IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

Relevanta dokument
IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

INFORMATIONSSÄKERHET 1 INLEDNING MÅL FÖR IT-SÄKERHETSARBETET... 2

IT-säkerhetspolicy. Fastställd av KF

IT-SÄKERHETSPOLICY. Stadskontoret. 1 Inledning Definition Omfattning Mål för IT-säkerhetsarbetet... 2

Informationssäkerhetspolicy

INFORMATIONSSÄKERHET 1 INLEDNING MÅL FÖR IT-SÄKERHETSARBETET... 2

Policy Document Number ESS Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet

Informationssäkerhetspolicy för Nässjö kommun

IT-Säkerhetsinstruktion: Förvaltning

SÄKERHETSFÖRESKRIFTER FÖR FÖRVALTNING AV IT-SYSTEM

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUNS NÄTVERK 1 INLEDNING BAKGRUND...1

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUN

IT - SÄKERHETSPOLICY. Version 1,1

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

IT-säkerhetspolicy Instruktion Kommunfullmäktige. Senast reviderad Beskriver IT-säkerhetarbetet.

IT-säkerhetspolicy. Finspångs kommun Finspång Telefon Fax E-post: Webbplats:

Riktlinjer för IT-säkerhet i Halmstads kommun

Riktlinjer. Informationssäkerhet och systemförvaltning

Informationssäkerhetspolicy för Vetlanda kommun

IT-säkerhetsinstruktion Förvaltning

IT-Säkerhetspolicy för Munkfors, Forshaga, Kils och Grums kommun

Ansvar och roller för ägande av information samt ägande och förvaltande av informationssystem i Umeå kommun

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Informationssäkerhetspolicy för Ånge kommun

Riktlinjer för Informationssäkerhet Falkenbergs Kommun Kommunledningskontoret

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

IT-säkerhetspolicy. Antagen av kommunfullmäktige

IT säkerhetsinstruktion: Förvaltning Organisationen Svenljunga kommun

RIKTLINJER FÖR IT-SÄKERHET

EDA KOMMUN. nformationssäkerhet - Informationssäkerhetspolicy

IT-Säkerhetsinstruktion:

Handläggningsordning för förvaltning av IT-system vid Högskolan Dalarna

IT program för Mjölby kommun

IT-verksamheten, organisation och styrning

Informationssäkerhet - Informationssäkerhetspolicy

Regler och instruktioner för verksamheten

Ansvar och roller för ägande och förvaltande av informationssystem

Informationssäkerhetspolicy

Systemförvaltnings Modell Ystads Kommun(v.0.8)

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet

Informationssäkerhetspolicy för Ystads kommun F 17:01

Bilaga till rektorsbeslut RÖ28, (5)

Åstorps kommuns Övergripande IT-policy för Åstorps kommun

Informationssäkerhetspolicy

Informationssäkerhetspolicy

IT-Säkerhetsinstruktioner: Förvaltning

IT-plan för Söderköpings kommun

Informationssäkerhetspolicy

e-södertälje En vision och strategi för hur IT möjliggör Södertäljes samhällsutveckling Medborgaren Föräldern Eleven Företagaren Kommunanställde

Informationssäkerhetspolicy IT (0:0:0)

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Policy för informationssäkerhet

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Informations- och IT-säkerhet i kommunal verksamhet

Riktlinjer för IT i Lilla Edets kommun. 2. Syftet med IT i Lilla Edets kommun

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Informationssäkerhetspolicy

Informationssäkerhetspolicy

Informationssäkerhetsanvisningar Förvaltning

SÄKERHETSPOLICY FÖR VÄSTERVIKS KOMMUNKONCERN ANTAGEN AV KOMMUNFULLMÄKTIGE , 8

GRUNDSÄKERHET. Allmänna råd. till föreskrifter om. för samhällsviktiga datasystem hos beredskapsmyndigheter. Utgåva 3, december 1999

Kommunstyrelsens arbetsutskott (9)

Informationssäkerhetspolicy inom Stockholms läns landsting

Koncernkontoret Enheten för säkerhet och intern miljöledning

Riktlinjer för säkerhetsarbetet i Älvsbyns kommun

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Säkerhetspolicy för Västerviks kommunkoncern

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Finansinspektionens författningssamling

Härjedalens Kommuns IT-strategi

1 (5) Informationssäkerhetspolicy Informationssäkerhetspolicy. Ver 3.0

Finansinspektionens författningssamling

Finansinspektionens författningssamling

Riktlinje för säkerhetsarbetet i Norrköpings kommun

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

IT-strategi. för Nora kommun

Informationssäkerhetspolicy KS/2018:260

Riktlinjer för IT och informationssäkerhet - förvaltning

IT-säkerhetspolicy för Åtvidabergs kommun

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Säkerhetspolicy för Ulricehamns kommun Antagen av Kommunstyrelsen , 164

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Mittuniversitetets riktlinjer för systemförvaltning

Riktlinjer för hantering av personuppgifter

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång Lomma Kommun

Riktlinje för informationssäkerhet

Policy och strategi för informationssäkerhet

Rikspolisstyrelsens författningssamling

I policyn fastställs ansvaret för den interna kontrollen samt på vilket sätt uppföljningen av den interna kontrollen ska ske.

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

Policy för säkerhetsarbetet i. Södertälje kommun

FÖRSVARSMAKTENS INTERNA BESTÄMMELSER

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

VÄGLEDANDE RÅD OCH BESTÄMMELSER FÖRVALTNING & DRIFT AV IT INOM TIMRÅ KOMMUN

Transkript:

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN 1 INLEDNING... 1 2 MÅL FÖR IT-SÄKERHETSARBETET... 1 3 RIKTLINJER FÖR ATT UPPNÅ MÅLEN... 1 3.1 ALLMÄNT... 1 3.2 LEDNING OCH ANSVAR FÖR IT-SÄKERHET... 2 3.2.1... 2 3.2.2 Systemansvarig... 3 3.2.3... 3 3.2.4 Systemtekniskt ansvarig... 4 3.2.5 Användare... 4 3.2.6 IT-säkerhetsfunktion... 5 4 LAGAR OCH ANDRA REGELVERK... 5 5 GRUNDSÄKERHET IT... 5 6 IT-SÄKERHETSARBETET INOM FALKÖPINGS KOMMUN... 5 7 DRIFTGODKÄNNANDE... 6 BILAGA 1 ÖVERSIKT - STYRANDE DOKUMENT... 7 01-02-06

1 INLEDNING Denna säkerhetsplan anger Falköpings kommuns mål för IT-säkerheten samt riktlinjer för hur dessa skall uppnås. Säkerhetsplan avser kommunens administrativa nätverk. I detta finns idag över 100 olika datasystem. Av dessa kan ett antal klassas som verksamhetskritiska. Säkerhetsplanens mål konkretiseras i en generell systemsäkerhetsplan för hela det administrativa. I de fall systemägaren bedömer att ett verksamhetskritiskt system kräver en högre säkerhetsnivå än den generella, skall det finnas en särskild systemsäkerhetsplan för det enskilda datasystemet. Det åligger systemägaren att ta fram eventuella kompletterande systemsäkerhetsplaner. En översikt över samtliga styrande dokument återfinns i bilaga 1. Det övergripande ansvaret för Falköpings kommuns datasystem åvilar kommunstyrelsen. Det operativa ansvaret för att varje enskilt datasystem uppfyller verksamhetens krav på säkerhet följer linjeorganisationen. Säkerhetsplanen har upprättats som ett led i kommunens IT-säkerhetsarbete. Säkerhetsarbetet följer i stort ÖCB:s föreskrifter och allmänna råd om grundsäkerhet för samhällsviktiga datasystem (FA22). 2 MÅL FÖR IT-SÄKERHETSARBETET Målen för Falköpings kommuns IT-säkerhetsarbete är att: samtliga verksamhetskritiska datasystem inom Falköpings kommun minst skall uppnå kommunens grundsäkerhetskrav (baserade på FA22), för de datasystem där så anses nödvändigt skall, utöver grundsäkerheten, verksamhetsrelaterade krav och hotrelaterade krav fastställas i särskild systemsäkerhetsplan, säkerhetsinstruktioner och åtgärder i datasystemen utformas och förvaltas på ett sådant sätt att kraven uppfylls, en återkommande uppföljning och kontroll av IT-säkerheten skall ske, bl.a. som underlag för verksamhetsplanering samt att Falköpings kommun skall kunna utföra sina uppgifter på ett tillfredsställande sätt i samband med svåra påfrestningar 3 RIKTLINJER FÖR ATT UPPNÅ MÅLEN 3.1 Allmänt För att uppnå målen krävs en effektiv samverkan mellan människor och teknik. Dessutom gäller att: gällande lagar, föreskrifter och författningar följs, all personal har kunskap om Falköpings kommuns IT-säkerhetsregler, det finns tillgång till en gemensam, säker och väl definierad infrastruktur för datakommunikation, informationen skall vara tillgänglig för de som har behov av den i sitt arbete men inte för någon annan samt löpande analysera hotbilden för varje enskilt verksamhetskritiskt datasystem 01-02-06 Sida1

3.2 Ledning och ansvar för IT-säkerhet En fastställd ansvarsfördelning för datasystemsäkerheten är en avgörande förutsättning för Falköpings kommun att leva upp till sin säkerhetsplan. Det övergripande säkerhetsansvaret finns fastslaget i ITstrategin och följer den normala linjeorganisationen. Var och en, som är ansvarig för någon del av verksamheten, ansvarar också för IT-säkerheten inom sitt område. Nedan redovisas en fördjupad beskrivning av ansvarsfördelningen för olika rollinnehavare. I flera fall kan samma person inneha två eller flera av dessa roller, till exempel systemägare och informationsansvarig. 3.2.1 I Falköpings kommun är den som är verksamhetsansvarige också systemägare. Detta innebär för de förvaltningsövergripande datasystemen (t.ex. ekonomisystem och ärendehanteringssystem) att kommunstyrelsen är systemägare och kommundirektören den som utövar systemägaransvaret. För de generella resurserna i det administrativa (t.ex. nätverksoperativ, antivirusprogram, e-post och kontorsprogram) utövar en systemägaransvaret. Vad gäller de förvaltningsspecifika systemen är respektive nämnd systemägare och förvaltningschefen utövar systemägaransvaret. n har det övergripande ansvaret för att datasystemet förvaltas på för verksamheten bästa sätt. n fattar också de avgörande besluten om datasystemets ny-, vidareutveckling eller avveckling inom ramen för resurstilldelningen för sin verksamhet. Systemägaransvaret innebär att kommundirektör och förvaltningschefer har, inom ramen för respektive styrelse och nämnds resurstilldelning, bl.a. ansvar för följande: att fastställa säkerhetsnivån för de egna datasystemen. I de fall grundsäkerheten i det administrativa nätet inte bedöms som tillräcklig skall en särskild systemsäkerhetsplan upprättas för det egna datasystemet. Detta innebär att fastställa: vilket informationsinnehåll datasystemet skall ha vilka lagar och andra regelverk som gäller identifiera verksamhetens krav på datasystemet hotbilden för datasystemet att fastställa särskilda säkerhetsinstruktioner för datasystemet. Systemägaransvaret innebär dessutom: att fastställa organisation och befattningar som rör systemet att i samverkan med en fastställa avbrottsplan för datasystemet, att fastställa datasystemets dokumentation och användarhandledning, att driftgodkänna datasystemet, att tillse att reservrutiner, serviceavtal m.m. finns, att besluta om utbildning som rör systemet, att i samråd med en, se till att systemet fungerar ihop med samverkande datasystem, att fatta beslut om systemets ekonomi vad avser utveckling och användning av datasystemet ifråga samt samverka med en vad avser teknisk drift och då systemförändringar aktualiseras. 01-02-06 Sida2

Inom systemägarens område ligger också att svara för att behövliga licenser respektive tillstånd enligt datalagen, finns för datasystemet. 3.2.1.1 Informationsansvar Kommundirektören och förvaltningscheferna ansvarar genom sitt verksamhetsansvar även för själva informationen i systemen och att denna hanteras på ett ur säkerhetssynpunkt tillfredställande sätt. Informationsansvaret innebär ansvar för: vilka uppgifter som skall tillhandahållas enligt offentlighetsprincipen och hur detta skall ske, om och vilka delar av informationen som är sekretessbelagd, för informationsinnehållet (registeransvarig), för personuppgifter (personuppgiftsansvar) beslut om enskilda användares behörighet till datasystem, hur och av vem/vilka informationen skall registreras i systemet samt att anmäla till systemansvarig och till IT-avdelningens behörighetsadministration när personal slutar eller av annat skäl skall ha ändrade behörigheter. 3.2.2 Systemansvarig Systemansvarig utses av systemägare och är den person i berörd verksamhet som har ansvaret för den dagliga användningen av datasystemet. Systemansvarig samverkar med IT-avdelningens systemtekniker för att säkerställa en säker och rationell daglig drift av systemet. Systemansvarig har som uppgift att: ha det operativa ansvaret för IT-säkerheten i det egna systemet, verkställa beslut som systemägaren fattar, dokumentera förslag till ändringar/utveckling av systemet, ge användarsupport beträffande verksamhetsrelaterade frågor i systemet, samverka med IT-avdelningen och dess systemtekniker, genomföra erforderliga utbildningar i systemet, i de system som har en intern loggning av aktiviteter, regelbundet granska dessa och rapportera avvikelser till systemägaren samt vid behov rådgöra med den systemtekniskt ansvarige. om inte annat är överenskommet med IT-avdelningens systemtekniker, svara för all användar- och behörighetsadministration i datasystemet samt delta i arbetet med säkerhetsfrågor som rör systemet. 3.2.3 en är ansvarig för Falköpings kommuns IT-infrastruktur och har det övergripande ansvaret för att de olika datasystemens tekniska delar fungerar. en utövar också systemägaransvaret för kommunens generella datasystem. Dessutom skall en samverka med systemägarna vad avser drift och resursfördelning för datasystemen. 01-02-06 Sida3

en har följande ansvarsområden: att i samråd med systemägaren tillse att systemet fungerar ihop med samverkande datasystem, att besluta om behörighet till den gemensamma infrastrukturen, att besluta om avregistrering av användare från den gemensamma infrastrukturen, att rutiner för säkerhetskopiering uppfyller systemägarens krav, att säkerhetskopierat material förvaras på ett betryggande sätt och kontrollera att återläsningsrutiner fungerar, att tillhandahålla teknisk support för användare ( help desk ), att biträda systemägaren i avbrottsplaneringen, att vara teknisk rådgivare till systemägaren då förändringar i systemet är aktuella, att ansvara för systemets tekniska säkerhet samt att ansvara för att den tekniska IT-säkerheten ligger på en nivå som motsvarar de ställda kraven. 3.2.4 Systemtekniskt ansvarig Den systemtekniskt ansvarige tillhör IT-avdelningen och innehar den tekniska kompetensen. Systemtekniker, tillsammans med systemansvarig, ansvarar för att den dagliga driften upprätthålls enligt gällande ansvarsfördelning mellan systemägaren och en. Systemteknikern har bl.a. följande uppgifter: registrera användare i systemet (infrastrukturen) med tillgång till de system som verksamhetsansvarig har beslutat och med den behörighetsprofil som krävs för att utföra sina arbetsuppgifter. Behörighetsprofilen beslutas av och administreras av särskilt utsedda systemtekniker. avregistrera användare (infrastrukturen) efter anmälan av verksamhetsansvarig och beslut av ITchefen. Detta administreras av särskilt utsedda systemtekniker. att tillsammans med systemansvarig ansvara för att den dagliga driften upprätthålls enligt den beslutade ansvarsfördelning i IT-strategin, ansvar för att systemet rent tekniskt fungerar väl ur tillgänglighetssynpunkt, tillhandahålla teknisk support till systemansvarig och användare samt ansvara för den tekniska säkerheten i systemet och delta i arbetet med säkerhetsfrågor som rör den tekniska infrastrukturen. 3.2.5 Användare Varje användare ansvarar för att gällande regler för IT-säkerhet följs. I detta ansvar ingår även att noga ta del av och följa de säkerhetsinstruktioner som finns för de datasystem den enskilde användaren nyttjar. I ansvaret ingår även att till systemansvarig rapportera olika former av incidenter, t.ex. misstänkt virusangrepp. 01-02-06 Sida4

3.2.6 IT-säkerhetsfunktion Den som innehar en IT-säkerhetsfunktion skall understödja arbetet med att uppnå säkerhetsplanens mål. Detta kan innebära aktivt deltagande i projekt, etablerande av interna och externa kontaktnät, utvärdering och deltagande i diskussioner kring metoder, plattformar, applikationer eller datasystem. Det är dock alltid upp till verksamheterna att välja på vilket sätt och med vilka resurser man vill uppnå målen. 4 LAGAR OCH ANDRA REGELVERK Ramarna för Falköpings kommuns IT-säkerhetsarbete sätts utifrån lagar och andra regelverk. Dessa anger bland annat villkoren för de övergripande säkerhetskrav som ställs på verksamheten och därmed även på hanteringen av information i datasystem. Detta omfattar bland annat: skyddet av den personliga integriteten, att sekretessbelagd information skall skyddas mot otillbörlig åtkomst, med iakttagande av offentlighetsprincipen, olika intressenters krav på korrekt information och allmänhetens lagliga rätt till insyn i offentliga handlingar samt speciallagstiftning 5 GRUNDSÄKERHET IT Till grund för Falköpings kommuns IT-säkerhet gäller föreskrifter och allmänna råd om grundsäkerhet FA22. Dessa har tillrättalagts utifrån Falköpings kommuns behov och gäller nu som lägsta säkerhetsnivå i Falköpings kommun administrativa nätverk. 6 IT-SÄKERHETSARBETET INOM FALKÖPINGS KOMMUN IT-säkerhetsarbetet inom Falköpings kommun skall i huvudsak följa den process i säkerhetsarbetet som baseras på FA22. Processen är uppbyggt så att det indirekt anger en logisk arbetsprocess för IT-säkerhetsarbetet. Detta innebär att: Utgående från säkerhetsplanen tas en generell systemsäkerhetsplan fram för det administrativa. Därefter kompletteras denna, där så anses nödvändigt, med en systemsäkerhetsplan för enskilda verksamhetskritiska datasystem. I dessa systemsäkerhetsplaner identifieras, utöver den grundläggande säkerhetsnivån som gäller generellt för Falköpings kommuns administrativa nätverk, även de verksamhetsspecifika kraven i lagar och andra regelverk samt verksamhetsrelaterade krav och hotrelaterade krav som gäller för de enskilda datasystemen. Systemsäkerhetsplanerna fastställs av respektive systemägare. Med utgångspunkt från säkerhetsplanen och systemsäkerhetsplanerna tas säkerhetsinstruktioner fram. I säkerhetsinstruktionerna fastställer systemägaren vilka säkerhetsregler som gäller för det egna datasystemet. För varje verksamhetskritiskt datasystem skall också en avbrottsplan upprättas. 01-02-06 Sida5

Falköpings kommuns plan för ledning i samband med svåra påfrestningar skall innehålla en beskrivning av lägsta behov av IT-stöd vid dessa tillfällen. Nödvändiga instruktioner och säkerhetsåtgärder vidtas för att tillgodose kraven i systemsäkerhetsplanen. För att kontrollera att vidtagna säkerhetsåtgärder i datasystemet uppfyller ställda krav genomförs en granskning av befintliga säkerhetsåtgärder. Denna granskning ligger till grund för beslut om driftgodkännande av datasystemet. n driftgodkänner datasystemet. 7 DRIFTGODKÄNNANDE n skall besluta om driftgodkännande av verksamhetskritiska datasystem. Av beslutet skall framgå hur kraven på grundsäkerhet är tillgodosedda samt hur systemsäkerhetsplanen i övrigt tillgodoses. Beslut om driftgodkännande skall dokumenteras. Falköpings kommuns administrativa nätverk skall ha en sådan säkerhet att det kan driftgodkännas senast 2001-12-31. Säkerhetsarbetet skall, för de verksamhetskritiska system som bedöms kräva en särskild systemsäkerhetsplan, bedrivas så att driftgodkännande kan beslutas senast 2002-06-30. De åtgärder som då eventuellt återstår skall vara dokumenterade och det skall finnas en tidplan för när de skall vara genomförda. 01-02-06 Sida6

BILAGA 1 ÖVERSIKT - STYRANDE DOKUMENT Dokument Nivå Innehåll Upprättas av Fastställs av Säkerhetspolicy Generell Policy för IT-säkerheten i Falköpings kommun Utsedd arbetsgrupp Kommunfullmäktige Säkerhetsplan Hela det administrativa Ansvarsfördelning och övergripande mål för ITsäkerheten i Falköpings kommuns administrativa Kommunstyrelsen Särskild Systemsäkerhetsplan Generell säkerhetsinstruktion Kompletterande säkerhetsinstruktion IT-plan i samband med svåra påfrestningar Hela det administrativa Per system Hela det administrativa Per system För användare För användare Hela det administrativa nätverk Konkreta mål och ramar för IT-säkerheten kring kommunens administrativa Konkreta mål och ramar för IT-säkerheten kring enskilda system Generella säkerhetsregler för hela det administrativa Särskilda säkerhetsregler för enskilda system Generella säkerhetsregler för användare i det administrativa Särskilda säkerhetsregler för användare av enskilda system IT-plan i samband med svåra påfrestningar. Utgör del av kommunens plan för ledning i samband med svåra påfrestningar. Generell systemsäkerhetsplan Kommundirektör Kompletterande säkerhetsinstruktion Generell säkerhetsinstruktion Kommunstyrelsen Avbrottsplan Per system Plan för avbrott Katastrofplan Per system Plan för katastrof Driftgodkännande Per system Driftgodkännande av systemet 01-02-06 Sida7

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss