Bilaga 10 Riktlinjer informationssäkerhet Dnr: 2.4.2-7622/2015 Förfrågningsunderlag 2016-01-11 stockholm.se Utbildningsförvaltningen Avdelningen för utveckling och samordning Hantverkargatan 2F 104 22 Stockholm Växel 08-508 33 000 www.stockholm.se Bilaga 10 Riktlinjer informationssäkerhet Dnr: 2.4.2-7622/2015 2016-01-11 Innehåll 1 Inledning 3 2 Riktlinje informationssäkerhet 3 3 Certifikathantering 5 2 (5) Tjänster för it-service för Stockholms stads pedagogiska verksamheter Bilaga 10 Riktlinjer informationssäkerhet Dnr: 2.4.2-7622/2015 2016-01-11 1 Inledning Definitioner som används i denna bilaga har den betydelse som anges i Bilaga 1 (Begrepp och definitioner). Utöver de övergripande krav på säkerhet som beskrivs i Huvudavtalet avsnitt 11 (Säkerhetskrav och kontinuitet), samt de krav på Leverantörens säkerhetsarbete som beskrivs i Bilaga 9 (Säkerhet), ska Leverantören följa Stadens vid var tidpunkt gällande riktlinjer för informationssäkerhet. 2 Riktlinje informationssäkerhet Till denna Bilaga 10 (Riktlinjer informationssäkerhet) bifogas Stockholms stads nu gällande Riktlinje för informationssäkerhet. Stadens riktlinje för informationssäkerhet anger bland annat hur Staden ska agera för att initiera, införa, bibehålla och förbättra informationssäkerheten i Staden. Riktlinjerna ska ses som ett lägsta krav vid utveckling eller inköp av nya system och tjänster och målet för redan driftsatt system. Varje förvaltning i Stockholms stad ska ha en tillämpningsanvisning kring hur riktlinje för informationssäkerhet ska tolkas och appliceras på respektive förvaltning. Denna tillämpningsanvisning ska fungera som ett styrande dokument för Leverantören. Staden arbetar med att ta fram en sådan tillämpningsanvisning (dnr 1.3.2-50/2016). Eftersom tillämpningsanvisningen är under framtagande måste Leverantören därför redan nu ta hänsyn till ett antal förtydligande enligt nedan. Riktlinje informationssäkerhet sidorna 42 och 48: För stycket om att all ändring av programvara ska godkännas innan den installeras i utbildnings- eller produktionsmiljö och stycket om att säkerhetsuppdateringar alltid ska bedömas innan aktuell patch kan installeras gäller följande: Användare ska själva kunna installera programvaror på Digitala Enheter avsedda för detta. De ska även själva kunna genomföra Tjänster för it-service för Stockholms stads pedagogiska verksamheter 3 (5) Bilaga 10 Riktlinjer informationssäkerhet Dnr: 2.4.2-7622/2015 2016-01-11 säkerhetsuppdateringar av de programvaror som de själva har installerat. Leverantören ansvarar för att införa kompenserande säkerhetsåtgärder vilka ska avvägas mot identifierade risker, behovet av användarvänlighet, tillgänglighet samt kostnader. Nämnda kompenserande säkerhetsåtgärder ska överenskommas med Stadens Centrala Beställarorganisation. Säkerhetsåtgärder ska kunna omfatta att Digitala Enheter, där så är tillämpligt, kan kontrolleras avseende exempelvis, jailbreak, konfigurationsavvikelser och skadlig kod. Det ska finnas funktionalitet för att ominstallera jailbreakade, infekterade och korrupta Digitala Enheter, både enstaka och mass-ominstallationer. Riktlinje informationssäkerhet sidan 48: För stycket om att uppdatering av antivirusskyddet ska utföras automatiskt vid anslutning till Stadens nätverk. Om detta inte är möjligt ska skyddet uppdateras manuellt gäller följande: Användare ska kunna uppdatera skydd mot skadlig kod via internet. Leverantören ska se till att det är möjligt för Användare att uppdatera skydd mot skadlig kod via internet. Riktlinje informationssäkerhet sidan 48: För stycket om att spärra mottagningen av mobil kod (inaktivera ActiveX, Java, Flash, etc.) gäller följande: Leverantören ska se till att det finns införda säkerhetsåtgärder mot skadlig kod på de Digitala Enheter där det är möjligt, samt enligt överenskommelse med Stadens Centrala Beställarorganisation. Säkerhetsåtgärderna ska vara avvägda mot identifierade risker, behovet av användarvänlighet, tillgänglighet samt kostnader. Riktlinje informationssäkerhet sidan 69: För stycket om grundprinciper för åtkomst framgår det fyra (4) nivåer av åtkomst vilka baseras på vem som äger den Digitala Enheten, åtkomstbehörigheter samt hur den Digitala Enheten är konfigurerad och för detta gäller följande: Här skiljer sig Staden från övriga Stockholms stad. Åtkomstbehörigheter kopplas även till identifieringsmetod och roll. 4 (5) Tjänster för it-service för Stockholms stads pedagogiska verksamheter Bilaga 10 Riktlinjer informationssäkerhet Dnr: 2.4.2-7622/2015 2016-01-11 3 Certifikathantering I Stadens policy Stockholms stads certifikatpolicy framgår det hur Stadens hantering av certifikat ska skötas. Tjänster för it-service för Stockholms stads pedagogiska verksamheter 5 (5)
© Copyright 2024