ANVISNING Säkerhetsuppdateringar för IT infrastruktur

Relevanta dokument
Åtkomst till Vårdtjänst via RSVPN

Framtagande av mobil tjänst inom Region Skåne

Inkoppling av annan huvudman för användning av Region Skånes nätverk - RSnet

Loggkontroll - granskning av åtkomst till patientuppgifter

Programvarutillgångars hantering från anskaffning till avveckling

Koncernkontoret. Enheten för informationssäkerhet Loggkontroll - förutsättningar i ITstöden. Datum: Dnr:

Anvisning för gemensamma konton, G-konto

Dataintrång - åtgärder vid misstanke om olovlig åtkomst

Posthantering och annan överföring av sekretessbelagd och integritetskänslig information

Riktlinjer för IT-säkerhet i Halmstads kommun

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Koncernkontoret Enheten för säkerhet och intern miljöledning

POLICY INFORMATIONSSÄKERHET

VGR-RIKTLINJE FÖR FYSISK SÄKERHET

Arbetsplatstjänsten / SUA

INSTRUKTION. Koncernkontoret. Enheten för informationssäkerhet. Datum: Dnr: Dokumentets status: Beslutad

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Informationssäkerhetspolicy

Befolkningsregistret inom Region Skåne, tillgång och användning

ANVISNING. Koncernkontoret. Enheten för informationssäkerhet. Datum: Dnr: Dokumentets status: Beslutad

Anslutning av användarutrustning i Region Skånes datanät

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ Agenda

Bastjänsterna ovan avser driftfasen. Införandet genomförs som ett projekt som drivs av Cygate i samarbete med kunden.

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Informationssäkerhetspolicy för Ånge kommun

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Informationssäkerhetspolicy för Ystads kommun F 17:01

Kommunal författningssamling för Smedjebackens kommun. Informationssäkerhetspolicy. 97 Dnr 2016/00447

Framgångsfaktorer i molnet!

Informationssäkerhetspolicy

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Hantering av behörigheter och roller

Riktlinje för distansmöten

I det här dokumentet beskriver IT-mästarens tjänsten Applikationsdrift, dess ingående komponenter och dess tillägg.

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Policy för informations- säkerhet och personuppgiftshantering

GRUND - SLA. Beslutsdatum Detta dokument syftar till att beskriva grund SLA vid Göteborgs universitet STYRDOKUMENT

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

IT-säkerhet Externt och internt intrångstest

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13

Informationssäkerhetspolicy inom Stockholms läns landsting

Inbjudan till dialog avseende drift och kundstöd

BILAGA 5 - Fö reskrifter fö r Sambiömbud Versiön: 1.0.1

EDA KOMMUN. nformationssäkerhet - Informationssäkerhetspolicy

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Informationssäkerhet - Informationssäkerhetspolicy

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

FÖRHINDRA DATORINTRÅNG!

Checklista för Driftsättning - Länsteknik

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

TJÄNSTEBESKRIVNING APPLIKATIONSDRIFT

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni Erik Norman 1(6)

Anvisningar för användare vid användning av e- Tjänster. Anvisningar och rekommendationer för användare av e-tjänster i samverkan SAML & SSO

Kamedo. IT-haverier i vården. Johan Carlstedt Socialstyrelsen

Modellavtal 2. Personuppgiftsbiträdesavtal enligt Personuppgiftslagen (1998:204)

Avtal om nyttjande av Svenska kyrkans gemensamma IT-plattform

1. Bakgrund. 2. Parter. 3. Definitioner

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

VGR-RIKTLINJE FÖR KOMMUNIKATION OCH DRIFT

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Riktlinjer för informationssäkerhet

Vill du läsa mer om personuppgiftshantering och de lagar och regler som gäller, gå in på Datainspektionens hemsida.

EKLIENT STANDARD HANTERING AV KLIENTER MED OPERATIVSYSTEM SOM GÅTT EOL 1.0

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

Informationssäkerhetspolicy IT (0:0:0)

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

Revisionsrapport Borgholms kommun Caroline Liljebjörn 1 juni 2016

Journalförstöring och rättelse av journal

Kontroll över IT för efterlevnad och framgång. Johanna Wallmo Peter Tornberg

Kravspecifikation IT-drift, helhetsansvar

Policy och riktlinjer för användning av informationsteknik inom Göteborgs Stad

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet

Informationssäkerhetspolicy. Linköpings kommun

Transportstyrelsens föreskrifter om hantering av krypteringsnycklar och certifikat för tillverkning av digitala färdskrivare;

EBITS Arbetsgruppen för Energibranschens Reviderad Informationssäkerhet

1(6) Informationssäkerhetspolicy. Styrdokument

Bilaga 3 Säkerhet Dnr: /

IT-Policy för Tanums kommun. ver 1.0. Antagen av Kommunfullmäktige

Software Asset Management (SAM) Licenshantering i Göteborgs Stad

Datum Diarienummer Ärendetyp. ange ange ange. Dokumentnummer. ange 1(15) <SYSTEM> <VERSION> IT-SÄKERHETSSPECIFIKATION VIDMAKTHÅLLA (ITSS-V)

Bilaga till rektorsbeslut RÖ28, (5)

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Revidering av riktlinjer för Informationssäkerhet vid Högskolan i Skövde

Personuppgiftsbiträdesavtal samt fullmakt för Inera AB att teckna personuppgiftsbiträdesavtal enligt Personuppgiftslagen (1998:204)

BILAGA 1 Definitioner Version: 2.01

Introduktion för förskollärare- och barnskötare elever

Informationssäkerhet och earkiv Rimforsa 14 april 2016

BILAGA 6 DEFINITIONER. Dokument och Ärendehanteringssystem Dnr: SUN 59/2013 Bilaga 6 Definitioner

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Icke funktionella krav

Policy för användande av IT

Informationssäkerhetspolicy S/~LA KOMMUN KOMMUNFULLMÄKTIGE. Bi l aga KS 2015 / 135/1 INFORMATIONSSÄKERHETSPOLICY FÖR SALA KOMMUN

Informationssäkerhet och medicintekniska produkter eller Information security with respect to safety considerations

BILAGA 1 Definitioner

Ledningssystem för IT-tjänster

Bilaga 1. Definitioner

SLA-nivåer. Landstings-IT Datum Version Erland Wernersson Servicenivåer SLA

Transkript:

Koncernkontoret IT-avdelningen Datum: 2011-06-29 Dnr: Dokumentförvaltare: Axel Tonning Koncernkontoret, IT-avdelningen Dokumentets status: Fastställd Dokumentid: Säkerhetsuppdageringar för IT-infrastruktur Dokumentformat: doc Version: 1.0 Dokumenttyp: ANVISNING Dokumentklass: Styrande dokument Ämne: Ledningssystem för informationssäkerhet ANVISNING Säkerhetsuppdateringar för IT infrastruktur Org. nr: 23 21 00-0255 Sidan 1 av 7

Revisionshistorik Datum Ver. Namn Kommentar 2011-03-04 0.6 Michael Öhman Grund 2011-03-23 0.7 Axel Tonning Redigering 2011-03-23 0.8 Rolf Bengtsson Ny dokumentmall, redigerat 2011-06-29 1.0 Johan Åbrandt Fastställd av tf Chef IT Avdelningen Org. nr: 23 21 00-0255 Sidan 2 av 7

Beslutad Datum: Datum: Underskrift dokumentförvaltare Underskrift Chef IT-avd Namnförtydligande Namnförtydligande Org. nr: 23 21 00-0255 Sidan 3 av 7

Innehållsförteckning 1. SYFTE... 5 2. GILTIGHET... 5 3. ALLMÄNT... 5 4. DEFINITIONER... 5 4.1. STANDARDER... 5 4.2. SÄKERHETSNIVÅ FÖR EN PATCH... 6 5. PATCH-HANTERING... 6 5.1. RUTINER... 6 5.2. SERVICEFÖNSTER... 6 5.3. TIDSRAM... 6 5.4. NIVÅFÖRÄNDRING... 7 5.5. UNDANTAG... 7 5.6. TEST OCH ÖVERVAKNING... 7 Org. nr: 23 21 00-0255 Sidan 4 av 7

1. Syfte Syftet är att skydda Region Skånes verksamheters-och samverkande parters informationstillgångar mot felaktig hantering, otillbörlig åtkomst, utnyttjande, förändring och förvanskning. Detta dokument utgör en instruktion för hur patchning av hård- och mjukvara ska hanteras för de IT-system och den IT-infrastruktur som finns förtecknad och som IT- Avdelningen driftar och ansvarar för. 2. Giltighet Denna instruktion är utformad efter de riktlinjer som gäller för Region Skånes alla förvaltningar och ägda bolag där IT-Avdelningen har i uppdrag att ansvara för IT-infrastruktur 3. Allmänt IT-infrastrukturen inom Region Skåne ska skyddas och risker för otillbörlig förändring, nyttjande och åtkomst ska utredas och minimeras. Information som skapas, bearbetas och lagras ska skyddas mot tillgång för obehöriga. Detta gäller såväl intern som extern personal. IT-Avdelningens övergripande målsättning är att personal endast har tillgång till den information som behövs för att Utföra sina arbetsuppgifter. Behörigheter till system ska vara styrt av det behov som föreligger med hänsyn till Arbetsuppgiften. Detta gäller åtkomst till Region Skånes samtliga IT-system och även i tillämpliga delar för processnära system och funktioner 4. Definitioner IT-Avdelningen levererar service inom infrastruktur, logistik, utveckling och närservice. Ordet patch (eng. vedertaget ord inom IT branschen i Sverige) avser en uppdatering av ett program (dataprogram, applikation, system osv.) för att rätta till ett fel, problem eller för att ta bort en icke önskvärd funktion. 4.1. Standarder SS-ISO/ICE 27000-serien och gäller som svensk standard, Ledningssystem för Informationssäkerhet. SS-ISO/ICE 20000-serien och gäller som svensk standard, Ledningssystem för Tjänster. ISO/IEC 27799 Hälso- och sjukvårdsinformatik Ledningssystem för informationssäkerhet i hälso- och sjukvården. ITIL (IT Infrastructure Library) är en sammanställning (ett ramverk) av "Best Practices" (goda erfarenheter) som gjorts under många år med medverkan av företag från hela Världen. SLA (Service Level Agrement) används enligt ITIL-förkortning. Org. nr: 23 21 00-0255 Sidan 5 av 7

4.2. Säkerhetsnivå för en patch Grad Kritisk (Critical) Viktig (Important) Måttlig (Moderate) Låg (Low) Definition Ett säkerhetsproblem vars utnyttjande möjliggör en förökning av t.ex en mask eller drastisk förändring av miljön utan att slutanvändaren måste eller behöver agera. Ett säkerhetsproblem vars utnyttjande skulle kunna leda till kompromettering av och förändring av sekretess, integritet och tillgänglighet. Ett säkerhetsproblem där den driftstekniska infrastrukturen kan klara attacken, om det finns faktorer som standardkonfigurationen, övervakning och revision av infrastruktur. Ett säkerhetsproblem vars utnyttjande är mycket svår att utföra och/eller vars effekter är minimala. 5. Patch-hantering 5.1. Rutiner Standarder enligt SS-ISO/ICE 20000, SS-ISO/ICE 27000 och ISO/IEC 27799 och rutiner enligt ITIL ska följas för processen patch manager som analyserar och prioriterar inom IT- Avdelningen. 5.2. Servicefönster Servicefönster bör finnas varje månad, skall-nivå är varje kvartal för samtliga av de resurser som IT-Avdelningen driftar och ansvarar för. Synkronisering av regiongemensamma servicefönster görs. 5.3. Tidsram Säkerhetsuppdateringar som leverantörerna annonserar och som påverkar resurser och funktioner inom Region Skåne ska göras enligt följande: Kritiska säkerhetspatchar ska installeras inom 48 timmar från det att de annonserats av leverantören. Org. nr: 23 21 00-0255 Sidan 6 av 7

Viktiga säkerhetspatchar ska senast införas vid nästa servicefönster förutsatt att servicefönster finns utsatta månadsvis, annars senast inom 31 dagar. Nivån Måttlig till Låg bör göras vid nästa servicefönster, dock ska patchen installeras senast efter 90 dagar. 5.4. Nivåförändring IT-Avdelningen har rätt att höja, men inte sänka en gradering. Höjer IT-Avdelningen från Viktigt till Kritisk ska tiden räknas från det att patchen släpptes från leverantören med ett tillägg av åtta timmar. 5.5. Undantag Avsteg från att installera en säkerhetspatch kan tas enligt normala rutiner och processer (nedskrivna i gällande SLA) och att systemet eller resursen är isolerad från den ordinarie ITmiljön på så sätt att både resursen är skyddad och inte heller kan påverka eller skada övriga ITmiljö. System som inte kan startas om, s.k. reboot (enligt gällande SLA med verksamheten) inom 48 timmar från det att en leverantör släpper sin säkerhetspatch av graden Kritisk ska skyddas eller isoleras på annat sätt, t.ex. via nätverksbaserad IPS. 5.6. Test och övervakning Tester och verifiering ska genomföras innan patchar installeras och det ska vara möjligt att hantera en återgång till nivån som gällde innan. (se gällande processer och rutiner). Kontinuerlig bevakning av säkerhetspatchar ska finnas av alla system, program, applikationer, etc. på såväl mjuk- som hårdvara som är ansluten till den infrastruktur som IT- Avdelningen är ansvariga för inom Region Skåne, Org. nr: 23 21 00-0255 Sidan 7 av 7

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss