Riktlinjer för IT och informationssäkerhet - förvaltning

Relevanta dokument
Informationssäkerhetsanvisningar Förvaltning

Regler och instruktioner för verksamheten

Riktlinjer för dataskydd

IT-säkerhetsinstruktion Förvaltning

Informationssäkerhetspolicy

Informationssäkerhetspolicy för Ånge kommun

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Informationssäkerhetspolicy för Ystads kommun F 17:01

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

IT-Säkerhetsinstruktion: Förvaltning

Informationssäkerhetspolicy

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Informationssäkerhetspolicy KS/2018:260

Riktlinjer för Informationssäkerhet Falkenbergs Kommun Kommunledningskontoret

Roller för information behöver också fastställas, använd gärna nedanstående roller som kommer från SKL och deras verktyg

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Informationssäkerhetspolicy

Riktlinjer för hantering av personuppgifter

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

1(6) Informationssäkerhetspolicy. Styrdokument

Informationssäkerhetspolicy

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

- användare. Inledning. Ditt ansvar som användare. Åtkomst till information. Författningssamling

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Informationssäkerhet och SKLs verktyg KLASSA. Avdelningen för Digitalisering Sektionen för Informationshantering och Digital Arbetsmiljö (IDA)

Informationssäkerhetspolicy inom Stockholms läns landsting

Kommunstyrelsens förslag till antagande av reviderad informationssäkerhetspolicy Ärende 11 KS 2017/336

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Informationssäkerhet - Informationssäkerhetspolicy

Anvisningar för behandling av personuppgifter

INFORMATIONSSÄKERHET 1 INLEDNING MÅL FÖR IT-SÄKERHETSARBETET... 2

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

Myndigheten för samhällsskydd och beredskaps författningssamling

Handlingsplan för persondataskydd

Policy och strategi för informationssäkerhet

Riktlinjer för personuppgiftshantering

Informationsklassning och systemsäkerhetsanalys en guide

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

I n fo r m a ti o n ssä k e r h e t

Dnr

Informationssäkerhetsinstruktion: Förvaltning (Infosäk F)

Katrineholms kommuns. Informationssäkerhetspo licy. IZatrineholms kommun "- Antagen av kommunfullmäktige , 106

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

IT-plan för Söderköpings kommun

POLICY INFORMATIONSSÄKERHET

Informationssäkerhet - Instruktion för förvaltning

Myndigheten för samhällsskydd och beredskaps författningssamling

Kommunal författningssamling för Smedjebackens kommun. Informationssäkerhetspolicy. 97 Dnr 2016/00447

Informationssäkerhetspolicy för Katrineholms kommun

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

IT-säkerhetspolicy. Fastställd av KF

Behandling av personuppgifter enligt dataskyddslagstiftningen. Riktlinjer

Bilaga till rektorsbeslut RÖ28, (5)

Informationssäkerhet Riktlinje Förvaltning

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Koncernkontoret Enheten för säkerhet och intern miljöledning

Finansinspektionens författningssamling

IT-säkerhetspolicy Instruktion Kommunfullmäktige. Senast reviderad Beskriver IT-säkerhetarbetet.

SÄKERHETSFÖRESKRIFTER FÖR FÖRVALTNING AV IT-SYSTEM

Organisation för samordning av informationssäkerhet IT (0:1:0)

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Informationssäkerhetspolicy

Informationssäkerhetspolicy

EDA KOMMUN. nformationssäkerhet - Informationssäkerhetspolicy

Informationssäkerhetspolicy. Linköpings kommun

Informationssäkerhetspolicy

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

I Central förvaltning Administrativ enhet

Informationssäkerhetspolicy S/~LA KOMMUN KOMMUNFULLMÄKTIGE. Bi l aga KS 2015 / 135/1 INFORMATIONSSÄKERHETSPOLICY FÖR SALA KOMMUN

Policy för informationssäkerhet

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

RIKTLINJER FÖR HANTERING AV PERSONUPPGIFTSINCIDENT

Policy för informations- säkerhet och personuppgiftshantering

Informationssäkerhetspolicy för Nässjö kommun

Riktlinjer. Informationssäkerhet och systemförvaltning

Informationssäkerhetspolicy

Informationssäkerhet vid Lunds Universitet. Mötesplats Rydberg 3:e oktober Lennart Österman

Ett eller flera dataskyddsombud?

Policy för informationssäkerhet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Informationssäkerhetspolicy

Riktlinjer för hantering av personuppgifter

Verket för förvaltningsutvecklings författningssamling ISSN Utgivare: Lena Jönsson, Verva, Box 214, Stockholm

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

RIKTLINJER FÖR IT-SÄKERHET

Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE

ADDSECURES BEHANDLING AV PERSONUPPGIFTER

Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

Bilaga 1 - Handledning i informationssäkerhet

Verksamhetsplan Informationssäkerhet

Riktlinjer för IT-säkerhet i Halmstads kommun

Bilaga 3 Säkerhet Dnr: /

Fördelning av ansvar för informationssäkerhet. Version: 1. Beslutsinstans: Regiondirektören

Finansinspektionens författningssamling

Transkript:

Författningssamling Utgivare: Kommunledningsförvaltningen Kansli Gäller från: Lagakraftvunnet beslut Gäller till och med: tillsvidare Antagen: Kommunstyrelsen 2019-03-26 95 Riktlinjer för IT och informationssäkerhet - förvaltning Riktlinjer för IT- och informationssäkerhet Inledning IT- och informationssäkerhetspolicyn är det styrande dokument som anger Karlshamns kommuns förhållningssätt till och användande av informations- och kommunikationsteknik. Dokumentet klargör omfattning, roller och ansvar för IT-användning inom kommunens verksamheter. Riktlinjer för IT och informationssäkerhet förvaltning redovisar den interna organisationen och ansvarsfördelningen för IT- och informationssäkerhetsarbetet som myndigheterna enligt policyn ska bedriva. Organisation Roller och ansvar Kommunstyrelsen Kommunstyrelsen ansvarar för att samordna och leda det kommunövergripande informationssäkerhetsarbetet. Genom dessa riktlinjer för informationssäkerhet beslutar kommunstyrelsen om hur verksamheterna ska bedrivas för att uppnå målet om att kommunen ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete. Nämnder och styrelser Respektive nämnd ansvarar för den information som tillhör dess verksamhet. Nämnden ansvarar också för informationssäkerheten och att klassificera informationen samt nyanskaffning av system inom respektive verksamhetsområde. E-rådet E-rådet är beredande organ för IT- och digitaliseringsfrågor och hanterar och utreder generella frågor avseende anskaffning, utveckling, drift, förvaltning och avveckling av informationshanteringsresurser. Inom ramen för detta ingår frågor som avser informationssäkerhet. Ansvariga inom förvaltningarna ska vara representerade i gruppen liksom representant för ITenheten. IT-enheten IT-enheten svarar för kompetens och utförande inom strategisk IT-utveckling, planering och omvärldsbevakning, liksom kompetens och utförande inom operativ driftsverksamhet inom ITområdet. IT-enheten ansvarar för att tillhandahålla support med rådgivning och lösning av ITrelaterade problem, tillgänglig under ordinarie arbetstider för kommunens anställda (07.00-17.00)

och med hänsyn tagen till de kommunala verksamheternas behov. Därtill ansvarar IT-enheten för att utbilda de kommunala verksamheterna inom IT-användning i den utsträckning som krävs för att upprätthålla policyns krav på informationssäkerhet. Utbildning ska utgöras när så påkallas eller på egen inrådan. IT-strateg och informationssäkerhetsansvarig Funktionerna ansvarar för att driva arbete för att uppnå IT- och informationssäkerhetspolicyns mål och svarar för analyser av de delar av informationshanteringsresurserna som är gemensamma för hela den kommunala verksamheten. Analyserna ska genomföras på uppdrag av E-rådet. Funktionerna stödjer även systemägarnas arbete med att genomföra enskilda systemsäkerhetsanalyser. Systemägare Systemägare är den vars budget belastas av kostnader för informationssystemet. Systemägaren ansvarar för införande, drift, förvaltning och avveckling av de egna informationssystemen enligt uppsatta mål och ansvarar för att systemsäkerhetsanalyser för de egna informationssystemen genomförs. Systemförvaltare Systemförvaltaren utses av systemägaren och ansvarar, i samverkan med IT-enheten, för den dagliga driften och förvaltningen av aktuellt informationssystem. IT-chef IT-chefen har ett särskilt ansvar för att tillse att kommunens tekniska lösningar uppfyller kraven på informationssäkerhet. IT-chefen är systemägare för de kommunövergripande IT-systemen och ansvarar för att verkställa kommunstyrelsens beslut inom området. Systemtekniker Systemteknikerna tillhör IT-enheten. De innehar den tekniska kompetensen och ansvarar tillsammans med systemägare och systemförvaltare för att den dagliga driften upprätthålls. Förvaltningschef Förvaltningschefen har det övergripande ansvaret för informationssäkerheten inom respektive förvaltning. Alla inköp av IT-utrustning som frångår standardsortiment ska beslutas om av förvaltningschef. Förvaltningschefen i samverkan med IT-enheten tillser att förvaltningens personal har relevant kunskap kring IT och informationssäkerhet för att utföra sitt arbete. Närmaste chef Närmaste chef ansvarar för alla inköp av IT-utrustning inom standarssortimentet. Närmaste chef ansvarar också för att beställa och avbeställa sin personals behörigheter för åtkomst till kommunens informationssystem, tillse att e-post vidarebefordras till ersättare vid personals oplanerade frånvaro och att all personal har kännedom om Riktlinjer för IT och informationssäkerhet användare. Regler och rutiner Ansvar för tillgångar Varje dator och mobil enhet ägs av IT-enheten som ansvarar för märkning och registerföring av tillgångarna. Varje dator ska vara märkt Karlshamns kommun samt ha ett unikt nummer. Av en förteckning ska framgå var tillgångarna är placerade samt vem som ansvarar för respektive tillgång. Omflyttning och överlåtelse av tillgång, så som dator, mobil enhet, skrivare eller nätverksutrustning får inte ske utan samråd med IT-enheten.

Riskanalys och klassificering av information Genom aktivt arbete med att identifiera, analysera och värdera hot mot objekt (organisation, verksamhet, process eller tjänst t ex) byggs ett långsiktigt informationssäkerhetsarbete upp inom organisationen. All information som hanteras inom verksamheterna ska klassificeras utifrån, av e-arkivmyndigheten angivna, nivåer. Informationsklassningen innebär att systemägaren efter en värdering av möjliga konsekvenser fattar ett aktivt beslut om vilken skyddsnivå som är lämplig att välja för att skydda informationen i det aktuella systemet. Informationsklassningen ska löpande ses över då teknik, verksamhet och andra förutsättningar kan förändras och klassningen ska revideras om behov uppstår. Klassificeringen utgår ifrån informationens konfidentialitet, riktighet, tillgänglighet samt spårbarhet och de skador en avvikelse kan ge. Se bilaga 1 för mer information. Klassning ska anges i kommunens gemensamma dokumenthanteringsplan i aktuell kolumn för respektive informationsbärare. Klassning av information ska genomföras som ett led i implementering av nya system eller lösningar och löpande avseende befintlig informationshantering. Om det vid en riskanalys framkommer att behandling av personuppgifter sannolikt leder till en hög risk för enskilda personer fri- och rättigheter, ska en konsekvensbedömning göras i enlighet med dataskyddsförordningen. Nyanskaffning av system Vid inköp av nya eller utveckling av befintliga IT-system ska nämnderna tillse att leverantörerna vidtar lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken med personuppgiftsbehandlingen samt beakta principerna om inbyggt dataskydd och dataskydd som standard. Nämnden ska välja det IT-system som ger de bästa tekniska förutsättningarna för dataskydd, med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna för kränkning av fysiska personers rättigheter och friheter. Samråd ska ske med kommunens E-råd, e-arkivmyndighet och nämndens dataskyddsombud innan inköp. Nämnderna ska teckna personuppgiftsbiträdesavtal med leverantörerna. Kommunen har tagit fram en mall för standardavtal. Under anställning Information och utbildning av anställda ska omfatta: Informationssäkerhetens betydelse för verksamheten Innehållet i IT och informationssäkerhetspolicyn Riktlinjer för informationssäkerhet användare Nya användare ska ges grundläggande informationssäkerhetsutbildning före tilldelning av behörighet i nätverket. Systemägare ansvarar för att: användarhandledning för aktuellt system finns, och medarbetare har tillräckliga kunskaper om säkerhetsreglerna för de informationssystem de behöver för de egna arbetsuppgifterna.

Säkrade utrymmen Känslig information från informationssystem ska lagras på resurser i datorhallar som är försedda med kontrollsystem för in- och utpassering. Utrymmen med konsolutrustning ska vara låsta när de är obemannade. Utrymmen med kopplingspunkter ska vara låsta. Tillträde till dessa utrymmen ska beviljas endast av IT-chef. Kontroll av utomstående leverantör Systemförvaltare som beställer utomstående leverantörers tjänster ska följa upp och granska att tjänsterna utförs i linje med bestämmelser i dataskyddslagstiftningen och personuppgiftsbiträdesavtal med tillhörande instruktioner. Hantering av datamedia Datamedia med sekretessbelagd information som ska avvecklas överlämnas till IT-support som hanterar avvecklingen. Avvecklingen ska ske på sådant sätt att information blir oläslig. Förflyttning av information Om media som innehåller känslig information måste transporteras ska säkerhetschefen kontaktas för beslut om tillvägagångssätt. Övervakning Informationssystems loggar ska kontrolleras regelbundet. Systemägaren ska besluta: Hur ofta de ska analyseras Vem som ansvarar för analyser av dem Hur länge de ska sparas Hur de ska förvaras Styrning av användares åtkomst och tillträde För att säkerställa att endast behöriga användare förekommer i informationssystemen ska beställning och borttagande av åtkomst till informationssystem ske via IT-supports ärendehanteringssystem. Systemägare eller systemförvaltare gör beställningen till IT-support. Samma förfarande ska användas när konsulter eller andra utför arbete i informationssystem. Tillträde till det specifika informationssystemet sker genom systemförvaltare. Styrning av åtkomst till nätverk IT-chefen ska i anvisningar reglera sådant som inte regleras i IT- och informationssäkerhetspolicy eller i Riktlinjer för IT och informationssäkerhet vad avser: Autentisering vid externa anslutningar Anslutning av utrustning till interna och externa nätverk Anslutning av externa nätverk till kommunens eget nät med ingående säkerhetsfunktioner, autentisering etc. Anslutning av trådlösa nät Säkerhet vid Internetanslutning Styrning av åtkomst till operativsystem IT-chefen ska besluta i vilken utsträckning åtkomst till operativsystemet en användare ska ges. Mobil datoranvändning och distansarbete Verksamhetsansvarig chef beslutar i samråd med systemägaren om ett informationssystems information ska få hanteras på distans med stationär eller mobil utrustning.

Säkerhet Säkerhetskrav på informationssystem Inför nyanskaffning och införande av ett informationssystem ska verksamhetsansvarig chef i samråd med E-rådet utforma en projektplan för införandet. Denna plan ska minst omfatta: Verksamhetens beskrivning av behov och mål med anskaffningen. Inledande systemsäkerhetsanalys med stöd av IT-strateg (analysen syftar till att klarlägga säkerhetskraven på det system som planeras införas). Kravspecifikation som minst omfattar: - integrationskrav med andra system - utvecklings- och införandemetod - krav på test - tidplan - personella och ekonomiska resurser - klarlägga behov av användarutbildning Driftgodkännande avser den process som syftar till att fastställa om ett informationssystem uppfyller ställda säkerhetskrav. Denna process omfattar följande steg: Systemägare driftsgodkänner sina informationssystem efter genomförd systemsäkerhetsanalys. Systemägaren koordinerar sina krav med IT-strateg. Informationssystem införs genom att: E-rådet utreder och lämnar en rekommendation kring nyanskaffning till kommunstyrelsen avseende kommunövergripande system, alternativt till ansvarig nämnd avseende övriga verksamhetssystem. Hantering av informationssäkerhetsincidenter och förbättringar Vid misstanke om intrång eller andra incidenter ska användare agera enligt Riktlinjer för IT och informationssäkerhet användare. Informationssäkerhetsansvarig ska sammanställa och rapportera till kommunstyrelsen och ansvarig nämnd innehållandes: intrång och försök till intrång brott mot lagstiftning och internt regelverk incidenter som orsakar eller skulle kunna orsaka betydande avbrott och störningar konsekvenser och förslag till åtgärder efter intrång eller funktionsfel. Om det inträffar en personuppgiftsincident, ska incidenten rapporteras till dataskyddsombudet omgående. Personuppgiftsincidenten ska även som huvudregel anmälas till Datainspektionen, och alltid dokumenteras, i enlighet med dataskyddsförordningens bestämmelser. Om personuppgiftsincidenten sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska även de registrerade (dvs. de människor personuppgifterna avser) informeras om personuppgiftsincidenten utan dröjsmål. Obligatorisk IT-incidentrapport ska även lämnas till MSB enligt myndighetens föreskrifter.

Revidering och uppföljning IT-chefen ansvarar för att årligen se över och vid behov ge förslag till kommunstyrelsen revidering av riktlinjerna för IT och informationssäkerhet.

Bilaga 1: Informationsklassningsnivåer Konfidentialitet - att informationen kan åtkomstbegränsas. Riktighet att information ska vara tillförlitlig, korrekt och fullständig. Tillgänglighet att information ska kunna nyttjas efter behov, i förväntad utsträckning samt av rätt person med rätt behörighet. Spårbarhet att specifika aktiviteter som rör informationen kan spåras. Nivå 0 Ingen eller försumbar skada Inga svårigheter för verksamheten att nå målen. Ingen eller endast försumbar påverkan på samhällsviktiga funktioner vid egen eller annan organisation Nivå 1 Måttlig skada Inga märkbara större svårigheter för verksamheten att nå målen. Ingen påverkan på samhällsviktiga funktioner vid egen eller annan organisation. Enskilda individer eller andra myndigheter och organisationer kan notera störningen eller uppleva lindriga besvär men utan påvisbar ekonomisk påverkan. Nivå 2 Betydande skada Verksamheten kan fullfölja sina uppdrag, men med trolig risk för kännbar påverkan (ekonomiskt eller genom behovet av att vidta extraordinära åtgärder). Andra myndigheter och organisationer kan påverkas (ekonomiskt eller genom behovet av att vidta extraordinära åtgärder). Samhällsviktiga funktioner i egen eller annan organisation påverkas troligen inte. Enskilda individer kan uppleva konsekvenser, såsom stora besvär eller stor ekonomisk påverkan, av störningen. Nivå 3 Allvarlig skada Skapar stora svårigheter för organisationens verksamhet. Omöjligt eller nästan omöjligt att fullfölja uppdragen. Samhällsviktiga funktioner i egen eller annan organisation påverkas sannolikt. Individers liv och hälsa äventyras Nivå 4 Synnerligen allvarlig Röjande av informationen medför skada för rikets säkerhet som inte endast är ringa. Systemet behandlar information som omfattas av sekretess och rör rikets säkerhet (hemliga uppgifter) där röjande av information kan ge oöverskådliga konsekvenser där t ex omfattande fara för liv och hälsa föreligger. Informationen omfattas av t ex säkerhetsskyddslagstiftningen

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss