Riktlinjer för informationssäkerhet

Transkript

1 Styrdokument 1 (60) Riktlinjer för informationssäkerhet Dokumenttyp: Riktlinje Beslutad av: Kommunstyrelsen Gäller för: Varbergs kommun Dokumentnamn: Riktlinjer för informationssäkerhet Beslutsdatum: , 189 Dokumentansvarig avdelning: Kommunkansliet Diarienummer: KS 2018/0297 Giltig till och med: Tillsvidare Senast reviderad:

2 2 (60) Riktlinjer för informationssäkerhet Innehåll Inledning... 4 Riktlinjernas omfattning... 4 Struktur och läsanvisning... 4 Introduktion till informationssäkerhet... 5 Kapitel A: Informationssäkerhet för medarbetare... 6 Inledning... 6 Medarbetarnas ansvar för informationssäkerhet... 6 Informationsklasser... 7 Personuppgifter... 9 Arbetsmaterial, allmänna handlingar och sekretess... 9 Regler och riktlinjer för medarbetare A3. Skadlig kod A6. Lagring och säkerhetskopiering A7. Spårbarhet och loggning A8. Säkert beteende Kapitel B: Styrning av informationssäkerhet Inledning B1. Roller, ansvar och organisation B2. Dokumentsstruktur B3. Informationsklassning B4. Ledningssystem för informationssäkerhet B5. Personalsäkerhet... 30

3 3 (60) B6. Leverantörsrelationer B7. Efterlevnad och granskning C. Informationssäkerhet i verksamhetsnära förvaltning Inledning Roller och ansvar C1. Dokumentation av informationssäkerhet C2. Klassificering av information och system C3. Behörighetshantering och loggning C4. Ändringshantering C5. Användarinstruktioner C6. Riskanalys C7. Incidenthantering C8. Kontinuitetshantering D. Informationssäkerhet i IT-nära förvaltning Inledning Organisation, roller och ansvar D1. Hantering av tillgångar D2. Styrning av åtkomst D3. Kryptering D4. Fysisk och miljörelaterad säkerhet D5. Driftssäkerhet D6. Kommunikationssäkerhet D7. Anskaffning och utveckling av IT-resurser D8. Incidenthantering D9. Kontinuitetshantering D10. Granskning och kontroll Bilaga 1. Termer och definitioner... 60

4 4 (60) Inledning Varbergs kommuns policy för informationssäkerhet är ett övergripande dokument som redovisar kommunens övergripande mål och inriktning med informationssäkerhet. Riktlinjer för informationssäkerhet (detta dokument) konkretiserar policyn. Riktlinjernas omfattning Riktlinjerna innehåller information och regler för säkerhet vid all hantering av information inom Varbergs kommuns samtliga verksamheter. Varje nämnd och styrelse kan i undantagsfall även besluta om undantag från delar av riktlinjerna. Undantag kan tillexempel ges om det saknas tekniska förutsättningar att efterleva riktlinjerna. Det kan röra sig om att det för tillfället inte finns något bra IT-system för en verksamhet och att sådant behöver införskaffas. Det kan även röra sig att ett IT-system endast finns som molntjänst eller med drift utanför Sverige eller i tredje land och att lagringen av informationen i ett systemet där av avviker från vad som regleras i riktlinjerna. Undantag får endas beslutas med krav på att kompenserande åtgärder genomförs. Beslut om undantag ska samrådas med informationssäkerhetsanvarig. Undantag får som längst gälla i 2 år och ska sedan omprövas för att klargöra om omständigheterna som föregick undantaget fortfarande gäller. Struktur och läsanvisning För att ge god läsbarhet är dokumentet uppdelat i fyra kapitel som riktar sig till olika målgrupper: kapitel A: Informationssäkerhet för medarbetare. Kapitlet riktar sig till samtliga medarbetare och tillfällig personal och består av information och regler för hur information och IT ska hanteras i olika situationer kapitel B: Styrning av informationssäkerhet. Kapitlet riktar sig till alla som arbetar med och har ansvar inom IT- och informationssäkerhet och består av information om ansvarsfördelning för informationssäkerhet och riktlinjer för hur arbetet med informationssäkerhet ska bedrivas kapitel C: Informationssäkerhet i verksamhetsnära förvaltning. Kapitlet riktar sig till informations- och/eller systemägare samt systemförvaltare och består av information och riktlinjer för informationssäkerhet för verksamhetssystem kapitel D: Informationssäkerhet i IT-nära förvaltning. Kapitlet riktar sig till samtliga chefer och medarbetare på IT-avdelningen och består av information och riktlinjer för hur information och IT ska hanteras inom IT-miljön. Varje kapitel består av informativa avsnitt och riktlinjer som är obligatoriska. För riktlinjer som styr hantering av konfidentiell information eller information med höga skyddskrav

5 5 (60) är nämnda termer alltid markerade med fetstil för att göra läsaren extra uppmärksam. I Kapitel A, som riktar sig till alla medarbetare, är samtliga riktlinjer dessutom numrerade och presenterade i tabellform. Kapitel A, Informationssäkerhet för medarbetare, har strukturerats för att stämma överens med utbildningen DISA (Datorstödd informationssäkerhetsutbildning för användare) som utarbetats av MSB (Myndigheten för samhällsskydd och beredskap) i syfte att läsaren ska kunna genomgå utbildningen parallellt med läsningen av kapitel A. Informationsklassning är en central del av arbetet med informationssäkerhet och finns med genomgående i riktlinjerna. Hur information är klassad ska styra hur den ska skyddas och hanteras. Varbergs kommuns modell för informationsklassning beskrivs i Kapitel B och regler för hur information ska klassas och skyddas utifrån klassningen återfinns i respektive kapitel. Introduktion till informationssäkerhet Informationssäkerhet består av att skapa och upprätthålla lämpligt skydd för information i alla dess former så som text, bild, film och ljud oavsett om den finns i IT-system, papper eller i form av tal. Medan IT-säkerhet fokuserar på säkerhet i IT-miljöer så handlar informationssäkerhet om all information oavsett form och oavsett hur den lagras. Information och de resurser som används för att hantera information benämns informationstillgångar. Informationssäkerhet utgörs av tre aspekter, vilket betyder att en informationstillgång ska vara: konfidentiell - att information inte tillgängliggörs eller avslöjas för obehöriga riktig - att information är korrekt, aktuell och fullständig tillgänglig att information är åtkomlig och användbar av behörig. Olika typer av händelser (incidenter), som kan vara oavsiktliga eller avsiktliga, kan försämra konfidentialiteten, riktigheten eller tillgängligheten hos informationen. Information kan på ett oönskat sätt till exempel stjälas, raderas förändras eller göras otillgänglig. En viss informationsmängd har krav på sig gällande de tre aspekterna som kan vara interna eller härledas från rättsliga krav eller förväntningar och behov från externa aktörer. Rättsliga krav i form av lagar, förordningar, föreskrifter och avtal ställer även krav på en verksamhets informationshantering som ofta inbegriper krav på konfidentialitet, riktighet och tillgänglighet. Dessutom har externa aktörer ofta behov och förväntningar som påverkar informationssäkerheten i Varbergs kommuns verksamheter.

6 6 (60) Kapitel A: Informationssäkerhet för medarbetare Inledning Detta kapitel vänder sig till alla medarbetare i Varbergs kommun. Riktlinjerna gäller även externa personer som har åtkomst till Varbergs kommuns information, till exempel inhyrda konsulter. Riktlinjerna beskriver det ansvar som medarbetare har vid hantering av information i Varbergs kommun och vilka regler som gäller. Varbergs kommun är en stor organisation med många skilda verksamheter. Det kan därav finnas behov av att ta fram lokala tillämpningar. Avvikelser och undantag från dessa riktlinjer får dock aldrig göras utan särskilt tillstånd. Riktlinjerna för informationssäkerhet för medarbetare följer en struktur som tagits fram av Myndigheten för samhällsskydd och beredskap (MSB) för att utbildning i informationssäkerhet, Datorstödd informationssäkerhetsutbildning för användare (DISA). Syftet med upplägget är att medarbetarna i Varberg ska kunna genomföra DISAutbildningen och parallellt gå igenom riktlinjerna och se vad som gäller i Varbergs kommun. DISA består av 10 avsnitt om informationssäkerhet. Varje avsnitt består av en kort film med tillhörande information och frågor. Hela utbildningen tar omkring 25 minuter att gå igenom. Varbergs kommuns riktlinjer skiljer sig från DISA-utbildningen genom att endast bestå av 8 avsnitt eftersom avsnitten för mobila enheter, smarta telefoner och surfplattor slagits samman till ett avsnitt (A2). DISA-utbildningen och dessa riktlinjer finns tillgängliga på Varbergs kommuns plats för informationssäkerhet på medarbetarwebben. Före avsnitten om informationssäkerhet för medarbetare finns särskilda avsnitt som beskriver medarbetarnas ansvar för informationssäkerhet, informationsklasser samt avsnitt om personuppgifter, sekretess och allmänna handlingar. Medarbetarnas ansvar för informationssäkerhet Information är en viktig resurs för Varbergs kommun och är av stor betydelse för alla verksamheter. Information kan förekomma i olika former, den kan vara muntlig, skriftlig eller finnas i ett IT-system. Information förekommer främst i form av text men kan även förekomma som bilder, symboler, filmer och ljud. En del information måste skyddas från obehöriga. Det handlar ofta om skydd av den personliga integriteten och för att undvika att enskilda individer kommer till skada. Det finns lagar och föreskrifter som kommunen måste leva upp till. Privatpersoner, näringsliv, besökare, anställda och andra myndigheter har även förväntningar och behov av att

7 7 (60) Varbergs kommun hanterar information på ett säkert sätt. Informationssäkerhet består av att skapa och upprätthålla lämpligt skydd för att motsvara dessa krav. Information behöver olika former av skydd. Det kan vara tekniskt såsom en brandvägg i ett IT-system, eller administrativ, i form av regler, eller fysiskt, hur man skyddar utrymmen med dörrar, lås, skåp med mera. Även medarbetarnas kunskap och medvetenhet är ett viktigt skydd. Säkerheten är aldrig starkare än sin svagaste länk och det är därför viktigt att alla fyra typer av säkerhet fungerar tillsammans på ett bra sätt. Varbergs kommun ställer krav på att varje enskild medarbetare följer riktlinjerna för informationssäkerhet. Varje chef har i sin tur ansvar för att säkerställa att sina medarbetare har den kunskap och de verktyg som behövs för att kunna efterleva riktlinjerna. Medarbetare eller externt kontrakterad person som har tillgång till konfidentiell information ska skriva under en tystnads- och sekretessförbindelse. En sådan förbindelse gäller även efter att anställningen eller avtalet upphört. Vid underlåtenhet att följa riktlinjerna för informationssäkerhet följer Varbergs kommun de rättigheter och skyldigheter som åligger kommunen enligt lagar och avtal. Allvarliga förseelser kan resultera i polisanmälan eller avsked. Skyldighet att rapportera incidenter Alla medarbetare har skyldighet att rapportera incidenter eller brister som kan medföra negativ påverkan på Varbergs kommuns information. Det kan till exempel röra sig om: IT-angrepp eller intrång skadlig kod konfidentiell information som varit åtkomlig för obehöriga brister i efterlevnad av riktlinjerna för informationssäkerhet. Incidenter som rör IT- och informationssäkerhet eller personuppgifter ska skyndsamt rapporteras till Kundservice. Meddela även din närmaste chef. Medarbetare som har upptäckt incidenter eller svagheter där brott kan misstänkas, ska inte själva försöka bevisa sådant då det kan försvåra en eventuell utredning. Informationsklasser En del information är mer känslig än annan. Behovet av skydd skiljer sig därför mellan olika typer av information och i olika situationer. Skyddsbehovet beror på legala krav och på vilka konsekvenser det skulle få för verksamheten, externa parter eller enskilda individer om informationen hanteras felaktigt, till exempel om den sprids till obehöriga.

8 8 (60) I Varbergs kommun finns fyra klasser för att kategorisera information samt hur den får spridas: Konfidentiell information utgörs av sådana uppgifter som berörs av sekretess samt så kallade särskilda kategorier av personuppgifter enligt artikeln 9 i Dataskyddsförordningen, det vill säga uppgifter som avslöjar en fysisk persons etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, genetiska och biometriska uppgifter, uppgifter om hälsa eller sexualliv eller sexuella läggning. Till kategorin hör även skyddade personuppgifter. Konfidentiell information får endast vara tillgänglig för enskilda medarbetare som har ett direkt behov av att hantera informationen. Konfidentiell information får aldrig spridas publikt till exempel på kommunens webbplatser eller webbdiarium. Känslig information utgörs av sådana uppgifter som har ett något högre skyddsvärde än den som klassas som intern, men som samtidigt inte riktigt når upp till det skyddsbehov som finns för information som är klassad som konfidentiell. Det kan röra sig uppgifter om den enskildes personliga och ekonomiska förhållanden, omdömen, person- och samordningsnummer, kontooch bankkortsnummer, uppgifter om lagöverträdelser, uppgifter om barn och unga, aggregerade personuppgifter (det vill säga en stor mängd personuppgifter av en eller några få typer eller en större mängd om enskilda individer). Vad som skiljer den från intern information är att det ställs högre krav på behörighet så att endast de medarbetare som har ett faktiskt och direkt behov av informationen får ha tillgång till den samt att den inte kan spridas på samma sätt som intern information. Känslig information får aldrig spridas publikt till exempel på kommunens webbplatser eller i ett webbdiarium. Intern information kännetecknas av att den består av harmlösa personuppgifter så som namn, telefonnummer, adress, e-postadress, fastighetsbeteckning, användar-id med mera. Intern information kan normalt vara tillgänglig för en avdelning, enhet eller arbetsgrupp som kan ha behov av att hantera informationen. Om intern information ska göras publikt tillgänglig, till exempel genom publicering på kommunens webbplats eller genom ett webbdiarium, ska det finnas ett tydligt allmänt intresse. Publiceringen måste även föregås av en granskning.

9 9 (60) Publik information utgörs dels av all den information som inte består av några personuppgifter alls. Till kategorien räknas även information som förvisso består av personuppgifter, men som kan anses som publikt kända och oproblematiska för allmän spridning, så som tjänstemän, fackligt förtroendevalda och politiska företrädares personuppgifter som har samband med deras tjänsteutövande eller uppdrag. Sådana uppgifter kan vara namn, politisk eller facklig tillhörighet, uppgift om ansvarig handläggare eller liknande information. Publik information har normalt inga krav på åtkomstbegränsning utan kan spridas fritt inom och utom Varbergs kommun. Observera att det dock kan behövas beslut för att publicera publik information till exempel på kommunens webbplatser. För Publik information gäller de normala hanteringsregler som finns i avsnitt A1- A8 i dessa riktlinjer. Särskilda regler finns för känslig och konfidentiell information. I detta kapitel är all information som gäller konfidentiell information markerad med fetstil. Observera att det tillkommer ytterligare riktlinjer för hur information från de fyra olika klasserna i kapitel B, C och D samt även utifrån aspekterna riktighet och tillgänglighet. Dessa kapitel är dock främst avsedda för systemförvaltare, systemägare, den interna IT-driftsorganisationen samt för de som arbetar med systematisk informationssäkerhet. För de flesta medarbetare är dock endast graden av konfidentialitet relevant som det beskrivs i detta kapitel. Personuppgifter Samtliga verksamheter i Varbergs kommuns behandlar personuppgifter och ska hanteras enligt Dataskyddsförordningen. Personuppgifter förekommer inom samtliga fyra informationsklasser som används av Varbergs kommun. I vilken klass en personuppgift hamnar beror på flera olika faktorer, och även mängden personuppgifter behöver beaktas eftersom den bestämmer hur detaljerad bild av en person som kan erhållas. Det betyder att flera personuppgifter som var för sig bedöms som harmlösa tillsammans kan bilda en kontext som är att betrakta som känslig eller konfidentiell. Arbetsmaterial, allmänna handlingar och sekretess En handling är allmän om den är förvarad, inkommen till eller upprättad hos kommunen. Allmänheten har rätt att ta del av allmänna handlingar och kommunen har skyldighet att hantera en sådan begäran skyndsamt.

10 10 (60) Allmänna handlingar kan förekomma i digital form eller som papper och ska hanteras, bevaras och gallras i enlighet med nämndernas dokumenthanteringsplaner om inte annat regleras i lagstiftning. Information som är allmän handling kan vara sekretessbelagd enligt Offentlighets och sekretesslagen (2009:400). Sådana handlingar ska alltid klassas som konfidentiell information och får endast lämnas ut efter en sekretessbedömning genomförts. Avslag på begäran av allmän handling får endast beslutas av medarbetare som har särskild delegation för detta. Information som ännu inte anses som upprättad är att betrakta som arbetsmaterial. Det kan vara handlingar till ett ärende som är under handläggning och beredning, verksamhetsinterna meddelanden eller minnesanteckningar. Arbetsmaterial kan förekomma inom samtliga fyra klasser. Observera att en informationsmängd kan ha en högra klassning som arbetsmaterial än när den blir upprättad. Regler och riktlinjer för medarbetare A1. Lösenord För att få behörighet till kommunens interna nätverk eller i IT-system behöver du ett användarkonto och lösenord. Lösenordet du får från Kundservice ska du byta till ett personligt lösenord efter första inloggningen. Lösenordet är en värdehandling. Missbruk eller oaktsamhet kan leda till disciplinär påföljd. Ett bra lösenord, som bara du känner till, är den lättaste vägen till god informationssäkerhet. Ett lösenord ska vara lätt att minnas men samtidigt vara så komplext att ingen annan kan gissa sig till det. Det är viktigt att du väljer ett lösenord som du kommer ihåg så att du slipper att skriva ned det. TIPS! Skapa lösenord utifrån meningar. Ta en mening som du lätt kommer ihåg. Förkorta ord och lägg till/byt ut bokstäver till siffror. Exempel: Mening: Klockan 10 går 2 bilar till Norrköping Lösenord: K10g2btN Kontakta kundservice om du glömt ditt användar-id eller lösenord. Riktlinjer för hantering av lösenord och inloggning A1.1 Du får inte använda samma lösenord privat och i jobbet. Olika lösenord ska dessutom användas för olika tjänster på webben även om de är arbetsrelaterade. På så vis minskar du risken att någon obehörig kommer åt

11 11 (60) information. A1.2 Bytt ditt lösenord omedelbart om du misstänker att någon känner till det. A1.3 Lösenord är personliga och får inte delas mellan kollegor. Du kan i så fall bli ansvarig för något som någon annan har gjort. I de fall en dator delas av flera ska ändå personliga inloggningar göras eftersom det är viktigt för spårbarheten att kunna veta vem som har gjort vad i systemet. A1.4 Automatisk minnesfunktion för lösenord ska inte användas. Om du loggar in på webbsidor ska du inte låta webbläsaren spara lösenordet, utan alternativet Nej ska användas om du får en sådan fråga. Detta är särskilt viktigt då en dator delas av flera. Använd webbläsarens funktion för att i efterhand ta bort webbhistorik/lösenord om du är osäker på om lösenord har lagrats på en webbplats. A1.5 Undvik säkerhetsfrågor (secret questions). Spärrat/glömt användarnamn eller lösenord för användarkonto Efter fem misslyckade inloggningsförsök på din dator kommer ditt konto att låsas i fem minuter, varefter nya inloggningsförsök kan göras. Vid glömt användar-id eller lösenord vänder du dig till Kundservice. A2. Mobila enheter Med mobil enhet menas bärbara datorer (laptop), USB-minne, CD/DVD-skiva, extern hårddisk samt smart mobiltelefon och surfplatta. Riktlinjer för hantering av mobila enheter A2.1 Den IT-utrustning som tillhandahålls av Varbergs kommun är personliga arbetsredskap och får inte lånas ut eller överlåtas om det inte är en enhet som delas av flera. A2.2 Uppsatta säkerhetsinställningar i enheter får inte ändras. A2.3 Endast godkända programvaror får installeras på enheten. A2.4 Installerad programvara får inte kopieras eller installeras på annan enhet. A2.5 Mobila enheter ska låsas med lösenord. A2.6 Konfidentiell information som hanteras på mobila enheter måste vara krypterad. Se även riktlinjer om smarta telefoner och surfplattor nedan. A2.7 Viktig information bör inte lagras enbart på en mobil enhet, i så fall ska den snarast kopieras över till kommunens nätverk så att informationen kan säkerhetskopieras. A2.8 Endast av kommunen godkänd enhet och programvara får anslutas till kommunens nät. A2.9 Privat eneheter får endast anslutas till kommunens gästnätverk.

12 12 (60) A2.10 Enheter får endast anslutas till nätverk som är kända och skyddade med lösenord. A2.11 Distansarbete är endast tillåtet på enheter och utrustning som är tilldelad av Varbergs kommun. A2.12 Det är inte tillåtet att använda kommunens VPN-anslutning från en privat dator. Riktlinjer för fysisk hantering av mobila enheter A2.13 Försiktighet ska iakttas vid arbete i publika miljöer, exempelvis kan skärmen skyddas med sekretesskydd. A2.14 Arbete med konfidentiell information får inte ske i publika miljöer. A2.15 Mobila enheter får inte lämnas utan uppsikt och ska förvaras i säkert och skyddat utrymme. A2.16 Förlust av enhet ska omedelbart anmälas till kommunens Kundservice. I vissa fall finns det möjlighet att fjärradera information. A2.17 Vid avslut av anställning eller av byte till annan enhet ska mobila enheter återlämnas till Kundservice för säker destruktion/radering och får inte behållas privat eller av en verksamhet. Särskilda regler för smarta telefoner och surfplattor Förutom de riktlinjer som gäller allmänt för mobila enheter gäller även följande vid användning av smarta telefoner och surfplattor. Riktlinjer för smarta telefoner och surfplattor A2.19 Det finns ett stort utbud av appar att ladda ner till den smarta telefonen eller surfplattan. Många av dessa appar kan innehålla skadlig kod. I syfte att minska denna risk är det endast tillåtet att ladda ner appar från App store, Google Play och andra portaler som är kontrollerad av Varbergs kommun. A2.20 Konfidentiell information får endast hanteras i en smart telefon eller surfplatta om särskilda åtgärder vidtagits. A2.21 Smarta telefoner och surfplattor ska ha aktiverat skärmlås. A3. Skadlig kod Skadlig kod är ett samlingsbegrepp för oönskade datorprogram som virus, trojaner, spionprogram och maskar. Dessa kan installeras på en dator eller nätverk utan samtycke, och har utvecklats i syfte att störa IT-system, för att samla in information eller för att utnyttja datorkraft eller minneskapacitet i IT-utrustning.

13 13 (60) Skadlig kod är ett växande problem och den blir allt mer sofistikerad och intelligent, kan vara svår att upptäcka och den kan utföra avancerade operationer. Man behöver i dag inte vara tekniskt kunnig för att skapa skadlig kod, utan det mesta kan beställas och köpas på olika marknadsplatser på internet. Exempel på i dag förekommande skadlig kod: trojaner som skapar bakdörrar i datorerna så att andra personer får tillgång till dessa utan ägarens vetskap i syfte att, till exempel, lagra olaglig information keyloggers är en form av trojan som kan avlyssna lösenord och skicka dessa vidare ransomware som krypterar filer eller diskar på en dator, smart telefon eller surfplatta och sen kräver en lösensumma för att informationen ska bli tillgänglig igen. Spridning av skadlig kod Skadlig kod kan spridas till din dator, smarta telefon eller surfplatta när du öppnar bilagor i e-post, importerar filer eller surfar på internet eller sociala medier och klickar på länkar. Avsändare till e-post kan manipuleras så att de egentligen kommer från annan än den som anges, webbsidor är inte alltid de som de utger sig för att vara och identiteter kan kapas, till exempel på Facebook. Vid så kallad Phishing luras mottagaren att klicka på en länk som leder till en sida där du ombeds att fylla i koder, lösenord eller kontonummer. Var observant på detta och fyll aldrig i sådana uppgifter. Myndigheter, seriösa företag och organisationer ber aldrig om uppgifter på detta sätt. IT-utrustning som drabbats av skadlig kod, även ett smittat USB-minne, kan om det kopplas in i kommunens nätverk, sprida den vidare och orsaka stora skador. Kommunens datorer är utrustade med skydd mot skadlig kod. Det innebär inte ett fullständigt skydd eftersom utvecklingen av skadlig kod går väldigt snabbt. Alla medarbetare kan också bidra ett bra skydd mot skadlig kod genom att följa dessa riktlinjer: Riktlinjer för skydd mot skadlig kod A3.1 Stäng aldrig av, eller på annat sätt inaktivera, de skydd som finns installerat mot skadlig kod. A3.2 Anslut endast godkänd IT-utrustning till kommunens nätverk. A3.3 Var vaksam och undvik att klicka på misstänksamma länkar eller att fylla i irrelevanta uppgifter. A3.4 Öppna bifogade filer endast om de kommer från en känd avsändare och en bilaga är förväntad. A3.5 Var observant på om IT-utrustningen beter sig långsamt eller konstigt. Vid misstanke om skadlig kod kontakta omedelbart Kundservice.

14 14 (60) A4. Internet och sociala medier Internet och sociala medier kan vara till stor nytta och glädje både privat och i arbetet. Kommunens nätverk är anslutet till internet via en brandvägg som reglerar in- och utgående trafik. När du använder internet kan säkerheten i kommunens lokala nätverk påverkas i mycket hög grad beroende på ditt beteende. När du surfar på internet, tänk då på att du representerar Varbergs kommun och lämnar spår efter dig i form av din IP-adress och att all trafik genom kommunens brandvägg loggas. För ytterligare information om loggning, se avsnitt A7. Förutom de riktlinjer som är kopplade till skadlig kod i avsnitt A3 finns här särskilda bestämmelser för användning av internet och sociala medier: Riktlinjer för användning av internet A4.1 De lagar och regler som gäller i samhället för i övrigt gäller såklart även på internet. Tryckfrihetsförordningen, brottsbalken och lagen om upphovsrätt är exempel på lagar som du måste beakta när du använder internet, i ditt arbete så väl som privat. A4.2 För material från internet som du tänker använda i tjänsten, så får nedladdning eller installation av upphovsrättsskyddat material endast ske med stöd av lag, avtal eller med skriftligt tillstånd från rättighetsinnehavaren. A4.3 Du får endast i begränsad omfattning använda internet för privata syften. Utrymmeskrävande filmer, program och spel för privat bruk får dock inte laddas ned, strömmas, lagras, eller spridas genom kommunens nätverk. A4.4 Internet är ett öppet nätverk. Information som klassas som publik kan ofta publiceras och delas via internet. Information som är klassad som intern kan göras publikt tillgänglig, till exempel genom publicering på kommunens webbplats eller genom ett webb-diarium, endast om det finns ett tydligt syfte och allmänt intresse. Publiceringen måste även föregås av en dokumenterad utredning samt beslut. Information som är klassad som känslig eller konfidentiell får aldrig publiceras eller delas på internet. Uttalanden och andra aktiviteter som görs på internet kan påverka allmänhetens uppfattning om den enskilda tjänstemannen som utför aktiviteten så väl som för Varbergs kommun som organisation. Det är därför särskilt viktigt att du som representant för Varbergs kommun beaktar god etik och gott omdöme på internet. Varbergs kommuns etiska regler och värderingar ska följas även vid användning av internet och sociala medier. Tänk därför på att:

15 15 (60) Etiska riktlinjer vid användning av internet och sociala medier A4.5 All kommunikation på internet och sociala medier som sker från Varbergs kommuns datorer ska vara saklig och etisk oavsett om den sker i tjänsten eller i privata syften. A4.6 Webbplatser med till exempel brottslig verksamhet, rasism, diskriminering eller pornografiskt innehåll får endast besökas om du har ett tydligt och dokumenterat syfte därtill. Tänk på att alla webbplatser du besöker loggas och du kan komma att behöva förklara varför du besökt en viss webbplats. A4.7 Publicera inte sådant som är oärligt, osant, vilseledande eller kränkande på Internet eller sociala medier. Tänk på att det som publiceras är synligt och offentligt för allmänheten, sprids snabbt och finns kvar under lång tid. Tänk därför igenom innehållet noga innan du publicerar. Vid användning av sociala medier är det ofta svårt med gränsdragningen mellan privat användning och användning i yrkesrollen. När du använder sociala medier i tjänsten är du i första hand en representant för Varbergs kommun. Men även när du använder sociala medier utanför ditt jobb kommer du med all sannolikhet att förknippas med din arbetsgivare. Gallring av sociala medier sker enligt kommunens dokumenthanteringsplanerar där det är angivet att det kan göras när inläggen inte längre är aktuella. En av de grundläggande funktionerna i sociala medier är kommentarsfält där allmänheten kan kommentera och diskutera de inlägg som kommunen gör. Kommentaren består av personuppgifter i form av namn och ofta bild på den som lämnat kommentaren. För att säkerställa att dessa personuppgifter inte finns tillgängliga längre än nödvändigt ska följande tillämpas: Riktlinjer för gallring av personuppgifter i sociala medier A4.8 Inlägg på sociala medier som baseras på samtycke får inte finnas publikt tillgängliga längre än två månader och ska sedan gallras eller avlägsnas för arkivering. A4.8 Kommentarsfält på sociala medier får inte finnas publikt tillgängliga längre än två månader och ske sedan gallras eller avlägsnas för arkivering. För mer information om hur du ska hantera sociala medier, se Varbergs kommuns handbok i sociala medier samt handbok för bildhantering enligt GDPR. A5. E-post och korrespondens E-post är för många medarbetare det vanligaste och viktigaste sättet att kommunicera internt inom kommunen men även med externa parter. Det är dock viktigt att tänka på

16 16 (60) att kommunikation med e-post ofta är helt öppen. Att skicka e-post som inte är skyddad på rätt sätt kan jämföras med att skicka ett vykort. Riktlinjer för ansvar för e-post A5.1 Varje medarbetare är själv ansvarig för det egna e-postkont och ansvarig för den e-post som skickas från kontot. Om du låter någon annan använda ditt konto kan du där med komma att ställas ansvarig för om denna skickat något olämpligt eller olagligt via ditt konto. A5.2 Medarbetare är ansvarig för att löpande öppna, läsa och besvara e-post. Detta ska minst en gång varje arbetsdag. Vid frånvaro, till exempel för semester, sjukfrånvaro och föräldraledighet, ska autosvar användas, där du ger avsändaren information om din frånvaro, när du väntas åter samt hänvisar till vem man kan vända sig till istället. Vid avslut av anställning ska kontot tas bort. Vid längre tid tjänsteledighet ska kontot frysas. A5.3 E-postkonton som används av flera, till exempel en myndighetsbrevlåda eller funktionsbrevlåda, ska ha en utpekad ansvarig. Det är ofta olämpligt att använda e-post för att behandla personuppgifter långsiktigt. E- post är inte en säker förvaring och det kan vara svårt att hitta uppgifter om en enskild i e- posten eller säkerställa att uppgifterna blir borttagna när de inte längre behövs. För att göra det lättare att följa Dataskyddsförordningen är det viktigt att flytta vissa uppgifter från e-posten till en mer lämplig plats så som ett ärendehanteringssystem eller kundregister samt att rensa inkorgen regelbundet på sådant som inte länge behövs. Riktlinjer för hantering av personuppgifter i e-post A5.4 E-post som inkommer som består av konfidentiell eller känslig information ska omedelbart överföras till mer lämplig plats och där efter raderas från e- postklienten. A5.5 För att säkerställa att det inte ackumuleras allt för stor mängd personuppgifter i e-posten får du inte ha kvar e-postmeddelande, oavsett innehåll, längre än 6 månader i den egna inkorgen och maximalt två år i mappar kopplade till e- postklienten. A5.6 Om efterlevnaden av vad som anges i A5.5 visar sig bristfällig kan funktioner för automatisk och löpande radering av e-post införas och verkställas. Riktlinjer kring allmänna handlingar och e-post A5.5 E-post som inkommer är en allmän handling om innehållet är arbetsrelaterat. Vid hanteraring av arbetsrelaterad e-post ska alltid lagar och regler för registrering

17 17 (60) och gallring följas. Huvudregeln är att om ett e-post som inkommer initierar ett ärende eller tillför uppgift i ett ärende ska den registreras. Enklast sker detta genom att du omgående vidarebefordrar e-posten till förvaltningens eller verksamhetens registrator. A5.6 E-post som är av ringa eller tillfällig betydelse behöver inte registreras utan ska gallras när du inte längre behöver dem. Exempel kan vara en förfrågan om öppettider för kommunens simhall eller när det är terminsstart. Riktlinjer för privat e-post A5.7 E-postkonto från Varbergs kommun får inte användas som medarbetarens primära privata e-postkonto. Om privata e-postmeddelande ändå inkommer till Varbergs kommuns e-postkonto ska dom regelstyras till en separat mapp för privata meddelanden så att de inte blandas med de arbetsrelaterade meddelandena. A5.8 Det är inte tillåtet att använda privata e-postkonto för arbetsrelaterade ändamål. A5.9 Det är inte tillåtet att använda e-postkontot från Varbergs kommun för att registrera dig som användare på olika tjänster på Internet så som Facebook eller Instagram. A5.10 Det är inte tillåtet att automatiskt vidarebefordra e-post till privata e- postkonton. Riktlinjer för kommunikation med externa parter A5.10 Publik och intern information får skickas till externa parter med den vanliga e- posten. A5.11 Kommunikation med känslig och konfidentiell information med externa parter får endast ske med godkända verktyg och metoder för säker digital kommunikation. Riktlinjer för kommunikation internt inom kommunen A5.12 För korrespondens med öppen, intern och känslig information kan den vanliga e-posten användas inom kommunen, det vill säga mellan två e-postadresser som slutar A5.13 Kommunikation med konfidentiell information får inom kommunen endast ske med godkända verktyg och metoder för säker digital kommunikation. Se kommunens handbok för säker digital kommunikation för att få mer information om vilka verktyg och metoder som kan användas för olika kommunikationsbehov.

18 18 (60) A6. Lagring och säkerhetskopiering Det är viktigt att information lagras på ett säkert sätt och säkerhetskopieras så att den kan återskapas i händelse av hårddiskkrasch, oavsiktlig radering eller som följd av krypteringsvirus. Riktlinjer för lagring och säkerhetskopiering A6.1 Information ska lagras på nätverket så att den säkerhetskopieras. Det kan till exempel vara personliga filareror (W:, Onedrive), gemensamma filareor (F:) eller specifikt verksamhetssystem. A6.2 Om information behöver lagras på lokal hårddisk, se till att regelbundet kopiera över informationen till nätverket. A6.3 Om information oavsiktligt gått förlorad, till exempel om man av misstag raderat ett dokument, ska man omedelbart kontakta Kundservice. Förhoppningsvis kan de återskapa dokumentet från den senaste säkerhetskopian. A6.4 Konfidentiell information får endast lagras i system som är avsedda och godkända för det. A6.5 Lokal lagring av Konfidentiell information, till exempel på en persondator eller minnessticka, får endast ske undantagsvis och om lagringsenheten eller filerna är krypterade av Varbergs kommun godkänd metod för kryptering eller åtgärd som bedöms likvärdig. A6.6 Fysiska dokument som innehåller konfidentiell information ska förvaras inlåsta. Riktlinjer för lagring i molntjänster A6.7 Endast godkända molntjänster är tillåtna att använda. Kontrollera vilka molntjänster som är tillåtna inom din verksamhet. A7. Spårbarhet och loggning Loggning sker i kommunens datorer och nätverk. Loggarna används för felsökning och för utredning av incidenter eller för att förhindra brott. Loggarnas lagras under en vis tid och är åtkomlig endast för en begränsad grupp administratörer. Spårbarhet innebär att man genom loggning kan identifiera vem som har gjort vad och när, samt följa förloppet för olika händelser på datorn. All Internettrafik och e-post loggas centralt. Varbergs kommun har som arbetsgivare rätt att, utan att meddela användaren, gå igenom dessa loggar för att kontrollera efterlevnad

19 19 (60) av lagstiftning och riktlinjer. Vid misstanke om brott kan loggfilerna komma att lämnas ut till rättskipande myndighet utan att du som kontoinnehavare meddelas. A8. Säkert beteende En stor del av kommunens information hanteras muntligt och på papper. Vi kommunicerar dagligen både formellt och informellt på detta sätt och vi måste bete oss särskilt försiktigt då vi hanterar konfidentiell och känslig information. Tänk på att det alltid finns informell information som inte i förhand är definierad och klassad, utan som skapas i det ögonblick den uttalas eller skrivs. Konfidentiell och i normalfallet även känslig information har en begränsad krets av behöriga som får ta del av den. Detta måste beaktas så att inte obehöriga kan höra sådan information på arbetsplatsen, både i arbetssituationer men även i informella sammanhang, t.ex. vid fikabordet. Riktlinjer för muntlig information A8:1 Du får endast prata om konfidentiell information i stängda utrymmen och även försäkra dig om att fysiska samtal inte hörs i intilliggande rum. A8:2 Endast publik information utan skyddsvärda uppgifter får kommuniceras hörbart utanför arbetsplatsen, exempelvis vid fysiska samtal på tåget eller i telefonsamtal på fikarasten. Riktlinjer för information på skärmar och på papper A8.3 Arbete med konfidentiell information får inte ske i öppna arbetsplatser. A8.4 Besökare får inte vistas utan uppsikt i lokaler där konfidentiell information kan förekomma. Mottagare av besök ansvarar för besökare så länge de befinner sig i kommunens lokaler. Obekanta personer i sådana lokaler ska tillfrågas om vem de söker och hjälpas till rätta. A8:5 Skriftligt material som består av konfidentiell information får inte ligga framme eller vara synliga så att obehöriga kan läsa dem. Materialet ska förvaras inlåst när man lämnar arbetsplatsen, även för kortare stunder. A8:6 Skärmen/datorn ska låsas när man lämnar arbetsplatsen, även för en kortare stund. Om man har ett så kallat smart kort till datorn ska detta tas bort när man lämnar arbetsplatsen. A8:7 Vid fysisk posttjänst ska förslutna brev användas för känslig och intern information. Konfidentiell information får endast skickas med rekommenderade försändelser. A8:8 Konfidentiell information får inte skickas med internpost A8:9 Då konfidentiell information överförs via fax ska man försäkra sig om att man har rätt nummer (t.ex. genom att använda kortnummer) och att mottagarens fax är övervakad under överföringstillfället. Man ska inte lämna faxen förrän

20 20 (60) överföringen är klar. A8:10 Pappersdokument som består av konfidentiell eller känslig information måste vid kassering strimlas eller kastas i godkända sekretesskärl.

21 21 (60) Kapitel B: Styrning av informationssäkerhet Inledning Detta kapitel beskriver och reglerar hur arbetet med informationssäkerhet ska bedrivas i Varbergs kommun. Det beskriver även hur ansvarsfördelningen ser ut i stort samt vilka roller som förekommer, direkt och indirekt, i arbetet med informationssäkerhet inom hela kommunen. Ansvar för varje målgrupp finns även i varje kapitel. Den primära målgruppen för detta kapitel är de som arbetar med informations- och ITsäkerhet, hantering av personuppgifter eller som har ansvar för informationssäkerhet inom en förvaltning, enhet, avdelning, process eller projekt. I kapitlet ges även en introduktion till informationsklassning och den modell för detta som Varbergs kommun antagit i och med dessa riktlinjer. B1. Roller, ansvar och organisation Grundprincip Ansvaret för informationssäkerhet följer det ordinarie verksamhetsansvaret. Det innebär att den som är ansvarig för en viss verksamhet, så som en förvaltning, avdelning, enhet process, projekt eller liknande, även är ansvarig för informationssäkerheten inom verksamhetsområdet. Kommunens informationssäkerhetansvarige och övriga som arbetar kommuncentralt med informationssäkerhet, IT-säkerhet eller andra angränsande frågor fungerar som stöd till verksamheterna så att de kan ta ansvar för det egna arbetet med informationssäkerhet. Övergripande ansvar Kommunfullmäktige utrycker sin viljeriktning genom Policy för informationssäkerhet. Kommunstyrelsen beslutar om riktlinjer och regler för hur informationssäkerhetsarbetet ska bedrivas i enlighet med policyn. Kommunstyrelsen har även ansvar för samordning och uppföljning av arbetet med informationssäkerhet. Nämnder och styrelses ansvar Varje nämnd och styrelse är ansvarig för informationssäkerhet inom sitt verksamhetsområde. Varje nämnd och styrelsekan besluta om instruktioner som

22 22 (60) kompletterar de centrala riktlinjerna för informationssäkerhet. Varje nämnd och styrelse kan i undantagsfall även besluta om undantag från delar av riktlinjerna. Undantag kan tillexempel ges om det saknas tekniska förutsättningar att efterleva riktlinjerna. Det kan röra sig om att det för tillfället inte finns något bra IT-system för en verksamhet och att sådant behöver införskaffas. Det kan även röra sig att ett IT-system endast finns som molntjänst eller med drift utanför Sverige eller i tredje land och att lagringen av informationen i ett system avviker från vad som regleras i riktlinjerna. Undantag får endas beslutas med krav på att kompenserande åtgärder genomförs. Beslut om undantag ska samrådas med informationssäkerhetsanvarig. Undantag får som längst gälla i 2 år och ska sedan omprövas för att klargöra om omständigheterna som föregick undantaget fortfarande gäller. Kommunstyrelse, nämnder och kommunala bolag är även personuppgiftsansvariga inom respektive verksamhetsområde. Som personuppgiftsansvarig har de det yttersta ansvaret för att all behandling av personuppgifter sker i enlighet med Dataskyddsförordningen. För kommungemensamma processer ska personuppgiftsansvaret klargöras genom reglemente eller överenskommelse. Kommunstyrelsen är att betrakta som personuppgiftsansvarig för personal- och ekonomiprocesserna. För de behandlingar som utförs av Varberg direkt och IT-avdelningen, för kommunens verksamheter, så är den beställande verksamhetens nämnd fortfarande att betrakta som personuppgiftsansvarig. Ansvar inom respektive verksamhet Verksamhetsansvarig, oavsett nivå, ansvarar för informationssäkerheten inom sin verksamhet. Det åligger varje verksamhetsansvarig att se till att medarbetarna efterlever riktlinjer, har ett adekvat säkerhetsmedvetande och tillräcklig förståelse och kunskap för att lämplig säkerhet i verksamheten kan uppnås. Säkerhetsansvaret i sig kan inte delegeras, däremot kan ansvaret för att utföra somliga arbetsuppgifter fördelas. Medarbetares ansvar Alla medarbetare inom verksamheten har ett ansvar för verksamhetens informationssäkerhet. Varje anställd ska i sitt egna arbete följa riktlinjerna för informationssäkerhet. Varje anställd har även skyldighet att rapportera informationssäkerhets- och personuppgiftsrelaterade brister och incidenter. Se Kapitel A för riktlinjer för informationssäkerhet för medarbetare.

23 23 (60) Arkivmyndighet och kommunarkiv I Varbergs kommun är Kommunstyrelsen även Arkivmyndighet. Arkivmyndigheten har tillsynsansvar för att kommunens arkivhandlingar hanteras i enlighet med arkivlagen. Tillsynen ska bland annat säkerställa att information skyddas från stöld, manipulation, obehörig åtkomst eller oavsiktlig gallring och kan således sägas vara nära sammankopplat med arbete med informationssäkerhet. Arkivmyndighetens verkställande enhet utgörs av kommunarkivet. Objektägares ansvar En objektägare är den som är ansvarig för ett givet objekt. Som objekt avses främst verksamhetssystem men även en lokal kan ofta sägas utgöra ett relevant objekt för arbete med informationssäkerhet. Systemägaren har ansvar för att säkerställa att IT-systemet klassas och att säkerheten ordnas i enlighet med klassningen. Fastighetsavdelningen ansvarar för att kommunens lokaler har ett adekvat skydd anpassat för den information som de verksamheter som finns i lokalen använder. Det kan till exempel röra sig om skalskydd, larm, passersystem och arkivlokaler. Se kapitel C för ytterligare riktlinjer för informationssäkerhet i verksamhetsnära förvaltning. IT-avdelningens ansvar Ansvar för informations- och IT-säkerhet inom IT-avdelningen följer ordinarie verksamhetsansvar. Det betyder att chefer och medarbetare inom respektive verksamhetsområde ansvarar för att upprätthålla rätt nivå av informations- och ITsäkerhet för de processer och IT-resurser de ansvarar för. Se kapitel D för ytterligare riktlinjer om IT-avdelningens ansvar. IT-säkerhetssamordnare Det ska på IT-avdelningen finnas en utpekad person som innehar rollen som ITsäkerhetssamordnare. Denna har till uppgift att samordna arbetet med säkerheten i kommunens IT-miljö. Se kapitel D för ytterligare beskrivning av rollen IT-säkerhetssamordnare.

24 24 (60) Informationssäkerhetsansvarig Kommunens arbete med informationssäkerhet leds och samordnas av informationssäkerhetsansvarig som bland annat ansvarar för följande: att kommunens styrande dokument inom området är aktuella att utveckla och förvalta metoder, vägledningar och annat stödmaterial inom området kompetensförsörjning och att öka medvetandet om informationssäkerhet inom kommunen att stödja verksamheternas arbete med informationssäkerhet kontroll och uppföljning av informationssäkerhet omvärldsbevaka inom området vid behov sammankalla kommunens råd för informationssäkerhet och integritetsskydd sammankalla kommunens nätverk för samordnare för informationssäkerhet och integritetsskydd svara för samråd av undantag från riktlinjer för informationssäkerhet. Rådet för informationssäkerhet och integritetsskydd Informationssäkerhetsansvarig är sammankallande för kommunens råd för informationssäkerhet och integritetsskydd. Rådet ska bestå av deltagare både från den central förvaltningen och olika fackförvaltningar. Fokus är det kommungemensamma perspektivet snarare än det förvaltningsspecifika. Rådet har till uppgift att: vara rådgivande gentemot informationssäkerhetsansvarig bereda ärenden kring informationssäkerhets- och integritetsskyddsfrågor som hänskjutits från andra instanser så som Digitaliseringsgruppen och Ledningsgrupp för digitalisering fungera som styrgrupp/referensgrupp för projekt eller aktiviteter som berör informationssäkerhet och integritetsskydd vara ett forum för erfarenhetsutbyte och omvärldsbevakning. Roller och organisation på förvaltningarna För att Varbergs kommun ska kunna arbeta systematiskt och förebyggande med informationssäkerhet och integritetsskydd är det av största vikt att arbetet förankras inom de verksamheter som är ägare och ansvariga för informationen. För att underlätta och kvalitetssäkra detta arbete är det nödvändigt att fastställa ansvar och organisation för arbetet. För att möjliggöra nämnderna och verksamheternas arbete med att stärka och upprätthålla en god informationssäkerhet och integritetsskydd är det även nödvändigt

25 25 (60) att utse två specifika roller på varje förvaltning, samordnare för informationssäkerhet och samordnare för integritetsskydd. Det finns redan i dag flera roller/titlar som redan kan sägas utföra uppgifter som är angränsande till det som åligger samordnarna. Det kan röra sig om registratorer, arkivredogörare, IT-kontaktpersoner, personuppgiftsombud, strateger och utvecklare. Vid tilldelning av de nya samordningsrollerna kan det med fördel ske i kombination med någon av de angränsande rollerna med syfte att uppnå synergieffekter och möjliggöra för rollerna att stärka sin kompetens inom området. När verksamheterna tillsätter rollerna bör möjligheten beaktas att samverka mellan förvaltningar för att om möjligt renodla rollerna och dela på den kompetens som finns inom området. Samordnare för informationssäkerhet Varje förvaltning ska utse minst en medarbetare som har till uppgift att samordna förvaltningens arbete med informationssäkerhet. Förvaltningar med omfattande verksamhet kan vid behov utse fler som ansvarar för samordningen inom det område som tilldelats. Samordnaren för informationssäkerhet har till uppgift att: samordna verksamhetens arbete med informationssäkerhet samordna arbete med att åtgärda de brister som framkommit i förvaltningens handlingsplan för informationssäkerhet vara behjälplig vid klassificering av verksamhetens information och IT-system vara behjälplig med att genomföra risk- och sårbarhetsanalyser till exempel inför upphandling av IT-system eller utkontraktering av verksamhet säkerställa att rapporterade informationssäkerhetsincidenter följs upp och åtgärdas vara ett stöd till ledningen och verksamheten i arbetet med informationssäkerhet omvärldsbevaka kring informationssäkerhet utifrån det egna verksamhetsperspektivet vara förvaltningens representant i det kommunövergripande nätverket för informationssäkerhet och integritetsskydd beträffande informationssäkerhetsfrågor regelbundet rapportera till nämnd och förvaltningsledning om arbete med att stärka och upprätthålla en god informationssäkerhet ha löpande kontakt med kommunens informationssäkerhetsansvarig. Samordnare för integritetsskydd Varje förvaltning ska utse en medarbetare som har till uppgift att samordna förvaltningens arbete med integritetsskydd. Samordnaren har till uppgift att: upprätta registerförteckningar och revidera dem vid behov

26 26 (60) vara behjälplig med att bedöma om personuppgiftsincidenter behöver vidarerapporteras till tillsynsmyndigheten och om de registrerade behöver informeras vara ett stöd till personuppgiftsansvarig, förvaltningsledningen och verksamheten i arbetet med att göra intresseavvägningar och stärka integritetsskyddet vara kommunens dataskyddsombud behjälplig samt fungera som länk mellan dataskyddsombud och personuppgiftsansvarig omvärldsbevaka kring integritetsskydd utifrån det egna verksamhetsperspektivet, regelbundet rapportera till personuppgiftsansvarig och förvaltningsledningen om arbetet att stärka och upprätthålla ett gott integritetsskydd vara förvaltningens representant i det kommunövergripande nätverket för informationssäkerhet och integritetsskydd beträffande integritetsskyddsfrågor vid behov inhämta råd och stöd från kommunens dataskyddsombud. Observera att samordnaren för integritetsskydd avser inte att ersätta eller utföra uppgifter som åligger det dataskyddsombud som nämnden utsett. B2. Dokumentsstruktur För att stärka och upprätthålla en god informationssäkerhet är fyra dokument av central betydelse: Policy för informationssäkerhet är ett övergripande dokument som utrycker den politiska ledningens viljeriktning med informationssäkerhet. Policyn beslutas av kommunfullmäktige och uppdateras vid behov. Policyn riktar sig till alla medarbetare och externa personer exempelvis konsulter. Riktlinjer för informationssäkerhet (detta dokument) innehåller regler för hantering av information. Riktlinjerna är uppdelade efter kapitel som riktar sig till olika målgrupper. Riktlinjerna beslutas av kommunstyrelsen och uppdateras vid behov. Informationssäkerhetsanalys är en genomlysning av informationssäkerheten och integritetsskyddet i Varbergs kommun. Analysen genomförs med full styrka vart fjärde år men justeringar kan genomföras löpande till exempel som följd av legala krav, ändringar inom organisationen eller förändrad omvärld. Analysrapporten ligger till grund för hur arbetet med informationssäkerhetsarbete ska bedrivas som formuleras i handlingsplaner för informationssäkerhet. Handlingsplan för informationssäkerhet tas fram årligen för varje förvaltning/verksamhet och innehåller konkreta mål och åtgärder som ska genomföras. Handlingsplanerna är baserad på den analys som är genomförd.