Regler och instruktioner för verksamheten

Transkript

1 Informationssäkerhet Regler och instruktioner för verksamheten Dokumenttyp Regler och instruktioner Dokumentägare Kommungemensam ITsamordning Dokumentnamn Regler och instruktioner för verksamheten Dokumentansvarig Kommungemensam ITsamordning Fastställd/Upprättad Operativa ITgruppen Reviderad Stadsdir. Ledningsgrp Version 2.0 Giltighetstid t.v Dokumentinformation Regler och instruktioner för verksamheten. Ersätter dokumentet Informationssäkerhetsinstruktion Förvaltning. Detta dokument ingår som deldokument i kommunens informationssäkerhetsarbete och följer kommunens fastställda informationssäkerhetspolicy. Revidering av detta dokument beslutas av Stadsdirektörens ledningsgrupp.

2 2/7 1. Syfte Målgrupp Avgränsning Organisation av informationssäkerheten Organisationsskiss Roller och ansvar avseende informationssäkerhet Informationssäkerhetssamordnare Juridisk Systemägare Operativ Systemägare Systemförvaltare Systemansvarig/Systemadministratör Systemdriftsansvarig IT-strateg IT- chef Hantering av informationstillgångar Ansvar, ägarskap och förteckning av tillgångar Klassificering av information Ansvarig för tillgångar Mobil datoranvändning Styrning av användares åtkomst Personalresurser och säkerhet Kontroll av personal och disciplinära åtgärder Avtalsförbindelse med konsulter Utbildning av personal Avslutning av anställning Hantering av informationssäkerhetsincidenter Rapportering av säkerhetshändelser och svagheter Hantering av informationssäkerhetsincidenter och förbättringar Hantering vid misstanke om brott Anskaffning, utveckling och underhåll av informationssäkerhet Inför anskaffning Överlämning till driftorganisation Driftgodkännande Säkerhetsanalys Kontroll av tjänsteleverantör Säkerhet i utvecklings- och underhållsprocesser Revidering och uppföljning... 7

3 3/7 1. Syfte Information är en av kommunens viktigaste tillgångar. För att skydda denna krävs ett säkerhetsmedvetande hos alla berörda. Detta dokument utgår från policyn och redovisar kommunens interna organisation för informationssäkerhet samt vilka områden som kommunens verksamhetsledningar har ansvar för. 1.1 Målgrupp Målgruppen för detta dokument är samtliga verksamheter inom Umeå kommun. 1.2 Avgränsning Om det upplevs svårt att uppfylla kraven i detta dokument skall dokumentägaren kontaktas En verksamhet kan i samråd med Kommungemensam IT-samordning få möjlighet att fastställa egna regler och instruktioner. Dessa får inte påverka andra verksamheters säkerhetsnivå på ett negativt sätt. Anledning till avvikelse skall skriftligen dokumenteras. Dokumentet gäller ej bolag inom Umeå kommun som har egna fastställda regler och instruktioner inom detta område. 2 Organisation av informationssäkerheten Tekniska nämnden har ansvar för generella säkerhets- och IT-frågor i Umeå kommun.utifrån detta fattar tekniska nämnden beslut om hur övergripande informationssäkerhetsarbetet ska bedrivas. Kommunövergripande IT-samordning hanterar och utreder generella frågor avseende anskaffning, drift, förvaltning och avveckling av informationshanteringsresurser. Inom ramen för detta ingår frågor som avser kommunövergripande informationssäkerhetsfrågor. Frågor lyfts, utifrån frågans karaktär, för beredning till IT-strateg för beslut av stadsdirektörens ledningsgrupp. I vissa fall till ansvarig nämnd. 2.1 Organisationsskiss

4 4/7 2.2 Roller och ansvar avseende informationssäkerhet Informationssäkerhetssamordnare Samordnare leder och samordnar arbetet med att uppnå informationssäkerhetspolicyns mål. Samordnare initierar och stödjer systemägarnas/systemförvaltarnas arbete Juridisk Systemägare Nämnd/styrelse (myndigheten) har ett övergripande ansvar för alla aktiviteter som bedrivs inom resp. ansvarsområde utifrån reglemente och delegationer (6 kap. 7, Kommunallagen) Operativ Systemägare Verksamhetsansvarig chef har ett övergripande operativt informations- och systemägaransvar för informationssystem som används i organisationen. Verksamhetsansvarig chef ansvarar för att en organisation för systemförvaltning inrättas enligt den modell som beskrivs i dokumentet Systemförvaltning i Umeå kommun Systemförvaltare Systemförvaltaren utses av systemägaren och ansvarar för förvaltningen av aktuellt informationssystem Systemansvarig/Systemadministratör Systemansvarig/systemadministratör deltar i säkerhetsarbete som berör enskilt informationssystem Systemdriftsansvarig Utsedd systemdriftsansvarig hos IT och telefoni eller hos annan leverantör innehar den tekniska kompetensen, och ansvarar tillsammans med systemförvaltare och systemansvarig för att den dagliga driften upprätthålls enligt överenskommelse IT-strateg Kommunövergripande IT-samordning har det operativa ansvaret för genomförande av övergripande säkerhetsarbete som exempelvis definiera kommungemensamma informationssäkerhetskrav. Dessa krav riktas mot externa och interna leverantörer samt verksamheter inom Umeå kommun IT- chef Samordnings- och ledningsansvar för kommunövergripande informationssäkerhetsarbete innehas av ITchef. Ansvarar för att upprätta och uppfylla kommunens plan för kontinuitet och drift. 3 Hantering av informationstillgångar 3.1 Ansvar, ägarskap och förteckning av tillgångar Alla system som är av vikt för verksamhetens genomförande skall ha en systemägare som är ansvarig för att informationstillgångar är rätt klassade och har det skydd som fastställts. Systemägaren utser systemförvaltare som är den som operativt förvaltar systemet. Samtliga IT-system som elektroniskt lagrar information och där informationen ägs av kommunal myndighet skall i princip registreras i systemet RegIT. Alla system som hanterar personuppgifter skall registreras i RegIT. Förändringar, omflyttning och överlåtelse av tillgång får inte ske utan samråd med den ansvarige systemägaren.

5 5/7 3.2 Klassificering av information Umeå kommun följer den modell för klassificering som MSB 1 rekommenderar. Direktlänk till dokumentation. Systemägaren är ansvarig för att informationstillgångar är rätt klassade och har det skydd som fastställts. 3.3 Ansvarig för tillgångar Systemägaren är ansvarig för att det finns tydliga rutiner hur leverantörer, konsulter etc. skall få använda utrustning och vilken information som man kan ta del av. Ett avtal med tydliga villkor för vad som gäller bör underecknas i de fall där det är relevant. Det är också viktigt att tydliggöra hur känslig information skall hanteras av medarbetare. 3.4 Mobil datoranvändning Verksamhetsansvarig chef beslutar om ett informationssystems information ska få hanteras på distans med stationär eller mobil utrustning. 3.5 Styrning av användares åtkomst Närmaste chef fattar beslut om behörighet till informationssystem och är också ansvarig för att beställa avvaktivering av behörigheter. 4 Personalresurser och säkerhet 4.1 Kontroll av personal och disciplinära åtgärder I samband med anställning skall medarbetaren göras medveten om vilket ansvar och befogenheter som är kopplade till den tjänst han/hon tillträder. Detta skall tydligt framgå i anställningsvillkoren och verifieras i samband med det årliga medarbetarsamtalet. Skulle den anställde bryta mot uppsatta regler kan det bli aktuellt med disciplinära åtgärder. Läs mer om anställning och upphörande av anställning under personalfrågor för ledare. 4.2 Avtalsförbindelse med konsulter Konulter skall alltid underteckna en avtalsförbindelse i samband med utförande av konsulttjänster inom Umeå kommun. Direktlänk till avtalsförbindelse 4.3 Utbildning av personal Verksamheten är skyldig att vid nyanställning utbilda och informera medarbetaren om skyldigheter, regler och instruktioner som gäller: Informationssäkerhetens betydelse för verksamheten Innehållet i Informationssäkerhetspolicyn Informationssäkerhet regler och instruktioner för användare. Närmaste chef eller den som får uppgiften på delegation ansvarar för att nya användare ges grundläggande informationssäkerhetsutbildning före tilldelning av behörighet i nätverket.

6 6/7 4.4 Avslutning av anställning Systemägaren är ansvarig för att hantera behörigheter, passerkort, utrustning, smarta kort etc. utifrån fastställda rutiner som gäller vid avslutning av anställning. 5 Hantering av informationssäkerhetsincidenter 5.1 Rapportering av säkerhetshändelser och svagheter Vid misstanke om intrång eller andra incidenter ska användare agera enligt dokumentet Informationssäkerhet regler och instruktioner för användare. Detta innebär att användaren skall: Omedelbart anmäla förhållandet närmaste chef och till Kundtjänst på IT och Telefoni tel Dokumentera alla iakttagelser i samband med upptäckten och försöka fastställa om kvaliteten på informationen har påverkats. 5.2 Hantering av informationssäkerhetsincidenter och förbättringar Kommungemensam IT-samordning sammanställer en incidentrapport en gång år som rapporteras till Stadsdirektörens ledningsgrupp och till berörda verksamheter. Rapporten skall omfatta Intrång och försök till intrång Brott mot lagstiftning och internt regelverk Incidenter som orsakar eller skulle kunna orsaka betydande avbrott och störningar Konsekvenser och förslag till åtgärder efter intrång eller funktionsfel. 5.3 Hantering vid misstanke om brott Vid misstanke om brott gäller följande se dokument IT-relaterad brottslighet/handlingsplan 6 Anskaffning, utveckling och underhåll av informationssäkerhet 6.1 Inför anskaffning Inför nyanskaffning och införande av ett informationssystem ska verksamhetsansvarig i samråd med IT och Telefoni utforma en projektplan för införandet. Denna plan ska minst omfatta: Verksamhetens beskrivning av behov och mål med anskaffningen Systemsäkerhetsanalys. Analysen syftar till att klarlägga säkerhetskraven på det system som planeras införas och den utökas därefter med en kravspecifikation som minst omfattar: o integrationskrav med andra system o krav på test o tidplan o personella och ekonomiska resurser o klarlägga behov av användarutbildning 6.2 Överlämning till driftorganisation Ansvarig för nyanskaffningsprojekt förbereder överlämnandet från test och utveckling till drift och verksamhet tillsammans med den tilltänkte systemägaren. Beslut om tidpunkt från vilken systemet

7 7/7 övergår från projekt till förvaltning fattas av systemägaren. I och med detta övergår ansvaret till systemägaren som då också övertar all dokumentation och upprättar en systemsäkerhetsanalys. 6.3 Driftgodkännande Driftgodkännande avser den process som syftar till att fastställa om ett informationssystem uppfyller ställda säkerhetskrav. Denna process omfattar följande steg: Systemägaren driftgodkänner informationssystemet efter genomförd systemsäkerhetsanalys Systemägaren koordinerar sina krav med informationssäkerhetssamordnare och nätverksansvarig Systemägaren gör underlag för beslut av nämnd eller styrelse om införande av informationssystemet 6.4 Säkerhetsanalys Säkerhetsanalysen består av två delar, riskanalys och riskutvärdering. Riskanalysen innebär att identifiera risker och därefter analysera riskerna som ligger till grund för hur risker skall hanteras. Resultatet av riskutvärderingen visar på vilka risker som man sedan anser sig behöva hantera. Åtgärden kan vara att minska risken eller helt eliminera den. Vilket val man gör är bereonde på uppskattad risknivå. 6.5 Kontroll av tjänsteleverantör Används externa leverantörer bör de risker som det kan innebära analyseras. Utfallet av en sådan analys bör ingå som en del i underlaget vid förhandlingar med leverantören. Detta är några områden som särskilt skall beaktas: Riktlinjer för säkerhet och metoder för kontroll av efterlevnad Avbrottsplan Incidenthantering Säkerhetsorganisation Acceptans av systemägare Beställare av leverantörers tjänster ska följa upp och granska att säkerhetsöverenskommelser följs. 6.6 Säkerhet i utvecklings- och underhållsprocesser Förslag om önskemål på förändringar i systemet lämnas till systemförvaltaren. Arbetet med förändring i system bedrivs enligt kommunens modell för systemförvaltning. 7 Revidering och uppföljning Respektive verksamhet har uppföljningsansvar för lokalt beslutade åtgärder och insatser och för att åtgärder vidas utifrån genomförd systemsäkerhetsanalyser. Systemägaren har det operativa ansvaret.