Bilaga A 10 – Riktlinjer informationssäkerhet

Bilaga 10 Riktlinjer
informationssäkerhet
Dnr: 2.4.2-7622/2015
Förfrågningsunderlag
2016-01-11
stockholm.se
Utbildningsförvaltningen
Avdelningen för utveckling och samordning
Hantverkargatan 2F
104 22 Stockholm
Växel 08-508 33 000
www.stockholm.se
Bilaga 10 Riktlinjer informationssäkerhet
Dnr: 2.4.2-7622/2015
2016-01-11
Innehåll
1
Inledning
3
2
Riktlinje informationssäkerhet
3
3
Certifikathantering
5
2 (5) Tjänster för it-service för Stockholms stads pedagogiska verksamheter
Bilaga 10 Riktlinjer informationssäkerhet
Dnr: 2.4.2-7622/2015
2016-01-11
1 Inledning
Definitioner som används i denna bilaga har den betydelse som
anges i Bilaga 1 (Begrepp och definitioner).
Utöver de övergripande krav på säkerhet som beskrivs i
Huvudavtalet avsnitt 11 (Säkerhetskrav och kontinuitet), samt de
krav på Leverantörens säkerhetsarbete som beskrivs i Bilaga 9
(Säkerhet), ska Leverantören följa Stadens vid var tidpunkt gällande
riktlinjer för informationssäkerhet.
2 Riktlinje informationssäkerhet
Till denna Bilaga 10 (Riktlinjer informationssäkerhet) bifogas
Stockholms stads nu gällande Riktlinje för informationssäkerhet.
Stadens riktlinje för informationssäkerhet anger bland annat hur
Staden ska agera för att initiera, införa, bibehålla och förbättra
informationssäkerheten i Staden. Riktlinjerna ska ses som ett lägsta
krav vid utveckling eller inköp av nya system och tjänster och målet
för redan driftsatt system.
Varje förvaltning i Stockholms stad ska ha en tillämpningsanvisning
kring hur riktlinje för informationssäkerhet ska tolkas och
appliceras på respektive förvaltning. Denna tillämpningsanvisning
ska fungera som ett styrande dokument för Leverantören.
Staden arbetar med att ta fram en sådan tillämpningsanvisning (dnr
1.3.2-50/2016). Eftersom tillämpningsanvisningen är under
framtagande måste Leverantören därför redan nu ta hänsyn till ett
antal förtydligande enligt nedan.
Riktlinje informationssäkerhet sidorna 42 och 48:
För stycket om att all ändring av programvara ska godkännas innan
den installeras i utbildnings- eller produktionsmiljö och stycket om
att säkerhetsuppdateringar alltid ska bedömas innan aktuell patch
kan installeras gäller följande:
Användare ska själva kunna installera programvaror på Digitala
Enheter avsedda för detta. De ska även själva kunna genomföra
Tjänster för it-service för Stockholms stads pedagogiska verksamheter
3 (5)
Bilaga 10 Riktlinjer informationssäkerhet
Dnr: 2.4.2-7622/2015
2016-01-11
säkerhetsuppdateringar av de programvaror som de själva har
installerat.
Leverantören ansvarar för att införa kompenserande
säkerhetsåtgärder vilka ska avvägas mot identifierade risker,
behovet av användarvänlighet, tillgänglighet samt kostnader.
Nämnda kompenserande säkerhetsåtgärder ska överenskommas
med Stadens Centrala Beställarorganisation. Säkerhetsåtgärder ska
kunna omfatta att Digitala Enheter, där så är tillämpligt, kan
kontrolleras avseende exempelvis, jailbreak,
konfigurationsavvikelser och skadlig kod. Det ska finnas
funktionalitet för att ominstallera jailbreakade, infekterade och
korrupta Digitala Enheter, både enstaka och mass-ominstallationer.
Riktlinje informationssäkerhet sidan 48:
För stycket om att uppdatering av antivirusskyddet ska utföras
automatiskt vid anslutning till Stadens nätverk. Om detta inte är
möjligt ska skyddet uppdateras manuellt gäller följande:
Användare ska kunna uppdatera skydd mot skadlig kod via internet.
Leverantören ska se till att det är möjligt för Användare att
uppdatera skydd mot skadlig kod via internet.
Riktlinje informationssäkerhet sidan 48:
För stycket om att spärra mottagningen av mobil kod (inaktivera
ActiveX, Java, Flash, etc.) gäller följande:
Leverantören ska se till att det finns införda säkerhetsåtgärder mot
skadlig kod på de Digitala Enheter där det är möjligt, samt enligt
överenskommelse med Stadens Centrala Beställarorganisation.
Säkerhetsåtgärderna ska vara avvägda mot identifierade risker,
behovet av användarvänlighet, tillgänglighet samt kostnader.
Riktlinje informationssäkerhet sidan 69:
För stycket om grundprinciper för åtkomst framgår det fyra (4)
nivåer av åtkomst vilka baseras på vem som äger den Digitala
Enheten, åtkomstbehörigheter samt hur den Digitala Enheten är
konfigurerad och för detta gäller följande:
Här skiljer sig Staden från övriga Stockholms stad.
Åtkomstbehörigheter kopplas även till identifieringsmetod och roll.
4 (5) Tjänster för it-service för Stockholms stads pedagogiska verksamheter
Bilaga 10 Riktlinjer informationssäkerhet
Dnr: 2.4.2-7622/2015
2016-01-11
3 Certifikathantering
I Stadens policy Stockholms stads certifikatpolicy framgår det hur
Stadens hantering av certifikat ska skötas.
Tjänster för it-service för Stockholms stads pedagogiska verksamheter
5 (5)