IT-Säkerhetsinstruktion: Förvaltning

Relevanta dokument
IT-säkerhetsinstruktion Förvaltning

IT-Säkerhetspolicy för Munkfors, Forshaga, Kils och Grums kommun

Informationssäkerhetspolicy

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

EDA KOMMUN. nformationssäkerhet - Informationssäkerhetspolicy

IT-Säkerhetsinstruktioner: Förvaltning

IT-Säkerhetsinstruktion:

SÄKERHETSFÖRESKRIFTER FÖR FÖRVALTNING AV IT-SYSTEM

Informationssäkerhet - Informationssäkerhetspolicy

RIKTLINJER FÖR IT-SÄKERHET

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

IT säkerhetsinstruktion: Förvaltning Organisationen Svenljunga kommun

Informationssäkerhetsanvisningar Förvaltning

IT-säkerhetspolicy Instruktion Kommunfullmäktige. Senast reviderad Beskriver IT-säkerhetarbetet.

INFORMATIONSSÄKERHET 1 INLEDNING MÅL FÖR IT-SÄKERHETSARBETET... 2

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

Informationssäkerhetspolicy

IT-säkerhetspolicy. Antagen av kommunfullmäktige

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

IT-säkerhetspolicy. Fastställd av KF

IT-säkerhetspolicy. Finspångs kommun Finspång Telefon Fax E-post: Webbplats:

Informationssäkerhetspolicy IT (0:0:0)

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

VÄGLEDANDE RÅD OCH BESTÄMMELSER FÖRVALTNING & DRIFT AV IT INOM TIMRÅ KOMMUN

Regler och instruktioner för verksamheten

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Informationssäkerhetspolicy för Nässjö kommun

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUNS NÄTVERK 1 INLEDNING BAKGRUND...1

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUN

Policy Document Number ESS Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

Informationssäkerhetspolicy för Vetlanda kommun

Informationssäkerhetspolicy för Ånge kommun

1(6) Informationssäkerhetspolicy. Styrdokument

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

Kommunstyrelsens förslag till antagande av reviderad informationssäkerhetspolicy Ärende 11 KS 2017/336

Dnr

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

Informationssäkerhetspolicy

Bilaga 3 Säkerhet Dnr: /

IT-SÄKERHETSPOLICY. Stadskontoret. 1 Inledning Definition Omfattning Mål för IT-säkerhetsarbetet... 2

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Katrineholms kommuns. Informationssäkerhetspo licy. IZatrineholms kommun "- Antagen av kommunfullmäktige , 106

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

Riktlinjer för Informationssäkerhet Falkenbergs Kommun Kommunledningskontoret

Policy för informationssäkerhet

Riktlinjer för IT och informationssäkerhet - förvaltning

Informationssäkerhetspolicy

IT-verksamheten, organisation och styrning

Informationssäkerhetspolicy. Linköpings kommun

Informationssäkerhetspolicy för Katrineholms kommun

Bilaga 1 - Handledning i informationssäkerhet

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhetspolicy

Informationssäkerhetspolicy för Ystads kommun F 17:01

Handledning i informationssäkerhet Version 2.0

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

1 (5) Informationssäkerhetspolicy Informationssäkerhetspolicy. Ver 3.0

Informationssäkerhetspolicy

Informationssäkerhetspolicy

Organisation för samordning av informationssäkerhet IT (0:1:0)

Informationssäkerhetspolicy KS/2018:260

Informationssäkerhet Riktlinje Förvaltning

VÄGLEDANDE RÅD OCH BESTÄMMELSER - FÖRVALTNING OCH DRIFT AV IT TIMRÅ KOMMUN

Informationssäkerhetspolicy

Informationssäkerhetspolicy

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

IT-instruktioner version

Informationssäkerhetsinstruktion: Förvaltning (Infosäk F)

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Risk- och säkerhetspolicy. Tyresö kommun

SÅ HÄR GÖR VI I NACKA

Informationssäkerhet i. Torsby kommun

1 (7) Arbetsgången enligt BITS-konceptet

Riktlinje för informationssäkerhet

RIKTLINJER. Riktlinjer för informationssäkerhet i Håbo kommun

Säkerhet. Färgelanda kommun. Plan för. Policy-Organisation-Ansvar. Dnr 2011/168 Hid

FÖRFATTNINGSSAMLING BESLUT GÄLLER FR FLIK SID Kf 83/ Kf IT-säkerhetspolicy

Riktlinjer för IT-säkerhet i Halmstads kommun

Strategi Program Plan Policy» Riktlinjer Regler

SÄKERHETSINSTRUKTION PRIMULA systemet

IT-säkerhetspolicy R

Informationssäkerhet - Instruktion för förvaltning

IT-plan för Söderköpings kommun

Policy och strategi för informationssäkerhet

Informationssäkerhetspolicy

Säkerhetsinstruktioner för Informationssäkerhet i Piteå kommun

STADSDELSFÖRVALTNING. Kontinuitets- och Avbrottsplan gällande IT-stödd verksamhet

Informationssäkerhet, Linköpings kommun

VGR-RIKTLINJE FÖR KOMMUNIKATION OCH DRIFT

Basnivå för IT-säkerhet (BITS) kbm rekommenderar 2003:2

Säkerhetspolicy. Antagen av Kommunfullmäktige , 108

Sedan år 2000 har Anita Eckersand arbetat inom Varbergs kommun.

Myndigheten för samhällsskydd och beredskaps författningssamling

Systemförvaltnings Modell Ystads Kommun(v.0.8)

Fördelning av ansvar för informationssäkerhet. Version: 1. Beslutsinstans: Regiondirektören

Transkript:

n av 7 för Munkfors, Forshaga, Kils och Grums kommun april 2006 av IT-samverkansgruppen

n 2 av 7 IT SÄKERHETSINSTRUKTION: FÖRVALTNING Innehållsförteckning IT-säkerhetsinstruktion Förvaltnings roll i IT-säkerhetsarbetet...3 2 Organisation, ansvarsområden och roller...3 3 Särskilda regler och rutiner för vissa områden...4 3. Behörighetsadministration...4 3.2 Loggning och spårbarhet...4 3.3 Distansarbete, extern anslutning och mobil datoranvändning...4 3.4 Drift och förvaltning av IT-system...4 3.4. Införande av IT-system...5 3.4.2 Systemunderhåll...5 3.4.3 Drift...5 3.4.4 Avveckling av IT-system...5 3.5 IT-incidenthantering...5 3.6 Tillträdesskydd...5 3.7 Säkerhetskopiering och lagring...5 3.8 Externa anslutningar...6 3.9 Brandväggar...6 3.0 Användningen av e-post och Internet...6 4 IT-säkerhetsutbildning...6 5 Kontinuitetsplanering...6 6 Driftgodkännande...6 7 Revidering och uppföljning...7

n 3 av 7 IT-säkerhetsinstruktion Förvaltnings roll i IT-säkerhetsarbetet IT-säkerhet är en del i organisationens lednings- och kvalitetsprocess som ska bidra till att ett IT-system kan användas på avsett sätt och med avsedd funktionalitet. KBM: s rekommendationer om basnivå för IT-säkerhet (BITS) ska gälla som ramverk för ITsäkerhetsarbetet. Styrande dokument för IT-säkerhetsarbetet är: IT-säkerhetspolicy IT-säkerhetsinstruktion: Förvaltning IT-säkerhetsinstruktion: Drift IT-säkerhetsinstruktion: Användare Systemsäkerhetsplan IT-säkerhetspolicy fastställs av kommunfullmäktige. IT-säkerhetsinstruktion: Förvaltning fastställs av kommunstyrelsen. IT-säkerhetsinstruktionerna: Drift och Användare tas av kommunernas gemensamma IT-samordningsgrupp. Detta dokument, IT-säkerhetsinstruktion Förvaltning, utgår från IT-säkerhetspolicyn och syftar till att redovisa: den interna organisationen för IT-säkerhetsarbetet omfattningen av det ansvar för IT-säkerhetsarbetet som vilar på de roller som ingår i organisationen hur IT-säkerhetsarbetet ska bedrivas. särskilda regler och rutiner för vissa områden. 2 Organisation, ansvarsområden och roller Det övergripande ansvaret för kommunens IT-verksamhet vilar på kommunchefen som också utser IT-säkerhetssamordnare och systemägare. Systemägare för den tekniska infrastrukturen är IT-chefen. Systemägare för verksamhetssystemen är respektive förvaltningschef. Kommunen eftersträvar att ansvaret för IT-systemen skall följa linjeorganisationen för varje enskilt IT-system. Kommunens policy för hur systemförvaltningen ska bedrivas beskrivs i dokumentet ITsystemförvaltningspolicy. Den interna organisationen, ansvarsområden och roller som ingår i IT-säkerhetsarbetet beskrivs i bilaga Organisation, ansvarsområden och roller.

3 Särskilda regler och rutiner för vissa områden n 4 av 7 3. Behörighetsadministration För att säkerställa att organisationens medarbetare endast har tillgång till den information och de IT-system de behöver för sitt arbete och har rätt behörigheter ska verksamhetsansvarig chef beställa behörigheter för de egna medarbetarna på en särskild blankett. Denna tillhandahålls av och ska återsändas till IT-funktionen. Blanketten ska också användas för hantering av behörighet för användare som slutar eller byter arbetsuppgifter. Kopia ska sparas på den egna enheten. 3.2 Loggning och spårbarhet Samtliga IT-system ska innehålla säkerhetslogg som minst registrerar användaridentitet, uppgift om inloggning och utloggning samt datum och klockslag för detta. Systemägarnas övriga krav på säkerhets- och transaktionsloggar ska framgå av de upprättade systemsäkerhetsplanerna. Kraven i dessa planer ska vara koordinerade i systemsäkerhetsplanen för IT-infrastrukturen. 3.3 Distansarbete, extern anslutning och mobil datoranvändning Om kommunen tillåter distansarbete ska verksamhetsansvarig chef besluta om ett IT-systems information får hanteras på distans med stationär eller mobil utrustning. Distansarbete ska vara reglerat i avtal mellan kommunen och den anställde. För annan extern anslutning och mobil datoranvändning ska särskilda riktlinjer finnas. Avtalet och säkerhetsinstruktionen ska minst reglera: fysiskt skydd i eller utanför hemmet (stöldrisk) logiskt skydd (otillbörlig användning) om utrustningen endast får användas för kommunens arbete (virussmitta o.dyl.) hantering av utskrifter (obehörig tillgång) om lagring och säkerhetskopiering av information ska ske i egen dator eller hos kommunen (stöldrisk, obehörig tillgång och förstörelse m.m.) hur eventuella hjälpinsatser utifrån (remote) ska ske (obehörigt intrång) kontroll av skadlig programkod (virussmitta o.dyl.) om kryptering krävs vid överföring i vissa fall (obehörig tillgång och förändring) autenticering vid uppkoppling mot kommunens nätverk (obehörig tillgång och förändring). Kommunen ska tillhandahålla utrustningen. Endast kommunens utrustning får anslutas mot kommunens nätverk och får inte utan särskilt tillstånd anslutas mot andra nätverk eller direkt mot Internetoperatör. Användning av trådlös anslutning kräver särskilda säkerhetsåtgärder och särskilt tillstånd. Regler för åtkomst till e-post eller annan information på nätverket från Internet ska framgå av säkerhetsinstruktion: Användare. 3.4 Drift och förvaltning av IT-system Kommunens arbetssätt med drift- och förvaltningsfrågor framgår under punkt 2 ovan. Följande rutiner ska gälla inom de 4 områdena:

n 5 av 7 3.4. Införande av IT-system Se dokumenten IT-systemförvaltningspolicy och Instruktion systemförvaltning. 3.4.2 Systemunderhåll Se dokumenten IT-systemförvaltningspolicy och Instruktion systemförvaltning. 3.4.3 Drift Se dokumenten IT-systemförvaltningspolicy och Instruktion systemförvaltning. Organisationens regler för systemdrift framgår av IT-säkerhetsinstruktion Drift. 3.4.4 Avveckling av IT-system IT-system som inte längre behövs för verksamheten ska avvecklas snarast. Systemägaren ska efter samråd med IT-samordningsgruppen besluta om och när ett IT-system ska avvecklas. Avvecklingen skall, i tillämpliga delar, följa samma regler som vid systemunderhåll. Vid avveckling ska särskilt uppmärksammas: Rättsliga regler; Arkivlagen, PUL m fl (i samråd med ansvariga för dessa områden) Vad ska tas ut ur systemet före avveckling (på papper eller media) Innehåller systemet ärenden vilka behöver avslutas i diariet Behöver återläsning av innehåll kunna ske längre fram Behöver uppgifter flyttas över till annat IT-system Destruktion av media som innehållit information 3.5 IT-incidenthantering Att återkoppla erfarenheter från incidenter av olika slag är ett viktigt moment när det gäller att spåra brister och svagheter i IT-verksamheten. Följande gäller: vid misstanke om intrång eller andra incidenter ska användare agera enligt ITsäkerhetsinstruktion: Användare IT-säkerhetssamordnaren ska sammanställa och rapportera till ledningen intrång och försök till intrång brott mot lagstiftning och internt regelverk incidenter som orsakar eller skulle kunna orsaka betydande avbrott och störningar. (samråd med systemägaren bör ske kring vilka incidenter som ska följas upp) 3.6 Tillträdesskydd IT-chefen ska besluta om vilka som ska ha tillträde till kommunens datorrum. Besök i kommunens datorrum ska registreras och vid behov kunna följas upp. 3.7 Säkerhetskopiering och lagring Systemägarnas krav på säkerhetskopiering och lagring för de egna systemen ska framgå av systemsäkerhetsplanerna. Dessa krav ska vara koordinerade i systemsäkerhetsplan för ITinfrastrukturen.

n 6 av 7 3.8 Externa anslutningar Systemägaren ska ta ställning till hur autenticering ska ske vid externa anslutningar. 3.9 Brandväggar Systemägaren ska besluta om: Vad som ska loggas i brandväggen Vem som ansvarar för uppföljning av loggar Hur ofta uppföljning ska ske Hur länge loggarna ska sparas 3.0 E-post och Internet Loggning ska ske av Internettrafiken och inkommande och utgående e-post för att möjliggöra spårning av intrång och missbruk. Riktlinjer för användningen av Internet och e-post ska framgå av IT-säkerhetsinstruktion: Användare. 4 IT-säkerhetsutbildning Information och utbildning inom IT-säkerhetsområdet ska ges alla medarbetare och omfatta: IT-säkerhetens betydelse för verksamheten Innehållet i kommunens IT-säkerhetspolicy Tillämpliga delar av innehållet i IT-säkerhetsinstruktionerna: Förvaltning, Användare och Drift Nya medarbetare ska ges grundläggande säkerhetsutbildning före tilldelning av behörighet i nätverket. Verksamhetsansvarig chef ansvarar för detta. Systemägaren ansvarar för att: egna medarbetarna erhåller information och utbildning om det centrala innehållet i de systemsäkerhetsplaner de är berörda av medarbetare, före tilldelning av behörighet, har tillräckliga kunskaper om säkerhetsreglerna för de IT-system de behöver för de egna arbetsuppgifterna. Varje enskild medarbetare har ett ansvar att påtala det egna behovet av utbildning och hålla sig informerad om gällande IT-säkerhetsinstruktioner. 5 Kontinuitetsplanering Systemägarnas krav på drift-, avbrotts- och katastrofplanering ska vara samordnande i kommunens Systemsäkerhetsplan för Teknisk infrastruktur. Se även IT-säkerhetsinstruktion Drift. 6 Driftgodkännande Driftgodkännande avser den process som syftar till att fastställa om ett IT-system uppfyller ställda säkerhetskrav. I samband med att en systemsäkerhetsplan upprättas granskas om IT-system uppfyller

n 7 av 7 basnivå för IT-säkerhet (BITS) de tilläggskrav som ställs utifrån rättsliga, verksamhetsspecifika och hotrelaterade krav. Systemägaren beslutar om driftgodkännande. Beslutet ska baseras på en granskning och säkerhetsutvärdering som bygger på jämförelse mellan verksamheternas krav och vidtagna säkerhetsåtgärder. Driftgodkännandeprocessen relateras till aktuell systemsäkerhetsplan och ska omfatta; avgränsningar granskning av säkerhetsåtgärder i IT-systemet utvärdering av granskningen i förhållande till systemsäkerhetsplanens krav redovisning av beslutsunderlag samt beslut Beslutsunderlaget ska innehålla en sammanfattning av förslag till beslut som kan vara att; driftgodkänna IT-systemet driftgodkänna IT-systemet efter beslut om när kompletterande säkerhetsåtgärder ska vara genomförda inte driftgodkänna IT-systemet. 7 Revidering och uppföljning Uppföljning är en viktig del i IT-säkerhetsarbetet och ingår som en del i ITsäkerhetssamordnaren roll. Uppföljningen ska bevaka att beslutade åtgärder är genomförda årliga mål är uppfyllda att riktlinjer följs att systemsäkerhetsplaner och policydokument vid behov revideras

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss