Informationssäkerhetspolicy

Transkript

1 Styrdokument, policy Kommunledningskontoret Per-Ola Lindahl Dnr Fax KS/2015:315 Informationssäkerhetspolicy Nivå: Kommungemensamt styrdokument Antagen: Kommunfullmäktige Reviderad: Kommunfullmäktige 2016-XX Giltig t.o.m: Den 31 december 2017 Ansvarig ägare: Utvecklingsdirektören

2 Bakgrund och syfte Informationssäkerhet är en del i lednings- och kvalitetsprocessen som bidrar till att ett informationssystem kan användas på avsett sätt och med avsedd funktionalitet. Syftet med informationssäkerhetspolicyn är att utgöra ett övergripande och gemensamt regelverk för kommunen i frågor som rör styrning, ledning och hantering av informationssäkerhet och kompletteras av IT-policy för kommunen. Denna policy är konkretiserad i tre säkerhetsinstruktioner: en för användare, en för kontinuitet och drift och en för förvaltning. Definitioner IT är en förkortning för informationsteknik eller informationsteknologi. Här avses endast användning av datorteknik, digitala nätverk och telefoni för att hantera och utbyta information. Informationssystem är ett gemensamt begrepp på system som används för att skapa, förmedla eller bearbeta information. IT-plattform är ett gemensamt begrepp på all utrustning för databearbetning och system för detta oavsett om utrustningen är kopplad till det gemensamma datornätverket. De primära komponenterna i IT-plattformen är arbetsdatorer, serversystem, datornätverk, kommunikationsutrustning, kopiatorer, skrivare, telefoner, telefoni och telefonilösningar. Informationssäkerhet avser skyddandet av information oavsett hur den förekommer, manuellt eller automatiserat och oberoende i vilken form eller miljö den förekommer. Kontinuitetsplanering avser hur kommunen ska kunna leverera tjänster till kunderna, även om produktionen störs. Policyns roll i informationssäkerhetsarbetet Informationssäkerhetspolicy Förvaltning Kontinuitet och Drift Användare Informationssäkerhetspolicyn konkretiseras i informationssäkerhetsinstruktioner enligt ovan. 2

3 Informationssäkerheten omfattar all kommunens hantering av information utan undantag. Med informationssäkerhet avses: Att rätt information är tillgänglig för rätt person när den behövs och på ett spårbart sätt Att informationen är och förblir riktig. Mål för informationssäkerhetsarbetet För kommunens informationssäkerhetsarbete skall gälla att: Alla förtroendevalda, medarbetare och leverantörer/utförare har kunskap om gällande informationssäkerhetsregler Att informationsförsörjningen är säker, effektiv och bidrar till fullgott skydd och stöd för förtroendevalda, medarbetare och leverantörer/utförare och kommuninvånare Ingångna avtal är kända och följs Krishanteringsförmågan upprätthålls Alla investeringar, både i form av information och teknisk utrustning, har skydd i tillräcklig grad Det finns tillgång till en gemensam, säker och väl definierad infrastruktur för extern och intern datakommunikation Hotbilden för varje enskilt informationssystem som är av vikt för kommunens verksamhet analyseras fortlöpande Händelser i informationssystemen som kan leda till negativa konsekvenser förebyggs Årliga mål för informationssäkerhetsarbetet framgår i förvaltningsplaner för informationssystemen, som en del av den ordinarie verksamhetsplaneringen. Omfattning Informationssäkerhetspolicyn omfattar alla verksamheter och förtroendevalda, medarbetare och leverantörer/utförare. Roller och ansvar Kommundirektören, med stöd av koncernledningsgruppen, föreslår informationssäkerhetspolicy. Kommunfullmäktige fastställer informationssäkerhetspolicyn. Kommunstyrelsen är ansvarig för att av kommunfullmäktige fastställd informationssäkerhetspolicy efterlevs och att samordning avseende IT sker mellan verksamheterna. Digitalstrategen har det övergripande ansvaret för informationssäkerhetsarbetet i kommunen. Säkerhetschefen har det operativa ansvaret för samordning av informationssäkerhetsarbetet. IT-driftschefen ansvarar för att uppfylla myndighetens kontinuitetsplan för IT-stödet. 3

4 Kommunarkivarien ansvarar för att informationen hanteras enligt bestämmelserna i arkivlagen och offentlighets- och sekretesslagen. Systemägaren har det övergripande ansvaret för att informationssäkerhetspolicyn efterlevs för sina respektive system. Systemförvaltaren har ansvaret att informationssäkerhetspolicyn efterlevs i den dagliga verksamheten. Generella krav Kommunens informationssystem ska vara identifierade och förtecknade. Av förteckningen ska framgå vem som är systemägare. Alla informationssystem ska minst klara en basnivå för informationssäkerhet som myndigheten MSB rekommenderar (BITS). Tillfälle till informationssäkerhetsutbildning ska beredas förtroendevalda, medarbetare och leverantörer/utförare. Information som hanteras inom kommunen ska klassificeras med avseende på sekretess, riktighet och tillänglighet enligt de av KSL fastställda 16 principerna för säker kommunikation. Distansarbete ska kunna erbjudas förtroendevalda och medarbetare. Förutsättningar och restriktioner för detta ska dokumenteras. Vid användning av Internet exponeras kommunens namn. Gott omdöme ska tillämpas av var och en av kommunens förtroendevalda och medarbetare beträffande vilka hemsidor som besöks och vad som laddas ner lokalt. Elektronisk post som innehåller sekretessbelagd information får i regel inte skickas via e-post En kontinuitetsplan ska finnas för driften av IT-verksamheten baserad på de olika informationssystemens samlade krav. Giltighetstid för informationssäkerhetspolicyn Informationssäkerhetspolicyn är antagen av kommunfullmäktige den Reviderad den Informationssäkerhetspolicyn är giltig till och med Med giltighetstid menas att dokumentet ska ses över och eventuellt revideras innan utsatt datum. Giltighetstiden finns för att säkerställa att styrdokumentet hålls aktuellt. Ansvarig för informationssäkerhetspolicyn Varje styrdokument ska ha en ägare som ansvarar för att styrdokumentet är aktuellt, känt och finns tillgängligt på kommunens interna och externa webbplatser. Digitalstrategen är ansvarig för framtagning och uppdatering av detta dokument. 4

5 Relaterade dokument Policy Instruktioner Rutinbeskrivningar Pyramiden ovan visar de olika styrdokumentens nivåer och inbördes förhållanden. Handlings-, projekt- och förvaltningsplaner ska följa dessa styrdokument. Övriga dokument relaterade till styrning och användning av IT och informationssäkerhet inom Upplands Väsby kommun utgörs av: IT-policy: ger förutsättningarna för att IT används effektivt och ger bästa möjliga effekt inom kommunens verksamheter. Informationssäkerhetspolicy: detta dokument. o : Användare o : Förvaltning o : Kontinuitet och Drift Upplands Väsby kommuns projektmodell: beskriver hur projekt bör hanteras inom kommunen Avtal om nyttjande av mobiltelefon: beskriver vad som gäller kring användning av kommunens telefonitjänster och är riktad till samtliga medarbetare. IT-Arbetsplatsen : Beskriver IT-arbetsplatsens för det administrativa nätet, inklusive vilka IT-verktyg vi använder samt metoder för kommunikation. 5