Informationssäkerhetspolicy KS/2018:260

Relevanta dokument
Informationssäkerhetspolicy

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Informationssäkerhetspolicy

Policy för informationssäkerhet

Informationssäkerhetspolicy för Ystads kommun F 17:01

1(6) Informationssäkerhetspolicy. Styrdokument

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Informationssäkerhetspolicy inom Stockholms läns landsting

Kommunstyrelsens förslag till antagande av reviderad informationssäkerhetspolicy Ärende 11 KS 2017/336

Informationssäkerhetspolicy för Ånge kommun

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Kommunal författningssamling för Smedjebackens kommun. Informationssäkerhetspolicy. 97 Dnr 2016/00447

POLICY INFORMATIONSSÄKERHET

Verksamhetsplan Informationssäkerhet

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Informationssäkerhetspolicy IT (0:0:0)

Policy för informations- säkerhet och personuppgiftshantering

Informationssäkerhetspolicy S/~LA KOMMUN KOMMUNFULLMÄKTIGE. Bi l aga KS 2015 / 135/1 INFORMATIONSSÄKERHETSPOLICY FÖR SALA KOMMUN

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Informationssäkerhetspolicy

Informationssäkerhetspolicy för Katrineholms kommun

1 (5) Informationssäkerhetspolicy Informationssäkerhetspolicy. Ver 3.0

Informationssäkerhetspolicy. Linköpings kommun

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

Dnr

Informationssäkerhetspolicy

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Informationssäkerhetspolicy

Katrineholms kommuns. Informationssäkerhetspo licy. IZatrineholms kommun "- Antagen av kommunfullmäktige , 106

Riktlinjer för Informationssäkerhet Falkenbergs Kommun Kommunledningskontoret

I Central förvaltning Administrativ enhet

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

Informationssäkerhetspolicy

1 INLEDNING ALLMÄNT OM INFORMATIONSSÄKERHET MÃL FÖRKOMMUNENS lnformationssäkerhetsarbete ROLLER OCH ANSVAR...

Policy för informationssäkerhet

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Policy för informationssäkerhet

Informationssäkerhetspolicy för Umeå universitet

Informationssäkerhetspolicy

Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13

Policy och strategi för informationssäkerhet

Riktlinjer för IT-säkerhet i Halmstads kommun

Policy för säkerhetsskydd

Hur värnar kommuner digital säkerhet?

Informationssäkerhet - Informationssäkerhetspolicy

Säkerhetsskyddsplan. Fastställd av kommunfullmäktige

I n fo r m a ti o n ssä k e r h e t

EDA KOMMUN. nformationssäkerhet - Informationssäkerhetspolicy

Revidering av riktlinjer för Informationssäkerhet vid Högskolan i Skövde

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

Koncernkontoret Enheten för säkerhet och intern miljöledning

Svar på revisionsskrivelse informationssäkerhet

Myndigheten för samhällsskydd och beredskaps författningssamling

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhetspolicy

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Informationssäkerhetspolicy

Bilaga till rektorsbeslut RÖ28, (5)

Nya krav på systematiskt informationssäkerhets arbete

Informationssäkerhetspolicy för Nässjö kommun

Informationssäkerhetspolicy

Myndigheten för samhällsskydd och beredskaps författningssamling

POLICY FÖR E-ARKIV STOCKHOLM

Informationssäkerhet, Linköpings kommun

Lokal informationssäkerhetspolicy för hälso- och sjukvårdsförvaltningen

IT-policy. Styrdokument, policy Kommunledningskontoret Per-Ola Lindahl

POLICY FÖR E-ARKIV STOCKHOLM

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Vetenskapsrådets informationssäkerhetspolicy

Riktlinjer för säkerhetsarbetet i Älvsbyns kommun

Förstudie e-arkiv Begreppslista Begreppslista 1.0

Informationssäkerhet en förutsättning för effektiv digitalisering. Moderator: William Linnefell, Ekonomistyrningsverket

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Välkommen till enkäten!

myndigheter En andra granskning av informationssäkerhet i staten RiR 2016:8 Informationssäkerhetsarbete

Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

Informationssäkerhet och SKLs verktyg KLASSA. Avdelningen för Digitalisering Sektionen för Informationshantering och Digital Arbetsmiljö (IDA)

Arkivregler för Uppsala kommun

SÄKERHETSPOLICY FÖR VÄSTERVIKS KOMMUNKONCERN ANTAGEN AV KOMMUNFULLMÄKTIGE , 8

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Organisation för samordning av informationssäkerhet IT (0:1:0)

Administrativ säkerhet

Informationssäkerhet i. Torsby kommun

Riktlinjer informationssäkerhet

Säkerhetspolicy för Västerviks kommunkoncern

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Informationssäkerhetspolicy för Vetlanda kommun

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

Riktlinjer för IT och informationssäkerhet - förvaltning

Myndigheten för samhällsskydd och beredskaps författningssamling

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

VÄGLEDNING INFORMATIONSKLASSNING

Förvaltningens förslag till beslut Kommunstyrelsen beslutar föreslå kommunfullmäktige att anta strategi för risk- och

Transkript:

Informationssäkerhetspolicy KS/2018:260

Innehållsförteckning Antagen av kommunfullmäktige den [månad_år] Informationssäkerhetspolicy...22 Ändringar införda till och med KF, [nr/år] Inledning och bakgrund...22 Definition av information...22 Mål...22 Syfte...33 Lagar och regelverk...33 Roller och ansvar...33 Riktlinjer, föreskrifter och instruktioner...55 Informationssäkerhetsutbildning...55 Informationsklassning...55 Skyddsåtgärder...55 Efterlevnad av NIS direktivet...55 Revidering och Uppföljning...66 1

Avgränsning...66 Informationssäkerhetspolicy Inledning och bakgrund Information är en av kommunens viktigaste tillgångar och hanteringen av den är en viktig och naturlig del i alla verksamheters dagliga arbete. Att information hanteras på rätt sätt är av strategisk betydelse för medarbetare, medborgare och näringsliv. Med informationstillgångar avses all information som används i kommunens verksamhet, oavsett om den behandlas manuellt, digitalt eller automatiserat. Det är därför viktigt att information hanteras på ett säkert sätt och inte sprids felaktigt. 2

omfatta alla delar av kommunens verksamhet och alla de informationstillgångar som vi äger eller hanterar. Definition av information Arbetet med informationssäkerhet ska vara långsiktigt och kontinuerligt, Kommunens informationstillgångar består av all information som inkommer till kommunen eller som upprättas av kommunens verksamheter, oavsett var den förvaras och oavsett om den är digital eller på papper. Informationssäkerhetsarbetet syftar till att säkerställa att kommunen hanterar all information på ett säkert sätt. Detta oavsett vilken form informationen finns i. Det vill säga muntlig information, information på papper, information som ligger i ett IT-system eller lagras på digitala enheter såsom till exempel bärbar dator, iphone, Android och USB-minnen. Tänk alltid på att ingen obehörig ska ha möjlighet att ta del av informationen. Informationssäkerheten är särskilt viktig för känsliga och konfidentiella uppgifter som medarbetarna tar del av i sitt arbete. Mål God informationssäkerhet är den samlade effekten av kommunens organisatoriska, administrativa och tekniska åtgärder som vidtas för att skydda informationen mot de hot den kan utsättas för. Arbetet med informationssäkerhet måste vara medvetet och strukturerat med tydliga mål och riktlinjer. Målet är att upprätthålla nödvändig nivå på skyddet av informationstillgångarna, med informationsklassning som utgångspunkt, avseende; 3

Tillgänglighet att information är nåbar vid rätt tillfälle Sekretess/Konfidentialitet att informationen bara är åtkomlig för den som har rätt att ta del av den Riktighet att informationen är och förblir korrekt, begriplig och fullständig Spårbarhet att man i efterhand kan identifiera vem som gjort vad och när Syfte Denna policy beskriver de övergripande principerna samt mål och inriktning för kommunens informationssäkerhet. Policyn ska konkretiseras med riktlinjer och rutiner som ska ge verksamheten ett stöd kring informationssäkerhet i det dagliga arbetet inom kommunen. Lagar och regelverk Nykvarns kommuns informationssäkerhetsarbete ska vara systematiskt och strukturerat, arbetssättet bygger på den svenska och internationella standarden LIS (ledningssystem för informationssäkerhet). Med stöd av LIS får vi rätt nivå på informationssäkerheten samtidigt som våra anställda får ett stöd i sitt dagliga arbete. LIS bygger på etablerade standarder, ISO standard 27000 och MSBs (Myndigheten för Samhällsskydd och Beredskap) metodstöd för informationssäkerhetsarbete. Vårt arbete med informationssäkerhet utgår framförallt från lagar, förordningar och föreskrifter såsom bland annat; Offentlighets- och sekretesslag (2009:400) Kommunallagen (2017:725) 4

Förvaltningslagen (2017:900) Säkerhetsskyddslag (1996:627) och Säkerhetsskyddsförordning (1996:633) GDPR Allmänna Dataskyddsförordningen (EU 2016/679) Arkivlag (1990:782) Arkivförordning (1991:446) Riksarkivets föreskrifter RA-FS 1991:1 (grund), RA-FS 1997:4 (ändr. omtryck), RA-FS 2013:4, RA-FS 2009:1 Lag utifrån NIS-direktivet (Prop. 2017/18:205) Nykvarns kommuns egna krav är också styrande för informationssäkerhetsarbetet, samt de avtal som kommunen tecknat med företag och samarbetspartners. 5

Kommunfullmäktige har ytterst ansvaret för kommunens informationssäkerhetsarbete och uttrycker i denna policy sin viljeinriktning. Kommunstyrelsen har ansvaret för att säkerställa, samordna och följa upp informationssäkerhetsarbetet, samt för att riktlinjer utarbetas, förvaltas och Roller och ansvar följs upp. Nämnderna med förvaltningens kontor är ytterst ansvariga för informationshantering och informationssäkerhet inom ramen för sina verksamheter. Informationsägaren har det löpande praktiska ansvaret för informationen inom sin verksamhet och avgör vilken information som får hanteras, hur den får hanteras och av vem den får hanteras. Om inte rollen delegerats är det kontorschefen som agerar i rollen informationsägare. som agerar i rollen informationsägare. Alla som hanterar information ska ha kunskap om det regelverk som gäller för hur informationen får hanteras och har själva ett ansvar för att informationssäkerheten upprätthålls. Ansvaret för informationssäkerheten ligger i kommunens linjeorganisation, det innebär att: Kommundirektören har det yttersta ansvaret för informationssäkerheten och att det finns en tydlig ansvarsfördelning för att upprätthålla denna. Varje anställd ansvarar för att följa säkerhetsregler samt att rapportera fel och störningar i informationssystem, utrustning och informationsinnehåll enligt fastställda rutiner. Den som upptäcker brister i informationssäkerheten måste uppmärksamma sin chef eller säkerhetschefen om detta. Alla medarbetare ska också rapportera händelser som kan leda till 6

Den som har ansvaret för en verksamhet är också ansvarig för denna verksamhets informationssäkerhet. Detta innebär att varje chef även har ansvar för att information hanteras på rätt sätt och informationssäkerheten att kommunens informationstillgångar utsätts för risker. upprätthålls i enlighet med kommunen policy, riktlinjer och rutiner. När det gäller system har systemförvaltaren det övergripande ansvar för såväl systemet i sig och dess användning, men också för att säkerställa IT-säkerhet för systemet och informationssäkerhet den information som hanteras. Säkerheten ska anpassas utifrån informationsklassning liksom policy, riktlinjer och rutiner. I rollen som systemförvaltare ligger också att säkerställa att användarna har kunskap om både hur systemet fungerar och ska användas, men också hur informationen ska hanteras för att upprätthålla en god informationssäkerhet. Den som ingår avtal som innefattar informationsutbyte ansvarar för att kraven på informationssäkerhet specificeras i avtalet. Säkerhetschefen har det övergripande och strategiska ansvaret att leda, utveckla och samordna informationssäkerhetsarbetet, och ansvarar för att mallar och riktlinjer utarbetas samt att utbildningsmaterial för informationssäkerhet finns tillgänglig för både personal och förtroendevalda. Kansliavdelningen samordnar frågor när det gäller juridik och arkivfrågor, och är rådgörande för frågor gällande bestämmelserna i tryckfrihetsförordningen, arkivlagen och offentlighets- och sekretesslagen samt förvaltningslagen. Redaktörer och administratörer ansvarar för att följa de riktlinjer och rutiner som finns för respektive system och informationsmängd. 7

upprätta en kontinuitetsplan rörande IT-stöd samt ansvarar för ITsäkerhetsfrågor. Riktlinjer, föreskrifter och instruktioner IT-chefen ansvarar för arbetet med kommunens IT-säkerhet samt att Denna policy ska konkretiseras i riktlinjer, och i förekommande fall, i föreskrifter och instruktioner. Dessa dokument bör så långt möjligt utformas och inbördes ordnas i enlighet med vedertagen internationell och svensk standard för informationssäkerhet (SS-ISO/IEC 27001, Ledningssystem för informationssäkerhet ). Informationssäkerhetsutbildning All berörd personal och förtroendevalda ska regelbundet få den utbildning som behövs för att informationssäkerheten ska kunna upprätthållas. Informationsklassning Information som hanteras i kommunen ska klassificeras med avseende krav på sekretess, riktighet, tillgänglighet och spårbarhet. Skyddsåtgärder Nykvarns kommun ska beskriva och införa organisatoriska, administrativa och tekniska skyddsåtgärder för att nödvändig skyddsnivå uppnås. Val av skyddsåtgärder ska anpassas efter verksamheten och baseras på informationens betydelse och de konsekvenser som bristande säkerhet kan innebära för alla intressenter i en viss informationshantering. Lagar och förordningars krav ska utgöra lägsta nivå vid specificering av skyddsåtgärder. En förutsättning för arbetet med informationssäkerhet är att en god säkerhetskultur genomsyrar hela verksamheten. Med detta menas inte bara 8

också att de kritiskt ifrågasätter händelser som kan påverka säkerheten. Efterlevnad av NIS direktivet Kontinuitetsplaneringen är av central betydelse för att bedriva verksamheten att medarbetare har god kunskap om vilka säkerhetsregler som gäller, utan på en acceptabel nivå under såväl normala förhållanden som vid extraordinära händelser. En kontinuitetsplan ska finnas baserad på de olika informationstillgångarnas samlade krav efter genomförd riskanalys. För respektive informationstillgång är systemägaren ansvarig för riskanalys och kontinuitetsplan tas fram, medan respektive ansvarig chef ansvarar för att kontinuitetsplanen är känd och förankrad i organisationen. I arbetet med informationssäkerhet och kontinuitetsplanering ska höjd tas för efterlevnad av NIS-direktivet för att säkerställa att samhällsviktig verksamhet kan återgå till normal drift så fort som möjligt. Det är av stor betydelse att bedriva verksamheten på en acceptabel nivå under såväl normala förhållanden som vid extraordinära händelser. En kontinuitetsplan ska finnas för driften av IT-verksamheten baserad på de olika informationssystemens samlade krav, samt för de verksamheter som har verksamhet som bedömts som samhällsviktig. Revidering och Uppföljning Uppföljning är en viktig del i informationssäkerhetsarbetet för att bevaka att: - beslutade åtgärder är genomförda - årliga mål är uppfyllda - regler följs - att policy och instruktioner vid behov revideras 9

och revideras vid behov. Säkerhetschefen ansvarar för att policyn för informationssäkerhet följs upp och uppdateras. Informationssäkerhetspolicyn i Nykvarns kommun ska gås igenom varje år Avgränsning Policyn för informationssäkerhet gäller för alla informationstillgångar i alla verksamheter inom Nykvarns kommun samt för Nykvarnsbostäder. Policyn gäller för samtliga aktörer som kan komma att hantera kommunens information. 10

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss