1 Informationsklassificering



Relevanta dokument
Informationssäkerhet vid Lunds Universitet. Mötesplats Rydberg 3:e oktober Lennart Österman

Riktlinjer för informationssäkerhet

Riktlinjer för informationssäkerhet

Riktlinjer för informationssäkerhet

Riktlinjer för informationssäkerhet

Riskanalys och informationssäkerhet 7,5 hp

Riktlinjer för informationsklassning

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

Riktlinjer för informationssäkerhet vid Lunds universitet

Informationssäkerhetspolicy inom Stockholms läns landsting

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Bilaga 2 till Rutiner för riskhantering (UFV 2018/211) Instruktion för genomförande av informationsklassificering

Informationssäkerhetspolicy för Ystads kommun F 17:01

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Nulägesanalys. System. Bolag AB

Riktlinjer för informationssäkerhet

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

Metod för klassning av IT-system och E-tjänster

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

Finansinspektionens författningssamling

Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet

Roller för information behöver också fastställas, använd gärna nedanstående roller som kommer från SKL och deras verktyg

Dnr UFV 2017/93. Informationssäkerhet. Riktlinjer för säkerhetsarbetet vid Uppsala universitet. Fastställda av Universitetsdirektören

Finansinspektionens författningssamling

Finansinspektionens författningssamling

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Informationssäkerhet

Modell för klassificering av information

IT-säkerhetsinstruktion

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

Riktlinjer för informationssäkerhet

IT-Policy Vuxenutbildningen

IT-Säkerhetsinstruktion: Förvaltning

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

PERSONUPPGIFTSBITRÄDESAVTAL

Riktlinjer för informationssäkerhet

Juridiska säkerhetskrav

Sammanfattning av riktlinjer

FÖRSVARSMAKTENS INTERNA BESTÄMMELSER

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad:

Bilaga Personuppgiftsbiträdesavtal UPP 2016/235. Innehållsförteckning

IT-säkerhetspolicy. Antagen av kommunfullmäktige

Skatteverkets vägledning för hantering av skyddade personuppgifter i svensk förvaltning

Regler för lagring av Högskolan Dalarnas digitala information

Personuppgiftsbiträdesavtal

Fortsatt arbete utifrån dataskyddsförordningen, GDPR. Denna presentation utgår i första hand från ett informationssäkerhetsmässigt perspektiv

SÅ HÄR GÖR VI I NACKA

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhet och SKLs verktyg KLASSA. Avdelningen för Digitalisering Sektionen för Informationshantering och Digital Arbetsmiljö (IDA)

I n fo r m a ti o n ssä k e r h e t

För att du som användare skall kunna leva upp till de säkerhetskrav som ställs på dig måste du känna till. Lärare och Elever har olika krav: Lärare

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ Agenda

Bilaga Personuppgiftsbiträdesavtal Innehållsförteckning

Stadsövergripande policy om skyddade personuppgifter med riktlinjer till nämnder och bolag

Informationssäkerhetsanalyser Checklista egenkontroll

INFORMATION OM BEHANDLING AV PERSONUPPGIFTER

Riktlinje för informationssäkerhet

Informationssäkerhet - Informationssäkerhetspolicy

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

InTime International AB (nedan kallat Personuppgiftsbiträdet ) med organisationsnummer och adress Varvsgatan 47, Luleå

Posthantering och annan överföring av sekretessbelagd och integritetskänslig information

PERSONUPPGIFTSBITRÄDESAVTAL

Identifieringstjänst SITHS. - Beskrivning och tjänstespecifika villkor

Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE

Österåkers kommuns styrdokument

Informationssäkerhet Riktlinje Förvaltning

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Informationskartläggning och Säkerhetsklassning

Riktlinjer informationssäkerhetsklassning

Riktlinjer för informationssäkerhet

Informationssäkerhetsinstruktion: Användare

Riktlinjer för IT-säkerhet i Halmstads kommun

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

VGR-RIKTLINJE FÖR KOMMUNIKATION OCH DRIFT

Hur skapar du en koppling mellan svenska och utländska eid:n?

Regelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga D. Personuppgiftsbiträdesavtal. Version: 2.

Välkommen Expertanvändarträff Siebel och Phoniro

Riktlinjer för digital arkivering i Linköpings kommun

Policy för informationssäkerhet

GDPR. Dataskyddsförordningen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Informationssäkerhetspolicy

Informationssäkerhetsinstruktion Mora, Orsa och Älvdalens kommuner

Administrativ säkerhet

IT-säkerhetspolicy för Landstinget Sörmland

Anmälda personuppgiftsincidenter 2018

Säkerhet för personuppgifter

Säkerhet vid behandling av personuppgifter i forskning

Barnens och vårdnadshavarnas personuppgifter är deras egna vi lånar dem bara.

Lokal informationssäkerhetspolicy, lokala informationssäkerhetsriktlinjer och anvisningar

AVTAL MELLAN PERSONUPPGIFTSANSVARIG OCH

RISK OCH SÅRBARHETSANALYS. Innehållsförteckning. Mall Grundläggande krav. Risk och sårbarhetsanalys Sida 1 (7)

Bilaga Personuppgiftsbiträdesavtal

Integritets Policy -GDPR Inledning Syfte Behandling av personuppgifter

Personuppgiftsbiträdesavtal

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Bilaga 3 Säkerhet Dnr: /

Råd för hantering av elektroniska handlingar vid Lunds universitet. Datum Författare Version Anne Lamér 1.0

Transkript:

1 Informationsklassificering Informationresurs (förvaltningsobjekt, informationssystem, projekt etc.) Datum Deltagare SNIC-Sens 2015-05-25 10.00 12.00 Hans Carlbring (workshopledare), Michael Svensson (säkerhet) Ann-Charlotte Berglund Sonnhammer, Ola Spjuth, Niclas Jareborg, Valtteri Wirta, Ann-Christine Syvänen, Johan Rung, Ellen Sherwood, Pontus Larsson, Ulf Gyllensten Konfidentialitet (sekretess) Skyddsmål: Informationen ska inte göras tillgänglig eller avslöjas för obehöriga personer, system eller processer. X Det mesta är basnivå eftersom datat skall vara avpersonifierat X Sådant som kan kopplas till person (humandata)

Riktighet (integritet) Skyddsmål: Informationen ska inte förändras eller förstöras, varken obehörigen, av misstag eller på grund av funktionsstörningar. X Så länge backuphantering fungerar går det återskapa det mesta om det skulle bli korrupt, checksummor och annat behövs X Unika prover. X Rutindiagnostik. Tillgänglighet Skyddsmål: Informationen ska vara åtkomlig och användbar på förväntat sätt och inom önskad tid. X Kontorstid med normal nertid vid fåtal tillfällen är tillräckligt. Inkluderar de flesta kliniska prover. X Speciella kliniska fall.

Avbrottsskydd Skyddsmål: Informationen ska vara åtkomlig och användbar på planerat sätt och inom planerad tid även efter omfattande störningar. X Ett par dagar kan man klara ett avbrott Höga krav Sammanfattning Säkerhetsaspekt Konfidentialitet (sekretess) Riktighet (integritet) X X X Tillgänglighet X X X X Avbrottsskydd X

2 Beskrivning av säkerhetsklasserna 2.1 Konfidentialitet (sekretess) Behovet av skydd mot att informationen görs tillgänglig eller avslöjas för obehöriga personer, system eller processer. Säkerhetsklass sekretessskydd) Allmän beskrivning Exempel på information Exempel på skydd Möjliga konsekvenser av brister Information som behöver skydd mot oavsiktlig eller obehörig åtkomst. Information som avsiktligt görs tillgänglig för allmänheten. starkt skydd mot oavsiktlig eller obehörig åtkomst, inklusive information som omfattas av sekretess. särskilt starkt skydd mot oavsiktlig eller obehörig åtkomst, inklusive skydd mot kvalificerade angrepp avsedda att komma åt informationen. Merparten information vid universitetet (arbetsmaterial, men även allmänna handlingar) ingår i basnivån. Sekretesskyddad information, starkt integritetskänslig information (till exempel information om sjukdom) Skyddade identiteter eller adresser. Särskilt känslig forskningsinformation (företagshemligheter e.d.). Information som omfattas av försvarssekretess. Informationen ska vara skyddad mot oavsiktlig eller obehörig åtkomst genom inloggning, eller genom inlåsning eller på annat sätt skyddad förvaring. Offentlig information ska vara tillgänglig på ett kontrollerat sätt. Informationen ska vara skyddad genom kvalificerad kryptering, inlåsning i väl skyddat skåp eller på annat motsvarande sätt. Mycket kvalificerat skydd mot obehörig eller oavsiktlig åtkomst. Skydd mot kvalificerade angrepp avsedda att komma åt informationen ska finnas. obehag eller begränsad ekonomisk begränsad skada för universitetet Brister i skyddet kan orsaka omfattande obehag eller ekonomisk omfattande skada för universitetet skada på liv eller hälsa för enskilda personer, eller orsaka omfattande obehag eller ekonomisk förlust för ett stort antal personer, eller mycket allvarligt skada för universitetet eller

2.2 Riktighet Behovet av skydd mot att informationen förändras eller förstöras obehörigen, av misstag eller på grund av funktionsstörningar. Behov av säkerhet skydd av riktighet) Allmän beskrivning Exempel på information Exempel på skydd Möjliga konsekvenser av brister grundläggande skydd mot att förändras eller förstöras. starkt skydd mot att förändras eller förstöras. särskilt starkt skydd mot att förändras eller förstöras. Merparten information vid universitetet (arbetsmaterial och allmänna handlingar) ingår i basnivån. Beslut och annan information som har rättsverkan eller som har stor betydelse för universitetet eller enskilda. Bokföringsmaterial, information i bokförings- och redovisningssystem, listor med tentamensresultat. Forskningsdata med stor vetenskaplig eller ekonomisk betydelse. Original till avhandlingar. Ladokdatabasens tabeller över personer och deras studieresultat. Avtalsoriginal. Informationen ska vara skyddad genom säkerhetskopiering, noggrann testning av program, skyddad förvaring, signatur på dokument e.d. mot oavsiktlig eller obehörig förändring eller förstöring. Informationen ska vara väl skyddad genom loggning av förändringar, digitala signaturer, manuella signaturer, noggranna hanteringsrutiner e.d. mot oavsiktlig eller obehörig förändring eller förstöring. Mycket kvalificerat skydd mot oavsiktlig och obehörig förändring, till exempel genom användning av certifikatbaserade digitala signaturer och kontrollsummor. Särskilt utformade rutiner för säkerhetskopiering och loggning av förändringar. obehag eller begränsad ekonomisk begränsad skada för universitetet Brister i skyddet kan orsaka omfattande obehag eller ekonomisk omfattande skada för universitetet skada på liv eller hälsa för enskilda personer, eller orsaka omfattande obehag eller ekonomisk förlust för ett stort antal personer, eller mycket allvarligt skada för universitetet

2.3 Tillgänglighet Behovet av skydd som möjliggör att informationen är åtkomlig och användbar på förväntat sätt och inom önskad tid. Behov av säkerhet tillgänglighet) Allmän beskrivning Exempel på information Exempel på skydd Möjliga konsekvenser Information som normalt ska vara tillgänglig dygnet runt (eller vid särskilt beslutade tider), men där enstaka avbrott upp till en halv arbetsdag endast medför begränsad skada. Information som ska vara tillgänglig dygnet runt (eller vid särskilt beslutade tider) utan avbrott. Enstaka kortare avbrott medför endast begränsad skada. Information som måste vara tillgänglig dygnet runt (eller vid särskilt beslutade tider) utan avbrott, och där även kortare avbrott kan orsaka stor skada. Merparten information vid universitetet (arbetsmaterial och allmänna handlingar av i första hand internt intresse) ryms inom basnivån. Universitetets externa webbsidor. Information som studenter behöver för att fullgöra studier eller tentamina (t.ex. information om tider och lokaler). Gemensamma mailsystem. Information på filservrar. Allmänna handlingar av stort intresse för allmänheten. Katalog- och inloggningstjänster (informationen i dessa). DNS, DHCP och andra tjänster av mycket stor betydelse för utnyttjandet av samtliga IT-tjänster vid universitetet. Informationen ska helst vara tillgänglig hela dygnet. Avbrott i tillgängligheten under kontorstid ska normalt vara i högst 4 timmar. Informationens tillgänglighet ska möjliggöras genom stabila och väl testade IT-system, och fungerande stödrutiner. Informationen ska vara tillgänglig under hela dygnet. Avbrott i tillgängligheten ska normal vara i högst 0,5 timmar. Planerade avbrott ska vara aviserade i god tid. Redundanta system och andra åtgärder för att möjliggöra i princip obruten åtkomst trots mycket allvarliga störningar (redundanta system i olika lokaler etc.). Brister i tillgängligheten kan medföra obehag eller begränsad ekonomisk begränsad skada för universitetet Brister i tillgängligheten kan orsaka omfattande obehag eller ekonomisk omfattande skada för universitetet Brister i tillgängligheten kan medföra skada på liv eller hälsa för enskilda personer, eller orsaka omfattande obehag eller ekonomisk förlust för ett stort antal personer, eller mycket allvarligt skada för universitetet eller

2.4 Avbrottsskydd (kontinuitetsskydd, katastrofskydd) Behovet av skydd som möjliggör att informationen är åtkomlig och användbar på planerat sätt och inom planerad tid även efter omfattande störningar (t.ex. större brand, större vattenskada, omfattande vandalisering eller omfattande IT-angrepp). Behov av säkerhet Allmän beskrivning Exempel på information Exempel på skydd Möjliga konsekvenser Information som i nödfall kan avvaras under längre tid (upp till flera veckor) utan att större skada uppstår. Merparten information vid universitetet (arbetsmaterial och allmänna handlingar) ryms inom basnivån. Inga särskilda åtgärder för avbrottsplanering, annat än säkerhetskopiering etc. för att möjliggöra återuppsättning och återstart av motsvarande system. Återstart av system kan dröja flera veckor vid mycket allvarliga störningar (t.ex. omfattande brand). Risk för att information på papper inte kan återskapas efter brand eller översvämning. obehag eller begränsad ekonomisk förlust för enskilda personer, eller begränsad skada för universitetet eller avbrottsskydd) Information som oavsett händelse måste kunna göras tillgänglig inom 24 timmar för att undvika större skada eller mer omfattande konsekvenser. Information som oavsett händelse alltid måste vara tillgänglig som avsett (kraven kan variera beroende på typ av information). Universitetets externa webbsidor. Information som studenter behöver för att fullgöra studier eller tentamina (t.ex. information om tider och lokaler). Gemensamma mailsystem. Information på större gemensamma filservrar. Katalog- och inloggningstjänster (informationen i dessa). DNS, DHCP, CAS, AKKA och andra tjänster av mycket stor betydelse för utnyttjandet av samtliga IT-tjänster vid universitetet. Informationen ska fortsätta att vara åtkomlig och skyddad vid merparten störningar. Vid mycket allvarliga störningar ska informationen kunna göras tillgänglig inom 24 timmar. Åtkomst och fungerande skydd ska fortsätta att fungera även vid mycket allvarliga störningar, vilket förutsätter fysiskt åtskilda, redundanta system, med redundanta försörjningssystem och kommunikationsmöjligheter. Brister i skyddet kan orsaka omfattande obehag eller ekonomisk förlust för enskilda personer, eller omfattande skada för universitetet eller skada på liv eller hälsa för enskilda personer, eller orsaka omfattande obehag eller ekonomisk förlust för ett stort antal personer, eller mycket allvarligt skada för universitetet

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss