TJÄNSTESKRIVELSE 2019-01-14 Kommunstyrelsen Richard Buske Tf säkerhetschef Telefon 08 555 010 22 richard.buske@nykvarn.se informationssäkerhetspolicy KS/2019:63 Förvaltningens förslag till beslut Revidering av Kommunstyrelsen beslutar föreslå kommunfullmäktige besluta att anta Informationssäkerhetspolicy. Sammanfattning av ärendet Information är en av kommunens viktigaste tillgångar och hanteringen av den är en viktig och naturlig del i alla verksamheters dagliga arbete. Att information hanteras på rätt sätt är av strategisk betydelse för medarbetare, medborgare och näringsliv. Med TJÄNSTESKRIVELSE informationstillgångar avses all information som används i kommunens verksamhet, oavsett om den behandlas manuellt, digitalt eller automatiserat och oberoende av dess form eller miljö den förekommer i. Det är därför viktigt att information hanteras på ett säkert sätt och inte sprids felaktigt. Arbetet med informationssäkerhet ska vara långsiktigt och kontinuerligt, omfatta alla delar av vår verksamhet och alla de informationstillgångar som vi äger eller hanterar. Informationssäkerhetspolicyn har koppling till Nykvarns kommuns Strategi för risk och - säkerhetsarbete. Policyn fastställer Nykvarns kommuns viljeinriktning och övergripande mål för arbetet med informationssäkerhet i kommunen. Ekonomiska konsekvenser Telefon 08-555 010 00 Fax 08-555 014 99 www.nykvarn.se 1(2)
Kostnaderna ska täckas inom befintlig budgetram. Om kostnader skulle uppstå som idag inte finns med i beräkningen så får ansökan om utökade medel göras till kommunstyrelsen. Beslutsunderlag Tjänsteskrivelse 2019-10-14 Informationssäkerhetspolicy Barnkonventionskonsekvenser Ärendet i sig medför inga kosekvenser för annat än att policyn medför att Nykvarns kommuns arbete med informationssäkerhet blir mer förankrat och bidrar till trygghet i våra verksamheter. Birgitta Elvås Ola Edström TJÄNSTESKRIVELSE tf Kommundirektör tf Chef Kommunledningskontoret Beslutet expedieras till Akten Telefon 08-555 010 00 Fax 08-555 014 99 www.nykvarn.se 2(2)
Informationssäkerhetspolicy
Innehållsförteckning Antagen av kommunfullmäktige den [månad_år] Informationssäkerhetspolicy...2 Ändringar införda till och med KF, [nr/år] Inledning och bakgrund...2 Definition av information...2 Mål...2 Syfte...3 Lagar och regelverk...3 Roller och ansvar...3 Riktlinjer, föreskrifter och instruktioner...5 Informationssäkerhetsutbildning...5 Informationsklassning...5 Skyddsåtgärder...5 Efterlevnad av NIS direktivet...5 Revidering och Uppföljning...6 1
Avgränsning...6 Informationssäkerhetspolicy Inledning och bakgrund Information är en av kommunens viktigaste tillgångar och hanteringen av den är en viktig och naturlig del i alla verksamheters dagliga arbete. Att information hanteras på rätt sätt är av strategisk betydelse för medarbetare, medborgare och näringsliv. Med informationstillgångar avses all information som används i kommunens verksamhet, oavsett om den behandlas manuellt, digitalt eller automatiserat och oberoende av dess form eller miljö den förekommer i. Det är därför viktigt att information hanteras på ett säkert sätt och inte sprids felaktigt. 2
Arbetet med informationssäkerhet ska vara långsiktigt och kontinuerligt, omfatta alla delar av vår verksamhet och alla de informationstillgångar som vi äger eller hanterar. Definition av information Kommunens informationstillgångar består av all information som inkommer till kommunen eller som upprättas av kommunens verksamheter, oavsett var den förvaras och oavsett om den är digital eller på papper. Informationssäkerhetsarbetet syftar till att säkerställa att kommunen hanterar all information på ett säkert sätt. Detta oavsett vilken form informationen finns i. Det vill säga muntlig information, information på papper, information som ligger i ett IT-system eller lagras på digitala enheter såsom till exempel bärbar dator, iphone, Android och USB-minnen. Tänk alltid på att ingen obehörig ska ha möjlighet att ta del av informationen. Informationssäkerheten är särskilt viktig för känsliga och konfidentiella uppgifter som medarbetarna tar del av i sitt arbete. Mål God informationssäkerhet är den samlade effekten av kommunens organisatoriska, administrativa och tekniska åtgärder som vidtas för att skydda informationen mot de hot den kan utsättas för. Arbetet med informationssäkerhet måste vara medvetet och strukturerat med tydliga mål och riktlinjer. Målet är att upprätthålla nödvändig nivå på skyddet av informationstillgångarna, med informationsklassning som utgångspunkt, avseende; 3
Tillgänglighet att information är nåbar vid rätt tillfälle Sekretess/Konfidentialitet att informationen bara är åtkomlig för den som har rätt att ta del av den Riktighet att informationen är och förblir korrekt, begriplig och fullständig Spårbarhet att man i efterhand kan identifiera vem som gjort vad och när 4
Syfte Denna policy beskriver de övergripande principerna samt mål och inriktning för kommunens informationssäkerhet. Policyn ska konkretiseras med riktlinjer och rutiner som ska ge verksamheten ett stöd kring informationssäkerhet i det dagliga arbetet inom kommunen. Lagar och regelverk Nykvarns kommuns informationssäkerhetsarbete ska vara systematiskt och strukturerat, arbetssättet bygger på den svenska och internationella standarden LIS (ledningssystem för informationssäkerhet). Med stöd av LIS får vi rätt nivå på informationssäkerheten samtidigt som våra anställda får ett stöd i sitt dagliga arbete. LIS bygger på etablerade standarder, ISO standard 27000 och myndigheten för samhällsskydds metodstöd för informationssäkerhetsarbete. Vårt arbete med informationssäkerhet utgår framförallt från lagar, förordningar och föreskrifter såsom bland annat; Offentlighets- och sekretesslag (2009:400) Kommunallagen (2017:725) Förvaltningslagen (2017:900) Säkerhetsskyddslag (1996:627) och Säkerhetsskyddsförordning (1996:633) GDPR Dataskyddsförordningen (EU 2016/679) Arkivlag (1990:782) Arkivförordning (1991:446) Riksarkivets föreskrifter RA-FS 1991:1 (grund), RA-FS 1997:4 (ändr. omtryck), RA-FS 2013:4, RA-FS 2009:1 Lag utifrån NIS-direktivet (Prop. 2017/18:205) 5
Nykvarns kommuns egna krav är också styrande för informationssäkerhetsarbetet, samt de avtal som kommunen tecknat med företag och samarbetspartners. Roller och ansvar Kommunfullmäktige uttrycker i denna policy sin viljeinriktning för informationssäkerhetsarbetet för Nykvarns kommun. Kommunstyrelsen har ytterst ansvaret för att samordna och följa upp kommunens informationssäkerhetsarbete. Kommunstyrelsen har det övergripande ansvaret för att säkerställa att informationssäkerhetsarbetet riktlinjer utarbetas, förvaltas och följs upp. Nämnderna med förvaltningens kontor är ytterst ansvariga för informationshantering och informationssäkerhet inom ramen för sina verksamheter. Informationsägaren har det löpande praktiska ansvaret för informationen inom sin verksamhet och avgör vilken information som får hanteras, hur den får hanteras och av vem den får hanteras. Om inte rollen delegerats är det kontorschefen som agerar i rollen informationsägare. Alla som hanterar information ska ha kunskap om det regelverk som gäller för hur informationen får hanteras och har själva ett ansvar för att informationssäkerheten upprätthålls. Ansvaret för informationssäkerheten ligger i kommunens linjeorganisation, det innebär att: Kommundirektören har det yttersta ansvaret för informationssäkerheten och att det finns en tydlig ansvarsfördelning för att upprätthålla denna. 6
Varje anställd ansvarar för att följa säkerhetsregler samt att rapportera fel och störningar i informationssystem, utrustning och informationsinnehåll enligt fastställda rutiner. Den som upptäcker brister i informationssäkerheten måste uppmärksamma sin chef eller säkerhetschefen om detta. Alla medarbetare ska också rapportera händelser som kan leda till att kommunens informationstillgångar utsätts för risker. Den som har ansvaret för en verksamhet är också ansvarig för denna verksamhets informationssäkerhet. Detta innebär att varje chef även har ansvar för att information hanteras på rätt sätt och informationssäkerheten upprätthålls i enlighet med kommunen policy, riktlinjer och rutiner. När det gäller system har systemförvaltaren det övergripande ansvar för såväl systemet i sig och dess användning, men också för att säkerställa IT-säkerhet för systemet och informationssäkerhet den information som hanteras. Säkerheten ska anpassas utifrån informationsklassning liksom policy, riktlinjer och rutiner. I rollen som systemförvaltare ligger också att säkerställa att användarna har kunskap om både hur systemet fungerar och ska användas, men också hur informationen ska hanteras för att upprätthålla en god informationssäkerhet. Den som ingår avtal som innefattar informationsutbyte ansvarar för att kraven på informationssäkerhet specificeras i avtalet. Säkerhetschefen har det övergripande och strategiska ansvaret att leda, utveckla och samordna informationssäkerhetsarbetet, och ansvarar för att mallar och riktlinjer utarbetas samt att utbildningsmaterial för informationssäkerhet finns tillgänglig för både personal och förtroendevalda. 7
Kansliavdelningen samordnar frågor när det gäller juridik och arkivfrågor, och är rådgörande för frågor gällande bestämmelserna i tryckfrihetsförordningen, arkivlagen och offentlighets- och sekretesslagen samt förvaltningslagen. Systemadministratörer ansvarar för att följa de riktlinjer och rutiner som finns för respektive system och informationsmängd. Digitaliserings och IT-chefen ansvarar för arbetet med kommunens ITsäkerhet samt att upprätta en kontinuitetsplan rörande IT-stöd samt ansvarar för IT-säkerhetsfrågor. Riktlinjer, föreskrifter och instruktioner Denna policy ska konkretiseras i riktlinjer, och i förekommande fall, i föreskrifter och instruktioner. Dessa dokument bör så långt möjligt utformas och inbördes ordnas i enlighet med vedertagen internationell och svensk standard för informationssäkerhet (SS-ISO/IEC 27001, Ledningssystem för informationssäkerhet ). Informationssäkerhetsutbildning All berörd personal och förtroendevalda ska regelbundet få den utbildning som behövs för att informationssäkerheten ska kunna upprätthållas. Informationsklassning Information som hanteras i kommunen ska klassificeras med avseende krav på sekretess, riktighet, tillgänglighet och spårbarhet. Skyddsåtgärder Nykvarns kommun ska beskriva och införa organisatoriska, administrativa och tekniska skyddsåtgärder för att nödvändig skyddsnivå uppnås. 8
Val av skyddsåtgärder ska anpassas efter verksamheten och baseras på informationens betydelse och de konsekvenser som bristande säkerhet kan innebära för alla intressenter i en viss informationshantering. Lagar och förordningars krav ska utgöra lägsta nivå vid specificering av skyddsåtgärder. En förutsättning för arbetet med informationssäkerhet är att en god säkerhetskultur genomsyrar hela verksamheten. Med detta menas inte bara att medarbetare har god kunskap om vilka säkerhetsregler som gäller, utan också att de kritiskt ifrågasätter händelser som kan påverka säkerheten. Efterlevnad av NIS direktivet Kontinuitetsplaneringen är av central betydelse för att bedriva verksamheten på en acceptabel nivå under såväl normala förhållanden som vid extraordinära händelser. En kontinuitetsplan ska finnas baserad på de olika informationstillgångarnas samlade krav efter genomförd riskanalys. För respektive informationstillgång är systemägaren ansvarig för riskanalys och kontinuitetsplan tas fram, medan respektive ansvarig chef ansvarar för att kontinuitetsplanen är känd och förankrad i organisationen. I arbetet med informationssäkerhet och kontinuitetsplanering ska höjd tas för efterlevnad av NIS-direktivet för att säkerställa att samhällsviktig verksamhet kan återgå till normal drift så fort som möjligt. Det är av stor betydelse att bedriva verksamheten på en acceptabel nivå under såväl normala förhållanden som vid extraordinära händelser. En kontinuitetsplan ska finnas för driften av IT-verksamheten baserad på de olika informationssystemens samlade krav, samt för de verksamheter som har verksamhet som bedömts som samhällsviktig. Revidering och Uppföljning Uppföljning är en viktig del i informationssäkerhetsarbetet för att bevaka att: - beslutade åtgärder är genomförda 9
- årliga mål är uppfyllda - regler följs - att policy och instruktioner vid behov revideras Informationssäkerhetspolicyn i Nykvarns kommun ska gås igenom varje år och revideras vid behov. Säkerhetschefen ansvarar för att policyn för informationssäkerhet följs upp och uppdateras. Avgränsning Policyn för informationssäkerhet gäller för alla informationstillgångar i alla verksamheter inom Nykvarns kommun samt för AB Nykvarnsbostäder. Policyn gäller för samtliga aktörer som kan komma att hantera kommunens information. 10
TJÄNSTESKRIVELSE 2019-01-14 Kommunstyrelsen Richard Buske Tf säkerhetschef Telefon 08 555 010 22 richard.buske@nykvarn.se icy KS/2019:63 Informationssäkerhetspol Förvaltningens förslag till beslut Kommunstyrelsen beslutar föreslå kommunfullmäktige besluta att anta Informationssäkerhetspolicy. Sammanfattning av ärendet Information är en av kommunens viktigaste tillgångar och hanteringen av den är en viktig och naturlig del i alla verksamheters dagliga arbete. Att information hanteras på rätt sätt är av strategisk betydelse för medarbetare, medborgare och näringsliv. Med informationstillgångar avses all information som används i kommunens verksamhet, oavsett om den behandlas manuellt, digitalt eller automatiserat och oberoende av dess form eller miljö den förekommer i. TJÄNSTESKRIVELSE Det är därför viktigt att information hanteras på ett säkert sätt och inte sprids felaktigt. Arbetet med informationssäkerhet ska vara långsiktigt och kontinuerligt, omfatta alla delar av vår verksamhet och alla de informationstillgångar som vi äger eller hanterar. Informationssäkerhetspolicyn har koppling till Nykvarns kommuns Strategi för risk och - säkerhetsarbete. Policyn fastställer Nykvarns kommuns viljeinriktning och övergripande mål för arbetet med informationssäkerhet i kommunen. Det går idag inte att hitta någon befintlig policy för informationssäkerhet, därför har denna policy arbetats fram. Förvaltningen kommer arbeta fram riktlinjer till denna policy. Ekonomiska konsekvenser Kostnaderna ska täckas inom befintlig budgetram. Om kostnader skulle uppstå som idag inte finns med i beräkningen så får ansökan om utökade medel göras till kommunstyrelsen. Beslutsunderlag Tjänsteskrivelse 2019-10-14 Informationssäkerhetspolicy Barnkonventionskonsekvenser Ärendet i sig medför inga kosekvenser för annat än att policyn medför att Nykvarns kommuns arbete med informationssäkerhet blir mer förankrat och bidrar till trygghet i våra verksamheter. Telefon 08-555 010 00 Fax 08-555 014 99 www.nykvarn.se 1(2)
Birgitta Elvås tf Kommundirektör Beslutet expedieras till Akten Ola Edström tf Chef Kommunledningskontoret TJÄNSTESKRIVELSE Telefon 08-555 010 00 Fax 08-555 014 99 www.nykvarn.se 2(2)
Informationssäkerhetspolicy
Innehållsförteckning Antagen av kommunfullmäktige den [månad_år] Informationssäkerhetspolicy...2 Ändringar införda till och med KF, [nr/år] Inledning och bakgrund...2 Definition av information...2 Mål...2 Syfte...3 Lagar och regelverk...3 Roller och ansvar...3 Riktlinjer, föreskrifter och instruktioner...5 Informationssäkerhetsutbildning...5 Informationsklassning...5 Skyddsåtgärder...5 Efterlevnad av NIS direktivet...5 Revidering och Uppföljning...6 1
Avgränsning...6 Informationssäkerhetspolicy Inledning och bakgrund Information är en av kommunens viktigaste tillgångar och hanteringen av den är en viktig och naturlig del i alla verksamheters dagliga arbete. Att information hanteras på rätt sätt är av strategisk betydelse för medarbetare, medborgare och näringsliv. Med informationstillgångar avses all information som används i kommunens verksamhet, oavsett om den behandlas manuellt, digitalt eller automatiserat och oberoende av dess form eller miljö den förekommer i. Det är därför viktigt att information hanteras på ett säkert sätt och inte sprids felaktigt. 2
Arbetet med informationssäkerhet ska vara långsiktigt och kontinuerligt, omfatta alla delar av vår verksamhet och alla de informationstillgångar som vi äger eller hanterar. Definition av information Kommunens informationstillgångar består av all information som inkommer till kommunen eller som upprättas av kommunens verksamheter, oavsett var den förvaras och oavsett om den är digital eller på papper. Informationssäkerhetsarbetet syftar till att säkerställa att kommunen hanterar all information på ett säkert sätt. Detta oavsett vilken form informationen finns i. Det vill säga muntlig information, information på papper, information som ligger i ett IT-system eller lagras på digitala enheter såsom till exempel bärbar dator, iphone, Android och USB-minnen. Tänk alltid på att ingen obehörig ska ha möjlighet att ta del av informationen. Informationssäkerheten är särskilt viktig för känsliga och konfidentiella uppgifter som medarbetarna tar del av i sitt arbete. Mål God informationssäkerhet är den samlade effekten av kommunens organisatoriska, administrativa och tekniska åtgärder som vidtas för att skydda informationen mot de hot den kan utsättas för. Arbetet med informationssäkerhet måste vara medvetet och strukturerat med tydliga mål och riktlinjer. Målet är att upprätthålla nödvändig nivå på skyddet av informationstillgångarna, med informationsklassning som utgångspunkt, avseende; 3
Tillgänglighet att information är nåbar vid rätt tillfälle Sekretess/Konfidentialitet att informationen bara är åtkomlig för den som har rätt att ta del av den Riktighet att informationen är och förblir korrekt, begriplig och fullständig Spårbarhet att man i efterhand kan identifiera vem som gjort vad och när 4
Syfte Denna policy beskriver de övergripande principerna samt mål och inriktning för kommunens informationssäkerhet. Policyn ska konkretiseras med riktlinjer och rutiner som ska ge verksamheten ett stöd kring informationssäkerhet i det dagliga arbetet inom kommunen. Lagar och regelverk Nykvarns kommuns informationssäkerhetsarbete ska vara systematiskt och strukturerat, arbetssättet bygger på den svenska och internationella standarden LIS (ledningssystem för informationssäkerhet). Med stöd av LIS får vi rätt nivå på informationssäkerheten samtidigt som våra anställda får ett stöd i sitt dagliga arbete. LIS bygger på etablerade standarder, ISO standard 27000 och myndigheten för samhällsskydds metodstöd för informationssäkerhetsarbete. Vårt arbete med informationssäkerhet utgår framförallt från lagar, förordningar och föreskrifter såsom bland annat; Offentlighets- och sekretesslag (2009:400) Kommunallagen (2017:725) Förvaltningslagen (2017:900) Säkerhetsskyddslag (1996:627) och Säkerhetsskyddsförordning (1996:633) GDPR Dataskyddsförordningen (EU 2016/679) Arkivlag (1990:782) Arkivförordning (1991:446) Riksarkivets föreskrifter RA-FS 1991:1 (grund), RA-FS 1997:4 (ändr. omtryck), RA-FS 2013:4, RA-FS 2009:1 Lag utifrån NIS-direktivet (Prop. 2017/18:205) 5
Nykvarns kommuns egna krav är också styrande för informationssäkerhetsarbetet, samt de avtal som kommunen tecknat med företag och samarbetspartners. Roller och ansvar Kommunfullmäktige uttrycker i denna policy sin viljeinriktning för informationssäkerhetsarbetet för Nykvarns kommun. Kommunstyrelsen har ytterst ansvaret för att samordna och följa upp kommunens informationssäkerhetsarbete. Kommunstyrelsen har det övergripande ansvaret för att säkerställa att informationssäkerhetsarbetet riktlinjer utarbetas, förvaltas och följs upp. Nämnderna med förvaltningens kontor är ytterst ansvariga för informationshantering och informationssäkerhet inom ramen för sina verksamheter. Informationsägaren har det löpande praktiska ansvaret för informationen inom sin verksamhet och avgör vilken information som får hanteras, hur den får hanteras och av vem den får hanteras. Om inte rollen delegerats är det kontorschefen som agerar i rollen informationsägare. Alla som hanterar information ska ha kunskap om det regelverk som gäller för hur informationen får hanteras och har själva ett ansvar för att informationssäkerheten upprätthålls. Ansvaret för informationssäkerheten ligger i kommunens linjeorganisation, det innebär att: Kommundirektören har det yttersta ansvaret för informationssäkerheten och att det finns en tydlig ansvarsfördelning för att upprätthålla denna. 6
Varje anställd ansvarar för att följa säkerhetsregler samt att rapportera fel och störningar i informationssystem, utrustning och informationsinnehåll enligt fastställda rutiner. Den som upptäcker brister i informationssäkerheten måste uppmärksamma sin chef eller säkerhetschefen om detta. Alla medarbetare ska också rapportera händelser som kan leda till att kommunens informationstillgångar utsätts för risker. Den som har ansvaret för en verksamhet är också ansvarig för denna verksamhets informationssäkerhet. Detta innebär att varje chef även har ansvar för att information hanteras på rätt sätt och informationssäkerheten upprätthålls i enlighet med kommunen policy, riktlinjer och rutiner. När det gäller system har systemförvaltaren det övergripande ansvar för såväl systemet i sig och dess användning, men också för att säkerställa IT-säkerhet för systemet och informationssäkerhet den information som hanteras. Säkerheten ska anpassas utifrån informationsklassning liksom policy, riktlinjer och rutiner. I rollen som systemförvaltare ligger också att säkerställa att användarna har kunskap om både hur systemet fungerar och ska användas, men också hur informationen ska hanteras för att upprätthålla en god informationssäkerhet. Den som ingår avtal som innefattar informationsutbyte ansvarar för att kraven på informationssäkerhet specificeras i avtalet. Säkerhetschefen har det övergripande och strategiska ansvaret att leda, utveckla och samordna informationssäkerhetsarbetet, och ansvarar för att mallar och riktlinjer utarbetas samt att utbildningsmaterial för informationssäkerhet finns tillgänglig för både personal och förtroendevalda. 7
Kansliavdelningen samordnar frågor när det gäller juridik och arkivfrågor, och är rådgörande för frågor gällande bestämmelserna i tryckfrihetsförordningen, arkivlagen och offentlighets- och sekretesslagen samt förvaltningslagen. Systemadministratörer ansvarar för att följa de riktlinjer och rutiner som finns för respektive system och informationsmängd. Digitaliserings och IT-chefen ansvarar för arbetet med kommunens ITsäkerhet samt att upprätta en kontinuitetsplan rörande IT-stöd samt ansvarar för IT-säkerhetsfrågor. Riktlinjer, föreskrifter och instruktioner Denna policy ska konkretiseras i riktlinjer, och i förekommande fall, i föreskrifter och instruktioner. Dessa dokument bör så långt möjligt utformas och inbördes ordnas i enlighet med vedertagen internationell och svensk standard för informationssäkerhet (SS-ISO/IEC 27001, Ledningssystem för informationssäkerhet ). Informationssäkerhetsutbildning All berörd personal och förtroendevalda ska regelbundet få den utbildning som behövs för att informationssäkerheten ska kunna upprätthållas. Informationsklassning Information som hanteras i kommunen ska klassificeras med avseende krav på sekretess, riktighet, tillgänglighet och spårbarhet. Skyddsåtgärder Nykvarns kommun ska beskriva och införa organisatoriska, administrativa och tekniska skyddsåtgärder för att nödvändig skyddsnivå uppnås. 8
Val av skyddsåtgärder ska anpassas efter verksamheten och baseras på informationens betydelse och de konsekvenser som bristande säkerhet kan innebära för alla intressenter i en viss informationshantering. Lagar och förordningars krav ska utgöra lägsta nivå vid specificering av skyddsåtgärder. En förutsättning för arbetet med informationssäkerhet är att en god säkerhetskultur genomsyrar hela verksamheten. Med detta menas inte bara att medarbetare har god kunskap om vilka säkerhetsregler som gäller, utan också att de kritiskt ifrågasätter händelser som kan påverka säkerheten. Efterlevnad av NIS direktivet Kontinuitetsplaneringen är av central betydelse för att bedriva verksamheten på en acceptabel nivå under såväl normala förhållanden som vid extraordinära händelser. En kontinuitetsplan ska finnas baserad på de olika informationstillgångarnas samlade krav efter genomförd riskanalys. För respektive informationstillgång är systemägaren ansvarig för riskanalys och kontinuitetsplan tas fram, medan respektive ansvarig chef ansvarar för att kontinuitetsplanen är känd och förankrad i organisationen. I arbetet med informationssäkerhet och kontinuitetsplanering ska höjd tas för efterlevnad av NIS-direktivet för att säkerställa att samhällsviktig verksamhet kan återgå till normal drift så fort som möjligt. Det är av stor betydelse att bedriva verksamheten på en acceptabel nivå under såväl normala förhållanden som vid extraordinära händelser. En kontinuitetsplan ska finnas för driften av IT-verksamheten baserad på de olika informationssystemens samlade krav, samt för de verksamheter som har verksamhet som bedömts som samhällsviktig. Revidering och Uppföljning Uppföljning är en viktig del i informationssäkerhetsarbetet för att bevaka att: - beslutade åtgärder är genomförda 9
- årliga mål är uppfyllda - regler följs - att policy och instruktioner vid behov revideras Informationssäkerhetspolicyn i Nykvarns kommun ska gås igenom varje år och revideras vid behov. Säkerhetschefen ansvarar för att policyn för informationssäkerhet följs upp och uppdateras. Avgränsning Policyn för informationssäkerhet gäller för alla informationstillgångar i alla verksamheter inom Nykvarns kommun samt för AB Nykvarnsbostäder. Policyn gäller för samtliga aktörer som kan komma att hantera kommunens information. 10
TJÄNSTESKRIVELSE 2019-01-14 Kommunstyrelsen Richard Buske Tf säkerhetschef Telefon 08 555 010 22 richard.buske@nykvarn.se informationssäkerhetspolicy KS/2019:63 Förvaltningens förslag till beslut Revidering av Kommunstyrelsen beslutar föreslå kommunfullmäktige besluta att anta Informationssäkerhetspolicy. Sammanfattning av ärendet Information är en av kommunens viktigaste tillgångar och hanteringen av den är en viktig och naturlig del i alla verksamheters dagliga arbete. Att information hanteras på rätt sätt är av strategisk betydelse för medarbetare, medborgare och näringsliv. Med TJÄNSTESKRIVELSE informationstillgångar avses all information som används i kommunens verksamhet, oavsett om den behandlas manuellt, digitalt eller automatiserat och oberoende av dess form eller miljö den förekommer i. Det är därför viktigt att information hanteras på ett säkert sätt och inte sprids felaktigt. Arbetet med informationssäkerhet ska vara långsiktigt och kontinuerligt, omfatta alla delar av vår verksamhet och alla de informationstillgångar som vi äger eller hanterar. Informationssäkerhetspolicyn har koppling till Nykvarns kommuns Strategi för risk och - säkerhetsarbete. Policyn fastställer Nykvarns kommuns viljeinriktning och övergripande mål för arbetet med informationssäkerhet i kommunen. Ekonomiska konsekvenser Telefon 08-555 010 00 Fax 08-555 014 99 www.nykvarn.se 1(2)
Kostnaderna ska täckas inom befintlig budgetram. Om kostnader skulle uppstå som idag inte finns med i beräkningen så får ansökan om utökade medel göras till kommunstyrelsen. Beslutsunderlag Tjänsteskrivelse 2019-10-14 Informationssäkerhetspolicy Barnkonventionskonsekvenser Ärendet i sig medför inga kosekvenser för annat än att policyn medför att Nykvarns kommuns arbete med informationssäkerhet blir mer förankrat och bidrar till trygghet i våra verksamheter. Birgitta Elvås Ola Edström TJÄNSTESKRIVELSE tf Kommundirektör tf Chef Kommunledningskontoret Beslutet expedieras till Akten Telefon 08-555 010 00 Fax 08-555 014 99 www.nykvarn.se 2(2)
Informationssäkerhetspolicy
Innehållsförteckning Antagen av kommunfullmäktige den [månad_år] Informationssäkerhetspolicy...2 Ändringar införda till och med KF, [nr/år] Inledning och bakgrund...2 Definition av information...2 Mål...2 Syfte...3 Lagar och regelverk...3 Roller och ansvar...3 Riktlinjer, föreskrifter och instruktioner...5 Informationssäkerhetsutbildning...5 Informationsklassning...5 Skyddsåtgärder...5 Efterlevnad av NIS direktivet...5 Revidering och Uppföljning...6 1
Avgränsning...6 Informationssäkerhetspolicy Inledning och bakgrund Information är en av kommunens viktigaste tillgångar och hanteringen av den är en viktig och naturlig del i alla verksamheters dagliga arbete. Att information hanteras på rätt sätt är av strategisk betydelse för medarbetare, medborgare och näringsliv. Med informationstillgångar avses all information som används i kommunens verksamhet, oavsett om den behandlas manuellt, digitalt eller automatiserat och oberoende av dess form eller miljö den förekommer i. Det är därför viktigt att information hanteras på ett säkert sätt och inte sprids felaktigt. 2
Arbetet med informationssäkerhet ska vara långsiktigt och kontinuerligt, omfatta alla delar av vår verksamhet och alla de informationstillgångar som vi äger eller hanterar. Definition av information Kommunens informationstillgångar består av all information som inkommer till kommunen eller som upprättas av kommunens verksamheter, oavsett var den förvaras och oavsett om den är digital eller på papper. Informationssäkerhetsarbetet syftar till att säkerställa att kommunen hanterar all information på ett säkert sätt. Detta oavsett vilken form informationen finns i. Det vill säga muntlig information, information på papper, information som ligger i ett IT-system eller lagras på digitala enheter såsom till exempel bärbar dator, iphone, Android och USB-minnen. Tänk alltid på att ingen obehörig ska ha möjlighet att ta del av informationen. Informationssäkerheten är särskilt viktig för känsliga och konfidentiella uppgifter som medarbetarna tar del av i sitt arbete. Mål God informationssäkerhet är den samlade effekten av kommunens organisatoriska, administrativa och tekniska åtgärder som vidtas för att skydda informationen mot de hot den kan utsättas för. Arbetet med informationssäkerhet måste vara medvetet och strukturerat med tydliga mål och riktlinjer. Målet är att upprätthålla nödvändig nivå på skyddet av informationstillgångarna, med informationsklassning som utgångspunkt, avseende; 3
Tillgänglighet att information är nåbar vid rätt tillfälle Sekretess/Konfidentialitet att informationen bara är åtkomlig för den som har rätt att ta del av den Riktighet att informationen är och förblir korrekt, begriplig och fullständig Spårbarhet att man i efterhand kan identifiera vem som gjort vad och när 4
Syfte Denna policy beskriver de övergripande principerna samt mål och inriktning för kommunens informationssäkerhet. Policyn ska konkretiseras med riktlinjer och rutiner som ska ge verksamheten ett stöd kring informationssäkerhet i det dagliga arbetet inom kommunen. Lagar och regelverk Nykvarns kommuns informationssäkerhetsarbete ska vara systematiskt och strukturerat, arbetssättet bygger på den svenska och internationella standarden LIS (ledningssystem för informationssäkerhet). Med stöd av LIS får vi rätt nivå på informationssäkerheten samtidigt som våra anställda får ett stöd i sitt dagliga arbete. LIS bygger på etablerade standarder, ISO standard 27000 och myndigheten för samhällsskydds metodstöd för informationssäkerhetsarbete. Vårt arbete med informationssäkerhet utgår framförallt från lagar, förordningar och föreskrifter såsom bland annat; Offentlighets- och sekretesslag (2009:400) Kommunallagen (2017:725) Förvaltningslagen (2017:900) Säkerhetsskyddslag (1996:627) och Säkerhetsskyddsförordning (1996:633) GDPR Dataskyddsförordningen (EU 2016/679) Arkivlag (1990:782) Arkivförordning (1991:446) Riksarkivets föreskrifter RA-FS 1991:1 (grund), RA-FS 1997:4 (ändr. omtryck), RA-FS 2013:4, RA-FS 2009:1 Lag utifrån NIS-direktivet (Prop. 2017/18:205) 5
Nykvarns kommuns egna krav är också styrande för informationssäkerhetsarbetet, samt de avtal som kommunen tecknat med företag och samarbetspartners. Roller och ansvar Kommunfullmäktige uttrycker i denna policy sin viljeinriktning för informationssäkerhetsarbetet för Nykvarns kommun. Kommunstyrelsen har ytterst ansvaret för att samordna och följa upp kommunens informationssäkerhetsarbete. Kommunstyrelsen har det övergripande ansvaret för att säkerställa att informationssäkerhetsarbetet riktlinjer utarbetas, förvaltas och följs upp. Nämnderna med förvaltningens kontor är ytterst ansvariga för informationshantering och informationssäkerhet inom ramen för sina verksamheter. Informationsägaren har det löpande praktiska ansvaret för informationen inom sin verksamhet och avgör vilken information som får hanteras, hur den får hanteras och av vem den får hanteras. Om inte rollen delegerats är det kontorschefen som agerar i rollen informationsägare. Alla som hanterar information ska ha kunskap om det regelverk som gäller för hur informationen får hanteras och har själva ett ansvar för att informationssäkerheten upprätthålls. Ansvaret för informationssäkerheten ligger i kommunens linjeorganisation, det innebär att: Kommundirektören har det yttersta ansvaret för informationssäkerheten och att det finns en tydlig ansvarsfördelning för att upprätthålla denna. 6
Varje anställd ansvarar för att följa säkerhetsregler samt att rapportera fel och störningar i informationssystem, utrustning och informationsinnehåll enligt fastställda rutiner. Den som upptäcker brister i informationssäkerheten måste uppmärksamma sin chef eller säkerhetschefen om detta. Alla medarbetare ska också rapportera händelser som kan leda till att kommunens informationstillgångar utsätts för risker. Den som har ansvaret för en verksamhet är också ansvarig för denna verksamhets informationssäkerhet. Detta innebär att varje chef även har ansvar för att information hanteras på rätt sätt och informationssäkerheten upprätthålls i enlighet med kommunen policy, riktlinjer och rutiner. När det gäller system har systemförvaltaren det övergripande ansvar för såväl systemet i sig och dess användning, men också för att säkerställa IT-säkerhet för systemet och informationssäkerhet den information som hanteras. Säkerheten ska anpassas utifrån informationsklassning liksom policy, riktlinjer och rutiner. I rollen som systemförvaltare ligger också att säkerställa att användarna har kunskap om både hur systemet fungerar och ska användas, men också hur informationen ska hanteras för att upprätthålla en god informationssäkerhet. Den som ingår avtal som innefattar informationsutbyte ansvarar för att kraven på informationssäkerhet specificeras i avtalet. Säkerhetschefen har det övergripande och strategiska ansvaret att leda, utveckla och samordna informationssäkerhetsarbetet, och ansvarar för att mallar och riktlinjer utarbetas samt att utbildningsmaterial för informationssäkerhet finns tillgänglig för både personal och förtroendevalda. 7
Kansliavdelningen samordnar frågor när det gäller juridik och arkivfrågor, och är rådgörande för frågor gällande bestämmelserna i tryckfrihetsförordningen, arkivlagen och offentlighets- och sekretesslagen samt förvaltningslagen. Systemadministratörer ansvarar för att följa de riktlinjer och rutiner som finns för respektive system och informationsmängd. Digitaliserings och IT-chefen ansvarar för arbetet med kommunens ITsäkerhet samt att upprätta en kontinuitetsplan rörande IT-stöd samt ansvarar för IT-säkerhetsfrågor. Riktlinjer, föreskrifter och instruktioner Denna policy ska konkretiseras i riktlinjer, och i förekommande fall, i föreskrifter och instruktioner. Dessa dokument bör så långt möjligt utformas och inbördes ordnas i enlighet med vedertagen internationell och svensk standard för informationssäkerhet (SS-ISO/IEC 27001, Ledningssystem för informationssäkerhet ). Informationssäkerhetsutbildning All berörd personal och förtroendevalda ska regelbundet få den utbildning som behövs för att informationssäkerheten ska kunna upprätthållas. Informationsklassning Information som hanteras i kommunen ska klassificeras med avseende krav på sekretess, riktighet, tillgänglighet och spårbarhet. Skyddsåtgärder Nykvarns kommun ska beskriva och införa organisatoriska, administrativa och tekniska skyddsåtgärder för att nödvändig skyddsnivå uppnås. 8
Val av skyddsåtgärder ska anpassas efter verksamheten och baseras på informationens betydelse och de konsekvenser som bristande säkerhet kan innebära för alla intressenter i en viss informationshantering. Lagar och förordningars krav ska utgöra lägsta nivå vid specificering av skyddsåtgärder. En förutsättning för arbetet med informationssäkerhet är att en god säkerhetskultur genomsyrar hela verksamheten. Med detta menas inte bara att medarbetare har god kunskap om vilka säkerhetsregler som gäller, utan också att de kritiskt ifrågasätter händelser som kan påverka säkerheten. Efterlevnad av NIS direktivet Kontinuitetsplaneringen är av central betydelse för att bedriva verksamheten på en acceptabel nivå under såväl normala förhållanden som vid extraordinära händelser. En kontinuitetsplan ska finnas baserad på de olika informationstillgångarnas samlade krav efter genomförd riskanalys. För respektive informationstillgång är systemägaren ansvarig för riskanalys och kontinuitetsplan tas fram, medan respektive ansvarig chef ansvarar för att kontinuitetsplanen är känd och förankrad i organisationen. I arbetet med informationssäkerhet och kontinuitetsplanering ska höjd tas för efterlevnad av NIS-direktivet för att säkerställa att samhällsviktig verksamhet kan återgå till normal drift så fort som möjligt. Det är av stor betydelse att bedriva verksamheten på en acceptabel nivå under såväl normala förhållanden som vid extraordinära händelser. En kontinuitetsplan ska finnas för driften av IT-verksamheten baserad på de olika informationssystemens samlade krav, samt för de verksamheter som har verksamhet som bedömts som samhällsviktig. Revidering och Uppföljning Uppföljning är en viktig del i informationssäkerhetsarbetet för att bevaka att: - beslutade åtgärder är genomförda 9
- årliga mål är uppfyllda - regler följs - att policy och instruktioner vid behov revideras Informationssäkerhetspolicyn i Nykvarns kommun ska gås igenom varje år och revideras vid behov. Säkerhetschefen ansvarar för att policyn för informationssäkerhet följs upp och uppdateras. Avgränsning Policyn för informationssäkerhet gäller för alla informationstillgångar i alla verksamheter inom Nykvarns kommun samt för AB Nykvarnsbostäder. Policyn gäller för samtliga aktörer som kan komma att hantera kommunens information. 10