SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Relevanta dokument
Informationssäkerhetspolicy för Ystads kommun F 17:01

SAMMANTRÄDESPROTOKOLL Kommunstyrelsen Sammanträdesdatum

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Informationssäkerhetspolicy

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Informationssäkerhetspolicy för Ånge kommun

1(6) Informationssäkerhetspolicy. Styrdokument

Informationssäkerhetspolicy KS/2018:260

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Policy för informations- säkerhet och personuppgiftshantering

POLICY INFORMATIONSSÄKERHET

Kommunstyrelsens förslag till antagande av reviderad informationssäkerhetspolicy Ärende 11 KS 2017/336

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Informationssäkerhetspolicy

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Policy och strategi för informationssäkerhet

Myndigheten för samhällsskydd och beredskaps författningssamling

Dnr

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Riktlinjer för hantering av personuppgifter

Policy för informationssäkerhet

Kommunal författningssamling för Smedjebackens kommun. Informationssäkerhetspolicy. 97 Dnr 2016/00447

I n fo r m a ti o n ssä k e r h e t

Koncernkontoret Enheten för säkerhet och intern miljöledning

Säkerhetsskyddsplan. Fastställd av kommunfullmäktige

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

IT-plan för Söderköpings kommun

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhetspolicy

Handlingsplan för persondataskydd

Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen

SÄKERHETSPOLICY FÖR VÄSTERVIKS KOMMUNKONCERN ANTAGEN AV KOMMUNFULLMÄKTIGE , 8

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

Riktlinjer för IT och informationssäkerhet - förvaltning

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Verksamhetsplan Informationssäkerhet

Informationssäkerhet en förutsättning för effektiv digitalisering. Moderator: William Linnefell, Ekonomistyrningsverket

Svar på revisionsskrivelse informationssäkerhet

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13

Välkommen till enkäten!

Informationsklassning och systemsäkerhetsanalys en guide

Remiss angående säkerhetspolicy med tillhörande riktlinjer

EDA KOMMUN. nformationssäkerhet - Informationssäkerhetspolicy

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Riktlinjer för IT-säkerhet i Halmstads kommun

Säkerhetspolicy för Västerviks kommunkoncern

Riktlinjer för personuppgiftshantering

Policy för säkerhetsskydd

Informationssäkerhetspolicy S/~LA KOMMUN KOMMUNFULLMÄKTIGE. Bi l aga KS 2015 / 135/1 INFORMATIONSSÄKERHETSPOLICY FÖR SALA KOMMUN

BESLUT. Instruktion för informationsklassificering

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Riktlinje för säkerhetsarbetet i Norrköpings kommun

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

10. Säkerhetspolicy och riktlinjer för säkerhetsarbetet i Västerviks kommunkoncern Dnr 2016/

Myndigheten för samhällsskydd och beredskaps författningssamling

Bilaga till rektorsbeslut RÖ28, (5)

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

Riktlinjer för säkerhetsarbetet i Älvsbyns kommun

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Riktlinjer för Informationssäkerhet Falkenbergs Kommun Kommunledningskontoret

Lokal informationssäkerhetspolicy för hälso- och sjukvårdsförvaltningen

Riktlinjer för dataskydd

REGLER FÖR INTERN KONTROLL

Informationssäkerhet, Linköpings kommun

Regler och instruktioner för verksamheten

Myndigheten för samhällsskydd och beredskaps författningssamling

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Plan för ökad civilförsvarsberedskap KS

Ledningssystem för Informationssäkerhet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Policy för informationssäkerhet och dataskydd 2018

Nya krav på systematiskt informationssäkerhets arbete

Reglemente för intern kontroll

Informationssäkerhetspolicy

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

Verket för förvaltningsutvecklings författningssamling ISSN Utgivare: Lena Jönsson, Verva, Box 214, Stockholm

Behandling av personuppgifter enligt dataskyddslagstiftningen. Riktlinjer

Remissutgåva. Program för informationssäkerhet

Informationssäkerhetspolicy för Umeå universitet

Riktlinjer för hantering av personuppgifter

I Central förvaltning Administrativ enhet

Informationssäkerhetspolicy för Katrineholms kommun

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

myndigheter En andra granskning av informationssäkerhet i staten RiR 2016:8 Informationssäkerhetsarbete

Informationssäkerhetspolicy

Bilaga 3 Säkerhet Dnr: /

REGLEMENTE FÖR INTERN KONTROLL I YSTADS KOMMUN

Revisionsrapport "Förstudie av kommunens ITorganisation"

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun

Transkript:

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum 2018-08-15 117 KS 245/18 Upprättande av riktlinjer för informationssäkerhet Beslut Arbetsutskottets förslag till kommunstyrelsen Kommunstyrelsen antar förslag till riktlinjer för informationssäkerhet. Kommunstyrelsen beslutar att ge i uppdrag till stadsledningsförvaltningen att under år 2019 ta fram anvisningar för risk- och sårbarhetsanalys, incidentrapportering av informationssäkerhetsincidenter och anvisning för informationssäkerhetsklassning. Ärendet Utifrån stadens Policy för säkerhet- och krisberedskap så har kommunstyrelsen till sin uppgift att besluta om riktlinjer för säkerhetsarbetet. I och med Dataskyddsförordningen (2016/679), Lagen om informationssäkerhet för samhällsviktiga och digitala tjänster samt den nya Säkerhetsskyddslagen så har behovet av ett systematiskt informationssäkerhetsarbete aktualiserats. Stadsledningsförvaltningen har tagit fram följande förslag på riktlinjer och föreslår också att specifika anvisningar ska tas fram för att ge förvaltningarna särskilt stöd och styrning avseende klassning, risk- och sårbarhetsanalyser samt incidentrapportering. Ärendets behandling Stadsledningsförvaltningens tjänsteskrivelse daterad 11 juni 2018. Förslag till riktlinjer för informationssäkerhet. Förslag till beslut Stadsledningsförvaltningens förslag till arbetsutskottet Kommunstyrelsen antar förslag till riktlinjer för informationssäkerhet. Kommunstyrelsen beslutar att ge i uppdrag till stadsledningsförvaltningen att under år 2019 ta fram anvisningar för risk- och sårbarhetsanalys, incidentrapportering av informationssäkerhetsincidenter och anvisning för informationssäkerhetsklassning. Justerandes sign Utdragsbestyrkande 1

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum 2018-08-15 Beslutsgång Ordförande frågar om stadsledningsförvaltningens förslag till beslut kan antas och finner att så sker. Expedieras till Kommunstyrelsen Justerandes sign Utdragsbestyrkande 2

TJÄNSTESKRIVELSE 2018-06-11 1 (2) Dnr KS 245/18 Stadsledningsförvaltningen Mathias Krusell (Ange beslutsinstans) Upprättande av riktlinjer för informationssäkerhet Förslag till beslut Kommunstyrelsen antar förslag till riktlinjer för informationssäkerhet. Kommunstyrelsen beslutar att ge i uppdrag till stadsledningsförvaltningen att under år 2019 ta fram anvisningar för risk- och sårbarhetsanalys, incidentrapportering av informationssäkerhetsincidenter och anvisning för informationssäkerhetsklassning. Ärendet Utifrån stadens Policy för säkerhet- och krisberedskap så har Kommunstyrelsen till sin uppgift att besluta om riktlinjer för säkerhetsarbetet. I och med Dataskyddsförordningen (2016/679), Lagen om informationssäkerhet för samhällsviktiga och digitala tjänster samt den nya Säkerhetsskyddslagen så har behovet av ett systematiskt informationssäkerhetsarbete aktualiserats. Stadsledningsförvaltningen har tagit fram följande förslag på riktlinjer och föreslår också att specifika anvisningar ska tas fram för att ge förvaltningarna särskilt stöd och styrning avseende klassning, risk- och sårbarhetsanalyser samt incidentrapportering. Beredning I och med ny lagstiftning så behövs styrning och ansvar rörande informationssäkerhetsarbete fastställas. Ett arbete för utveckla informationssäkerheten i Mölndals stad behöver genomföras under år 2019 med syfte att både skapa konkreta verktyg (såsom anvisningar) för att stärka informationssäkerheten samt att identifiera hur informationssäkerheten kan utvecklas ytterligare. Informationssäkerhetsarbetet ska ske samordnat mellan informationssäkerhetssamordnare på stadsarkivet, säkerhetsamordnare, IT-avdelningen samt säkerhetsfunktioner på övriga förvaltningar. Myndigheten för samhällsskydd och beredskap är väldigt aktiva och drivna i att ta fram metodstöd, kompetensutveckling och mötesplatser för informationssäkerhet. Bedömning Föreslagna riktlinjer bör antas då de utgör ger en god förutsättning för att stadens nämnder och förvaltningar att uppfylla kraven i den samlade lagstiftningen rörande informationssäkerhet.

TJÄNSTESKRIVELSE 2018-06-11 Sida 2 (2) Dnr KS 245/18 Expedieras till Alla nämnder, säkerhetssamordnare och dataskyddsombud Anna Hiller Kommunikation- och kanslichef Carina Nordgren Förvaltningschef

Riktlinjer för informationssäkerhet Inledning Mölndals stads riktlinjer för informationssäkerhet upprättas i enlighet med Policy för säkerhet och krisberedskap och är utformade från att följa lagkrav på informationssäkerhet från Dataskyddsförordningen (2016/679), Lagen om informationssäkerhet för samhällsviktiga och digital tjänster samt Policy och riktlinjer för hantering av personuppgifter i Mölndals stad (KS 147/18). Riktlinjerna för informationssäkerhet har också koppling till säkerhetsskydd, IT-säkerhet, krisberedskap och civilt försvar. Riktlinjerna gäller för stadens samtliga nämnder och är en del av stadens interna regelverk. Syfte och mål Mölndals stad ska klara att skydda informationen inom stadens verksamheter. Det framarbetade skyddet ska vara anpassat till skyddsvärde, risk och juridiska krav och på så sätt göra det möjligt för verksamheterna inom Mölndals stad att sköta sina uppdrag och nå sina mål. Informationssäkerhet innebär åtgärder av olika slag för att skydda information som är av betydelse för säkerhetskänslig verksamhet. Det vill säga skydda säkerhetsklassificerade uppgifter för att förebygga att uppgifterna röjs, ändras, görs otillgängliga eller förstörs samt förebygga skadlig inverkan på informationstillgångar som annars är av betydelse för säkerhetskänslig verksamhet. En stark informationssäkerhet ska bidra till verksamheternas funktionalitet, kvalitet och effektivitet samtidigt som den stärker medborgares rättigheter och personliga integritetet. Informationssäkerheten ska dessutom kunna bidra till att förebygga och hantera allvarliga störningar och kriser Ansvarsfördelning Kommunstyrelsen Beslutar om stadsövergripande riktlinjer och motsvarande styrdokument, i enlighet med kommunfullmäktiges beslut och lagstiftning. Säkerställer att stadens nämnder och styrelser avsätter tillräckliga resurser för förvaltningarnas och bolagens informationssäkerhet. Säkerställer att stadens styrning och ledning gällande informationssäkerhet är effektiv och ändamålsenlig genom styrning och stöd. Nämnder/Styrelser Bolagsstyrelse Förvaltningschef, VD Ytterst ansvariga för förvaltningarnas och bolagens verksamhet, inklusive informationssäkerhet. Fastställer förvaltnings- respektive bolagsspecifika riktlinjer för informationssäkerhet. Ansvarar för att planera, samordna, genomföra, följa upp och utvärdera förvaltningens respektive bolagets verksamhet, inklusive dess säkerhet. Styrdokument Riktlinjer Ansvarig - Beslutat av Kommunstyrelsen datum Gäller för Mölndals stad Gäller från och med 2018-09-01 2022-12-31 Senast uppdaterat

Fastställer förvaltnings- respektive bolagsspecifika instruktioner, rutiner, arbetsbeskrivningar och motsvarande styrdokument, avseende informationssäkerhet. Ansvarar för att risk- och sårbarhetsanalyser genomförs för förvaltningens informationsbehandlingar. Systemägare/Systemförvaltare Chef/Medarbetare Ansvarar för att löpande förvalta och utveckla IT-system som används för behandla information i verksamheten. Systemägare har ansvar för att fastställa vilka säkerhetskrav som informationen och systemen kräver. Systemförvaltare ska se till att säkerhetskraven verkställs i den tekniska miljön. Chef ska se till att sina medarbetare efterlever riktlinjer, har ett säkerhetsmedvetande och tillräcklig förståelse och kunskap för att en erforderlig informationssäkerhet i verksamheten kan uppnås. Medarbetare ska i eget arbete följa riktlinjer för informationssäkerhet samt eventuella verksamhetsspecifika regler. Varje medarbetare har även skyldighet att rapportera informationssäkerhetsrelaterade brister och incidenter. Personuppgiftsansvar Personuppgiftsansvar ligger under respektive nämnd i enlighet med det nämndsgemensamma reglementet i Mölndals stad. Skyldigheterna som följer med personuppgiftsansvaret regleras i riktlinjer för dataskydd. Hantering av informationstillgångar Klassning av information Informationsbehandlingar som görs i Mölndals stad ska klassificeras enligt en stadsgemensam modell. Stadens ambition är att till så stor som möjligt nyttja standardiserade sätt att klassificera information på. SKLs modell KLASSA ska användas för att klassificera information som behandlas både digitalt och analogt. Det innebär att informationen, ur ett säkerhetsperspektiv, klassas i skala 0-4 utifrån konfidentialitet, tillgänglighet, riktighet och spårbarhet. Nivå 0 innebär att inga krav finns på informationen ur det specifika avseendet. Nivå 4 innebär att kravnivån på informationen, utifrån det specifika avseendet, är av betydelse för rikets säkerhet eller att bristande säkerhet kan leda till terrorbrott. Information som omfattas av sekretess bör klassas som minst nivå 2 utifrån konfidentialitet. Rörande all information med konfidentialitets nivå 1 eller högre så bör åtkomsten till uppgifterna begränsas till de som är i direkt behov av informationen i sitt dagliga arbete. Klassningen av informationsbehandlingar ska vara samordnade med IT-avdelningens klassning av ITsystem som syftar till att identifiera vilka resurserna som krävs för driften av systemet.. Risk- och sårbarhetsanalyser Styrdokument Riktlinjer Ansvarig - Beslutat av Kommunstyrelsen datum Gäller för Mölndals stad Gäller från och med 2018-09-01 2022-12-31 Senast uppdaterat

Risk- och sårbarhetsanalyser ska göras för att förebygga oönskade händelser som kan inträffa och få negativ påverkan på informationssäkerheten. Risk- och sårbarhetsanalyser ska genomföras kontinuerligt samt vid större förändringar, t.ex. större systemuppdateringar, nyutveckling, nya användargrupper, extern åtkomst eller som en följd av en inträffad incident. Verksamheter som omfattas av Lagen om samhällsviktiga och digitala tjänster har särskilda krav att genomföra risk- och sårbarhetsanalyser och dessa analyser ska uppdatera årligen. Informationssäkerhetsincidenter Mölndals stad ska klara av att upptäcka, hantera och rapportera incidenter som innebär ett hot eller en störning mot stadens informationssäkerhet. Incidenterna ska hanteras genom IT-avdelningens ärendehanteringssystem. I de fall där incidenter ska rapporteras till särskild myndighet ska rapporteringen göras av verksamheten med stöd av informationssäkerhetssamordnare. Kontinuitetsplaner Inom varje förvaltning ska det finnas en ständigt aktuell kontinuitetsplanering där organisering och åtgärdsplan vid störningar i verksamheten finns dokumenterat. Respektive förvaltningschef avgör vilka IT-stöd som behöver omfattas av en kontinuitetsplan. Anskaffning, utveckling, avveckling av system När nya system ska anskaffas eller nya funktionaliteter i system ska utvecklas så måste krav som rör informationssäkerhet inkluderas i ett så tidigt skede som möjligt. Kraven ska utgå ifrån den klassningen av informationsbehandling som har gjorts. Om ett system för en helt ny informationsbehandling ska anskaffas så bör en klassning göras innan systemet kravställs. Systemägaren för systemet har ansvar att rätt säkerhetskrav formuleras som överensstämmer med kraven från verksamheten. Se också riktlinjer för hantering av personuppgifter i Mölndals stad (KS 147/18)för krav på personuppgiftsansvarig avseende tillräcklig säkerhetsnivå för den registrerades personuppgifter. Leverantörsrelationer När upphandling och inköp ska ske som innebär att en leverantör involveras i informationsbehandlingar i staden ska stort hänsyn tas till korrekta krav på informationssäkerhet. Information med höga krav på konfidentialitet får inte göras tillgänglig till leverantörer eller konsulter utan korrekta sekretessavtal. Särskilda regler gäller för information som omfattas av Säkerhetskyddslagen (1996:627 & 2018:585), Säkerhetsskyddsförordningen (1996:633 & 2018:658), Säpos föreskrifter och allmänna råd om säkerhetsskydd (PMFS 2015:3) samt särskilda styrdokument i Mölndals stad. I de fall där leverantörer får ansvar att upprätthålla funktioner som påverkar informationens Styrdokument Riktlinjer Ansvarig - Beslutat av Kommunstyrelsen datum Gäller för Mölndals stad Gäller från och med 2018-09-01 2022-12-31 Senast uppdaterat

tillgängligghet och/eller riktighet måste avtal med leverantör reglera ansvar för implementering och förvaltning av säkerhetsfunktioner. Det måste också tydliggöras i vilken mån leverantören är ansvar för incidentrapporting till Mölndals stad. Se även gällande riktlinjer för dataskydd i Mölndals stad för information rörande nämndernas skyldigheter vid upphandling utifrån sin roll som personuppgiftsansvarig. I kravspecifikationer ska alltid tydliga krav på säkerhet formuleras som sedan används vid utvärdering av anbud. Standardavtal för hantering av sekretesskyddad information, behandling av personuppgifter samt villkor för tillgång till stadens IT-miljö ska användas. Uppföljning och efter levnad Riktlinjerna gäller från 2018 till 2022 och ska revideras efter behov. Kommunstyrelsen ska informeras om väsentliga förändringar i informationssäkerhetsarbetet. Styrdokument Riktlinjer Ansvarig - Beslutat av Kommunstyrelsen datum Gäller för Mölndals stad Gäller från och med 2018-09-01 2022-12-31 Senast uppdaterat

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss