VASA STAD DATASÄKERHETSPOLICY

Transkript

1 VASA STAD DATASÄKERHETSPOLICY I enlighet med styrgruppen Godkänd av ledningsgruppen för dataförvaltningen Godkänd av stadsstyrelsen

2 1. Inledning Vision Datasäkerhetens betydelse Organisation och ansvar Inledning De förtroendevalda Vasas ledning Enheter, chefer och förmän Ägarskap gällande processen och informationen Personal och personalledning Ledningsgruppen för dataförvaltningen och datasäkerhetschefen Enheten för informationstjänst IT-avdelningen Samarbete med tredje part Kvalitetsärenden Revisionsverksamheten Datasäkerhetens delområden Inledning Anvisningar för datasäkerheten Organisation Klassificerings- och behandlingsprinciper för informationsmaterial Personalsäkerhet Fysisk och miljömässig säkerhet Datakommunikation och hantering Åtkomstkontroll System och hantering Kontinuitet och utveckling Kontroll... 8

3 1. Inledning I det här dokumentet presenteras de grundläggande strukturerna för Vasa stads datasäkerhetsverksamhet. Datasäkerhetspolicyn är godkänd av stadsstyrelsen. Principerna för datasäkerhetspolicyn skall tillämpas inom Vasa stads förvaltning och i koncernbolagen och i de intressentgrupper som finns inom stadens influensområde. Datasäkerhetspolicyn bildar grunden för andra datasäkerhetsanvisningar, som produceras och publiceras i enlighet med behov och målgrupp. Det här dokumentets ägare utses av Vasa stads ledningsgrupp för dataförvaltningen, som också har ansvar för godkännandet och uppdateringen av Vasa stads datasäkerhetsanvisningar Ledningsgruppen för dataförvaltningen svarar för att de godkända och fastställda anvisningarna ansluts till Vasa stads kvalitetssystem, då detta är möjligt och ändamålsenligt. Att ge avkall på den i datasäkerhetsanvisningarna beskrivna praxisen förutsätter alltid ett separat godkännande av ledningsgruppen för dataförvaltningen. Då avvikelsen kräver ändring av gemensamma riktlinjer, förs ärendet för beslutsfattande till Vasa stadsstyrelses allmänna sektion. 2. Vision Datasäkerheten stöder för sin del ett rättvist och jämlikt bemötande av individen samt styr och effektiverar den ekonomiska hanteringen av servicen. Datasäkerheten skall stöda Vasa stad vid ordnandet av högklassig service för kommuninvånarna. 3. Datasäkerhetens betydelse Information i alla dess former, oberoende av om den är i pappersversion eller datateknisk, är en central resurs i stadens verksamhet. Därför stöder datasäkerheten utvecklandet och effektiveringen av verksamheten i enlighet med Vasa stads värden och mål. Datasäkerhetsverksamheten fastställer och utvecklar följande värden: - Tillgänglighet informationen finns till hands då den behövs. - Integritet informationen är oförfalskad, tillförlitlig och enhetlig. - Konfidentialitet det offentliga är alltid öppet, det konfidentiella förblir slutet. - Autentisering den som utnyttjar informationen är känd, verifierad och befullmäktigad. - Oavvislighet det som såg ut att ske, skedde och kan bevisas. Med datasäkerhetsverksamhet avses all verksamhet, såväl utnyttjande av utbildning som datatekniska säkerhetssystem, vilket för sin del fastställer och utvecklar de ovan nämnda värdena. Datasäkerhetsverksamheten är en del av riskhanteringen och den skall ses som en styrstruktur som gäller alla. Utvecklandet av datasäkerheten i Vasa stad möjliggör en smidig, effektiv och tillförlitlig verksamhet. Datasäkerheten skall i enlighet med alla mätare vara ändamålsenlig, och hela organisationen skall också förankras i ett kontinuerligt utvecklande av datasäkerheten.

4 Om datasäkerheten inte är på en sakenlig nivå, kan den föranleda en försämring av Vasa stads verksamhet och service, inexakthet i beslutsfattandet och ineffektivitet i verksamheten. Sålunda föranleder bristerna inom datasäkerheten direkta och indirekta förluster, där effekterna av en eventuell negativ publicitet inte skall underskattas. 4. Organisation och ansvar 4.1. Inledning Vasa stads datasäkerhet är en gemensam sak för hela personalen och intressenterna. För uppställandet av målen för datasäkerheten svarar Vasa stads högsta ledning. För det praktiska genomförandet av datasäkerheten svarar Vasa stads administrativa linjeorganisation, varvid alla personer svarar för datasäkerheten inom ramen för den egna uppgiftsbeskrivningen. Det operativa ansvaret för styrningen av det allmänna utvecklandet av datasäkerheten hör till Vasa stads ledningsgrupp för dataförvaltning och den datasäkerhetschef som den utser De förtroendevalda De förtroendevalda är ansvariga för datasäkerheten till de delar som de direkt eller indirekt ansluter sig till deras verksamhet eller verksamheten i de samfund som de representerar. De förtroendevalda svarar med sin egen verksamhet och genom besluten för förverkligandet av Vasas datasäkerhet. De måste förstå datasäkerhetens betydelse som styrkriterium för beslutsfattande och resursfördelningen och som ett värde som inverkar på verksamheten i det samfund som en förtroendevald representerar Vasas ledning För datasäkerheten svarar alltid Vasa stads ledning i enlighet med organisationsstrukturerna och separat beviljade och fastställda befogenheter och ansvar (som exempel processägarna) Enheter, chefer och förmän Cheferna svarar för att deras enheter uppfyller Vasa stads allmänna och gemensamma datasäkerhetsprinciper och att enheten med beaktande av specialkraven inom dess egen verksamhet har specificerade datasäkerhetsmål och anvisningar. Enligt den allmänna övervakningsskyldigheten svarar cheferna också för att de tillgängliga resurserna inriktas på ett så ändamålsenligt sätt som möjligt även vad gäller datasäkerheten. Cheferna förutsätts förstå datasäkerhetens betydelse i de funktioner som de leder och vid utvecklandet av dessa. Chefernas och förmännens datasäkerhetsarbete stöds av ledningsgruppen för dataförvaltningen som handledare och övervakare samt av IT-avdelningen som kunskapskoncentration. Förmännen ansvarar för att deras underlydande är datasäkerhetsmedvetna och -kunniga. Förmännen godkänner för sin del alla underlydandes datasäkerhetsrättigheter och ändringar i dessa rättigheter, på motsvarande sätt som i allmänhet för de underlydande då det gäller de resurser som de behöver i sitt arbete. Förmännen styr och övervakar datasäkerheten som en del av den allmänna styr- och övervakningsskyldigheten.

5 4.5. Ägarskap gällande processen och informationen Vasa stad utvecklar sin verksamhet genom processledarskap. Det här allmänna utvecklingsmålet stöds med datasäkerhetsstrukturer så att för varje process inom Vasa stad utses en ägare, som i sista hand svarar för att kravnivån på datasäkerheten är genomtänkt och rätt ställd med tanke på optimeringen av processen. Processägaren skall kunna fastställa vilken information som utnyttjas och hur den utnyttjas i processen. Den här klassificeringen är hörnstenen för all prioritering och utveckling av verksamheten. All information, varje datasystem och datakommunikationsförbindelse skall ha en utsedd ägare. Ägaren svarar för följande definiering av datasäkerheten, då dessa inte har definierats och fastställts av andra förvaltningsstrukturer eller exempelvis som en del av ett separat servicenivåavtal. - Fastställande och godkännande av målnivån för datasäkerheten. - Fastställande och godkännande av nivån på datasäkerhetsinvesteringarna. - Uppställande och godkännande av rättigheter. - Fastslående av ansvar, delegering. - Beskrivning av allt ovan. Begreppet ägarskap och dess betydelse, ansvar och skyldigheter i anslutning till ägarskapet och principer för klassificering och behandling av information styr väsentligt den dagliga verksamheten. Därför fästs uppmärksamheten kontinuerligt på utvecklande av alla dessa strukturer Personal och personalledning Vasa stads personal skall förstå datasäkerhetens betydelse som en kvalitetsstruktur som betjänar individen, arbetsgemenskapen, intressenterna och personen själv. Personalen skall i all sin verksamhet iaktta Vasa stads allmänna och gemensamma datasäkerhetsanvisningar samt de speciella anvisningar som uppställt för varje process/enhet/grupp osv. Personalen skall bli medveten om dessa krav och kunna uppfylla dem Ledningsgruppen för dataförvaltningen och datasäkerhetschefen Den högsta styrande makten vid utvecklandet av Vasa stads dataförvaltning och datasäkerhet utövar ledningsgruppen för dataförvaltningen. Dess uppgift är att säkerställa att datahanteringen utvecklas övergripande, professionellt och med iakttagande av vedertagen god praxis. Ledningsgruppen för dataförvaltningen styr datahanteringens kvalitet, effektivitet och säkerhet. Den mottar regelbundet uppgifter om varje enhets situationsbild inom dataförvaltningen och styr på basis av denna situationsbild alla beslut som inverkar på enheterna och deras datasäkerhet. Ledningsgruppen för dataförvaltning styr, handleder och övervakar vid utvecklandet av datasäkerheten. På förslag av ledningsgruppen för dataförvaltningen utses en datasäkerhetschef. Datasäkerhetschefen koncentrerar sig på datasäkerhetsfrågor inom datahanteringen och svarar sålunda i den mån hans eller hennes ställning så medger för att uppgiften för ledningsgruppen för dataförvaltningen blir uppfylld och Vasa stads datasäkerhet utvecklas på ett sätt som stöder dess strategi och verksamhet Enheten för informationstjänst För informationsförvaltningen (ärendehanteringen) inom Vasa stad svarar enheten för informationstjänst, i vars linjedragning vad gäller behärskandet av informationens livscykel (exempelvis arkivbildningsplan) har beaktats också datasäkerhetskrav och datasäkerhetsfrågor. Även koordinerings- och utvecklingsansvaret för den elektroniska kommunikationen finns hos enheten för informationstjänst.

6 4.9. IT-avdelningen IT-avdelningens chef och IT-avdelningen svarar för uppföljningen, övervakningen, styrningen och utvecklandet av den datatekniska datasäkerheten enligt de beviljade resurserna och uppställda kraven. IT-avdelningen rapporterar om sina förehavanden och prestationer för ledningsgruppen för dataförvaltningen. IT-avdelningen fungerar som sakkunnig som betjänar alla enheter och processer och handledare inom datasäkerheten. Därför skall IT-avdelningen ha ett täckande och strukturerat helhetskunnande om datasäkerheten. IT-avdelningen genomför sina uppgifter så att de utan avkall uppfyller alla Vasa stads allmänna och situationsspecifikt uppställda speciella datasäkerhetsmål. IT-avdelningen utnyttjar i sitt arbete allmänt godkända utvecklingsmallar, varför dess verksamhet kan övervakas kommensurabelt. IT-avdelningen låter granska sin verksamhet regelbundet av parter som är oberoende i förhållande till dem Samarbete med tredje part Med tredje part strävar man alltid efter att iaktta de datasäkerhetskrav och den datasäkerhetspraxis som Vasa stad har fastslagit som officiella och gett anvisningar för. Då man i samarbetet av kommersiella, juridiska eller andra orsaker inte i detalj kan iaktta ovan nämnda praxis, skall förfaringssätten och ansvaren antecknas entydigt. Dessa förfaringssätt skall godkännas separat mellan alla parter och för dem skall skaffas godkännande av datasäkerhetschefen Kvalitetsärenden Vasa stad ser datasäkerheten som en kontrollstruktur för processerna och sålunda som en del av de nuvarande och blivande kvalitetssystemen. För Vasa stads datasäkerhet strävar man efter att alltid ge anvisningar så att praxisen kan antecknas som en del av kvalitetsbeskrivningarna. För att nå detta mål, skall de kvalitetsansvariga vara i kontakt med ledningsgruppen för datasäkerheten, och datasäkerhetschefen har i uppgift att intensifiera samarbetet med de kvalitetsansvariga. De kvalitetsansvariga svarar för den offentiga uppdateringen av dokumentationen inom det egna området och för deras kompatibilitet och länkning till Vasa stads beskrivningar av verksamheten, kvaliteten och datasäkerheten Revisionsverksamheten Vasa stad ser datasäkerheten som en del av god förvaltningssed. Därför utvärderas den och uppföljs som en del av revisionen av stadens ekonomi och förvaltning. Både centralförvaltningen och enheterna förpliktas och berättigas att utföra och låta utföra även specialgranskningar av datasäkerheten enligt behov och situation. 5. Datasäkerhetens delområden 5.1. Inledning Vasa stad utvecklar sin datasäkerhet genom iakttagande av allmänt godkända mallar, rekommendationer och principer. Exempel på mallar som utnyttjas är VAHTI-gruppens rekommendationer, ISO17799, ITIL, COBIT och ISF. Utnyttjandet av praxisen säkerställer också att förvaltningen blir transparent. I det här kapitlet presenteras de grundläggande målen för utvecklandet av Vasa stads datasäkerhet ur ledarskapets synvinkel. Uppställningen av kapitlet baserar sig på standarden ISO17799.

7 5.2. Anvisningar för datasäkerheten Vasa stads anvisningar för datasäkerheten utgörs av hierarkiska dokument, som ansluts så kommensurabelt som möjligt som en del av processbeskrivningarna och de eventuella kvalitetssystemen. I dokument på den högsta nivån beskrivs ledningens intentioner, i operativa dokument genomföringssätt, i styrande dokument verksamhet i specialsituationer och i slutanvändarens dokument den dagliga verksamheten i den egna arbetsmiljön Organisation Vasa stad och alla dess enheter bestämmer ansvaren inom datasäkerheten obestridligen och betonar vid uppställandet av målen den egna enhetens särdrag, processtänkandet vid uppfyllandet av målen och linjeorganisationen vid det operativa genomförandet Klassificerings- och behandlingsprinciper för informationsmaterial Vasa stads informationsmaterial har klassificerats och det behandlas i enlighet med motsvarande anvisningar. Ägarskapet och ägarens ansvar betonas som en del av ledarskapet Personalsäkerhet Personalsäkerheten styrs och utvecklas med personalledningsmetoder. Datasäkerheten beaktas som en fast del av arbets- och uppdragsförhållandet. Datasäkerhetskraven ingår i uppgiftsbeskrivningen, de beaktas redan vid rekryteringen och uppmärksamhet fästs på dem ända fram till dess att anställningsförhållandet upphör. I tillämpliga delar och enligt behov även efter det att anställningsförhållandet har upphört Fysisk och miljömässig säkerhet Vasa stads övriga verksamhetsmiljö utvecklas så att trygghets- och datasäkerhetskraven beaktas som en del av rumsplaneringen. Utrymmen som innehåller datateknik skall skyddas och förses med övervakning så att missbruk av datatekniska resurser förhindras på en ändamålsenlig nivå Datakommunikation och hantering Datakommunikationslösningar och hantering av datakommunikationen utvecklas enligt de allmänt godkända strukturerna, genom utnyttjande av speciellt mallar som betonar en god förvaltningssed såsom ISF, ITIL och COBIT. Säkerhetsnivåerna för datakommunikationen strävar man efter att ansluta till en del av servicenivådefinitionerna Åtkomstkontroll Varje åtkomst och befogenhet till de datasystem som administreras av Vasa stad baserar sig på separat fastställda processer för ansökan och beviljande System och hantering Systemen och hanteringen av dem utvecklas enligt de allmänt godkända strukturerna, genom utnyttjande av speciellt mallar som betonar en god förvaltningssed såsom ISF, ITIL och COBIT. Säkerhetsnivåerna för systemen strävar man efter att ansluta till en del av servicenivådefinitionerna.

8 6. Kontinuitet och utveckling Kontinuitet i funktionerna och utvecklande av dem är centrala mål och principer för Vasa stad. Vasa stad och alla enheter skall ha en tidsenlig kontinuitetsplan, som baserar sig på hantering och funktionell prioritering av informationens livscykel. 7. Kontroll Eftrersom utvecklandet av datasäkerheten integreras till en del av det allmänna utvecklandet av verksamheten och kvalitetssystemen, mäts och värderas det regelbundet som en del av ledarskapet och revisionsverksamheten.