TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Relevanta dokument
Informationssäkerhetspolicy KS/2018:260

Informationssäkerhetspolicy

Informationssäkerhetspolicy

Policy för informationssäkerhet

Kommunstyrelsens förslag till antagande av reviderad informationssäkerhetspolicy Ärende 11 KS 2017/336

Informationssäkerhetspolicy för Ystads kommun F 17:01

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

1(6) Informationssäkerhetspolicy. Styrdokument

Informationssäkerhetspolicy inom Stockholms läns landsting

Kommunal författningssamling för Smedjebackens kommun. Informationssäkerhetspolicy. 97 Dnr 2016/00447

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Informationssäkerhetspolicy för Ånge kommun

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

POLICY INFORMATIONSSÄKERHET

Verksamhetsplan Informationssäkerhet

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Informationssäkerhetspolicy

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Policy för informations- säkerhet och personuppgiftshantering

Informationssäkerhetspolicy

Informationssäkerhetspolicy S/~LA KOMMUN KOMMUNFULLMÄKTIGE. Bi l aga KS 2015 / 135/1 INFORMATIONSSÄKERHETSPOLICY FÖR SALA KOMMUN

1 (5) Informationssäkerhetspolicy Informationssäkerhetspolicy. Ver 3.0

Riktlinjer för Informationssäkerhet Falkenbergs Kommun Kommunledningskontoret

Informationssäkerhetspolicy för Katrineholms kommun

Dnr

Informationssäkerhetspolicy. Linköpings kommun

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

Informationssäkerhetspolicy

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Informationssäkerhetspolicy

Katrineholms kommuns. Informationssäkerhetspo licy. IZatrineholms kommun "- Antagen av kommunfullmäktige , 106

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

I Central förvaltning Administrativ enhet

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

Riktlinjer för IT-säkerhet i Halmstads kommun

Policy för informationssäkerhet

1 INLEDNING ALLMÄNT OM INFORMATIONSSÄKERHET MÃL FÖRKOMMUNENS lnformationssäkerhetsarbete ROLLER OCH ANSVAR...

Informationssäkerhetspolicy för Umeå universitet

Policy för informationssäkerhet

Informationssäkerhetspolicy

Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13

Policy för säkerhetsskydd

Policy och strategi för informationssäkerhet

Informationssäkerhet - Informationssäkerhetspolicy

NYKVARNS KOMMUNS FÖRFATTNINGSSAMLING. Reglemente för Krisledningsnämnd. Antagen av kommunfullmäktige den [månad_år]

IT-policy. Styrdokument, policy Kommunledningskontoret Per-Ola Lindahl

Informationssäkerhet, Linköpings kommun

Informationssäkerhetspolicy IT (0:0:0)

Säkerhetsskyddsplan. Fastställd av kommunfullmäktige

Informationssäkerhetspolicy

EDA KOMMUN. nformationssäkerhet - Informationssäkerhetspolicy

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

Informationssäkerhetspolicy

Hur värnar kommuner digital säkerhet?

Informationssäkerhetspolicy för Nässjö kommun

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

Organisation för samordning av informationssäkerhet IT (0:1:0)

Koncernkontoret Enheten för säkerhet och intern miljöledning

Svar på revisionsskrivelse informationssäkerhet

Lokal informationssäkerhetspolicy för hälso- och sjukvårdsförvaltningen

POLICY FÖR E-ARKIV STOCKHOLM

Myndigheten för samhällsskydd och beredskaps författningssamling

I n fo r m a ti o n ssä k e r h e t

Revidering av riktlinjer för Informationssäkerhet vid Högskolan i Skövde

POLICY FÖR E-ARKIV STOCKHOLM

Nya krav på systematiskt informationssäkerhets arbete

Förstudie e-arkiv Begreppslista Begreppslista 1.0

Bilaga till rektorsbeslut RÖ28, (5)

Informationssäkerhetspolicy

Vetenskapsrådets informationssäkerhetspolicy

Riktlinjer för säkerhetsarbetet i Älvsbyns kommun

Myndigheten för samhällsskydd och beredskaps författningssamling

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Reglemente för krisledningsnämnd KS/2014:322

Förvaltningens förslag till beslut Kommunstyrelsen beslutar föreslå kommunfullmäktige att anta strategi för risk- och

Informationssäkerhet i. Torsby kommun

Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Informationssäkerhet en förutsättning för effektiv digitalisering. Moderator: William Linnefell, Ekonomistyrningsverket

Välkommen till enkäten!

Informationssäkerhetspolicy för Vetlanda kommun

Säkerhetspolicy för Västerviks kommunkoncern

Arkivregler för Uppsala kommun

Riktlinjer informationssäkerhet

SÄKERHETSPOLICY FÖR VÄSTERVIKS KOMMUNKONCERN ANTAGEN AV KOMMUNFULLMÄKTIGE , 8

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Riktlinje för säkerhetsarbetet i Norrköpings kommun

Arkivregler för Uppsala kommun

myndigheter En andra granskning av informationssäkerhet i staten RiR 2016:8 Informationssäkerhetsarbete

Administrativ säkerhet

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

10. Säkerhetspolicy och riktlinjer för säkerhetsarbetet i Västerviks kommunkoncern Dnr 2016/

Säkerhetspolicy för Tibro kommun

INFORMATIONSSÄKERHET 1 INLEDNING MÅL FÖR IT-SÄKERHETSARBETET... 2

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Transkript:

TJÄNSTESKRIVELSE 2019-01-14 Kommunstyrelsen Richard Buske Tf säkerhetschef Telefon 08 555 010 22 richard.buske@nykvarn.se informationssäkerhetspolicy KS/2019:63 Förvaltningens förslag till beslut Revidering av Kommunstyrelsen beslutar föreslå kommunfullmäktige besluta att anta Informationssäkerhetspolicy. Sammanfattning av ärendet Information är en av kommunens viktigaste tillgångar och hanteringen av den är en viktig och naturlig del i alla verksamheters dagliga arbete. Att information hanteras på rätt sätt är av strategisk betydelse för medarbetare, medborgare och näringsliv. Med TJÄNSTESKRIVELSE informationstillgångar avses all information som används i kommunens verksamhet, oavsett om den behandlas manuellt, digitalt eller automatiserat och oberoende av dess form eller miljö den förekommer i. Det är därför viktigt att information hanteras på ett säkert sätt och inte sprids felaktigt. Arbetet med informationssäkerhet ska vara långsiktigt och kontinuerligt, omfatta alla delar av vår verksamhet och alla de informationstillgångar som vi äger eller hanterar. Informationssäkerhetspolicyn har koppling till Nykvarns kommuns Strategi för risk och - säkerhetsarbete. Policyn fastställer Nykvarns kommuns viljeinriktning och övergripande mål för arbetet med informationssäkerhet i kommunen. Ekonomiska konsekvenser Telefon 08-555 010 00 Fax 08-555 014 99 www.nykvarn.se 1(2)

Kostnaderna ska täckas inom befintlig budgetram. Om kostnader skulle uppstå som idag inte finns med i beräkningen så får ansökan om utökade medel göras till kommunstyrelsen. Beslutsunderlag Tjänsteskrivelse 2019-10-14 Informationssäkerhetspolicy Barnkonventionskonsekvenser Ärendet i sig medför inga kosekvenser för annat än att policyn medför att Nykvarns kommuns arbete med informationssäkerhet blir mer förankrat och bidrar till trygghet i våra verksamheter. Birgitta Elvås Ola Edström TJÄNSTESKRIVELSE tf Kommundirektör tf Chef Kommunledningskontoret Beslutet expedieras till Akten Telefon 08-555 010 00 Fax 08-555 014 99 www.nykvarn.se 2(2)

Informationssäkerhetspolicy

Innehållsförteckning Antagen av kommunfullmäktige den [månad_år] Informationssäkerhetspolicy...2 Ändringar införda till och med KF, [nr/år] Inledning och bakgrund...2 Definition av information...2 Mål...2 Syfte...3 Lagar och regelverk...3 Roller och ansvar...3 Riktlinjer, föreskrifter och instruktioner...5 Informationssäkerhetsutbildning...5 Informationsklassning...5 Skyddsåtgärder...5 Efterlevnad av NIS direktivet...5 Revidering och Uppföljning...6 1

Avgränsning...6 Informationssäkerhetspolicy Inledning och bakgrund Information är en av kommunens viktigaste tillgångar och hanteringen av den är en viktig och naturlig del i alla verksamheters dagliga arbete. Att information hanteras på rätt sätt är av strategisk betydelse för medarbetare, medborgare och näringsliv. Med informationstillgångar avses all information som används i kommunens verksamhet, oavsett om den behandlas manuellt, digitalt eller automatiserat och oberoende av dess form eller miljö den förekommer i. Det är därför viktigt att information hanteras på ett säkert sätt och inte sprids felaktigt. 2

Arbetet med informationssäkerhet ska vara långsiktigt och kontinuerligt, omfatta alla delar av vår verksamhet och alla de informationstillgångar som vi äger eller hanterar. Definition av information Kommunens informationstillgångar består av all information som inkommer till kommunen eller som upprättas av kommunens verksamheter, oavsett var den förvaras och oavsett om den är digital eller på papper. Informationssäkerhetsarbetet syftar till att säkerställa att kommunen hanterar all information på ett säkert sätt. Detta oavsett vilken form informationen finns i. Det vill säga muntlig information, information på papper, information som ligger i ett IT-system eller lagras på digitala enheter såsom till exempel bärbar dator, iphone, Android och USB-minnen. Tänk alltid på att ingen obehörig ska ha möjlighet att ta del av informationen. Informationssäkerheten är särskilt viktig för känsliga och konfidentiella uppgifter som medarbetarna tar del av i sitt arbete. Mål God informationssäkerhet är den samlade effekten av kommunens organisatoriska, administrativa och tekniska åtgärder som vidtas för att skydda informationen mot de hot den kan utsättas för. Arbetet med informationssäkerhet måste vara medvetet och strukturerat med tydliga mål och riktlinjer. Målet är att upprätthålla nödvändig nivå på skyddet av informationstillgångarna, med informationsklassning som utgångspunkt, avseende; 3

Tillgänglighet att information är nåbar vid rätt tillfälle Sekretess/Konfidentialitet att informationen bara är åtkomlig för den som har rätt att ta del av den Riktighet att informationen är och förblir korrekt, begriplig och fullständig Spårbarhet att man i efterhand kan identifiera vem som gjort vad och när 4

Syfte Denna policy beskriver de övergripande principerna samt mål och inriktning för kommunens informationssäkerhet. Policyn ska konkretiseras med riktlinjer och rutiner som ska ge verksamheten ett stöd kring informationssäkerhet i det dagliga arbetet inom kommunen. Lagar och regelverk Nykvarns kommuns informationssäkerhetsarbete ska vara systematiskt och strukturerat, arbetssättet bygger på den svenska och internationella standarden LIS (ledningssystem för informationssäkerhet). Med stöd av LIS får vi rätt nivå på informationssäkerheten samtidigt som våra anställda får ett stöd i sitt dagliga arbete. LIS bygger på etablerade standarder, ISO standard 27000 och myndigheten för samhällsskydds metodstöd för informationssäkerhetsarbete. Vårt arbete med informationssäkerhet utgår framförallt från lagar, förordningar och föreskrifter såsom bland annat; Offentlighets- och sekretesslag (2009:400) Kommunallagen (2017:725) Förvaltningslagen (2017:900) Säkerhetsskyddslag (1996:627) och Säkerhetsskyddsförordning (1996:633) GDPR Dataskyddsförordningen (EU 2016/679) Arkivlag (1990:782) Arkivförordning (1991:446) Riksarkivets föreskrifter RA-FS 1991:1 (grund), RA-FS 1997:4 (ändr. omtryck), RA-FS 2013:4, RA-FS 2009:1 Lag utifrån NIS-direktivet (Prop. 2017/18:205) 5

Nykvarns kommuns egna krav är också styrande för informationssäkerhetsarbetet, samt de avtal som kommunen tecknat med företag och samarbetspartners. Roller och ansvar Kommunfullmäktige uttrycker i denna policy sin viljeinriktning för informationssäkerhetsarbetet för Nykvarns kommun. Kommunstyrelsen har ytterst ansvaret för att samordna och följa upp kommunens informationssäkerhetsarbete. Kommunstyrelsen har det övergripande ansvaret för att säkerställa att informationssäkerhetsarbetet riktlinjer utarbetas, förvaltas och följs upp. Nämnderna med förvaltningens kontor är ytterst ansvariga för informationshantering och informationssäkerhet inom ramen för sina verksamheter. Informationsägaren har det löpande praktiska ansvaret för informationen inom sin verksamhet och avgör vilken information som får hanteras, hur den får hanteras och av vem den får hanteras. Om inte rollen delegerats är det kontorschefen som agerar i rollen informationsägare. Alla som hanterar information ska ha kunskap om det regelverk som gäller för hur informationen får hanteras och har själva ett ansvar för att informationssäkerheten upprätthålls. Ansvaret för informationssäkerheten ligger i kommunens linjeorganisation, det innebär att: Kommundirektören har det yttersta ansvaret för informationssäkerheten och att det finns en tydlig ansvarsfördelning för att upprätthålla denna. 6

Varje anställd ansvarar för att följa säkerhetsregler samt att rapportera fel och störningar i informationssystem, utrustning och informationsinnehåll enligt fastställda rutiner. Den som upptäcker brister i informationssäkerheten måste uppmärksamma sin chef eller säkerhetschefen om detta. Alla medarbetare ska också rapportera händelser som kan leda till att kommunens informationstillgångar utsätts för risker. Den som har ansvaret för en verksamhet är också ansvarig för denna verksamhets informationssäkerhet. Detta innebär att varje chef även har ansvar för att information hanteras på rätt sätt och informationssäkerheten upprätthålls i enlighet med kommunen policy, riktlinjer och rutiner. När det gäller system har systemförvaltaren det övergripande ansvar för såväl systemet i sig och dess användning, men också för att säkerställa IT-säkerhet för systemet och informationssäkerhet den information som hanteras. Säkerheten ska anpassas utifrån informationsklassning liksom policy, riktlinjer och rutiner. I rollen som systemförvaltare ligger också att säkerställa att användarna har kunskap om både hur systemet fungerar och ska användas, men också hur informationen ska hanteras för att upprätthålla en god informationssäkerhet. Den som ingår avtal som innefattar informationsutbyte ansvarar för att kraven på informationssäkerhet specificeras i avtalet. Säkerhetschefen har det övergripande och strategiska ansvaret att leda, utveckla och samordna informationssäkerhetsarbetet, och ansvarar för att mallar och riktlinjer utarbetas samt att utbildningsmaterial för informationssäkerhet finns tillgänglig för både personal och förtroendevalda. 7

Kansliavdelningen samordnar frågor när det gäller juridik och arkivfrågor, och är rådgörande för frågor gällande bestämmelserna i tryckfrihetsförordningen, arkivlagen och offentlighets- och sekretesslagen samt förvaltningslagen. Systemadministratörer ansvarar för att följa de riktlinjer och rutiner som finns för respektive system och informationsmängd. Digitaliserings och IT-chefen ansvarar för arbetet med kommunens ITsäkerhet samt att upprätta en kontinuitetsplan rörande IT-stöd samt ansvarar för IT-säkerhetsfrågor. Riktlinjer, föreskrifter och instruktioner Denna policy ska konkretiseras i riktlinjer, och i förekommande fall, i föreskrifter och instruktioner. Dessa dokument bör så långt möjligt utformas och inbördes ordnas i enlighet med vedertagen internationell och svensk standard för informationssäkerhet (SS-ISO/IEC 27001, Ledningssystem för informationssäkerhet ). Informationssäkerhetsutbildning All berörd personal och förtroendevalda ska regelbundet få den utbildning som behövs för att informationssäkerheten ska kunna upprätthållas. Informationsklassning Information som hanteras i kommunen ska klassificeras med avseende krav på sekretess, riktighet, tillgänglighet och spårbarhet. Skyddsåtgärder Nykvarns kommun ska beskriva och införa organisatoriska, administrativa och tekniska skyddsåtgärder för att nödvändig skyddsnivå uppnås. 8

Val av skyddsåtgärder ska anpassas efter verksamheten och baseras på informationens betydelse och de konsekvenser som bristande säkerhet kan innebära för alla intressenter i en viss informationshantering. Lagar och förordningars krav ska utgöra lägsta nivå vid specificering av skyddsåtgärder. En förutsättning för arbetet med informationssäkerhet är att en god säkerhetskultur genomsyrar hela verksamheten. Med detta menas inte bara att medarbetare har god kunskap om vilka säkerhetsregler som gäller, utan också att de kritiskt ifrågasätter händelser som kan påverka säkerheten. Efterlevnad av NIS direktivet Kontinuitetsplaneringen är av central betydelse för att bedriva verksamheten på en acceptabel nivå under såväl normala förhållanden som vid extraordinära händelser. En kontinuitetsplan ska finnas baserad på de olika informationstillgångarnas samlade krav efter genomförd riskanalys. För respektive informationstillgång är systemägaren ansvarig för riskanalys och kontinuitetsplan tas fram, medan respektive ansvarig chef ansvarar för att kontinuitetsplanen är känd och förankrad i organisationen. I arbetet med informationssäkerhet och kontinuitetsplanering ska höjd tas för efterlevnad av NIS-direktivet för att säkerställa att samhällsviktig verksamhet kan återgå till normal drift så fort som möjligt. Det är av stor betydelse att bedriva verksamheten på en acceptabel nivå under såväl normala förhållanden som vid extraordinära händelser. En kontinuitetsplan ska finnas för driften av IT-verksamheten baserad på de olika informationssystemens samlade krav, samt för de verksamheter som har verksamhet som bedömts som samhällsviktig. Revidering och Uppföljning Uppföljning är en viktig del i informationssäkerhetsarbetet för att bevaka att: - beslutade åtgärder är genomförda 9

- årliga mål är uppfyllda - regler följs - att policy och instruktioner vid behov revideras Informationssäkerhetspolicyn i Nykvarns kommun ska gås igenom varje år och revideras vid behov. Säkerhetschefen ansvarar för att policyn för informationssäkerhet följs upp och uppdateras. Avgränsning Policyn för informationssäkerhet gäller för alla informationstillgångar i alla verksamheter inom Nykvarns kommun samt för AB Nykvarnsbostäder. Policyn gäller för samtliga aktörer som kan komma att hantera kommunens information. 10

TJÄNSTESKRIVELSE 2019-01-14 Kommunstyrelsen Richard Buske Tf säkerhetschef Telefon 08 555 010 22 richard.buske@nykvarn.se icy KS/2019:63 Informationssäkerhetspol Förvaltningens förslag till beslut Kommunstyrelsen beslutar föreslå kommunfullmäktige besluta att anta Informationssäkerhetspolicy. Sammanfattning av ärendet Information är en av kommunens viktigaste tillgångar och hanteringen av den är en viktig och naturlig del i alla verksamheters dagliga arbete. Att information hanteras på rätt sätt är av strategisk betydelse för medarbetare, medborgare och näringsliv. Med informationstillgångar avses all information som används i kommunens verksamhet, oavsett om den behandlas manuellt, digitalt eller automatiserat och oberoende av dess form eller miljö den förekommer i. TJÄNSTESKRIVELSE Det är därför viktigt att information hanteras på ett säkert sätt och inte sprids felaktigt. Arbetet med informationssäkerhet ska vara långsiktigt och kontinuerligt, omfatta alla delar av vår verksamhet och alla de informationstillgångar som vi äger eller hanterar. Informationssäkerhetspolicyn har koppling till Nykvarns kommuns Strategi för risk och - säkerhetsarbete. Policyn fastställer Nykvarns kommuns viljeinriktning och övergripande mål för arbetet med informationssäkerhet i kommunen. Det går idag inte att hitta någon befintlig policy för informationssäkerhet, därför har denna policy arbetats fram. Förvaltningen kommer arbeta fram riktlinjer till denna policy. Ekonomiska konsekvenser Kostnaderna ska täckas inom befintlig budgetram. Om kostnader skulle uppstå som idag inte finns med i beräkningen så får ansökan om utökade medel göras till kommunstyrelsen. Beslutsunderlag Tjänsteskrivelse 2019-10-14 Informationssäkerhetspolicy Barnkonventionskonsekvenser Ärendet i sig medför inga kosekvenser för annat än att policyn medför att Nykvarns kommuns arbete med informationssäkerhet blir mer förankrat och bidrar till trygghet i våra verksamheter. Telefon 08-555 010 00 Fax 08-555 014 99 www.nykvarn.se 1(2)

Birgitta Elvås tf Kommundirektör Beslutet expedieras till Akten Ola Edström tf Chef Kommunledningskontoret TJÄNSTESKRIVELSE Telefon 08-555 010 00 Fax 08-555 014 99 www.nykvarn.se 2(2)

Informationssäkerhetspolicy

Innehållsförteckning Antagen av kommunfullmäktige den [månad_år] Informationssäkerhetspolicy...2 Ändringar införda till och med KF, [nr/år] Inledning och bakgrund...2 Definition av information...2 Mål...2 Syfte...3 Lagar och regelverk...3 Roller och ansvar...3 Riktlinjer, föreskrifter och instruktioner...5 Informationssäkerhetsutbildning...5 Informationsklassning...5 Skyddsåtgärder...5 Efterlevnad av NIS direktivet...5 Revidering och Uppföljning...6 1

Avgränsning...6 Informationssäkerhetspolicy Inledning och bakgrund Information är en av kommunens viktigaste tillgångar och hanteringen av den är en viktig och naturlig del i alla verksamheters dagliga arbete. Att information hanteras på rätt sätt är av strategisk betydelse för medarbetare, medborgare och näringsliv. Med informationstillgångar avses all information som används i kommunens verksamhet, oavsett om den behandlas manuellt, digitalt eller automatiserat och oberoende av dess form eller miljö den förekommer i. Det är därför viktigt att information hanteras på ett säkert sätt och inte sprids felaktigt. 2

Arbetet med informationssäkerhet ska vara långsiktigt och kontinuerligt, omfatta alla delar av vår verksamhet och alla de informationstillgångar som vi äger eller hanterar. Definition av information Kommunens informationstillgångar består av all information som inkommer till kommunen eller som upprättas av kommunens verksamheter, oavsett var den förvaras och oavsett om den är digital eller på papper. Informationssäkerhetsarbetet syftar till att säkerställa att kommunen hanterar all information på ett säkert sätt. Detta oavsett vilken form informationen finns i. Det vill säga muntlig information, information på papper, information som ligger i ett IT-system eller lagras på digitala enheter såsom till exempel bärbar dator, iphone, Android och USB-minnen. Tänk alltid på att ingen obehörig ska ha möjlighet att ta del av informationen. Informationssäkerheten är särskilt viktig för känsliga och konfidentiella uppgifter som medarbetarna tar del av i sitt arbete. Mål God informationssäkerhet är den samlade effekten av kommunens organisatoriska, administrativa och tekniska åtgärder som vidtas för att skydda informationen mot de hot den kan utsättas för. Arbetet med informationssäkerhet måste vara medvetet och strukturerat med tydliga mål och riktlinjer. Målet är att upprätthålla nödvändig nivå på skyddet av informationstillgångarna, med informationsklassning som utgångspunkt, avseende; 3

Tillgänglighet att information är nåbar vid rätt tillfälle Sekretess/Konfidentialitet att informationen bara är åtkomlig för den som har rätt att ta del av den Riktighet att informationen är och förblir korrekt, begriplig och fullständig Spårbarhet att man i efterhand kan identifiera vem som gjort vad och när 4

Syfte Denna policy beskriver de övergripande principerna samt mål och inriktning för kommunens informationssäkerhet. Policyn ska konkretiseras med riktlinjer och rutiner som ska ge verksamheten ett stöd kring informationssäkerhet i det dagliga arbetet inom kommunen. Lagar och regelverk Nykvarns kommuns informationssäkerhetsarbete ska vara systematiskt och strukturerat, arbetssättet bygger på den svenska och internationella standarden LIS (ledningssystem för informationssäkerhet). Med stöd av LIS får vi rätt nivå på informationssäkerheten samtidigt som våra anställda får ett stöd i sitt dagliga arbete. LIS bygger på etablerade standarder, ISO standard 27000 och myndigheten för samhällsskydds metodstöd för informationssäkerhetsarbete. Vårt arbete med informationssäkerhet utgår framförallt från lagar, förordningar och föreskrifter såsom bland annat; Offentlighets- och sekretesslag (2009:400) Kommunallagen (2017:725) Förvaltningslagen (2017:900) Säkerhetsskyddslag (1996:627) och Säkerhetsskyddsförordning (1996:633) GDPR Dataskyddsförordningen (EU 2016/679) Arkivlag (1990:782) Arkivförordning (1991:446) Riksarkivets föreskrifter RA-FS 1991:1 (grund), RA-FS 1997:4 (ändr. omtryck), RA-FS 2013:4, RA-FS 2009:1 Lag utifrån NIS-direktivet (Prop. 2017/18:205) 5

Nykvarns kommuns egna krav är också styrande för informationssäkerhetsarbetet, samt de avtal som kommunen tecknat med företag och samarbetspartners. Roller och ansvar Kommunfullmäktige uttrycker i denna policy sin viljeinriktning för informationssäkerhetsarbetet för Nykvarns kommun. Kommunstyrelsen har ytterst ansvaret för att samordna och följa upp kommunens informationssäkerhetsarbete. Kommunstyrelsen har det övergripande ansvaret för att säkerställa att informationssäkerhetsarbetet riktlinjer utarbetas, förvaltas och följs upp. Nämnderna med förvaltningens kontor är ytterst ansvariga för informationshantering och informationssäkerhet inom ramen för sina verksamheter. Informationsägaren har det löpande praktiska ansvaret för informationen inom sin verksamhet och avgör vilken information som får hanteras, hur den får hanteras och av vem den får hanteras. Om inte rollen delegerats är det kontorschefen som agerar i rollen informationsägare. Alla som hanterar information ska ha kunskap om det regelverk som gäller för hur informationen får hanteras och har själva ett ansvar för att informationssäkerheten upprätthålls. Ansvaret för informationssäkerheten ligger i kommunens linjeorganisation, det innebär att: Kommundirektören har det yttersta ansvaret för informationssäkerheten och att det finns en tydlig ansvarsfördelning för att upprätthålla denna. 6

Varje anställd ansvarar för att följa säkerhetsregler samt att rapportera fel och störningar i informationssystem, utrustning och informationsinnehåll enligt fastställda rutiner. Den som upptäcker brister i informationssäkerheten måste uppmärksamma sin chef eller säkerhetschefen om detta. Alla medarbetare ska också rapportera händelser som kan leda till att kommunens informationstillgångar utsätts för risker. Den som har ansvaret för en verksamhet är också ansvarig för denna verksamhets informationssäkerhet. Detta innebär att varje chef även har ansvar för att information hanteras på rätt sätt och informationssäkerheten upprätthålls i enlighet med kommunen policy, riktlinjer och rutiner. När det gäller system har systemförvaltaren det övergripande ansvar för såväl systemet i sig och dess användning, men också för att säkerställa IT-säkerhet för systemet och informationssäkerhet den information som hanteras. Säkerheten ska anpassas utifrån informationsklassning liksom policy, riktlinjer och rutiner. I rollen som systemförvaltare ligger också att säkerställa att användarna har kunskap om både hur systemet fungerar och ska användas, men också hur informationen ska hanteras för att upprätthålla en god informationssäkerhet. Den som ingår avtal som innefattar informationsutbyte ansvarar för att kraven på informationssäkerhet specificeras i avtalet. Säkerhetschefen har det övergripande och strategiska ansvaret att leda, utveckla och samordna informationssäkerhetsarbetet, och ansvarar för att mallar och riktlinjer utarbetas samt att utbildningsmaterial för informationssäkerhet finns tillgänglig för både personal och förtroendevalda. 7

Kansliavdelningen samordnar frågor när det gäller juridik och arkivfrågor, och är rådgörande för frågor gällande bestämmelserna i tryckfrihetsförordningen, arkivlagen och offentlighets- och sekretesslagen samt förvaltningslagen. Systemadministratörer ansvarar för att följa de riktlinjer och rutiner som finns för respektive system och informationsmängd. Digitaliserings och IT-chefen ansvarar för arbetet med kommunens ITsäkerhet samt att upprätta en kontinuitetsplan rörande IT-stöd samt ansvarar för IT-säkerhetsfrågor. Riktlinjer, föreskrifter och instruktioner Denna policy ska konkretiseras i riktlinjer, och i förekommande fall, i föreskrifter och instruktioner. Dessa dokument bör så långt möjligt utformas och inbördes ordnas i enlighet med vedertagen internationell och svensk standard för informationssäkerhet (SS-ISO/IEC 27001, Ledningssystem för informationssäkerhet ). Informationssäkerhetsutbildning All berörd personal och förtroendevalda ska regelbundet få den utbildning som behövs för att informationssäkerheten ska kunna upprätthållas. Informationsklassning Information som hanteras i kommunen ska klassificeras med avseende krav på sekretess, riktighet, tillgänglighet och spårbarhet. Skyddsåtgärder Nykvarns kommun ska beskriva och införa organisatoriska, administrativa och tekniska skyddsåtgärder för att nödvändig skyddsnivå uppnås. 8

Val av skyddsåtgärder ska anpassas efter verksamheten och baseras på informationens betydelse och de konsekvenser som bristande säkerhet kan innebära för alla intressenter i en viss informationshantering. Lagar och förordningars krav ska utgöra lägsta nivå vid specificering av skyddsåtgärder. En förutsättning för arbetet med informationssäkerhet är att en god säkerhetskultur genomsyrar hela verksamheten. Med detta menas inte bara att medarbetare har god kunskap om vilka säkerhetsregler som gäller, utan också att de kritiskt ifrågasätter händelser som kan påverka säkerheten. Efterlevnad av NIS direktivet Kontinuitetsplaneringen är av central betydelse för att bedriva verksamheten på en acceptabel nivå under såväl normala förhållanden som vid extraordinära händelser. En kontinuitetsplan ska finnas baserad på de olika informationstillgångarnas samlade krav efter genomförd riskanalys. För respektive informationstillgång är systemägaren ansvarig för riskanalys och kontinuitetsplan tas fram, medan respektive ansvarig chef ansvarar för att kontinuitetsplanen är känd och förankrad i organisationen. I arbetet med informationssäkerhet och kontinuitetsplanering ska höjd tas för efterlevnad av NIS-direktivet för att säkerställa att samhällsviktig verksamhet kan återgå till normal drift så fort som möjligt. Det är av stor betydelse att bedriva verksamheten på en acceptabel nivå under såväl normala förhållanden som vid extraordinära händelser. En kontinuitetsplan ska finnas för driften av IT-verksamheten baserad på de olika informationssystemens samlade krav, samt för de verksamheter som har verksamhet som bedömts som samhällsviktig. Revidering och Uppföljning Uppföljning är en viktig del i informationssäkerhetsarbetet för att bevaka att: - beslutade åtgärder är genomförda 9

- årliga mål är uppfyllda - regler följs - att policy och instruktioner vid behov revideras Informationssäkerhetspolicyn i Nykvarns kommun ska gås igenom varje år och revideras vid behov. Säkerhetschefen ansvarar för att policyn för informationssäkerhet följs upp och uppdateras. Avgränsning Policyn för informationssäkerhet gäller för alla informationstillgångar i alla verksamheter inom Nykvarns kommun samt för AB Nykvarnsbostäder. Policyn gäller för samtliga aktörer som kan komma att hantera kommunens information. 10

TJÄNSTESKRIVELSE 2019-01-14 Kommunstyrelsen Richard Buske Tf säkerhetschef Telefon 08 555 010 22 richard.buske@nykvarn.se informationssäkerhetspolicy KS/2019:63 Förvaltningens förslag till beslut Revidering av Kommunstyrelsen beslutar föreslå kommunfullmäktige besluta att anta Informationssäkerhetspolicy. Sammanfattning av ärendet Information är en av kommunens viktigaste tillgångar och hanteringen av den är en viktig och naturlig del i alla verksamheters dagliga arbete. Att information hanteras på rätt sätt är av strategisk betydelse för medarbetare, medborgare och näringsliv. Med TJÄNSTESKRIVELSE informationstillgångar avses all information som används i kommunens verksamhet, oavsett om den behandlas manuellt, digitalt eller automatiserat och oberoende av dess form eller miljö den förekommer i. Det är därför viktigt att information hanteras på ett säkert sätt och inte sprids felaktigt. Arbetet med informationssäkerhet ska vara långsiktigt och kontinuerligt, omfatta alla delar av vår verksamhet och alla de informationstillgångar som vi äger eller hanterar. Informationssäkerhetspolicyn har koppling till Nykvarns kommuns Strategi för risk och - säkerhetsarbete. Policyn fastställer Nykvarns kommuns viljeinriktning och övergripande mål för arbetet med informationssäkerhet i kommunen. Ekonomiska konsekvenser Telefon 08-555 010 00 Fax 08-555 014 99 www.nykvarn.se 1(2)

Kostnaderna ska täckas inom befintlig budgetram. Om kostnader skulle uppstå som idag inte finns med i beräkningen så får ansökan om utökade medel göras till kommunstyrelsen. Beslutsunderlag Tjänsteskrivelse 2019-10-14 Informationssäkerhetspolicy Barnkonventionskonsekvenser Ärendet i sig medför inga kosekvenser för annat än att policyn medför att Nykvarns kommuns arbete med informationssäkerhet blir mer förankrat och bidrar till trygghet i våra verksamheter. Birgitta Elvås Ola Edström TJÄNSTESKRIVELSE tf Kommundirektör tf Chef Kommunledningskontoret Beslutet expedieras till Akten Telefon 08-555 010 00 Fax 08-555 014 99 www.nykvarn.se 2(2)

Informationssäkerhetspolicy

Innehållsförteckning Antagen av kommunfullmäktige den [månad_år] Informationssäkerhetspolicy...2 Ändringar införda till och med KF, [nr/år] Inledning och bakgrund...2 Definition av information...2 Mål...2 Syfte...3 Lagar och regelverk...3 Roller och ansvar...3 Riktlinjer, föreskrifter och instruktioner...5 Informationssäkerhetsutbildning...5 Informationsklassning...5 Skyddsåtgärder...5 Efterlevnad av NIS direktivet...5 Revidering och Uppföljning...6 1

Avgränsning...6 Informationssäkerhetspolicy Inledning och bakgrund Information är en av kommunens viktigaste tillgångar och hanteringen av den är en viktig och naturlig del i alla verksamheters dagliga arbete. Att information hanteras på rätt sätt är av strategisk betydelse för medarbetare, medborgare och näringsliv. Med informationstillgångar avses all information som används i kommunens verksamhet, oavsett om den behandlas manuellt, digitalt eller automatiserat och oberoende av dess form eller miljö den förekommer i. Det är därför viktigt att information hanteras på ett säkert sätt och inte sprids felaktigt. 2

Arbetet med informationssäkerhet ska vara långsiktigt och kontinuerligt, omfatta alla delar av vår verksamhet och alla de informationstillgångar som vi äger eller hanterar. Definition av information Kommunens informationstillgångar består av all information som inkommer till kommunen eller som upprättas av kommunens verksamheter, oavsett var den förvaras och oavsett om den är digital eller på papper. Informationssäkerhetsarbetet syftar till att säkerställa att kommunen hanterar all information på ett säkert sätt. Detta oavsett vilken form informationen finns i. Det vill säga muntlig information, information på papper, information som ligger i ett IT-system eller lagras på digitala enheter såsom till exempel bärbar dator, iphone, Android och USB-minnen. Tänk alltid på att ingen obehörig ska ha möjlighet att ta del av informationen. Informationssäkerheten är särskilt viktig för känsliga och konfidentiella uppgifter som medarbetarna tar del av i sitt arbete. Mål God informationssäkerhet är den samlade effekten av kommunens organisatoriska, administrativa och tekniska åtgärder som vidtas för att skydda informationen mot de hot den kan utsättas för. Arbetet med informationssäkerhet måste vara medvetet och strukturerat med tydliga mål och riktlinjer. Målet är att upprätthålla nödvändig nivå på skyddet av informationstillgångarna, med informationsklassning som utgångspunkt, avseende; 3

Tillgänglighet att information är nåbar vid rätt tillfälle Sekretess/Konfidentialitet att informationen bara är åtkomlig för den som har rätt att ta del av den Riktighet att informationen är och förblir korrekt, begriplig och fullständig Spårbarhet att man i efterhand kan identifiera vem som gjort vad och när 4

Syfte Denna policy beskriver de övergripande principerna samt mål och inriktning för kommunens informationssäkerhet. Policyn ska konkretiseras med riktlinjer och rutiner som ska ge verksamheten ett stöd kring informationssäkerhet i det dagliga arbetet inom kommunen. Lagar och regelverk Nykvarns kommuns informationssäkerhetsarbete ska vara systematiskt och strukturerat, arbetssättet bygger på den svenska och internationella standarden LIS (ledningssystem för informationssäkerhet). Med stöd av LIS får vi rätt nivå på informationssäkerheten samtidigt som våra anställda får ett stöd i sitt dagliga arbete. LIS bygger på etablerade standarder, ISO standard 27000 och myndigheten för samhällsskydds metodstöd för informationssäkerhetsarbete. Vårt arbete med informationssäkerhet utgår framförallt från lagar, förordningar och föreskrifter såsom bland annat; Offentlighets- och sekretesslag (2009:400) Kommunallagen (2017:725) Förvaltningslagen (2017:900) Säkerhetsskyddslag (1996:627) och Säkerhetsskyddsförordning (1996:633) GDPR Dataskyddsförordningen (EU 2016/679) Arkivlag (1990:782) Arkivförordning (1991:446) Riksarkivets föreskrifter RA-FS 1991:1 (grund), RA-FS 1997:4 (ändr. omtryck), RA-FS 2013:4, RA-FS 2009:1 Lag utifrån NIS-direktivet (Prop. 2017/18:205) 5

Nykvarns kommuns egna krav är också styrande för informationssäkerhetsarbetet, samt de avtal som kommunen tecknat med företag och samarbetspartners. Roller och ansvar Kommunfullmäktige uttrycker i denna policy sin viljeinriktning för informationssäkerhetsarbetet för Nykvarns kommun. Kommunstyrelsen har ytterst ansvaret för att samordna och följa upp kommunens informationssäkerhetsarbete. Kommunstyrelsen har det övergripande ansvaret för att säkerställa att informationssäkerhetsarbetet riktlinjer utarbetas, förvaltas och följs upp. Nämnderna med förvaltningens kontor är ytterst ansvariga för informationshantering och informationssäkerhet inom ramen för sina verksamheter. Informationsägaren har det löpande praktiska ansvaret för informationen inom sin verksamhet och avgör vilken information som får hanteras, hur den får hanteras och av vem den får hanteras. Om inte rollen delegerats är det kontorschefen som agerar i rollen informationsägare. Alla som hanterar information ska ha kunskap om det regelverk som gäller för hur informationen får hanteras och har själva ett ansvar för att informationssäkerheten upprätthålls. Ansvaret för informationssäkerheten ligger i kommunens linjeorganisation, det innebär att: Kommundirektören har det yttersta ansvaret för informationssäkerheten och att det finns en tydlig ansvarsfördelning för att upprätthålla denna. 6

Varje anställd ansvarar för att följa säkerhetsregler samt att rapportera fel och störningar i informationssystem, utrustning och informationsinnehåll enligt fastställda rutiner. Den som upptäcker brister i informationssäkerheten måste uppmärksamma sin chef eller säkerhetschefen om detta. Alla medarbetare ska också rapportera händelser som kan leda till att kommunens informationstillgångar utsätts för risker. Den som har ansvaret för en verksamhet är också ansvarig för denna verksamhets informationssäkerhet. Detta innebär att varje chef även har ansvar för att information hanteras på rätt sätt och informationssäkerheten upprätthålls i enlighet med kommunen policy, riktlinjer och rutiner. När det gäller system har systemförvaltaren det övergripande ansvar för såväl systemet i sig och dess användning, men också för att säkerställa IT-säkerhet för systemet och informationssäkerhet den information som hanteras. Säkerheten ska anpassas utifrån informationsklassning liksom policy, riktlinjer och rutiner. I rollen som systemförvaltare ligger också att säkerställa att användarna har kunskap om både hur systemet fungerar och ska användas, men också hur informationen ska hanteras för att upprätthålla en god informationssäkerhet. Den som ingår avtal som innefattar informationsutbyte ansvarar för att kraven på informationssäkerhet specificeras i avtalet. Säkerhetschefen har det övergripande och strategiska ansvaret att leda, utveckla och samordna informationssäkerhetsarbetet, och ansvarar för att mallar och riktlinjer utarbetas samt att utbildningsmaterial för informationssäkerhet finns tillgänglig för både personal och förtroendevalda. 7

Kansliavdelningen samordnar frågor när det gäller juridik och arkivfrågor, och är rådgörande för frågor gällande bestämmelserna i tryckfrihetsförordningen, arkivlagen och offentlighets- och sekretesslagen samt förvaltningslagen. Systemadministratörer ansvarar för att följa de riktlinjer och rutiner som finns för respektive system och informationsmängd. Digitaliserings och IT-chefen ansvarar för arbetet med kommunens ITsäkerhet samt att upprätta en kontinuitetsplan rörande IT-stöd samt ansvarar för IT-säkerhetsfrågor. Riktlinjer, föreskrifter och instruktioner Denna policy ska konkretiseras i riktlinjer, och i förekommande fall, i föreskrifter och instruktioner. Dessa dokument bör så långt möjligt utformas och inbördes ordnas i enlighet med vedertagen internationell och svensk standard för informationssäkerhet (SS-ISO/IEC 27001, Ledningssystem för informationssäkerhet ). Informationssäkerhetsutbildning All berörd personal och förtroendevalda ska regelbundet få den utbildning som behövs för att informationssäkerheten ska kunna upprätthållas. Informationsklassning Information som hanteras i kommunen ska klassificeras med avseende krav på sekretess, riktighet, tillgänglighet och spårbarhet. Skyddsåtgärder Nykvarns kommun ska beskriva och införa organisatoriska, administrativa och tekniska skyddsåtgärder för att nödvändig skyddsnivå uppnås. 8

Val av skyddsåtgärder ska anpassas efter verksamheten och baseras på informationens betydelse och de konsekvenser som bristande säkerhet kan innebära för alla intressenter i en viss informationshantering. Lagar och förordningars krav ska utgöra lägsta nivå vid specificering av skyddsåtgärder. En förutsättning för arbetet med informationssäkerhet är att en god säkerhetskultur genomsyrar hela verksamheten. Med detta menas inte bara att medarbetare har god kunskap om vilka säkerhetsregler som gäller, utan också att de kritiskt ifrågasätter händelser som kan påverka säkerheten. Efterlevnad av NIS direktivet Kontinuitetsplaneringen är av central betydelse för att bedriva verksamheten på en acceptabel nivå under såväl normala förhållanden som vid extraordinära händelser. En kontinuitetsplan ska finnas baserad på de olika informationstillgångarnas samlade krav efter genomförd riskanalys. För respektive informationstillgång är systemägaren ansvarig för riskanalys och kontinuitetsplan tas fram, medan respektive ansvarig chef ansvarar för att kontinuitetsplanen är känd och förankrad i organisationen. I arbetet med informationssäkerhet och kontinuitetsplanering ska höjd tas för efterlevnad av NIS-direktivet för att säkerställa att samhällsviktig verksamhet kan återgå till normal drift så fort som möjligt. Det är av stor betydelse att bedriva verksamheten på en acceptabel nivå under såväl normala förhållanden som vid extraordinära händelser. En kontinuitetsplan ska finnas för driften av IT-verksamheten baserad på de olika informationssystemens samlade krav, samt för de verksamheter som har verksamhet som bedömts som samhällsviktig. Revidering och Uppföljning Uppföljning är en viktig del i informationssäkerhetsarbetet för att bevaka att: - beslutade åtgärder är genomförda 9

- årliga mål är uppfyllda - regler följs - att policy och instruktioner vid behov revideras Informationssäkerhetspolicyn i Nykvarns kommun ska gås igenom varje år och revideras vid behov. Säkerhetschefen ansvarar för att policyn för informationssäkerhet följs upp och uppdateras. Avgränsning Policyn för informationssäkerhet gäller för alla informationstillgångar i alla verksamheter inom Nykvarns kommun samt för AB Nykvarnsbostäder. Policyn gäller för samtliga aktörer som kan komma att hantera kommunens information. 10

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss