Informationssäkerhetspolicy för Ånge kommun

Relevanta dokument
Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Remissutgåva. Program för informationssäkerhet

Informationssäkerhetspolicy för Ystads kommun F 17:01

1 INLEDNING ALLMÄNT OM INFORMATIONSSÄKERHET MÃL FÖRKOMMUNENS lnformationssäkerhetsarbete ROLLER OCH ANSVAR...

Informationssäkerhetspolicy KS/2018:260

Informationssäkerhetspolicy

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy. Linköpings kommun

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Informationssäkerhetspolicy

POLICY INFORMATIONSSÄKERHET

Informationssäkerhetspolicy

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Informationssäkerhet - Informationssäkerhetspolicy

Informationssäkerhetspolicy

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Informationssäkerhetspolicy S/~LA KOMMUN KOMMUNFULLMÄKTIGE. Bi l aga KS 2015 / 135/1 INFORMATIONSSÄKERHETSPOLICY FÖR SALA KOMMUN

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

1(6) Informationssäkerhetspolicy. Styrdokument

Riktlinjer för Informationssäkerhet Falkenbergs Kommun Kommunledningskontoret

Dnr

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

EDA KOMMUN. nformationssäkerhet - Informationssäkerhetspolicy

Informationssäkerhetspolicy

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

Regler och instruktioner för verksamheten

Informationssäkerhetspolicy för Katrineholms kommun

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

Policy för informations- säkerhet och personuppgiftshantering

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

IT-säkerhetspolicy Instruktion Kommunfullmäktige. Senast reviderad Beskriver IT-säkerhetarbetet.

RIKTLINJER FÖR IT-SÄKERHET

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Informationssäkerhetspolicy

Informationssäkerhetspolicy

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhetspolicy

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

Katrineholms kommuns. Informationssäkerhetspo licy. IZatrineholms kommun "- Antagen av kommunfullmäktige , 106

1 (5) Informationssäkerhetspolicy Informationssäkerhetspolicy. Ver 3.0

Policy för informationssäkerhet

Riktlinjer för IT-säkerhet i Halmstads kommun

Välkommen till enkäten!

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun

Kommunstyrelsens förslag till antagande av reviderad informationssäkerhetspolicy Ärende 11 KS 2017/336

Policy och strategi för informationssäkerhet

I Central förvaltning Administrativ enhet

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

Informationssäkerhetspolicy

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Verksamhetsplan Informationssäkerhet

Informationssäkerhetspolicy för Nässjö kommun

INFORMATIONSSÄKERHET 1 INLEDNING MÅL FÖR IT-SÄKERHETSARBETET... 2

Myndigheten för samhällsskydd och beredskaps författningssamling

Informationssäkerhet, Linköpings kommun

Kommunal författningssamling för Smedjebackens kommun. Informationssäkerhetspolicy. 97 Dnr 2016/00447

Reglemente Fastställd i Kommunfullmäktige

Piteå kommuns styrande dokument

Riktlinjer för säkerhetsarbetet i Älvsbyns kommun

Informationssäkerhetspolicy

Handlingsplan för persondataskydd

Reglemente för internkontroll

IT-SÄKERHETSPOLICY. Stadskontoret. 1 Inledning Definition Omfattning Mål för IT-säkerhetsarbetet... 2

Policy för informationssäkerhet

IT-säkerhetspolicy. Fastställd av KF

Administrativ säkerhet

Fördelning av ansvar för informationssäkerhet. Version: 1. Beslutsinstans: Regiondirektören

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Informationssäkerhetspolicy för Umeå universitet

Bilaga till rektorsbeslut RÖ28, (5)

Informationsklassning och systemsäkerhetsanalys en guide

Intern kontroll, reglemente och tillämpningsanvisningar,

Koncernkontoret Enheten för säkerhet och intern miljöledning

Informationssäkerhetspolicy för Vetlanda kommun

Informationssäkerhetspolicy IT (0:0:0)

Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13

IT-Säkerhetspolicy för Munkfors, Forshaga, Kils och Grums kommun

Intern kontroll. Riktlinjer av Kommunstyrelsen 70. Kommunövergripande. Tills vidare. Kommunchefen

Policy för Piteå kommuns styrande dokument

Uppdaterad Policy för styrdokument

Riktlinjer för styrdokument Örebro kommun

Riktlinjer för styrdokument i Hallsbergs kommun

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

REGLEMENTE INTERN KONTROLL

Policy för Essunga kommuns internkontroll

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

Vi skyddar din information. Vårt informationssäkerhetsarbete och skydd av personuppgifter

Program Strategi Policy Riktlinje. Riktlinjer för politiska styrdokument

Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Säkerhetspolicy i Linköpings kommun

Finansinspektionens författningssamling

myndigheter En andra granskning av informationssäkerhet i staten RiR 2016:8 Informationssäkerhetsarbete

Revidering av riktlinjer för Informationssäkerhet vid Högskolan i Skövde

Myndigheten för samhällsskydd och beredskaps författningssamling

Transkript:

INFORMATIONSSÄKERHETSPOLICY 1 (10) Informationssäkerhetspolicy för Ånge kommun Denna informationssäkerhetspolicy anger hur Ånge kommun arbetar med informationssäkerhet och uttrycker kommunens stöd för och syn på informationssäkerhet.

2 (10) Dokumentnamn Informationssäkerhetspolicy Dokumenttyp Policy Omfattar Ånge kommun Dokumentägare Kommunchefen Dokumentansvarig Informationssäkerhetssamordnaren Publicering Intranät och internet Informationsklass allmän Fastställd KF, 91 Giltighetstid Uppföljning sker senast år 2023 Beslutsinstans Kommunfullmäktige Diarienummer Denna policy upphäver tidigare Informationssäkerhetspolicy KS 2009-02-04 14 Ånge kommuns dokumentstruktur: Politiska styrdokument: Styrdokument tjänstemannanivå: Reglemente Strategi Mål och prioriteringar, ekonomisk plan (Budgetdokumentet) Policy Plan, handlingsplan, åtgärdsplan Politiska riktlinjer Plan, handlingsplan, åtgärdsplan Riktlinjer Rutiner Regler Instruktioner

3 (10) Innehållsförteckning 1 Kommunens syn på informationssäkerhet... 4 2 Bakgrund... 5 3 Omfattning... 6 4 Grundläggande mål för informationssäkerhetsarbetet 6 5 Styrning av informationssäkerheten... 8 6 Organisation, roller och ansvar... 8 6.1 Organisation av informationssäkerhetsarbetet... 9 7 Uppföljning... 10

4 (10) 1 Kommunens syn på informationssäkerhet Informationssäkerhetspolicyn redovisar kommunens viljeinriktning och stöd för Informationssäkerhetsarbetet och syftar till att klarlägga mål, organisation, ansvar och roller samt riktlinjer för områden av särskild betydelse Informationssäkerhetsarbetet stödjer kommunens strategiska inriktning samt ingår som en del i kommunens process för ledning och styrning. Information är en av kommunens mest strategiska resurser. Alla verksamheter är beroende av tillförlitlig information. Avbrott i tillgänglighet till information kan vara kritiskt och felaktig information kan ge allvarliga konsekvenser för kommunens verksamhet eller tredje part. Ledning och styrning av informationssäkerheten konkretiseras i ett ledningssystem för informationssäkerhet som säkerställer rätt nivå på informationssäkerhetsarbetet. Kraven på informationssäkerheten utgår från kommunens och verksamhetens krav på funktion och tillämplighet liksom legala krav, förordningar, föreskrifter, avtal och säkerhetskrav. Med rätt informationssäkerhet uppnås hög kvalitet och god effektivitet i det dagliga arbetet. Risken för störning ska minimeras samtidigt som skydd och åtgärd kontinuerligt balanseras mot kostnader. Insatser utgår från verksamhetens behov och är en del av kommunens totala riskhantering. Kommunstyrelsen fastställer vilka system som är samhällsviktiga. Definitionen av samhällsviktiga system är den information som vid ett bortfall eller en svår störning kan leda till stor risk eller fara för befolkningens liv och hälsa, samhällets funktionalitet eller samhällets grundläggande värden. Dessa system ska genomgå en systemsäkerhetsanalys som utgör underlag för systemägares beslut om driftgodkännande. Ånge kommun följer etablerade standarder och vägledningar för informationssäkerhet. Policyn ska, av chef eller av denne utsedd person kommuniceras till samtliga anställda vid nyanställning samt när policyn är ny eller reviderad. Policyn ska vara känd och tillgänglig i aktuell version på kommunens Intranät och på kommunens hemsida. Avtal och överenskommelser får inte skrivas som åsidosätter kraven i denna policy. Informationssäkerhetspolicyn ska fastställas i fullmäktige.

5 (10) 2 Bakgrund Kommunens alla verksamheter är beroende av att information är tillgänglig för rätt person vid rätt tidpunkt samt att den är korrekt och riktig samt utgör ett bra verksamhetsstöd. Det finns många hot mot våra informationstillgångar. För att säkerställa att informationen är skyddad finns det särskilda informationssäkerhetskrav som behöver uppfyllas. Med informationssäkerhet avses skydd av informationstillgångar i syfte att upprätthålla nödvändig nivå på sekretess, riktighet, tillgänglighet och spårbarhet. Sekretess, att information skyddas för obehörig insyn Riktighet, att information är tillförlitlig, korrekt och fullständig Tillgänglighet, att information är nåbar vid rätt tillfälle Spårbarhet, att specifika aktiviteter som rör information kan spåras Enkelt uttryckt kan informationssäkerhet delas upp i två delar. Den administrativa säkerheten består av styrning, organisation, roller och ansvar, liksom regelverk, processer och systematik. Den tekniska säkerheten är den delen som generellt beskrivs som IT-säkerhet. Här återfinns nätverk, servrar, arbetsstationer, hård- och mjukvara samt serverrum och utrymme för reservkraft, säkerhetskopior etc. Bilden nedan illustrerar skillnaden på administrativ och teknisk säkerhet.

6 (10) Den tekniska säkerheten förutsätter att det finns en administrativ säkerhet för att rätt tekniska åtgärder ska kunna vidtas. IT-säkerhet är alltså endast en mindre del av informationssäkerhetsbegreppet. 3 Omfattning Denna informationssäkerhetspolicy gäller för all verksamhet inom Ånge kommun, inklusive bolag. Samtliga anställda, politiker och extern personal omfattas av policyn och dess tillhörande instruktioner. Med informationstillgång avses all information oavsett om den behandlas i ett IT-system, förkommer på ett utskrivet papper, i ett anteckningsblock, som ett samtal i korridoren eller i telefonen. Även film, ljud och bild omfattas av informationssäkerhetsbegreppet. Informationssäkerhet omfattar alla kommunens informationstillgångar. 4 Grundläggande mål för informationssäkerhetsarbetet Ånge kommuns informationssäkerhetsarbete syftar till att uppfylla följande mål. Medborgares och intressenters förtroende Verksamhetens informationssäkerhet Informationssäkerhet ska bidra till att medborgare och andra intressenter ska känna sig trygga vid informationsutbyte med kommunen och vår förmåga att hantera känsliga personuppgifter. Samtliga anställda inom kommunens verksamheter ska ha kännedom och kunskap om aktuellt regelverk beträffande informationssäkerhet. Att grunden för ett systematiskt arbete resulterar i en god informationssäkerhet som är anpassad efter verksamhetens förutsättningar och behov. Det systematiska informationssäkerhetsarbetet ska minst omfatta informationsklassning, hot- och riskanalys, incidenthantering, kontinuitetsplaner samt uppföljning, åtgärder och återkoppling.

7 (10) Oväntade händelser i IT-systemen som kan leda till negativa konsekvenser ska minimeras och förebyggas. Det ska finnas en kommunikationsplan som aktiveras vid händelser som har påverkan på informationssäkerheten. Investeringar och information ska skyddas i paritet med dess värde med beaktande av de negativa konsekvenser som otillräcklig säkerhet kan medföra. Det ska finnas dokumentation av samtliga IT-system. Författningar Uppfylla de krav som ställs på informationssäkerheten i lagar, förordningar och föreskrifter. Standarder Arbetet med informationssäkerhet ska följa etablerade standarder för informationssäkerhet Krishantering Hoten mot informationstillgångarna ska fortlöpande analyseras och informationssäkerheten ses som en del av kommunens krishanteringsplan, i syfte att stärka förmågan att driva verksamheten vidare i händelse av en kris. Samhällsviktiga system Obligatoriskt att systemsäkerhetsanalys ska genomföras Hotbilden ska löpande analyseras och följas upp Förebyggande åtgärder ska vidtagas Kontrolleras så att krishanteringsförmågan upprätthålls Allvarliga incidenter ska anmälas till tjänsteman i beredskap (TIB)

8 (10) 5 Styrning av informationssäkerheten Informationssäkerhetspolicyn är det övergripande dokumentet som styr kommunens informationssäkerhet. Policyn anger informationssäkerhetens betydelse för kommunen och motsvarar den översta delen i pyramiden. Ett exempel är att kommunen uttrycker att information ska vara tillgänglig och återläsningsbart. Riktlinjerna beskriver vad som behöver göras för att efterleva informationssäkerhetspolicyn. Riktlinjerna motsvarar den mellersta nivån i pyramiden. Ett exempel på riktlinjer är t.ex. att säkerhetskopiering ska genomföras. Baserat på riktlinjerna utformas instruktioner, rutiner och anvisningar som anger hur rutiner och säkerhetslösningar ska utformas och tillämpas. Detta motsvarar pyramidens lägsta nivå. Den samlade dokumentationen tillsammans med de processer som ingår i ett systematiskt informationssäkerhetsarbete utgör ett ledningssystem för informationssäkerhet. 6 Organisation, roller och ansvar Organisation, roller och fördelning av ansvar ska säkerställa att IT-system och tjänster kan administreras och hanteras på ett sådant sätt att det under hela sin livstid bidrar till att stödja avsedd verksamhet och uppfylla informationssäkerhetspolicyns mål. All information ska klassificeras utifrån dess krav på konfidentialitet (sekretess), riktighet, tillgänglighet och spårbarhet. Beroende på vilken klassificering som råder för en viss typ av information ska IT-system, tjänster, program och informationsmängder vara identifierade och förtecknade.

9 (10) Kommunchefen (i samråd med förvaltningschef) utser systemägare och informationsägare. 6.1 Organisation av informationssäkerhetsarbetet Kommunfullmäktige uttrycker sin viljeinriktning i denna policy. Kommunstyrelsen har det yttersta ansvaret för kommunens informationssäkerhetsarbete. Närmsta chef ansvarar för att det finns rutiner som säkerställer en god efterlevnad av kommunens regelverk för informationssäkerhet. Informationssäkerhetssamordnaren har det övergripande och strategiska ansvaret att leda, utveckla och samordna informationssäkerhetsarbetet. Informationsägarna har det övergripande och yttersta ansvaret för informationen. Informationsägaren avgör vilken information som får hanteras, hur den hanteras och av vem. Systemägarna har övergripande ansvar för respektive system och dess användning. System ska uppfylla informationssäkerhetskraven i förhållande till verksamhetens behov, legala krav och säkerhetskrav. Systemens informationsmängder ska klassificeras. Systemförvaltarna har det funktionella helhetsansvaret för ett system. Systemförvaltaren fungerar i hög grad som systemägarens utförare och ser till att systemets funktionalitet upprätthålls samt att planerade och beslutade aktiviteter genomförs i det dagliga arbetet. Alla som hanterar informationstillgångar har ett ansvar för att informationssäkerheten upprätthålls. IT-chefen eller motsvarande har det operativa ansvaret för att uppfylla de krav som verksamheten ställer på den tekniska ITinfrastrukturen. IT-chefen eller motsvarande har ett särskilt ansvar för den tekniska IT-säkerheten. Arbetar i nära samverkan med informationssäkerhetssamordnaren. IT-säkerhet är den miljö som faller under begreppet IT-infrastruktur. Informationssäkerhetsråd eller motsvarande samordnar och planerar övergripande aktiviteter och är rådgivande till ledningen och kommunens förvaltningar

10 (10) 7 Uppföljning Kommunstyrelsen/ledningen ska minst en gång per år informera sig om hur arbetet med informationssäkerhet går. Genomgången görs vid den årliga aktiviteten ledningens genomgång. Uppföljningen ska baseras på underlag med rekommendationer som tas fram av informationssäkerhetssamordnaren. Underlaget ska innefatta information om: - Förändringar utanför kommunen som kan påverka informationssäkerheten - Utbildning (status och behov) - Inträffade incidenter av större påverkan på verksamheten. - Resultat från genomförda granskningar - Aktuella och planerade säkerhetsåtgärder - Rekommendationer till förbättringar Resultatet från denna uppföljning ska innefatta beslut om åtgärder för att förbättra informationssäkerheten samt tilldelning av resurser. Om misstanke om oegentlighet uppstår ska detta utan fördröjning anmälas till närmaste chef. I de fall regler inte följs kan följden bli disciplinära åtgärder. Om man kan förmoda att brott mot lag har begåtts lämnas information till brottsutredande myndighet.

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss