DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Relevanta dokument
Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

1(6) Informationssäkerhetspolicy. Styrdokument

Informationssäkerhetspolicy för Ystads kommun F 17:01

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Informationssäkerhetspolicy S/~LA KOMMUN KOMMUNFULLMÄKTIGE. Bi l aga KS 2015 / 135/1 INFORMATIONSSÄKERHETSPOLICY FÖR SALA KOMMUN

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Informationssäkerhetspolicy

Informationssäkerhetspolicy KS/2018:260

Kommunal författningssamling för Smedjebackens kommun. Informationssäkerhetspolicy. 97 Dnr 2016/00447

Informationssäkerhetspolicy

Kommunstyrelsens förslag till antagande av reviderad informationssäkerhetspolicy Ärende 11 KS 2017/336

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Informationssäkerhetspolicy. Linköpings kommun

I Central förvaltning Administrativ enhet

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Policy för informations- säkerhet och personuppgiftshantering

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Revidering av riktlinjer för Informationssäkerhet vid Högskolan i Skövde

POLICY INFORMATIONSSÄKERHET

Svar på revisionsskrivelse informationssäkerhet

Informationssäkerhetspolicy

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Informationssäkerhetspolicy för Katrineholms kommun

Informationssäkerhetspolicy för Ånge kommun

Informationssäkerhetspolicy

EDA KOMMUN. nformationssäkerhet - Informationssäkerhetspolicy

Informationssäkerhetspolicy

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

1 INLEDNING ALLMÄNT OM INFORMATIONSSÄKERHET MÃL FÖRKOMMUNENS lnformationssäkerhetsarbete ROLLER OCH ANSVAR...

Policy och strategi för informationssäkerhet

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Policy för informationssäkerhet

Policy för informationssäkerhet

Informationssäkerhetspolicy

Lokal informationssäkerhetspolicy för hälso- och sjukvårdsförvaltningen

Informationssäkerhetspolicy för Umeå universitet

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Kommunfullmäktige. Föredragningslista. Kallelse Till ersättare och övriga för kännedom. Tid: , kl. 18:00

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

BESLUT. Instruktion för informationsklassificering

Riktlinjer för Informationssäkerhet Falkenbergs Kommun Kommunledningskontoret

Koncernkontoret Enheten för säkerhet och intern miljöledning

Informationssäkerhetspolicy

Finansinspektionens författningssamling

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Informationssäkerhetspolicy

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhetspolicy för Nässjö kommun

IT-Säkerhetsinstruktion: Förvaltning

Dnr

Organisation för samordning av informationssäkerhet IT (0:1:0)

Informationssäkerhetspolicy

Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen

Katrineholms kommuns. Informationssäkerhetspo licy. IZatrineholms kommun "- Antagen av kommunfullmäktige , 106

Informationssäkerhet - Informationssäkerhetspolicy

Instruktion för kommunchefen KS2017/571/01

Protokollsutdrag. 346 Revisionsrapport Uppföljning IT-säkerhet och införande av dataskyddsförordningen - svar Dnr KS/2018:384

1 (5) Informationssäkerhetspolicy Informationssäkerhetspolicy. Ver 3.0

Informationssäkerhet, Linköpings kommun

Verksamhetsplan Informationssäkerhet

SAMMANTRÄDESPROTOKOLL Kommunstyrelsen Sammanträdesdatum

Revisionsrapport angående granskning av kommunens anpassning till nya IT-lösningar

I n fo r m a ti o n ssä k e r h e t

Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13

Myndigheten för samhällsskydd och beredskaps författningssamling

Finansinspektionens författningssamling

Säkerhetsskyddsplan. Fastställd av kommunfullmäktige

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun

Fördelning av ansvar för informationssäkerhet. Version: 1. Beslutsinstans: Regiondirektören

DNR: KS2017/761/01. Internkontrollplan 2018 för kommunstyrelsen - intern kontrollplan - återrapportering KS2016/810/ (2)

Myndigheten för samhällsskydd och beredskaps författningssamling

Finansinspektionens författningssamling

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

Informationssäkerhetspolicy för Vetlanda kommun

Skolinspektionens granskning av Sunne kommuns klagomålshantering Dnr KS2017/156/07

Anders Johansson (S), ordförande Göran Adrian (C), vice ordförande Per Lawén (S) Georg Forsberg (C)

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Beslutsunderlag Ekonomichefens tjänsteskrivelse Riktlinjer för investeringsprocessen Kommunfullmäktige

Riktlinjer för IT och informationssäkerhet - förvaltning

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Riktlinje för informationssäkerhet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

IT-SÄKERHETSPOLICY. Stadskontoret. 1 Inledning Definition Omfattning Mål för IT-säkerhetsarbetet... 2

Välkommen till enkäten!

Verksamhetsrapport. Kommunens säkerhetsarbete 2014

Budgetuppföljning Barns lärande Dnr KS2018/269/03

Ovanåkers kommun. Ansvarsgranskning av kommunstyrelsen och nämnderna med inriktning mot intern kontroll. Revisionsrapport

SOLLENTUNA FÖRFATTNINGSSAMLING

TJÄNSTESKRIVELSE Motion om uppdrag att utreda förutsättningarna för att införa miljöledningssystem i vissa kommunala verksamheter 2018

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

IT-policy. Styrdokument, policy Kommunledningskontoret Per-Ola Lindahl

IT-säkerhetspolicy. Antagen av kommunfullmäktige

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

Internkontrollplan 2017 för kommunstyrelsen - intern kontrollplan - återrapportering KS2016/810/01

Informationssäkerhetspolicy

SÄKERHETSPOLICY FÖR KÖPINGS KOMMUN

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

RIKTLINJER FÖR IT-SÄKERHET

Transkript:

TJÄNSTESKRIVELSE Datum DNR: KS2016/918/01 2018-03-07 1 (1) Kommunstyrelsen Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Förslag till beslut Förslaget till Informationssäkerhetspolicy för Sunne kommun antas. Sammanfattning av ärendet Som ett resultat av revision kring informationssäkerhet, som genomfördes av KPMG, fick IT-chefen kommunstyrelsens uppdrag att ta fram en Informationssäkerhetspolicy. Samtidigt fick IT-chefen uppdraget att i samråd med ledningsgruppen göra en översyn av bristfälliga rutiner. Utredning av ärendet IT-chefen fick i uppdrag att ta fram en Informationssäkerhetspolicy för Sunne kommun. IT-chefen har gjort en omvärldsbevakning och undersökt vilka rekommendationer Datainspektionen och MSB ger i frågan. Beslutsunderlag IT-chefens tjänsteskrivelse 2018-03-07 Förslag till informationssäkerhetspolicy för Sunne kommun Berit Westergren Kommunchef Ulf Borg IT-chef Beslutet skickas till: IT-chefen Kommunrevisorerna Postadress Besöksadress Telefon Internet och fax Giro och org.nr Sunne kommun Verksamhetsstöd 0565-160 00 växel www.sunne.se 744-2684 bankgiro 1. Verksamhetsstöd 0565-160 30 direkt ulf.borg@sunne.se 212000-1843 org.nr 686 80 Sunne Sunne Page 1 of 7

Datum 2018-02-22 1 (5) Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige 2018-XX-XX Postadress Besöksadress Telefon Internet och fax Giro och org.nr Sunne kommun Verksamhetsstöd 0565-160 00 växel www.sunne.se 744-2684 bankgiro 1. Verksamhetsstöd 0565-160 30 direkt ulf.borg@sunne.se 212000-1843 org.nr 686 80 Sunne Sunne Page 2 of 7

2 (5) Innehåll 1.Inledning...3 1.1 Begreppsförklaring...3 1.2 Mål...4 1.3 Syfte...4 2. Ansvar och organisation...4 3. Arbetssätt och skyddsåtgärder...4 4. Uppföljning och revidering...5 Page 3 of 7

3 (5) 1 Inledning Information behöver hanteras på ett säkert sätt. Detta för att skapa förtroende hos både anställda, förtroendevalda, brukare och allmänheten. Var och en som lämnar eller tar emot information ska kunna förlita sig på att den informationen är riktig, konfidentiell, tillgänglig och spårbar för rätt personer. Arbetet med informationssäkerhet ska vara långsiktigt och kontinuerligt, omfatta alla delar av kommunens verksamheter och dess bolag. Policyn gäller alla de informationstillgångar som kommunen äger och hanterar. Personalen ska få fortlöpande utbildning för att förstå hur informationssäkerheten fungerar. Informationssäkerhetspolicyn är inspirerad av den svenska standarden LIS (ledningssystem för informationssäkerhet) som rekommenderas av Myndigheten för samhällsskydd och beredskap. Denna policy beskriver de övergripande principerna som gäller för informationssäkerhetsarbetet i Sunne kommun. 1.1 Begreppsförklaring Informationstillgångar. Allt som innehåller information samt allt och alla som bär på information. T ex mobiltelefoner, verksamhetssystem och medarbetare. Informationssäkerhet. Är den säkerhet som omfattar våra informationstillgångar och förmågan att upprätthålla önskad konfidentialitet, riktighet och tillgänglighet. Konfidentiell. Information som inte får nås eller avslöjas för någon obehörig. Oftast gäller det innehållet i en informationstillgång men ibland är även tillgångens existens hemlig. Riktighet. Innebär att informationen inte får obehörigen förändras, inte av misstag och inte på grund av en funktionsstörning. Tillgänglighet. Innebär att informationen går att nyttjas av behörig användare när det behövs och så mycket det behövs. Spårbarhet. Aktiviteter ska kunna härledas i efterhand. Vem som har utfört aktiviteten, vad som har skett samt var aktiviteten har utförts. I möjlig mån ska det även kunna spåras hur aktivitetens utfördes. LIS. Ledningssystem för informationssäkerhet. En metod för att arbeta övergripande och systematiskt med informationssäkerhet. Metoden bygger på standarderna i 27000-serien och rekommenderas av Myndigheten för samhällsskydd och beredskap. Verksamhetssystem. I vissa fall även kallat informationssystem, är de system som insamlar, lagrar, bearbetar eller distribuerar och presenterar information. 1.2 Mål Målet med kommunens informationssäkerhetspolicy är att upprätthålla önskad konfidentialitet, riktighet, tillgänglighet och spårbarhet för alla informationstillgångar. 1.3 Syfte Syftet med informationssäkerhetspolicyn är att beskriva hur kommunen ska uppnå en god informationssäkerhet. Page 4 of 7

4 (5) 2 Ansvar och organisation Kommunfullmäktige fastställer den informationssäkerhetspolicy som ska gälla för Sunne kommun. Kommunstyrelsen ansvarar för att kommunens informations-säkerhetspolicy och riktlinjer för informationssäkerhet utarbetas och hålls aktuella. Kommunstyrelsen ansvarar också för samordningen av informationssäkerhetsarbetet i kommunkoncernen. Varje nämnd och bolagsstyrelse är, utifrån denna policy och kommunstyrelsens riktlinjer, ansvarig för informationssäkerheten inom sitt verksamhetsområde. Kommunstyrelse och bolagsstyrelse ska löpande planera och följa upp informationssäkerhetsarbetet och vidta de åtgärder som krävs för att uppnå och upprätthålla tillräcklig intern kontroll. Ansvaret för informationssäkerheten följer verksamhetsansvaret. Alla medarbetare har ett ansvar för att säkerheten fungerar och följa uppställda säkerhetsregler. Det samma gäller när tillfällig personal eller extern aktör/ uppdragstagare anlitas. Den som upptäcker brister i informationssäkerheten måste uppmärksamma sin närmaste chef på det. Alla medarbetare ska kunna rapportera händelser som kan göra att informationstillgångar utsätts för risker. 3 Arbetssätt och skyddsåtgärder I den mån det är möjligt ska kommunen arbeta enligt LIS. LIS ska anpassas efter verksamheten. Arbetet ska bedrivas i enlighet med Dataskyddsförordningen. Kommunens verksamheter ska arbeta med att identifiera informationstillgångar och dess flöden. Informationstillgångarna ska klassificeras enligt LIS. Alla informationstillgångar ska ha en ägare. Informationsägaren ansvarar för klassificeringen och ställer de säkerhetskrav som behövs för att nå önskad säkerhet. Alla verksamhetssystem ska ha en systemägare och en systemförvaltare, där systemägaren ansvarar för att säkerhetskraven på systemet uppfylls. Systemförvaltaren ska bistå användare av systemet i syfte att upprätthålla en hög informationssäkerhet. Systemägaren ansvarar för att skydd till information är anpassat och att man genomför riskanalyser med en regelbundenhet. Åtkomst och behörighet ska tilldelas formellt och vara baserat efter roll, behov och inte vara mer omfattande än det verkliga behovet. Det är av stor vikt att åtkomst och behörigheter avslutas vid avslut av tjänst eller byte av arbetsuppgifter och det ligger på systemägarens ansvar att tillse att det sker. Verksamheterna ska omvärldsbevaka och genomföra risk- och sårbarhetsanalyser vid införandet av nya verksamhetssystem, förändringar samt vid inträffade incidenter. Vid behov ska verksamheterna vidta nödvändiga åtgärder för att se till att informationstillgångarna har rätt skydd. Kommunen ska ställa krav på informationssäkerhet vid upphandling, utveckling, användning och avveckling av verksamhetssystem. De krav som ställts ska även följas upp. Relevanta säkerhetskrav ska gälla vid såväl intern som extern drift av verksamhetssystem. Viss säkerhetsklassad information kan kräva säkerhetsskyddad upphandling (SUA). Verksamheterna ska arbeta med kontinuitetsplanering och ha beredskap för avbrott. Detta gäller även när externa aktörer för informationshantering anlitas. Samhällsviktiga verksamheter ska kunna upprätthållas på acceptabel nivå vid olika typer av störningar och krissituationer. Det är viktigt att alla har ett högt säkerhetsmedvetande och kritiskt ifrågasätter händelser som kan påverka informationssäkerheten. Page 5 of 7

5 (5) Skyddsåtgärder ska vara kostnadseffektiva och stå i proportion till värdet av informationen och de negativa konsekvenser en otillräcklig säkerhet kan medföra. Kommunstyrelsen ska följa upp att beslutade åtgärder är genomförda, att uppsatta mål är uppfyllda, att regler och riktlinjer följs, att styrdokument vid behov revideras. Hantering av undantag från antagen policy ska vara förankrade i kommunledningsgrupp. Incidenter ska omgående rapporteras till informationsägare och systemägare och hanteras skyndsamt och prioriterat. 4 Uppföljning och revidering Informationssäkerhetspolicyn ska revideras vart annat år eller vid behov. I samband med revideringen ska tillhörande riktlinjer och tillämpningsanvisningar revideras på motsvarande sätt. Informationssäkerhetspolicyn ska granskas och revideras enligt rekommendation i LIS. Page 6 of 7

SUNNE KOMMUN PROTOKOLLSUTDRAG Sammanträdesdatum DNR: KS2016/918/01 Kommunstyrelsen 2016-12-06 1 (1) Ks 322 Revisorernas granskning av IT-användning och ITsäkerhet inom Sunne kommun Dnr KS2016/548/01 Kommunstyrelsens beslut 1. IT-strategi tas fram av IT-chef i samråd med ledningsgrupp. 2. Översyn görs av IT-chef i samråd med ledningsgrupp avseende bristfälliga rutiner. 3. IT-enheten tar fram en lösning avseende användarhantering och åtkomsthantering. 4. IT-enheten tar fram en enhetlig förvaltningsmodell. 5. Med dessa åtgärder och med upprättad handlingsplan anses revisorernas påpekanden i granskningsrapporten som besvarade. Sammanfattning av ärendet Sammanfattning av revisorernas granskningsrapport: - Det saknas en IT-strategi för Sunne kommun. - Det saknas tydlig ansvarsbeskrivning kring de roller som används i ITverksamheten. - Det saknas tydlig struktur för att dokumentera IT-utvecklingsbehov - Nuvarande informationssäkerhetspolicy är inaktuell. - Det saknas tydliga rutiner för användaradministration och åtkomsthantering. - Det saknas kontinuitetshantering och katastrofplanering. Uppföljning och framtagning av handlingsplan avseende IT-användning och IT-säkerhet, med utgångspunkt från granskningsrapport från KPMG, daterad 2014-04-06. Beslutsunderlag Allmänna utskottet 2016-10-26, 220 IT-chefens tjänsteskrivelse 2016-10-14 IT-chefens handlingsplan 2016-09-26 KPMG rapport daterad 2014-04-06 Beslutet skickas till: Kommunrevisorerna Justerare Utdragsbestyrkare Page 7 of 7

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss