IT-Säkerhetspolicy för Munkfors, Forshaga, Kils och Grums kommun

Transkript

1 n av 5 för Munkfors, Forshaga, Kils och Grums kommun April 2005 av IT-samverkansgruppen

2 n 2 av 5. IT-säkerhetspolicyns roll i IT-säkerhetsarbetet. Inledning IT-säkerhet är en del i organisationens lednings- och kvalitetsprocess som ska bidra till att ett IT-system kan användas på avsett sätt och med avsedd funktionalitet. Krisberedskapsmyndighetens (KBM:s) rekommendationer om Basnivå för IT-säkerhet (BITS) ska gälla som ramverk för IT-säkerhetsarbetet. Denna IT-säkerhetspolicy är en del av organisationens IT-verksamhet och redovisar ledningens viljeinriktning och stöd för IT-säkerhetsarbetet och syftar till att klarlägga: mål för IT-säkerhetsarbetet organisation, ansvar och roller inom IT-säkerhetsområdet övergripande riktlinjer för områden av särskild betydelse Policyn konkretiseras i erna, Förvaltning, Drift och Användare samt i Systemsäkerhetsplaner. IT-säkerhetspolicy Förvaltning Drift Användare Systemsäkerhetsplan Denna policy för IT-säkerhet har tagits fram inom ramen för ett projekt, samverkan inom ITområdet, mellan Forshaga, Grums, Kils och Munkfors kommuner. Med kommunerna avses även kommunala bolag. IT-säkerhetspolicyn fastställs av kommunfullmäktige. en Förvaltning tas av kommunstyrelsen. er Drift och Användare tas av kommunernas gemensamma IT-samordningsgrupp. Systemsäkerhetsplanerna godkänns av systemägaren. Krav på och åtgärder för ett enskilt IT-system ska dokumenteras i en Systemsäkerhetsplan. En sådan ska upprättas för de IT-system som bedöms som viktiga för verksamheten och utgöra underlag för systemägarens driftgodkännande av aktuellt IT-system. Systemsäkerhetsplanen ska granskas och revideras vid förändringar i organisationen eller organisationens omgivning som påverkar de samlade säkerhetskraven på IT-systemet.

3 2. Mål för IT-säkerhetsarbetet n 3 av 5 2. Långsiktiga mål Målen för kommunens IT-säkerhetsarbete får inte ses skilt från andra mål utan ska ansluta till och stödja kommunens övriga verksamhetsmål. För organisationens IT-säkerhetsarbete ska också gälla att: lagar och föreskrifter följs det stöder kommunens samlade utvecklingsarbete det förebygger oväntade händelser i IT-systemen som kan leda till negativa konsekvenser det säkrar en effektiv informationsförsörjning som bidrar till ökat skydd och stöd för medarbetare, samverkande partners, andra organisationer och tredje man alla investeringar både i form av information (data) och teknisk utrustning skyddas i tillräcklig grad kommunens information ses som en tillgång och skyddas i paritet med dess värde all personal ges kunskap om gällande IT-säkerhetsregler det finns tillgång till en gemensam, säker och väl definierad infrastruktur för extern och intern datakommunikation samtliga IT-system inom kommunen ska vara identifierade och uppfylla Basnivå för IT-säkerhet (BITS). för de samhällsviktiga/verksamhetskritiska IT-systemen ska en systemsäkerhetsplan vara upprättad i enlighet med KBM:s säkerhetsguide. Planen ska utgöra underlag för systemägarens beslut om driftgodkännande hotbilden för varje enskilt samhällsviktigt/verksamhetskritiskt IT-system analyseras fortlöpande (se respektive systems Systemsäkerhetsplan). kostnaderna för säkerhetsåtgärder ska vara rimliga i förhållande till risker De långsiktiga målen ska säkerställa att kommunen kan tillhandahålla och bevara relevant information som: är riktig, komplett och aktuell efterfrågas och som kommunen har ett ansvar att tillhandahålla endast delges behöriga personer och kan levereras vid rätt tidpunkt och till skäliga kostnader IT-säkerhet är en del i lednings- och kvalitetsprocessen som bidrar till att ett ITsystem kan användas på avsett sätt och med avsedd funktionalitet. 2.2 Årliga mål IT-säkerhetsarbetet ska bedrivas som en integrerad del av kommunens normala verksamhet. Årliga mål ska fastställas i samband med att verksamheternas övriga mål fastställs i ordinarie budgetprocess. Arbetet utförs av de olika verksamheterna i samverkan med ITsäkerhetssamordnare, IT- och personalchef. För de årliga målen bör anges:

4 n 4 av 5 vad ska göras under året vem ansvarar för genomförandet resurser för arbetet (personella och ekonomiska) när och hur kommunens medarbetare ska informeras och utbildas. 3. Organisation, roller och ansvar Ansvarsfördelningen ska säkerställa att ett IT-system kan administreras och hanteras på ett sådant sätt att det under hela sin livstid bidrar till att stödja avsedd verksamhet och uppfylla IT-säkerhetspolicyns mål. Detta innebär att ett IT-system med alla dess delar är en resurs i en verksamhet på samma sätt som personal, lokaler mm. 3. Övergripande ansvar Det övergripande ansvaret för kommunens IT-verksamhet vilar på kommunchefen som också utser IT-säkerhetssamordnare. Systemägare för den tekniska infrastrukturen är IT-chefen. Systemägare för verksamhetssystemen är respektive förvaltningschef. 3.2 Ansvarsområden och roller För övriga ansvarsområden och roller hänvisas till dokumentet Organisation, ansvarsområden och roller. 4. Särskilda rutiner Särskilda rutiner ska finnas för vissa områden och beskrivas i dokumenten ITsäkerhetsinstruktion Förvaltning, Drift samt Användare enligt Krisberedskapsmyndighetens (KBM:s) riktlinjer. 5. Kontinuitetsplanering Av kommunens systemsäkerhetsplaner ska framgå de enskilda IT-systemens krav på avbrottsoch katastrofplanering. Kraven ska vara sammanställda i systemsäkerhetsplanen för den tekniska infrastrukturen. Se : Förvaltning. 6 Driftgodkännande av IT-system Före systemägarens beslut om driftgodkännande ska en granskning göras för att kontrollera att säkerheten är tillgodosedd enligt kraven i systemsäkerhetsplanen. Beslut dokumenteras i systemsäkerhetsplanen. Se Förvaltning.

5 n 5 av 5 7 Revidering och uppföljning Policy, Säkerhetsinstruktioner och Systemsäkerhetsplaner ska löpande följas upp och vid behov revideras. Se : Förvaltning.