Enkät om informations- och cybersäkerhet i Finlands kommuner 2015 Välkommen att svara på enkäten!

Relevanta dokument
Esbo stad Informationssäkerhetspolicy

Anvisning om riskhantering och internrevision i värdepapperscentraler

Välkommen till enkäten!

Myndigheten för samhällsskydd och beredskaps författningssamling

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

Anmälan om. schablonmetoden, operativ risk

Policy för informations- säkerhet och personuppgiftshantering

GDPR dataskydd. vid Alandica Kultur & Kongress. (för personal, kunder och samarbetspartners)

VASA STAD DATASÄKERHETSPOLICY

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Koncernkontoret Enheten för säkerhet och intern miljöledning

vid Geritrim vård- och rehabiliteringsenhet

Dataskyddsenkät /2018. Kanta-tjänster Dataombudsmannens byrå Institutet för hälsa och välfärd

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

REDOGÖRELSE FÖR SKYDDET AV UPPGIFTER

Föreskrift om televerksamhetens informationssäkerhet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

FÖRESKRIFT OM RISKHANTERING OCH ÖVRIG INTERN KONTROLL I VÄRDEPAPPERSFÖRE- TAG

Myndigheten för samhällsskydd och beredskaps författningssamling

Informationssäkerhetspolicy för Ånge kommun

Datasäkerhetspolicy för verksamhetsenheter inom social- och hälsovården

VASA STADS RISKHANTERINGSPOLICY. Godkänd av Vasa stadsfullmäktige den

BDS-underhåll. Användarens instruktion. Endast för kommunens interna användning

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

Informationssäkerhetsanvisningar Förvaltning

Informationssäkerhetspolicy

Integritetspolicy. Behandling av personuppgifter. Senast reviderad den 22 Maj Syfte. Bakgrund. Mer information om GDPR:

Förenklad rapportering av regionernas riskoch sårbarhetsanalys 2019

Finansinspektionens författningssamling

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Bilaga Från standard till komponent

ISO/IEC och Nyheter

BILAGA OM BEHANDLINGEN AV PERSONUPPGIFTER

Att öka förtroende. Verksamhetsplan

Tillägg om Zervants behandling av personuppgifter

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Organisation för samordning av informationssäkerhet IT (0:1:0)

Regelverk och myndighetsstöd för ökad informationssäkerhet inom dricksvattenförsörjningen (NIS) Anders Östgaard

Myndigheten för samhällsskydd och beredskaps författningssamling

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

PERSONUPPGIFTSBITRÄDESAVTAL

Avbrott i bredbandstelefonitjänst

Regler för behandling av personuppgifter vid Högskolan Dalarna

Checklista för utvärdering av miljöledningssystem enligt ISO 14001:2004

Myndigheten för samhällsskydd och beredskaps författningssamling

Grunder för intern kontroll och riskhantering i Borgå stad och stadskoncernen

FÖRETAGET SOM FÖREMÅL FÖR BROTT OCH OEGENTLIGHETER 2017

Bilaga till rektorsbeslut RÖ28, (5)

Räddningsplan. Fastighetens namn. Datum

Informationssäkerhetspolicy

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

Myndigheten för samhällsskydd och beredskap

Informationssäkerhetspolicy för Umeå universitet

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhetsgranskning. ISO ledningssystem för informationssäkerhet

GRUNDERNA FÖR INTERN KONTROLL OCH RISKHANTERING

Myndigheten för samhällsskydd och beredskaps författningssamling

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

BDS-UNDERHÅLLET. Användarens instruktion Kommunerna

KVALITETSLEDNINGSSYSTEM

EU:s allmänna dataskyddsförordning

Informationssäkerhetspolicy. Linköpings kommun

Huvudtemats namn och diarienummer: Tryggt i vardagen, trygg vardag för individer SRK/470/48/2014

Denna föreskrift riktar sig till anställda vid Stockholms universitet samt till personer som arbetar på uppdrag av universitetet.

Bilaga IT till förfrågningsunderlag Bil 3 Inledning

Integritetspolicy Expressa Utbildningscenter

Årsrapport Itincidentrapportering

Säkerhetspolicy för Västerviks kommunkoncern

Informationssäkerhetspolicy S/~LA KOMMUN KOMMUNFULLMÄKTIGE. Bi l aga KS 2015 / 135/1 INFORMATIONSSÄKERHETSPOLICY FÖR SALA KOMMUN

Informationssäkerhetspolicy för Ystads kommun F 17:01

Anmälan av personuppgiftsincident

SÄKERHETSPOLICY FÖR VÄSTERVIKS KOMMUNKONCERN ANTAGEN AV KOMMUNFULLMÄKTIGE , 8

Myndigheten för samhällsskydd och beredskaps författningssamling

BILAGA 3 Tillitsramverk Version: 1.2

1) ge förslag till förvaltningsrådet till

GDPR POLICY Behandling av personuppgifter

Vid behandlingen av personuppgifter iakttar vi EU:s lagstiftning och bestämmelser och anvisningar som myndigheter gett.

RIKTLINJER FÖR HANTERING AV PERSONUPPGIFTSINCIDENT

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

DATASKYDDSBESKRIVNING. Datum: EU:s allmänna dataskyddsförordning, artikel 13 och 14

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Kommunikationsverkets 1 anvisningar om bedömning av överensstämmelsen hos en identifieringstjänst 2019

Samma krav gäller som för ISO 14001

Integritetspolicy. Dokumentnamn: Integritetspolicy Version:

Reglerna för e-post i korthet

Säkerhetspolicy för Ulricehamns kommun Antagen av Kommunstyrelsen , 164

I samband med att du söker arbete hos oss och lämnar personuppgifter till oss.

INFORMATIONSSYSTEMET FÖR MISSTÄNKTA

Bestämmelserna om lex Sarah (SOSFS 2011:5) hittar du på Socialstyrelsens hemsida.

SKATTEFÖRVALTNINGEN Förskottsinnehållningsuppgifter 2016 Rättsenheten/Informationstjänsten PB Skatteförvaltningen

Aktiviteter vid avtalets upphörande

Utfrågning om dataskydds- och datasäkerhetsärenden i socialvården 2011

Handlingsplan för persondataskydd

Behandling av personuppgifter innefattar all hantering av personuppgifter såsom insamling, registrering och lagring.

Allmänna Råd. Datainspektionen informerar Nr 3/2017

1. Förvaltning:... Verksamhetsområde: Kontaktperson: Personregistrets benämning. 4. Hur sker information till de registrerade?

IT-säkerhet Externt intrångstest Mjölby kommun April 2016

Transkript:

1(16) Enkät om informations- och cybersäkerhet i Finlands kommuner 2015 Välkommen att svara på enkäten! Hej, Syftet med denna enkät är att reda ut nuläget för informations- och cybersäkerheten i kommunerna i Finland. Det tar cirka en (1) timme att svara på enkäten. Se till att dina svar inte innehåller sekretessbelagd information. Svarstiden går ut 31.8.2015 kl. 15.

2(16) Sida 1: Anvisning Svara enligt din uppfattning om nuläget. Om verksamheten inte omfattar det som efterfrågas ska du svara. Om frågan är aktuell åtminstone i viss grad ska du svara och vid behov precisera svaret i fältet för fri text i slutet av enkäten. Svaren får inte innehålla sekretessbelagd information.

3(16) Sida 2: 1.1 Bakgrundsuppgifter = Obligatoriskt att svara på frågan 1.1.1 Organisation Kommun eller stad 1.1.2 Kontaktperson Namn Position eller tjänstebeteckning E-postadress

4(16) Sida 3: 1.2 Hantering och ledning av informationssäkerhet 2015 = Obligatoriskt att svara på frågan 1.2.1 Behandlar organisationens högsta ledning frågor om informationssäkerhet eller cybersäkerhet? 1.2.1B Har din organisation en arkivbildningsplan som inkluderar anvisningar för förstöring av material? (eller en informationskontrollplan TOS), en elektronisk arkivbildningsplan 1.2.2 Har organisationen en riskhanteringsmetod på organisationsnivå (ett dokument som beskriver principerna för riskhanteringen) och en regelbunden rapportering av risker till ledningen? Om ja: Vilket år har den fastställts? 1.2.2B Bedöms risker relaterade till kundgränssnitt? (ärendehanteringsportaler, servicesituationer och övriga möten med kunder) 1.2.3 Har organisationen en operativ modell för informationssäkerheten som har godkänts av ledningen och som utvärderas regelbundet eller en annan allmän motsvarande beskrivning av principerna för informationssäkerheten? (T.ex. informationssäkerhetspolicy) Om ja: Vilket år har den fastställts? 1.2.4 Har organisationen en utsedd informationssäkerhetsansvarig i vars arbetsbeskrivning informationssäkerhetsansvaret nämns? Om ja: Position eller tjänstebeteckning:, på deltid, på heltid 1.2.5 Bedömer organisationen regelbundet risker relaterade till cyber- och informationssäkerheten?

5(16) Om ja: Vilket år har de bedömts senast? 1.2.6 Rapporteras det regelbundet till organisationens ledning om informations- och cybersäkerheten? 1.2.6B Tilläggsfråga 1.2.6B Rapporteringsprocessen har beskrivits skriftligen

6(16) Sida 5: 1.2 Hantering och ledning av informationssäkerhet 2015 = Obligatoriskt att svara på frågan 1.2.7 Har hanteringen av informationssäkerhetsavvikelser organiserats och ansvaret för det fördelats? 1.2.8 Informeras organisationens ledning omedelbart om allvarliga avvikelser från informationssäkerheten? 1.2.9 Har organisationen identifierat att den eller de funktioner som den ansvarar för omfattas av obligatorisk (lagstadgad, avtalsenlig) anmälningsskyldighet avseende kränkningar av informationssäkerheten. Om : Vilka funktioner, hos vilken instans görs anmälan? 1.2.10 Har organisationen en ICT-kontinuitetsplan? Om ja: Vilket år har den fastställts? 1.2.11 Har organisationen övat ICT-kontinuitetsplanen? Om ja: Vilket år har övningar ordnats senast? 1.2.12 Har organisationen en ICT-beredskapsplan? Om ja: Vilket år har den fastställts? 1.2.13 Har organisationen en ICT-återhämtningsplan? Om ja: Vilket år har den fastställts? 1.2.14 Har organisationens informationssäkerhetsansvar beskrivits i uppgiftsbeskrivningarna?

7(16) Om ja: Vilket år? 1.2.15 Innehållet i organisationens dataskyddsanvisningar: Omfattar de centrala områdena? Om ja: Vilket år har omfattningen bedömts? 1.2.16 Har organisationen en samarbetsgrupp för informationssäkerheten som omfattar olika funktioner? (till exempel ledningsgruppen) Om ja: Vilket år har den inlett verksamheten? 1.2.17 Organisationen vet i vilka nätverk den deltar samt vilka roller dess underleverantörer och samarbetspartner har vid hantering av dess information? Om ja: Vilket år har underleverantörerna granskats? 1.2.18 Behandlas informationssäkerhetsrisker i ledningens utlåtande om utvärdering och bekräftelse gällande den interna kontrollen och riskhanteringen? 1.2.19 Vet organisationen vilka loggar organisationens datasystem, programvara och utrustning för?

8(16) Sida 6: 1.3 Informationssäkerhetsproblem 2015 = Obligatoriskt att svara på frågan 1.3.1 Har externa attacker som krävt särskilda åtgärder förekommit? 1.3.2 Vilka metoder använder organisationen för att upptäcka cyber- och informationssäkerhetsattacker? 1.3.3 Hurdana informationssäkerhetsavvikelser har organisationen upptäckt i sin verksamhet?

9(16) Sida 7: 1.4 Datatekniskt informationssäkerhet 2015 = Obligatoriskt att svara på frågan 1.4.1 Har separata operativa miljöer för databehandling samt relaterade system och funktioner identifierats? 1.4.2 Har informationssäkerheten för organisationens centrala datasystem bedömts? 1.4.3 Har organisationen identifierat och separerat de delar av datanätet som kräver olika skyddsnivåer, och begränsas och filtreras trafiken mellan nät som kräver olika skyddsnivåer? 1.4.4 Förhindras användning av lösenord av dålig kvalitet i organisationen? I detta sammanhang definieras lösenord av god kvalitet som minst 10 tecken långa strängar med olika slags tecken. 1.4.5 Organisationen har avtalade principer för hantering av användarbehörigheter? 1.4.6 Har beviljande, ändring och radering av användarnamn och behörigheter organiserats och ansvaret fördelats enligt principerna för hantering av användarbehörigheter? 1.4.6B Övervakas användningen av administratörers användarnamn (root, superuser, admin etc.) särskilt? 1.4.7 Har organisationen fastställt ansvaret för säkerhetskopior och identifierat objekt som ska skyddas med tanke på säkerhetskopieringen, och tas säkerhetskopior planmässigt?

) 10(16 1.4.8 Använder organisationen: Kontroll av skadliga program för inkommande html-sidor? IDS-system för upptäckande av intrång eller motsvarande system? Krypteringsteknik för att skydda e-postkommunikation och förmedling av meddelanden? Krypteringsteknik för att skydda filer, register och hårddiskar? System för hantering av användarbehörigheter (IDM/IAM)? Inga av dessa Om organisationen använder krypteringsteknik för att skydda e-postkommunikation och förmedling av meddelanden, hur många användare omfattar den? Om organisationen använder krypteringsteknik för att skydda filer, register och hårddiskar, hur många användare omfattar den? Om organisationen använder ett system för hantering av användarbehörigheter (IDM/IAM), för hurdana objekt och system används det? 1.4.9 Har organisationen en hanteringsmodell för terminaler som även omfattar mobila enheter såsom smarttelefoner och datorplattor? (telefoner ingår inte men smarttelefoner och datorplattor ingår) Uppskattning av det totala antalet terminaler i användning Antal terminaler med skyddslösningar 1.4.9B Har alla mobila enheter skyddslösningar? 1.4.10 Är organisationens personal medveten om användningsprinciper för e-post som godkänts av ledningen? 1.4.11 Har den tekniska övervakningen av anställda behandlats enligt samarbetsförfarandet (Lag om integritetsskydd i arbetslivet)?

) 11(16 1.4.11B Har grunderna och praxis för hantering av kommunikationsrelaterade förmedlingsuppgifter behandlats genom samarbetsförfarande enligt informationssamhällsbalken?" Sida 8: 1.6 Organisationens resurser för informationssäkerhet 2014 = Obligatoriskt att svara på frågan 1.6.1 Uppskattning av resurser Uppskattning om hur många dagsverken och hur mycket pengar som organisationen satsade på informationssäkerhet och ICT-beredskap dagsverken Hur många dagsverken och hur mycket pengar har organisationen använt för att åtgärda sårbarheter? dagsverken Hur många dagsverken och hur mycket pengar har organisationen satsat på utbildning i informationssäkerhet? dagsverken Hur många dagsverken och hur mycket pengar har organisationen satsat på bedömning av informationssäkerheten? dagsverken

) 12(16 Sida 9: 1.7 Personalsäkerhet 2015 = Obligatoriskt att svara på frågan 1.7.1 Innehåller informationssäkerhetsplanerna beredskap för insiderhot som beror på den egna personalen eller serviceleverantörernas personal? 1.7.2 Använder organisationen säkerhetsutredningsförfarande? 1.7.2B Har organisationen en informationssäkerhetssäkerhets- och dataskyddsförbindelse eller motsvarande som är bindande för personalen? 1.7.2C Har organisationen anvisningar för distansarbete med instruktioner för informationssäkra rutiner och organisationens datatekniska regler? 1.7.3 Har organisationen i sina avtal kommit överens om säkerhetsutredningar om tjänsteleverantörer? 1.7.4 Har organisationen i sina avtal kommit överens om tystnadsplikt för tjänsteleverantörer? (informationssäkerhets- och dataskyddsförbindelse eller motsvarande som är bindande för utomstående tjänsteleverantörer) 1.7.4B På vilket sätt säkerställer organisationen genom avtal (informations)säkerheten även i långa underleverantörskedjor? Underleverantörerna godkänns av organisationen. Organisationen avtalar om rätten att revidera underleverantörer när serviceavtal ingås. På annat sätt, vilket: 1.7.5 Bedömer organisationen informationssäkerhetskompetensen i relation till arbetsuppgifterna i resultat- och utvecklingssamtal? Gäller säkerhetspersonalen Gäller ICT-personalen Gäller ledningen/cheferna Gäller hela personalen

) 13(16 Sida 10: 1.8 Cybersäkerhet 2015 = Obligatoriskt att svara på frågan 1.8.1 Samarbete mellan verksamhetsenheterna och organisationens ITadministration (eller motsvarande) vid störningar Samarbetet mellan verksamhetsenheterna och organisationens ITadministration (eller motsvarande) har inte planerats med tanke på allvarliga datastörningar som medför olägenheter för verksamhetsenheten. När en datateknisk störning upptäcks börjar organisationens IT-administration (eller motsvarande) reda ut störningens karaktär. Man är medveten om att den datatekniska störningen påverkar verksamheten (interna och externa kunder). Kan finnas ett medvetet behov av att precisera datatekniska uppgifter, rutiner och tekniska lösningar som tryggar kontinuiteten för organisationens ITadministration (eller motsvarande). Vid allvarliga datatekniska störningar agerar man enligt rutiner som verksamhetsenheten och organisationens IT-administration (eller motsvarande) avtalat om sinsemellan. Verksamhetsenheten och organisationens ITadministration (eller motsvarande) har tillsammans identifierat betydelsen av uppgifter som inte utförs under allvarliga störningar för verksamheten (interna eller externa kunder) och uppskattat de kostnader som störningen orsakar. Vid allvarliga datatekniska störningar styr kontinuitetsplanerna samarbetet mellan verksamhetsenheten och organisationens IT-administration (eller motsvarande). Planerna innehåller åtgärder för styrning av verksamheten och begränsning av skador, de operativa åtgärder (inkl. verktyg) som verksamhetsenheten ska vidta och uppgifterna för organisationens IT-administration (eller motsvarande) samt uppgifter för andra involverade verksamhetsenheter, supportenheter och externa aktörer (inkl. verktyg). Ansvaret för uppgifterna har fördelats. Det finns tillräckligt med kompetenta personer för att reda ut situationen. Man strävar efter att förebygga motsvarande störningar framöver. Vid allvarliga datatekniska störningar säkerställs kontinuiteten för samarbetet mellan verksamhetsenheten och organisationens IT-administration (eller motsvarande) genom åtgärder som har dokumenterats i kontinuitetsplanerna. Det ömsesidiga samarbetet och det övriga samarbetet med nödvändiga verksamhetsenheter, supportenheter och externa aktörer har definierats tydligt. Verksamhetsenheten och organisationens IT-administration (eller motsvarande) är medvetna om varandras uppgifter och rutinerna enligt kontinuitetshanteringen. Man strävar efter att omedelbart röja undan orsakerna till störningen. Vid allvarliga störningar kan man säkerställa kontinuiteten för samarbetet mellan verksamhetsenheten och organisationens IT-administration (eller motsvarande) genom regelbundet utvärderade och övade rutiner för kontinuitetshantering i verksamhetsenheten och organisationens IT-administration (eller motsvarande) samt andra nödvändiga externa aktörer (externa och interna kunder) så att konsekvenserna för verksamheten minimeras.

) 14(16 1.8.2 ICT-beredskap Det finns inga belägg för utvecklingsprojekt för ICT-beredskap eller kontinuitetshantering (bl.a. övningar, anvisningar, rutiner, arrangemang eller tekniska lösningar) eller det finns vaga planer för projekt. Det finns en del belägg för utvecklingsprojekt för ICT-beredskap eller kontinuitetshantering (bl.a. övningar, anvisningar, rutiner, arrangemang eller tekniska lösningar). Man har till exempel identifierat risker relaterade till datatekniken och/eller automationssystemen. Det finns belägg för utvecklingsprojekt för ICT-beredskap eller kontinuitetshantering (bl.a. övningar, anvisningar, rutiner, arrangemang eller tekniska lösningar). Det finns verksamhetsanvisningar eller man har planerat alternativa rutiner för störningar. Det finns klara belägg för utvecklingsprojekt för den datatekniska funktionssäkerheten och kontinuitetshanteringen. Rutinerna, arrangemangen och de tekniska lösningarna utvecklas systematiskt. Utifrån bedömningarna har man bland annat utvecklat rutiner för kontinuitetshantering om vilka man avtalat om med datatekniska samarbetspartner. Det finns omfattande belägg för utvecklingsprojekt för ICT-beredskap och kontinuitetshantering. Övningarna, anvisningarna, rutinerna, arrangemangen och de tekniska lösningarna utvecklas systematiskt. Med hjälp av övningarna har man bland annat utvecklat rutiner för kontinuitetshantering om vilka man avtalat om med datatekniska samarbetspartner. 1.8.3 Samarbete Det finns inga avtalade rutiner i fall av nätattacker med de parter som behövs. Det finns inga anvisningar för samarbete vid störningar med de parter som behövs (organisationens interna resurser, kunder, myndigheter, leverantörer av utrustning och programvara samt organisationer som tillhandahåller sakkunnigtjänster). Parternas ansvariga personer har identifierats. Samarbetsmodellen har gåtts igenom med alla parter. Verksamheten fokuserar på hantering av ICT-system. Det finns en beskrivning av samarbetsmodellen för störningar (organisationens interna resurser, kunder, myndigheter, leverantörer av utrustning och programvara samt organisationer som tillhandahåller sakkunnigtjänster) och man har avtalat om den med alla parter. Samarbetsparterna är skyldiga att utse och instruera ansvariga personer så att de kan agera vid störningar. Vid störningar agerar samarbetsparterna aktivt enligt anvisningarna. Samarbetsmodellerna omfattar utöver ICT-systemen dessutom produktionen och produktionsstyrningen, bland annat utrustning och system för processtyrning. Det finns tillräckligt med kompetenta personer för att reda ut situationen. Man strävar efter att förebygga motsvarande störningar framöver. Man övar regelbundet ledning av störningssituationer, verksamhet vid störningar, skapande av lägesinformation och rapportering av den tillsammans med samarbetsparterna. Ledningen av störningssituationer och anvisningarna

) 15(16 för parterna samt deras rutiner utvecklas utifrån övningarna. Resultaten och rekommendationerna för fortsatta åtgärder rapporteras till högsta ledningen. Man strävar efter att omedelbart röja undan orsakerna till störningen. Samarbetet mellan olika parter vid störningar är föremål för fortlöpande förbättringar. Den operativa modellen för hantering av störningar bedöms omedelbart efter störningar och minst en gång om året. Hanteringen av störningar utvecklas systematiskt utifrån resultaten.

) 16(16 Sida 11: 1.9 1.9.1 Andra observationer, respons Skicka Tack för svaren!

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss