Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Relevanta dokument
1(6) Informationssäkerhetspolicy. Styrdokument

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Informationssäkerhetspolicy för Ystads kommun F 17:01

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Informationssäkerhetspolicy

Informationssäkerhetspolicy KS/2018:260

Informationssäkerhetspolicy S/~LA KOMMUN KOMMUNFULLMÄKTIGE. Bi l aga KS 2015 / 135/1 INFORMATIONSSÄKERHETSPOLICY FÖR SALA KOMMUN

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Informationssäkerhetspolicy

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Revidering av riktlinjer för Informationssäkerhet vid Högskolan i Skövde

Informationssäkerhetspolicy. Linköpings kommun

POLICY INFORMATIONSSÄKERHET

Policy för informations- säkerhet och personuppgiftshantering

Kommunal författningssamling för Smedjebackens kommun. Informationssäkerhetspolicy. 97 Dnr 2016/00447

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Kommunstyrelsens förslag till antagande av reviderad informationssäkerhetspolicy Ärende 11 KS 2017/336

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Informationssäkerhetspolicy för Katrineholms kommun

1 INLEDNING ALLMÄNT OM INFORMATIONSSÄKERHET MÃL FÖRKOMMUNENS lnformationssäkerhetsarbete ROLLER OCH ANSVAR...

I Central förvaltning Administrativ enhet

Informationssäkerhetspolicy för Ånge kommun

Informationssäkerhetspolicy

Informationssäkerhetspolicy

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Informationssäkerhetspolicy

Informationssäkerhetspolicy

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Lokal informationssäkerhetspolicy för hälso- och sjukvårdsförvaltningen

Policy och strategi för informationssäkerhet

EDA KOMMUN. nformationssäkerhet - Informationssäkerhetspolicy

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

Policy för informationssäkerhet

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

1 (5) Informationssäkerhetspolicy Informationssäkerhetspolicy. Ver 3.0

BESLUT. Instruktion för informationsklassificering

Policy för informationssäkerhet

Katrineholms kommuns. Informationssäkerhetspo licy. IZatrineholms kommun "- Antagen av kommunfullmäktige , 106

Informationssäkerhet - Informationssäkerhetspolicy

Riktlinjer för Informationssäkerhet Falkenbergs Kommun Kommunledningskontoret

I n fo r m a ti o n ssä k e r h e t

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

Informationssäkerhetspolicy för Umeå universitet

Svar på revisionsskrivelse informationssäkerhet

Dnr

Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen

Koncernkontoret Enheten för säkerhet och intern miljöledning

Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13

Informationssäkerhetspolicy

Informationssäkerhetspolicy IT (0:0:0)

Verksamhetsplan Informationssäkerhet

Informationssäkerhet, Linköpings kommun

Informationssäkerhetspolicy

Informationssäkerhetspolicy för Nässjö kommun

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun

Finansinspektionens författningssamling

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

Myndigheten för samhällsskydd och beredskaps författningssamling

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Informationssäkerhetspolicy

Kommunfullmäktige. Föredragningslista. Kallelse Till ersättare och övriga för kännedom. Tid: , kl. 18:00

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Finansinspektionens författningssamling

Riktlinje för informationssäkerhet

Riktlinjer för IT och informationssäkerhet - förvaltning

IT-Säkerhetsinstruktion: Förvaltning

Fördelning av ansvar för informationssäkerhet. Version: 1. Beslutsinstans: Regiondirektören

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

Säkerhetsskyddsplan. Fastställd av kommunfullmäktige

Finansinspektionens författningssamling

IT-policy. Styrdokument, policy Kommunledningskontoret Per-Ola Lindahl

Myndigheten för samhällsskydd och beredskaps författningssamling

Bilaga till rektorsbeslut RÖ28, (5)

IT-SÄKERHETSPOLICY. Stadskontoret. 1 Inledning Definition Omfattning Mål för IT-säkerhetsarbetet... 2

Informationssäkerhetspolicy

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

SOLLENTUNA FÖRFATTNINGSSAMLING

SÅ HÄR GÖR VI I NACKA

Säkerhetspolicy i Linköpings kommun

Organisation för samordning av informationssäkerhet IT (0:1:0)

KOMMUNALA STYRDOKUMENT

Bilaga 3 Säkerhet Dnr: /

SÄKERHETSPOLICY FÖR KÖPINGS KOMMUN

SÄKERHETSPOLICY FÖR VÄSTERVIKS KOMMUNKONCERN ANTAGEN AV KOMMUNFULLMÄKTIGE , 8

Säkerhetspolicy för Västerviks kommunkoncern

Dnr UFV 2017/93. Informationssäkerhet. Riktlinjer för säkerhetsarbetet vid Uppsala universitet. Fastställda av Universitetsdirektören

Riktlinjer för Hässleholms kommuns säkerhet och beredskap mandatperiod

Policy för informationssäkerhet

Administrativ säkerhet

Välkommen till enkäten!

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Verksamhetsrapport. Kommunens säkerhetsarbete 2014

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Informationssäkerhetspolicy för Vetlanda kommun

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad:

Säkerhetspolicy för Kristianstad kommun

IT-säkerhetspolicy. Antagen av kommunfullmäktige

Roller för information behöver också fastställas, använd gärna nedanstående roller som kommer från SKL och deras verktyg

Transkript:

1 (5) Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige 2018-05-07, 57 Postadress Besöksadress Telefon Internet och fax Giro och org.nr Sunne kommun Verksamhetsstöd 0565-160 00 växel www.sunne.se 744-2684 bankgiro 1. Verksamhetsstöd 0565-160 30 direkt ulf.borg@sunne.se 212000-1843 org.nr 686 80 Sunne Sunne

2 (5) Innehåll 1.Inledning... 3 1.1 Begreppsförklaring... 3 1.2 Mål... 3 1.3 Syfte... 3 2. Ansvar och organisation... 4 3. Arbetssätt och skyddsåtgärder... 4 4. Uppföljning och revidering... 5

3 (5) 1 Inledning Information behöver hanteras på ett säkert sätt. Detta för att skapa förtroende hos både anställda, förtroendevalda, kunder och allmänheten. Var och en som lämnar eller tar emot information ska kunna förlita sig på att den informationen är riktig, konfidentiell, tillgänglig och spårbar för rätt personer. Arbetet med informationssäkerhet ska vara långsiktigt och kontinuerligt, omfatta alla delar av kommunens verksamheter och dess bolag. Policyn gäller alla de informationstillgångar som kommunen äger och hanterar. Personalen ska få fortlöpande utbildning för att förstå hur informationssäkerheten fungerar. Informationssäkerhetspolicyn är inspirerad av den svenska standarden LIS (ledningssystem för informationssäkerhet) som rekommenderas av Myndigheten för samhällsskydd och beredskap. Denna policy beskriver de övergripande principerna som gäller för informationssäkerhetsarbetet i Sunne kommun. 1.1 Begreppsförklaring Informationstillgångar. Allt som innehåller information samt allt och alla som bär på information. T ex mobiltelefoner, verksamhetssystem och medarbetare. Informationssäkerhet. Är den säkerhet som omfattar våra informationstillgångar och förmågan att upprätthålla önskad konfidentialitet, riktighet och tillgänglighet. Konfidentiell. Information som inte får nås eller avslöjas för någon obehörig. Oftast gäller det innehållet i en informationstillgång men ibland är även tillgångens existens hemlig. Riktighet. Innebär att informationen inte får obehörigen förändras, inte av misstag och inte på grund av en funktionsstörning. Tillgänglighet. Innebär att informationen går att nyttjas av behörig användare när det behövs och så mycket det behövs. Spårbarhet. Aktiviteter ska kunna härledas i efterhand. Vem som har utfört aktiviteten, vad som har skett samt var aktiviteten har utförts. I möjlig mån ska det även kunna spåras hur aktivitetens utfördes. LIS. Ledningssystem för informationssäkerhet. En metod för att arbeta övergripande och systematiskt med informationssäkerhet. Metoden bygger på standarderna i 27000-serien och rekommenderas av Myndigheten för samhällsskydd och beredskap. Verksamhetssystem. I vissa fall även kallat informationssystem, är de system som insamlar, lagrar, bearbetar eller distribuerar och presenterar information. 1.2 Mål Målet med kommunens informationssäkerhetspolicy är att upprätthålla önskad konfidentialitet, riktighet, tillgänglighet och spårbarhet för alla informationstillgångar. 1.3 Syfte Syftet med informationssäkerhetspolicyn är att beskriva hur kommunen ska uppnå en god informationssäkerhet.

4 (5) 2 Ansvar och organisation Kommunfullmäktige fastställer den informationssäkerhetspolicy som ska gälla för Sunne kommun. Kommunstyrelsen ansvarar för att kommunens informations-säkerhetspolicy och riktlinjer för informationssäkerhet utarbetas och hålls aktuella. Kommunstyrelsen ansvarar också för samordningen av informationssäkerhetsarbetet i kommunkoncernen. Varje nämnd och bolagsstyrelse är, utifrån denna policy och kommunstyrelsens riktlinjer, ansvarig för informationssäkerheten inom sitt verksamhetsområde. Kommunstyrelse och bolagsstyrelse ska löpande planera och följa upp informationssäkerhetsarbetet och vidta de åtgärder som krävs för att uppnå och upprätthålla tillräcklig intern kontroll. Ansvaret för informationssäkerheten följer verksamhetsansvaret. Alla medarbetare har ett ansvar för att säkerheten fungerar och följa uppställda säkerhetsregler. Det samma gäller när tillfällig personal eller extern aktör/ uppdragstagare anlitas. Den som upptäcker brister i informationssäkerheten måste uppmärksamma sin närmaste chef på det. Alla medarbetare ska kunna rapportera händelser som kan göra att informationstillgångar utsätts för risker. 3 Arbetssätt och skyddsåtgärder I den mån det är möjligt ska kommunen arbeta enligt LIS. LIS ska anpassas efter verksamheten. Arbetet ska bedrivas i enlighet med Dataskyddsförordningen. Kommunens verksamheter ska arbeta med att identifiera informationstillgångar och dess flöden. Informationstillgångarna ska klassificeras enligt LIS. Alla informationstillgångar ska ha en ägare. Informationsägaren ansvarar för klassificeringen och ställer de säkerhetskrav som behövs för att nå önskad säkerhet. Alla verksamhetssystem ska ha en systemägare och en systemförvaltare, där systemägaren ansvarar för att säkerhetskraven på systemet uppfylls. Systemförvaltaren ska bistå användare av systemet i syfte att upprätthålla en hög informationssäkerhet. Systemägaren ansvarar för att skydd till information är anpassat och att man genomför riskanalyser med en regelbundenhet. Åtkomst och behörighet ska tilldelas formellt och vara baserat efter roll, behov och inte vara mer omfattande än det verkliga behovet. Det är av stor vikt att åtkomst och behörigheter avslutas vid avslut av tjänst eller byte av arbetsuppgifter och det ligger på systemägarens ansvar att tillse att det sker. Verksamheterna ska omvärldsbevaka och genomföra risk- och sårbarhetsanalyser vid införandet av nya verksamhetssystem, förändringar samt vid inträffade incidenter. Vid behov ska verksamheterna vidta nödvändiga åtgärder för att se till att informationstillgångarna har rätt skydd. Kommunen ska ställa krav på informationssäkerhet vid upphandling, utveckling, användning och avveckling av verksamhetssystem. De krav som ställts ska även följas upp. Relevanta säkerhetskrav ska gälla vid såväl intern som extern drift av verksamhetssystem. Viss säkerhetsklassad information kan kräva säkerhetsskyddad upphandling (SUA). Verksamheterna ska arbeta med kontinuitetsplanering och ha beredskap för avbrott. Detta gäller även när externa aktörer för informationshantering anlitas. Samhällsviktiga verksamheter ska kunna upprätthållas på acceptabel nivå vid olika typer av störningar och krissituationer. Det är viktigt att alla har ett högt säkerhetsmedvetande och kritiskt ifrågasätter händelser som kan påverka informationssäkerheten.

5 (5) Skyddsåtgärder ska vara kostnadseffektiva och stå i proportion till värdet av informationen och de negativa konsekvenser en otillräcklig säkerhet kan medföra. Kommunstyrelsen ska följa upp att beslutade åtgärder är genomförda, att uppsatta mål är uppfyllda, att regler och riktlinjer följs, att styrdokument vid behov revideras. Hantering av undantag från antagen policy ska vara förankrade i kommunledningsgruppen och skyndsamt rapporteras till kommunstyrelsen. Incidenter ska omgående rapporteras till informationsägare och systemägare och hanteras skyndsamt och prioriterat. 4 Uppföljning och revidering Informationssäkerhetspolicyn ska revideras vart annat år eller vid behov. I samband med revideringen ska tillhörande riktlinjer och tillämpningsanvisningar revideras på motsvarande sätt. Informationssäkerhetspolicyn ska granskas och revideras enligt rekommendation i LIS.