Bilaga 10 Säkerhet. Dnr: / stockholm.se. Stadsledningskontoret It-avdelningen

Relevanta dokument
Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Bilaga 3 Säkerhet Dnr: /

Systemdrift och Systemförvaltning Centrala verksamhetssystem Service Desk

Bilaga 8D Tjänster för Stadens Pedagogiska Verksamheter

Bilaga 7C Leveranser från GSIT 2.0- leverantören Dnr: /2015 Förfrågningsunderlag

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Regelverk och myndighetsstöd för ökad informationssäkerhet inom dricksvattenförsörjningen (NIS) Anders Östgaard

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr Kommunikation som tjänst - A

Myndigheten för samhällsskydd och beredskaps författningssamling

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Fördelning av ansvar för informationssäkerhet. Version: 1. Beslutsinstans: Regiondirektören

Bilaga till rektorsbeslut RÖ28, (5)

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

Koncernkontoret Enheten för säkerhet och intern miljöledning

Ledningssystem för Informationssäkerhet

Bilaga 4b Helhetsåtagande underhåll och drift Dnr: /

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Bilaga 3c Informationssäkerhet

Myndigheten för samhällsskydd och beredskaps författningssamling

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Helhetsåtagande underhåll och drift

Bilaga Från standard till komponent

IT-säkerhet Externt och internt intrångstest

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Informationssäkerhetspolicy för Umeå universitet

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Ledningssystem för Informationssäkerhet

Tillitsdeklarationen och revisionsprocessen. Åsa Wikenståhl Efosdagen

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

Välkommen till enkäten!

Sjunet standardregelverk för informationssäkerhet

Bilaga 4f Gemensamma processer Dnr: /

VGR-RIKTLINJE FÖR KOMMUNIKATION OCH DRIFT

Informationssäkerhetspolicy

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy

IT-Säkerhetsinstruktion: Förvaltning

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

ISO/IEC och Nyheter

Bilaga 4h Aktiviteter vid avtalets upphörande Dnr: /

Datacentertjänster IaaS

SÄKERHETSPOLICY I FÖR FALKÖPINGS KOMMUN

NIS-direktivet. 4 september Johanna Linder Martin Gynnerstedt

1(6) Informationssäkerhetspolicy. Styrdokument

Informationssäkerhetspolicy för Ystads kommun F 17:01

Administrativ säkerhet

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Bilaga 10 Riktlinjer informationssäkerhet Dnr: /2015 Förfrågningsunderlag

Informationssäkerhetspolicy för Nässjö kommun

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun

Bastjänsterna ovan avser driftfasen. Införandet genomförs som ett projekt som drivs av Cygate i samarbete med kunden.

REVISION AV OUTSOURCAD VERKSAMHET - EXEMPEL UR VERKLIGHETEN

Några myndigheters rapportering om informationssäkerhet i årsredovisningen INFORMATIONSSÄKERHETEN ÄR TILLRÄCKLIG

Finansinspektionens författningssamling

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet

Informationssäkerhetspolicy för Ånge kommun

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhetspolicy för Vetlanda kommun

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Riktlinjer för dataskydd

Riktlinjer för informationssäkerhet

Finansinspektionens författningssamling

Bilaga 3c Informationssäkerhet

Plan för informationssäkerhet vid Högskolan Dalarna 2015

I det här dokumentet beskriver IT-mästarens tjänsten Applikationsdrift, dess ingående komponenter och dess tillägg.

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni Erik Norman 1(6)

Dnr UFV 2017/93. Informationssäkerhet. Riktlinjer för säkerhetsarbetet vid Uppsala universitet. Fastställda av Universitetsdirektören

Sjunet Anslutningsavtal Förenklat regelverk för informationssäkerhet

INFORMATIONSSÄKERHET 1 INLEDNING MÅL FÖR IT-SÄKERHETSARBETET... 2

Bilaga IT till förfrågningsunderlag Bil 3 Inledning

Upphandling 1-1 Datorer. Bilaga 4: Service Level Agreement (SLA)

Bilaga 4 Kontinuerliga förbättringar Dnr: /2015 Förfrågningsunderlag

FÖRHINDRA DATORINTRÅNG!

Säkerhetspolicy för Västerviks kommunkoncern

Informationssäkerhet och SKLs verktyg KLASSA. Avdelningen för Digitalisering Sektionen för Informationshantering och Digital Arbetsmiljö (IDA)

SIEM FOR BEGINNERS WHITEPAPER TELEFON WHITEPAPER. ADRESS Sentor Managed Security Services AB Björns Trädgårdsgränd STOCKHOLM

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Informationssäkerhetspolicy

Aktiviteter vid avtalets upphörande

Riktlinjer för informationssäkerhet

Bilaga 3c Informationssäkerhet

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

SÄKERHETSPOLICY FÖR VÄSTERVIKS KOMMUNKONCERN ANTAGEN AV KOMMUNFULLMÄKTIGE , 8

Bilaga 4d Resursförstärkning Dnr: /

Riktlinjer för IT-säkerhet i Halmstads kommun

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ Agenda

Växjö kommun. Övergripande säkerhetsgranskning. säkerhet avseende externt och internt dataintrång. Informationssäkerhetsspecialister:

IT-säkerhet Externt intrångstest Mjölby kommun April 2016

Transkript:

stockholm.se Stadsledningskontoret It-avdelningen Ragnar Östbergs Plan 1 105 35 Stockholm Växel 08-508 29 000 www.stockholm.se

Innehåll 1 Inledning 3 2 Krav på säkerhetsarbete 3 2.1 Allmänt 3 2.2 Ledningssystem för informationssäkerhet 3 2.3 Ingående aktiviteter i it-säkerhetsarbetet 4 2.4 Skydd mot skadlig kod 6 2.5 Krav på säkerhet för Kritiska Tjänster och System 6 2.6 Krav på säkerhet för Mycket Kritiska Tjänster och System 8 2 (9) Upphandling GSIT 2.0

1 Inledning Definitioner som används i detta dokument har den betydelse som anges i Bilaga 1 (Begrepp och definitioner). Denna bilaga reglerar på en övergripande nivå arbetet med krav på säkerhet som beskrivs i Avtalet. Leverantören ska följa dessa krav samt Stadens vid var tid gällande riktlinjer för informationssäkerhet. Riktlinjerna framgår av Bilaga 11 (Riktlinje informationssäkerhet). 2 Krav på säkerhetsarbete 2.1 Allmänt Leverantören ska kontinuerligt arbeta med att planera, följa upp och förbättra kvalitet och säkerhet i tillhandahållandet av Tjänsterna. Detta för att uppfylla Stadens säkerhetsbehov och se till att information hanteras på ett säkert sätt för alla Tjänster och processaktiviteter. Detta arbete ska vara organiserat med ansvariga utpekade hos Leverantören och genomsyra Leverantörens arbete med leverans av Tjänsterna. Syftet med säkerhetsarbetet är att förhindra, eller minska konsekvenserna av eller sannolikheten för, oönskade händelser inom tillhandahållandet av Tjänster och att upprätthålla Stadens förmåga att fullgöra sina åtaganden innefattande bland annat myndighetskrav och krav enligt Gällande Rätt. I arbetet ingår alla åtgärder vars samlade effekt är att förebygga och minimera konsekvenserna av störningar och Avbrott för informationshanteringen. I detta åtagande ingår att säkerställa att informationen får rätt nivå av säkerhet med avseende på informationssäkerhetsaspekterna: Åtkomstbegränsning (sekretess) skydd mot obehörig åtkomst av information, Riktighet skydd mot oönskad förändring, påverkan eller insyn, Tillgänglighet åtgärder för att säkra drift och funktionalitet, och Spårbarhet möjligheten att fastställa vem som gjort vad eller att kunna verifiera orsaken till en händelse. 2.2 Ledningssystem för informationssäkerhet Leverantören ska ha processer för egenkontroll samt ett generellt processorienterat it-säkerhetsarbete, som i enlighet med ITIL Upphandling GSIT 2.0 3 (9)

Security Management eller motsvarande är sammanhållet av ett ledningssystem för informationssäkerhet (LIS), där policys, säkerhetskontroller, andra säkerhetsåtgärder, säkerhetsrevisioner, schemalagda säkerhetstester och klassificering av känslig data och risker finns dokumenterade. Ledningssystemet ska möjliggöra för Leverantören att leva upp till krav enligt detta Avtal. Ledningssystemet för informationssäkerhet ska minst ha beaktat följande aspekter: Stadens information, organisation, struktur, interna/externa krav och risker med dessa, Stadens strategier, planer och budget för it-leveranser och risker med dessa, Specifik känslig data, Lagstiftning, Incidenter och digitala angrepp, och Förändringar som påverkar säkerheten, till exempel framtida planer och krav. 2.3 Ingående aktiviteter i it-säkerhetsarbetet Leverantören ska bland annat utföra följande aktiviteter: Styrning: - Organisera it-säkerhetsarbetet med tydligt ansvar och mandat. Planering: - Planera för säkerhetshöjande åtgärder, inkluderande att genomföra risk- och sårbarhetsanalyser, dokumentera detta samt besluta om åtgärder med anledning av detta. Analyserna ska genomföras i enlighet med Stadens modell för risk- och sårbarhetsanalys och resultatet ska redovisas för Staden. - Klargöra interna krav på nödvändiga avtal, roller, och andra säkerhetsrelaterade krav, samt sätta regelverk för exempelvis: - Användandet av it (inklusive beivrandet av missbruk), behörigheter, lösenord, e-post, internet, anti-virus, säkerhetsklassning av information, fjärråtkomst, underleverantörsstyrning inklusive deras tillgång till system och data samt eventuella kompletterande särskilda säkerhetsstrategier. - Alternativa arbetssätt och rutiner för den händelse att Leverantören själv drabbas av störningar i sin interna verksamhet. Implementering: - Implementera säkerhetskontroller enligt en för säkerhetsnivån lämplig utvecklingsprocess. 4 (9) Upphandling GSIT 2.0

- Kommunicera om och utbilda Leverantörens personal om itsäkerhetsarbetet (exempelvis gällande klassificering av data och information). Personalen kan även behöva underteckna sekretessförbindelser. - Definiera krav på personlig och fysisk säkerhet, fastställa riktlinjer för behörigheter och för hanteringen av säkerhetsincidenter. - Utse och dokumentera ansvariga för säkerheten i leveransens olika delar, både för de levererade Tjänsterna i sin helhet och för enskilda system. Utvärdering: - När Staden begär revisioner ska Leverantören skyndsamt ställa information och resurser till förfogande som stöd för genomförande av revisionen. Leverantören ska även på förfrågan från Staden medverka i att utforma och ta fram bestyrkanderapporter avseende internkontroll och säkerhet inom områden som inte täcks av ISAE 3402. Exempel på områden är sekretess/åtkomst, riktighet, tillgänglighet och spårbarhet rapporterade i enlighet med standarden ISAE 3000. - Genomföra interna och av Staden begärda revisioner av säkerhetsarbetet. - Tillhandahålla en struktur för kontinuerlig utvärdering av säkerhetsincidenter. Löpande arbete, genomföra dagliga aktiviteter såsom: - Kommunicera policys och övervaka att dessa efterlevs. - Övervaka, hantera och rapportera säkerhetsincidenter. - Genomföra sårbarhets- och penetrationstester i enlighet med informationssäkerhetsriktlinjerna. - Löpande följa upp vilka personer som har olika former av administratörsrättigheter samt rapportera till Stadens kontaktpersoner hur många och vilka dessa personer är. - Ha en kontinuerlig översyn av skydd mot säkerhetsbrister och obehörig åtkomst. - Säkerställa uppnådd säkerhet mellan Stadens Resurser och Leverantörens resurser som används för att leverera Tjänsterna. - Genomföra kontinuitetsplanering och riskanalyser för kontinuitet. - Genomföra kapacitetsplanering och riskanalys för kapacitet. - Verifiera att tillhandahållandet av Tjänster lever upp till ställda krav i Bilaga 11 (Riktlinje informationssäkerhet) samt föreslå åtgärder vid eventuella avvikelser. Detta arbete ska halvårsvis rapporteras till Staden i form av en skriftlig rapport Upphandling GSIT 2.0 5 (9)

och en föredragning på kontraktsnivån enligt samverkansmodellen. - Kontinuerligt och systematiskt arbeta med förbättringar av itsäkerheten. 2.4 Skydd mot skadlig kod Leverantören ansvarar för att hålla Stadens it-miljö fri från skadlig och fientlig kod. I detta ingår bland annat att nödvändiga licenser för säkerhetsprogramvaror, installation och konfiguration av dessa programvaror samt att säkerhetsprogramvarorna hålls uppdaterade vid tillhandahållandet av Tjänsterna. Leverantören ska ha system för att aktivt söka och upptäcka förekomst av skadlig kod samt logga resultatet av övervakningen. Staden ska på begäran kunna ta del av loggarna. 2.5 Krav på säkerhet för Kritiska Tjänster och System Med Kritiska Tjänster och System inom leveransen avses: Namnuppslag (DNS) enligt Bilaga 6A (Generella krav på Tjänsterna), IDM-system enligt Bilaga 6A (Generella krav på Tjänsterna), Certifikatinfrastruktur enligt Bilaga 6A (Generella krav på Tjänsterna), Datalagring enligt Bilaga 8A (Arbetsplatssystem) och enligt Bilaga 8B (Server- och applikationsdrift), och VPN (virtuellt privat nätverk) enligt Bilaga 8A (Arbetsplatssystem). Leverantören ska för Kritiska Tjänster och System uppfylla krav på redundans, driftsäkerhet och diversifiering, enligt avsnitt 2.5.1, 2.5.2 och 2.5.3 nedan. Leverantören är medveten om att Tjänster och system som klassas som Kritiska Tjänster och System kan ändras över tid genom Ändringsprocessen, varvid Kritiska Tjänster och System kan komma att läggas till eller tas bort. 2.5.1 Redundans Ingående utrustning ska placeras i minst två (2) datahallar. Avståndet mellan datahallarna ska vara minst tio (10) km. Redundansen ska klara av ett bortfall av femtio (50) procent av ingående komponenter. Leverantören ska styra och reglera vilken del av den redundanta utrustningen som är aktiv i produktionsmiljön. Leverantören ska bevaka vilken utrustning som är aktiv i produktionsmiljön. 6 (9) Upphandling GSIT 2.0

Leverantören ska automatiskt och manuellt kunna styra vilken del av den redundanta utrustningen som är aktiv i produktionsmiljön. Leverantören ska tillhandahålla minst två (2) WAN-anslutningar från minst två (2) leverantörer i enlighet med NIST SP800 53R4 CP-8 Telecommunication services eller motsvarande. I tillägg till detta ska minst två (2) av WAN-anslutningar vara aktiva. Leverantören ska kunna genomföra tester avseende Avbrott enlig testplan för Avbrott minst en (1) gång per år. Testerna ska genomföras i enlighet med SS-EN-ISO-22301:2014 kapitel 8.5 Övning och testning eller motsvarande. 2.5.2 Driftsäkerhet Leverantören ska säkerställa att all hårdvara och all mjukvara är supporterad av tillverkaren. Leverantören ska tillhandahålla skydd för fel i nätverkets datalänkskikt (OSI layer 2), baserad på rekommendationer från leverantören av nätverksutrustning. Omfattningen av skydd ska vara baserad på årligen återkommande riskanalyser som ska godkännas av Staden. Leverantören ska ha ett dedikerat fysiskt nätverk för administration av nätverk och servermiljö, så kallad Out of Band Management. Leverantören ska ha processer för att analysera trender och prognoser för framtida kapacitetsbehov i driftsprocesser och komponenter. Leverantören ska rapportera resultatet från genomförda internkontroller till Staden var sjätte (6:e) månad. I rapporteringen framgår det vilka områden som har testats, hur testerna har genomförts och resultatet av tester. Avvikelser och andra observationer som kan komma att påverka Staden ska inkluderas i rapporteringen. 2.5.3 Diversifiering Leverantören ska upprätta en plan för hur alternativ datakommunikation under kris säkerställs. Planen ska utformas enligt NIST SP800 53R4 CP-11 Alternate Communications Protocols och CP-13 Alternative Security Mechanisms eller motsvarande. Staden ska godkänna planen för hur alternativ datakommunikation under kris säkerställs. Upphandling GSIT 2.0 7 (9)

2.6 Krav på säkerhet för Mycket Kritiska Tjänster och System Med Mycket Kritiska Tjänster och System inom leveransen avses: katalogtjänst enligt Bilaga 8A (Arbetsplatssystem), e-post enligt Bilaga 8A (Arbetsplatssystem) och enligt Bilaga 8D (Tjänster för Stadens Pedagogiska Verksamheter), och licensservern inklusive anslutningen mot leveransen av systemdrift och systemförvaltning av Centrala Verksamhetssystem, inom Tjänst för förenklad åtkomst till Applikationer, enligt Bilaga 8B (Server- och applikationsdrift). Leverantören ska för Mycket Kritiska Tjänster och System uppfylla samtliga krav i avsnitten 2.5 Krav på säkerhet för Kritiska Tjänster och System: 2.5.1 Redundans, 2.5.2 Driftsäkerhet och 2.5.3 Diversifiering. I tillägg till detta ska krav på redundans, driftsäkerhet och diversifiering enligt de tre följande avsnitten nedan också uppfyllas. Leverantören är medveten om att Tjänster och system som klassas som Mycket Kritiska Tjänster och System kan ändras över tid genom Ändringsprocessen, varvid Mycket Kritiska Tjänster och System kan komma att läggas till eller tas bort. 2.6.1 Redundans Mycket Kritiska Tjänster och System ska klara av ett bortfall av sjuttiofem (75) procent av ingående komponenter. Tillgänglighetsrisker för Mycket Kritiska Tjänster och System ska vara analyserade, bedömda och dokumenterade i enlighet med MSBFS 2015:5 eller motsvarande. Tillgänglighetsrisker ska uppdateras minst en (1) gång per år och vid större förändringar. 2.6.2 Driftsäkerhet Leverantören ska genomföra förebyggande underhåll. Leverantören ska, baserad på statistisk analys av användning, ersätta komponenter när deras tillgänglighet inte längre kan säkerställas, exempelvis när komponenter utsatts för en förhöjd belastning under längre tid. Leverantören ska upprätta kontaktlistor för kommunikation och koordinering av kris och delge Staden dessa. Kontaktlistor för kris ska uppdateras minst en (1) gång per månad. 8 (9) Upphandling GSIT 2.0

2.6.3 Diversifiering Leverantören ska kunna, efter överenskommelse med Staden, tillhandahålla Infrastructure as a Service (IaaS) för mycket kritisk utrustning som hanteras av Stadens Övriga Leverantörer. Leverantören ska kunna hantera Mycket Kritiska Tjänster och System tillhandahållen på IaaS av Stadens Övriga Leverantörer. Om Mycket Kritiska Tjänster och System och mycket kritisk utrustning tillhandahålls av samma leverantör, ska en underleverantör anlitas för tillhandahållandet av IaaS för att uppfylla krav på diversifiering. Leverantören ska tillhandahålla en WAN-förbindelse med anpassningsbar prestanda till andra leverantörer i enlighet med NIST SP800 53R4 CP-8 Telecommunication services eller motsvarande. Leverantören ska kunna avaktivera säkerhetskontroller och/eller tillämpa alternativa säkerhetskontroller för Mycket Kritiska Tjänster och System under kris i enlighet med NIST SP800 53R4 CP13 Alternative Security Mechanisms och CP11 Alternate Communications Protocols eller motsvarande. Leverantören ska kunna reducera och återställa utnyttjad kapacitet för övriga Tjänster och system. Detta för att säkerställa tillgänglighet för Mycket Kritiska Tjänster och System under en kris. Upphandling GSIT 2.0 9 (9)

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss