Revidering av policy och regler för informationssäkerhet i Stockholms stad



Relevanta dokument
Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

Öppenhet, transparens och professionalism i Stockholms stads bolag Motion av Rolf Könberg (m) (2003:42)

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet.

Uppdatering av finanspolicyn för kommunkoncernen Stockholms stad

Centralupphandling av drift och förvaltning av ITsystem, fast och mobil telefoni samt serverdrift i stadsnätet

Informationssäkerhet i. Torsby kommun

Policy för informationssäkerhet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Vervas kräver ISO och ISO av alla statliga myndigheter. Maylis Karlsson, Utvecklingsstrateg Verva

Informationssäkerhetspolicy för Vetlanda kommun

Rådslag mellan politiker och medborgare Motion av Lennart Johansson och Rebwar Hassan (båda mp) (2006:36)

Central upphandling av IT-stöd för en kvalitetssäkrad rekryteringsprocess

Informationssäkerhetspolicy

Informationssäkerhet - Instruktion för förvaltning

Ändring av Allmänna lokala ordningsföreskrifter för Stockholms kommun gällande Stockholms stads hundrastplatser m.m.

Lokal informationssäkerhetspolicy, lokala informationssäkerhetsriktlinjer och anvisningar

Föredragande borgarrådet Anna König Jerlmyr anför följande.

Kommunövergripande riktlinjer för säkerhet och krisberedskap i Östra Göinge kommun mandatperioden


Sänkta förmedlingsavgifter för Bostadsförmedlingen i Stockholm AB

1T1 SOLLENTUNA KOMMUN e

Registrering av personuppgifter vid katastrofer utomlands, Ds 2009:12 Remiss från Justitiedepartementet

IT-säkerhetspolicy för Åtvidabergs kommun

Ingå vänortsavtal med städer i Rumänien Motion (2015:28) av Erik Slottner och Sofia Modigh (båda KD)

Införande av elektroniska fakturor i staden Motion av Yvonne Fernell-Ingelström (m) (2005:54)

Vetenskapsrådets informationssäkerhetspolicy

Stockholms läns landsting 1 O)

Överklagande av Kammarrätten i Stockholms dom angående beslut att avbryta upphandling av drift av Katarinagården

Tillägg till avgifter för upplåtelse av offentlig plats avseende tillfälliga bostäder

Stockholms krisledning Motion av Magnus Haglund (m) (2005:10)

Ledningssystem för systematiskt kvalitetsarbete inom verksamheterna flykting och HVB

Gemensamma ägardirektiv för bolag ägda av Lysekils kommun Dnr: LKS , antagen av kommunfullmäktige , 24

ANGÅENDE REMISSEN OM INFÖRANDE AV GEMENSAM LÖSNING FÖR INLOGGNING TILL STADENS E-TJÄNSTER

Tal till Kungl. Krigsvetenskapsakademien

00' 1""0"""'''''''' SAMMANTRÄDESPROTOKOLL. TRANAs KOMMUN Sida 32(32) 181 Dnr 543/14. Övrigt - Ägardirektiv för

Principer för borgarrådens löner Motion av Per Bolund och Christopher Ödmann (båda mp) (2002:39)

AB Svenska Bostäders överlåtelse av fastigheter/tomträtter i Hagsätra till Ikano Bostad i Hagsätra AB

Upphandling av systemstöd för rekrytering

Våld mot äldre kvinnor Motion av Ewa Samuelsson och Desirée Pethrus Engström (båda kd) (2004:67)

Bolagspolicy för Vara kommun

De kommunala bostadsbolagens möjligheter att bygga hus för gemenskapsboende för äldre Motion av Ann Mari Engel (v) (2001:2)

Bromma flygplats Lägesredovisning

Handlingsplan för anställda inom staden som utsatts för våld Motion av Ewa Samuelsson (kd) (2005:52)

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Stadgeändring för bostadsrättsföreningen Nybodaberget

Inriktningsbeslut avseende nytt program för upphandling och inköp samt Vita jobb-modellen

Byggkostnadsprojektets genomförande - avrapportering 2005

FÖRFATTNINGSSAMLING BESLUT GÄLLER FR FLIK SID Kf 83/ Kf IT-säkerhetspolicy

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

IT-verksamheten, organisation och styrning

Lednings- och styrdokument. SÄKERHET Styrdokument antaget av kommunfullmäktige den 20 juni 2011

Ägardirektiv för Växjö Kommunföretag AB

Utlåtande 2004:105 RII (Dnr /2004) Förvärv av Mälarhöjdens ishall (Wallenstamhallen)

Kapitel 8 Personalresurser och säkerhet

Avknoppningar Skrivelse av Carin Jämtin (s)

Bolagspolicy. Ägarroll och ägarstyrning för kommunens bolag. Antagen av kommunfullmäktige den 28 januari 2016, 1

Konstutställning med stadens konst och utställning med stadens presenter Motion av Viviann Gunnarsson (mp) (2006:33)

ÄGARDIREKTIV FÖR AB TIMRÅBO Organisationsnummer

Förslag om förlängning av avtal med Företagsekonomiska institutionen vid Stockholms universitet om kommunalekonomisk utbildning och forskning (IKE)

Riktlinjer för säkerhet i Växjö kommun

Ägardirektiv för Växjö Fastighetsförvaltning AB

Företagspolicy för Vetlanda kommun

Genomförandebeslut gällande AB Stockholmshems nyproduktion av bostäder inom kv. Golvläggaren och kv. Syllen, i Årstadal

Riktlinjer för systematiskt säkerhetsarbete och säkerhetsorganisation för Malung-Sälens kommun.

Tillsynsansvar över förorenade områden redovisning av regeringsuppdrag Remiss från Miljö- och energidepartementet Remisstid 26 mars 2015

Förslag till ändrade föreskrifter och allmänna råd om laser och intensivt pulserande ljus Remiss från Strålsäkerhetsmyndigheten

Förslag till försäkringspolicy för Stockholms stad

Patientsäkerhetsberättelse

Svar till kommunrevisionen avseende genomförd IT-revision

Bokning av porrfria hotell Skrivelse av Margareta Olofsson (v)

p Dnr.2014/153 Ägardirektiv för Lindesbergsbostäder AB

ISO I PRAKTIKEN

Bibehållen skattenivå för att värna Stockholms tillväxt och skattebetalarnas pengar Motion (2014:16) av Anna König Jerlmyr (M)

Justering av köavgifter, Bostadsförmedlingen i Stockholm AB

Utlåtande 2003:58 RIII (Dnr /2003)

Informationssäkerhetspolicy IT (0:0:0)

GRUNDERNA FÖR DET SYSTEMATISKA KVALITETSARBETET 3 kap 3 och 4

Insatser för en alkohol- och narkotikafri graviditet (Ds 2009:19) Remiss från Socialdepartementet

Ägarpolicy. Sammanställning av principer om fördelning av ansvar och befogenheter för Linköpings kommuns ägande av företag

Ledningssystem för kvalitet

Öronmärkning av invandrarelevers pengar Motion av Fahri Ölcer (fp) (2003:31)

Ändring av allmänna lokala ordningsföreskrifter för Stockholms kommun avseende Björns Trädgård Medborgarplatsen Fatbursparken

Grundläggande IT-strategi för Falkenbergs kommun Kommunledningskontoret IT-avdelningen

AB Familjebostäders överlåtelse av fastigheter/tomträtter i Blackeberg, Hässelby och Bromma/Ulvsunda till Willhem Stockholm AB

p Dnr.2014/153 Ägardirektiv för Näringsfastigheter i Linde AB

IT-Systemförvaltningspolicy

Hearing om hur Stockholm kan arbeta för att minska ungas utanförskap Skrivelse av Yvonne Ruwaida (mp)

STRÖMSTADS KOMMUN SÄKERHETSPOLICY. Antagen av Kommunfullmäktige

Verksamhetsplan 2015

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

för verksamheten i Regional avfallsanläggning i mellersta Bohuslän Aktiebolag (RAMBO) nedan kallat Bolaget.

Ägardirektiv för AB Väsbyhem

TEKNISKA NÄMNDENS PROTOKOLL

Införandet av en GLMS-fri (gluten, laktos, mjölkprotein och soja) dag årligen den 15 maj Motion (2013:26) av Kaj Nordquist (S)

Hantering av skyddade personuppgifter

Utveckling av statens fastigheter Motion (2015:54) av Joakim Larsson (M)

Regler för behandling av personuppgifter vid Högskolan Dalarna

RS-riktlinjer för Informationssäkerhet i Västra Götalandsregionen

Kapital- och ägarstruktur i koncernen Stockholm Vatten AB

Sverigeförhandlingen: Ett författningsförslag om värdeåterföring

Transkript:

Utlåtande 2005: RI (Dnr 034-418/2005) Revidering av policy och regler för informationssäkerhet i Stockholms stad Kommunstyrelsen föreslår kommunfullmäktige besluta följande 1. Förslag till policy och riktlinjer för informationssäkerhet i Stockholms stad godkänns. 2. Stockholms Stadshus AB uppmanas anta policy och riktlinjer för informationssäkerhet inom koncernen. 3. Kommunstyrelsen ges i uppdrag att utfärda tillämpningsanvisningar och instruktioner för informationssäkerhet i Stockholms stad. Kommunstyrelsen beslutar för egen del under förutsättning att kommunfullmäktige beslutar enligt ovan följande Stadsdirektören ges i uppdrag att utfärda tillämpningsanvisningar och instruktioner för informationssäkerhet för Stockholms stad. Föredragande borgarrådet Annika Billström anför följande. Ärendet Stadens nuvarande policy och underliggande regler för informationssäkerhet fastställdes av kommunfullmäktige den 3 september 2001 (utl. 2001:103). Mot bakgrund av en ökad och i viss mån förändrad hotbild, den tekniska utvecklingen och inte minst stadens ambition att vara en s.k. 24-timmarskommun har ett nytt förslag till policy och riktlinjer för informationssäkerhet för Stockholms stad utarbetats.

Ärendets beredning Policyn och reglerna för informationssäkerhet har beretts av stadsledningskontoret. Förslaget har utsänts för sakgranskning till samtliga ITsäkerhetssamordnare vid Stockholms stads bolag och förvaltningar. Stadsledningskontoret föreslår att nuvarande policy upphör till förmån för föreslagen policy och föreslagna riktlinjer. En ökad användning av Internet, ökat informationsutbyte mellan organisationer samt tjänster innehållande för medborgare integritetskänslig information leder ofrånkomligen till att stadens riskexponering förändras. Styrning av informationssäkerhet i en organisation genom tillämpning av ett ledningssystem för informationssäkerhet ökar förutsättningarna att etablera en nödvändig skyddsnivå. Mina synpunkter En väl fungerande informationshantering är en väsentlig förutsättning för Stockholms stads verksamhet. För att denna skall kunna bedrivas utan allvarligare störningar måste säkerheten beaktas. Jag anser att den reviderade och föreslagna policyn för ökad IT-säkerhet är en viktig förutsättning för att uppnå en tillräckligt hög grad av säkerhet i stadens IT-baserade system. Policyn och riktlinjerna syftar till att skydda stadens informationstillgångar mot alla hot interna eller externa, avsiktliga eller oavsiktliga. I en tid då riskexponeringen förändras i snabb takt är det också viktigt att ständigt följa upp riktlinjerna för säkerhetsarbetet. Utöver det renodlade hotet med intrång i IT-systemen m.m. är en viktig föresats i uppbyggnaden och vårdandet av systemen att tillförlitligheten förstärks. Staden kommer självfallet inte att kunna garantera sig helt mot avbrott, men ambitionen måste vara att minimera eventuella avbrott och dess längd. Stadens strävan att ge god service genom elektroniska tjänster kan exemplifieras genom de Internettjänster som möjliggör för medborgarna att bl.a. söka bostad, daghemsplats och boendeparkering m.m. Ett annat exempel är möjligheten för anställda att läsa sin elektroniska post och komma åt dokument via Internet-uppkoppling från valfri plats i världen. Det gemensamma för dessa nya tjänster är att frågor om säkerhet alltid aktualiseras. I takt med den tekniska utvecklingen, exempelvis mobilitet och trådlös kommunikation uppstår också krav på nya säkerhetslösningar. Vissa delar av stadens verksamheter är mer känsliga för intrång och avbrott än andra och även detta måste beaktas i utformandet av systemen. Även utifrån detta perspektiv måste ett regelverk för säkerhet omprövas oftare än tidigare. 2

Avslutningsvis vill jag lyfta fram att säkerhetsåtgärder och andra insatta åtgärder måste vara ekonomiskt försvarbara, dvs. kostnaden skall stå i rimlig proportion till säkerhetsbehovet. Borgarrådsberedningen tillstyrker föredragande borgarrådets förslag. Kommunstyrelsen delar borgarrådsberedningens uppfattning och föreslår kommunfullmäktige besluta följande 1. Förslag till policy och riktlinjer för informationssäkerhet i Stockholms stad godkänns. 2. Stockholms Stadshus AB uppmanas anta policy och riktlinjer för informationssäkerhet inom koncernen. 3. Kommunstyrelsen ges i uppdrag att utfärda tillämpningsanvisningar och instruktioner för informationssäkerhet i Stockholms stad. Kommunstyrelsen beslutar för egen del under förutsättning att kommunfullmäktige beslutar enligt ovan följande Stadsdirektören ges i uppdrag att utfärda tillämpningsanvisningar och instruktioner för informationssäkerhet för Stockholms stad. Stockholm den På kommunstyrelsens vägnar: A N N I K A B I L L S T R Ö M Anette Otteborn 3

ÄRENDET Mot bakgrund av en ökad och i viss mån förändrad hotbild, den tekniska utvecklingen och inte minst stadens ambition att vara en s.k. 24- timmarskommun har ett nytt förslag till policy och riktlinjer för informationssäkerhet för Stockholms stad utarbetats. Bakgrund Stadens nuvarande policy och underliggande regler för informationssäkerhet fastställdes av kommunfullmäktige den 3 september 2001 (KS utl. 2001:103). Motivet för och avsikten med denna typ av dokument är att kommunkoncernen skall hantera säkerhetsfrågor kring informationshantering på ett enhetligt sätt och att staden skall verka för en homogen och trygg hantering av såväl integritetskänslig information som annan ur verksamhetssynpunkt väsentlig information. I enlighet med målet för stadens e-strategi produceras idag nya elektroniska tjänster till medborgare, nya funktioner för samarbetspartners och kunder till staden samt givetvis också för stadens anställda. I takt med den tekniska utvecklingen, exempelvis mobilitet och trådlös kommunikation uppstår också krav på nya säkerhetslösningar. Ett regelverk för säkerhet måste därför idag omprövas oftare än tidigare. Ärendets beredning Ärendet har beretts av stadsledningskontoret. Förslaget har utsänts för sakgranskning till samtliga IT-säkerhetssamordnare vid Stockholms stads bolag och förvaltningar. Deras synpunkter har i allt väsentligt inarbetats i materialet. Stadsledningskontorets tjänsteutlåtande daterat den 4 februari 2005 har i huvudsak följande lydelse. Informationssäkerhet som begrepp omfattar skydd av information både när den hanteras manuellt av människor och när den behandlas och kommuniceras med hjälp av informations- och kommunikationsteknik. Utveckling av IT-användningen, inte minst den som följer av satsningen på 24- timmarsmyndigheter, innebär stora möjligheter men ger också en dramatiskt ökad sårbarhet. En ökad användning av Internet, ökat informationsutbyte mellan organisa- 4

tioner samt tjänster innehållande för medborgare integritetskänslig information leder ofrånkomligen till att stadens riskexponering förändras. Medborgare och företag ska på elektronisk väg kunna få information, lämna uppgifter, framföra synpunkter och uträtta andra ärenden på ett snabbt och enkelt sätt oberoende av tid och plats. Målet är bättre service, ökade möjligheter till insyn och delaktighet samt ett mer effektivt resursutnyttjande. Nya tekniker såsom mobila tjänster via telefon eller handdatorer och trådlös kommunikation skapar också behov av nya säkerhetslösningar. Styrning av informationssäkerhet i en organisation genom tillämpning av ett ledningssystem för informationssäkerhet ökar förutsättningarna till att etablera en nödvändig skyddsnivå. En viktig ingrediens i ett sådant ledningssystem är en heltäckande och kraftfull policy samt riktlinjer och anvisningar för arbetet. Stadens nuvarande policy och regler för informationssäkerhet fastställdes av Kommunfullmäktige 2001. Ovanstående problembild var vid det laget inte lika tydlig som idag. Mot bakgrund av den ökade satsningen på elektroniska tjänster till medborgare, samarbetspartners och anställda samt i beaktande av den nya hotbild som växt fram har ett nytt förslag till Policy och Riktlinjer utarbetats. Stadsledningskontoret föreslår att Kommunstyrelsen dels antar policy och riktlinjer att gälla för egen del, dels föreslår Kommunfullmäktige godkänna bilagda dokument. Därmed upphör nuvarande Policy och Riktlinjer att gälla. Vidare föreslår Stadsledningskontoret att KS beslutar att ge stadsdirektören i uppdrag att utfärda anvisningar och instruktioner för tillämpning av policy och riktlinjer. Sådana anvisningar, benämnda Appendix A i policydokumentet, avser områden som kommer att preciseras under våren. Bilaga 1. Sammanfattning av innehåll i policy och riktlinjer för informationssäkerhet. 2. Policy och riktlinjer för informationssäkerhet 5

Bilaga 1 Sammanfattning av policy och riktlinjer för informationssäkerhet En väl fungerande informationshantering är en väsentlig förutsättning för Stockholms stads verksamhet. För att denna skall kunna bedrivas utan allvarligare störningar måste säkerheten beaktas. Regelverket bidrar till att skydda stadens informationstillgångar mot alla hot interna eller externa, avsiktliga eller oavsiktliga. Nedan följer en sammanfattning av de säkerhetsföreskrifter som alla nämnder och bolagsstyrelser skall iaktta. Det ankommer på förvaltningsledningarna att se till att dessa regler följs. Säkerhetsåtgärder skall vara ekonomiskt försvarbara. Det innebär att kostnaden skall stå i rimlig proportion till säkerhetsbehovet. Informationssäkerhetspolicy Stockholms stad Stadens styrande dokument skall vara kända Alla skall vara medvetna om det regelverk, med eventuella lokala anpassningar, som styr informationssäkerhetsarbetet inom staden. Stadens säkerhetsorganisation skall vara känd Det är av yttersta vikt att de roller med tillhörande ansvar som är knutna till IT-system och därtill hörande säkerhet är identifierade, tillsatta och kommunicerade. Vid störning/avbrott skall det vara känt vem som ansvarar för vad så att ITsystemen snarast möjligt åter fungerar enligt av verksamheten ställda krav. Grundnivån för säkerheten skall fastställas genom informationsklassificering För stadens IT-system skall alltid en av staden fastställd grundsäkerhetsnivå gälla. För ett antal system ställs dessutom utökade säkerhetskrav utifrån legala och verksamhetsmässiga aspekter. Informationsklassificering skall genomföras för respektive IT-system enligt en av staden fastställd metod. Berörd personal skall ha nödvändiga kunskaper om aktuella IT-system samt gällande säkerhetsregler Personalen skall ha en sådan kunskapsnivå att misstag/felaktigt agerande vid användande av IT-system undviks. 6

Verksamhetschef ansvarar för att nödvändig utbildning genomförs. Det är viktigt att utbildning tillhandahålls kontinuerligt. Fysiskt skalskydd skall anpassas efter genomförd riskanalys Åtgärder skall vidtas för att förhindra obehörigt tillträde till utrymmen där dessa informationstillgångar finns. Vilket skalskydd, dvs fysiskt skydd, som skall gälla fastställs med hjälp av riskanalys. Skriftligt godkänt SLA/motsvarande skall finnas före driftsättning SLA (Service Level Agreement) är ett avtal om den servicenivå som IT-driften skall leverera till verksamheten. Avtalet beskriver vad som reglerats mellan parterna i form av tillgänglighet, ändringsintervall, säkerhetskopiering etc. SLA/motsvarande upprättas mellan systemägare och IT-ansvarig. Åtkomst/behörighet skall tilldelas formellt och endast efter behov samt följas upp regelbundet Den som, för att kunna utföra sina arbetsuppgifter, har behov av åtkomst till IT-system skall tilldelas aktuell behörighet. Inga andra skäl finns för behörighetstilldelning. Systemägarrepresentant fastställer behörighetsnivåer för systemet. Tilldelning av användarkonto sker enligt gällande anvisningar. Säkerhetsaspekter skall beaktas vid utveckling och anskaffning av ITsystem Vid systemutveckling/-anskaffning skall särskild vikt läggas vid att tidigt ange säkerhetskraven. Detta uppnås genom att informationsklassificera systemen, kompletterat med riskanalyser. Uppfyllnad av rättsliga krav skall tillgodoses i alla IT-system Stadens informationshantering styrs av ett antal lagar och förordningar såsom Tryckfrihetsförordningen (offentlighetsprincipen) Personuppgiftslagen, Sekretesslagen, m.fl. Huvudregeln i de flesta verksamheter är att informationen skall vara tillgänglig för allmänheten. I samband med informationsklassificering undersöks vilka lagar som är tillämpliga och hur säkerhetskraven uppfylls. 7

En kontinuitetsplan och en avbrottsplan skall finnas för verksamheter med starkt beroende av IT-system En kontinuitetsplan skall dokumentera verksamhetens åtgärder vid allvarliga störningar i datorstödet. En avbrottsplan skall dokumentera IT-driftens åtgärder för att återställa IT-stödet till normalt driftläge enligt gällande SLA. Det är viktigt att dessa planer årligen testas och följs upp. Alla incidenter skall rapporteras och kontinuerlig uppföljning skall ske mot fastställda regler Alla användare skall snarast möjligt rapportera incidenter och säkerhetsmässiga svagheter (försök till dataintrång, manipulering av information etc) så att nödvändiga åtgärder kan vidtas för att minimera skada i IT-miljön. Rapportering skall ske till säkerhetssamordnaren i egen organisation och stadens system för incidentrapportering skall användas. 8

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss