IT-säkerhetsinstruktion Förvaltning



Relevanta dokument
IT-Säkerhetsinstruktion: Förvaltning

IT säkerhetsinstruktion: Förvaltning Organisationen Svenljunga kommun

SÄKERHETSFÖRESKRIFTER FÖR FÖRVALTNING AV IT-SYSTEM

Informationssäkerhetspolicy

IT-säkerhetspolicy. Finspångs kommun Finspång Telefon Fax E-post: Webbplats:

IT-Säkerhetsinstruktion:

Informationssäkerhetsanvisningar Förvaltning

IT-Säkerhetsinstruktioner: Förvaltning

IT-säkerhetspolicy Instruktion Kommunfullmäktige. Senast reviderad Beskriver IT-säkerhetarbetet.

INFORMATIONSSÄKERHET 1 INLEDNING MÅL FÖR IT-SÄKERHETSARBETET... 2

RIKTLINJER FÖR IT-SÄKERHET

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

IT-säkerhetspolicy. Antagen av kommunfullmäktige

Informationssäkerhetspolicy IT (0:0:0)

Regler och instruktioner för verksamheten

IT-säkerhetspolicy. Fastställd av KF

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Informationssäkerhet - Informationssäkerhetspolicy

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

Riktlinjer för IT och informationssäkerhet - förvaltning

Informationssäkerhetspolicy

IT-Säkerhetspolicy för Munkfors, Forshaga, Kils och Grums kommun

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

Policy för informationssäkerhet

Informationssäkerhetspolicy för Nässjö kommun

Informationssäkerhet - Instruktion för förvaltning

Informationssäkerhetspolicy

Informationssäkerhetspolicy för Vetlanda kommun

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

Informationssäkerhet Riktlinje Förvaltning

Riktlinjer för Informationssäkerhet Falkenbergs Kommun Kommunledningskontoret

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

IT-SÄKERHETSPOLICY. Stadskontoret. 1 Inledning Definition Omfattning Mål för IT-säkerhetsarbetet... 2

IT-instruktioner version

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUNS NÄTVERK 1 INLEDNING BAKGRUND...1

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUN

EDA KOMMUN. nformationssäkerhet - Informationssäkerhetspolicy

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

Informationssäkerhetspolicy IT (0:0:0)

Dnr

IT-verksamheten, organisation och styrning

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet

Policy Document Number ESS Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet

Informationssäkerhetspolicy för Ånge kommun

Riktlinjer för IT-säkerhet i Halmstads kommun

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Beslutsdatum (rev )

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

RIKTLINJER. Riktlinjer för informationssäkerhet i Håbo kommun

Organisation för samordning av informationssäkerhet IT (0:1:0)

Bilaga 3 Säkerhet Dnr: /

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet

IT-säkerhetsinstruktion

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

VÄGLEDANDE RÅD OCH BESTÄMMELSER FÖRVALTNING & DRIFT AV IT INOM TIMRÅ KOMMUN

Systemförvaltnings Modell Ystads Kommun(v.0.8)

Informationssäkerhetsinstruktion: Användare

Säkerhetsinstruktioner för Informationssäkerhet i Piteå kommun

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Strategi Program Plan Policy» Riktlinjer Regler

Informationssäkerhetspolicy

SÅ HÄR GÖR VI I NACKA

Sammanfattning av riktlinjer

Policy och strategi för informationssäkerhet

FÖRFATTNINGSSAMLING BESLUT GÄLLER FR FLIK SID Kf 83/ Kf IT-säkerhetspolicy

Handledning i informationssäkerhet Version 2.0

Lokal informationssäkerhetspolicy, lokala informationssäkerhetsriktlinjer och anvisningar

Bilaga 1 - Handledning i informationssäkerhet

Riktlinjer för IT i Lilla Edets kommun. 2. Syftet med IT i Lilla Edets kommun

Informationssäkerhetspolicy

Informationssäkerhetsinstruktion: Förvaltning (Infosäk F)

Åstorps kommuns Övergripande IT-policy för Åstorps kommun

Katrineholms kommuns. Informationssäkerhetspo licy. IZatrineholms kommun "- Antagen av kommunfullmäktige , 106

Informationssäkerhetspolicy

Finansinspektionens författningssamling

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Informationssäkerhetspolicy för Katrineholms kommun

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Kommunstyrelsens förslag till antagande av reviderad informationssäkerhetspolicy Ärende 11 KS 2017/336

Riktlinje för informationssäkerhet

Informationssäkerhetspolicy

Finansinspektionens författningssamling

Informationssäkerhetsinstruktion Mora, Orsa och Älvdalens kommuner

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

IT-Guiden Finspångs kommuns IT-guide för personal

Informationssäkerhetspolicy

Informationssäkerhetspolicy KS/2018:260

1(6) Informationssäkerhetspolicy. Styrdokument

1 (7) Arbetsgången enligt BITS-konceptet

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

ITsäkerhetspolicy. Antagen av kommunstyrelsen

Säkerhetsskyddsplan. Fastställd av kommunfullmäktige

Verket för förvaltningsutvecklings författningssamling ISSN Utgivare: Lena Jönsson, Verva, Box 214, Stockholm

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Publiceringsdatum Juni 2007 ( rev. September 2011)

1 Risk- och sårbarhetsanalys

Finansinspektionens författningssamling

Informationssäkerhetsinstruktion Användare: Övriga (3:0:2)

Transkript:

IT-säkerhetsinstruktion Förvaltning 2013-09-24 1.0

IT- S Ä K E R H E T S I N S T R U K T I O N IT-säkerhetsinstruktion Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se Webbplats: www.finspang.se

Detta dokument Det skall vara en naturlig del i informationssäkerhetsarbetet att regelmässigt se till att förvaltningsrutiner uppdateras vid förändringar. De dokument som behandlar förvaltningsrutiner är styrande dokument och hanteras som sådana. Detta dokument redovisar hur förvaltning av kommunens IT-system skall utföras och bygger på Finspångs kommuns IT-säkerhetspolicy. Uppslagsverk Se gärna dessa dokument (IT-säkerhetspolicy, IT-Guiden, ITsäkerhetsinstruktion förvaltning och IT-säkerhetsinstruktion drift) som ett uppslagsverk och en viktig källa till hur IT-systemen och informationen får användas. Saknar du någon information eller vill du veta mer så tveka inte att kontakta IT-funktionen eller närmaste chef. 2

IT-säkerhetsinstruktion Förvaltning är en del i kommunens lednings- och kvalitetsprocess 3

IT-säkerhetsutbildning Information och utbildning inom IT-säkerhetsområdet skall ges alla medarbetare och omfatta: IT-säkerhetens betydelse för verksamheten innehållet i kommunens IT-säkerhetspolicy tillämpliga delar av innehållet i IT-säkerhetsinstruktionerna Förvaltning, Drift och i IT-guiden. Nya medarbetare skall ges grundläggande säkerhetsutbildning i samband med tilldelning av behörighet i nätverket. Systemägare ansvarar för: att egna medarbetarna erhåller information och utbildning om innehållet i de systemsäkerhetsplaner de är berörda av att medarbetare, före tilldelning av behörighet, har tillräckliga kunskaper om säkerhetsreglerna för de IT-system de behöver för att utföra sina arbetsuppgifter. Varje enskild medarbetare har ett ansvar att påtala det egna behovet av utbildning. Systemägarnas krav på avbrotts- och katastrofplanering skall vara samordnade i organisationens kontinuitetsplaner. Särskilda rutiner Åtkomst till IT-resurser För att säkerställa att endast behöriga användare förekommer i IT-systemen skall följande rutiner gälla: Behörighetsadministration Beställning av åtkomst till kommunens nätverk samt verksamhetssystemen skall ske enligt instruktion på Finspånätet under rubriken IT-stöd. Beställningen ska göras av verksamhetsansvarig chef. Aktuell medarbetare får därefter tillgång till kommunens nätverk och de verksamhetssystem som beställts. (Samma förfarande skall användas när konsulter eller andra utför arbete i kommunens IT-system). 4

Behörighetskontroll Leverantörsbehörigheter och lösenord skall förvaras inlåsta enligt Finet ITservice interna rutiner. För att förhindra att de kan användas i IT-systemen skall de ändras minst 2 ggr/år. Vid allt arbete i kommunens tekniska infrastruktur bör autentisering ske med smarta kort. Loggning och spårbarhet Systemägarnas krav på loggning skall framgå av de systemsäkerhetsplaner som respektive systemägare upprättar. Informationsklassning Regler för klassning av information framgår av IT-Guiden. Skyddade identiteter Speciella rutiner skall upprättas och dokumenteras för att säkerställa att inte skyddade identiteter hanteras på ett oaktsamt sätt så att inte kommunen eller tredje part lider skada Drift och förvaltning av IT-system Inför den årliga verksamhetsplaneringen inventerar systemägaren verksamheternas behov av IT-stöd. Systemägaren analyserar och klassificerar behoven inom områdena (införande, förvaltning, drift eller avveckling) och sätter mål för kommande verksamhetsår (om möjligt i prioritetsordning). Införande av IT-system När behov av ett IT-system identifierats i verksamheten skall sektorschefen se till att en projektplan utformas för införande. Denna plan skall omfatta följande (i tillämpliga delar): verksamhetens beskrivning av behov och mål med anskaffningen en inledande risk- och sårbarhetsbedömning Risk- och sårbarhetsbedömningen är ett viktigt underlag för den kravspecifikation som skall upprättas och syftar bl.a. till att klarlägga de säkerhetskrav som verksamhetens ställer i form av: o krav på säkerhet avseende sekretess, riktighet och tillgänglighet o rättsliga, verksamhets- och hotrelaterade krav o kommunikationsberoende (internt och externt) o reservrutiner mm kravspecifikation. Kraven från risk- och sårbarhetsbedömningen utökas med bl a: o integrationskrav med andra system o krav vid införande 5

o krav på test och acceptans o ytterligare krav som skall gälla fram till den tidpunkt då den tilltänkte systemägaren övertar ansvaret och systemet övergår till systemförvaltning. o tidplan o resurser (personella och ekonomiska) o när och hur uppföljning, utvärdering och avrapportering skall ske o när och hur medarbetarna skall informeras och utbildas. Upphandling o en upphandling görs med beaktande av lagen om offentlig upphandling o tillämpliga ramavtal skall användas o om möjligt skall standardprodukter användas. Inför Drift och förvaltning Ansvarig för nyanskaffningsprojekt förbereder överlämnandet från test och utveckling till drift och förvaltning tillsammans med den tilltänkte systemägaren. Beslut om tidpunkt från vilken systemet övergår från projekt till förvaltning fattas av systemägaren på ett driftsättningsmöte. I och med detta övergår ansvaret till systemägaren som då också övertar all dokumentation. Om systemet bedöms som samhällsviktigt eller verksamhetskritiskt skall dessutom en systemsäkerhetsplan upprättas. Driftgodkännande Driftgodkännande avser den process som syftar till att fastställa om ett ITsystem uppfyller ställda säkerhetskrav. I samband med att en systemsäkerhetsplan upprättas granskas om ITsystemet uppfyller: basnivå de tilläggskrav som ställs utifrån rättsliga, verksamhetsspecifika och hotrelaterade krav. Systemägaren beslutar om driftgodkännande. Beslutet baseras på en granskning och säkerhetsutvärdering som bygger på jämförelse mellan verksamheternas krav och vidtagna säkerhetsåtgärder. Driftgodkännandeprocessen relateras till aktuell systemsäkerhetsplan och skall omfatta: avgränsningar granskning av säkerhetsåtgärder i IT-systemet utvärdering av granskningen i förhållande till systemsäkerhetsplanens krav 6

redovisning av beslutsunderlag samt beslut att driftgodkänna IT-systemet Systemförvaltning Med systemförvaltning avses samtliga aktiviteter som görs för att styra, administrera och verkställa förändringsarbetet av redan existerande objekt och stödja användandet (utveckla, ändra, rätta, uppdatera, komplettera m.m.) Systemägaren ansvarar för systemets ekonomi inom ramen för ledningens resurstilldelning. För att kunna följa kostnadsutvecklingen på ett effektivt sätt upprättar systemägaren, i samråd med systemförvaltaren, en systemförvaltningsbudget som omfattar en utvecklings- och en driftbudget. Dessa upprättas inför verksamhetsplaneringen När information om systemets funktionella och tekniska krav är framtaget så måste det även göras en konsekvensbedömning om vad förändringen innebär i integration med förändringen i systemet samt en tid- och kostnadskalkyl. Vid beslut om systemförvaltning upprättas en driftsättningsplan som skall omfatta: Kommunens driftsättningsdokument för nya system (Bilaga 1) Finet IT-service driftsättningsdokument för nya system (Bilaga 2) Driftsdokumentation för det nya systemet Systemsäkerhetsplan Drift Kommunens regler för systemdrift finns samlade i dokumentet ITsäkerhetsinstruktion Drift. Avveckling av IT-system IT-system som inte längre behövs för verksamheten skall avvecklas snarast. Systemägare skall efter samråd med sektorschefen besluta om och när ett IT-system skall avvecklas. Vid avveckling skall särskilt uppmärksammas: rättsliga regler såsom Arkivlagen, PUL vad skall tas ut ur systemet före avveckling (på papper eller media) innehåller systemet ärenden vilka behöver avslutas i diariet behöver återläsning av innehåll kunna ske längre fram behöver uppgifter flyttas över till annat IT-system destruktion av media som innehållit information 7

regler för destruktion av media som innehållit sekretessbelagd information. IT-incidenthantering Att återkoppla erfarenheter från incidenter av olika slag är ett viktigt moment när det gäller att spåra brister och svagheter i IT-verksamheten. Riktlinjer för hur incidenter följs upp är därför angelägna. Följande gäller: vid misstanke om intrång eller andra incidenter skall användare agera enligt IT-Guiden. IT-funktionen sammanställer och rapporterar till Arena IT vid intrång och försök till intrång vid brott mot lagstiftning och internt regelverk vid incidenter som orsakar eller skulle kunna orsaka betydande avbrott och störningar. Tillträdesskydd Chefen för IT-service skall besluta om vilka som skall ha tillträde till datorrum. För att kunna följa upp detta skall besök vara registrerade. Se vidare IT-säkerhetsinstruktion Drift. Säkerhetskopiering och lagring Systemägarnas krav på säkerhetskopiering och lagring för de egna systemen skall framgå av de systemsäkerhetsplaner som respektive systemägare upprättar. Kraven i dessa planer skall vara koordinerade i systemsäkerhetsplan för IT-infrastrukturen. Se vidare IT-säkerhetsinstruktion Drift. Upprättade dokument och handlingar skall lagras i kommunens arkivstruktur. Avveckling av datamedia Datamedia med sekretessbelagd information som skall avvecklas överlämnas till IT-service som hanterar avvecklingen. 8

Datakommunikation Intern kommunikation Kommunens LAN, kommunnätverket, skall vara väl dokumenterat. Endast personal eller godkända konsulter (med smarta kort om detta finns) bör ges behörighet att utföra arbete i nätverket. Externa anslutningar Kommunen är för sin verksamhet beroende av datakommunikation med andra kommuner och centrala myndigheter med verksamhetssamband samt med Internet. Följande riktlinjer gäller: för att försvåra för obehöriga att göra intrång i kommunens datasystem via externa anslutningar skall det finnas en brandvägg installerad kontroller skall ske av vem som får komma ut och vem som får släppas in en kontrollista på vilka nätverksadresser och IP-portar som är tillåtna skall användas för att filtrera bort onödig trafik användningen av tjänster i kommunnätverket skall fastställas och dokumenteras vad gäller kommunikationsriktning, vilka protokoll som skall stödjas samt vilka applikationer som använder protokollen anslutning till publika nät får endast upprättas efter godkännande av systemägaren för kommunnätverket tjänster i kommunnätverket skall vara reglerade i samarbetsavtal användningen av kommunnätverket skall följa särskild säkerhetsinstruktion utfärdad av systemägaren för kommunnätverket. Distansarbete, extern anslutning och mobil datoranvändning Systemägaren beslutar om ett IT-systems information skall få hanteras på distans med stationär eller mobil utrustning. Distansarbete skall vara reglerat i avtal mellan kommunen och den anställde. För annan extern anslutning och mobil datoranvändning finns särskilda riktlinjer. (Se även IT-Guiden). Användning av trådlös anslutning kräver särskilda säkerhetsåtgärder. Användningen av e-post och Internet Riktlinjer för användningen av internet och e-post framgår av IT-Guiden. I e-postsystemet finns en loggningsfunktion där inkommande och utgående e-post registreras så att alla meddelanden kan spåras. Loggning sker av internettrafiken för att möjliggöra spårning av intrång och missbruk 9

Kontinuitetsplanering Av kommunens systemsäkerhetsplaner skall framgå de enskilda ITsystemens krav på avbrotts- och katastrofplanering. Kraven skall vara sammanställda i Kontinuitetsplan för IT-tjänster. 10

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss