Bilaga 3 - Stockholms stad

Bilaga 3 Säkerhet
Dnr: 2.4.2-8831/2015
2016-01-11
stockholm.se
Utbildningsförvaltningen
Avdelningen för utveckling och samordning
Hantverkargatan 2F
104 22 Stockholm
Växel 08-508 33 000
www.stockholm.se
Bilaga 3 Säkerhet
Dnr: 2.4.2-8831/2015
2016-01-11
Innehåll
1
Inledning
3
2
2.1
2.2
2.3
2.4
2.5
2.6
2.7
2.8
Krav på säkerhetsarbete
Allmänt
Ledningssystem för informationssäkerhet
Ingående aktiviteter i säkerhetsarbetet
Ansvar för tillgångar
Radering och destruktion
Säker avveckling eller återanvändning av utrustning
Hantering av Stadens information
Medgivande för anslutning till nätverk
3
3
4
4
5
5
5
6
6
2 (6) Upphandling av Digitala Enheter och Kringutrustning
Bilaga 3 Säkerhet
Dnr: 2.4.2-8831/2015
2016-01-11
1 Inledning
Definitioner som används i detta dokument har den betydelse som
anges i Bilaga 1 (Begrepp och definitioner).
Denna bilaga reglerar på en övergripande nivå arbetet med krav på
säkerhet som beskrivs i Ramavtalet. Ramavtalsleverantören ska
följa dessa krav samt Stadens vid var tid gällande riktlinjer för
informationssäkerhet.
2 Krav på säkerhetsarbete
2.1 Allmänt
Ramavtalsleverantören ska kontinuerligt arbeta med att planera,
följa upp och förbättra kvalitet och säkerhet i tillhandahållandet av
Leveransen. Detta för att uppfylla Stadens säkerhetsbehov och se
till att information hanteras på ett säkert sätt för hela Leveransen
och processaktiviteter. Detta arbete ska vara organiserat med
ansvariga utpekade hos Ramavtalsleverantören och genomsyra
Ramavtalsleverantörens arbete med Leveransen.
Syftet med säkerhetsarbetet är att förhindra, eller minska
konsekvenserna av, alternativt sannolikheten för, oönskade
händelser inom tillhandahållandet av Produkterna och att
upprätthålla Stadens förmåga att fullgöra sina åtaganden
innefattande bland annat myndighetskrav och krav enligt Gällande
Rätt. I arbetet ingår alla åtgärder vars samlade effekt är att
förebygga och minimera konsekvenserna av störningar och avbrott
för informationshanteringen.
I detta åtagande ingår att säkerställa att informationen får rätt nivå
av säkerhet med avseende på informationssäkerhetsaspekterna:




Åtkomstbegränsning (sekretess) – skydd mot obehörig
åtkomst av information,
Riktighet – skydd mot oönskad förändring, påverkan eller
insyn,
Tillgänglighet – åtgärder för att säkra drift och
funktionalitet, och
Spårbarhet – möjligheten att fastställa vem som gjort vad
eller att kunna verifiera orsaken till en händelse.
Upphandling av Digitala Enheter och Kringutrustning
3 (6)
Bilaga 3 Säkerhet
Dnr: 2.4.2-8831/2015
2016-01-11
2.2 Ledningssystem för informationssäkerhet
Ramavtalsleverantören ska, utöver de processer för egenkontroll
som Ramavtalsleverantören anger i sitt anbud, ha ett generellt
processorienterat it-säkerhetsarbete, som i enlighet med ITIL
Security Management eller motsvarande är sammanhållet av ett
ledningssystem för informationssäkerhet (LIS), där policys,
säkerhetskontroller, andra säkerhetsåtgärder, säkerhetsrevisioner,
schemalagda säkerhetstester och klassificering av känslig data och
risker finns dokumenterade. Ledningssystemet ska möjliggöra för
Ramavtalsleverantören att leva upp till krav enligt detta Ramavtal.
Ledningssystemet för informationssäkerhet ska minst ha beaktat
följande aspekter:






Stadens information, organisation, struktur, interna/externa
krav och risker med dessa,
Stadens strategier, planer och budget för it-leveranser och
risker med dessa,
Specifik känslig data,
Lagstiftning,
Incidenter och digitala angrepp, och
Förändringar som påverkar säkerheten, till exempel framtida
planer och krav.
2.3 Ingående aktiviteter i säkerhetsarbetet
Nedanstående aktiviteter ska ingå i Ramavtalsleverantörens
säkerhetsarbete.
På begäran av Staden ska Ramavtalsleverantören redovisa att dessa
aktiviteter utförs samt den övergripande metod som används.



Styrning;
- organisera it- och informationssäkerhetsarbetet med
tydligt ansvar och mandat relaterade till
Ramavtalsleverantörens åtagande,
Planering;
- planera för säkerhetshöjande åtgärder där så är
tillämpligt, inklusive att genomföra risk- och
sårbarhetsanalyser, dokumentera dessa samt besluta
om åtgärder med anledning av dessa. Analyserna ska
genomföras i enlighet med Stockholm Stads modell
för risk- och sårbarhetsanalys,
Klargöra interna roller och säkerhetsrelaterade krav, samt,
där så är tillämpligt, sätta ett internt regelverk för;
- hur tillåten användning av it (inklusive beivrandet
vid missbruk) ska ske,
4 (6) Upphandling av Digitala Enheter och Kringutrustning
Bilaga 3 Säkerhet
Dnr: 2.4.2-8831/2015
2016-01-11
-


hur hanteringen av behörigheter, lösenord, e-post,
internet, antivirus och säkerhetsklassning av
information ska ske,
- hur hanteringen av fjärråtkomst,
underleverantörsstyrning inklusive deras tillgång till
system och data samt eventuella kompletterande
särskilda säkerhetsstrategier ska ske, och
- hur arbetet med alternativa arbetssätt och rutiner, för
den händelse att Ramavtalsleverantören själv drabbas
av störningar i sin interna verksamhet ska ske.
Etablering;
- kommunicera om och utbilda
Ramavtalsleverantörens personal avseende
informationssäkerhetsarbetet (exempelvis gällande
klassificering av data och information),
- fastställa riktlinjer för behörigheter och för
hanteringen av säkerhetsincidenter, och
- utse och dokumentera ansvariga för säkerheten i
Leveransens olika delar, exempelvis Beställning och
avveckling av Förhyrda Produkter.
Löpande arbete: Genomföra dagliga aktiviteter såsom;
- Verifiera att Leveransen lever upp till ställda krav i
Stockholm Stads Riktlinje informationssäkerhet samt
föreslå åtgärder vid eventuella avvikelser,
- Kontinuerligt arbeta med förbättringar av
informationssäkerhetsarbetet.
2.4 Ansvar för tillgångar
Ramavtalsleverantören ansvarar för att alla levererade Produkter tas
upp i en förteckning och att denna förteckning hålls uppdaterad.
2.5 Radering och destruktion
Ramavtalsleverantören ska snarast radera, utplåna eller avidentifiera
uppgifter på Stadens begäran. Ramavtalsleverantören ska kunna
försäkra Staden om att uppgifterna raderas inom en överenskommen
tid.
2.6 Säker avveckling eller återanvändning av
utrustning
Ramavtalsleverantören ansvarar för att ha rutiner för destruktion av
lagringsmedia som innehåller känslig information eller licensierade
program då mediet avvecklas. Media ska förstöras, avmagnetiseras
eller överskrivas på ett säkert sätt i samband med avveckling eller
återanvändning.
Upphandling av Digitala Enheter och Kringutrustning
5 (6)
Bilaga 3 Säkerhet
Dnr: 2.4.2-8831/2015
2016-01-11
2.7 Hantering av Stadens information
Ramavtalsleverantören ska begränsa antalet personer som har
åtkomst till skyddade och känsliga uppgifter.
Ramavtalsleverantören ska behandla dessa uppgifter i enlighet med
gällande lag samt Stadens skriftliga instruktioner i enlighet med
Ramavtalet.
2.8 Medgivande för anslutning till nätverk
Utrustning och system som ingår i Leveransen till Staden får inte
utan skriftligt medgivande från Staden anslutas till nätverk som kan
nås av annan leverantör eller används för leverans till annan Part.
6 (6) Upphandling av Digitala Enheter och Kringutrustning