SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum 2018-08-15 117 KS 245/18 Upprättande av riktlinjer för informationssäkerhet Beslut Arbetsutskottets förslag till kommunstyrelsen Kommunstyrelsen antar förslag till riktlinjer för informationssäkerhet. Kommunstyrelsen beslutar att ge i uppdrag till stadsledningsförvaltningen att under år 2019 ta fram anvisningar för risk- och sårbarhetsanalys, incidentrapportering av informationssäkerhetsincidenter och anvisning för informationssäkerhetsklassning. Ärendet Utifrån stadens Policy för säkerhet- och krisberedskap så har kommunstyrelsen till sin uppgift att besluta om riktlinjer för säkerhetsarbetet. I och med Dataskyddsförordningen (2016/679), Lagen om informationssäkerhet för samhällsviktiga och digitala tjänster samt den nya Säkerhetsskyddslagen så har behovet av ett systematiskt informationssäkerhetsarbete aktualiserats. Stadsledningsförvaltningen har tagit fram följande förslag på riktlinjer och föreslår också att specifika anvisningar ska tas fram för att ge förvaltningarna särskilt stöd och styrning avseende klassning, risk- och sårbarhetsanalyser samt incidentrapportering. Ärendets behandling Stadsledningsförvaltningens tjänsteskrivelse daterad 11 juni 2018. Förslag till riktlinjer för informationssäkerhet. Förslag till beslut Stadsledningsförvaltningens förslag till arbetsutskottet Kommunstyrelsen antar förslag till riktlinjer för informationssäkerhet. Kommunstyrelsen beslutar att ge i uppdrag till stadsledningsförvaltningen att under år 2019 ta fram anvisningar för risk- och sårbarhetsanalys, incidentrapportering av informationssäkerhetsincidenter och anvisning för informationssäkerhetsklassning. Justerandes sign Utdragsbestyrkande 1
SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum 2018-08-15 Beslutsgång Ordförande frågar om stadsledningsförvaltningens förslag till beslut kan antas och finner att så sker. Expedieras till Kommunstyrelsen Justerandes sign Utdragsbestyrkande 2
TJÄNSTESKRIVELSE 2018-06-11 1 (2) Dnr KS 245/18 Stadsledningsförvaltningen Mathias Krusell (Ange beslutsinstans) Upprättande av riktlinjer för informationssäkerhet Förslag till beslut Kommunstyrelsen antar förslag till riktlinjer för informationssäkerhet. Kommunstyrelsen beslutar att ge i uppdrag till stadsledningsförvaltningen att under år 2019 ta fram anvisningar för risk- och sårbarhetsanalys, incidentrapportering av informationssäkerhetsincidenter och anvisning för informationssäkerhetsklassning. Ärendet Utifrån stadens Policy för säkerhet- och krisberedskap så har Kommunstyrelsen till sin uppgift att besluta om riktlinjer för säkerhetsarbetet. I och med Dataskyddsförordningen (2016/679), Lagen om informationssäkerhet för samhällsviktiga och digitala tjänster samt den nya Säkerhetsskyddslagen så har behovet av ett systematiskt informationssäkerhetsarbete aktualiserats. Stadsledningsförvaltningen har tagit fram följande förslag på riktlinjer och föreslår också att specifika anvisningar ska tas fram för att ge förvaltningarna särskilt stöd och styrning avseende klassning, risk- och sårbarhetsanalyser samt incidentrapportering. Beredning I och med ny lagstiftning så behövs styrning och ansvar rörande informationssäkerhetsarbete fastställas. Ett arbete för utveckla informationssäkerheten i Mölndals stad behöver genomföras under år 2019 med syfte att både skapa konkreta verktyg (såsom anvisningar) för att stärka informationssäkerheten samt att identifiera hur informationssäkerheten kan utvecklas ytterligare. Informationssäkerhetsarbetet ska ske samordnat mellan informationssäkerhetssamordnare på stadsarkivet, säkerhetsamordnare, IT-avdelningen samt säkerhetsfunktioner på övriga förvaltningar. Myndigheten för samhällsskydd och beredskap är väldigt aktiva och drivna i att ta fram metodstöd, kompetensutveckling och mötesplatser för informationssäkerhet. Bedömning Föreslagna riktlinjer bör antas då de utgör ger en god förutsättning för att stadens nämnder och förvaltningar att uppfylla kraven i den samlade lagstiftningen rörande informationssäkerhet.
TJÄNSTESKRIVELSE 2018-06-11 Sida 2 (2) Dnr KS 245/18 Expedieras till Alla nämnder, säkerhetssamordnare och dataskyddsombud Anna Hiller Kommunikation- och kanslichef Carina Nordgren Förvaltningschef
Riktlinjer för informationssäkerhet Inledning Mölndals stads riktlinjer för informationssäkerhet upprättas i enlighet med Policy för säkerhet och krisberedskap och är utformade från att följa lagkrav på informationssäkerhet från Dataskyddsförordningen (2016/679), Lagen om informationssäkerhet för samhällsviktiga och digital tjänster samt Policy och riktlinjer för hantering av personuppgifter i Mölndals stad (KS 147/18). Riktlinjerna för informationssäkerhet har också koppling till säkerhetsskydd, IT-säkerhet, krisberedskap och civilt försvar. Riktlinjerna gäller för stadens samtliga nämnder och är en del av stadens interna regelverk. Syfte och mål Mölndals stad ska klara att skydda informationen inom stadens verksamheter. Det framarbetade skyddet ska vara anpassat till skyddsvärde, risk och juridiska krav och på så sätt göra det möjligt för verksamheterna inom Mölndals stad att sköta sina uppdrag och nå sina mål. Informationssäkerhet innebär åtgärder av olika slag för att skydda information som är av betydelse för säkerhetskänslig verksamhet. Det vill säga skydda säkerhetsklassificerade uppgifter för att förebygga att uppgifterna röjs, ändras, görs otillgängliga eller förstörs samt förebygga skadlig inverkan på informationstillgångar som annars är av betydelse för säkerhetskänslig verksamhet. En stark informationssäkerhet ska bidra till verksamheternas funktionalitet, kvalitet och effektivitet samtidigt som den stärker medborgares rättigheter och personliga integritetet. Informationssäkerheten ska dessutom kunna bidra till att förebygga och hantera allvarliga störningar och kriser Ansvarsfördelning Kommunstyrelsen Beslutar om stadsövergripande riktlinjer och motsvarande styrdokument, i enlighet med kommunfullmäktiges beslut och lagstiftning. Säkerställer att stadens nämnder och styrelser avsätter tillräckliga resurser för förvaltningarnas och bolagens informationssäkerhet. Säkerställer att stadens styrning och ledning gällande informationssäkerhet är effektiv och ändamålsenlig genom styrning och stöd. Nämnder/Styrelser Bolagsstyrelse Förvaltningschef, VD Ytterst ansvariga för förvaltningarnas och bolagens verksamhet, inklusive informationssäkerhet. Fastställer förvaltnings- respektive bolagsspecifika riktlinjer för informationssäkerhet. Ansvarar för att planera, samordna, genomföra, följa upp och utvärdera förvaltningens respektive bolagets verksamhet, inklusive dess säkerhet. Styrdokument Riktlinjer Ansvarig - Beslutat av Kommunstyrelsen datum Gäller för Mölndals stad Gäller från och med 2018-09-01 2022-12-31 Senast uppdaterat
Fastställer förvaltnings- respektive bolagsspecifika instruktioner, rutiner, arbetsbeskrivningar och motsvarande styrdokument, avseende informationssäkerhet. Ansvarar för att risk- och sårbarhetsanalyser genomförs för förvaltningens informationsbehandlingar. Systemägare/Systemförvaltare Chef/Medarbetare Ansvarar för att löpande förvalta och utveckla IT-system som används för behandla information i verksamheten. Systemägare har ansvar för att fastställa vilka säkerhetskrav som informationen och systemen kräver. Systemförvaltare ska se till att säkerhetskraven verkställs i den tekniska miljön. Chef ska se till att sina medarbetare efterlever riktlinjer, har ett säkerhetsmedvetande och tillräcklig förståelse och kunskap för att en erforderlig informationssäkerhet i verksamheten kan uppnås. Medarbetare ska i eget arbete följa riktlinjer för informationssäkerhet samt eventuella verksamhetsspecifika regler. Varje medarbetare har även skyldighet att rapportera informationssäkerhetsrelaterade brister och incidenter. Personuppgiftsansvar Personuppgiftsansvar ligger under respektive nämnd i enlighet med det nämndsgemensamma reglementet i Mölndals stad. Skyldigheterna som följer med personuppgiftsansvaret regleras i riktlinjer för dataskydd. Hantering av informationstillgångar Klassning av information Informationsbehandlingar som görs i Mölndals stad ska klassificeras enligt en stadsgemensam modell. Stadens ambition är att till så stor som möjligt nyttja standardiserade sätt att klassificera information på. SKLs modell KLASSA ska användas för att klassificera information som behandlas både digitalt och analogt. Det innebär att informationen, ur ett säkerhetsperspektiv, klassas i skala 0-4 utifrån konfidentialitet, tillgänglighet, riktighet och spårbarhet. Nivå 0 innebär att inga krav finns på informationen ur det specifika avseendet. Nivå 4 innebär att kravnivån på informationen, utifrån det specifika avseendet, är av betydelse för rikets säkerhet eller att bristande säkerhet kan leda till terrorbrott. Information som omfattas av sekretess bör klassas som minst nivå 2 utifrån konfidentialitet. Rörande all information med konfidentialitets nivå 1 eller högre så bör åtkomsten till uppgifterna begränsas till de som är i direkt behov av informationen i sitt dagliga arbete. Klassningen av informationsbehandlingar ska vara samordnade med IT-avdelningens klassning av ITsystem som syftar till att identifiera vilka resurserna som krävs för driften av systemet.. Risk- och sårbarhetsanalyser Styrdokument Riktlinjer Ansvarig - Beslutat av Kommunstyrelsen datum Gäller för Mölndals stad Gäller från och med 2018-09-01 2022-12-31 Senast uppdaterat
Risk- och sårbarhetsanalyser ska göras för att förebygga oönskade händelser som kan inträffa och få negativ påverkan på informationssäkerheten. Risk- och sårbarhetsanalyser ska genomföras kontinuerligt samt vid större förändringar, t.ex. större systemuppdateringar, nyutveckling, nya användargrupper, extern åtkomst eller som en följd av en inträffad incident. Verksamheter som omfattas av Lagen om samhällsviktiga och digitala tjänster har särskilda krav att genomföra risk- och sårbarhetsanalyser och dessa analyser ska uppdatera årligen. Informationssäkerhetsincidenter Mölndals stad ska klara av att upptäcka, hantera och rapportera incidenter som innebär ett hot eller en störning mot stadens informationssäkerhet. Incidenterna ska hanteras genom IT-avdelningens ärendehanteringssystem. I de fall där incidenter ska rapporteras till särskild myndighet ska rapporteringen göras av verksamheten med stöd av informationssäkerhetssamordnare. Kontinuitetsplaner Inom varje förvaltning ska det finnas en ständigt aktuell kontinuitetsplanering där organisering och åtgärdsplan vid störningar i verksamheten finns dokumenterat. Respektive förvaltningschef avgör vilka IT-stöd som behöver omfattas av en kontinuitetsplan. Anskaffning, utveckling, avveckling av system När nya system ska anskaffas eller nya funktionaliteter i system ska utvecklas så måste krav som rör informationssäkerhet inkluderas i ett så tidigt skede som möjligt. Kraven ska utgå ifrån den klassningen av informationsbehandling som har gjorts. Om ett system för en helt ny informationsbehandling ska anskaffas så bör en klassning göras innan systemet kravställs. Systemägaren för systemet har ansvar att rätt säkerhetskrav formuleras som överensstämmer med kraven från verksamheten. Se också riktlinjer för hantering av personuppgifter i Mölndals stad (KS 147/18)för krav på personuppgiftsansvarig avseende tillräcklig säkerhetsnivå för den registrerades personuppgifter. Leverantörsrelationer När upphandling och inköp ska ske som innebär att en leverantör involveras i informationsbehandlingar i staden ska stort hänsyn tas till korrekta krav på informationssäkerhet. Information med höga krav på konfidentialitet får inte göras tillgänglig till leverantörer eller konsulter utan korrekta sekretessavtal. Särskilda regler gäller för information som omfattas av Säkerhetskyddslagen (1996:627 & 2018:585), Säkerhetsskyddsförordningen (1996:633 & 2018:658), Säpos föreskrifter och allmänna råd om säkerhetsskydd (PMFS 2015:3) samt särskilda styrdokument i Mölndals stad. I de fall där leverantörer får ansvar att upprätthålla funktioner som påverkar informationens Styrdokument Riktlinjer Ansvarig - Beslutat av Kommunstyrelsen datum Gäller för Mölndals stad Gäller från och med 2018-09-01 2022-12-31 Senast uppdaterat
tillgängligghet och/eller riktighet måste avtal med leverantör reglera ansvar för implementering och förvaltning av säkerhetsfunktioner. Det måste också tydliggöras i vilken mån leverantören är ansvar för incidentrapporting till Mölndals stad. Se även gällande riktlinjer för dataskydd i Mölndals stad för information rörande nämndernas skyldigheter vid upphandling utifrån sin roll som personuppgiftsansvarig. I kravspecifikationer ska alltid tydliga krav på säkerhet formuleras som sedan används vid utvärdering av anbud. Standardavtal för hantering av sekretesskyddad information, behandling av personuppgifter samt villkor för tillgång till stadens IT-miljö ska användas. Uppföljning och efter levnad Riktlinjerna gäller från 2018 till 2022 och ska revideras efter behov. Kommunstyrelsen ska informeras om väsentliga förändringar i informationssäkerhetsarbetet. Styrdokument Riktlinjer Ansvarig - Beslutat av Kommunstyrelsen datum Gäller för Mölndals stad Gäller från och med 2018-09-01 2022-12-31 Senast uppdaterat