Ansvar och roller för ägande av information samt ägande och förvaltande av informationssystem i Umeå kommun

Transkript

1 roller för ägande av information samt ägande och förvaltande av informationssystem i Umeå kommun Dokumenttyp Regler Dokumentägare Kommungemensam IT-samordning Dokumentnamn roller för ägande av information och förvaltande av informationssystem Dokumentansvarig Kommungemensam IT-samrordning Fastställd/Upprättad Operativa IT-gruppen Reviderad Dokumentinformation Tidigare version av detta dokument hette roller för ägande av information och system som innehåller allmänna handlingar. Version 2.0 Giltighetstid Tillvidare

2 Innehåll sid 2 1. Informationsägarskap och systemägarskap för informationssystem 3 2. Juridisk systemägare Nämnd/styrelse Operativ systemägare. förvaltningschef eller annan verksamhetsansvarig chef 6 4. Systemförvaltare 6 5. Systemansvarig/systemadministratör 8 6. Systemdriftsansvarig 9 7. Systemanvändare Systemleverantör Personuppgiftsansvar Personuppgiftsombud. 10

3 1. Informationsägarskap och systemägarskap för informationssystem Umeå kommun använder olika informationssystem som stöd för att genomföra våra verksamhetsuppdrag. 3 För att uppfylla krav på insyn, tillgänglighet och säkerhet samt för att bedriva en effektiv och rationell verksamhet ska varje system som används i kommun ha en organisation för ägande och förvaltning. Ägarskapet är uppdelat i två delar med olika ansvarsområden. Informationsägarskap Omfattar ansvar för all dokumenterad information som finns inom verksamheten Här avses - ansvar för hur, var och vilken information som lagras Systemägarskap Omfattar ansvar för systemförvaltning, utveckling och drift - ansvar för hur system får användas i verksamheten och av vem eller vilka - ansvar för att dokumenthanteringsplaner och arkivredovisning upprättas - ansvar för att beslutad gallring av information i systemet verkställs i enlighet med dokumenthanteringsplanen I Umeå kommun finns olika användningsområden för system som ger delvis olika fördelning av ansvar. Kommunövergripande system som används av flera eller alla förvaltningar och ev. också av bolag. Det formella ägarskapet för information i ett kommunövergripande system eller ett flerförvaltningssystem kan vara fördelat på flera ägare, utifrån hur systemet används och hur informationen lagras. Här är det lämpligt, att för vissa ansvarsdelar som ingår i informationsägarskapet, utse en huvudansvarig, t.ex. för behörighetsrutiner eller för verkställighet av beslutad gallring i ett system. En central systemägare med övergripande ägaransvar ska alltid finnas utsedd för s.k. flerförvaltningssystem. System som är förvaltnings- eller verksamhetsspecifika I dessa fall finns informations- och systemägare inom samma organisation. Alla informationssystem som används i Umeå kommun och som lagrar elektronisk information ska registreras i RegIT för att uppfylla krav i Umeå kommuns internkontrollreglemente, krav i sekretess, arkiv- och personuppgiftslag samt krav i kommunens informationssäkerhetsinstruktioner.

4 4 2. Juridisk systemägare * - Nämnd /Styrelse Nämnd/styrelse (myndigheten) har ett övergripande ansvar för alla aktiviteter som bedrivs inom resp. ansvarsområde utifrån reglemente och delegationer (6 kap. 7, Kommunallagen). Utifrån detta har nämnd/styrelse i en kommun följande ansvar och roller; Informationsägare Nämnden/styrelsen är i juridisk mening ägare av den information som lagras och bearbetas i olika informationssystem för dess räkning samt för vad som publiceras eller tillgängliggörs från olika system. Det operativa informationsägarskapet utövas inte av nämnden utan är delegerat till förvaltningschef eller till verksamhetsansvarig chef. Med informationsägarskapet följer: Personuppgiftsansvar för myndighetsområdet Ansvar för att personuppgiftsombud utses enligt personuppgiftslagen för myndighetsområdet Bemyndigande att besluta om att vägra lämna ut allmän handling (kan vidaredelegeras) Ansvar för att dokumenthanteringsplaner och arkivredovisning upprättas för den information som finns lagrad i systemet. Ansvar för beslutad gallring av information i system verkställs Ansvar för att definiera vilket skydd som informationen ska ha och fatta beslut om acceptabel nivå. Ansvar för att bekosta ev. merkostnader som kan uppstå vid ett förändrat skyddsbehov. Ansvar för uppföljning av beslutade åtgärder och insatser utifrån kommunens informationssäkerhetspolicy samt för att åtgärder vidtas utifrån genomförd systemsäkerhetsanalys.

5 Systemägare Nämnden/styrelsen är i juridisk mening ägare av de informationssystem som används inom myndighets- eller verksamhetsområdet. Det operativa systemägarskapet utövas inte av nämnden utan delegeras till förvaltningschef eller till verksamhetsansvarig chef Med systemägarskapet följer: 5 Yttersta ansvar för att systemdesign och systemanvändning följer lagar, förordningar samt fastställda riktlinjer för Umeå kommun.

6 6 3. Operativ systemägare * - Förvaltningschef eller annan verksamhetsansvarig chef Operativt informationsoch systemägaransvar : Förvaltningschef eller verksamhetsansvarig chef har ett övergripande operativt informations- och systemägaransvar för informationssystem som används i organisationen. Han eller hon ansvarar för att den information som lagras i förvaltningsunika och kommungemensamma system hanteras på ett ur rättssäkerhetssynpunkt tillfredställande sätt. Förvaltningschef eller verksamhetsansvarig chef ansvarar för att en organisation för systemförvaltning inrättas enligt den modell som beskrivs i dokumentet Systemförvaltning i Umeå kommun. Eftersom varje förvaltning har unika organisatoriska förutsättningar kan /roller ha olika kombinationer på resp. förvaltning. Obligatoriska roller som alltid ska finnas för ett informationssystem är systemägare (juridisk och operativ), systemförvaltare och systemdriftsansvarig. (Märkta med *) : I förvaltningschefs eller verksamhetsansvarigs chefs ansvar ingår att: ansvara för att som beskrivs i informationsägarskapet under avsnitt 1 verkställs ansvara för anskaffning, ny- eller vidareutveckling samt avveckling av informationssystem samt teckna avtal med leverantör ansvara för att informationssystemet förvaltas och används inom ramen för antagna verksamhetsmål, ekonomiska ramar och tecknade avtal godkänna årsplan för systemets förvaltning godkänna drifts-, support- och serviceavtal tilldela ekonomiska resurser för systemets förvaltande

7 4. Systemförvaltare* 7 Systemförvaltaren ansvarar för att: en förvaltningsorganisation finns upprättat för aktuellt system kalla aktuella representanter till systemförvaltningsträffar registrera avtal, systembeskrivning och systemförvaltningsorganisation i RegIT fortlöpande uppdatera i RegIT drifts-, support- och serviceavtal för aktuellt system finns upprättat samla in, dokumentera och prioritera ändringsförslag initiera och, inom ramen för tilldelade resurser, besluta om vidareutveckling av systemet samt till systemägaren föreslå ny- eller avveckling av system tester genomförs vid nya funktioner, releaser/versioner och tillbehör systemsäkerhetsanalys genomförs för informationssysmet med stöd av BITs plus. säkra behörighetsrutiner finns (behörighetsrutiner = besluta om och tilldela roller/behörigheter i system säkerställa administrativa rutiner för beställning/borttag hos systemsupport. informationssäkerhetsklassning görs för information som finns lagrat i systemet informationen som lagras i systemet har en sådan struktur och utformning att det lätt går att utskilja handlingars status. ( Allmänna offentliga och icke offentliga handlingar, övriga handlingar ) besluta om vilka delar av lagrad information som ska vara tillgänglig, till vilka och i vilka former att användare får grundläggande kännedom om hur systemet ska och får användas utbildningsmöjligheter finns samt att ev. användarhandledning eller annat instruktionsmaterial finns och underhålls gallringsutredningar utförs av den information som finns lagrad samt att gallringsfrister fastställs beslutad gallring av lagrad information i systemet verkställs samt att

8 8 beslutade uttag av information på papper eller på andra media verkställs i enlighet med dokumenthanteringsplanen upprätta årsplan för systemets förvaltning med tidplan för nya realeaser/versioner. 5. Systemansvarig/Systemadministratör Ansvarar för det dagliga operativa användandet av systemet inom en berörd verksamhet. Ansvarar för att den dagliga driften upprätthålls i enlighet med driftsavtal. Systemansvarig/Systemadministratör ska: verkställa beslut som berör system som fattas av systemförvaltaren eller systemägare på delegation från systemförvaltaren dokumentera ändrings- och utvecklingsförslag ge användarsupport i verksamhetsrelaterade systemfrågor svara för viss operativ användar- och behörighetsadministration delta i säkerhetsarbete som rör systemet svara för, att efter uppdrag från systemförvaltare, ändra eller och avregistrera användare i system utifrån med angivna roller och behörigheter

9 6. Systemdriftsansvarig * 9 Utses i samband med upprättande av driftsavtal mellan systemförvaltare och drift. Aktiviteter med * ansvarar leverantören för (om driften sköts av extern leverantör). Systemdriftsansvarig ska : delta på systemförvaltningsmöten delta i säkerhetsarbete som rör ett enskilt system ansvara för underhåll av databaser ansvarar för att genomföra test av nya funktioner, releaser-/versioner och tillbehör informera systemförvaltaren om koppling till andra system och testa dessa vid förändringar ansvara för installation, drift, underhåll, release/versionsbyte ur teknisk synvinkel av systemet ansvara för att drifts- och annan teknisk systemdokumentation finns och är aktuell ansvara för att beslutade och ändamålsenliga metoder, standarder och teknik används följa upp driftsavbrott och rapportera dessa till systemförvaltaren ansvara för att åtkomst, lagring och förvaring sker under säkra former med den säkerhetsnivå som fastställts för systemet ansvara för att rutiner för säkerhetskopiering och andra säkerhetsrelaterade delar uppfyller de krav som systemägaren ställer ansvara för att säkerhetskopierat material förvaras på ett betryggande sätt och att återläsningsrutiner fungerar reservrutiner, serviceavtal m.m. finns så att systemförvaltarens krav på längsta tillåtna avbrottstid kan tillgodoses biträda systemförvaltaren i avbrottsplanering biträda systemförvaltaren med teknisk rådgivning då förändringar i systemet är aktuellt ansvara för systemets tekniska säkerhet tillhandahålla teknisk support för användare via helpdesk eller systemsupport på uppdrag av systemägaren verkställa föreskriven gallring

10 10 7. Systemanvändare Varje systemanvändare ansvarar för att ta del av och följa uppsatta regler för systemanvändning och systemsäkerhet i Umeå kommun 8. Systemleverantör (intern eller extern) Ansvarar för att vidareutveckla och testa system efter uppdrag och plan som avtalats. 9. Personuppgiftsansvar Är kopplat till informationsägarskapet. Personuppgiftsansvarig är den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandling av person. I kommunal verksamhet är vanligen nämnden (myndigheten) personuppgiftsansvarig. För vissa kommungemensamma informationssystem kan det vara svårt att avgöra vem som är personuppgiftsansvarig. Detta gäller t.ex. gemensamma ekonomioch personalsystem. Har en nämnd ansvar för hanteringen av systemet och bestämmer hur personna ska hanteras, är den nämnden personuppgiftsansvarig även om registrering sker på annat håll. Om flera nämnder bestämmer om ändamål och medel för behandlingarna i systemet är flera personuppgiftsansvariga 10. Personuppgiftsombud (utses av nämnd eller styrelse) Är kopplat till informationsägarskapet. Uppgifter och ansvar regleras i Personuppgiftslagen och innebär att: självständigt se till att den personuppgiftsansvarige behandlar person på ett lagligt och korrekt sätt och i enlighet med god sed påpeka ev. brister för den personuppgiftsansvarige vid misstanke om att den personuppgiftsansvarige bryter mot de bestämmelser som gäller för behandling av person och om

11 11 rättelse inte snarast vidtas efter påpekande, anmäla förhållandet till Datainspektionen samråda med Datainspektionen föra förteckning över de behandlingar som genomförs och om dessa är anmälningspliktiga hjälpa registrerad att få rättelse när det finns anledning att misstänka att behandlade person är felaktiga eller ofullständiga bevaka att om de system som används inom verksamhetsområdet finns registrerade i RegIT innan de driftssätts informera personuppgiftsansvarig nämnd om uppdraget