Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Relevanta dokument
Informationssäkerhetspolicy för Ånge kommun

1(6) Informationssäkerhetspolicy. Styrdokument

Informationssäkerhetspolicy. Linköpings kommun

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

1 INLEDNING ALLMÄNT OM INFORMATIONSSÄKERHET MÃL FÖRKOMMUNENS lnformationssäkerhetsarbete ROLLER OCH ANSVAR...

Informationssäkerhetspolicy

Informationssäkerhetspolicy KS/2018:260

Informationssäkerhetspolicy för Ystads kommun F 17:01

Revidering av riktlinjer för Informationssäkerhet vid Högskolan i Skövde

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Policy för informations- säkerhet och personuppgiftshantering

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy

Informationssäkerhetspolicy S/~LA KOMMUN KOMMUNFULLMÄKTIGE. Bi l aga KS 2015 / 135/1 INFORMATIONSSÄKERHETSPOLICY FÖR SALA KOMMUN

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

POLICY INFORMATIONSSÄKERHET

Informationssäkerhetspolicy

Kommunal författningssamling för Smedjebackens kommun. Informationssäkerhetspolicy. 97 Dnr 2016/00447

Remissutgåva. Program för informationssäkerhet

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun

Policy för informationssäkerhet

Regler och instruktioner för verksamheten

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Informationssäkerhetspolicy för Katrineholms kommun

Verksamhetsplan Informationssäkerhet

Informationssäkerhetspolicy

Vi skyddar din information. Vårt informationssäkerhetsarbete och skydd av personuppgifter

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Kommunstyrelsens förslag till antagande av reviderad informationssäkerhetspolicy Ärende 11 KS 2017/336

Handlingsplan för persondataskydd

Koncernkontoret Enheten för säkerhet och intern miljöledning

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

1 (5) Informationssäkerhetspolicy Informationssäkerhetspolicy. Ver 3.0

Riktlinjer för Informationssäkerhet Falkenbergs Kommun Kommunledningskontoret

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Informationssäkerhetspolicy

Informationssäkerhetsinstruktion för användare i Borlänge kommunkoncern

Dnr

Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13

Informationssäkerhetspolicy för Umeå universitet

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Informationssäkerhet - Informationssäkerhetspolicy

Myndigheten för samhällsskydd och beredskaps författningssamling

Myndigheten för samhällsskydd och beredskaps författningssamling

Ett eller flera dataskyddsombud?

Informationssäkerhetspolicy

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Behandling av personuppgifter enligt dataskyddslagstiftningen. Riktlinjer

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhetspolicy

Policy för informationssäkerhet

Organisation för samordning av informationssäkerhet IT (0:1:0)

Fördelning av ansvar för informationssäkerhet. Version: 1. Beslutsinstans: Regiondirektören

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

I Central förvaltning Administrativ enhet

Lokal informationssäkerhetspolicy för hälso- och sjukvårdsförvaltningen

Policy för informationssäkerhet och dataskydd 2018

Finansinspektionens författningssamling

Policy för intern styrning och kontroll

Riktlinjer för personuppgiftshantering

Informationssäkerhetspolicy

Borlänge kommun. Internkontroll KS Kontrollområde: Tydlig rubricering av ärenden, Nämndservice. Beslutad av kommunstyrelsen

EDA KOMMUN. nformationssäkerhet - Informationssäkerhetspolicy

Informationssäkerhetspolicy

Bilaga till rektorsbeslut RÖ28, (5)

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

Välkommen till enkäten!

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Riktlinjer för hantering av personuppgifter

Riktlinjer för dataskydd

Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet

Riktlinjer informationssäkerhet

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

Informationssäkerhetspolicy IT (0:0:0)

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Intern styrning och kontroll Policy

Katrineholms kommuns. Informationssäkerhetspo licy. IZatrineholms kommun "- Antagen av kommunfullmäktige , 106

Upprättad Antagen Ks , 97 Senast reviderad. Dataskyddspolicy Hur vi inom Kiruna kommunkoncern ska behandla personuppgifter

Ledningssystem för Informationssäkerhet

Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen

Reglemente Fastställd i Kommunfullmäktige

SÄKERHETSPOLICY FÖR VÄSTERVIKS KOMMUNKONCERN ANTAGEN AV KOMMUNFULLMÄKTIGE , 8

Information till personuppgiftsansvarig om dataskyddsombud

Administrativ säkerhet

Informationssäkerhetspolicy

Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad:

Informationsklassning och systemsäkerhetsanalys en guide

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

Reglemente för internkontroll

Ledningssystem för Informationssäkerhet

Policy och strategi för informationssäkerhet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Finansinspektionens författningssamling

Intern kontroll, reglemente och tillämpningsanvisningar,

Författningssamling i Borlänge kommun. AB Stora Tunabyggen Bolagsordning. Beslutad av kommunfullmäktige , 245

Transkript:

Informationssäkerhetspolicy i Borlänge kommunkoncern Beslutad av kommunfullmäktige 2012-12-18 238, reviderad 2017-09-19 153

Metadata om dokumentet Dokumentnamn Informationssäkerhetspolicy i Borlänge kommunkoncern Dokumenttyp Policy Omfattar Kommunkoncernen Dokumentägare Kommundirektör Dokumentansvarig Informationssäkerhetssamordnare Publicering Författningssamling, borlange.se, insidan Beslutad 2012-12-18, 238 Giltighetstid Gäller tillsvidare Beslutsinstans Kommunfullmäktige Diarienummer 2017/1974 Revidering 1 2017-09-19, 153 Ändring för att anpassas kommunkoncernövergripande

Innehållsförteckning 1. Inledning... 4 2. Terminologi... 5 3. Grundläggande mål för informationssäkerhetsarbetet... 6 4. Styrning av informationssäkerheten... 7 5. Organisation och Ansvar... 8 6. Risk och konsekvensanalys... 9 7. Uppföljning och mätning av informationssäkerheten... 10 3 (10)

1. Inledning Borlänge kommun, Borlänge Energi, Tunabyggen, Maserhallen och Fastighets AB Hushagens är alla verksamheter som är beroende av att dess information är tillgänglig för rätt person vid rätt tidpunkt samt att den är riktig. Därmed kan informationen utgöra ett bra beslutsunderlag så att vi ska uppnå verksamhetsmål och att kommunmedborgare, kunder, uppdragsgivare, allmänheten och anställda ska ha ett förtroende för koncernen. Informationssäkerhetspolicyn beslutas i kommunfullmäktige för kommunen och i respektive bolagsstyrelse för bolagen och uttrycker ledningens viljeinriktning och mål för informationssäkerhetsarbetet inom koncernen. Samtliga anställda, politiker, extern personal och andra som är i kontakt med koncernens informationstillgångar omfattas av policyn och tillhörande riktlinjer. Policyn ska, av chef eller motsvarande, kommuniceras till samtliga medarbetare, vid nyrekrytering samt om en ny eller reviderad version kommer ut. Det finns flera hot mot våra informationstillgångar och för att säkerställa att informationen är skyddad och riktig finns det informationssäkerhetskrav som behöver uppfyllas. Syftet med denna policy och underliggande instruktioner är att säkerställa att informationssäkerhetskraven uppfylls. Med informationssäkerhet avses skydd av informationstillgångar med syftet att upprätthålla nödvändig nivå gällande tillgänglighet, riktighet, konfidentialitet och spårbarhet. - Riktighet; att informationen ska vara tillförlitlig, korrekt och fullständig. - Tillgänglighet; att informationen ska kunna nyttjas efter behov, i förväntad utsträckning samt av rätt person med rätt behörighet. - Konfidentialitet; skyddas mot obehörig insyn. - Spårbarhet; entydig härledning av utförda aktiviteter till en identifierad användare. Alla som är i kontakt med koncernens information och utrustning har ett ansvar att skydda densamma. Riktlinjerna är obligatoriska att följa och i de fall reglerna inte efterlevs blir följden disciplinära åtgärder. Beslut om vilka åtgärder som ska vidtas fattas av respektive bolags ledning eller kommunens HR-kontor. I de fall man kan förmoda att brott mot lag har begåtts lämnas information till brottsutredande myndighet. Policyn gäller för alla koncernens verksamheter. Lokala överenskommelser/avtal ifråga om informationssäkerhet är inte tillåtna.

2. Terminologi Informationstillgångar är allt som innehåller information och allt som bär på information. Informationssäkerhet är säkerhet beträffande informationstillgångar rörande förmågan att upprätthålla önskad konfidentialitet, riktighet, tillgänglighet och sekretess. Konfidentiell information får inte nås av eller avslöjas för någon obehörig. Oftast gäller det innehållet i en informationstillgång men ibland är även tillgångens existens hemlig. Riktig information innebär att informationen inte får obehörigen förändras, varken av misstag och eller på grund av en funktionsstörning. Tillgänglig information innebär att informationen går att utnyttja av behörig användare när det behövs och så mycket som det behövs. Ett ledningssystem för informationssäkerhet (LIS) är ett verktyg som hjälper oss att upprätta, införa, driva, övervaka, granska, underhålla och förbättra den önskade nivån på informationssäkerhet i vår organisation. 5 (10)

3. Grundläggande mål för informationssäkerhetsarbetet Koncernens informationssäkerhetsarbete syftar till att uppfylla följande mål: Område Mål Medborgares, kunder och intressenters förtroende Verksamhetens informationssäkerhet Författningar Standarder Att genom god informationssäkerhet medverka till att medborgare och andra intressenter ska kunna känna sig trygga vid informationsutbyte med koncernen. Att samtliga anställda inom koncernens verksamheter har kännedom om gällande regelverk beträffande informationssäkerhet. Att koncernen bedriver ett systematiskt förbättringsarbetearbete som resulterar i en god informationssäkerhet vilken är anpassad efter verksamhetens förutsättningar och behov. Att genom ett väl förankrat och integrerat ledningssystem för informationssäkerhet möjliggöra bra service och utveckling, samt ett gott samarbete såväl internt som externt för verksamheten generellt. Att koncernen lever upp till de krav som ställs på informationssäkerheten i lagar, förordningar och föreskrifter för kommunen generellt och för specifika verksamheter, (t.ex. GDPR, Offentlighets- och sekretesslag, Socialtjänstlagen, Skollagen osv) Koncernen använder den svenska, europeiska och globala informationssäkerhetsstandarderna SS-EN-ISO/IEC 27001 resp. 27002 som grund för verksamhetens arbete med informationssäkerhet. 6 (10)

4. Styrning av informationssäkerheten Förutom denna policy finns ett antal instruktioner och riktlinjer som i viss utsträckning behandlar informationssäkerhetsfrågor. Och som går in på mer ämnesspecifika regler som fungerar som ytterligare stöd för användarna och förvaltare i informationshanteringen. Instruktioner (ägare) Berörd Beskrivning Informationssäkerhetsinstruktion Användare (Informationssäkerhetssamord naren) Samtliga anställda, politiker och extern personal som är i kontakt med koncernens information. Instruktionen ska tala om för användaren hur denne rent praktiskt ska använda och hantera koncernensinformation och utrustning för att säkerställa att behovet av skydd uppfylls. Informationssäkerhetsinstruktion Förvaltare (Informationssäkerhetssamord naren) Personer som leder och beslutar om informationssäkerhetsarbetet i koncernen, dvs Systemägare och förvaltare, ledning och Informationssäkerhetssamordnar e Instruktionen beskriver de roller som finns knutna till ett system och till Informationssäkerheten, samt regler för hantering av utrustning, utrymmen m.m. Användarinstruktioner Elever (IT-strateg bildningssektorn) Elever som går i Borlänge kommuns kommunala skolor Elever hanterar inte information på samma sätt som anställda i Borlänge kommun och har därför en egen instruktion för hur de ska hantera informationen. Informationssäkerhetspolicy Informationssäkerhetsriktlinjer Användare Informationssäkerhetsriktlinjer Elever Informationssäkerhetsriktlinjer Förvaltare 7 (10)

5. Organisation och Ansvar Roll Ansvar Uppgifter Medarbetare 1 Följa policy, riktlinjer och instruktioner för Informera sig om, och följa, gällande policy och instruktion informationssäkerhet Rapportera misstänkta incidenter Kommundirektören och VD i respektive bolag Ytterst ansvarig för koncernens och bolagens informationssäkerhet Årligen följa upp det systematiska informationssäkerhetsarbetet i respektive del av koncernen. Fatta övergripande beslut rörande informationssäkerheten Chefer Leda informationssäkerhetsarbetet i sin verksamhet Tillse att verksamheten efterlever fastställd policy, riktlinjer och instruktioner Tillse att deras medarbetare har information och kunskap om koncernens informationssäkerhet. Systemägare och Informationsägare 2 Ansvara för och ställa krav på säkerheten för informationstillgången Identifiera interna och externa krav på informationssäkerheten för tillgången (klassificering) Genomföra riskanalyser Fastställa behovet av skydd för informationstillgången Följa upp att informationssäkerheten är fullgod Utse förvaltare, samt tillse att denne har tillräckligt med resurser för att kunna fullgöra sin delegation Säkerställa att dataskyddsombudet i god tid deltar i alla frågor som rör skyddet av personuppgifter Systemförvaltare Praktiskt handha informationstillgångens informationssäkerhet, på delegation från Systemägaren och Informationsägare Utbilda användare Säkerhetsanalyser Behörighetsadministration Rapportera incidenter 1 Med medarbetare menas anställda, uppdragstagare, politiker. 2 Chef för den verksamhet/enhet där ett system används. För system som används i flera verksamheter utses systemägare explicit. 8 (10)

Dataskyddsombud Reviderande och tillsyn vid behandling av personuppgifter. Samordningsansvar för behandling av personuppgifter i koncernen. Informera och ge råd till personuppgiftsansvarig, personuppgiftsbiträdet och de anställda som behandlar personuppgifter Övervaka efterlevnad av dataskyddsförordningen Ge råd gällande konsekvensbedömning avseende dataskydd Sammarbeta och fungera som kontaktpunkt med tillsynsmyndigheten I frågor som rör behandling av personuppgifter Informationssäkerhetssamordnare Samordningsansvar för informationssäkerheten i koncernen Samordna informationssäkerhetsarbetet i koncernen Förvalta policy och instruktioner för Informationssäkerhet Agera stödjande i informationssäkerhetsfrågor gentemot verksamheten Ta fram underlag för koncernledningens bedömning och beslut om informationssäkerheten Rapportera till koncernledningen vid behov, minst årligen (ledningens genomgång) Planera och samordna Informationssäkerhetsaktiviteter 6. Risk och konsekvensanalys För Borlänge kommunkoncerns informationstillgångar ska det genomföras risk och konsekvensanalyser för att säkerställa att de ges ett tillräckligt skydd. Förutom lagliga krav ska verksamhetens bedömning av informationens värde avseende sekretess, riktighet, tillgänglighet och spårbarhet avgöra omfattningen av det skydd som ska uppnås. Informationsägaren ska se till att riskanalyserna genomförs på egen hand eller med stöd av informationssäkerhetssamordnaren. För att se riskanalysmodell se instruktioner förvaltare. 9 (10)

7. Uppföljning och mätning av informationssäkerheten Kommundirektören och bolagens respektive VD ska löpande informera sig om arbetet med informationssäkerhet. Ledningens genomgång ska genomföras en gång per år för att följa upp och utvärdera informationssäkerhetsarbetet i koncernen. Denna uppföljning ska baseras på underlag med rekommendationer som tas fram av informationssäkerhetssamordnaren. Underlaget ska innefatta information om: - Förändringar utanför kommunen som kan påverka informationssäkerheten - Utbildning (status och behov) - Inträffade incidenter - Analysresultat från granskningar - Aktuella och planerade säkerhetsåtgärder - Rekommendationer till förbättringar Resultatet från denna uppföljning ska innefatta beslut om åtgärder för att förbättra informationssäkerheten samt tilldelning av resurser. 10 (10)

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss