Verksamhetsplan Informationssäkerhet

Relevanta dokument
Informationssäkerhetspolicy KS/2018:260

Informationssäkerhetspolicy

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Kommunal författningssamling för Smedjebackens kommun. Informationssäkerhetspolicy. 97 Dnr 2016/00447

Informationssäkerhetspolicy för Ystads kommun F 17:01

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Informationssäkerhetspolicy

Informationssäkerhetspolicy. Linköpings kommun

1(6) Informationssäkerhetspolicy. Styrdokument

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

I Central förvaltning Administrativ enhet

Nya krav på systematiskt informationssäkerhets arbete

Informationssäkerhetspolicy för Ånge kommun

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Informationssäkerhetspolicy

Informationssäkerhetspolicy S/~LA KOMMUN KOMMUNFULLMÄKTIGE. Bi l aga KS 2015 / 135/1 INFORMATIONSSÄKERHETSPOLICY FÖR SALA KOMMUN

Informationssäkerhetspolicy

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Policy för informationssäkerhet

I n fo r m a ti o n ssä k e r h e t

Regelverk och myndighetsstöd för ökad informationssäkerhet inom dricksvattenförsörjningen (NIS) Anders Östgaard

Policy för informations- säkerhet och personuppgiftshantering

Informationssäkerhetspolicy

Christoffer Karsberg Internationell samordnare, Enheten för verksamhetssamordning och strategisk analys, MSB

NIS-direktivet - Nya krav på informationssäkerhet i samhällsviktiga och digitala tjänster

Informationssäkerhetspolicy IT (0:0:0)

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Utredningen om genomförande av NIS-direktivet

Informationssäkerhet en förutsättning för effektiv digitalisering. Moderator: William Linnefell, Ekonomistyrningsverket

Verksamhetsplan för medfinansiering av internationella projekt

Informationssäkerhet för samhällsviktiga och digitala tjänster

Informationssäkerhet - Informationssäkerhetspolicy

- Vad du behöver veta om NIS

Riktlinjer för Informationssäkerhet Falkenbergs Kommun Kommunledningskontoret

Policy och strategi för informationssäkerhet

1 INLEDNING ALLMÄNT OM INFORMATIONSSÄKERHET MÃL FÖRKOMMUNENS lnformationssäkerhetsarbete ROLLER OCH ANSVAR...

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Informations- och IT-säkerhet i kommunal verksamhet

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Verksamhetsplan. för IT. Diarienummer: Ks2014/ Gäller från: Fastställd av: Kommunstyrelsen

Säkerhetsskyddsplan. Fastställd av kommunfullmäktige

1 (5) Informationssäkerhetspolicy Informationssäkerhetspolicy. Ver 3.0

Policy för informationssäkerhet och dataskydd 2018

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

POLICY INFORMATIONSSÄKERHET

Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen

Informationssäkerhetspolicy

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun

Instruktion för kommundirektören

Koncernkontoret Enheten för säkerhet och intern miljöledning

Riktlinjer för hantering av arkiv i Ånge kommun

NIS-direktivet. 4 september Johanna Linder Martin Gynnerstedt

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad:

Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13

Arkivregler för Uppsala kommun

Riktlinjer för säkerhetsarbetet i Älvsbyns kommun

Policy för säkerhetsskydd

Verksamhetsplan. för internationellt arbete. Diarienummer: Ks2018/ Gäller från:

Informationssäkerhet för samhällsviktiga och digitala tjänster (SOU 2017:36) Remiss från Justitiedepartementet Remisstid den 24 augusti

Informationssäkerhetspolicy för Nässjö kommun

SAMMANTRÄDESPROTOKOLL Kommunstyrelsen Sammanträdesdatum

Informationssäkerhetspolicy för Vetlanda kommun

Svensk författningssamling

Revidering av riktlinjer för styrdokument i Uppsala kommun

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Verksamhetsplan. för internationellt arbete. Diarienummer: KS2013/0195. Gäller från:

Handlingsplan för persondataskydd

Riktlinjer för styrdokument i Hallsbergs kommun

IT-policy. Styrdokument, policy Kommunledningskontoret Per-Ola Lindahl

Uppdaterad Policy för styrdokument

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

Kommunstyrelsens förslag till antagande av reviderad informationssäkerhetspolicy Ärende 11 KS 2017/336

Riktlinjer informationssäkerhet

Policy för personuppgiftsbehandling

POLICY FÖR E-ARKIV STOCKHOLM

SOSFS 2005:12 (M) Ledningssystem för kvalitet och patientsäkerhet i hälso- och sjukvården. Socialstyrelsens författningssamling

Riktlinjer för mål- och styrdokument Värnamo kommun

Fördelning av ansvar för informationssäkerhet. Version: 1. Beslutsinstans: Regiondirektören

NIS-direktivet. Nya krav på informationssäkerhet i samhällsviktiga och digitala tjänster.

Reglemente för arkiv

NIS-direktivet. - Därför är NIS viktigt för kommuner och landsting. 5 september 2018 Christoffer Karsberg

Informationssäkerhet och SKLs verktyg KLASSA. Avdelningen för Digitalisering Sektionen för Informationshantering och Digital Arbetsmiljö (IDA)

Arkivregler för Uppsala kommun

EDA KOMMUN. nformationssäkerhet - Informationssäkerhetspolicy

REGLEMENTE INTERN KONTROLL

Lokal informationssäkerhetspolicy för hälso- och sjukvårdsförvaltningen

Svensk författningssamling

Verksamhetsplan. för miljöfond. Diarienummer: KS 2018/ Gäller från: Fastställd av: Kommunstyrelsen

PM 2015:127 RVI (Dnr /2015)

Policy för Piteå kommuns styrande dokument

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

Det föreslagna beslutet medför inga kända ekonomiska konsekvenser för kommunen.

Dnr

Säkerhetspolicy för Västerviks kommunkoncern

Katrineholms kommuns. Informationssäkerhetspo licy. IZatrineholms kommun "- Antagen av kommunfullmäktige , 106

Policy för styrande dokument

Myndigheten för samhällsskydd och beredskaps författningssamling

Riktlinje för hantering av personuppgifter i e-post och kalender

Transkript:

Diarienummer: KS 2018/0362.016. Verksamhetsplan Informationssäkerhet Gäller från: 2018-12-04 Gäller för: Hela kommunkoncernen Globalt mål: Fastställd av: Kommunstyrelsen Utarbetad av: Annika Sandström Revideras senast: 2022-12-31 Version: 2 Dokumentansvarig förvaltning: Kommunledningsförvaltningen Ett utskrivet dokument är alltid en kopia, giltig version finns alltid på intranätet.

Innehållsförteckning Inledning... 3 Syfte... 3 Omfattning... 3 Mål... 3 Definition av informationssäkerhet... 4 Omvärldsanalys - Lagar och regelverk... 5 Rättsligt skydd för viss typ av information... 5 Rättsliga krav på informationssäkerhet i olika verksamheter... 5 Samhällsviktiga tjänster... 5 Hälso- och sjukvård... 5 IT-brott och IT-relaterad brottslighet... 5 Dataintrång... 5 Interna krav reglementen och arbetsordningar... 6 Roller, ansvar och organisation... 6 Uppföljning och revidering... 7 2 av 7

Inledning Denna verksamhetsplan gäller för Ljungby kommun inklusive de helägda kommunala bolagen. Information är en av kommunens och bolagens viktigaste tillgångar och vårt ansvar spänner över ett stort område av samhällsviktig verksamhet. I samtliga delar spelar en säker informationshantering en central roll. Med information avses all information, oavsett om den behandlas manuellt eller automatiserat och oberoende av dess form eller miljön den förekommer i. Information återfinns även som den samlade kunskapen hos kommunens medarbetare. Informationssäkerhet är det samlade arbetet som görs för att hålla kommunens information säker med avseende på konfidentialitet, riktighet, tillgänglighet och spårbarhet. Informationssäkerhetsarbetet bygger på standarden ISO/IEC 27001. Syfte Verksamhetsplan för informationssäkerhet beskriver kommunens mål och organisation för informationssäkerhetsarbetet. Verksamhetsplanen följer Policy för trygghet och säkerhet (KS2016/0245.016). Omfattning Verksamhetsplan för informationssäkerhet och relaterade dokument och riktlinjer omfattar kommunens information och alla som kommer eller kan komma i kontakt med kommunens information. Detta gäller utan undantag. Mål Att det systematiska informationssäkerhetsarbetet utformas och följer principerna för LIS - ledningssystem för informationssäkerhet. Ledningssystem för informationssäkerhet är ett stöd för systematiskt arbete med informationssäkerhet i organisationer. För att informationssäkerhetsarbetet ska lyckas och vara framgångsrikt är det viktigt att informationssäkerheten integreras med de olika styrformerna i organisationen, som planering och uppföljning. Ledningssystemet bygger därmed på organisationens planerings- och uppföljningscykler. Dessa cykler innebär till exempel att ledningen löpande informerar sig om informationssäkerhetsarbetet, gör regelbundna verksamhetsplaneringar och -kontroller samt ser över styrdokumenten med jämna mellanrum. 3 av 7

Definition av informationssäkerhet Informationssäkerhet innebär att på ett systematiskt sätt och efter behov skydda informationen vi hanterar. Värdefull information måste skyddas så att endast behöriga personer får ta del av den (konfidentialitet). vi kan lita på att den är korrekt och inte manipulerad eller förstörd (riktighet). den alltid finns när vi behöver den (tillgänglighet). det går att följa vem som har tagit del av information, vilka förändringar som har gjorts och av vem (spårbarhet). 4 av 7

Omvärldsanalys - Lagar och regelverk Externa krav i form av lagar och regelverk har betydelse för kommunens informationshantering. Alla verksamheter berörs i någon omfattning av dessa. Rättsligt skydd för viss typ av information Vissa särskilda typer av information skyddas på olika sätt genom bestämmelser i olika lagar. Allmänna handlingar: Tryckfrihetsförordning, Offentlighets- och sekretesslag. Sekretessbelagd information rörande Sveriges säkerhet: Säkerhetsskyddslag, Säkerhetsskyddsförordning, Säkerhetspolisens föreskrifter och allmänna råd om säkerhetsskydd. Personuppgifter: Dataskyddsförordningen (GDPR). Information som ska arkiveras: Arkivlag, Arkivförordning, Riksarkivets föreskrifter och allmänna råd om elektroniska handlingar, Riksarkivets föreskrifter om och allmänna råd om tekniska krav på elektroniska handlingar. Rättsliga krav på informationssäkerhet i olika verksamheter Samhällsviktiga tjänster EU:s NIS-direktiv i ställer krav på säkerhet i nätverk och informationssystem. Reglerna omfattar leverantörer av samhällsviktiga tjänster ii och vissa digitala tjänster. För Ljungby kommun och de kommunala bolagen är direktivet tillämpligt inom sektorerna energi, hälsooch sjukvård samt leverans och distribution av dricksvatten. Direktivet införlivas i den svenska rättsordningen genom lagen om informationssäkerhet för samhällsviktiga och digitala tjänster (SFS 2018:1174) och regeringen har beslutat om en förordning (2018:1175) kopplat till den nya lagen. Lagen och förordningen träder i kraft 1 augusti 2018. Hälso- och sjukvård Inom hälso- och sjukvården hanteras stora mängder ur integritetssynpunkt känslig information. Det är av stor vikt att informationshanteringen inom hälso- och sjukvården är organiserad så att den tillgodoser patientsäkerhet och god kvalitet och kostnadseffektivitet. Att säkerställa respekt för patienters och övriga registrerades integritet är prioriterat liksom arbetet med att säkerställa att inga obehöriga får tillgång till dokumenterade personuppgifter. Patientdatalag, Patientdataförordning samt socialstyrelsens föreskrifter reglerar området. IT-brott och IT-relaterad brottslighet Dataintrång Enligt brottsbalken 4 kap 9c är det förbjudet att olovligen bereda sig tillgång till en uppgift som är avsedd för automatiserad behandling eller olovligen ändra, utplåna, blockera eller i register föra in en sådan uppgift. Det är heller inte tillåtet att olovligen allvarligt störa eller hindra användningen av en sådan uppgift. Ett nytt brott, grovt dataintrång, infördes i brottsbalken 2014. Ett dataintrång ska bedömas som grovt om det har orsakat allvarlig skada eller avsett ett stort antal uppgifter eller annars varit särskilt farlig. 5 av 7

Interna krav reglementen och ägardirektiv Kommunallagen (1991:900), KL, ger de grundläggande reglerna för ansvar och beslutanderätt i en kommun. Utöver kommunallagen gäller bestämmelser i styrelsens och nämndernas reglementen, som beslutas av kommunfullmäktige. I reglementena preciseras nämndernas verksamhet och ansvarsområden. För bolagen gäller ägardirektiv fastställda av kommunfullmäktige. Roller, ansvar och organisation Grundprincipen är att ansvaret för själva informationssäkerhetsarbetet ska följa det ordinarie verksamhetsansvaret. Detta gäller från politisk ledning till enskilda medarbetare. Informationssäkerhetsarbetet ska alltså vara integrerat i ordinarie arbete enligt modellen för LIS. Kommunfullmäktige fastställer policy för trygghet och säkerhet. Kommunstyrelsen beslutar om verksamhetsplan för informationssäkerhet. KS är därtill liksom övriga nämnder och styrelser ansvarig för informationssäkerheten inom sitt verksamhetsområde. Nämnder och styrelser ska löpande följa upp informationssäkerhetsarbetet och vidta de åtgärder som krävs för att uppnå och upprätthålla tillräcklig intern kontroll. Kommundirektör och övriga förvaltningschefer samt VD:ar ansvarar operativt över verksamhetens systematiska informationssäkerhetsarbete och dess styrning för att säkerställa dess fortsatta lämplighet, tillräcklighet och verkan. De tar beslut om arbetets inriktning och resurser. Säkerhetsskyddschefen leder och samordnar arbetet med informationssäkerhet kopplat till rikets (Sveriges) säkerhet det vill säga säkerhetsskyddsklassificerade uppgifter. Funktionen som arbetar med informationssäkerhet (informationssäkerhetssamordnaren) ansvarar för att leda och samordna informationssäkerhetsarbetet genom att kontinuerligt planera, genomföra, kontrollera, följa upp, utvärdera och förbättra. Systemförvaltarorganisationen ansvarar för systemförvaltningen enligt systemägarens instruktioner (systemförvaltningsplan). De ansvarar därmed för att identifiera behov och ställa krav gällande informationssäkerhet för respektive system. Arbetsgrupp för trygghet och säkerhet är kommunens förvaltningsövergripande forum för frågor som rör trygghet och säkerhet. Gruppen utgör referensgrupp för informationssäkerhetsarbetet. För att kunna upprätthålla en god informationssäkerhet och förankra detta i organisationen ska det finnas resurser för ett systematiskt arbete. 6 av 7

Uppföljning och revidering Verksamhetsplan för informationssäkerhet ska revideras en gång per mandatperiod, eller behovsprövat vid till exempel förändrad lagstiftning eller interna krav. Verksamhetsplanen konkretiseras i form av en handlingsplan, där det övergripande målet bryts ner till en planering för mandatperioden. Åtgärderna i handlingsplanen ska följas upp en gång per år och presenteras i den förvaltningsövergripande ledningsgruppen. i I juli 2016 antog Europaparlamentet det så kallade NIS-direktivet med åtgärder för att uppnå en hög gemensam nivå på säkerhet i nätverk och informationssystem inom unionen. Läs mer här: https://www.msb.se/sv/forebyggande/informationssakerhet/nis-direktivet/ ii Samhällsviktiga tjänster delas in i sju sektorer; energi, transporter, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvårdssektorn, leverans och distribution av dricksvatten och digital infrastruktur. 7 av 7

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss