Kommunstyrelsens förslag till antagande av reviderad informationssäkerhetspolicy Ärende 11 KS 2017/336

Relevanta dokument
Informationssäkerhetspolicy

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

Informationssäkerhetspolicy

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Informationssäkerhetspolicy KS/2018:260

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Informationssäkerhetspolicy

1 (5) Informationssäkerhetspolicy Informationssäkerhetspolicy. Ver 3.0

Katrineholms kommuns. Informationssäkerhetspo licy. IZatrineholms kommun "- Antagen av kommunfullmäktige , 106

Dnr

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Informationssäkerhetspolicy S/~LA KOMMUN KOMMUNFULLMÄKTIGE. Bi l aga KS 2015 / 135/1 INFORMATIONSSÄKERHETSPOLICY FÖR SALA KOMMUN

Kommunal författningssamling för Smedjebackens kommun. Informationssäkerhetspolicy. 97 Dnr 2016/00447

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Informationssäkerhetspolicy för Katrineholms kommun

1(6) Informationssäkerhetspolicy. Styrdokument

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhetspolicy för Ystads kommun F 17:01

Informationssäkerhetspolicy

Policy för informationssäkerhet

1 INLEDNING ALLMÄNT OM INFORMATIONSSÄKERHET MÃL FÖRKOMMUNENS lnformationssäkerhetsarbete ROLLER OCH ANSVAR...

Policy och strategi för informationssäkerhet

POLICY INFORMATIONSSÄKERHET

Policy för informations- säkerhet och personuppgiftshantering

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Informationssäkerhetspolicy

Informationssäkerhetspolicy. Linköpings kommun

Riktlinjer för Informationssäkerhet Falkenbergs Kommun Kommunledningskontoret

EDA KOMMUN. nformationssäkerhet - Informationssäkerhetspolicy

Informationssäkerhetspolicy

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun

Informationssäkerhetspolicy

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

Informationssäkerhetspolicy för Ånge kommun

I Central förvaltning Administrativ enhet

Informationssäkerhet - Informationssäkerhetspolicy

Policy för informationssäkerhet

Informationssäkerhetspolicy

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Informationssäkerhetspolicy

Informationssäkerhetspolicy IT (0:0:0)

Vetenskapsrådets informationssäkerhetspolicy

Informationssäkerhetspolicy för Umeå universitet

Svar på revisionsskrivelse informationssäkerhet

Bilaga till rektorsbeslut RÖ28, (5)

Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13

Revidering av riktlinjer för Informationssäkerhet vid Högskolan i Skövde

RIKTLINJER FÖR IT-SÄKERHET

Välkommen till enkäten!

Kommunstyrelsens förslag till antagande av program för externa utförare Ärende 8 KS 2016/331

SÄKERHETSPOLICY FÖR VÄSTERVIKS KOMMUNKONCERN ANTAGEN AV KOMMUNFULLMÄKTIGE , 8

Återrapportering av E-förslag Fastighetsnära insamling av avfall Ärende 16 KS 2018/103

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

Policy för informationssäkerhet

IT-Säkerhetsinstruktion: Förvaltning

Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen

I n fo r m a ti o n ssä k e r h e t

Organisation för samordning av informationssäkerhet IT (0:1:0)

Säkerhetspolicy i Linköpings kommun

Tillgänglighetsplan - Uppföljning Ärende 12 KS 2016/273

Informationssäkerhetspolicy för Nässjö kommun

Återrapportering av uppdrag: Utvärdering av satsningar på minskade cykelstölder Ärende 20 KS 2017/87

Säkerhetspolicy för Västerviks kommunkoncern

Informationssäkerhet i. Torsby kommun

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

Informationssäkerhetspolicy för Vetlanda kommun

Riktlinjer för säkerhetsarbetet i Älvsbyns kommun

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Verksamhetsplan Informationssäkerhet

SÅ HÄR GÖR VI I NACKA

Återrapportering - E-förslag om skyltning av Furuhillsvägen Ärende 26 KS 2018/322

Kommunstyrelsens förslag till ny nämndorganisationen Ärende 13 KS 2017/374

Säkerhetsskyddsplan. Fastställd av kommunfullmäktige

Lokal informationssäkerhetspolicy för hälso- och sjukvårdsförvaltningen

Växling av semesterdagstillägg mot ledig tid Ärende 5 KS 2018/209

Myndigheten för samhällsskydd och beredskaps författningssamling

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Kävlinge kommunhus, Fullmäktigesalen, Kullagatan 2, Kävlinge. Ärende 1. Kungörelse av sammanträdet Upprop 1

Riktlinjer för IT och informationssäkerhet - förvaltning

Administrativ säkerhet

Återrapportering av uppdrag: Utvärdering av återbruksverksamheten Ärende 21 KS 2016/186

Bestämmelser för utdelande av minnesgåva och uppvaktningar Ärende 6 KS 2018/328

Verket för förvaltningsutvecklings författningssamling ISSN Utgivare: Lena Jönsson, Verva, Box 214, Stockholm

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Hantering av behörigheter och roller

Riktlinjer för informationssäkerhet

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

10. Säkerhetspolicy och riktlinjer för säkerhetsarbetet i Västerviks kommunkoncern Dnr 2016/

Informationssäkerhet, Linköpings kommun

Myndigheten för samhällsskydd och beredskaps författningssamling

Transkript:

Kommunstyrelsens förslag till antagande av reviderad informationssäkerhetspolicy Ärende 11 KS 2017/336 Sida 151 av 282

Tjänsteskrivelse 1(2) 2018-03-26 Dnr: KS 2017/336 Kommunfullmäktige Revidering av informationssäkerhetspolicy - Antagande Förslag till beslut Kommunfullmäktiges beslut Kommunfullmäktige antar informationssäkerhetspolicy, enligt bilaga Kf x72018 Ärendebeskrivning Informationssäkerhet är den del i Kävlinge kommuns lednings- och kvalitetsprocess som avser hanteringen av verksamhetens information. Informationssäkerhetsarbetet ska ses som en del av Kävlinge kommuns interna säkerhetsarbete, och kommunfullmäktige är den verksamhet som har det övergripande ansvaret för det interna säkerhetsarbetet. Vid Ernst & Youngs granskning 2015, vilken hade fokus på just informations- och IT-säkerhet, noterades det att Kävlinge kommuns gällande Informationssäkerhetspolicy (från 2013) behöver uppdateras. Detta har gjorts, och förslaget till ny informationssäkerhetspolicy följer den internationella standarden SS-ISO/IEC 27000, samt gällande lagstiftning (inklusive kommande dataskyddsförordningen GDPR). Liggande förslag har även kommunicerats med Kävlinges IT-samarbetskommuner Burlöv och Staffanstorp, då likalydande informationssäkerhetspolicys i de tre kommunerna är att föredra. Informationssäkerhet skiljer sig dock från IT-säkerhet, då IT-säkerheten syftar till att skydda den IT-tekniska biten, medan informationssäkerheten skyddar all form av ren information. Således antar Kävlinge kommun en egen informationssäkerhetspolicy. Beslutsunderlag Förslag till informationssäkerhetspolicy Kommunstyrelsens beslut 33/2018, Revidering av informationssäkerhetspolicy - Antagande Kommunkansliet Mats Svedberg Kanslichef Kommunstyrelsen Hanna Sandberg Hanna.Sandberg@kavlinge.se Kävlinge kommun Kullagatan 2, 244 80 Kävlinge 046-73 90 00 kommunen@kavlinge.se www.kavlinge.se Sida 152 av 282

2 (2) Beslutet ska skickas till För kännedom Björn Andersson, säkerhetschef Hanna Sandberg, nämndsekreterare/säkerhetshandläggare, för publicering på www.kavlinge.se Sida 153 av 282

Informationssäkerhetspolicy 1(3) 2018-01-10 Informationssäkerhetspolicy för Kävlinge kommun Inledning Informationssäkerhet är den del i Kävlinge kommuns lednings- och kvalitetsprocess som avser hanteringen av verksamheternas information. Informationssäkerhetspolicyn styr tillsammans med dokumentet Informationssäkerhetsstrategi och verksamhetsspecifika Riktlinjer för informationssäkerhet kommunens informationssäkerhetsarbete. Alla verksamheter där kommunen har ett huvudmannaansvar är bundna av denna informationssäkerhetspolicy, vilket medför att det inte finns utrymme att besluta om lokala regler som avviker från denna policy. 1. Policyns roll i informationssäkerhetsarbetet Kävlinge kommuns informationssäkerhetsarbete kan beskrivas enligt följande modell: Informationssäkerhetspolicy Antas av Kommunfullmäktige Informationssäkerhetsstrategi Antas av Kommunstyrelsen Riktlinjer för Informationssäkerhet Antas av verksamheterna/på förvaltningsnivå 2. Policyns syfte och avgränsning Syftet med denna policy är att ange Kävlinge kommuns övergripande krav och inriktning med informationssäkerheten, samt att redovisa hur ansvaret och arbetet med informationssäkerhet är fördelat inom kommunen. Kävlinge kommun, Kävlinge kommun, 244 80 Kävlinge Besöksadress: Kullagatan 2, Kävlinge 046-73 90 00 kontakt@kavlinge.se www.kavlinge.se Sida 154 av 282

2 (3) Avgränsning sker dels gentemot andra interna säkerhetsområden (exempelvis kommunikation och miljö), och dels gentemot icke-kommunspecifika säkerhetsområden (exempelvis IT-säkerhet). 3. Allmänt om Kävlinge kommuns informationssäkerhet Information är en av Kävlinge kommuns viktigaste tillgångar, och hanteringen av denna är en vital del i arbetet med kommunens risk- och sårbarhetsanalyser. Informationssäkerheten omfattar alla kommunens informationstillgångar, utan undantag. Med informationstillgångar avses all information oavsett om den behandlas manuellt eller automatiserat och oberoende av i vilken form eller miljö den förekommer. Informationstillgångar kan exempelvis lagras i datorer, skickas via Internet, skrivas ner på papper, bestå av foton eller ritningar eller framföras muntligen. Alla som hanterar informationstillgångar har ett ansvar att upprätthålla informationssäkerheten. Det är också ett ansvar för chefer på alla nivåer att aktivt verka för en positiv attityd till informationssäkerhetsarbetet. Var och en ska vara uppmärksam på och rapportera händelser som kan påverka säkerheten för kommunens informationstillgångar. Rapportering sker enklast till närmaste chef, alternativt till säkerhetchefen vid allvarligare incidenter. Utgångspunkter för kommunens arbete med informationssäkerhet är gällanande lagar, förordningar och föreskrifter, samt egna kommunala krav och avtal. 3.1 Ledord: Tillgänglighet, Riktighet, Spårbarhet och Konfidentialitet I linje med Myndigheten för Samhällsskydd och Beredskaps rekommendationer, liksom den etablerade svenska och internationella standarden inom området SS-ISO/IEC 27000, formas Kävlinge kommuns informationssäkerhetsarbete utifrån de fyra ledorden tillgänglighet, riktighet, spårbarhet och konfidentialitet. Tillgänglighet: Att informationen är tillgänglig i förväntad utsträckning och inom önskad tid Riktighet: Att information skyddas mot oönskad och obehörig förändring eller förstörelse Spårbarhet: Att i efterhand entydigt kunna härleda specifika aktiviteter eller händelser till ett identifierat objekt eller användare (vem, vad, när) Konfidentialitet: Att information inte tillgängliggörs eller avslöjas till obehörig 4. Organisation, roller och ansvar Kommunfullmäktige har det övergripande ansvaret för kommunens interna säkerhetsarbete, vilket också innefattar informationssäkerhetsarbetet. Kommunstyrelsen har i sin tur det övergripande utredningsansvaret vid policymissbruk. Verksamhetscheferna har det direkta ansvaret för informationssäkerhetsarbetet inom sin respektive verksamhet. Varje verksamhet innehar det yttersta säkerhetsansvaret för sin verksamhets informationstillgångar och informationssäkerhetsabete. Vid grövre policymissbruk kan ärendet lyftas till kommunstyrelsen, som i sin tur kan lyfta ärendet till kommunfullmäktige vid mycket allvarliga incidenter. 6. Generella krav Nedan presenteras de krav som Kävlinge kommuns ledning har på kommunen och dess verksamheter gällande informationssäkerhetsarbetet. Sida 155 av 282

3 (3) 6.1 Informationstillgångar ska alltid skyddas Informationstillgångar ska skyddas i skälig omfattning, så att individer, samverkande partners, ekonomiska tillgångar, investeringar, säkerhetsobjekt och säkerhetsinstallationer inte skadas. Händelser i informationssystem som kan leda till negativa konsekvenser ska förebyggas. Information ska aldrig spridas eller användas utöver det som är syftet med informationshanteringen. 6.2 Förteckning av kommunens informationssystem Samtliga informationssystem ska vara identifierade och förtecknade. Av förteckningen ska framgå vem som är systemägare, vad som är syftet med systemet samt vilka känsliga uppgifter systemet hanterar. Vissa informationssystem är en förutsättning för att kunna bedriva kommunens verksamhet. För dessa ska en riskanalys upprättas med stöd av kommunens verktyg för analys av informationssäkerhet (se punkt 6.4 om informationsklassning). 6.3 Informationssäkerhetsutbildning All personal ska regelbundet få den utbildning som behövs för att informationssäkerheten ska upprätthållas. Nya medarbetare ska ha kännedom om Informationssäkerhetsstrategin, samt sin verksamhets riktlinjer för informationssäkerhet. 6.4 Informationsklassning Information som hanteras i kommunen ska klassificeras med avseende på konfidentialitet, riktighet, spårbarhet och tillgänglighet enligt kommunens gällande klassningsmodell, samt enligt gällande lagstiftning och föreskrifter. 6.5 Kontinuitetsplanering Kontinuitetsplaneringen är av central betydelse för att bedriva verksamheten på en acceptabel nivå under såväl normala förhållanden som vid extraordinära händelser. En kontinuitetsplan ska finnas för driften av IT-verksamheten baserad på de olika informationssystemens samlade krav. 7. Konsekvenser vid policymissbruk Det är främst verksamhetscheferna som ansvarar för eventuella konsekvenser vid policymissbruk, men även kommunstyrelsen kan besluta om konsekvenser. Konsekvenserna ska stå i proportion till missbrukets/felhanteringens omfattning, och enbart syfta till att reparera vållad skada. Det är dock alla anställdas skyldighet att uppmärksamma missbruk/felhantering av informationssäkerheten. Vid större incidenter ska kommunstyrelsen besluta om utredning, och vem som är lämplig att bedriva utredningen. 8. Revidering och uppföljning Informationssäkerhetspolicyn, Informationssäkerhetsstrategi och verksamheternas Riktlinjer för informationssäkerhet ska löpande följas upp och vid behov revideras. Ansvarig för revidering av policy och strategi är säkerhetschefen. Ansvarig för revidering av de verksamhetsspecifika riktlinjerna är verksamhetscheferna (alternativt delegerad informationssäkerhetsansvarig för verksamheten). Sida 156 av 282

Kommunstyrelsen, protokoll 2018-03-14 29(54) 33 Dnr: KS 2017/336 Revidering av informationssäkerhetspolicy - Antagande Beslut Kommunstyrelsens förslag till kommunfullmäktige Reviderad informationssäkerhetspolicy antas, enligt bilaga Kf x/2018. Ärendebeskrivning Informationssäkerhet är den del i Kävlinge kommuns lednings- och kvalitetsprocess som avser hanteringen av verksamhetens information. Informationssäkerhetsarbetet ska ses som en del av Kävlinge kommuns interna säkerhetsarbete, och kommunfullmäktige är den verksamhet som har det övergripande ansvaret för det interna säkerhetsarbetet. Vid Ernst & Youngs granskning 2015, vilken hade fokus på just informations- och IT-säkerhet, noterades det att Kävlinge kommuns gällande Informationssäkerhetspolicy (från 2013) behöver uppdateras. Detta har gjorts, och förslaget till ny informationssäkerhetspolicy följer den internationella standarden SS-ISO/IEC 27000, samt gällande lagstiftning (inklusive kommande dataskyddsförordningen GDPR). Liggande förslag har även kommunicerats med Kävlinges IT-samarbetskommuner Burlöv och Staffanstorp, då likalydande informationssäkerhetspolicys i de tre kommunerna är att föredra. Informationssäkerhet skiljer sig dock från IT-säkerhet, då IT-säkerheten syftar till att skydda den IT-tekniska biten, medan informationssäkerheten skyddar all form av ren information. Således antar Kävlinge kommun en egen informationssäkerhetspolicy. Beslutsunderlag Ny Informationssäkerhetspolicy 2018, tjänsteskrivelse Förslag till informationssäkerhetspolicy Yrkande AnnSofie Thuresson (M) yrkar bifall till föreliggande förslag. Sida 157 av 282 Utdragsbestyrkande

Kommunstyrelsen, protokoll 2018-03-14 30(54) Beslutet skickas till För kännedom Kommunfullmäktige därefter till säkerhetsenheten Sida 158 av 282 Utdragsbestyrkande

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss