Risk- och sårbarhetsanalys Sid 1 (27)

Relevanta dokument
Office 365. Risk- och sårbarhetsanalys. Omsorgsförvaltningen Nybro kommun. Risk- och sårbarhetsanalys Sid 1 (27)

PuL-bedömning och riskanalys av Google apps for Education (GAFE) för användning inom Falu Kommuns skolverksamhet.

Införande av Google Apps for Education

PuL-bedömning och riskanalys av Google Apps for Education (GAFE), Simrishamns kommun

PuL-bedömning och riskanalys av molntjänst i skolan

Personuppgiftsbiträde

Vägledning om molntjänster i skolan

Riktlinjer för informationssäkerhet

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

PuL-bedömning av molntjänst i skolan

PuL- bedömning och riskanalys av molntjänst. För Grundskolan Tranemo kommun

Bilaga 3 Personuppgiftsbiträdesavtal

Använd molntjänster på rätt sätt

Risk- och Sårbarhetsanalys

Användande av Google Apps For Education

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Personuppgiftsbiträdesavtal

BILAGA Personuppgiftsbiträdesavtal

Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL)

POLICY FÖR BEHANDLING AV PERSONUPPGIFTER ADVANIA SVERIGE AB

Riktlinjer för informationssäkerhet

Molntjänster och integritet vad gäller enligt PuL?

Behandling av personuppgifter vid Göteborgs universitet

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Pul i praktiken LINKÖPINGS KYRKLIGA SAMFÄLLIGHET

Upprättad Antagen Ks , 97 Senast reviderad. Dataskyddspolicy Hur vi inom Kiruna kommunkoncern ska behandla personuppgifter

Lagring i molnet. Dokumenthantering i högskolans Office365 ur ett offentlighetsperspektiv

Kommunstyrelsen. Godkänt av kommunstyrelsen , 77 Kompletterad av kommunstyrelsen , 162

Sammanfattning av riktlinjer

Dataskyddspolicy CENTRO KAKEL OCH KLINKER AB

Personuppgiftspolicy

Bilaga Personuppgiftsbiträdesavtal

INTEGRITETSPOLICY Information om behandling av personuppgifter för dig som är medlem i brf Gandalf

Dataskyddsförordningen för prefekter och administrativa chefer

MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE Bil 7

VÄGLEDNING INFORMATIONSKLASSNING

Bilaga - Personuppgiftsbiträdesavtal

Lathund Personuppgiftslagen (PuL)

Molntjänster - vilka är riskerna och vad säger PUL? ADVOKAT HANS NICANDER

Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK)

PERSONUPPGIFTSLAGEN (PUL)

Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE

Personuppgiftsinformation för Svedala kommun

GDPR och molnet. Konferens SUNET Inkubator den 16 maj 2017

Novare Peritos - Integritetspolicy. Datum för ikraftträdande: Senast uppdaterad:

Södertörns brandförsvarsförbund

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Universitetet och Datainspektionen i Molnet

Novare Professionals - Integritetspolicy. Datum för ikraftträdande: Senast uppdaterad:

Teckna personbiträdesavtal för användande av Googles molntjänst Apps for Education (GAFE)

IT-Policy Vuxenutbildningen

PERSONUPPGIFTSBITRÄDESAVTAL

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

Papperskopia av dokumentet endast giltigt med röd stämpel: Registrerad kopia.

Allmänna AVTAL villkor Kundnamn Orgnummer

Hantera nya ENKLA GRUNDER I DATASKYDD. dataskyddsförordningen MAJ. Den nya dataskyddsförordningen träder i kraft.

Södertörns brandförsvarsförbund

Instruktion till mall för registerförteckning

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Duo Search AB - Integritetspolicy

Etikprövningslagen. Reglering efter 2:a världskriget. Lagar som reglerar forskning i Sverige. Nürnbergskoden 1947

Novare Public - Integritetspolicy. Datum för ikraftträdande: Senast uppdaterad:

INTEGRITETSPOLICY FÖR BOSTADSRÄTTSFÖRENINGEN BOKLOK Eriksbergsbergsterrassen

Regelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga D. Personuppgiftsbiträdesavtal. Version: 2.

Personuppgiftsbiträdesavtal Enligt artikel 28.3, Allmänna dataskyddsförordningen EU 2016/679 (i avtalet benämnt dataskyddsförordningen)

Instruktioner Underbilaga A. Till Biträdesavtalet

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Kerstin Wardman, 25 april 2018

Roller för information behöver också fastställas, använd gärna nedanstående roller som kommer från SKL och deras verktyg

Allmänna villkor Version: Allmänna Villkor

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER INOM SKL KOMMENTUS AB OCH DESS BOLAG (KOMMENTUS)

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Etikprövningslagen. Reglering efter 2:a världskriget. Lagar som reglerar forskning i Sverige.

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

GDPR dataskydd. vid Alandica Kultur & Kongress. (för personal, kunder och samarbetspartners)

Bilaga 1: Personuppgiftsbiträdesavtal 1/10

Laglighetsprövning samt risk- och sårbarhetsanalys av BAB för Webben

PERSONUPPGIFTER SOM BEHANDLAS

För att du som användare skall kunna leva upp till de säkerhetskrav som ställs på dig måste du känna till. Lärare och Elever har olika krav: Lärare

PERSONUPPGIFTSBITRÄDESAVTAL

Novare Propell - Integritetspolicy. Datum för ikraftträdande: Senast uppdaterad:

Personuppgiftsbiträdesavtal Zynatic Medlemsregister

Instruktion enligt personuppgiftslagen (1998:204) för Eskilstuna kommunkoncern

Riktlinjer för behandling av personuppgifter i Årjängs kommun

DATASKYDDSPOLICY. Godkännande av denna policy När du använder våra produkter och tjänster, accepterar du denna Dataskyddspolicy och vår Cookiepolicy.

INTEGRITET OCH BEHANDLING AV PERSONUPPGIFTER

Den nya dataskyddsförordningen

PERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter. Kontaktuppgifter står sist i denna text.

INTEGRITETSPOLICY för Webcap i Sverige AB

Novare Executive Search - Integritetspolicy. Datum för ikraftträdande: Senast uppdaterad:

Anmälan av personuppgiftsincident

Kommunen och Personuppgiftsbiträdet benämns nedan var för sig Part eller gemensamt Parterna.

Personuppgiftspolicy. Fastställd efter FS-beslut 19 april 2018

Punkt 21 Riktlinje för fritextfält

Personuppgiftsbiträdesavtal

Integritetspolicy för Judiska församlingen (JF) i Stockholm

Kom igång med Windows Phone

Integritet, personuppgifter

Transkript:

Sid (27) Risk- och sårbarhetsanalys Office 65 Nybro

Sid 2 (27) Underlag.... Beskrivning av användningen..... Syfte med användning av Onlinetjänsten d v s molntjänsten.....2 Avgränsningar rörande datatyper som behandlas i Office 65....2 Behandling av personuppgifter... 4.2. Syfte med behandling... 4.2.2 Klassificering av uppgifter... 4.2. Tillåten behandling... 4.2.4 Information till användare... 5.2.5 Personsuppgiftsbiträde och behandling av data... 5.2.6 Överföring av personuppgifter till tredje land... 6.2.7 Avtal som reglerar mellan Nybro kommun och Microsoft... 6.2.8 Ändamål med behandlingen... 6.2.9 Underleverantörer och säkerhet för Onlinetjänsterna... 7.2.0 Uppsägning av tjänsten... 8 2 Risker användning av Onlinetjänsten... Fel! Bokmärket är inte definierat. Nya rutiner, information och utbildning... Fel! Bokmärket är inte definierat. 4 Sammanfattning av och sårbarhetsanalys... Fel! Bokmärket är inte definierat. Risk- och sårbarhetsanalys Office 65 Nybro

Sid (27) I detta stycke görs en genomgång av vilken leverantör som valts, vilka tjänster som kommer att användas och vilken typ av information som kommer behandlas i Onlinetjänsten. Nybro kommun har valt att använda tjänsten Office 65 från Microsoft som Onlinetjänst. Office 65 kommer att användas av alla nämnder/förvaltningar inom Nybro kommun för att stödja administrativa arbetsuppgifter. Tjänsterna kommer att erbjudas till all personal i Nybro kommun, i fortsättningen benämnda som användare. De ändamål som förväntas uppnås när användarna får tillgång till tjänsten kan sammanfattas enligt följande: E-posthantering Lagring av offentliga data som respektive förvaltning anser som lämplig för lagring i Office 65 Möjliggör kommunikation mellan användarna Användarna kommer ges möjlighet att använda följande tjänster i Office 65: Exchange Online för kommunikation via e-post OneDrive for Business för organisering och lagring av dokument, bilder, filmer och annat administrativt material Skype for Business för snabbmeddelanden och eosamtal Office Web Apps för tillgång till Word, PowerPoint, Excel och OneNote Kommunen har valt att inte behandla data kopplat till personaladministration, indiuella utvecklingsplaner, sekretessbelagd data eller data som betraktas som kritisk i verksamhetsprocesser i Office 65. Dessa data kommer antingen att behandlas i kommunens befintliga verksamhetssystem eller lagras i kommunens egna lagringsenheter d v s sådan data lagras inte i Office 65. Risk- och sårbarhetsanalys Office 65 Nybro

Sid 4 (27) Behandling av personuppgifter utförs när det är nödvändigt och stödjer det administrativa arbetet i Nybro kommun. Varje nämnd/förvaltning har sina rutiner och bestämmelser om hur behandling av personuppgifter får utföras inom respektive nämnd. Information som enligt Personuppgiftslagen klassificeras som känsliga personuppgifter kommer inte behandlas i Office 65. Exempel på sådan data är information om ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, eller information rörande hälsa eller sexualliv. Information som enligt Personuppgiftslagen 2 klassificeras som känslig och integritetskränkande kommer inte heller behandlas i Office 65. Exempel på detta är information om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Nämnderna kommer inte att behandla data som enligt Personuppgiftslagen och 2 klassificeras som känsliga eller integritetskränkande personuppgifter i Office 65. Indirekta personuppgifter såsom namn behandlas i Office 65 för att möjliggöra tillgång till arbetsverktygen och behörighetsstyrning. Andra personuppgifter, såsom faktainformation, kan förekomma i fritext. För att förhindra att känsliga personuppgifter behandlas i Onlinetjänsten har varje verksamhet inom respektive nämnd gjort en - och sårbarhetsanalys för Office 65. Dessa ligger till grund för en sammanfattande -och sårbarhetsanalys på nämndnivå. I samband med införandet av Office 65 kommer det tas fram skriftliga instruktioner till användarna. Av instruktionerna framgår bland annat att känsliga personuppgifter inte får skrivas eller sparas i Onlinetjänsten. Personuppgifter med innehåll av okänslig karaktär enligt 0 punkt d Personuppgiftslagen, får behandlas utan indiens samtycke. Risk- och sårbarhetsanalys Office 65 Nybro

Sid 5 (27) Information om övergång till Office 65 kommer att lämnas till användarna i samband med att de får tillgång till tjänsten. Information kommer även att finnas på intranät, webbplats och andra kanaler. Utbildning införandet kommer att ske till användare. Vid användning av Office 65 kommer leverantören Microsoft att fungera som personuppgiftsbiträde åt kommunen. Mellan parterna kommer ett personuppgiftsbiträdesavtal upprättas, som en del av standardavtalet för tjänsten. Genom avtalet kommer Microsoft att ges mandat att anlita underleverantörer för att genomföra personuppgiftsbehandlingen. Underleverantörer ska endast utföra begränsade servicearbeten t ex att erbjuda kundsupport. Underleverantörer ska inte använda kunddata för några andra ändamål än enligt avtalet. Information om vilka underleverantörer som anlitas och var de är verksamma återfinns via nedanstående länk. Enligt avtalet kommer kunddata endast att användas för att tillhandahålla kunden Onlinetjänsterna, inklusive ändamål som är förenliga med att tillhandahålla dessa tjänster. Microsoft kommer inte att använda kunddata eller härleda information från dem i reklamsyfte eller något annat liknande kommersiell syfte. Kunden behåller alla rättigheter, äganderätter och intressen i och till kunddata. Nämnden gör bedömningen att Microsofts rutiner kring radering av behandlad data efter det att de inte längre krävs för de definierade ändamålen uppfyller de krav som ställs i personuppgiftslagen. Till grund för bedömningen ligger följande avtalsvillkor: Volume Licensing, Online Services Terms August, 206, Microsoft Privacy: Inte mer än 80 dagar efter upphörande eller uppsägning av Kundens användning av en Onlinetjänst kommer Microsoft att inaktivera kontot och radera Kunddata från kontot. Risk- och sårbarhetsanalys Office 65 Nybro

Sid 6 (27) För att erbjuda en så hög driftsäkerhet som möjligt finns den behandlade informationen i flera datacenter enligt Volume Licensing Online Services Terms August, 206, Microsoft. När personuppgifterna ska överföras utanför EU/ESS länder (i PuL är denna överföring benämnd som överföring av personuppgifter till tredje land ) kan det variera vilken lagstiftning som finns till skydd för den enskildes personliga integritet. För att Onlinetjänstleverantörer ska garantera att samma skydd kan ges som om uppgifterna behandlas inom EU/EES brukar Onlinetjänsteavtal kompletteras med särskilda tillägg. Enligt Volume Licensing Online Services Terms August, 206, Microsoft, Privacy and Security Terms, Microsoft kommer att följa kraven enligt medlemsländerna EES och Schweiz datalagringsdirektiv om överföring, användning och behandling av personuppgifter. Nedan görs en genomgång av de avtal som tagits fram kopplande till införande och användning av Office 65: Online Service Terms August, 206, Microsoft Attachment The Standard Contractual Clauses, Online Service Terms August, 206, Microsoft Enligt PuL får leverantör och underleverantörer inte behandla personuppgifter för eget ändamål. Följande avtalspunkter från avsnitt.b.(i) i personuppgiftsbiträdesavtalet och.b.(ii) i biträdesavtalet säkerställer detta. Mellan parterna kommer ett personuppgiftsbiträdesavtal upprättas, som en del av standardavtalet för tjänsten. Enligt avtalet med Microsoft, kommer kunddata att endast användas för att tillhandahålla Onlinetjänsterna, inklusive ändamål som är förenliga med att tillhandahålla dessa tjänster. http://www.microsoftvolumelicensing.com/documentsearch.aspx?mode=&documentty peid= Risk- och sårbarhetsanalys Office 65 Nybro

Sid 7 (27) Microsoft kommer inte att använda kunddata eller härleda information från dem i reklamsyfte eller något annat liknande kommersiell syfte. Nybro kommun behåller alla rättigheter, äganderätter och intressen i och till kunddata. Genom avtalet kommer Microsoft att ges mandat att anlita underleverantörer för att genomföra personuppgiftsbehandlingen. Underleverantörer ska endast utföra begränsade servicearbeten t ex att erbjuda kundsupport. Underleverantörer ska inte använda kunddata för några andra ändamål enligt avtalet. Information om vilka underleverantörer som anlitas och var de är verksamma finns på nedanstående sida hos Microsoft 2. Nedan finns valda delar av säkerhetsanvisningar som gäller för Onlinetjänsterna: Organisation för skydd av säkerhet: I dokumentet finns information om att Office 65 Services är ISO 2700 certifierade. Microsoft har utsett en eller flera säkerhetsansvariga som ansvarar för att samordna och övervaka reglerna och rutinerna kring säkerhet. Personal och säkerhet: Microsoft informerar personalen om möjliga konsekvenser om man bryter mot säkerhetsreglerna och säkerhetsrutinerna. Händelseloggning: Microsoft loggar eller gör det möjligt för kunden att logga, åtkomst till och användning av informationssystem som innehåller data. Fullständig information om leverantören Microsofts säkerhetsåtgärder och organisation finns dokumenterad i dokumentet, Volume Licensing, Online Services Terms August, 206, Microsoft. 2 https://www.microsoft.com/en-us/trustcenter/privacy/you-own-your-data http://www.microsoftvolumelicensing.com/documentsearch.aspx?mode=&documentty peid= Risk- och sårbarhetsanalys Office 65 Nybro

Sid 8 (27) I det fall kommunen väljer att avsluta tjänsten finns det flera sätta att flytta den behandlade informationen från Office 65 till Nybro kommuns egna ITsystem. Microsoft erbjuder möjlighet till hybridkopplingar där Nybro kommuns egna infrastruktur (on-premise system) kombineras med de tjänster som ingår i Office 65. Hybridkopplingen möjliggör att användare och information flyttas mellan Office 65 och Nybro kommuns egna infrastruktur. OneDrive for Business och Exchange Online ger även användaren möjlighet att själv spara ner informationen på Nybro kommuns egna servrar för tillgång avbrott i tjänster eller när en internetanslutning inte finns tillgänglig (Offline access). Denna funktion kan användas om Nybro kommun väljer att helt avsluta tjänsten för att möjliggöra att användarna på egen hand sparar den information de anser vara relevant för fortsatt arbete. 2 Risker användning av Onlinetjänsten, Office 65 Identifierad Medarbetares arbetsmaterial går förlorad pga. systemfel hos leverantör Förseningar, omarbete mm. leder till ett tappat förtroende för tjänsten. Allvarlig 4 X Risk- och sårbarhetsanalys Office 65 Nybro

Sid 9 (27) sällan Leverantören har histo sett haft få incidenter som lett till dataförlust och därför anser gruppen att en att den sker är låg. Prioritet: (Hög, låg eller medel) Medel Betydelsefull data kan lagras både i molnet och lokalt på användarens dator vilket minskar en för dataförlust. Ingen sekretessinformation eller personuppgifter får sparas i molnet. Detta gäller även e-post. Det är viktigt att man gör ett aktivt val när man sparar under H. Poäng (konsekvens * sannolikhet) Identifierad Obehörig får del av personuppgifter och arbetsmaterial på grund av förlust av inloggningsuppgifter. Obehöriga får tillgång till material Allvarlig 4 X sällan Risk- och sårbarhetsanalys Office 65 Nybro

Sid 0 (27) Vi har särskilda verksamhetssystem för personuppgifter t ex procapita. Alla sekretessuppgifter skrivs inte i procapita t ex protokoll till nämnd och utskott. De lagras på H-katalog. Prioritet: (Hög, låg eller medel) Medel T ex kortare skärmsläckaretid. Rutiner för hur användarna ska informeras om vikten att hålla inloggningsuppgifter hemlig och vikten av att byta lösenord om man misstänker att obehörig fått tillgång till det tas fram. Att man inte lämnar ut sina inloggningsuppgifter via e-posten. Låser sin dator. Information och utbildningar till anställda. Nano-Learning. Poäng (konsekvens * sannolikhet) 6 Identifierad Leverantören visar sig inte kunna etablera eller upprätthålla tillräcklig informationssäkerhet. Obehöriga får tillgång till material. Allvarlig 4 sällan Risk- och sårbarhetsanalys Office 65 Nybro

Sid (27) Eftersom det kan inkomma sekretessuppgifter/anmälningar med personuppgifter via e-post. Leverantören är ISO 2700 certifierad. Prioritet: (Hög, låg eller medel) Låg En plan för hur data ska flyttas från molntjänsten till annat system tas fram för att kunna migreras. Poäng (konsekvens * sannolikhet) Risk- och sårbarhetsanalys Office 65 Nybro

Identifierad Risk- och sårbarhetsanalys Sid 2 (27) Personal hos leverantör läser medarbetares e-post (obehörig access). Obehöriga får tillgång till material. Allvarlig 4 X sällan Det finns ett avtal med leverantören hur man ska hantera PUL-uppgifter. Prioritet: (Hög, låg eller medel) Låg Poäng (konsekvens * sannolikhet) Risk- och sårbarhetsanalys Office 65 Nybro

Identifierad Risk- och sårbarhetsanalys Sid (27) Leverantören går i konkurs, köps upp av intressent som inte respekterar personuppgiftslagen. Kommunen måste hitta en ny leverantör av likvärdiga tjänster, implementera denna och migrera data. Detta innebär även en kostnad och en arbetsinsats från kommunen. Allvarlig 4 X sällan Prioritet: (Hög, låg eller medel) Låg En plan för hur data ska flyttas från molntjänsten till annat system tas fram av IT-enheten för att kunna migreras. Poäng (konsekvens * sannolikhet) 2 Risk- och sårbarhetsanalys Office 65 Nybro

Identifierad Risk- och sårbarhetsanalys Sid 4 (27) Leverantören förmår inte upprätthålla tillgängligheten av tjänsten. Medarbetare kan inte arbeta i systemet. Allvarlig 4 X sällan Prioritet: (Hög, låg eller medel) Låg Vid längre avbrott startas en krisorganisation för hur information ska ske. En plan för hur data ska flyttas från molntjänsten till annat system tas fram för att kunna migreras. Poäng (konsekvens * sannolikhet) Risk- och sårbarhetsanalys Office 65 Nybro

Identifierad Risk- och sårbarhetsanalys Sid 5 (27) Virus eller annan fientlig kod kan via tjänsten hota kommunens övriga IT-miljö. Information sprids till obehöriga, medarbetare kan inte arbeta och en insats behöver utföras för att rensa kommunens miljö från den skadliga koden. Allvarlig 4 X X sällan Prioritet: (Hög, låg eller medel) Medel Rutiner för uppdatering av antivirusprogram och uppdatering av system verifieras. Utbildning och information till användarna. Tänk på att inte öppna bifogade filer som du inte vet var de kommer ifrån. Nano-Learning. Poäng (konsekvens * ) 4 Risk- och sårbarhetsanalys Office 65 Nybro

Identifierad Risk- och sårbarhetsanalys Sid 6 (27) Information och personuppgifter raderas inte efter att medarbetare har slutat i verksamheten. Kommunen uppföljer inte PuL. Allvarlig 4 X sällan Det brister om man inte får information om att en anställd har slutat. Prioritet: (Hög, låg eller medel) Medel Rutiner måste upprättas så att detta fungerar. Poäng (konsekvens * ) Risk- och sårbarhetsanalys Office 65 Nybro

Identifierad Risk- och sårbarhetsanalys Sid 7 (27) Leverantören behandlar personuppgifterna för egna ändamål. Kommunen uppfyller inte PuL. Allvarlig 4 X sällan Prioritet: (Hög, låg eller medel) Medel Ska framgå tydligt i avtal att det inte är tillåtet. Poäng (konsekvens * ) Risk- och sårbarhetsanalys Office 65 Nybro

Identifierad Risk- och sårbarhetsanalys Sid 8 (27) Leverantören förändrar innehållet i tjänsten (funktioner adderas eller förändras). Kommunen behöver utbilda/informera användarna om den nya eller förändrade tjänsten. Allvarlig 4 X sällan Innebär utökade kostnader. Prioritet: (Hög, låg eller medel) Låg Microsoft kommunicerar information om förändringar i god tid, en rutin där en person får i uppgift att läsa den information om Microsoft släpper för att säkerställa att det inte påverkar kommunens användning av molntjänsten. Poäng (konsekvens * ) Risk- och sårbarhetsanalys Office 65 Nybro

Identifierad Risk- och sårbarhetsanalys Sid 9 (27) Leverantören förändrar innehållet i tjänsten (funktioner tas bort som är vitala) Kommunen måste i värsta fall hitta en ny leverantör av likvärdiga tjänster, implementera denna och migrera data. Detta innebär även en kostnad och en arbetsinsats från kommunen. Allvarlig 4 X sällan Prioritet: (Hög, låg eller medel) Låg Microsoft kommunicerar information om förändringar i god tid, en rutin där en person får i uppgift att läsa den information om Microsoft släpper för att säkerställa att det inte påverkar kommunens användning av molntjänsten. Poäng (konsekvens * sannolikhet) 2 Risk- och sårbarhetsanalys Office 65 Nybro

Identifierad Risk- och sårbarhetsanalys Sid 20 (27) Data och metadata kan inte överföras till annan IT-lösning avslutande av tjänsten. Risk för inlåsning och att tjänsten fortsätter att användas även om kommunen vill använda en annan tjänst. Allvarlig 4 X sällan Med nedanstående åtgärder är en försumbar. Prioritet: (Hög, låg eller medel) Låg Microsoft tillhandahåller verktyg för att flytta data från deras molntjänst. Data kan även flyttas till kommunens lokala IT-miljö via en hybridkoppling. Det kommer att kosta att flytta dokumenten till en annan leverantör eller kommunen. Poäng (konsekvens * sannolikhet) Risk- och sårbarhetsanalys Office 65 Nybro

Identifierad Risk- och sårbarhetsanalys Sid 2 (27) Lagar och regler förändras som gör att tjänsten inte får användas. Kommunen måste hitta en ny leverantör av likvärdiga tjänster, implementera denna och migrera data. Detta innebär även en kostnad och en arbetsinsats från kommunen. Allvarlig 4 X sällan Prioritet: (Hög, låg eller medel) Låg Kommunens personuppgiftsombud eller kommunens jurist kan få i uppdrag att ha uppsikt över förändringar i PuL och andra lagar som kan hindra användningen av tjänsten. En plan för hur data ska flyttas från molntjänsten till annat system tas fram via IT-enheten, för att kunna migrera data till annat system om så blir fallet i framtiden. Poäng (konsekvens * sannolikhet) Risk- och sårbarhetsanalys Office 65 Nybro

Sid 22 (27) Identifierad Avbrott i tjänsten på grund av lokala driftstopp. Användarna erar att förlora arbetstid och kan få ett minskat förtroende för kommunens IT. Allvarlig 4 X sällan Vid ett lokalt driftstopp i kommunens datacenter kommer ADFS server inte vara tillgänglig och användarna inte kunna logga in i molntjänsten. Om kommunens internetaccess inte fungerar kommer inte heller molntratten vara tillgänglig. Prioritet: (Hög, låg eller medel) Låg Genom att implementera redundans i miljö minskas en för att detta inträffar. Poäng (konsekvens * sannolikhet) 4 Risk- och sårbarhetsanalys Office 65 Nybro

Identifierad Risk- och sårbarhetsanalys Sid 2 (27) Leverantör till kommunen följer inte PuL vilket påverkar användningen av Office 65. Kommunen tvingas byta till en annan leverantör som följer PuL. Allvarlig 4 X sällan En leverantör till kommunen som ex. tillverkar applikationer för Office 65 följer inte PuL och detta i sin tur gör att kommunen måste välja annan leverantör, samt mister förtroendet från användarna. Prioritet: (Hög, låg eller medel) Låg Rutiner för kontroll av leverantörer och applikationer tas fram för att minska en att detta inträffar. Poäng (konsekvens * sannolikhet) Risk- och sårbarhetsanalys Office 65 Nybro

Sid 24 (27) Identifierad Användaren lagrar otillåten data i Office 65 (användaren hanterar information på ett felaktigt sätt). Kommunen erar en granskning att dömas för att inte PuL efterföljts i kommunen. Allvarlig 4 X X sällan Vi har särskilt verksamhetssystem för personuppgifter. Rutiner för hur användarna ska informeras för att minska sannolikheten för att denna händelse inträffar. Prioritet: (Hög, låg eller medel) Hög Rutiner för hur användarna ska informeras och när detta sker tas fram. Utbildning och Nano-Learning. Poäng (konsekvens * sannolikhet) 2 Risk- och sårbarhetsanalys Office 65 Nybro

Sid 25 (27) Identifierad Användarna utnyttjar inte de möjligheter som Office 65 erbjuder utan använder istället, på eget bevåg, andra system som inte är godkända av kommunen. Kommunen erar en granskning att dömas för att inte PuL efterföljts i kommunen. Allvarlig 4 X sällan Prioritet: (Hög, låg eller medel) Medel En plan för hur utbildning ska genomföras och hur lansering av tjänsten ska genomföras tas fram. Poäng (konsekvens * sannolikhet) 6 Risk- och sårbarhetsanalys Office 65 Nybro

Nya rutiner, information och utbildning Risk- och sårbarhetsanalys Sid 26 (27) Följande guider och dokument som rör användningen av Office 65 tas fram Information till pilotanvändare/användare IT-avtal för kommunen uppdateras med regler för Office 65 Rutiner för PuL-kontroll av underleverantörer 4 Sammanfattning av och sårbarhetsanalys För att följa PuL kommer ett antal informationsdokument tas fram där riktlinjer finns för hur Onlinetjänsten ska användas och vilken data som får ingå i tjänsten. Den sammantagna en för att införa och behandla data i Onlinetjänsten Office 65 bedöms som låg efter det att användarna informerats i hur tjänsten ska användas, att våra interna rutiner är bra när anställning avslutas och när rutiner för kontroll av underleverantörer tagits fram. Allvarlig Måttlig X Mycket sällan Sällan Ofta Prioritet (Hög, låg eller medel) Låg Tydligt och heltäckande avtal med leverantören som följs upp kontinuerligt. Information, nya rutiner och utbildning till användare. Risk- och sårbarhetsanalys Office 65 Nybro

Sid 27 (27) Risk- och sårbarhetsanalys Office 65 Nybro

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss