Kommunal författningssamling för Smedjebackens kommun. Informationssäkerhetspolicy. 97 Dnr 2016/00447

Transkript

1 97 Dnr 2016/00447 Kommunal författningssamling för Smedjebackens kommun Fastställd av Kf 97 Den Informationssäkerhetspolicy Kommunfullmäktiges beslut Revidering av informationssäkerhetspolicyn fastställs enligt upprättat förslag. Ärendebeskrivning Kommunchef Kerstin Söderlunds tjänsteskrivelse: Kommunens informationssäkerhetspolicy beskriver ett gemensamt förhållningssätt för hur de totala informationstillgångarna ska skyddas. Kommunchefen har tillsammans med sin ledningsgrupp samt IT-chef och IT-strateg gjort en översyn av policyn i syfte att skapa utrymme för förenkling och samtidigt ökad tydlighet. Upprättat förslag till informationssäkerhetspolicy beskrivs nu som en delmängd i kommunen totala säkerhetsarbete. I möjligaste mån bör rutiner och arbetssätt utgå från det perspektivet. Roller och ansvar har kompletterats. Policyn innehåller även mål och beskriver hur uppföljning ska ske. Kommunstyrelsen har i 177/2016 föreslagit kommunfullmäktige att fastställa revidering av informationssäkerhetspolicyn enligt upprättat förslag. Yrkanden Fredrik Rönning (S) yrkar bifall till kommunstyrelsens förslag. Smedjebackens kommun Smedjebacken E-post: kommun@smedjebacken.se Telefon: Telefax: Bankgiro: Org.nr: SE Säte Smedjebacken

2 Informationssäkerhetspolicy Reviderad av kommunfullmäktige den 12 december 2016, 97

3 BAKGRUND Information är en av de viktigaste tillgångarna i Smedjebackens kommuns verksamhet. Med informationstillgångar avses all information oavsett om den behandlas manuellt eller automatiserat och oberoende av i vilken form eller miljö den förekommer. Kommunens informationssäkerhetsarbete ska skydda informationen mot oönskade händelser som kan medföra negativa konsekvenser för verksamheten och kommunens invånare. Med informationssäkerhet menas den samlade effekten av de skyddsåtgärder som syftar till att förebygga, minimera eller eliminera oönskade konsekvenser av olika händelser som negativt påverkar kommunens informationstillgångar. Detta gäller de hot och risker som riktar sig mot IT-stödets och informationsresursernas tillgänglighet, riktighet, sekretess och spårbarhet. Informationssäkerhet ingår som en delmängd i kommunens säkerhetsarbete och omfattas av motsvarande krav och rutiner. POLICY Kommunens informationssäkerhetsarbete ska skydda informationstillgångarna och därmed tillförsäkra: Sekretess Information ska skyddas så den inte avsiktligt eller oavsiktligt görs tillgänglig eller avslöjas för obehörig eller kan nyttjas på annat otillåtet sätt. Riktighet Information ska vara skyddad mot oavsiktlig och avsiktlig förvanskning. Tillgänglighet Information ska vara tillgänglig för behörig användare efter identifierat behov både för interna och externa intressenter. Spårbarhet Utförda bearbetningar eller andra operationer ska genom befintliga rutiner vara möjliga att härleda till användare och tidpunkt. OMFATTNING Informationssäkerhetspolicyn omfattar samtliga anställda, konsulter och andra som ges rätt att använda kommunens IT-stöd och informationstillgångar. Smedjebackens kommun ska, för aktuella arbetsuppgifter, ge nödvändig kunskap om hur informationssäkerhet och IT på ett säkerhetsmässigt sätt ska användas. Den som använder Smedjebackens kommuns informationstillgångar på ett sätt som strider mot denna informationssäkerhetspolicy kan bli föremål för disciplinära åtgärder. 1 Smedjebackens kommun Smedjebacken E-post: kommun@smedjebacken.se Telefon: Telefax: Bankgiro: Org.nr: SE Säte Smedjebacken

4 POLICYNS ROLL I INFORMATIONSSÄKERHETSARBETET Informationssäkerhetspolicyn redovisar ledningens vilja och engagemang gällande informationssäkerhetsarbetet. Informationssäkerhetspolicyn konkretiseras i informationssäkerhetsinstruktioner som utgår från Myndigheten för samhällsskydd och beredskaps (MSB) rekommendationer. Informationssäkerhetspolicy Informationsinstruktion Användare Målgrupp: Samtliga medarbetare Informationssäkerhetsinstruktion Systemförvaltning Målgrupp: Ledning och systemansvariga Informationssäkerhetsinstruktion IT Drift Målgrupp: IT-driftansvariga ROLLER OCH ANSVAR Alla som hanterar kommunens informationstillgångar har ett ansvar att upprätthålla en god informationssäkerhetsnivå. Kommunstyrelsen Kommunstyrelsen har det yttersta ansvaret för kommunens informationssäkerhetsarbete och ansvarar för informationen i kommunövergripande verksamhetssystem. När det gäller personuppgifter är respektive nämnd/styrelse personuppgiftsansvarig för sin information i de kommunövergripande verksamhetssystemen och kommunstyrelsen agerar personuppgiftsbiträde internt i kommunkoncernen. Nämnden/bolagsstyrelsen Varje nämnd/bolagsstyrelse ansvarar för den information och de informationssystem som finns inom det egna verksamhetsområdet. Kommunchef Har ansvar för att informationssäkerhetsarbetet bedrivs i enlighet med den fastställda informationssäkerhetspolicyn och beslutar hur informationssäkerhetsarbetet ska bedrivas. Systemägare (objektägare) Ansvarar för säkerheten och behovet av kontinuitet i respektive system. IT-chef Ansvarar för att tillse att driftsäkerheten överensstämmer med systemägarens anvisningar. Informationssäkerhetsansvarig Har operativt ansvar för samordning av informationssäkerhetsarbetet i kommunkoncernen. 2 Smedjebackens kommun Smedjebacken E-post: kommun@smedjebacken.se Telefon: Telefax: Bankgiro: Org.nr: SE Säte Smedjebacken

5 MÅL Alla medarbetare har kunskap om gällande informationssäkerhetsregler. Informationstillgångarna hanteras säkert och effektivt och bidrar till ökat skydd och stöd för medarbetare, samverkande partners och tredje man. Lagar, förordningar och föreskrifter är kända och följs. Krishanteringsförmågan enligt gällande styrdokument upprätthålls. UPPFÖLJNING I samband med årlig uppföljning av informationssäkerhetsarbetet ska bevakning ske att - beslutade åtgärder är genomförda - mål är uppföljda - regler följs. Några för området viktiga lagar och förordningar Tryckfrihetsförordningen Offentlighets- och sekretesslagen Säkerhetsskyddslagen Säkerhetsskyddsförordningen Personuppgiftslagen Arkivlagen Arkivförordningen Patientdatalagen Socialstyrelsens föreskrifter om informationshantering och journalföring i hälso- och sjukvården Förvaltningslagen Lag om offentlig upphandling Lag om kommunal redovisning Lag om kommuners och landstings åtgärder inför och vid extraordinära händelser i fredstid och i höjd beredskap Kommunallagen 3 Smedjebackens kommun Smedjebacken E-post: kommun@smedjebacken.se Telefon: Telefax: Bankgiro: Org.nr: SE Säte Smedjebacken