Riktlinjer för IT-säkerhet i Halmstads kommun

Transkript

1 Riktlinjer för IT-säkerhet i Halmstads kommun VER 1.0

2 Innehåll Inledning...3 Definition av IT-säkerhet...3 Omfattning...3 Vikten av IT-säkerhet...3 Mål för IT-säkerhetsarbetet...4 Ledning och ansvar...4 Kommunstyrelse...5 Nämnder och Styrelser...5 Medarbetare...6 Generella krav...6 Lagar och andra regelverk...6 Klassning av IT-system...7 IT-säkerhetskompetens...7 Säkerhet i tredjepartsavtal...7 Kontinuitetsplanering...7 Riskanalys...7 Efterlevnad...7 Instruktioner och anvisningar...7 2

3 Inledning Riktlinjer för IT-säkerhet i Halmstads kommun anger Halmstads kommuns övergripande vilja och inriktning för arbetet med IT-säkerhet. Definition av IT-säkerhet IT-säkerhet är en del av det övergripande begreppet Informationssäkerhet, vilket omfattar IT-säkerhet och administrativ säkerhet som är relaterad till hantering av information i olika verksamheter. IT-säkerhet är skydd av information i informationsbehandlande tekniska system. Administrativ säkerhet avser regler för personal, säkerhetsklassning av information, m.m. och omfattas således inte av denna riktlinje. IT-säkerhet ansvarar för att skydda Halmstad kommuns värdefulla tillgångar som information, hårdvara och mjukvara. IT-säkerhet ingår som en beståndsdel i det totala säkerhetsramverket och koncentrerar sig på hot och skydd förenade med användning av IT. IT-säkerhet handlar om att förstå hotbilden, hantera sannolikheter för att utsättas för skada samt att balansera kostnader för motmedel för skydd mot värdet av det man skyddar. Viktiga beståndsdelar är: upprätthållandet av sekretess, riktighet och tillgänglighet av information som hanteras av IT-systemen, de arbetssätt och rutiner som behövs för att hantera informationen samt skyddet av IT-systemen själva. Omfattning Riktlinjen omfattar Halmstads kommuns samtliga nämnder, styrelser och helägda bolag. Vikten av IT-säkerhet Kommunens verksamheter blir allt mer beroende av IT. Det handlar om IT som underlättar i vardagen i hanteringen av äldreomsorg, familjeomsorg, personal, elever, kommunens ekonomi, drift av fastigheter, vattenförsörjning och så vidare. Kommunen erbjuder allt fler elektroniska tjänster på Internet och förväntas öka tillgången de närmaste åren. De tjänster som exponeras externt på Internet är dessutom ofta kopplade till bakomliggande ITsystem. Det finns med andra ord en risk för intrång utifrån för att sabotera bakomliggande IT-miljö som är avgörande för kommunens verksamheter. Ett annat perspektiv är den egna personalen. Anställda som har tillgång till kommunens informationstillgångar och som kan åstadkomma skada av misstag eller med uppsåt. 3

4 Tillgång till kommunens informationstillgångar, oberoende av om det sker utifrån eller av den egna personalen, kan i sin tur leda till att sekretessbelagd information sprids till obehöriga, att informationen förvanskas eller förstörs och att Halmstads kommuns verksamheter står stilla om information och informationssystem inte är tillgänglig. Detta kan i sin tur leda till ekonomisk förlust, felaktiga beslut som leder till personligt lidande, skadat förtroende för kommunen, felbehandling av patienter, reprimander från myndigheter och så vidare. Med detta som bakgrund är det viktigt att IT-säkerheten är tillräckligt hög för att bemöta aktuell hotbild, att användarna har hög kunskap om IT-säkerhet och att det finns rutiner för att hantera säkerhetsincidenter och förändringar i IT-miljön så att inga säkerhetsluckor uppstår. Mål för IT-säkerhetsarbetet Arbetet med IT-säkerhet har två mål: Att upprätthålla informationens riktighet, sekretess och tillgänglighet Att inge förtroende hos medborgarna Dessa mål uppnås bland annat genom att: IT-miljön har rätt säkerhetsnivå Medarbetarna har kompetens om IT-säkerhet genom förståelse om vilka tillgångar som finns och riskerna för dessa. IT-leverantörer följer kommunens riktlinjer för IT-säkerhet Det finns rutiner och arbetssätt för att bland annat hantera användare, behörigheter, säkerhetsincidenter och förändringar i IT-miljön. Regelbundna revisioner av IT-säkerhetsarbetets effektivitet och ändamålsenlighet genomförs. Ledning och ansvar En fastställd ansvarsfördelning för IT-säkerheten är en förutsättning för att Halmstads kommun skall kunna leva upp till målen med IT-säkerheten. Säkerhetsansvaret följer den normala linjeorganisationen och således svarar Kommunstyrelse, nämnder, styrelser och alla medarbetare för vidmakthållandet av IT-säkerhetsriktlinjerna. 4

5 Detta kapitel avser att förtydliga ansvaret och arbetsformerna utifrån ett IT-säkerhetsperspektiv. KOMMUNSTYRELSE Kommunstyrelsen ansvarar för att styra, stödja och samordna IT-säkerheten inom kommunen, i enlighet med kommunstyrelsens reglemente. Kommunstyrelsen definierar utgående från dessa riktlinjer anvisningar och instruktioner. Dessa finns samlade under kapitel IT-säkerhet i Halmstad kommuns IT-handbok. Kommunstyrelsen följer upp genomförande och resultat genom samverkansforum. Kommunstyrelsen fastställer förteckningen över kommunens IT-system som finns i Halmstad kommuns IT-handbok. I denna framgår vem som är Systemägare och om systemen klassas som verksamhetskritiska. NÄMNDER OCH STYRELSER Nämnder och styrelser är Systemägare av IT-system enligt förteckningen över kommunens ITsystem som finns i Halmstad kommuns IT-handbok. För verksamhetsunika IT-system som endast används av enskild förvaltning eller bolag står den enskilda Nämnden eller Styrelsen som Systemägare. Systemägaren utser Systemansvarig som blir dess företrädare. Har nämnden/styrelsen inte utsett en Systemansvarig är förvaltnings-/bolagschefen dess företrädare. Nämnder och styrelser ansvarar för att de har tillgång till personal med rätt kompetens för att kunna hantera IT-säkerheten inom sin verksamhet och för att kunna delta i kommunens samverkansforum. Systemansvarig leder det operativa IT-säkerhetsarbetet för sitt/sina system på uppdrag av Systemägaren. Systemansvarig kan utse en Systemförvaltare som får det övergripande ansvaret för att de olika IT-systemens tekniska delar fungerar. Rollen som Systemförvaltare innebär främst att hantera systemtekniska frågor. Systemansvarig kan även utse en Systemadministratör som, tillsammans med Systemförvaltaren, ansvarar för att den dagliga driften upprätthålls enlig överenskommelse med Systemansvarig. Rollen som Systemadministratör innebär framför allt att hantera användarrelaterade frågor. 5

6 MEDARBETARE Varje enskild medarbetare har ett eget ansvar att jobba efter de antagna ITsäkerhetsriktlinjerna. Generella krav Medarbetare och IT-leverantörer skall följa kommunens riktlinjer för IT-säkerhet. IT-säkerhet skall alltid vägas mot aktuell hotbild, användbarhet och kostnad. Förändringar i verksamhetskritiska IT-system skall genomföras enligt rutin för ändringshantering. Verksamhetskritiska IT-system skall genomgå en systemsäkerhetsanalys. IT-säkerheten skall regelbundet följas upp och kontrolleras. IT-säkerhetsarbetet skall baseras på aktuella och vedertagna standarder ex. ISO LAGAR OCH ANDRA REGELVERK Ramarna för Halmstads kommuns IT-säkerhetsarbete sätts utifrån aktuell hotbild samt lagar och andra regelverk framför allt Offentlighets- och sekretesslagen samt Personuppgiftslagen. Dessa anger villkoren för övergripande säkerhetskrav som ställs på verksamheten och därmed även på hanteringen av informationen i IT-systemen. Detta omfattar bland annat: Skyddet av den personliga integriteten Sekretessbelagd information skall skyddas mot otillbörlig åtkomst Olika intressenters krav på korrekt information och allmänhetens lagliga rätt till insyn i offentliga handlingar. Speciallagstiftning (ex. Lagen om elektronisk kommunikation, Säkerhetsskyddslagen, Lagen om skydd av företagshemligheter och Brottsbalken) 6

7 KLASSNING AV IT-SYSTEM Vissa IT-system är en förutsättning för att kommunens verksamhet kan bedrivas och klassas som verksamhetskritiska. Dessa skall vara identifierade och förtecknade. Av förteckningen skall framgå vem som är Systemägare. För verksamhetskritiska IT-system skall Systemägaren genomföra och dokumentera en systemsäkerhetsanalys. Denna skall uppdateras vid förändringar som kan påverka säkerheten. IT-SÄKERHETSKOMPETENS All personal ska ha den grundläggande kompetensnivån som behövs för att upprätthålla IT-säkerheten. Systemägaren avgör vad som är grundläggande kompetensnivå och initierar vid behov utbildning. SÄKERHET I TREDJEPARTSAVTAL Kommunen ansvarar för IT-säkerheten vid kundkontakt och tecknande av tredjepartsavtal. Det innebär att IT-leverantörer skall vara identifierade och att det skall finnas arbetssätt och rutiner för att hantera dem på ett enhetligt sätt. KONTINUITETSPLANERING Kontinuitetsplaner för verksamhetskritiska system skall finnas. Dessa skall minska sårbarheten och säkra IT-driften i händelse av störningar, vara baserade på verksamhetens krav och vara integrerade med verksamheternas övergripande kontinuitetsplaner. Systemägaren ansvarar för att kontinuitetsplaner finns. RISKANALYS En övergripande riskanalys för kommunens IT-säkerhet skall upprätthållas. EFTERLEVNAD Granskningar och skyddsåtgärder av större betydelse skall redovisas till kommunens ledning. Instruktioner och anvisningar Instruktioner och anvisningar finns samlade under kapitel IT-säkerhet i Halmstad kommuns IThandbok. 7