Handbok Informationsklassificering



Relevanta dokument
Informationssäkerhetspolicy för Ystads kommun F 17:01

Metod för klassning av IT-system och E-tjänster

Riskanalys och informationssäkerhet 7,5 hp

Informationssäkerhetspolicy inom Stockholms läns landsting

Riktlinje för informationssäkerhet

Informationssäkerhetspolicy för Ånge kommun

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

Informationssäkerhetspolicy. Linköpings kommun

Informationssäkerhetspolicy

Riktlinjer för IT-säkerhet i Halmstads kommun

IT-säkerhetspolicy. Fastställd av KF

INFORMATIONSSÄKERHET 1 INLEDNING MÅL FÖR IT-SÄKERHETSARBETET... 2

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

I n fo r m a ti o n ssä k e r h e t

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

IT-verksamheten, organisation och styrning

Finansinspektionens författningssamling

Finansinspektionens författningssamling

Informationssäkerhetspolicy

Finansinspektionens författningssamling

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Informationssäkerhetspolicy KS/2018:260

Revidering av policy och regler för informationssäkerhet i Stockholms stad

Koncernkontoret Enheten för säkerhet och intern miljöledning

Informationssäkerhetspolicy IT (0:0:0)

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

1(6) Informationssäkerhetspolicy. Styrdokument

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

IT-Systemförvaltningspolicy

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Dnr

Informationssäkerhetspolicy

Lokal informationssäkerhetspolicy, lokala informationssäkerhetsriktlinjer och anvisningar

Informationssäkerhetspolicy

Administrativ säkerhet

Informationssäkerhetspolicy för Umeå universitet

Informationssäkerhetspolicy för Vetlanda kommun

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

BESLUT. Instruktion för informationsklassificering

Informationssäkerhetspolicy för Nässjö kommun

Informationssäkerhet i. Torsby kommun

Informationssäkerhetspolicy

Rikspolisstyrelsens författningssamling

Informationssäkerhetspolicy S/~LA KOMMUN KOMMUNFULLMÄKTIGE. Bi l aga KS 2015 / 135/1 INFORMATIONSSÄKERHETSPOLICY FÖR SALA KOMMUN

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Riktlinjer för informationssäkerhet

Policy och riktlinjer för. Informationssäkerhet. Stockholms stad

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

Riktlinjer för informationssäkerhet

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

Riktlinjer för Informationssäkerhet Falkenbergs Kommun Kommunledningskontoret

IT-SÄKERHETSPOLICY. Stadskontoret. 1 Inledning Definition Omfattning Mål för IT-säkerhetsarbetet... 2

Gallrings-/bevarandetider för loggar i landstingets IT-system

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

Informationsklassning och systemsäkerhetsanalys en guide

Riktlinjer för informationssäkerhet

Informationssäkerhet - Instruktion för förvaltning

Rikspolisstyrelsens författningssamling

Regler och instruktioner för verksamheten

SOLLENTUNA FÖRFATTNINGSSAMLING

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

Policy för informationssäkerhet

Riktlinjer för informationssäkerhet

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet

POLICY INFORMATIONSSÄKERHET

Informationssäkerhetspolicy

IT-säkerhetsinstruktion Förvaltning

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Policy Document Number ESS Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet

Hantering av behörigheter och roller

Riktlinjer för informationssäkerhet

Riktlinjer för informationssäkerhet

SÅ HÄR GÖR VI I NACKA

Policy för informations- säkerhet och personuppgiftshantering

Policy för informationssäkerhet

Informationssäkerhet Riktlinje Förvaltning

IT-Säkerhetsinstruktion: Förvaltning

IT-säkerhetspolicy Instruktion Kommunfullmäktige. Senast reviderad Beskriver IT-säkerhetarbetet.

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Beslutsdatum (rev )

Verket för förvaltningsutvecklings författningssamling ISSN Utgivare: Lena Jönsson, Verva, Box 214, Stockholm

1 INLEDNING ALLMÄNT OM INFORMATIONSSÄKERHET MÃL FÖRKOMMUNENS lnformationssäkerhetsarbete ROLLER OCH ANSVAR...

FÖRSVARSMAKTENS INTERNA BESTÄMMELSER

Informationssäkerhetspolicy

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

Bilaga 3 Säkerhet Dnr: /

Informationssäkerhetsanvisningar Förvaltning

Informationssäkerhet - en översikt. Louise Yngström, DSV

SÄKERHETSFÖRESKRIFTER FÖR FÖRVALTNING AV IT-SYSTEM

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet

Kravställning på e-arkiv från informationssäkerhetsperspektiv

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Policy och strategi för informationssäkerhet

VGR-RIKTLINJE FÖR FYSISK SÄKERHET

Myndigheten för samhällsskydd och beredskaps författningssamling

Transkript:

Stockholms stad Handbok Informationsklassificering Stockholm 2008-03-18

1. Informationssäkerhet Kraven på säkerhet i en organisation med IT-stöd skall ställas i relation till de krav som ställs på organisationens verksamhet i övrigt. 1.1 Definitioner Begrepp Policy Riktlinjer Anvisningar Instruktioner Användare Autenticering Avbrottsplan [IT] Behörighets- KontrollSystem (BKS) Hot Identitet Incident Informationsklassificering Informationssäkerhet Beskrivning Anger ledningens viljeinriktning och stöd för informationssäkerhet. Policyn beskriver att något ska finnas. Anger VAD som skall göras för att uppfylla de övergripande målen i policyn. Anger på en funktionell nivå HUR (på vilket sätt) skyddsåtgärder och administrativa processer skall utformas. Ges för specifika IT-system/e-tjänster och/eller anvisningar. Instruktioner beskriver "hur och av vem" anvisningarna ska införas/följas. Individ som utnyttjar informationstillgångar. Verifiering av uppgiven identitet. Plan för att kunna återuppta driften efter driftstörning eller då IT-system/etjänst inte fungerar som avsett. Avbrottsplanen baseras på vad som beskrivs i kontinuitetsplanen. Säkerhetsfunktioner som tillsammans kontrollerar och registrerar användarens aktiviteter i ett system eller en e-tjänst. BKS omfattar tre grundläggande säkerhetsfunktioner. Dessa skall tillsammans tillse att verksamhetens säkerhetsregler efterlevs: a) identifiering av användaren och verifiering av den föregivna identiteten (se identitet samt autenticering) b) reglering av åtkomsträttigheter c) registrering av användarens aktiviteter i systemet/e-tjänsten (se logg). Möjlig, oönskad händelse med negativa konsekvenser för verksamheten. Unik beteckning för en viss individ. Säkerhetshändelse som kan/kunnat få/har fått allvarliga konsekvenser för verksamheten. Ett formellt sätt att fastställa rätt skyddsnivå för ett IT-system eller en e-tjänst. Uttrycks i en s.k. säkerhetsprofil. Säkerhet beträffande informationstillgångar avseende förmågan att upprätthålla erforderlig åtkomstbegränsning, riktighet, tillgänglighet och spårbarhet.

IT-system En organisations informationsrelaterade tillgångar, vilka har ett värde för organisationen och därmed är skyddsvärda. Exempel på informationstillgångar är: Information (databaser, metodik, dokument, etc.) Program (tillämpningar, e-tjänster, operativsystem, etc.) Tjänster (nätförbindelser, abonnemang, etc.) Fysiska tillgångar (datorer, datamedia, lokala nätverk, etc.) Är en konstellation av datorer, in- och utmatningsutrustning, minnesenheter, program, kommunikationsutrustningar, metoder och procedurer organiserade med uppgift att genomföra elektronisk behandling av information i syfte att tillgodose ett uttalat behov. Kontinuitetsplan [för verksamheten] Dokument som beskriver hur verksamheten skall bedrivas när identifierade, kritiska verksamhetsprocesser allvarligt påverkas under en längre, specificerad tidsperiod. Logg Riktighet Risk Riskanalys Informationstillgångar Åtkomstbegränsning (Sekretess) Service Level Agreement (SLA) Spårbarhet Sårbarhet Säkerhet Säkerhetsprofil Insamlad information om de operationer som utförs i ett IT-system/e-tjänst. Tre typer av loggar är aktuella: transaktionslogg, driftlogg och säkerhetslogg. Egenskap att information inte obehörigen, av misstag eller på grund av funktionsstörning har förändrats. Produkten av sannolikheten för att ett givet hot realiseras och de konsekvenser hotet medför. Process som identifierar säkerhetsrisker, bestämmer deras betydelse och föreslår skyddsåtgärder. Möjlighet finns till beräkning av uppkommande skadekostnad. Avsikten att innehållet i ett informationsobjekt (eller ibland även dess existens) inte får göras tillgängligt eller avslöjas för obehöriga. Dokument som reglerar vad som överenskommits mellan objektansvarig/- representant och IT-chef gällande drift och förvaltning av visst IT-system/etjänst. Möjlighet att entydigt kunna härleda utförda aktiviteter i IT-systemet/etjänsten till en identifierad användare. För att åstadkomma spårbarhet krävs åtminstone identifiering och autenticering av användare samt loggning av relevanta händelser i IT-systemet/etjänsten. Brist i skyddet av en tillgång exponerad för hot. Egenskap eller tillstånd som innebär skydd mot risk i samband med insyn, förlust eller påverkan; oftast i samband med medvetna försök att utnyttja eventuella svagheter. Alla IT-system/e-tjänster har ett skyddsbehov. Skyddsbehovet varierar beroende på typ av informationstillgång. Genom att klassificera informationen

med avseende på åtkomstbegränsning, riktighet, tillgänglighet och spårbarhet erhålls en säkerhetsprofil. Denna avgör vilka säkerhetskrav som ställs på informationstillgången. Tillgänglighet Möjligheten att utnyttja informationstillgångar efter behov i förväntad utsträckning och inom önskad tid. Tillgänglighetsavtal Åtkomst- /behörighetskontroll Se Service Level Agreement (SLA) ovan. Syftar till att reglera och kontrollera en användares åtkomst till olika informationstillgångar samt att skydda information och program, så att de endast är tillgängliga utifrån tilldelad (roll-)behörighet. 1.2 Livscykel IT-system/e-tjänst Nedanstående figur beskriver hur informationssäkerhetsaktiviteter påverkar ett IT-system/e-tjänst under hela dess livscykel.

Förstudie Projekt Drift & Förvaltning VA MU KS AF LV FO DG ÄG Incidentrapportering Klassning typ A Resultatet används vid kravspecificering Riskanalys Klassning typ B Skall ske före driftgodkännande Säkerhetsrevision Klassning typ C Periodiskt/ Vid förändring Förkortningar: VA=Verksamhetsanalys, MU=Marknadsundersökning, KS=Kravspecifikation, AF=Anbudsförfrågan, LV=Leverantörsval, FO=Förvaltningsorganisation, DG=Driftgodkännande, ÄG=Ändringsgodkännande Verksamhetsaktiviteter- /ansvar Informationssäkerhetsaktiviteter

1.3 Roller och ansvar Nedanstående figur visar de viktigaste rollerna i samband med förvaltning av IT-system/e-tjänster. Förvaltningsorganisation IT-system/e-tjänst VERKSAMHET Informations säkerhetschef IT-funktion Helpdesk Användare Tekniskt systemansvarig Objektansvarig Objektförvaltare Tillgänglighetsavtal/ SLA Mffmnf.nff.fn,ffkn fnfnfndnflsnflfnlkö d Dffg fffffg IT-chef OBJEKTANSVARIG: Har det övergripande ansvaret för systemet/e-tjänsten inom de ramar för normer, policy och resurser som tilldelats av samordnande (överordnad) instans. Ansvaret omfattar även funktionalitet, ekonomi och säkerhet. Delegering kan ske till OBJEKTANSVARIGREPRESENTANT. OBJEKTFÖRVALTARE: Har till arbetsuppgift att kontinuerligt bevaka systemet/e-tjänsten, dess egna data och dokumentation, initiera nödvändiga förändringar och tillse att för handhavandet nödvändiga beslut fattas. Handhar även systemet/e-tjänstens behörigheter. Utses av objektansvarig. TEKNISKT SYSTEMANSVARIG: Ansvarar för att systemet/e-tjänsten drivs enligt vad som överenskommits mellan parterna. OBS! För begreppen Objektförvaltare och Tekniskt systemansvarig kan olika benämningar förekomma inom stadens förvaltningar och bolag.

1.4 Klassificering av information 1.4.1 Riktlinjer för informationsklassificering Enligt stadens regelverk för Informationssäkerhet skall informationstillgångar klassificeras (värderas) så att rätt skyddsnivå etableras för stadens ITsystem/e-tjänster. Pos Anvisningar 1.4.1.1 Anvisningar för Informationsklassificering Text Allmänt Mål Att säkerställa att informationssäkerhet byggs in i IT-system/e-tjänster från början och att informationssäkerheten upprätthålls. Information som skapas, inhämtas, distribueras, bearbetas och lagras i stadens IT-system är en av dess viktigaste tillgångar. Syftet med att klassificera informationstillgångar är att säkerställa att de ges ett tillräckligt skydd. Att klassificera information är en grundläggande aktivitet för att särskilja den information som på ett eller annat sätt ställer högre krav på säkerhet. Förutom legala krav på skydd (främst personrelaterad information) skall verksamhetens bedömning av informationens värde avseende åtkomstbegränsning, riktighet, tillgänglighet och spårbarhet avgöra omfattningen av det skydd som skall uppnås. Obs! e-tjänst där ingen förändring av informationens värde sker behöver inte klassificeras eftersom skyddsbehovet förblir oförändrat. Vad innebär klassificering? Klassificering är ett formellt sätt att, ur ett verksamhetsperspektiv, fastställa lämplig skyddsnivå för ett IT-system eller en e-tjänst. Uttrycks i en säkerhetsprofil. Följande aktiviteter ingår vid klassificering av ett IT-system/e-tjänst (Pkt 1-4 dokumenteras i ett Protokoll, Pkt 6 men ej pkt 7-8 gäller blivande ITsystem/e-tjänster i samband med kravspecificering, pkt 7-8 men ej pkt 6 i övriga fall): 1. Beskrivning av IT-systemet/e-tjänsten och eventuella systemsamband 2. Identifiera IT-systemet/e-tjänstens projekt-/förvaltningsorganisation 3. Identifiera och verifiera legala krav på IT-systemet/e-tjänsten 4. Fastställande av säkerhetsprofil Säkerhetskrav avseende åtkomstbegränsning, riktighet, tillgänglighet och spårbarhet avgörs genom värdering av dessa begrepp med hjälp av en mall. Värderingen, för vart och ett av begreppen, görs via en tregradig skala där nivå 1 är högsta och nivå 3 lägsta säkerhetsnivå och resulterar i en säkerhetsprofil: Nivån för åtkomstbegränsning fastställs utifrån bedömning av den skada som uppstår om känslig information i IT-systemet/e-tjänsten kommer i orätta händer

Nivån för riktighet fastställs utifrån bedömning av den skada som uppstår om information i IT-systemet/e-tjänsten är oriktig Nivån för tillgänglighet fastställs utifrån verksamhetens tillgänglighetskrav på IT-systemet/e-tjänsten Nivån för spårbarhet fastställs utifrån möjligheten att entydigt kunna härleda utförda aktiviteter i systemet/e-tjänsten till en identifierad användare. 5. Utifrån säkerhetsprofilen, med hjälp av en Kravkatalog, fastställa aktuella säkerhetskrav 6. Framtagande av Kravspecifikation IT och Säkerhet 7. Verifiera att IT-systemet/e-tjänsten har den skyddsnivå som säkerhetsprofilen anger annars är ett bristläge ur säkerhetssynpunkt identifierat 8. Eventuella brister förtecknas och prioriteras för åtgärd. När görs klassificering? För IT-system/e-tjänster vid följande tidpunkter: 1. Under förstudie/projektfasen: a) på det blivande IT-systemet/e-tjänsten i samband med funktionell kravspecificering (Typ A) b) på det blivande IT-systemet/e-tjänsten innan driftgodkännande (Typ B) 2. För IT-system/e-tjänster i drift: a) periodiskt, dock minst vartannat år (Typ C) b) vid större förändring i IT-systemet/e-tjänsten (Typ C) Beställare/projektledare/objektansvarig ansvarar för att klassificering sker och tidsåtgången är ca 4-7 timmar plus eventuellt uppföljningsmöte. Deltagare under pkt 1 är: Beställare/projektledare, projekt- och blivande förvaltningspersonal, egen IT-ansvarig, representant/er från IT-avdelningen samt informationssäkerhetssamordnare. OBS! Vid anskaffning av IT-system/e-tjänster är det viktigt att IT-avdelningens representant även medverkar vid utvärderingen av inkomna anbud så att de ITtekniska kraven beaktas på bästa sätt. Deltagare under pkt 2 är: Objektansvarig/-representant, objektförvaltare, användare, egen IT-ansvarig, tekniskt systemansvarig samt informationssäkerhetssamordnare. Klassificeringen bör genomföras av en person med erfarenhet från både ITverksamhet och informationssäkerhetsarbete. Det är även viktigt att denne person uppfattas som neutral av de parter som medverkar vid klassificeringen.

Dokumentation Protokollet Resultatet av en klassificering dokumenteras i ett Protokoll med tillhörande bilagor. Originalet förvaras hos beställare/objektansvarig och en kopia tillställs stadens informationssäkerhetschef.

1.4.1.1.1 Anvisning klassificering Typ A Klassning sker i samband med framtagandet av den funktionella kravspecifikation som ingår i Anbudsförfrågan. Resultatet av klassningen är en Kravspecifikation IT och säkerhet där, för systemet/e-tjänsten, aktuella IT- och säkerhetskrav framgår. Dessa bifogas den funktionella kravspecifikationen. Förstudie IT-system/ e-tjänst Klassificering Åtkomstbegränsning Riktighet Tillgänglighet Spårbarhet Protokoll med Säkerhetsprofil Kravkatalog inkl informationsteknisk plattform (ITP) Normer och standarder Framtagande av Kravspecifikation IT och Säkerhet (ITS) Kravspecifikation IT och Säkerhet (Bil X) Kravspecifikation IT och Säkerhet bifogas Anbudsförfrågan (upphandling)

1.4.1.1.2 Anvisning klassificering Typ B Klassning sker innan Driftgodkännande av det nya IT-systemet/e-tjänsten. Syftet är att verifiera den tidigare fastställda Säkerhetsprofilen och att från resultatet kontrollera om samtliga aktuella krav är uppfyllda. Om så är fallet kan systemet/e-tjänsten, ur informationssäkerhetssynpunkt, driftgodkännas. Projekt IT-system/ e-tjänst Klassificering Åtkomstbegränsning Riktighet Tillgänglighet Spårbarhet Protokoll med Säkerhetsprofil Kravkatalog Analys av kravuppfyllnad Bristförteckning Prioritering Åtgärdslista Driftgodkännande! Rätt skyddsnivå

1.4.1.1.3 Anvisning klassificering Typ C System som är i driftläge påverkas förr eller senare av oliks slags förändringar av vilka vissa kan ge upphov till förändrad funktionalitet. Detta kan påverka Säkerhetsprofilen och härigenom förändra kravbilden på systemet/e-tjänsten. Innan uppdateringarna införs skall klassificering ske. Även utan förändringar påverkas regler och rutiner av tidens tand så att tidigare fastställd kravbild inte längre är helt uppfylld. Av detta skäl skall klassificering regelbundet ske med 2-3 års intervall.

Förvaltning IT-system/e-tjänst Klassificering Åtkomstbegränsning Riktighet Tillgänglighet Spårbarhet Protokoll med Säkerhetsprofil Kravkatalog Analys av kravuppfyllnad Bristförteckning Prioritering Åtgärdslista Drift-/Ändringsgodkännande! Rätt skyddsnivå

1.4.2 Protokoll Klassificeringen genomförs under ledning av en oberoende klassificeringsledare där verksamhets- och IT-representanter går igenom de olika punkterna i Protokollet (bil 1) och där resultatet dokumenteras av klassificeringsledaren. I protokollet fastställs tillämpliga legala krav. Här fastställs även den s.k Säkerhetsprofilen och till hjälp används en mall Anvisningar för klassificering av IT-system (bil 2A) alt. Anvisningar för klassificering av e-tjänster (bil 2B). 1.4.3 Kravkatalog Utifrån den fastställda Säkerhetsprofilen och typ av klassning (Typ A, B eller C) ställs ett antal, av staden definierade, säkerhetsrelaterade krav på IT-systemet/e-tjänsten. Ju högre vikt (3 nivåer finns där nivå 3 är grundnivåkrav) som satts på begreppen åtkomstbegränsning, riktighet, tillgänglighet och spårbarhet ju fler krav ställs på systemet/e-tjänsten. I Kravkatalogen (bil 3A, 3BC) är kraven grupperade nivåvis per begrepp. Kravkatalogen finns i två utgåvor. För klassificeringar Typ A (se pkt 1.4.5 nedan) skall bilaga 3A användas och endast de krav som inte är gråmarkerade är aktuella. I övriga fall är bilaga 3BC aktuell (se pkt 1.4.6 nedan). 1.4.4 Informationsteknisk plattform (ITP) - Normer och standarder Förutom de krav som skall uppfyllas enligt Kravkatalogen är det viktigt att hänsyn tas till den informationstekniska miljön i vilken stadens IT-system/e-tjänster driftas. Vid upphandling/anskaffning av nya IT-system/e-tjänster måste de informationstekniska kraven beaktas innan driftgodkännande kan ske. I dokumentet Informationsteknisk plattform - Normer och standarder (bil 4) återfinns vad som gäller för staden. 1.4.5 Kravspecifikation IT och Säkerhet (Klassificering Typ A) I samband med upphandling/anskaffning av ett IT-system/e-tjänst produceras en funktionell kravspecifikation. Som en bilaga till denna skall Kravspecifikation IT och Säkerhet (bil 5) finnas. Härigenom lämnas ett underlag till anbudslämnare vilket beskriver samtliga de krav (funktionella, legala, informationstekniska och säkerhetsmässiga) som staden ställer. Denna kompletta kravbild underlättar även vid utvärdering av inkomna anbud. Dokumentet är uppdelat i två delar där den första delen (K1), på grundnivå, beskriver de informationstekniska kraven. IT-avdelningen är ansvarig för innehållet med anpassning till vad upphandlingen avser. Den andra delen (K2) redovisar de systemspecifika kraven från klassningen, härledda från både Protokollet och Kravkatalogen. Verksamhetsrepresentanter ansvarar för innehållet i denna del. 1.4.6 Bristförteckning och Åtgärdslista (Klassificering Typ B och C) Utifrån den säkerhetsprofil som fastställs vid klassificeringen görs en avstämning mot aktuella krav i Kravkatalogen. I de fall kraven inte är uppfyllda noteras de i en Bristförteckning (bil 6) och nyttan av att bristen undanröjs bedöms (prioritering). För att undanröja en brist kan en eller flera åtgärder vidtas. Dessa noteras i en Åtgärdslista (bil 7) där åtgärden beskrivs, vem som är ansvarig och när bristen beräknas vara avhjälpt.

När bristerna är åtgärdade uppfyller systemet/e-tjänsten stadens krav gällande informationssäkerhet.

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss