Katrineholms kommuns. Informationssäkerhetspo licy. IZatrineholms kommun "- Antagen av kommunfullmäktige , 106

Transkript

1 Kommunstyrelsens handling nr i O 1 () Vår handläggare Katrineholms kommuns Informationssäkerhetspo licy Antagen av kommunfullmäktige , 106 Informationssäkerhet är den del av kommunens lednings- och kvalitetsprocess som handlar om hur verksameten hanterar information. Informationssäkerhetspolicyn och särskilda informationssäkerhetsinstruktioner styr kommunens arbete kring informationssäkerhet.

2 Innehållsförteckning: () 1 Definitioner 2 Policyns roll i informationssäkerhetsarbetet 3 Allmänt om informationssäkerhet Mål Roller och ansvar 6 Generella krav 6.1 Kommunens informationssystem 6.2 Informationssäkerhetsutbildning 6.3 Informationsklassning 6. Distansarbete 6. Användning av Internet 6.6 Elektronisk post 6.7 Kontinuitetsplanering 7 Revidering och uppföljning Revisionshistoria Kommunstyrelsens handling nr version 1 1 Definitioner BITS står för Basnivå för InformationsSäkerhet 2 Policyns roll i informationssäkerhetsarbetet Förvaltning (Infosük F) Målgrupp: Ledning, systemägare och samordningsansvarg Kontinuitet och Drift (Infosük KO) Målgrupp: lt -driftansvariga Anvündare (Infosük A) Målgrupp: Samtliga medarbetare Informationssäkerhetspolicyn redovisar ledningens viljeinriktning och mål för informationssäkerhetsarbetet. Policyn konketiseras i informationssäkerhetsinstruktioner. Policyn är framtagen enligt BITS-konceptet från Myndigheten för samhällsskydd och beredskap.

3 Projekten heten () 3 Allmänt om informationssäkerhet Information är en av Katrineholms kommuns viktigaste tilgångar. Hanteringen av den är en viktig del i att genomföra risk- och sårbarhetsanalyser i kommunen. Utgångspunkter i vår arbete med informationssäkerhet är:. Lagar, förordningar och föreskrifter. V åra egna krav. Avtal. Överenskommelse Med informationstilgångar avses all information oavsett om den behandlas manuellt eller automatiserat och oberoende av i vilken form eller miljö den förekommer. Informationssäkerheten omfattar kommunens alla informationstilgångar. Med informations säkerhet avses att:. rätt information är tilgänglig för rätt person när den behövs och på ett spårbar sätt. det är möjligt att spåra vem som tagit del av högt säkerhetsklassad information. informationen är och förblir riktig Informationssäkerhet är en integrerad del av vår verksamhet. Alla som hanterar informationstilgångar ansvarar för att upprätthålla informationssäkerheten. Chefer på alla nivåer ansvar för att aktivt verka för en positiv attityd gentemot säkerhetsarbetet. Alla medarbetare i kommunen ska vara uppmärksama på, och rapportera händelser som kan påverka säkerheten för, kommunens informationstilgångar. Hela Katrineholms Kommun är bunden til informationssäkerhetspolicyn vilket medför att lokala regler som avviker från denna inte är tilåtna. Disciplinära åtgärder kan vidtas mot den som använder informationstilgångara på ett sätt som strider mot informationssäkerhetspolicyn. Mål För kommunens informationssäkerhetsarbete gäller att:. all personal har informerats om gällande regler för informationssäkerheten. informationsförsörjningen är säker, effektiv och bidrar til ökat skydd och stöd för medarbetare, samverkande parners och tredje man. ingångna avtal och överenskommelser är kända och följs. förmågan att hantera kriser upprätthålls. alla investeringar har tilräcklig skydd, både när det gäller information och teknisk utrustning. det finns tilgång til en gemensam, säker och väl definierad infrastruktur för extern och intern datakommunikation. fortlöpande analysera hotbilden för varje enskilt informationssystem som är av viktigt för verksameten. förebygga händelser i informationssystemen som kan påverka dem negativt. det framgår i verksametsplaneringen vilka årliga mål för arbetet som beslutas.

4 För de årliga målen anges: () o vad som ska göras under året och hur detta ska göras otidplan o behov av personella och ekonomiska resurser o när och hur uppföljning, utvärdering och avrapportering ska ske o när och hur våra medarbetare ska informeras och utbildas. Roller och ansvar IT-chefen har det övergripande ansvaret för informationssäkerheten. IT -chefen utser informations säkerhets samordnaren. Informationssäkerhetssamordnaren är direkt underställd IT -chefen och har det operativa ansvaret för samordning av informationssäkerhetsarbetet. Varje facknämd utser systemägare för informationssystem inom nämndens ansvarsområde i enlighet med delegationsordningen för kommunstyrelsen. Systemägaren är den som har ansvaret för den verksamet som aktuellt informationssystem stödjer. Systemförvaltara utses av respektive systemägare och ansvarar för den dagliga användningen av informationssystemen. IT -chefen ansvarar för att uppfylla kommunens kontinuitetsplan för IT -stödet enligt Infosäk KD. Beskrivning av roller och ansvar framgår av Infosäk F. 6 Generella krav 6.1 Kommunens informationssystem Samtliga informationssystem ska vara identifierade och förtecknade i Infosäk KD - bilaga 1, Systemöversikt. Av förteckningen ska framgå vem som är systemägare. Alla informationssystem ska minst klara den basnivå för informationssäkerhet som kommunen rekommenderar (BITS). Informationssystem som är en förutsättning för att kuna bedriva vår verksamhet ska genomgå en riskanalys. Riskanalysen genomförs med stöd av kommunens verktyg för analys av informationssäkerhet (BITS Plus). Riskanalysen är ett underlag som ska användas för att godkänna driften av systemet. 6.2 Informationssäkerhetsutbildning All personal ska regelbundet få utbildning för att informationssäkerheten ska upprätthållas. 6.3 Informationsklassning Information som hanteras på myndigheten ska klassificeras med avseende på sekretess, riktighet och tilgänglighet enligt kommunens klassningsmodell, se Infosäk F.

5 () 6. Distansarbete Personalen ska kunna arbeta mobilt eller stationär på distans. Förutsättningar och restriktioner för detta dokumenteras i Infosäk F - Bilaga 2, Riktlinje Distansarbete. 6. Användning av Internet Vid användning av Internet exponeras kommunens namn. Bland annat av detta skäl så får Internet bara användas för arbetsrelaterade ändamål. Undantag från detta kan beviljas skriftigen av närmsta chef. 6.6 Elektronisk post Sekretessbelagd information får inte skickas med okrpterad e-post. 6.7 Kontinuitetsplanering Kontinuitetsplaneringen krävs för att bedriva verksameten på en acceptabel nivå under såväl normala förhållanden som vid extraordinära händelser. En kontinuitetsplan ska finnas för driften av IT -verksameten baserad på de olika informationssystemens samlade krav och vara integrerade med Katrineholms kommuns gemensama kontinuitetsplan. 7 Revidering och uppföljning Uppföljning är en viktig del i informationssäkerhetsarbetet för att bevaka att:. beslutade åtgärder är genomförda. årliga mål är uppfyllda. regler följs. att policy, säkerhetsinstruktioner och riskanalyser vid behov revideras. IT -rådet reviderar fortlöpande i detta dokument