SÅ HÄR GÖR VI I NACKA

Transkript

1 SÅ HÄR GÖR VI I NACKA Så här arbetar vi med informationssäkerhet i Nacka kommun Dokumentets syfte Beskriver vad och hur vi gör i Nacka rörande informationssäkerhetsarbetet. Dokumentet gäller för Alla chefer och medarbetare i Nacka kommun Med informationstillgångar avses all information oavsett om den behandlas manuellt eller automatiserat och oberoende av dess form eller miljön den förekommer i. Arbetet med informationssäkerheten är en integrerad del i verksamheten. Utgångspunkter I arbetet med informationssäkerhet ska följande krav säkerställs: Tillgänglighet - att informationen ska kunna nyttjas efter behov, i förväntad utsträckning samt av rätt person med rätt behörighet Riktighet - att informationen är tillförlitlig, korrekt och fullständig Konfidentialitet - att informationen kan åtkomstbegränsas om så krävs Spårbarhet - att specifika aktiviteter som rör informationen ska kunna spåras Samtliga anställda och externa aktörer ska ha kännedom om Nacka kommuns regelverk kring informationssäkerhet samt följa dessa. Alla som hanterar informationstillgångar har ett ansvar att informationssäkerheten upprätthålls. Var och en ska vara uppmärksam på och rapportera händelser som kan påverka säkerheten för våra informationstillgångar. Samverkan med konsulter, externa leverantörer och entreprenörer ska regleras genom avtal. Vid behov av åtkomst till informationsresurser bör en riskbedömning göras för att identifiera ytterligare krav på säkerhet. Hantering av informationstillgångar Samtliga informationstillgångar ska vara identifierade och förtecknade. Av förteckningen ska framgå vem som är informationsägare eller systemägare. Alla verksamheter och system är utsatta för risker. Risk- och sårbarhetsanalysen ska identifiera tänkbara störningar, allvarliga händelser samt extraordinära händelser. Arbetet syftar till att skapa robusta system samt identifiera och analysera skyddsvärda informationstillgångar. Arbetet ska fokusera på förebyggande insatser och konkreta skyddsåtgärder för människor, egendom och miljö. Diarienummer Fastställd/senast uppdaterad Beslutsinstans Ansvarigt politiskt organ Ansvarig processägare KFKS 2013/ Stadsdirektören Kommunstyrelsen Administrativa direktören POSTADRESS BESÖKSADRESS TELEFON E-POST SMS WEBB ORG.NUMMER Nacka kommun, Nacka Stadshuset, Granitvägen info@nacka.se

2 Klassificering av information Klassificering av information är en grundläggande aktivitet för att informationstillgångar och resurser ges nödvändigt skydd. Det är informationen som är skyddsobjektet, dvs. det som ska skyddas. Dock kan överklassificering medföra onödiga åtgärder med ytterligare kostnader till följd. Informationen ska klassificeras utifrån den funktion och betydelse för verksamheten som den har och de konsekvenser det medför om informationen skulle hanteras felaktigt, försvinna, komma i orätta händer etc. Vid klassificering av information ska det bedömas i vilken grad förlust av konfidentialitet, riktighet, tillgänglighet eller spårbarhet hos information innebär negativ påverkan på egen eller annan verksamhet och dess tillgångar, eller på enskild individ. Vid bedömning används en fyrgradig skala. 1. Försumbar skada 2. Måttlig skada 3. Betydande skada 4. Allvarlig skada Personalresurser och säkerhet Alla anställda, uppdragstagare och utomstående användare ska förstå sitt ansvar. Det ska säkerställas att dessa är lämpliga för de roller de anses ha i syfte att minska risken för stöld, bedrägeri eller missbruk av resurser. Det ska också säkerställas att de är medvetna om hot och problem som rör informationssäkerhet samt är rustade för att följa kommunens regelverk för informationssäkerhet när de utför sitt normala arbete och för att minska risken för mänskliga fel. När anställda, uppdragstagare och utomstående användare lämnar kommunen eller ändrar anställningsförhållande ska det ske på ett ordnat sätt. Fysisk och miljörelaterad säkerhet Nivån på det fysiska skyddet ska stå i proportion till resultatet av informationsklassificeringen och de återkommande riskanalyser. Utrustning ska skyddas mot förlust, skada, stöld eller skadlig påverkan på tillgångar och avbrott i kommunens verksamhet. En grundläggande utgångspunkt är att utrustning såsom datorer, surfplattor, telefoner och likande är arbetsredskap och att användning av dessa ska vara arbetsrelaterad. Användaren har ett förtroende att efter eget gott omdöme använda sig av utrustningen på ett ändamålsenligt sätt. Användaren ansvarar också för att skydda utrustningen mot stöld. Kommunikation och drift Kommunen ska ha en korrekt och säker drift av IT-miljö, nätverk och tillhörande infrastruktur så att informationens konfidentialitet, riktighet, tillgänglighet och spårbarhet upprätthålls. Risken för systemfel ska minimeras och systemintegriteten för programvara och riktighet i information ska säkerställas genom tydliga förvaltningsmodeller och adekvata tekniska skydd mot exempelvis skadlig kod. Informationens 2 (5)

3 och IT-miljöns riktighet respektive systemintegritet och tillgänglighet ska bevaras genom väl utvecklade rutiner för säkerhetskopiering och återläsning. De ska finnas tydliga rutiner som hindrar att information på flyttbart och avvecklat media avslöjas. Kritiska och säkerhetsrelevanta händelser ska vara spårbara genom automatiska loggningsfunktioner som skyddas mot manipulation och obehörig åtkomst. Åtkomst till system och information ska styras utifrån verksamhetens behov och säkerhetskrav. Den som har behov av tillgång till viss information för att kunna utföra sina arbetsuppgifter ska tilldelas åtkomsträttigheter. All åtkomst ska vara behovsbaserad utifrån ansvars- och arbetsområde. Alla administratörer ska ha individuella användaridentiteter. Användare ska hantera sina inloggningsuppgifter på ett sätt så att obehörig åtkomst undviks. Anskaffning, utveckling och underhåll av system Alla system inom kommun ska ha erforderliga skydd så att informationens konfidentialitet, riktighet, tillgänglighet och spårbarhet upprätthålls. Systemen ska utformas så att fel, obehörig förändring eller missbruk förhindras genom exempelvis validering av in- och utdata och andra adekvata kontroller. Risker med publicerade sårbarheter ska hanteras. Hantering av informationssäkerhetsincidenter Incidenter och säkerhetsmässiga svagheter ska, utan dröjsmål, rapporteras och korrigerande åtgärder vidtas i rätt tid. Kontinuitetsplanering för verksamheten Kontinuitetsplaner ska upprättas och införas för att säkerställa att identifierade viktiga funktioner kan återställas inom rimlig tid och att verksamheten har manuella rutiner för tiden under återuppbyggnadsarbetet. Kontinuitetsplanen ska baseras på analys av konsekvenserna av störningar, allvarliga händelser, och extraordinära händelser med hänsyn till dess inverkan på verksamheten. Lösenord Lösenord ska vara långa, svåra att gissa sig till och ska innehålla en blandning av versaler, gemener, siffror och specialtecken. Undvik att använda samma lösenord på flera ställen. Skriv aldrig ned eller lagra lösenordet i klartext. Lösenord är personligt och omfattas normalt av sekretess enligt Offentlighets- och sekretesslagen. Internetanvändning Alla aktiviteter på Internet är spårbara. Användare som är aktiva på Internet ska vara medvetna om att aktiviteterna som görs kan påverka allmänhetens uppfattning. Det är därför särskilt viktigt att beakta god etik och gott omdöme på Internet. Det är inte tillåtet att använda Internet i strid med gällande lagstiftning och regler. 3 (5)

4 Sociala medier & direktmeddelanden Sociala medier som Facebook, Twitter, LinkedIn och liknande kan vara värdefulla verktyg i arbetet. Likaså funktioner för direktmeddelande som Lync, Skype, Jabber och liknande. Var alltid tydlig med om du kommunicerar som privatperson eller representerar kommunen. Sekretessbelagd information eller känsliga personuppgifter får aldrig skickas via dessa medier eller kanaler. E-post Sekretessbelagd information eller känsliga personuppgifter får inte skickas via e-post. För överföring av sådana uppgifter krävs kryptering med en av kommunen godkänd metod. Verksamhetsrelaterad information får inte skickas vidare eller automatiskt vidarebefordras till privat e-post. Kommunens e-postadress får användas för anställdas privata syften, men bara i den omfattning att det inte inkräktar på arbetet. Bifogade filer ska endast öppnas om de kommer från en känd avsändare och en bilaga är förväntad. I de fall erhållna bilagor i e-postmeddelanden bedöms innehålla känslig eller sekretessbelagd information ska dessa inte hanteras på oskyddad utrustning. Undvik att klicka på bifogade länkar till externa webbsidor, då dessa kan innehålla virus, skadlig kod eller att gå till skadliga internetsidor. Microsoft Office Verksamhetsrelaterad information ska lagras på gemensamt diskutrymme (G:). Där får också känslig eller sekretessbelagd information lagras i skydd av åtkomstbegränsning och med utökad spårbarhet. Verksamhetsrelaterad information får inte lagras lokalt på din dator, surfplatta, telefon eller likande. Andra lagringsplatser såsom USB-minnen, Office 365, Dropbox, Google drive eller motsvarande får inte användas för att lagra känslig eller sekretessbelagd information. Undantag kan medges när informationen krypterats med en av kommunen godkänd metod. Efterlevnad Kommunen ska undvika överträdelser av lagar, författningar eller avtalsförpliktelser, samt andra säkerhetskrav. Chefer inom kommunen ska säkerställa att alla säkerhetsrutiner inom deras respektive ansvarsområde utförs korrekt för att uppnå efterlevnad av kommunens informationssäkerhetsregelverk. Vitala system och vitala delar i IT-miljö, nätverk och tillhörande infrastruktur ska regelbundet kontrolleras så att informationens konfidentialitet, riktighet, tillgänglighet och spårbarhet upprätthålls. Extern revision ska utföras på ett sådant sätt att informationens konfidentialitet, riktighet, tillgänglighet och spårbarhet inte påverkas. Var och en ska vara uppmärksam på och rapportera händelser som kan påverka säkerheten för våra informationstillgångar. Vid misstanke om att utrustning blivit stulen eller på annat sätt har förkommit ska detta omedelbart rapporteras. 4 (5)

5 Om misstanke finns att information eller utrustning inte har hanterats rätt kan kommunen, utan att meddela användaren, gå igenom loggar med mera för att kontrollera efterlevnad av lagstiftning och regler. Kontroll av enskilda användare kan även inledas på förekommen anledning. Otillåten användning kan leda till disciplinära åtgärder. Om kommunen finner att någon anställd kan misstänkas för brottslig handling kan detta komma att polisanmälas. 5 (5)