. Revisionsrapport. Uppföljande revision 2

Service Desk Enkät Årliga kvalitetsundersökning HT07, HT08, HT09, HT10, HT11

Mellan ISO 9001:2015 och ISO 9001:2008 Korrelationsmatris

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

ISO med kundfokus

1. Bakgrund. 2. Parter. 3. Definitioner

Systemförvaltningshandbok

Tjänstekatalog (Aktuell version, oktober 2014)

Så här skapar du en katastrofplan för oförutsedda händelser

Bastjänsterna ovan avser driftfasen. Införandet genomförs som ett projekt som drivs av Cygate i samarbete med kunden.

Beslut för grundskola och fritidshem

Växjö kommun. Övergripande säkerhetsgranskning. säkerhet avseende externt och internt dataintrång. Informationssäkerhetsspecialister:

Hantering av behörigheter och roller

Bilaga 4b Helhetsåtagande underhåll och drift Dnr: /

1 Risk- och sårbarhetsanalys

BILAGA 3 Tillitsramverk Version 0.8

Revisionsrapport. Granskning av beslut i ärenden angående internrevisionen vid Länsstyrelsen i Skåne län. Sammanfattning

Tyresö kommun. Generella IT kontroller Economa och Heroma. Detaljerade observationer och rekommendationer. Juni 2017

Datacentertjänster IaaS

UMEVA, Robertsfors kommun, Vännäs kommun, Bjurholms kommun, Vindelns kommun, Sorsele kommun.

Modellavtal 2. Personuppgiftsbiträdesavtal enligt Personuppgiftslagen (1998:204)

Tekniskt driftdokumentation & krishantering v.1.0

Revisionsrapport Granskning av generella ITkontroller för ett urval av system vid Skatteverket 2018

Projektanalys. Tieto PPS AH019, 2.4.1, Sida 1

Inbjudan till dialog avseende drift och kundstöd

The Rational IT Model EN ENKLARE VÄG TILL IT SERVICE MANAGEMENT

Göteborgs universitet Intern miljörevision. Exempel på frågor vid platsbesök

Förklarande text till revisionsrapport Sid 1 (5)

Transkript:

Slutrapport 2015-11-11 Certifiering LADOK Pontus Abrahamsson Lösningsarkitekt Säkerhet 046-16 34 02 Pontus.Abrahamsson@atea.se Atea Sverige AB Roskildevägen 1B, vån 5 211 47 Malmö Org. Nr: 556448-0282

Bakgrund Enligt beslut av Ladokkonsortiets styrelse/ladokkonsortiets förvaltningsstyrgrupp genomförs under 2015 en förnyad certifieringsprocess avseende drift av Ladok vid de idag certifierade driftleverantörerna. Certifieringsprocessen genomförs genom att respektive driftleverantör verifierar att man uppfyller certifieringskriterierna till Ladokkonsortiet. Denna verifiering skall kompletteras med ett avstämningsmöte där driftleverantören besvarar nedanstående frågor. 1. Har något förändrats avseende certifieringskriterierna sedan 2012? 2. Har något utöver certifieringskriterierna förändrats avseende driftsmiljön sedan 2012? 3. Hur har den sedan 2012 tillagda punkten 4.3 i certifieringskriterierna hanterats (PUB-avtal i anslutning till SLA skall kunna redovisas)? 4. Genomgång av inträffade incidenter sedan 2012 och hur de har hanterats. 5. Har några förändringar skett i utförande av tredje driftparts åtagande? 6. Ta fram exempel på att rutiner har utförts och inte bara bevis på att rutiner finns dokumenterade. 7. Ta fram exempel på att kontinuitetsplaner (och andra planer) är uppdaterade och i tillämpliga fall testade. Avstämningsmötena är genomförda via video för var och en av driftställena under oktober och november. Sammanfattning Alla driftställena har bra kontroll på sin drift och har sedan förra certifieringstillfället förbättrat sina rutiner och processer. Även infrastrukturen har förbättrats och virtualiserats vilket har inneburit bättre möjligheter till snabb återställning och en stabilare drift. Angående tillagda punkten 4.3 i certifieringskriterier så verkar det vara oklart om var ansvaret för att få ett påskrivet avtal finns. Här har driftställena tolkat detta på olika sätt. Rekommenderats att Ladokkonsortiet förtydligar denna punkt i framtiden. Baserat på den informationen som jag har fått mig tillhanda och de intervjuer som är genomförda kan jag konstatera att driftställena uppfyller kriterierna och kan visa att man arbetar i enlighet med de beskrivna rutiner och processer. Jag ser inget problem att godkänna driftställena i enlighet med de kriterier som är uppsatta under förutsättning att varje driftställe skriftligt intygat att man uppfyller kriterierna. 2

Uppsala Uppsala har sedan 2012 infört en teambaserad organisation för att vara mer fokuserade. De servrar som kör Ladok har virtualiserats vilket innebär en fördel vid återställning och katastrofhantering. Detta innebär även en minskning av antalet felkällor för hårdvara. Övergång har skett till att ge access till Ladok via terminalserver. Uppsala har visat exempel på hur man hanterat incidenter genom att visa utdrag ur incidentrapporter och incidenthantering. Arbetet med incidenter sker i enlighet med ITIL och är bra dokumenterat. I incidentrapporterna noteras orsak och förslag på åtgärder för att minimera att det sker igen. Det finns dokumenterade driftrutiner och checklistor som används vid t.ex. uppdatering eller driftsättning. Dessa sparas för spårbarhet och historik. Punkten 5.4 som berördes vid förra certifieringsrapporten är numera åtgärdad och Uppsala lever upp till certifieringskriterierna att kunna påbörja upprättande av drift inom 1 timme i reservlokal samt avsluta upprättandet av drift inom 12 timmar. Uppsala har en krisplan som är uppdaterad 2014-10-31. Det har varit tillfällen sedan 2012 då krisplanen har blivit aktiverad och det visar på att det fungerar. PUB-avtal finns framtaget och är för granskning hos Uppsalas juridiska enhet. 3

Umeå Umeå har sedan 2012 förbättrat sina processer och rutiner för att förbättra sin leverans. Man har infört ett ITIL baserat arbetssätt med tillhörande dokumentation av processerna. Arbetsuppgifterna roterar för att underlätta kompetensspridning. Det har skett uppgraderingar i infrastrukturen men inget större som påverkar driften av Ladok. Övergång till att erbjuda access endast via terminalserver har införts. Umeå har visat exempel på incidenter genom utdrag ur incidentrapporter. I incidentrapporterna så finns det förslag på åtgärd för att minimera att det händer igen. Målsättningen är att initiera ett nytt ärende med åtgärdsförslaget för att få spårbarhet. Det finns tillgång till ett IRT (incident response team) som kan nyttjas vid allvarliga incidenter. Umeå testar systemet årligen genom en katastrofövning. I samband med övningen verifieras rutiner och processer. Katastrofplanen har även använts i skarpt läge vilket visar att planen fungerar och är uppdaterad. Umeå ser en brist i att inte kund är med i katastrofarbetet. Katastrofplanen för Studentcentrum är inte uppdaterad sedan 2012. PUB-avtal är tecknat med alla kunder utom en. 4

Lund Lund omorganiserade sin organisation 2014-01-01. Sedan 2012 har Lund arbetat i enlighet med ITIL och förbättrar löpande det arbetssättet. Idag arbetar men i enlighet med ITIL inom incident, change, request och problem. 2015 infördes ett nytt ärendehanteringssystem som stöder det ITIL-baserade arbetssättet bättre. Det har gjort att det inte finns så många incidenter i det nya systemet. Incidenter blir tilldelade grupper av tekniker beroende på vilket system som är inblandat. Genom att jobba med grupper sprids kompetensen och säkrar tillgänglighet till kompetens. Lund har sedan 2012 själva tagit hand om en del komponenter som tidigare hanterades av tredje part. Lund har visat exempel på incidenter som inträffade innan bytet. Uppföljning av incidenter sker av leveransansvarig. Lund har slutfört arbetet som på börjades 2012 att virtualisera servrar i datorhallen. I samband med det har en övergång till snapshot-baserad backup gjorts. Detta har underlättat återställning och test av återställning. Det utförs regelbundet tester av återläsning och katastrofplan. Det finns en PUB-avtalsmall framtagen men ingen kund har begärt att få teckna avtal. 5

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss