Informationssäkerhetspolicy för Ystads kommun F 17:01

Relevanta dokument
Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

1(6) Informationssäkerhetspolicy. Styrdokument

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Lokal informationssäkerhetspolicy för hälso- och sjukvårdsförvaltningen

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Informationssäkerhetspolicy

Informationssäkerhetspolicy KS/2018:260

Informationssäkerhetspolicy

POLICY INFORMATIONSSÄKERHET

Informationssäkerhetspolicy för Ånge kommun

Informationssäkerhetspolicy. Linköpings kommun

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Informationssäkerhetspolicy

Informationssäkerhetspolicy

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Policy för informations- säkerhet och personuppgiftshantering

Policy för informationssäkerhet

Informationssäkerhetspolicy S/~LA KOMMUN KOMMUNFULLMÄKTIGE. Bi l aga KS 2015 / 135/1 INFORMATIONSSÄKERHETSPOLICY FÖR SALA KOMMUN

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

I Central förvaltning Administrativ enhet

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

1 INLEDNING ALLMÄNT OM INFORMATIONSSÄKERHET MÃL FÖRKOMMUNENS lnformationssäkerhetsarbete ROLLER OCH ANSVAR...

Kommunstyrelsens förslag till antagande av reviderad informationssäkerhetspolicy Ärende 11 KS 2017/336

Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13

Finansinspektionens författningssamling

Informationssäkerhetspolicy

Riktlinjer för Informationssäkerhet Falkenbergs Kommun Kommunledningskontoret

Policy och strategi för informationssäkerhet

Kommunal författningssamling för Smedjebackens kommun. Informationssäkerhetspolicy. 97 Dnr 2016/00447

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Myndigheten för samhällsskydd och beredskaps författningssamling

Policy för informationssäkerhet

Koncernkontoret Enheten för säkerhet och intern miljöledning

Informationssäkerhet - Informationssäkerhetspolicy

Verksamhetsplan Informationssäkerhet

Finansinspektionens författningssamling

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Informationssäkerhetspolicy för Katrineholms kommun

I n fo r m a ti o n ssä k e r h e t

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun

Informationssäkerhetspolicy för Umeå universitet

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad:

Finansinspektionens författningssamling

Dnr

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Informationssäkerhetspolicy

Informationssäkerhetspolicy

EDA KOMMUN. nformationssäkerhet - Informationssäkerhetspolicy

Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen

Informationssäkerhet, Linköpings kommun

Katrineholms kommuns. Informationssäkerhetspo licy. IZatrineholms kommun "- Antagen av kommunfullmäktige , 106

1 (5) Informationssäkerhetspolicy Informationssäkerhetspolicy. Ver 3.0

Informationssäkerhetspolicy

Myndigheten för samhällsskydd och beredskaps författningssamling

Riktlinjer för IT-säkerhet i Halmstads kommun

Stockholms läns landsting 1 O)

Informationssäkerhetspolicy IT (0:0:0)

Välkommen till enkäten!

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Myndigheten för samhällsskydd och beredskaps författningssamling

Informationssäkerhetspolicy

Policy för säkerhetsarbetet i. Södertälje kommun

Fördelning av ansvar för informationssäkerhet. Version: 1. Beslutsinstans: Regiondirektören

Revidering av riktlinjer för Informationssäkerhet vid Högskolan i Skövde

Verket för förvaltningsutvecklings författningssamling ISSN Utgivare: Lena Jönsson, Verva, Box 214, Stockholm

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

SOLLENTUNA FÖRFATTNINGSSAMLING

SÄKERHETSPOLICY FÖR VÄSTERVIKS KOMMUNKONCERN ANTAGEN AV KOMMUNFULLMÄKTIGE , 8

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

Bilaga till rektorsbeslut RÖ28, (5)

Kommunfullmäktige. Föredragningslista. Kallelse Till ersättare och övriga för kännedom. Tid: , kl. 18:00

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

Riktlinjer informationssäkerhet

Intern kontroll. Riktlinjer av Kommunstyrelsen 70. Kommunövergripande. Tills vidare. Kommunchefen

Svar på revisionsskrivelse informationssäkerhet

Reglemente för intern kontroll av ekonomi och verksamhet

Informationsklassning och systemsäkerhetsanalys en guide

BESLUT. Instruktion för informationsklassificering

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Esbo stad Informationssäkerhetspolicy

Regler och instruktioner för verksamheten

Informationssäkerhetspolicy för Nässjö kommun

Vi skyddar din information. Vårt informationssäkerhetsarbete och skydd av personuppgifter

Intern styrning och kontroll Policy

REGLEMENTE FÖR INTERN KONTROLL I YSTADS KOMMUN

Reglemente för internkontroll

REGLER FÖR INTERN KONTROLL

Organisation för samordning av informationssäkerhet IT (0:1:0)

Säkerställa en väl fungerande verksamhet inom kommunen med så få störningar och

Intern kontroll, reglemente och tillämpningsanvisningar,

Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet

Riktlinjer för informationssäkerhet

Styrning och compliance för informationssäkerhet

Transkript:

KS 2017/147 2017.2189 2017-06-29 Informationssäkerhetspolicy för Ystads kommun F 17:01 Dokumentet gäller för: Ystads kommuns nämnder, kommunala bolag och kommunala förbund Gäller fr.o.m. - t.o.m. 2017-08-01-tillsvidare Fastställd av: Kommunfullmäktige 2017-06-14 102 Ersätter: För revidering ansvarar: Kommunfullmäktige Ärendenummer: Ks 2017/147 Ansvarig för uppdatering: IT-avdelningen, IT-chef Tillhör Ystads kfs: Reglementen 1 (6)

Innehåll INLEDNING...3 MÅL...3 OMFATTNING...3 INNEBÖRD...4 SÄKERHETSASPEKTER...4 SKYDDSÅTGÄRDER...4 ANSVAR...5 UPPFÖLJNING OCH REVIDERING...6 2 (6)

Inledning Ystads kommuns verksamhet är grundad på principer om öppenhet, personlig integritet och respekt för individen. Medborgarna ska kunna få insyn i kommunens verksamhet. De ska kunna förlita sig på att den information som kommunen lämnar samt samlar in får ett tillräckligt skydd. Information är en av kommunens mest strategiska resurser. Alla verksamheter är beroende av tillförlitlig information. Avbrott i tillgången till information kan vara kritiskt och felaktig information kan ge allvarliga konsekvenser inom hälso- och sjukvården och inom kommunens övriga ansvarsområden. Utvecklingen med informationshantering i IT-system och nya funktionaliteter innebär förbättringar i många avseenden. Samtidigt innebär beroendet av informationssystem att sårbarheten och riskexponeringen ökar om inte säkerhetsaspekterna beaktas. Därför arbetar Ystads kommun aktivt med informationssäkerhet. Det innebär att se till att informationstillgångar finns tillgängliga när de behövs, att de är korrekta, och att obehöriga inte får åtkomst till dem. Genom att arbeta systematiskt och långsiktigt upprätthåller vi ett tillräckligt skydd som är anpassat efter våra verksamheters förutsättningar och behov. Informationssäkerhetsarbetet syftar till att stödja och säkerställa kommunens verksamhet. Alla medarbetare deltar i detta arbete. Informationssäkerhetsarbetet är en viktig del i kommunens övergripande arbete med intern styrning och kontroll samt riskhantering. Denna policy beskriver de övergripande principer som ska gälla för informationssäkerhetsarbetet i Ystads kommun. Mål Målet för kommunens informationssäkerhetsarbete är att skydda informationen inom verksamheten. Skyddet ska vara anpassat till skyddsvärde, risk och lagkrav och därigenom möjliggöra för verksamheterna att uppnå sina mål. God informationssäkerhet främjar verksamheternas funktionalitet, kvalitet och effektivitet, medborgares rättigheter och personliga integritet, förmågan att förebygga och hantera allvarliga störningar och kriser samt förtroendet för kommunens informationshantering och IT-system. Omfattning Informationssäkerhetspolicyn gäller för hantering av information i alla dess former i Ystads kommun, inklusive bolag och förbund och av samtliga som arbetar på uppdrag av kommunen. Det sistnämnda regleras genom avtal. Informationssäkerhetsarbetet styrs utifrån organisationens verksamhetskrav samt gällande lagar och föreskrifter. Regelverket består av styrande dokument som på övergripande nivå utgörs av denna policy, tillhörande riktlinjer och rutinbeskrivningar. Allt informationssäkerhetsarbete i kommunen utgår från dessa dokument. 3 (6)

Respektive nämnd, styrelse och bolag styr sitt informationssäkerhetsarbete inom dess verksamhetsområde genom nödvändiga processer och rutiner som behövs för att säkerställa att verksamheten uppfyller kraven på en ändamålsenlig informationssäkerhet. De styrande dokumenten på lokal nivå utformas utifrån de övergripande. Utöver detta krävs att Ystads kommun i tillämpliga delar lever upp till gällande lagar och förordningar samt till kommunens övriga styrande dokument. Innebörd Informationssäkerhetsarbetet innebär att värdera all information efter sin känslighet och med hjälp av administrativa och tekniska skyddsåtgärder säkerställa att den finns tillgänglig när den behövs, att den är korrekt och att obehöriga inte kan få tillgång till den. Utöver dessa säkerhetsaspekter måste behov av spårbarhet uppfyllas att i efterhand kunna avgöra vem som tagit del av informationen, vilka förändringar som skett och av vem dessa utförts. Säkerhetsaspekter Konfidentialitet (rätt person): Information får inte göras tillgänglig eller avslöjas på ett sådant sätt att den personliga integriteten eller sekretessen hotas. Riktighet (rätt information): Informationen får inte förändras eller gå förlorad, av misstag, genom inverkan av obehörig eller på grund av tekniskt fel. Tillgänglighet (rätt tid och plats): Informationen ska kunna användas i förväntad utsträckning, inom önskad tid och på rätt plats. Spårbarhet: Händelser i informationsbehandlingen ska kunna spåras. Skyddet av informationstillgångar och informationssystem ska vara utformat så att verksamhetens krav på dessa säkerhetsaspekter uppfylls. Detta gäller även när kommunens information eller informationssystem hanteras av extern part. Skyddsåtgärder För att hitta relevant skyddsnivå utifrån dessa fyra aspekter ska vi arbeta utifrån nedanstående principer: Vi ska arbeta med informationsklassificering där all information klassificeras samt att handlingar och dokument märks. All information ska ha en ägare. Informationsägaren ansvarar för att klassificera informationen och ställa de säkerhetskrav som krävs för informationshantering. Alla informationssystem ska ha en systemägare som ansvarar för att säkerhetskraven på systemet uppfylls. 4 (6)

Omvärlden förändras. Därför ska vi, utifrån återkommande risk- och sårbarhetsanalyser och inträffade incidenter, vidta nödvändiga åtgärder för att se till att vår information har rätt skydd. Vi ska ställa säkerhetskrav inför upphandling, utveckling, användning och avveckling av informationssystem och vi ska följa upp de krav vi ställt. Vi ska arbeta med kontinuitetsplanering och ha beredskap för avbrott. Våra kritiska verksamheter ska kunna upprätthållas på fastställd nivå vid olika typer av katastrofsituationer, störningar och avbrott. Alla anställda ska veta vad det egna ansvaret omfattar och ha god kunskap om vilka säkerhetsregler som gäller. Detsamma gäller när tillfällig eller extern personal anlitas. Det är viktigt att alla har ett högt säkerhetsmedvetande och kritiskt ifrågasätter händelser som kan påverka informationssäkerheten. Skyddsåtgärder skall vara kostnadseffektiva och stå i proportion till värdet av informationen och de negativa konsekvenser en alltför liten säkerhet kan medföra. Kontinuerlig uppföljning ska ske mot fastställda regler. Ansvar Kommunfullmäktige fastställer den informationssäkerhetspolicy som ska gälla för kommunen. Kommunstyrelsen ansvarar för att kommunens informationssäkerhetspolicy och riktlinjer för informationssäkerheten utarbetas och hålls aktuella. Kommunstyrelsen ansvarar också för samordningen av informationssäkerhetsarbetet i kommunen och ska därför årligen fastställa en övergripande handlingsplan för informationssäkerhetsarbetet. Kommundirektören har kommunstyrelsens uppdrag att sörja för att informationssäkerhetsarbetet bedrivs så effektivt som möjligt. Kommundirektören ansvarar för att övergripande tillämpningsanvisningar utarbetas och hålls aktuella i enlighet med policy och riktlinjer. Informationssäkerhetsansvarig verkställer samordningen av informationssäkerhetsarbetet inom kommunen och förvaltar denna policy, de tillhörande riktlinjerna och tillämpningsanvisningarna samt den övergripande handlingsplanen för informationssäkerhet. Varje nämnd och styrelse är ansvarig för informationssäkerheten inom sitt verksamhetsområde och ska därför i enlighet med tillämpningsanvisningar anta verksamhetsnära styrdokument för informationssäkerhet. Det åligger även varje nämnd och styrelse att årligen planlägga och löpande följa upp informationssäkerheten och i övrigt vidta de åtgärder som krävs för att uppnå och upprätthålla tillräcklig intern kontroll. 5 (6)

Förvaltningschef/VD ska säkerställa att all informationshantering inom den egna verksamheten sker i enlighet med denna policy samt tillhörande riktlinjer och tillämpningsanvisningar för informationssäkerhet. Informationssäkerhetssamordnare ska utses inom varje förvaltning och bolag och ges i ansvar att samordna och följa upp det för organisationen och verksamheten gemensamma informationssäkerhetsarbetet. Varje anställd ansvarar för att uppställda säkerhetsregler följs samt att störningar och fel i informationssystem, utrustningar och informationsinnehåll rapporteras enligt fastställda rutiner. Informationssäkerhetsrådets uppgift är att främja, stödja, samordna och följa upp kommunens informationssäkerhetsarbete på en övergripande nivå. Uppföljning och revidering Uppföljning och revidering av denna policy ska ske regelbundet. I samband med revidering ska tillhörande riktlinjer och tillämpningsanvisningar samt handlingsplanen för informationssäkerhet revideras på motsvarande sätt. 6 (6)

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss