IT-säkerhetspolicy för Landstinget Sörmland

Storlek: px

Starta visningen från sidan:

Download "IT-säkerhetspolicy för Landstinget Sörmland"

Emil Bergström
för 8 år sedan
Visningar:

1 Bilaga 1, LS 115 / (5) IT-säkerhetspolicy för Landstinget Sörmland Inledning Bakgrund och motiv Mål Medel Omfattning Organisation och ansvar Regelverk

2 1.0 2(5) Inledning Policyn är landstingsstyrelsens övergripande styrdokument för att vi ska utnyttja informationstekniken på ett säkert sätt inom landstinget Sörmland. Policyn anger ledningens syn på IT-säkerhet, inriktning och mål för IT-säkerhetsarbetet samt hur målen skall nås. IT-säkerhetspolicyn ersätter Landstingets ADB-säkerhetspolicy från Bakgrund och motiv Landstinget Sörmland tar i ökande omfattning hjälp av Informationsteknik (IT) för att stödja sin verksamhet. Tekniken utvecklas snabbt, speciellt inom kommunikationsområdet, och ger nya möjligheter att tillföra verksamhetsnytta. Det ökande behovet av att utnyttja gemensam information i olika geografiskt spridda system och verksamheter kräver ett följsamt arbete när det gäller IT-säkerhet. Balansen mellan den önskade öppenheten och kravet på skydd för den personliga integriteten måste vidmakthållas. Landstingets innevånare, såväl som patienter från andra landsting, måste alltid känna sig övertygade om att Landstinget Sörmland hanterar information om dem på ett korrekt och säkert sätt. Verksamheten och dess IT-stöd skall fungera i enlighet med gällande lagar, förordningar och bestämmelser. Förtroendet för landstingets verksamhet tar lång tid att bygga upp, men kan raseras av en enskild incident. Den massmediala exponeringen i händelse av avslöjande av patientinformation kan bli omfattande och allvarligt skada förtroendet för landstingets verksamhet. Därför måste säkerhet, kvalitet och integritet inte bara vara honnörsord utan också utgöra riktmärken till efterlevnad för samtliga som arbetar med landstingets information. Landstinget karaktäriseras av öppenhet och av de anställdas engagemang. Landstingets IT-säkerhetspolicy skall stödja detta. Människan är genom sin vilja att ta ansvar en tillgång för säkerheten i en organisation. Landstingets IT-säkerhetspolicy vilar i hög grad på varje medarbetares ansvar. Människan kan också utgöra ett hot mot säkerheten genom att ej vara informerad om säkerhetsrisker, eller genom att regler och rutinbeskrivningar är ofullständiga eller saknas. Därför är det viktigt att säkerhetsfrågor lyfts fram och ges en naturlig plats i det dagliga arbetet. Våra samarbetspartners skall göras uppmärksamma på innehållet i tillämpliga delar av vår IT-säkerhetspolicy och våra IT-säkerhetsregler och riktlinjer och sin skyldighet till efterlevnad.

Bakgrund och motiv Landstinget Sörmland tar i ökande omfattning hjälp av Informationsteknik (IT) för att stödja sin verksamhet.

3 1.0 3(5) Mål Målet för landstingets skyddsåtgärder rörande IT-säkerhet är att de är så utformade att Gällande lagstiftnings och ingångna avtals krav på skyddsåtgärder följs, t ex måste kraven på säkerhet och sekretess rörande patientinformation alltid uppfyllas I IT-stödet införda skyddsåtgärder aktivt bidrar till hög tillgänglighet, stabilitet och säkerhet i systemen för berörda verksamheter Landstingets tillgångar avsiktligt eller oavsiktligt ej orsakas allvarlig skada Kostnaderna för skyddsåtgärderna alltid vägs mot den aktuella hotbilden Uppställda mål kräver hög säkerhet i IT-stödet, såsom en absolut säker hantering av patientdata och annan känslig information. Om tillbud inträffar, som negativt kan påverka landstingets verksamhet, skall rutiner finnas så att tillbuden så snart som möjligt upptäcks och avpassade åtgärder vidtas så att skadornas omfattning minimeras. Rutiner ska också finnas för initierande och genomförande av förebyggande åtgärder. Medel Tillämpningen av IT-säkerhetspolicyn, för att nå de uppsatta säkerhetsmålen, beskrivs i centrala IT-säkerhetsregler och riktlinjer, dels generella och dels specifika t ex per system. Baserat på IT-säkerhetspolicyn och de tillhörande generella IT-säkerhetsreglerna och riktlinjerna upprättas och genomförs en skyddsplan per förvaltning. Skyddsplanen byggs på genomförda konsekvens- och säkerhetsanalyser, och skall revideras årligen. Omfattning Landstingets IT-säkerhetspolicy omfattar all verksamhet inom landstinget oavsett var den bedrivs. Den omfattar även personal som ej är anställd inom landstinget men som utför uppdrag eller tjänster för landstingets räkning i landstingets IT-infrastruktur. Tillgångar som skall skyddas är data, datorer (stationära och mobila), system och kommunikation. Ett väl anpassat skydd för dessa tillgångar bidrar till att skydda andra tillgångar såsom material, kapital, personal och förtroendekapital. Hotbilden utgörs av förlust, stöld, brand, bristande kvalitet, obehörig åtkomst, datavirusangrepp, obehörig användning, avbrott, katastrof och sabotage.

verksamheter Landstingets tillgångar avsiktligt eller oavsiktligt ej orsakas allvarlig skada Kostnaderna för skyddsåtgärderna alltid vägs mot den aktuella hotbilden Uppställda mål kräver hög säkerhet

4 1.0 4(5) Säkerhetsarbetet skall omfatta såväl förebyggande, upptäckande som reparerande åtgärder för att minimera riskerna för allvarlig skada och konsekvenserna därav. Organisation och ansvar IT-säkerhetsarbetet baseras på fastlagda ansvarsförhållanden. Ansvaret för ITsäkerheten är en naturlig del av landstingets övriga ansvar. Landstingsdirektören har ett övergripande IT-säkerhetsansvar. Landstingsdirektören biträds av en utsedd centralt IT-säkerhetsansvarig, som ansvarar för utformning och förvaltning av IT-säkerhetspolicy, centrala IT-säkerhetsregler och riktlinjer, samt utövar samordning, tillsyn, uppföljning och kontroll av landstingets övergripande ITsäkerhet enligt givna dokumenterade befogenheter. Centralt IT-säkerhetsansvarig ansvarar för att regelbundet informera politiker- och tjänstemannaledningarna om det löpande IT-säkerhetsarbetet. I händelse av verksamhetspåverkande incidenter skall ledningarna skyndsamt informeras. Förvaltningschef (eller motsvarande) har det lokala IT-säkerhetsansvaret, är ansvarig för upprättande och genomförande av skyddsplan och biträds av en utsedd lokal ITsäkerhetsansvarig enligt givna dokumenterade befogenheter. Basenhetschef/verksamhetschef är ansvarig för sin enhets IT-säkerhet dvs att ITsäkerhetspolicy och centralt utformade IT-säkerhetsregler och -riktlinjer efterlevs. I ansvaret ingår att avpassade skyddsåtgärder budgeteras, genomförs och följs upp för data, datorer, system och kommunikation. Hänsyn måste också tas till eventuella övriga resurser, nödvändiga för de aktuella skyddsåtgärdernas genomförande. I de fall flera funktioner delar ansvaret skall en funktion tilldelas huvudansvar. Varje chef ansvarar för att gällande regler och riktlinjer för IT-säkerhet görs kända och att de efterlevs. I samband med projekt är projektledaren ansvarig för projektets IT-säkerhet. Beställaren som kravställare och projektledaren ansvarar för att resultatet i form av system och rutiner innehåller nödvändiga funktioner för att leva upp till kraven på ITsäkerhet. Vid överlämning av system till förvaltning skall, genom förvaltningsorganisationen och berörda styrande dokument, säkerställas att förvaltningen kommer att genomföras enligt gällande IT-säkerhetsregler och riktlinjer. Varje medarbetare ansvarar för att gällande regler och riktlinjer för IT-säkerhet följs. I ansvaret ingår att till överordnad chef rapportera överträdelser av gällande regler och ej tidigare uppmärksammade säkerhetsrisker. I ansvaret ingår även att bedöma den egna säkerhetskunskapen och rapportera till närmaste chef om den ej är tillräcklig.

Landstingsdirektören har ett övergripande IT-säkerhetsansvar.

5 1.0 5(5) Regelverk Aktuell förteckning över gällande regelverk för IT-säkerhet finns hos centralt ITsäkerhetsansvarig. Förteckningen och regelverket ska också göras kända i landstingets organisation.

Relevanta dokument

Sedan år 2000 har Anita Eckersand arbetat inom Varbergs kommun.

Sedan år 2000 har Anita Eckersand arbetat inom Varbergs kommun. V A R B E R G S K O M M U N föregångare inom IT-säkerhet av lena lidberg Vilka är kommunens viktigaste IT-system? Och hur länge kan systemen ligga nere innan det uppstår kaos i verksamheterna? Frågor som