Säkerhetsbilaga IA-systemet

Relevanta dokument
Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

Bilaga 3c Informationssäkerhet

Ledningssystem för Informationssäkerhet

Finansinspektionens författningssamling

Informationssäkerhetsgranskning. ISO ledningssystem för informationssäkerhet

Finansinspektionens författningssamling

Riktlinjer för informationssäkerhet

Ledningssystem för Informationssäkerhet

Finansinspektionens författningssamling

Dnr UFV 2017/93. Informationssäkerhet. Riktlinjer för säkerhetsarbetet vid Uppsala universitet. Fastställda av Universitetsdirektören

Sjunet standardregelverk för informationssäkerhet

IT-Säkerhetsinstruktion: Förvaltning

Riktlinjer för informationssäkerhet

Checklista Identitetshanteringssystem för SWAMID 2.0. Utarbetad tillsammans med SUNET CERT och SUSEC

IT-säkerhet i Svenska kyrkan gemensamma IT-plattform GIP

FÖRHINDRA DATORINTRÅNG!

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Riktlinjer för informationssäkerhet

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

VGR-RIKTLINJE FÖR KOMMUNIKATION OCH DRIFT

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet

Icke funktionella krav

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

Riktlinjer för informationssäkerhet

Regelverk för informationssäkerhet Omformulering av tidigare version 3.0

Policy Document Number ESS Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet

Detta dokument beskriver it-säkerheten i RAMBØLLs it-system SurveyXact och Rambøll Results.

ISO/IEC och Nyheter

Koncernkontoret Enheten för säkerhet och intern miljöledning

Innehåll 1(14) Granskningsdokumentation

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Publiceringsdatum Juni 2007 ( rev. September 2011)

EBITS Energibranschens IT-säkerhetsforum

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Informationssäkerhetspolicy

IT-säkerhet Tek Nat Prefektmöte. IT-chef

Bilaga till rektorsbeslut RÖ28, (5)

EXEMPEL. Informationssäkerhetsinstruktion: Kontinuitet och Drift (Infosäk KD)

Region Gotland. Generella IT kontroller Visma och HR Plus. Detaljerade observationer och rekommendationer. Februari 2017

Myndigheten för samhällsskydd och beredskaps författningssamling

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

Tyresö kommun. Generella IT kontroller Economa och Heroma. Detaljerade observationer och rekommendationer. Juni 2017

Organisation för samordning av informationssäkerhet IT (0:1:0)

Slutrapport. Certifiering LADOK Pontus Abrahamsson Lösningsarkitekt Säkerhet

Sollentuna kommun. Generella IT kontroller Visma Affärslösningar. Detaljerade observationer och rekommendationer. November 2017

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhet - Informationssäkerhetspolicy

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ Agenda

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

Datacentertjänster IaaS

Bilaga 3c Informationssäkerhet

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

Myndigheten för samhällsskydd och beredskaps författningssamling

Informationssäkerhet Riktlinje Förvaltning

Informationssäkerhet, Linköpings kommun

Bilaga 3 Säkerhet Dnr: /

Revisionsrapport Granskning av generella ITkontroller för ett urval av system vid Skatteverket 2018

Riktlinje för informationssäkerhet

Bilaga 1. Allmänna villkor för IA-företagens informationssystem om arbetsmiljö. 1. Bakgrund

Informationssäkerhetsanvisningar Förvaltning

Finansinspektionens författningssamling

OneDrive för företag hos Svenska Brukshundklubben

Informationssäkerhetspolicy för Ånge kommun

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Välkommen till enkäten!

IT-säkerhetspolicy. Fastställd av KF

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

Säkerhet vid behandling av personuppgifter i forskning

TJÄNSTEBESKRIVNING DATACENTER

Revisionsrapport. IT-revision Solna Stad ecompanion

POLICY FÖR DATA- OCH INFORMATIONSSÄKERHET VID BMC I LUND

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Beslutsdatum (rev )

Riktlinjer för ansvar och behörigheter i Personec P

Revisionsrapport. 1 Inledning. Revision av uppbördsprocessen Moms. Skatteverket Solna. Datum Dnr

Å tgä rdsfö rsläg. Angrepp via tjänsteleverantörer. Sammanfattning. Innehåll

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Säkerhet och förtroende

Policy för informationssäkerhet

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Syfte Behörig. in Logga 1(6)

EDA KOMMUN. nformationssäkerhet - Informationssäkerhetspolicy

SURFTOWNS SÄKERHETSMILJÖ. Databehandlingsavtal - Bilaga 1

Arkivkrav för IT system med elektroniska handlingar vid Lunds universitet

1 Infrastruktur för RTJP RTJP är placerad i en virtuell miljö som i brist på bättre namn går under benämningen MVK-molnet

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet

INFORMATIONSSÄKERHET 1 INLEDNING MÅL FÖR IT-SÄKERHETSARBETET... 2

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Riktlinjer för säkerhetsarbetet

Bilaga IT till förfrågningsunderlag Bil 3 Inledning

Granskning av räddningstjänstens ITverksamhet

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

Riktlinjer för IT-säkerhet i Halmstads kommun

Informationsklassning och systemsäkerhetsanalys en guide

3.2 1H[W*HQHUDWLRQ6HFXULW\ Användarmanual

Transkript:

Säkerhetsbilaga IA-systemet Sida 1 (8)

Innehållsförteckning 1 Inledning... 3 2 Styrande dokument... 3 3 Organisation... 3 4 Personalsäkerhet... 3 5 Hantering av tillgångar... 3 6 Styrning av åtkomst... 4 6.1 Inom AFA Försäkring... 4 6.2 För användarföretag... 4 7 Kryptering... 4 8 Fysisk och miljörelaterad säkerhet... 4 9 Utrustning... 5 10 Driftssäkerhet... 5 10.1 Kommunikation... 5 10.2 Spårbarhet och övervakning... 5 10.3 Säkerhetskopiering... 6 10.4 Skydd mot skadlig kod... 6 10.5 Sårbarhetshantering... 6 11 Kommunikationssäkerhet... 6 12 Anskaffning, utveckling och underhåll av system... 6 12.1 Test och utveckling... 6 12.2 Webbläsare... 7 12.3 Penetrationstester... 7 12.4 Avveckling... 7 13 Hantering av informationssäkerhetsincidenter... 7 14 Kontinuitetshantering... 8 15 Efterlevnad... 8 Sida 2 (8)

1 Inledning AFA Försäkring strävar efter att upprätthålla en god säkerhet för såväl intern information som våra kunders information. För att göra det genomförs ett strukturerat arbete vars resultat utvärderas regelbundet med syfte att ständigt förbättra säkerheten för informationen. Denna säkerhetsbilaga redovisar för hur AFA Försäkring arbetar för att uppnå god säkerhet för sina kunders information som hanteras i systemet Informationssystem för Arbetsmiljö, härefter kallat för IA-systemet. Bilagan inkluderar även ett kapitel som avser krav som AFA Försäkring ställer på sina användarföretag, samt vilka möjligheter och skyldigheter användarföretagen har att bidra till säkerhetsarbetet. Frågor gällande AFA Försäkrings arbete för god informationssäkerhet kan ställas till AFA Försäkrings Säkerhetschef via IA support. 2 Styrande dokument Via internt styrande dokument, exempelvis för systemutveckling, incidenthantering säkerställer AFA Försäkring att den operationella säkerheten upprätthålls vid drift och förvaltning av IA-systemet. 3 Organisation Säkerhetsfunktion En säkerhetsfunktion finns uppsatt som internt arbetar integrerat med verksamheten och bistår linjeorganisationen med kompetens, utvärderingar, och riktlinjer för informations- och IT-säkerhet. Säkerhetsfunktionen hanterar frågor gällande såväl IT-säkerhet som fysisk säkerhet och personalsäkerhet. CERT (Computer Emergency Response Team) För hantering av cyberattacker sätts ett team samman med kompetenser inom bl.a. kommunikationssäkerhet, klientskydd, Datacenter, Microsofts samt Unix infrastruktur. Vid behov kan även andra kompetenser allokeras. 4 Personalsäkerhet Samtlig personal, såväl egen som inhyrd, skriver på avtal om tystnadsplikt innan åtkomst till IT-system. Personal som arbetar med IA-systemet får utbildning om hur IA-systemet nyttjas och vilka restriktioner som finns. Regelbundna samtal med egen personal nyttjas för att upptäcka och förebygga otillbörligt agerande. 5 Hantering av tillgångar Med hänsyn till att personuppgiftsrelaterad information hanteras i IAsystemet, klassificeras denna som konfidentiell. Detta innebär att AFA Sida 3 (8)

Försäkring arbetar aktivt med behovsstyrd behörighetstilldelning via roller. Endast behörigheter nödvändiga för att utföra sina arbetsuppgifter tilldelas personalen. 6 Styrning av åtkomst 6.1 Inom AFA Försäkring Endast ett fåtal personer inom AFA Försäkrings driftsavdelning har fulla rättigheter till databaser och diskar. Teamet från AFA Försäkrings systemutvecklingsavdelning som arbetar med utveckling av IA-systemet har läsrättigheter i databasen, men inga rättigheter till diskar. Alla inloggningar i IA-systemet görs via personliga konton och loggas i den centrala logghanteringen. AFA Försäkrings supportpersonal för IA-systemet kan koppla upp sig mot användarföretaget och därigenom ta del av användarföretagets data. Detta görs enbart efter skriftligt godkännande från användarföretaget. Alla läsningar av data i IA-systemet loggas för varje enskilt ärende. Dessa loggar finns tillgängliga i IA-systemet för behörig personal hos användarföretaget. 6.2 För användarföretag AFA Försäkring upprättar och tilldelar endast behörigheter för administratörer hos användarföretagen. Användarföretagen är därefter själva ansvariga för att administrera användare av IA-systemet inom sin organisation. Behörigheter styrs via roller, vilka tilldelas användare via administratörerna. Användarföretagens användare, administratörer såväl som övriga användare, har möjlighet att ange en tidsbegränsad ersättare för sin behörighet. Användarföretag ansvarar själv för inloggningsmetod, t ex. via användarnamn/lösenord, SSO via SAML 2.0, eller en kombination av dessa. AFA Försäkring rekommenderar SSO via SAML 2.0 7 Kryptering Krypteringen är SSL med publikt signerade certifikat. Dokumenterade rutiner för hantering och uppdatering av kryptografiskt material såsom nycklar för certifikat är etablerade. 8 Fysisk och miljörelaterad säkerhet Den fysiska säkerheten i våra datorhallar består av inbrottslarm, brandskydd, inpasseringssystem samt kameraövervakning. Inbrottslarmet är kopplat till ett bevakningsföretag med kort inställelsetid. Driftsmiljön patrulleras av väktare, detta sker med oregelbundna intervall och minst två gånger per dygn. Sida 4 (8)

Brandskyddet består av såväl rökdetektorer vilka är kopplade till räddningstjänsten som automatisk släckutrustning. System för skydd mot strömavbrott finns. Endast behörig personal har fysisk åtkomst till datorhallarna, access till datorhallarna är behörighetsstyrd. Inpasseringssystemet loggar såväl lyckade som misslyckade försök till fysisk åtkomst. 9 Utrustning Data på digitala medier som utrangeras raderas, därefter destrueras de digitala medierna. Detta sker på en sekretessanläggning av säkerhetsgodkänd personal. 10 Driftssäkerhet 10.1 Kommunikation Datorhallarna som nyttjas är anslutna till Internet via två separata leverantörer. En funktion för automatisk failover mellan leverantörerna nyttjas för att säkerställa hög tillgänglighet. IA-systemet är avgränsad från övriga IT-system inom AFA Försäkring via brandväggar. Endast kommunikation som explicits har tillåtits kan passera brandväggarna 10.2 Spårbarhet och övervakning Central logghantering nyttjas för IA-systemet samt för relaterad nätverkskommunikation. Utsedd personal arbetar aktivt med att upptäcka riskfyllda händelser via regelbaserade alarm samt verktyg för avvikelseanalys. Vid behov kan relevanta delar av loggarna göras tillgänglig för kundföretag. Data skyddas via behörigheter som kontrolleras på alla nivåer i IAsystemet. Hantering av data loggas, såväl läsning, editering samt inloggning. Även misslyckade inloggningsförsök loggas. IA-systemets tid hämtas från systemets servrar. Loggade tider presenteras i användarbrowserns tidszon och formatet hämtas från användarens språkinställning. Händelsedata från IA-systemet kan hämtas som Excel-filer eller PDF:er. Data om riskhanteringar hämtas som protokoll till PDF. Det går inte att manipulera loggarna inifrån IA-systemet. Loggarna sparas ograverade så länge ärendet inte tas bort eller användaren raderas eller inaktiveras. Systemet loggar ändring och läsning av händelsedata. Loggning av inloggningar görs för så väl lyckade som misslyckade försök. Behörighetsförändringar loggas också. Tillgången till loggar är styrd via rollernas behörighet. Sida 5 (8)

10.3 Säkerhetskopiering Databaser såväl som transaktionsloggar säkerhetskopieras regelbundet, och återläsning av säkerhetskopior testas regelbundet. Maximal dataförlust (dvs RPO) är 4 timmar och tid för återläsning (dvs RTO) är 8 timmar. Säkerhetskopior tas på servrar i båda datorhallarna och sparas på en plats skild från originalet. 10.4 Skydd mot skadlig kod IA-systemet är avgränsat från övriga AFA Försäkring via brandväggar. Samtliga servrar inom IA-miljön är skyddade mot skadlig kod via white listing-mjukvara. Klienter som nyttjas för att ansluta till servrarna har antivirus-mjukvara aktiv. Såväl servrar som klienter härdas innan driftsättning. 10.5 Sårbarhetshantering Dedikerad personal har som uppgift att bevaka information från leverantörer av produkter och komponenter gällande säkerhetsbrister och tillgängliga uppdateringar. En riskanalys görs varefter allvarliga säkerhetsbrister och viktiga uppdateringar hanteras omgående, och övriga hanteras enligt dokumenterad rutin för regelbunden versionshantering. Samtliga ändringar i nyttjad mjukvara och i IA-systemet ingående tredjepartskomponenter dokumenteras. 11 Kommunikationssäkerhet Lösningen skyddas med en brandvägg så att endast fördefinierad trafik ges nätverksåtkomst till lösningen. Det innebär att webbserver och databasserver ligger i AFA Försäkrings DMZ som är skilt från interna nät och Internet. All trafik som passerar brandväggen loggas. Loggarna sparas 12 månader bakåt i tiden, alla poster sparas lika länge. 12 Anskaffning, utveckling och underhåll av system 12.1 Test och utveckling Utvecklingsteam Systemutveckling sker agilt som bygger på proaktiv kvalitetssäkring med kontinuerlig testning och återkoppling av resultat. Systemutveckling inom agil utveckling omfattar både kravarbete och test. Utvecklingsteamet ansvarar gemensamt för alla aktiviteter som krävs för att kvalitetssäkra varje PBI (product backlog item) i varje sprint. Teamet är också ansvariga för IA-systemets och produktens långsiktiga kvalitetssäkring. Sida 6 (8)

Referensgrupp Önskemål om ny funktionalitet hanteras via en referensgrupp. Referensgruppen består av företagsrepresentanter som utses av branscherna plus branschföreträdare. Referensgruppen samlas två gånger per år och har till uppgift att prioritera dessa önskemål. För att få bereda ärenden finns det olika utskott vars uppgift är att lägga fram konkreta idéer för nya lösningar gällande olika områden. Utskotten består av användare från olika företag och branscher med intresse för specifika frågor. Utskotten används också som bollplank i utvecklingsarbetet för att AFA Försäkring ska kunna stämma av att lösningen blir som referensgruppen önskar. Information om innehåll i kommande releaser skickas en vecka före produktionssättning till respektive företags huvudadministratörer. IT-miljöer Separata IT-miljöer används för produktion respektive test och utveckling av IA-systemet. 12.2 Webbläsare IA-systemet är anpassat för XHTML-kompatibla webbläsare. IA-systemet genererar rapporter i PDF, TIFF och Excel, samt använder Google Maps för kartfunktion. 12.3 Penetrationstester Utförliga penetrationstester av systemets säkerhet görs av externa partners minst en gång per år. Användarföretag får ej genomföra en säkerhetsgranskning eller penetrationstest av IA-systemet utan att detta först godkänts av AFA Försäkring. Kontakta AFA Försäkrings IA-support för vidare information. 12.4 Avveckling Efter avtalets upphörande och, i enlighet med de allmänna villkoren, kommer personuppgifter raderas på inrapporterade arbetsskaderisker och arbetsskador, övriga händelser raderas. I det fall användarföretaget önskar få sin data migrerad kan data om inrapporterade händelser hämtas ut till Excel, data om inrapporterade riskhanteringar hämtas som protokoll till PDF. 13 Hantering av informationssäkerhetsincidenter Applikationsansvarig leder det operativa arbetet med hanteringen av allvarliga IT-incidenter, vilket innebär kommunikation, utredning och rapportering. Applikationsansvarig analyserar IT-incidenterna för att säkerställa att tillräckliga åtgärder har vidtagits för att hantera incidenten samt för att verksamheten ska kunna utnyttja erfarenheterna av dessa i den operativa riskhanteringen. Sida 7 (8)

En lösningsgrupp tillsätts för att lösa incidenten samt bistå applikationsansvarig med utredningsarbetet. I det fall AFA Försäkring utsätts för en cyberattack aktiveras CERT. Beroende på omfattningens allvarlighetsgrad av incidenten kan AFA Försäkrings krisledningsorganisation aktiveras. Hantering av personuppgiftsrelaterade incidenter hanteras i enlighet med Personuppgiftsbiträdesavtalet. 14 Kontinuitetshantering IA-systemet är speglat i två separata datorhallar inom Stockholmsområdet. Vardera datorhall är dimensionerad för att kunna upprätthålla systemets tillgänglighet om en av datorhallarna blir otillgänglig. 15 Efterlevnad Internrevisionen hos AFA Försäkring arbetar enligt en årligen fastställd revisionsplan. Rapportering sker till styrelsen, revisionsutskott, och VD. Revisionsplanen upprättas genom en objektiv och oberoende granskning utifrån väsentlighet och risk för att ge en helhetsbedömning av verksamhetens interna styrning och kontroll. Sida 8 (8)

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss