Regler för informationssäkerhet

Transkript

1 Regler för informationssäkerhet Daniel Stamnell April 2016

2 Sida 2 (19) Innehåll 1. INLEDNING Målet för kommunens arbete med informationssäkerhet Definition av informationssäkerhet Omfattning ORGANISATION FÖR INFORMATIONSSÄKERHETSARBETET Kommunstyrelsens ansvar Nämndernas ansvar Ansvar inom förvaltningarna Förvaltningschef Medarbetare Systemägare Systemförvaltare Informationssäkerhetssamordnare Samverkansforum för informationssäkerhet PERSONAL OCH SÄKERHET Chefers ansvar Kontroll av vissa blivande medarbetare Upphörande av anställning Förändring av anställning Sekretess Distansarbete Hantering av informationssäkerhet mot externa parter Avtal Personuppgiftsbiträdesavtal Sekretessförbehåll RISKHANTERING OCH KARTLÄGGNING Riskanalyser Förteckning av informationstillgångar Klassificering av information Hantering av informationstillgångar Granskning av system ANSKAFFNING AV IT-/VERKSAMHETSSYSTEM Rutin Risk och sårbarhetsanalys Bevarande och gallringsutredning Förteckning enligt PuL FÖRVALTNING AV INFORMATIONSTILLGÅNGAR Rutiner Förändring i informationstillgångar och informationssystem Fördelning av driftansvar Uppdelning av IT-miljöer FYSISK SÄKERHET... 11

3 Sida 3 (19) 7.1. Inledning Säkrade utrymmen Skalskydd och skydd av kontor m.m Tillträdeskontroll Skydd av utrustning Placering och skydd av utrustning Tekniska försörjningssystem Kablageskydd Underhåll av utrustning Säkerhet för utrustning utanför kommunens lokaler Säker avveckling eller återanvändning av utrustning Utförsel av utrustning Skydd av information som inte är digital HANTERING AV INFORMATIONSBÄRANDE MEDIA Hantering av flyttbar och stationära media ÅTKOMST TILL INFORMATION Begränsning av åtkomst Isolering av känsliga system Tilldelning av åtkomst till information Användaridentiteter Behörigheter Särskilda behörigheter Lösenordshantering Användarens ansvar Användning av lösenord Obevakad användarutrustning Dokument med konfidentiell/sekretess eller hemlig information ÖVERVAKNING Loggning Övervakning av systemanvändning Skydd av logginformation KRYPTERING HANTERING AV INCIDENTER Rapportering av informationssäkerhetshändelser Rapportering av säkerhetsbrister Hantering av incidenter och förbättringar KONTINUITETSPLANERING Process för kontinuitetsplanering EFTERLEVNAD Kommunstyrelsens uppsikt Dataintrång och missbruk av information Skydd av personuppgifter Personuppgiftsbiträdesavtal... 16

4 Sida 4 (19) 15. TILLÄMPNINGSANVISNINGAR DEFINITIONER... 17

5 Sida 5 (19) 1. INLEDNING Kommunfullmäktige har antagit en policy för informationssäkerheten i Järfälla kommun. Av policyn framgår att kommunstyrelsen ska fastställa regler för kommunens informationssäkerhetsarbete. Informationssäkerhetspolicyn redovisar Järfälla kommuns viljeinriktning och syftet med informationssäkerhetsarbetet. Där framgår att information är en viktig tillgång som måste behandlas och skyddas, samtidigt som tillgången till informationen och öppenheten inom kommunens verksamheter ska vara så stor som möjligt. Offentlighetsprincipen ska alltid tillämpas vid hantering av kommunens information. All information som produceras, lagras och sprids ska ha rätt nivå av skydd med utgångspunkt i informationens värde, oavsett vilken form den har Målet för kommunens arbete med informationssäkerhet Målet för arbetet med informationssäkerhet är att skydda kommunens verksamhet mot avbrott och minimera risken för att informationen används så att den skadar kommunen eller dess invånare Definition av informationssäkerhet Informationssäkerhet är åtgärder och rutiner för att skydda information och informationssystem för att möta kommunens krav på: Konfidentialitet/sekretess: Att information är tillgänglig endast för användare som har behörig åtkomst. Eller omvänt, att innehållet i dokument, information och handlingar etc. inte görs tillgängliga eller avslöjas för obehöriga. Tillgänglighet: Att information och informationstillgångar kan utnyttjas efter behov, i förväntad utsträckning och inom önskad tid utifrån de krav som ställs på verksamheten Riktighet: Att informationen är tillförlitlig, korrekt och fullständig. Eller omvänt, att information inte kan förändras vare sig av obehöriga, av misstag eller på grund av funktionsstörning. Spårbarhet; Att, då det finns behov av det, i efterhand entydigt kunna härleda specifika aktiviteter eller händelser till ett identifierat objekt. Att kunna se vem som tagit del av informationen, vilka förändringar som har skett och av vem dessa har utförts. Informationssäkerhet innebär att information i alla dess former, som skriftlig, muntlig och elektronisk, finns tillgänglig när den behövs, att den är korrekt, att obehöriga inte kan få tillgång till den och att händelser i informationsbehandlingen kan spåras Omfattning Dessa regler ska fungera som basnivå för informationssäkerhetsarbetet. Reglerna sätter ramarna och med utgångspunkt i dessa kan tillämpningsanvisningar vid behov komma att utfärdas för specifika områden.

6 Sida 6 (19) Reglerna baseras på den internationella standardserien SS-ISO/IEC Ledningssystem för informationssäkerhet (LIS). 2. ORGANISATION FÖR INFORMATIONSSÄKERHETSARBETET 2.1. Kommunstyrelsens ansvar Kommunstyrelsen har enligt kommunallagen ansvaret att leda och samordna förvaltningen av kommunens angelägenheter samt att ha uppsikt över övriga nämnders och bolags verksamhet. Denna uppsikt innebär en rätt att göra påpekanden, lämna råd och anvisningar samt, om det är nödvändigt, lämna förslag till fullmäktige om förändringar. Kommunstyrelsen har därmed det övergripande ansvaret för att det finns en tillfredställande informationssäkerhet. I detta ligger ett ansvar för att en organisation upprättas inom kommunens samlade verksamhet samt att se till att denna utvecklas utifrån kommunens informationssäkerhetsbehov. Kommunstyrelsen ansvarar även för att förvaltningsövergripande riktlinjer och anvisningar upprättas. Kommunstyrelsen ansvarar för att, vid behov, ta fram ytterligare tillämpningsanvisningar till dessa regler Nämndernas ansvar Nämnderna har det yttersta ansvaret för informationssäkerheten inom respektive verksamhetsområde. Respektive nämnd/myndighet ansvarar därmed för att upprätthålla informationssäkerheten inom sin verksamhet. Nämnderna ska se till att en organisation upprättas för den informationssäkerheten och informationsklassning av verksamhetens informationstillgångar sker, med utgångspunkt i riskanalyser. Nämnderna ansvarar även för att det finns rutiner för introduktion av nyanställda om vad informationssäkerhet innebär Ansvar inom förvaltningarna Förvaltningschef Förvaltningschef har det yttersta verksamhets- och resultatansvaret inför nämnden/styrelsen samt uppgiften att tydliggöra mål och ansvar i förvaltningsorganisationen. I detta ansvar ligger att leda arbetet med att åstadkomma och upprätthålla en god intern kontroll och därmed även en god informationssäkerhet. Förvaltningschefen kan i sin tur utse en eller flera medarbetare för att stödja förvaltningschefen i arbetet med informationssäkerheten Medarbetare Varje medarbetare ansvarar för informationssäkerheten inom det egna området. Medarbetare ska följa rutiner och anvisningar inom området informationssäkerhet för användare/medarbetare i Järfälla kommun och bör delta i säkerhetsrelaterade utbildningar.

7 Sida 7 (19) Systemägare Systemägare är den som ansvarar för att det finns adekvata system eller liknande som hanterar verksamhetens information. Systemägaren är även tillika informationsägare och ansvarar för att informationen är riktig och tillförlitlig samt det sätt som informationen sprids. En systemägare ska utses för varje informationstillgång och informationssystem. Systemägaren ansvarar för att det finns adekvat skydd för den information som lagras eller bearbetas i systemet Systemförvaltare Systemförvaltaren är utsedd av systemägaren att förvalta det system som informationen finns i. Systemförvaltaren ansvarar för systemets funktion ur ett verksamhetsperspektiv samt stöder användarna av systemet. Systemförvaltaren är även ansvarig för att informationsklassning och risknalyser genomförs av systemet Informationssäkerhetssamordnare Informationssäkerhetssamordnaren har det övergripande ansvaret att samordna informationssäkerhetsarbetet i kommunen. Informationssäkerhetssamordnaren utarbetar, förvaltar och följer upp policyn och reglerna samt ansvarar för att utarbeta förslag till tillämpningsanvisningar och rutiner Samverkansforum för informationssäkerhet Det finns ett samverkansforum för informationssäkerhet i kommunen. Forumets uppgift är att samverka i frågor som rör informationssäkerhet. I forumet finns representanter från samtliga förvaltningar representerade. 3. PERSONAL OCH SÄKERHET 3.1. Chefers ansvar Respektive chef ansvarar för att alla medarbetare informeras om gällande regler för informationssäkerhet Kontroll av vissa blivande medarbetare Inför anställning av blivande medarbetare i ledande ställning eller på särskilt känsliga befattningar ska en bakgrunds-/säkerhetskontroll göras, på lämpligt sätt. Kontrollen ska stå i proportion till den åtkomst av känslig information som personen kommer att ha i sitt arbete Upphörande av anställning Då en anställning eller ett uppdrag upphör ansvarar närmaste chef för att behörigheter spärras och informationsrelaterad utrustning återlämnas Förändring av anställning Om förändring i anställning medför nya arbetsuppgifter och ansvar ska behörigheter ses över. Ansvarig chef ska se till att varje anställd har rätt behörigheter för aktuell tjänst.

8 Sida 8 (19) Sekretess För anställda och uppdragstagare inom kommunen är sekretess och tystnadsplikt reglerat i lag. Varje medarbetare ska informeras om detta Distansarbete Vid distansarbete ska lämpliga säkerhetsanordningar och skyddsåtgärder finnas. Den anställde ska iaktta aktsamhet om den information och utrustning som hanteras på distansarbetsplatsen Hantering av informationssäkerhet mot externa parter Med externa parter avses här konsulter, entreprenörer och andra utförare av kommunal verksamhet samt övriga samarbetsparter med vilka kommunen har avtal Avtal Innan en extern part medges åtkomst till information hos kommunen ska lämpliga och relevanta skyddsåtgärder vidtas. Ett avtal ska tecknas som definierar villkor och förutsättningar för åtkomst, eventuell bearbetning och övrig hantering av informationen. Avtalet ska, avseende den information som hanteras, reglera frågor om konfidentialitet/sekretess, tillgänglighet, riktighet och spårbarhet samt i övrigt följa kommunens regler för bland annat IT- och informationssäkerhet. Den som anlitar konsult eller annan samarbetspartner ansvarar för att det i avtal med dessa säkerställs att informationssäkerheten upprätthålls. I avtal om extern drift av IT-system ska minst följande säkerställas - kommunen har rätt att granska informationssäkerheten hos leverantören och dennes eventuella underleverantörer. - leverantörens åtagande avseende informationssäkerhet kan förändras av kommunen Personuppgiftsbiträdesavtal Ett personuppgiftsbiträdesavtal ska tecknas i de fall extern part (personuppgiftsbiträde) kommer att hantera/behandla personuppgifter. Hantering/behandling får endast ske enligt instruktionerna som är skrivna i kommunens personuppgiftsbiträdesavtal. I de fall extern part, efter kommunens godkännande, anlitar underleverantör för hantering/behandling av personuppgifter, ska även underleverantören teckna kommunens personuppgiftsbiträdesavtal Sekretessförbehåll Om kommunen finner att risk för skada, men eller annan olägenhet som enligt en bestämmelse om sekretess hindrar att en uppgift lämnas till en enskild kan kommunen fatta beslut om sekretessförbehåll enligt offentlighets- och sekretesslagen (2009:400, kap 10, 14 ).

9 Sida 9 (19) Ett sekretessförbehåll kan endast ställas till enskilda, det vill säga fysiska personer och juridiska personer som inte är myndigheter. 4. RISKHANTERING OCH KARTLÄGGNING Riskhantering innebär identifiering, värdering och prioritering av risker i informationshanteringen i syfte att identifiera skyddsåtgärder för dessa. Skyddsåtgärderna ska vara väl avvägda och kostnadseffektiva. Informationstillgångar ska värderas så att de kan skyddas i enlighet med verksamhetens krav. Informationstillgångarna ska vara riktiga, tillgängliga, spårbara och konfidentiella när lagen så kräver. De ska också vara klassificerade utifrån hur stor betydelse informationen har för verksamheten och hur känslig informationen är för medborgarnas personliga integritet Riskanalyser En riskanalys ska alltid göras vid anskaffning, komplettering, uppdatering och avveckling av informationstillgången (se avsnitt 6 nedan). Att göra en riskanalys innebär att utifrån hotbilder identifiera och bedöma risker. Analyserna är ett centralt område inom kommunens informationssäkerhetsarbete och de ska utmynna i att kommunen vidtar lämpliga åtgärder för att hantera riskerna Anvisning riskanalys.doc bör tillämpas Förteckning av informationstillgångar Kommunens alla informationstillgångar ska vara identifierade och dokumenterade. Ansvarig för att upprätthålla och uppdatera dokumentationen är IT-enheten. Om informationstillgången t.ex. om verksamhetssystemet behandlar personuppgifter ska systemet förtecknas enligt personuppgiftslagen Klassificering av information Klassificering av information är en grundläggande aktivitet för att information och resurser ges nödvändigt skydd. Det är informationen som är skyddsobjektet, det vill säga det som ska skyddas. Systemägare ansvar för att klassificera sina respektive informationstillgångar och informationssystem inom kommunen för att klarlägga deras verksamhetsbetydelse. Det är viktigt att klassificeringen sker med omsorg och förnuft eftersom den ska fungera som underlag för riskanalyser och göra det möjligt att prioritera skyddsåtgärder. Klassificeringen måste omprövas i samband med förvaltningarnas riskanalyser som ett naturligt inslag i säkerhetsarbetet. Anvisning för informationsklassificering och systemet KLASSA ska användas.

10 Sida 10 (19) Hantering av informationstillgångar Kommuns informationstillgångar får endast hanteras i av kommunen godkänd utrustning eller tjänst. Det är inte tillåtet att hämta in eller installera program eller liknande via elektronisk post, Internet, annan filöverföring eller via flyttbart media utan godkännande på utrustning som är tillhandahålla av kommunen Granskning av system Granskning av informationssystem och den information som hanteras i systemet ska ske regelbundet. Åtkomst till granskningshjälpmedel till system ska begränsas för att hindra eventuellt missbruk eller otillåten påverkan. 5. ANSKAFFNING AV IT-/VERKSAMHETSSYSTEM 5.1. Rutin Införskaffandet av nya IT-/verksamhetssystem ska ske i samråd med de funktioner som ansvarar för IT, informationssäkerhet, arkiv och juridik. Innan införskaffandet ska även samråd med personuppgiftsombudet på den berörda myndigheten ske Risk och sårbarhetsanalys Säkerhetskrav på nya informations-/verksamhetssystem ska identifieras under analysfasen av systemutvecklings- eller anskaffningsprocessen. Före anskaffning och införande av nytt IT-/verksamhetssystem ska en riskanalys göras i syfte att få en anpassad skyddsnivå för den information som systemet ska innehålla Bevarande och gallringsutredning Före anskaffning och införande av nytt informations-/verksamhetssystem ska en bevarande- och gallringsutredning göras i syfte till att kartlägga vilka handlingar som ska bevaras respektive gallras samt på vilket sätt detta ska ske. Med bakgrund av bevarande och gallringsutredningen ska gallringsbeslut fattas och myndighetens dokumenthanteringsplan ska uppdateras Förteckning enligt PuL Vid anskaffning och införande av nya IT-/verksamhetssystem ska den eventuella personuppgiftsbehandling som sker i systemet förtecknas enligt personuppgiftslagen (PUL). Detta anmäls till respektive förvaltnings personuppgiftsombud. 6. FÖRVALTNING AV INFORMATIONSTILLGÅNGAR Med informationstillgång jämställs nedan även analog hantering av information om den är systematiskt ordnad.

11 Sida 11 (19) 6.1. Rutiner Det ska finnas rutiner för förvaltning av kommunens informationstillgångar och informationssystem för att säkerställa informationen i systemen. Rutinerna ska dokumenteras Förändring i informationstillgångar och informationssystem Alla förändringar i kommunens informationstillgångar och informationssystem ska hanteras i en ändringshanteringsprocess. Av processen ska det framgå hur förändringarna ska planeras, koordineras, schemaläggas, dokumenteras och kvalitetssäkras. Ändringshanteringsprocessen ska hanteras av IT-enheten och involvera alla berörda intressenter. Ansvaret ligger på respektive systemägare att följa denna process Fördelning av driftansvar Då det är möjligt ska driftansvar för kommunens informationstillgångar och informationssystem fördelas på flera personer för att minska risken för obehörig eller oavsiktlig förändring eller missbruk av information. Samt säkerställa kontinuitet i driftansvaret Uppdelning av IT-miljöer Utvecklings-, test- och produktionsmiljöer ska åtskiljas för att minska risken för obehörig åtkomst till eller ändringar av informationen i systemen. Eventuella undantag från detta beslutas av informationsägare, IT-chef och informationssäkerhetssamordnare. 7. FYSISK SÄKERHET 7.1. Inledning Kommunens informationstillgångar ska skyddas från fysiska skador och förstörelse. Sådana informationstillgångar som ska bevaras, ska bevaras på ett arkivbeständigt sätt Säkrade utrymmen Skalskydd och skydd av kontor m.m. Skalskydd ska i lämplig omfattning användas för att skydda utrymmen där information och informationsbehandlingsutrustning finns. Byggnader och lokaler ska i lämplig omfattning skyddas mot avlyssning och liknande Tillträdeskontroll Utrymmen där information förvaras ska skyddas genom lämpliga tillträdeskontroller för att säkerställa att endast behörig personal får tillträde.

12 Sida 12 (19) 7.3. Skydd av utrustning Placering och skydd av utrustning Utrustning som hanterar konfidentiell eller sekretesskänslig information ska placeras så att onödigt tillträde minimeras Tekniska försörjningssystem Utrustningen ska skyddas mot elavbrott och andra störningar orsakade av avbrott i tekniska försörjningssystem Kablageskydd Kablar och utrustning ska vara tydligt märkta för att minska handhavandefel som t.ex. sammankoppling av fel nätverkskablar av misstag Underhåll av utrustning Utrustning ska underhållas i enlighet med verksamhetens behov. Tidpunkt och omfattning på underhåll ska anges i servicenivåavtal (SLA) Säkerhet för utrustning utanför kommunens lokaler Utrustning som används utanför kommunens lokaler ska skyddas mot risker för att utrustningen eller dess information avlyssnas, manipuleras, förstörs eller försvinner Säker avveckling eller återanvändning av utrustning Vid avveckling av media som innehåller eller har innehållit skyddsvärd, känslig information eller licensierade program ska informationen förstöras, utplånas eller överskrivas genom användning av teknik som försvårar rekonstruktion. Alternativt ska mediet förstöras fysiskt. Rutiner och verktyg för detta ska finnas Utförsel av utrustning Utförsel av IT-utrustning utanför kommunens lokaler innehållande kommunens information ska godkännas av närmaste chef Skydd av information som inte är digital För skydd av icke digital information gäller motsvarande regler som för utrustning enligt punkt HANTERING AV INFORMATIONSBÄRANDE MEDIA 8.1. Hantering av flyttbar och stationära media Rutiner och skyddsåtgärder ska finnas för att skydda stationär och flyttbar media, t ex datorer, läsplattor och s.k. smarta telefoner. Nivån på skyddsåtgärderna ska stå i proportion till informationens skyddsvärde. 9. ÅTKOMST TILL INFORMATION Åtkomstskydd av information är datorvärldens motsvarighet till tillträdes- och användningsskydd av fysiska tillgångar i den fysiska världen. Det finns många

13 Sida 13 (19) kopplingar mellan informationssäkerhet och fysisk säkerhet, bland annat kräver IT-resurser fysiska skydd, jämför avsnitt 7 ovan Begränsning av åtkomst Begränsning av åtkomst ska baseras på riskanalyser, behov av åtkomst samt vilken roll användaren har. Möjlighet att spåra åtkomst till information ska finnas genom tekniska och administrativa lösningar Isolering av känsliga system Verksamhetssystem som är särskilt känsliga för förluster kräver särbehandling, såsom helt eller delvis dedikerade tekniska plattformar. Isolering av verksamhetssystemet kan uppnås genom användning av fysiska och/eller logiska IT-metoder. I dessa fall är det av särskild vikt att systemet har en utsedd ägare och att det är väl dokumenterat Tilldelning av åtkomst till information Användaridentiteter Varje användare i kommunens IT-system ska ha en unik användaridentitet. Tilldelning av dessa identiteter ska registreras Behörigheter Användare ska ha åtkomst endast till den information och de tjänster som de fått behörighet att använda. Användarnas behörighet i kommunens IT-system ska registreras och vidmakthållas. Varje användares behörighet ska vara riktig och aktuell i förhållande till den tjänst eller uppdrag som användaren har vid varje tidpunkt. En dokumenterad rutin för registrering och avregistrering av användare i kommunens IT-system ska finnas. Det ska även finnas rutiner och tekniskt stöd för kontroll och administration av tilldelade behörigheter Särskilda behörigheter Särskilda behörigheter, som går utöver normal åtkomst i IT-system ska tillämpas restriktivt. Granskning av de särskilda behörigheterna ska göras kontinuerligt. Det är väsentligt att tilldelning och användning av särskilda behörigheter sker så att spårbarheten upprätthålls. Olämplig tilldelning av särskild behörighet kan resultera i oönskade intrång i system Lösenordshantering Tilldelning av lösenord ska ske genom en dokumenterad och sekretesskyddad rutin Användarens ansvar Användning av lösenord Självvalda lösenord ska hållas hemliga och inte kunna associeras till användaren på ett enkelt sätt. Lösenord får inte lagras oskyddat i det IT-system där det används.

14 Sida 14 (19) Användare ska genast ändra lösenord när det finns indikation om att säkerheten för lösenord har äventyrats samt omgående rapportera incidenten till närmaste chef Obevakad användarutrustning Användarutrustning utan tillsyn måste skyddas på ett tillfredställande sätt. Obevakad databehandlingsutrustning ska lämnas avloggad eller skyddad med låsmekanism för bildskärm och tangentbord. Dessa enheter ska vara skyddade med lösenord, aktivt kort eller liknande autentiseringsfunktion när de inte används. IT-arbetsplatser ska normalt aldrig slås av utan utloggning Dokument med konfidentiell/sekretess eller hemlig information Information får inte förvaras så obehöriga kan ta del av den. Som grundregel gäller att känslig information aldrig får lämnas oskyddad när den inte används. Känsliga elektroniska dokument eller pappersdokument får inte lämnas obevakade på öppen plats. Dokument innehållande konfidentiell eller hemlig information ska, i de fall gemensamma skrivare används, omedelbart efter utskrift avlägsnas ur skrivaren. Finns funktion för fördröjd/styrd utskrift (FollowMePrint) ska denna användas. 10. ÖVERVAKNING Loggning Loggning ska göras utifrån informationsklassning och riskanalys för IT-system och annan informationshantering. Loggning kan i särskilda fall även göras om det finns befogad anledning att misstänka otillåten användning av kommunens information eller andra oegentligheter. Loggning ska omfatta användaraktiviteter, avvikelser, oregelbundenheter och andra informationsskyddsrelaterade händelser. Användarna ska informeras om att loggning sker. Åtgärder som utförs av system- och nätverksadministratörer ska loggas. Manuell loggning ska tillämpas om funktioner saknas för automatisk loggning. Det är viktigt att beakta de krav som finns för att skydda individers personliga integritet Övervakning av systemanvändning Det ska finnas rutiner och system för övervakning och analys av kommunens verksamhetssystem. Syftet är att upptäcka brister i informationssäkerheten inom områdena konfidentialitet/sekretess, riktighet och tillgänglighet Skydd av logginformation För att säkerställa att data inte ändras eller raderas ska loggningsresurser och logginformation skyddas mot manipulering och obehörig åtkomst.

15 Sida 15 (19) Loggar ska förvaras under en bestämd tidsperiod och omfattas av gallringsbeslut. 11. KRYPTERING Kryptering ska användas om möjligt för att skydda information om en riskanalys visar att behovet finns. Ett nyckelhanteringssystem ska finnas för att stödja kommunens användning av krypteringsteknik. 12. HANTERING AV INCIDENTER Rapportering av informationssäkerhetshändelser Det ska finnas en rutin för händelserapportering av incidenter relaterade till informationssäkerheten. Rapportering av incidenter ska ske omedelbart i enlighet med fastställd rutin. Kommunens användare ska känna till rutinen Rapportering av säkerhetsbrister Det ska finnas en rutin för händelserapportering av brister i IT-miljön som kan påverka informationssäkerheten. Kommunens användare ska känna till rutinen Hantering av incidenter och förbättringar Det ska finnas en process för hantering av informations- och IT-säkerhetsincidenter med fastställda roller och ansvar. Det ska finnas en funktion inom kommunen som har till uppgift att hantera IT-säkerhetsincidenter. 13. KONTINUITETSPLANERING Process för kontinuitetsplanering För varje verksamhetsprocess ska det finnas en kontinuitetsplanering för att motverka avbrott och upprätthålla informationsskyddet. Syftet med processen är att minimera följderna för organisationen efter förlust av information samt säkerställa återhämtning av informationen. Händelser som kan orsaka avbrott i verksamheten ska kontinuerligt identifieras i syfte att bedöma sannolikheten för incidenter och konsekvenser för informationsskyddet. Kontinuitetsplaneringen ska göras genom en riskanalys.

16 Sida 16 (19) 14. EFTERLEVNAD Kommunstyrelsens uppsikt Enligt kommunallagen ska kommunstyrelsen ha uppsikt över de övriga nämndernas förvaltning. Kontroll av efterlevnaden av dessa regler sker enligt detta uppsiktsansvar Dataintrång och missbruk av information Kommunens information är avsedd för den verksamhet som bedrivs på respektive myndighet. Anställda och därmed jämförbara personer får bara söka efter och ta del av sådan information som man behöver för att utföra sina arbetsuppgifter. Arbetsgivaren har rätt att, genom åtgärder för övervakning, kontrollera och förhindra att missbruk sker Skydd av personuppgifter Varje myndighet i kommunen ska ha ett personuppgiftsombud och säkerställa att berörda medarbetare känner till reglerna om behandling av personuppgifter och integritetsskydd Personuppgiftsbiträdesavtal Varje myndighet ska säkerställa att det finns personuppgiftsbiträdesavtal kopplat till varje avtal som innebär tillgång till personuppgifter för extern part. 15. TILLÄMPNINGSANVISNINGAR Kommunstyrelseförvaltningen kommer att utfärda tillämpningsanvisningar till dessa regler.

17 Sida 17 (19) 16. DEFINITIONER Begrepp Användare Autentisering Dokumenthanteringsplan Gallringsbeslut Hemlig information Hot Identitet Informationsbehandlingsresurs Informationsklassning Informationssäkerhet Informationssäkerhetsincident Informationssäkerhetspolicy Informationssäkerhetssamordnare Informationstillgångar It-system KLASSA Konfidentialitet Förklaring Individ som utnyttjar informationstillgångar Kontroll av uppgiven identitet. Systematisk presentation av de allmänna handlingar/information som hanteras av en myndighet Beslut som medger att allmänna handlingar får förstöras så att de inte kan återskapas. Information som omfattas av sekretess enligt offentlighetsoch sekretesslagen Möjlig, oönskad händelse med negativa konsekvenser för verksamheten. Unik beteckning för en viss individ. System, tjänst eller infrastruktur för informationsbehandling, eller de lokaler där dessa finns Ett formellt sätt att fastställa rätt skyddsnivå för information. Åtgärder som vidtas för att hindra att information läcker ut, förvanskas eller förstörs och för att informationen ska vara tillgänglig när den behövs. Säkerhetshändelse som kan/kunnat få/har fått allvarliga konsekvenser för verksamheten Enskilda eller en serie av oönskade eller oväntade informationssäkerhetshändelser vilka med stor sannolikhet kan äventyra verksamheten och hota informationssäkerheten Anger ledningens viljeinriktning och stöd för informationssäkerhet. Policyn beskriver att något ska finnas Funktion som samordnar informationssäkerhetsarbetet En organisations informationsrelaterade tillgångar. Exempel på informationstillgångar är: information (databaser, filer, metodik, dokument, etc.), program (tillämpningar, operativsystem, etc.), tjänster (nätförbindelser, abonnemang, etc.), fysiska tillgångar (datorer, datamedia, lokala nätverk, etc.) En sammansställning av datorer, minnesenheter, program, kommunikationsutrustningar, metoder och procedurer organiserade med uppgift att genomföra elektronisk behandling av information i syfte att tillgodose ett uttalat behov Ett systemstöd vid informationsklassning av informationstillgångar. KLASSA är framtaget av SKL. Skydd mot obehörig åtkomst till information.

18 Sida 18 (19) Kontinuitetsplanering Logg Medarbetare Personuppgiftsbiträdesavtal Regler för informationssäkerhet Riktighet Risk Risk- och sårbarhetsanalyser Sekretess Sekretessförbehåll Skyddsvärde Skyddsåtgärd SLA [Service Level Agreement] Spårbarhet Systemförvaltare Systemägare Sårbarhet En metod för att säkerställa organisationens leveransförmåga genom att planera för fortsatt verksamhet vid förlust av operativ förmåga.. Insamlad information om de operationer som utförs i ett ITsystem. Logg ger spårbarhet för händelser. Den som är anställd i Järfälla kommun Ett skriftigt avtal mellan en personuppgiftsansvarig och ett personuppgiftsbiträde. Anger vad som skall göras för att uppfylla de övergripande målen i policyn Egenskap att information inte obehörigen, av misstag eller på grund av funktionsstörning har förändrats I detta dokument avses informationssäkerhetsrisk. En informationssäkerhetsrisk definieras som potential att ett givet hot utnyttjar sårbarheter hos en informationstillgång eller grupp av informationstillgångar och därigenom orsakar skada för kommunen. Process som identifierar säkerhetsrisker, bestämmer deras betydelse och identifierar skyddsåtgärder. Skydd för information i enlighet med offentlighetsoch sekretesslag (2009:400) En inskränkning i någons rätt att utnyttja eller lämna vidare information det värde en informationsmängd har efter att informationen klassats Handling, rutin eller tekniska arrangemang som syftar till att minska sårbarhet Dokument som reglerar vad som överenskommits mellan IT-enheten och tjänsteleverantör gällande främst tillgänglighet i drift och förvaltning av visst IT-system. Möjlighet att entydigt kunna härleda utförda aktiviteter i ITsystemet till en identifierad användare. Förvaltningsledaren är den som förvaltar det system som informationen finns i. Den som ansvarar för att det finns adekvata system eller liknande som hanterar verksamhetens information. Brist i skyddet av en tillgång exponerad för hot.

19 Sida 19 (19) Tillgänglighet Tillämpningsanvisningar Ändringshanteringsprocess Säkerhetsprincip med innebörden att informationstillgångar är tillgängliga för behöriga användare, i förväntad utsträckning och inom önskad tid Styrdokument fastställt av tjänsteman. Beskriver tillämpning av antagna regler. En process för att göra medvetna beslut vid förändring av itsystem. Innehåller exempelvis beskrivning av förändring, riskhantering och återställningsrutin