Remissutgåva. Program för informationssäkerhet

Transkript

1 Remissutgåva Program för informationssäkerhet 1

2 Informationssäkerhetsprogram Datum Version Upprättad av Peter Tinnert Dokumentnamn Informationssäkerhetsprogram Dokumentägare Kommunchefen Dokumentansvarig Informationssäkerhetssamordnaren Dokumenttyp Program Publicering Intranät och internet Omfattar Nybro kommun Informationsklass Offentlig Fastställd xx Giltighetstid Belutsinstans Kommunfullmäktige Diarienummer 2017/XXX Revidering 1 201x-xx-xx 2

3 Innehållsförteckning Förord 5 1 Ledningens syn på informationssäkerhet 5 2 Bakgrund 5 3 Omfattning 6 4 Styrning och mål i arbetet med för informationssäkerhetsarbetet 6 5 Organisation, roller och ansvar 6 6 Uppföljning 8 3

4 Förord Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur. Excepteur sint occaecat cupidatat non proident, sunt in culpa qui officia deserunt mollit anim id est laborum. Nybro kommun 2017-MM-DD Lars-Gunnar Hellström kommunstyrelsens ordförande Jan Darell kommunchef 4

5 1 Ledningens syn på informationssäkerhet Informationssäkerhetsprogrammet redovisar ledningens viljeinriktning och stöd för informationssäkerhetsarbetet och syftar till att klarlägga mål, organisation, ansvar och roller samt krav för områden av särskild betydelse Informationssäkerhetsarbetet stödjer kommunens strategiska inriktning samt ingår som en del i kommunens process för ledning och styrning. Information är en av kommunens mest strategiska resurser. Alla verksamheter är beroende av tillförlitlig information. Avbrott i tillgänglighet till information kan vara kritiskt och felaktig information kan ge allvarliga konsekvenser för kommunens verksamhet eller tredje part. Kraven på informationssäkerheten utgår från kommunledningens och verksamhetens krav på funktion och tillämplighet liksom legala krav, förordningar, föreskrifter och avtal. Med rätt informationssäkerhet uppnås hög kvalitet och god effektivitet i det dagliga arbetet. Risken för störning ska minimeras samtidigt som skydd och åtgärd kontinuerligt balanseras mot kostnader. Insatser utgår från verksamhetens behov och är en del av kommunens totala riskhantering. Kommunstyrelsen fastställer vilka verksamhetsprocesser som är samhällsviktiga. Den information och de IT-system som stöder dessa processer skall då också anses som samhällsviktiga och ges en informationsklassning och ett skydd som motsvarar vikten av information och system. Kommunen ska, när så är möjligt, följa etablerade standarder och vägledningar baserade på Svensk Standard för Informationssäkerhet enligt ISO/IEC serien. Programmet ska vara känd och tillgänglig i aktuell version på kommunens intranät och på kommunens hemsida. Avtal och överenskommelser får inte skrivas som åsidosätter kraven i detta program. Informationssäkerhetsprogrammet ska fastställas i fullmäktige/bolagsstyrelse. 2 Bakgrund Kommunens alla verksamheter är beroende av att nödvändig information är tillgänglig för rätt person vid rätt tidpunkt samt att den är ändamålsenlig. Det finns många hot mot kommunen informationstillgångar. För att säkerställa att informationen är skyddad finns det särskilda informationssäkerhetskrav som behöver uppfyllas. Med informationssäkerhet avses skydd av informationstillgångar i syfte att upprätthålla nödvändig nivå på konfidentialitet, riktighet, tillgänglighet och spårbarhet. 5

6 Konfidentialitet att information skyddas för obehörig insyn Riktighet att information är oförstörd, d.v.s. ej förändrad på ett oönskat sätt Tillgänglighet att information är nåbar vid rätt tillfälle Spårbarhet att specifika aktiviteter som rör information skall kunna följas upp 3 Omfattning Detta informationssäkerhetsprogram gäller för all verksamhet inom kommunen inklusive helägda bolag och omfattar alla informationstillgångar som kommunen hanterar. Samtliga anställda, extern personal, politiker som aktivt arbetar i verksamheten omfattas av programmet, dess tillhörande strategi och instruktioner. Övriga, till exempel politiker och elever som ges tillgång till kommunens IT-nätverk skall också omfattas. Med informationstillgång avses all information oavsett om den behandlas i ett IT-system, förkommer på ett utskrivet papper, i ett anteckningsblock, som ett samtal i korridoren eller i telefonen. Även film, ljud och bild inkluderas. 4 Styrning och mål i arbetet med informationssäkerhet Grundläggande för informationssäkerhetsarbetet är att användning, administration, förvaltning och utveckling ska ske så att: offentlighet, konfidentialitet och riktighet säkerställs alla informationstillgångar klassificeras information skyddas i paritet med dess informationsklassning krav på åtkomst, tillförlitlighet och tillgänglighet uppfylls lagar och föreskrifter följs säkerställa att kommunen kan upprätthålla kontinuitet i sin verksamhet och vid behov vidta åtgärder kunskap om informationssäkerhet och dess innebörd finns i organisationen hotbilden mot viktiga informationstillgångar fortlöpande analyseras och följs upp hotbild mot samhällsviktiga system fortlöpande analyseras och följs upp krishanteringsförmågan fortlöpande analyseras och upprätthålls det bidrar till ökat skydd och stöd för medarbetare, samverkande partners och tredje man en säker, sammanhållen och väl definierad infrastruktur upprätthålls det finns en samlad och korrekt dokumentation av informationssystemen att alla i kommunens organisation, vid varje tillfälle, ska ha rätt och beslutat behörighet till kommunens informationstillgångar. Programmet för informationssäkerhet fastställs av kommunfullmäktige och ska tydliggöra ledningens viljeinriktning samt vara ett stöd för informationssäkerhetsarbetet. I programmet delegerar kommunfullmäktige följande till nämnder och bolagsstyrelser: vad och varför något skall åstadkommas, vem som ansvarar för att detta uppnås och hur detta skall följas upp. Informationssäkerhetsstrategin är underställd informationssäkerhetsprogrammet och fastställs av 6

7 kommunstyrelsen. Strategin beskriver hur ansvar och mål upprätthålls. I strategin beskrivs organisationen för informationssäkerhetsarbetet Beslutat program och strategi utgör tillsammans med anvisningar, rutiner och instruktioner styrdokument för informationssäkerhet. Anvisningar, rutiner och instruktioner fastställs av förvaltningschef. Inom verksamhetens processer skall kraven på informationssäkerhet tillgodoses. Hur ska programmet upprätthållas Program Vad och vem ansvarar Strategi Hur och vem gör vad Instruktioner, rutiner och anvisningar 5 Organisation, Roller och Ansvar Organisation, roller och fördelning av ansvar ska säkerställa att information och tjänster kan administreras och hanteras på ett sådant sätt att de under hela sin livstid bidrar till att stödja avsedd verksamhet och uppfylla informationssäkerhetsprogrammets mål. All information ska klassificeras utifrån verksamhetens krav på konfidentialitet, riktighet och tillgänglighet. All information som omfattas av sekretess enligt lag, är personuppgifter eller är relaterade till personuppgifter ska även klassas utifrån krav på spårbarhet. Det ska förtecknas vilken klassificering en informationsmängd har. All hantering, bearbetning och lagring av information skall motsvara kraven i dess klassning. Kommunchefen (i samråd med förvaltningschef) utser systemägare och informationsägare för varje IT-system eller informationstillgång (normalt kopplat till verksamhetsprocess). Organisation av informationssäkerhetsarbetet Kommunfullmäktige uttrycker sin viljeinriktning i detta program. Kommunstyrelsen har det yttersta ansvaret för kommunens informationssäkerhetsarbete. 7

8 Kommunchefen ansvarar att tillse att kvalitets- och informationssäkerhetsarbetet bedrivs så effektivt som möjligt, genom att visa ett tydligt stöd och fördela resurser. Kommunchefen (eller förvaltningschef) utser systemägare och informationsägare. Varje chef ansvarar för att det finns rutiner som säkerställer att underställda kan efterleva kommunens regelverk för informationssäkerhet. Informationssäkerhetssamordnaren har det övergripande och strategiska ansvaret att leda, utveckla och samordna informationssäkerhetsarbetet samt föreskriva de metoder som skall använda för riskanalys och informationsklassning. Informationsägarna har ansvaret för den informationsmängd som delegerats dem, normalt den information som tillhör en verksamhetsprocess. Informationsägarna har också ansvar för att informationsklassning och att riskanalyser genomförs för den informationsmängd som de ansvarar för. De har vidare ansvar att informationen hanteras på ett ändamålsenligt sätt inom de krav informationsklassningen ställer. Systemägarna har ansvar för respektive IT-system och dess användning. System ska uppfylla informationssäkerhetskraven i utifrån informationsklassificeringen och legala krav. Prioritering av resurser skall göras utifrån verksamhetens behov. Systemägarna ansvarar vidare att upprätthålla en god dokumentation över systemen. Alla som hanterar informationstillgångar har ett ansvar för att informationssäkerheten upprätthålls. Dataskyddsombudet (f.n. personuppgiftsombudet) enligt Dataskyddsförordningen. Kommunen har skyldighet att tillsätta ett dataskyddsombud med sakkunskap om lagstiftning och praxis om dataskydd. Rollen skall vara självständig, rådgivande och övervakande i att kommunen följer reglerna i Dataskyddsförordningen. Avtal och ansvarsfördelning För att tydliggöra ansvar ska avtal upprättas som beskriver formell ansvarsfördelning. Servicenivåavtal ( service level agreement SLA) mellan systemägare och intern eller extern tjänsteleverantör. Här skall behov av skydd och tillgänglighet beskrivas utifrån verksamhetens behov och den informationsklassning som gäller. I avtalen skall också metoder för mätning och uppföljning beskrivas. Personuppgiftsbiträdesavtal erfordras om någon part utanför kommunens egen organisation handhar personuppgifter som ligger under kommunens ansvar. 6 Uppföljning Kommunstyrelsen ska minst en gång per år informera sig om hur arbetet med informationssäkerhet går. Genomgången görs vid den årliga aktiviteten ledningens genomgång. Uppföljningen ska baseras på underlag med rekommendationer som tas fram av informationssäkerhetssamordnaren/strategen/chefen eller motsv. Underlaget ska innefatta information om: Förändringar utanför kommunen som kan påverka informationssäkerheten Utbildning (status och behov) Inträffade incidenter som fått eller kunnat få större påverkan på verksamheten Resultat från genomförda granskningar och revisioner Genomförda riskanalyser Aktuella och planerade säkerhetsåtgärder Rekommendationer till förbättringar 8

9 Resultatet från denna uppföljning ska innefatta beslut om åtgärder för att förbättra informationssäkerheten samt tilldelning av resurser. Om misstanke om oegentlighet uppstår ska detta utan fördröjning anmälas till närmaste chef. Om man misstänker att lagbrott har begåtts skall polisanmälan göras. 9

10 10