Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Relevanta dokument
Bilaga 10 Säkerhet. Dnr: / stockholm.se. Stadsledningskontoret It-avdelningen

Bilaga 3 Säkerhet Dnr: /

Systemdrift och Systemförvaltning Centrala verksamhetssystem Service Desk

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr Kommunikation som tjänst - A

Regelverk och myndighetsstöd för ökad informationssäkerhet inom dricksvattenförsörjningen (NIS) Anders Östgaard

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Bilaga 10 Riktlinjer informationssäkerhet Dnr: /2015 Förfrågningsunderlag

Fördelning av ansvar för informationssäkerhet. Version: 1. Beslutsinstans: Regiondirektören

Bilaga 3c Informationssäkerhet

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Informationssäkerhetspolicy

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Bilaga till rektorsbeslut RÖ28, (5)

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Myndigheten för samhällsskydd och beredskaps författningssamling

Ledningssystem för Informationssäkerhet

Informationssäkerhetspolicy för Umeå universitet

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Tillitsdeklarationen och revisionsprocessen. Åsa Wikenståhl Efosdagen

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Informationssäkerhetspolicy inom Stockholms läns landsting

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Myndigheten för samhällsskydd och beredskaps författningssamling

Ledningssystem för Informationssäkerhet

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

Informationssäkerhetspolicy för Ystads kommun F 17:01

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Bilaga Från standard till komponent

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun

NIS-direktivet. 4 september Johanna Linder Martin Gynnerstedt

1(6) Informationssäkerhetspolicy. Styrdokument

Koncernkontoret Enheten för säkerhet och intern miljöledning

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Informationssäkerhetspolicy

IT-säkerhet Externt och internt intrångstest

POLICY INFORMATIONSSÄKERHET

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

Bilaga 3c Informationssäkerhet

Informationssäkerhetspolicy IT (0:0:0)

ISO/IEC och Nyheter

Administrativ säkerhet

Säkerhetspolicy för Västerviks kommunkoncern

Aktiviteter vid avtalets upphörande

SÄKERHETSPOLICY I FÖR FALKÖPINGS KOMMUN

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Riktlinjer för informationssäkerhet

Informationssäkerhetspolicy. Linköpings kommun

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

SÄKERHETSPOLICY FÖR VÄSTERVIKS KOMMUNKONCERN ANTAGEN AV KOMMUNFULLMÄKTIGE , 8

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Bilaga 3c Informationssäkerhet

Informationssäkerhetspolicy

VGR-RIKTLINJE FÖR KOMMUNIKATION OCH DRIFT

Riktlinjer för säkerhetsarbetet

Sjunet standardregelverk för informationssäkerhet

Bilaga 7C Leveranser från GSIT 2.0- leverantören Dnr: /2015 Förfrågningsunderlag

Svar på revisionsskrivelse informationssäkerhet

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

IT-Säkerhetsinstruktion: Förvaltning

Finansinspektionens författningssamling

Policy för informations- säkerhet och personuppgiftshantering

Bilaga 4h Aktiviteter vid avtalets upphörande Dnr: /

Informationssäkerhetspolicy för Nässjö kommun

Dnr

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Informationssäkerhetspolicy för Ånge kommun

Policy och strategi för informationssäkerhet

Riktlinjer för informationssäkerhet

Bilaga IT till förfrågningsunderlag Bil 3 Inledning

Allmänna villkor för infrastrukturen Mina meddelanden

Informationssäkerhetspolicy

Riktlinjer för IT-säkerhet i Halmstads kommun

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

Informationssäkerhetspolicy

Vi skyddar din information. Vårt informationssäkerhetsarbete och skydd av personuppgifter

Finansinspektionens författningssamling

Bilaga 8D Tjänster för Stadens Pedagogiska Verksamheter

Välkommen till enkäten!

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

Bilaga 4 Kontinuerliga förbättringar Dnr: /2015 Förfrågningsunderlag

Verksamhetsrapport. Kommunens säkerhetsarbete 2014

Handlingsplan för persondataskydd

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Förslag till Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters rapportering av it-incidenter 1

Policy för informationssäkerhet

Helhetsåtagande underhåll och drift

Informationssäkerhetsanvisningar Förvaltning

Kommunstyrelsens förslag till antagande av reviderad informationssäkerhetspolicy Ärende 11 KS 2017/336

Kommunens författningssamling

Bilaga 1 - Handledning i informationssäkerhet

Avbrott i bredbandstelefonitjänst

Transkript:

Förfrågningsunderlag stockholm.se Utbildningsförvaltningen Avdelningen för utveckling och samordning Hantverkargatan 2F 104 22 Stockholm Växel 08-508 33 000 www.stockholm.se

Innehåll 1 Inledning 3 2 Krav på säkerhetsarbete 3 2.1 Allmänt 3 2.2 Ledningssystem för informationssäkerhet 4 2.3 Ingående aktiviteter i it-säkerhetsarbetet 4 2.4 Skydd mot skadlig kod 6 2.5 Krav på säkerhet för Kritiska Tjänster 6 2 (7) Tjänster för it-service för Stockholms stads pedagogiska verksamheter

1 Inledning Definitioner som används i detta dokument har den betydelse som anges i Bilaga 1 (Begrepp och definitioner). Denna bilaga reglerar på en övergripande nivå arbetet med krav på säkerhet som beskrivs i Avtalet. Leverantören ska följa dessa krav samt Stadens vid var tid gällande riktlinjer för informationssäkerhet, se Bilaga 10 (Riktlinjer informationssäkerhet). 2 Krav på säkerhetsarbete 2.1 Allmänt Leverantören ska kontinuerligt arbeta med att planera, följa upp och förbättra kvalitet och säkerhet vid tillhandahållandet av Tjänsterna. Detta för att uppfylla Stadens säkerhetsbehov och se till att information hanteras på ett säkert sätt för alla Tjänster och processaktiviteter. Detta arbete ska vara organiserat med utpekade ansvariga hos Leverantören och genomsyra Leverantörens arbete med leverans av Tjänsterna. Syftet med säkerhetsarbetet är att förhindra, eller minska konsekvenserna av eller sannolikheten för, oönskade händelser inom tillhandahållandet av Tjänster och att upprätthålla Stadens förmåga att fullgöra sina åtaganden innefattande bland annat myndighetskrav och krav enligt Gällande Rätt. I arbetet ingår alla åtgärder vars samlade effekt är att förebygga och minimera konsekvenserna av störningar och Avbrott för informationshanteringen. I detta åtagande ingår att säkerställa att informationen får rätt nivå av säkerhet med avseende på informationssäkerhetsaspekterna: Åtkomstbegränsning (sekretess) skydd mot obehörig åtkomst av information, Riktighet skydd mot oönskad förändring, påverkan eller insyn, Tillgänglighet åtgärder för att säkra drift och funktionalitet, och Spårbarhet möjligheten att fastställa vem som gjort vad eller att kunna verifiera orsaken till en händelse. Tjänster för it-service för Stockholms stads pedagogiska verksamheter 3 (7)

2.2 Ledningssystem för informationssäkerhet Leverantören ska utöver processer för egenkontroll ha ett generellt processorienterat it-säkerhetsarbete, som i enlighet med ITIL Security Management eller motsvarande är sammanhållet av ett ledningssystem för informationssäkerhet (LIS), där policys, säkerhetskontroller, andra säkerhetsåtgärder, säkerhetsrevisioner, schemalagda säkerhetstester och klassificering av känslig data och risker finns dokumenterade. Ledningssystemet ska möjliggöra för Leverantören att leva upp till krav enligt detta Avtal. Ledningssystemet för informationssäkerhet ska minst ha beaktat följande aspekter: Stadens information, organisation, struktur, interna/externa krav och risker med dessa, Stadens strategier, planer och budget för it-leveranser och risker med dessa, specifik känslig data, lagstiftning, incidenter och digitala angrepp, och förändringar som påverkar säkerheten, till exempel framtida planer och krav. 2.3 Ingående aktiviteter i it-säkerhetsarbetet Leverantören ska bland annat utföra följande aktiviteter: Styrning: - Organisera it-säkerhetsarbetet med tydligt ansvar och mandat. Planering: - Planera för säkerhetshöjande åtgärder, inkluderande att genomföra risk- och sårbarhetsanalyser, dokumentera detta samt besluta om åtgärder med anledning av detta. Analyserna ska genomföras i enlighet med Stadens modell för risk- och sårbarhetsanalys och resultatet ska redovisas för Staden. Klargöra interna krav på nödvändiga avtal, roller, och andra säkerhetsrelaterade krav, samt sätta regelverk för exempelvis: - Användandet av it (inklusive beivrandet av missbruk), behörigheter, lösenord, e-post, internet, anti-virus, säkerhetsklassning av information, fjärråtkomst, underleverantörsstyrning inklusive deras tillgång till system och data samt eventuella kompletterande särskilda säkerhetsstrategier. 4 (7) Tjänster för it-service för Stockholms stads pedagogiska verksamheter

- Alternativa arbetssätt och rutiner för den händelse att Leverantören själv drabbas av störningar i sin interna verksamhet. Implementering: - Implementera säkerhetskontroller enligt en för säkerhetsnivån lämplig utvecklingsprocess. - Kommunicera om och utbilda Leverantörens personal om it-säkerhetsarbetet (exempelvis gällande klassificering av data och information). Personalen kan även behöva underteckna sekretessförbindelser. - Definiera krav på personlig och fysisk säkerhet, fastställa riktlinjer för behörigheter och för hanteringen av säkerhetsincidenter. - Utse och dokumentera ansvariga för säkerheten i leveransens olika delar, både för de levererade Tjänsterna i sin helhet och för enskilda system. Utvärdering: - När Staden begär revisioner ska Leverantören skyndsamt ställa information och resurser till förfogande som stöd för genomförande av revisionen. Leverantören ska även på förfrågan från Staden medverka i att utforma och ta fram bestyrkanderapporter avseende internkontroll och säkerhet inom områden som inte täcks av ISAE 3402. Exempel på områden är sekretess/åtkomst, riktighet, tillgänglighet och spårbarhet rapporterade i enlighet med standarden ISAE 3000. - Genomföra interna och av Staden begärda revisioner av säkerhetsarbetet. - Tillhandahålla en struktur för kontinuerlig utvärdering av säkerhetsincidenter. Löpande arbete: Genomföra dagliga aktiviteter såsom: - Kommunicera policys och övervaka att dessa efterlevs. - Övervaka, hantera och rapportera säkerhetsincidenter. - Genomföra sårbarhets- och penetrationstester i enlighet med informationssäkerhetsriktlinjerna. - Löpande följa upp vilka personer som har olika former av administratörsrättigheter samt rapportera till Stadens kontaktpersoner hur många och vilka dessa personer är. - Ha en kontinuerlig översyn av skydd mot säkerhetsbrister och obehörig åtkomst. - Säkerställa uppnådd säkerhet mellan Stadens Resurser och Leverantörens resurser som används för att leverera Tjänsterna. Tjänster för it-service för Stockholms stads pedagogiska verksamheter 5 (7)

- Genomföra kontinuitetsplanering och riskanalyser för kontinuitet. - Genomföra kapacitetsplanering och riskanalys för kapacitet. - Verifiera att tillhandahållandet av Tjänster lever upp till ställda krav i Bilaga 10 (Riktlinjer informationssäkerhet) och utbildningsförvaltningens Tillämpningsanvisningar för informationssäkerhet (dnr 1.3.2-50/2016) som är under framtagande, samt föreslå åtgärder vid eventuella avvikelser. Detta arbete ska halvårsvis rapporteras till Staden. - Kontinuerligt och systematiskt arbeta med förbättringar av it-säkerheten. 2.4 Skydd mot skadlig kod Leverantören ansvarar för att hålla Stadens it-miljö fri från skadlig och fientlig kod. I detta ingår bland annat att nödvändiga licenser för säkerhetsprogramvaror, installation och konfiguration av dessa programvaror samt att säkerhetsprogramvarorna hålls uppdaterade vid tillhandahållandet av Tjänsterna. Leverantören ska ha system för att aktivt söka och upptäcka förekomst av skadlig kod samt logga resultatet av övervakningen. Staden ska på begäran kunna ta del av loggarna. 2.5 Krav på säkerhet för Kritiska Tjänster Med Kritiska Tjänster inom leveransen avses: Katalogtjänst enligt avsnitt 8, Bilaga 7A (Tjänster för Digitala Enheter), Namnuppslag (DNS) enligt avsnitt 8.8, Bilaga 6A (Generella krav på Tjänsterna), Lagring av data i Leverantörens serverhall enligt avsnitt 3.4, Bilaga 7A (Tjänster för Digitala Enheter). Leverantören ska för Kritiska Tjänster uppfylla krav på, driftsäkerhet, enligt avsnitt 2.5.1 nedan. Leverantören är medveten om att Tjänster som klassas som Kritiska Tjänster kan ändras över tid genom Ändringsprocessen, varvid Kritiska Tjänster kan komma att läggas till eller tas bort. 2.5.1 Driftsäkerhet Leverantören ska tillhandahålla minst en (1) WANanslutning från minst en (1) leverantör. Leverantören ska säkerställa att all hårdvara och all mjukvara är supporterad av tillverkaren. 6 (7) Tjänster för it-service för Stockholms stads pedagogiska verksamheter

Leverantören ska tillhandahålla skydd för fel i nätverkets datalänkskikt (OSI layer 2), baserad på rekommendationer från leverantören av nätverksutrustning. Omfattningen av skydd ska vara baserad på årligen återkommande riskanalyser som ska godkännas av Staden. Leverantören ska ha processer för att analysera trender och prognoser för framtida kapacitetsbehov i driftsprocesser och komponenter. Leverantören ska genomföra tester avseende Avbrott enlig testplan för Avbrott minst en (1) gång per år. Testerna ska genomföras i enlighet med SS-ISO-22301:2014 kapitel 8.5 Övning och testning eller motsvarande. Leverantören ska rapportera resultatet från genomförda tester. I rapporteringen ska det framgå vilka områden som har testats, hur testerna har genomförts och resultatet av testerna. Avvikelser och andra observationer som kan komma att påverka Staden ska inkluderas i rapporteringen. Leverantören ska upprätta en plan för hur alternativ datakommunikation under kris säkerställs. Planen ska utformas enligt NIST SP800 53R4 CP-11 Alternate Communications Protocols och CP-13 Alternative Security Mechanisms eller motsvarande. Staden ska godkänna planen för hur alternativ datakommunikation under kris säkerställs. Tjänster för it-service för Stockholms stads pedagogiska verksamheter 7 (7)

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss