Följande tabell listas de risker som togs upp i ovanstående Risk- och sårbarhetsanalys.
För varje risk så ställs ett krav på hur detta ska hanteras i avtal mellan Vallentuna Kommun och Microsoft som molntjänstleverantör.
Beskrivning Riskbedömning Åtgärd
Elevers arbetsmaterial i skolan går förlorat pga.
systemfel
Allvarlig/Mycket Sällan Det ska finnas backup av informationen i tjänsten. Denna ska kunna kontrolleras och prövas fortlöpande av kommunen.
Obehörig får del av arbetsmaterial.
Betydande/Sällan Leverantören ska etablera och upprätthålla en informationssäkerhet som skyddar mot intrång. Denna ska kunna kontrolleras och prövas fortlöpande av kommunen.
Utbildning och instruktioner till användare.
Leverantören visar sig inte kunna etablera
eller upprätthålla tillräcklig informationssäkerhet.
Allvarlig/Mycket Sällan Leverantören ska etablera och upprätthålla en informationssäkerhet som kan kontrolleras och prövas fortlöpande av kommunen.
Nivån för informationssäkerheten ska göra det möjligt för kommunen att uppfylla motsvarande krav som gäller enligt Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters informationssäkerhet (MSBFS 2009:10).
Personal hos leverantören läser Elevernas e-post.
Måttlig/Mycket Sällan Kommunen ska på egen hand kunna sätta behörigheter för information i tjänsten.
Leverantören går i konkurs, köps upp av intressent som inte respekterar ingånget avtal eller att tjänsten avvecklas.
Allvarlig/ Mycket Sällan Det ska finnas back-up av informationen från tjänsten. Denna ska kunna
kontrolleras och prövas fortlöpande av kommunen.
Back-up ska kunna användas av kommunen utan leverantörens medverkan eller godkännande.
Medarbetares arbetsmaterial i skolan går förlorad pga.
Betydande /Mycket sällan Det ska finnas backup av informationen i tjänsten. Denna ska kunna kontrolleras
13
Nivån på tillräcklig tillgänglighet ska regleras i avtal. Nivån ska vara
konkret och mätbar och ge konsekvens för leverantören vid återkommande brister.
Virus eller annan fientlig kod kan via tjänsten hota kommunen övriga IT-miljö.
Betydande /Mycket sällan
Leverantören har väl etablerade skydd mot virus och fientlig kod där data lagras och behandlas. Kommunen har också virusskydd lokalt på klienter och servrar i egen miljö där data kan behandlas.
Information och
personuppgifter raderas inte efter att elever har slutat i verksamheten
Måttlig /Sällan Avslutande av konton styrs från kommunen. Leverantören garanterar att data raderas i enlighet med instruktioner från kommunen.
Leverantören garanterar i avtal att personuppgifter endast kommer att behandlas för de ändamål som leverantören har anlitats för.
Leverantören informerar löpande om förändringar.
Kommunen har rutiner för att granska förändringarna och ta ställning till konsekvens. Informationen till användare kan behöva uppdateras.
Data och metadata kan inte överföras till annan IT-lösning vid avslutande av tjänsten.
Betydande/ Mycket sällan
Leverantören beskriver i avtalet hur detta ska kunna genomföras
Då risk- och sårbarhetsanalyser är ett pågående arbete är det viktigt att kunna anpassa tjänsten efter nya bedömningar och ändrade förutsättningar.
Nämnden/Kommunen konstaterar att den valda tjänsten kan skötas både som en molntjänst och som en lokal installation. Det innebär att kommunen kan välja att sköta delar eller hela tjänsten och själv hämta tillbaka data om behov skulle uppstå i framtiden.
Formulär för undertecknande av Program
MBA-/MBSA-nummer 6-EWB37J2IZ
avtalsnummer 6177065
Obs! Ange tillämpliga aktiva nummer som tillhör dokumenten nedan. Microsoft kräver att associerade aktiva nummer skall anges här eller som nya i listan nedan.
I detta formulär avser ”Kunden” den enhet som undertecknar formuläret, Anslutet Koncernbolag, Myndighetspartner, Institution eller annan part som ingår ett volymlicensieringsprogramavtal.
Detta formulär för undertecknande och alla kontraktsdokument som anges i tabellen nedan har ingåtts mellan Kunden och undertecknande Microsoft-koncernbolag, per nedan angivet ikraftträdandedatum.
Kontraktsdokument Nummer eller Kod
<Välj Avtal>
<Välj Avtal>
<Välj Avtal>
<Välj Avtal>
<Välj Avtal>
<Välj Registrering>
<Välj Registrering>
<Välj Registrering>
<Välj Registrering>
<Välj Registrering>
EES Amendment Office 365 Data Process Agr - M100
EES Amendment Office 365 Data Process Agr - EES18
Genom att underteckna detta formulär nedan intygar Kunden och Microsofts Koncernbolag att båda parter (1) har mottagit kopior av, läst och förstått ovan nämnda kontraktsdokument, inklusive eventuella webbplatser eller dokument som ingår som referens och eventuella ändringar och (2) samtycker till att vara bundna av villkoren i alla sådana dokument.
Kund
Enhetens namn (måste vara namnet på en juridisk person)* Vallentuna kommun Underskrift*
Textat för- och efternamn*
Textad titel
Datum för undertecknande*
*obligatoriska fält
Microsofts koncernbolag
Microsoft Ireland Operations Limited
Momsnummer IE8256796U
Underskrift
Textat för- och efternamn Textad titel
Datum för undertecknande
(det datum då Microsofts Koncernbolag kontrasignerar)
Avtalets ikraftträdandedatum
(kan vara annat än Microsofts datum för undertecknande)
Valfri ytterligare underskrift av Kund eller outsourcingleverantör (om tillämpligt)
Kund
Enhetens namn (måste vara namnet på en juridisk person)*
Underskrift*
Textat för- och efternamn*
Textad titel
Datum för undertecknande*
*obligatoriska fält
Outsourcing-leverantör
Enhetens namn (måste vara namnet på en juridisk person)*
Underskrift*
Textat för- och efternamn*
Textad titel
Datum för undertecknande*
*obligatoriska fält
Om Kunden kräver fysiska medier, ytterligare kontaktpersoner eller anger flera tidigare Registreringar skall lämpliga formulär bifogas till detta formulär för undertecknande.
När Kunden har undertecknat detta formulär skickas det, tillsammans med kontraktsdokumenten, till Kundens samarbetspartner (kanal) eller till Microsofts kundansvarige som måste inge dem till nedanstående adress. När formuläret för undertecknande har undertecknats av Microsoft erhåller Kunden ett exemplar som bekräftelse på detta.
Microsoft Ireland Operations Limited Atrium Building Block B
Carmenhall Road
Sandyford Industrial Estate Dublin 18, Ireland
Attention: EOC Program Operations Dept.