Bilaga 3c Informationssäkerhet

Relevanta dokument
Bilaga 3c Informationssäkerhet

Bilaga 3c Informationssäkerhet

Bilaga 3a. Ickefunktionella krav. Upphandling av ett helhetsåtagande avseende IT-stöd för pedagogiskt material inom Skolplattform Stockholm

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Styrande dokument inom IT-området

Bilaga 3a Ickefunktionella

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Riktlinjer för informationssäkerhet

Posthantering och annan överföring av sekretessbelagd och integritetskänslig information

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Datum: Version: Författare: Christina Danielsson Senast ändrad:

Identifieringstjänst SITHS. - Beskrivning och tjänstespecifika villkor

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Federering i praktiken

BILAGA 2 Tekniska krav Version 0.81

Regelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga D. Personuppgiftsbiträdesavtal. Version: 2.

PhenixID & Inera referensarkitektur. Product Manager

Riktlinjer för informationssäkerhet

Juridik och informationssäkerhet

Säkerhet vid behandling av personuppgifter i forskning

Instruktion för integration mot CAS

Federerad åtkomst Information om åtkomst till Apotekens Services tjänster inom ramen för en identitetsfederation.

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Upphandlingssystem och IT-säkerhet. Britta Johansson Sentensia

UTKAST. Riktlinjer vid val av molntjänst

Intygstjänster. - Beskrivning och tjänstespecifika villkor

Apotekens Service. federationsmodell

Nitha IT-stöd för händelseanalys. Beskrivning och tjänstespecifika villkor

BILAGA 1 Definitioner

Helhetsåtagande underhåll och drift

Skolorna visar brister i att hantera personuppgifter

Bilaga 3 Säkerhet Dnr: /

Nationell patientöversikt en lösning som ökar patientsäkerheten

Riktlinjer för informationssäkerhet

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Integritetspolicy och samtycke

Bilaga 4d. Resursförstärkning. Upphandling av IT-stöd för hantering av frånvaro och när varo inom Skolplattform Stockholm UTBILDNINGSFÖRVALTNINGEN

Introduktion till protokoll för nätverkssäkerhet

Aktiviteter vid avtalets upphörande

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Bilaga 5a. Ersättning. Upphandling av ett helhetsåtagande avseende IT-stöd för pedagogiskt material inom Skolplattform Stockholm

Personuppgiftsbiträdesavtal

VGR-RIKTLINJE FÖR ÅTKOMST TILL INFORMATION

Avtal om Kundens mottagande av intyg från Mina intyg Bilaga 1 - Specifikation av tjänsten mottagande av intyg från Mina Intyg

Bilaga 7a. Skolplattformens arkitektur. Upphandling av IT-stöd för hantering av frånvaro och närvaro inom Skolplattform Stockholm

Bilaga 4b. Underhåll. Upphandling av IT-stöd för barn- och elevregister inom Skolplattform Stockholm UTBILDNINGSFÖRVALTNINGEN. Förfrågningsunderlag

Svar till Datainspektionen avseende Tillsyn av hur personuppgifter om elever i grundskolan med skyddade personuppgifter behandlas

Svevac - Beskrivning och tjänstespecifika villkor

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter i e-post

Riktlinjer för informationsklassning

Identitet, kontroll & spårbarhet

Tillsyn enligt personuppgiftslagen (1998:204) personuppgiftsbehandling i anslutning till Pliktverkets e-tjänst för lämplighetsundersökning

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Avtal om Kundens användning av Svevac Bilaga 1 - Specifikation av tjänsten Svevac

Bilaga 10 Riktlinjer informationssäkerhet Dnr: /2015 Förfrågningsunderlag

Riktlinjer för informationssäkerhet

Nationell Patientöversikt. - Beskrivning och tjänstespecifika villkor

360 Avtalshantering. Överblick, enkelhet och effektivitet i avtalshanteringen

Sentrion och GDPR Information och rekommendationer

Tekniskt ramverk för Svensk e- legitimation

Informationssäkerhetschefens dilemma en betraktelse kring identitetshantering. Anne-Marie Eklund Löwinder kvalitets- och säkerhetschef

BILAGA 1 Definitioner Version: 2.01

Informationshantering och journalföring. Maria Jacobsson, Hälso- och sjukvårdsavdelningen

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Rätt informationssäkerhet är A&O vid införande av välfärdsteknologi. Jeanna Thorslund, Sveriges Kommuner och Landsting Thomas Nilsson, Certezza

BILAGA 1 Definitioner

Informationssäkerhet vid upphandling och inköp av IT-system och tjänster

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Kristdemokraternas medlemsregister

Rikspolisstyrelsens författningssamling

Gemensamma anvisningar för informationsklassning. Motala kommun

ICKE FUNKTIONELLA KRAV PÅ IT LÖSNING. Förfrågningsunderlag upphandling journalsystem

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Strategi Program Plan Policy» Riktlinjer Regler

GDPR OCH OUTSOURCING - VEM BÄR ANSVARET?

Införande av Skolfederation. Erfarenheter i Sundsvalls kommun

ehälsomyndighetens nya åtkomstlösning och Sambi

Informationssäkerhetspolicy IT (0:0:0)

Icke funktionella krav

Digitalisering och dataskydd. Agnes Hammarstrand, IT-advokat och partner Advokatfirman

Stadsövergripande policy om skyddade personuppgifter med riktlinjer till nämnder och bolag

Multifråga Kort sammanfattning säkerhet och juridik

Bilaga 5b. Faktureringsrutiner. Upphandling av IT-stöd för hantering av elevdokumentation inom Skolplattform Stockholm UTBILDNINGSFÖRVALTNINGEN

EU s dataskyddsförordning Krav, utmaningar och möjligheter. David Ahlén, Micro Focus Peter Olsson, Karlstads kommun Lars Nikamo, Micro Focus

Bilaga 6b. Begrepp och definitioner. Upphandling av ett helhetsåtagande avseende IT-stöd för pedagogiskt genomförande inom Skolplattform Stockholm

INFORMATION OM BEHANDLING AV PERSONUPPGIFTER

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

Säkerhetstjänster Spärr,Samtycke,Logg. Beskrivning och tjänstespecifika villkor

BILAGA 1 Definitioner Version: 2.02

INTEGRITET OCH SÄKERHET. Brunskoggruppen AB, Org. Nr

Bilaga 1a Personuppgiftsbiträdesavtal

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

Risk, security, and legal analysis for migration to cloud. PART 3: Privacy and security management

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK)

HEMLIG. Förfrågan om information gällande marknadens utbud av molnbaserade rekryteringssystem 1 (6)

GDPR. Hur ComFuture hanterar dina personuppgifter

Säkerhet och Tillit vid elektronisk identifiering. Fredrik Ljunggren

Transkript:

SID 1 (5) Bilaga 3c Informationssäkerhet Förfrågningsunderlag Upphandling av IT-stöd för barn- och elevregister inom Skolplattform Stockholm Box 22049, 104 22 Stockholm. Besöksadress Hantverkargatan 2 F Telefon: 08-508 33 000 Telefax: 08-508 33 662 registrator.utbildning@stockholm.se Org. nr 212000-0142 www.stockholm.se

SID 2 (5) INNEHÅLLSFÖRTECKNING 1 INLEDNING... 2 2 KRAV PÅ INFORMATIONSSÄKERHET FÖR SYSTEMET/TJÄNSTEN... 3 2.1 IDENTIFIERING OCH AUTENTISERING... 3 2.1.1 Identifiering och autentisering... 3 2.2 BEHÖRIGHETSKONTROLL... 3 2.2.1 Single sign on... 3 2.2.2 Skolfederation.se... 3 2.2.3 Behörighetskontrollsystem... 3 2.3 SPÅRBARHET... 3 2.3.1 Spårbarhet vid ändringar... 3 2.3.2 Spårbarhet för personuppgifter... 3 2.3.3 Applikationslogg... 4 2.3.4 Export av loggdata... 4 2.3.5 Tidsstyrning... 4 2.3.6 Digital signering av uppgifter... 4 2.4 DATASKYDD... 4 2.4.1 Behandling av personuppgifter... 4 2.4.2 Sekretessmarkerade personuppgifter... 4 2.4.3 Krypterad datakommunikation... 4 2.4.4 Krypterad lagring på klientenheter... 4 2.4.5 Lagring av personuppgifter... 4 2.5 SÄKERHET FÖR WEBBAPPLIKATION... 5 2.5.1 Säkerhet för webbapplikation... 5 2.6 VERIFIERING AV SÄKERHETSKRAV... 5 2.6.1 Verifiering av säkerhetskrav... 5 1 INLEDNING Denna beskrivning av informationssäkerhetskrav är en del av Avtalet mellan Staden och Leverantören och ska läsas och förstås mot bakgrund av detta. Syftet med informationssäkerhet är att: Riktig information ska finnas tillgänglig för behöriga användare på ett spårbart sätt när den behövs. Denna bilaga beskriver krav på informationssäkerhet för Lösningen. Krav som rör tillgänglighet till Lösningen återfinns i separat dokument, Bilaga 4g - Servicenivåer. Stadsledningskontoret och utbildningsförvaltningen har styrande dokument inom området informationssäkerhet, vilka som referensinformation återfinns i Bilaga 6a - Styrande dokument. Lösningen kommer att driftas av Staden. Informationssäkerhetskrav gällande IT-driften har därigenom tidigare fastställts i avtal mellan IT-driftsleverantören och Staden.

SID 3 (5) 2 KRAV PÅ INFORMATIONSSÄKERHET FÖR SYSTEMET/TJÄNSTEN I detta kapitel återfinns krav på informationssäkerhet vad gäller Lösningens egenskaper. 2.1 Identifiering och autentisering 2.1.1 Identifiering och autentisering Externa användare av Lösningen ska identifieras och autentiseras via Stadens ID-portal, interna via Stadens katalogtjänst, innan åtkomst medges (Se Stödjande dokument - IDportalen.zip). 2.2 Behörighetskontroll 2.2.1 Single sign on Lösningens behörighetskontrollsystem ska stödja Single Sign On enligt specifikationen SAML 2.0 (Security Assertion Markup Language) och vara integrerat med Stadens identitetshanteringssystem ur vilket användarens identitet, autentiseringsmetod, grupper och roller ska hämtas. 2.2.2 Skolfederation.se Lösningen ska ha stöd för att konsumera SAML V2-intyg i enlighet med den tekniska specifikation som tagits fram av Skolfederationen (Se webbplats www.skolfederation.se/teknisk-information). Lösningen ska efter beslut från Staden tillgängliggöras för Skolplattform Stockholms användare via skolfederation.se. 2.2.3 Behörighetskontrollsystem Åtkomst till varje del av Lösningen, inklusive skriv- och läsrättigheter till information, ska styras med hjälp av ett anpassningsbart rollbaserat behörighetskontrollsystem. Nivån av åtkomst ska även kunna styras på basis av använd autentiseringsmetod (stark autentisering, engångslösenord, etc.). 2.3 Spårbarhet 2.3.1 Spårbarhet vid ändringar Användares förändring av information eller inställningar i Lösningen ska loggas med användarens identitet, tidpunkt, och vad som ändrades. Denna historik ska kunna visas i Lösningens användargränssnitt där så krävs. 2.3.2 Spårbarhet för personuppgifter Användares förändring och läsning av personuppgifter i Lösningen ska loggas med användarens identitet, tidpunkt, och vilka personer och uppgifter åtkomsten gällde. Denna historik ska kunna visas i Lösningens användargränssnitt där så krävs.

SID 4 (5) 2.3.3 Applikationslogg Lösningens varningar och kritiska fel ska loggas i en fellogg. Prestandainformation, inklusive de mätpunkter som överenskommes med Staden senare, ska loggas i en prestandalogg. 2.3.4 Export av loggdata Loggarna nämnda här ovan ska minst en gång per dygn exporteras som en textfil. Loggarna ska vara skyddade mot manipulation och ska tillhandahållas på en anvisad plats där de på ett säkert sätt är tillgängliga för Stadens personal. 2.3.5 Tidsstyrning Lösningens tid ska styras av en valbar tidstjänst (såsom NTP). Systemtid ska vara UTC och tid riktat till användare ska vara svensk normaltid med automatisk omställning till sommartid. 2.3.6 Digital signering av uppgifter Användare ska kunna, där så tillämpligt, elektroniskt signera en informationsmängd (ex. ett beslut, dokument eller transaktion) genom den signeringstjänst som staden tillhandahåller via en SOA-plattform (Se Stödjande dokument SOA-plattform.zip). 2.4 Dataskydd 2.4.1 Behandling av personuppgifter Behandling av personuppgifter vid tillhandahållandet av Lösningen inklusive eventuell IT-drift ska ske i enlighet med bestämmelserna i personuppgiftslag (1998:204), i vars hänseende Leverantören är Stadens personuppgiftsbiträde. 2.4.2 Sekretessmarkerade personuppgifter Lösningen ska kunna identifiera och hantera sekretessmarkerade personuppgifter exempelvis på grund av skyddad identitet. Sådana uppgifter ska kunna hanteras enligt särskilda rutiner och regler (Se Stödjande dokument Personuppgifter.zip). 2.4.3 Krypterad datakommunikation Datakommunikation mellan Lösningen och dess användare respektive andra delar av Skolplattformen ska vara skyddad från insyn genom kryptering. 2.4.4 Krypterad lagring på klientenheter I det fall data lagras på användares mobila eller fasta klientenheter ska den vara skyddad genom kryptering och endast åtkomlig efter autentisering. 2.4.5 Lagring av personuppgifter Lösningen ska använda det personregister Staden tillhandahåller genom en SOAplattform, och får i tillägg endast lagra de uppgifter ur personregistret och under den tidsperiod som är helt nödvändigt för Lösningens funktion.

SID 5 (5) 2.5 Säkerhet för webbapplikation 2.5.1 Säkerhet för webbapplikation De delar av Lösningen som utgörs av webbapplikation ska leva upp till Stadens krav, nivå 1 till 3, gällande utveckling av säkra webbapplikationer (Se Stödjande dokument Teknisk kravkatalog.zip). 2.6 Verifiering av säkerhetskrav 2.6.1 Verifiering av säkerhetskrav Leverantören ansvarar för att innan driftsättning verifiera att säkerhetskraven efterlevs.

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss