Informationssäkerhetspolicy i Borlänge kommunkoncern Beslutad av kommunfullmäktige 2012-12-18 238, reviderad 2017-09-19 153
Metadata om dokumentet Dokumentnamn Informationssäkerhetspolicy i Borlänge kommunkoncern Dokumenttyp Policy Omfattar Kommunkoncernen Dokumentägare Kommundirektör Dokumentansvarig Informationssäkerhetssamordnare Publicering Författningssamling, borlange.se, insidan Beslutad 2012-12-18, 238 Giltighetstid Gäller tillsvidare Beslutsinstans Kommunfullmäktige Diarienummer 2017/1974 Revidering 1 2017-09-19, 153 Ändring för att anpassas kommunkoncernövergripande
Innehållsförteckning 1. Inledning... 4 2. Terminologi... 5 3. Grundläggande mål för informationssäkerhetsarbetet... 6 4. Styrning av informationssäkerheten... 7 5. Organisation och Ansvar... 8 6. Risk och konsekvensanalys... 9 7. Uppföljning och mätning av informationssäkerheten... 10 3 (10)
1. Inledning Borlänge kommun, Borlänge Energi, Tunabyggen, Maserhallen och Fastighets AB Hushagens är alla verksamheter som är beroende av att dess information är tillgänglig för rätt person vid rätt tidpunkt samt att den är riktig. Därmed kan informationen utgöra ett bra beslutsunderlag så att vi ska uppnå verksamhetsmål och att kommunmedborgare, kunder, uppdragsgivare, allmänheten och anställda ska ha ett förtroende för koncernen. Informationssäkerhetspolicyn beslutas i kommunfullmäktige för kommunen och i respektive bolagsstyrelse för bolagen och uttrycker ledningens viljeinriktning och mål för informationssäkerhetsarbetet inom koncernen. Samtliga anställda, politiker, extern personal och andra som är i kontakt med koncernens informationstillgångar omfattas av policyn och tillhörande riktlinjer. Policyn ska, av chef eller motsvarande, kommuniceras till samtliga medarbetare, vid nyrekrytering samt om en ny eller reviderad version kommer ut. Det finns flera hot mot våra informationstillgångar och för att säkerställa att informationen är skyddad och riktig finns det informationssäkerhetskrav som behöver uppfyllas. Syftet med denna policy och underliggande instruktioner är att säkerställa att informationssäkerhetskraven uppfylls. Med informationssäkerhet avses skydd av informationstillgångar med syftet att upprätthålla nödvändig nivå gällande tillgänglighet, riktighet, konfidentialitet och spårbarhet. - Riktighet; att informationen ska vara tillförlitlig, korrekt och fullständig. - Tillgänglighet; att informationen ska kunna nyttjas efter behov, i förväntad utsträckning samt av rätt person med rätt behörighet. - Konfidentialitet; skyddas mot obehörig insyn. - Spårbarhet; entydig härledning av utförda aktiviteter till en identifierad användare. Alla som är i kontakt med koncernens information och utrustning har ett ansvar att skydda densamma. Riktlinjerna är obligatoriska att följa och i de fall reglerna inte efterlevs blir följden disciplinära åtgärder. Beslut om vilka åtgärder som ska vidtas fattas av respektive bolags ledning eller kommunens HR-kontor. I de fall man kan förmoda att brott mot lag har begåtts lämnas information till brottsutredande myndighet. Policyn gäller för alla koncernens verksamheter. Lokala överenskommelser/avtal ifråga om informationssäkerhet är inte tillåtna.
2. Terminologi Informationstillgångar är allt som innehåller information och allt som bär på information. Informationssäkerhet är säkerhet beträffande informationstillgångar rörande förmågan att upprätthålla önskad konfidentialitet, riktighet, tillgänglighet och sekretess. Konfidentiell information får inte nås av eller avslöjas för någon obehörig. Oftast gäller det innehållet i en informationstillgång men ibland är även tillgångens existens hemlig. Riktig information innebär att informationen inte får obehörigen förändras, varken av misstag och eller på grund av en funktionsstörning. Tillgänglig information innebär att informationen går att utnyttja av behörig användare när det behövs och så mycket som det behövs. Ett ledningssystem för informationssäkerhet (LIS) är ett verktyg som hjälper oss att upprätta, införa, driva, övervaka, granska, underhålla och förbättra den önskade nivån på informationssäkerhet i vår organisation. 5 (10)
3. Grundläggande mål för informationssäkerhetsarbetet Koncernens informationssäkerhetsarbete syftar till att uppfylla följande mål: Område Mål Medborgares, kunder och intressenters förtroende Verksamhetens informationssäkerhet Författningar Standarder Att genom god informationssäkerhet medverka till att medborgare och andra intressenter ska kunna känna sig trygga vid informationsutbyte med koncernen. Att samtliga anställda inom koncernens verksamheter har kännedom om gällande regelverk beträffande informationssäkerhet. Att koncernen bedriver ett systematiskt förbättringsarbetearbete som resulterar i en god informationssäkerhet vilken är anpassad efter verksamhetens förutsättningar och behov. Att genom ett väl förankrat och integrerat ledningssystem för informationssäkerhet möjliggöra bra service och utveckling, samt ett gott samarbete såväl internt som externt för verksamheten generellt. Att koncernen lever upp till de krav som ställs på informationssäkerheten i lagar, förordningar och föreskrifter för kommunen generellt och för specifika verksamheter, (t.ex. GDPR, Offentlighets- och sekretesslag, Socialtjänstlagen, Skollagen osv) Koncernen använder den svenska, europeiska och globala informationssäkerhetsstandarderna SS-EN-ISO/IEC 27001 resp. 27002 som grund för verksamhetens arbete med informationssäkerhet. 6 (10)
4. Styrning av informationssäkerheten Förutom denna policy finns ett antal instruktioner och riktlinjer som i viss utsträckning behandlar informationssäkerhetsfrågor. Och som går in på mer ämnesspecifika regler som fungerar som ytterligare stöd för användarna och förvaltare i informationshanteringen. Instruktioner (ägare) Berörd Beskrivning Informationssäkerhetsinstruktion Användare (Informationssäkerhetssamord naren) Samtliga anställda, politiker och extern personal som är i kontakt med koncernens information. Instruktionen ska tala om för användaren hur denne rent praktiskt ska använda och hantera koncernensinformation och utrustning för att säkerställa att behovet av skydd uppfylls. Informationssäkerhetsinstruktion Förvaltare (Informationssäkerhetssamord naren) Personer som leder och beslutar om informationssäkerhetsarbetet i koncernen, dvs Systemägare och förvaltare, ledning och Informationssäkerhetssamordnar e Instruktionen beskriver de roller som finns knutna till ett system och till Informationssäkerheten, samt regler för hantering av utrustning, utrymmen m.m. Användarinstruktioner Elever (IT-strateg bildningssektorn) Elever som går i Borlänge kommuns kommunala skolor Elever hanterar inte information på samma sätt som anställda i Borlänge kommun och har därför en egen instruktion för hur de ska hantera informationen. Informationssäkerhetspolicy Informationssäkerhetsriktlinjer Användare Informationssäkerhetsriktlinjer Elever Informationssäkerhetsriktlinjer Förvaltare 7 (10)
5. Organisation och Ansvar Roll Ansvar Uppgifter Medarbetare 1 Följa policy, riktlinjer och instruktioner för Informera sig om, och följa, gällande policy och instruktion informationssäkerhet Rapportera misstänkta incidenter Kommundirektören och VD i respektive bolag Ytterst ansvarig för koncernens och bolagens informationssäkerhet Årligen följa upp det systematiska informationssäkerhetsarbetet i respektive del av koncernen. Fatta övergripande beslut rörande informationssäkerheten Chefer Leda informationssäkerhetsarbetet i sin verksamhet Tillse att verksamheten efterlever fastställd policy, riktlinjer och instruktioner Tillse att deras medarbetare har information och kunskap om koncernens informationssäkerhet. Systemägare och Informationsägare 2 Ansvara för och ställa krav på säkerheten för informationstillgången Identifiera interna och externa krav på informationssäkerheten för tillgången (klassificering) Genomföra riskanalyser Fastställa behovet av skydd för informationstillgången Följa upp att informationssäkerheten är fullgod Utse förvaltare, samt tillse att denne har tillräckligt med resurser för att kunna fullgöra sin delegation Säkerställa att dataskyddsombudet i god tid deltar i alla frågor som rör skyddet av personuppgifter Systemförvaltare Praktiskt handha informationstillgångens informationssäkerhet, på delegation från Systemägaren och Informationsägare Utbilda användare Säkerhetsanalyser Behörighetsadministration Rapportera incidenter 1 Med medarbetare menas anställda, uppdragstagare, politiker. 2 Chef för den verksamhet/enhet där ett system används. För system som används i flera verksamheter utses systemägare explicit. 8 (10)
Dataskyddsombud Reviderande och tillsyn vid behandling av personuppgifter. Samordningsansvar för behandling av personuppgifter i koncernen. Informera och ge råd till personuppgiftsansvarig, personuppgiftsbiträdet och de anställda som behandlar personuppgifter Övervaka efterlevnad av dataskyddsförordningen Ge råd gällande konsekvensbedömning avseende dataskydd Sammarbeta och fungera som kontaktpunkt med tillsynsmyndigheten I frågor som rör behandling av personuppgifter Informationssäkerhetssamordnare Samordningsansvar för informationssäkerheten i koncernen Samordna informationssäkerhetsarbetet i koncernen Förvalta policy och instruktioner för Informationssäkerhet Agera stödjande i informationssäkerhetsfrågor gentemot verksamheten Ta fram underlag för koncernledningens bedömning och beslut om informationssäkerheten Rapportera till koncernledningen vid behov, minst årligen (ledningens genomgång) Planera och samordna Informationssäkerhetsaktiviteter 6. Risk och konsekvensanalys För Borlänge kommunkoncerns informationstillgångar ska det genomföras risk och konsekvensanalyser för att säkerställa att de ges ett tillräckligt skydd. Förutom lagliga krav ska verksamhetens bedömning av informationens värde avseende sekretess, riktighet, tillgänglighet och spårbarhet avgöra omfattningen av det skydd som ska uppnås. Informationsägaren ska se till att riskanalyserna genomförs på egen hand eller med stöd av informationssäkerhetssamordnaren. För att se riskanalysmodell se instruktioner förvaltare. 9 (10)
7. Uppföljning och mätning av informationssäkerheten Kommundirektören och bolagens respektive VD ska löpande informera sig om arbetet med informationssäkerhet. Ledningens genomgång ska genomföras en gång per år för att följa upp och utvärdera informationssäkerhetsarbetet i koncernen. Denna uppföljning ska baseras på underlag med rekommendationer som tas fram av informationssäkerhetssamordnaren. Underlaget ska innefatta information om: - Förändringar utanför kommunen som kan påverka informationssäkerheten - Utbildning (status och behov) - Inträffade incidenter - Analysresultat från granskningar - Aktuella och planerade säkerhetsåtgärder - Rekommendationer till förbättringar Resultatet från denna uppföljning ska innefatta beslut om åtgärder för att förbättra informationssäkerheten samt tilldelning av resurser. 10 (10)