Ansvar och roller för ägande av information samt ägande och förvaltande av informationssystem i Umeå kommun



Relevanta dokument
Riktlinjer. Informationssäkerhet och systemförvaltning

Ansvar och roller för ägande och förvaltande av informationssystem

Regler och instruktioner för verksamheten

INFORMATIONSSÄKERHET 1 INLEDNING MÅL FÖR IT-SÄKERHETSARBETET... 2

IT-säkerhetspolicy. Fastställd av KF

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

Kanslichef - Tillsvidare

Riktlinjer för Informationssäkerhet Falkenbergs Kommun Kommunledningskontoret

Kompletterande handlingar till kommunstyrelsen

ATT FASTSTÄLLA ARKIVANSVAR OCH ARKIVORGANISATION. en handledning för myndigheter i Västra Götalandsregionen och Göteborgs Stad

ATT FASTSTÄLLA ARKIVANSVAR & ARKIVORGANISATION

Policy för hantering av personuppgifter

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Informationssäkerhetspolicy för Ånge kommun

Handläggningsordning för förvaltning av IT-system vid Högskolan Dalarna

IT-säkerhetspolicy Instruktion Kommunfullmäktige. Senast reviderad Beskriver IT-säkerhetarbetet.

Policy och strategi för informationssäkerhet

Samverkansavtal avseende drift och förvaltning av XXXXsystem för XXXXXXXX i Kalmar Län

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

ARKIVREGLEMENTE FÖR UMEÅ KOMMUN

Handlingsplan för persondataskydd

Policy Document Number ESS Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet

POLICY INFORMATIONSSÄKERHET

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Organisation för samordning av informationssäkerhet IT (0:1:0)

Informationssäkerhetspolicy IT (0:0:0)

Instruktion enligt personuppgiftslagen (1998:204) för Eskilstuna kommunkoncern

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Arkivreglemente för Motala kommun

Riktlinjer för IT-säkerhet i Halmstads kommun

Mittuniversitetets riktlinjer för systemförvaltning

Riktlinjer för personuppgiftshantering

SÄKERHETSFÖRESKRIFTER FÖR FÖRVALTNING AV IT-SYSTEM

Riktlinje för Systemförvaltning

Reglemente för internkontroll

Arkivreglemente för Uddevalla kommun

Riktlinje för arkiv- och informationsförvaltning

Behandling av personuppgifter enligt dataskyddslagstiftningen. Riktlinjer

Informationssäkerhetspolicy för Katrineholms kommun

Granskning av landstingets hantering av personuppgifter

ARKIVREGLEMENTE FÖR HEDEMORA KOMMUN Fastställt av kommunfullmäktige , med senaste ändring

IT-plan för Söderköpings kommun

Informationssäkerhetspolicy

Riktlinjer för webbpublicering enligt PuL

Policy för integritet vid hantering av personuppgifter

ARKIVREGLEMENTE FÖR LUNDS KOMMUN

Informationssäkerhetspolicy

ORGANISATION OCH ANSVAR ENLIGT PERSONUPPGIFTSLAGEN (PUL)

REGEL FÖR BEVARANDE AV ELEKTRONISKA HANDLINGAR

Bilaga till rektorsbeslut RÖ28, (5)

Systemförvaltnings Modell Ystads Kommun(v.0.8)

Reglemente Fastställd i Kommunfullmäktige

Arkivreglemente för Skövde kommun

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

ARKIVREGLEMENTE FÖR SIGTUNA KOMMUN

Kommundirektörsinstruktion

Informationssäkerhetspolicy för Ystads kommun F 17:01

Informationssäkerhetspolicy

IT-säkerhetspolicy. Finspångs kommun Finspång Telefon Fax E-post: Webbplats:

RIKTLINJE. Riktlinjer för internkontroll

Dnr

FALKENBERGS KOMMUN 3.02 FÖRFATTNINGSSAMLING

Systemförvaltningsmodell för LiU

Riktlinjer för hantering av personuppgifter

Att betalning sker vid rätt tidpunkt. Att transaktionen är rätt konterad

Program Strategi Policy Riktlinje. Riktlinjer för Uppföljning av kommunalt och privat driven verksamhet

Informationssäkerhetspolicy. Linköpings kommun

Riktlinjer för säkerhetsarbetet i Älvsbyns kommun

Reglemente för servicenämnden

ARKIVREGLEMENTE FÖR ÖSTERSUNDS KOMMUN

Reglemente för intern kontroll

REGLEMENTE FÖR KONTROLL AV VERIFIKATIONER

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Reglemente för arkiv

Informationssäkerhet - Informationssäkerhetspolicy

Styrande dokument. Arkivreglemente för Oskarshamns kommun. Fastställd av kommunfullmäktige , 173

FÖRFATTNINGSSAMLING Arkivreglemente Utgivare: Kommunledningsförvaltningen Kansli Gäller från: Lagakraftvunnet beslut Antagen: KF 5,

Reglemente för omvårdnadsnämnden

Rikspolisstyrelsens författningssamling

Bilaga 97 KF Arkivreglemente för Karlsborgs kommun. Reglemente. Kommunfullmäktige 2017-MM-DD

Örebro Stadsarkiv Arkivreglemente för Örebro kommun

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

Bevarande av digitala allmänna handlingar

Informationssäkerhetspolicy inom Stockholms läns landsting

Policy för informationssäkerhet

Riktlinjer för IT och informationssäkerhet - förvaltning

Kommunfullmäktiges program rörande privata utförare

Arkivreglemente. Styrdokument

1 (7) Arbetsgången enligt BITS-konceptet

PERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Fördelning av ansvar för informationssäkerhet. Version: 1. Beslutsinstans: Regiondirektören

Reglemente för fastighets- och servicenämnden

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Reglemente för arkiv

Transkript:

roller för ägande av information samt ägande och förvaltande av informationssystem i Umeå kommun Dokumenttyp Regler Dokumentägare Kommungemensam IT-samordning Dokumentnamn roller för ägande av information och förvaltande av informationssystem Dokumentansvarig Kommungemensam IT-samrordning Fastställd/Upprättad Operativa IT-gruppen Reviderad 2009-06-08 Dokumentinformation Tidigare version av detta dokument hette roller för ägande av information och system som innehåller allmänna handlingar. Version 2.0 Giltighetstid Tillvidare

Innehåll sid 2 1. Informationsägarskap och systemägarskap för informationssystem 3 2. Juridisk systemägare Nämnd/styrelse.. 4 3. Operativ systemägare. förvaltningschef eller annan verksamhetsansvarig chef 6 4. Systemförvaltare 6 5. Systemansvarig/systemadministratör 8 6. Systemdriftsansvarig 9 7. Systemanvändare.. 10 8. Systemleverantör.. 10 9. Personuppgiftsansvar 10 10. Personuppgiftsombud. 10

1. Informationsägarskap och systemägarskap för informationssystem Umeå kommun använder olika informationssystem som stöd för att genomföra våra verksamhetsuppdrag. 3 För att uppfylla krav på insyn, tillgänglighet och säkerhet samt för att bedriva en effektiv och rationell verksamhet ska varje system som används i kommun ha en organisation för ägande och förvaltning. Ägarskapet är uppdelat i två delar med olika ansvarsområden. Informationsägarskap Omfattar ansvar för all dokumenterad information som finns inom verksamheten Här avses - ansvar för hur, var och vilken information som lagras Systemägarskap Omfattar ansvar för systemförvaltning, utveckling och drift - ansvar för hur system får användas i verksamheten och av vem eller vilka - ansvar för att dokumenthanteringsplaner och arkivredovisning upprättas - ansvar för att beslutad gallring av information i systemet verkställs i enlighet med dokumenthanteringsplanen I Umeå kommun finns olika användningsområden för system som ger delvis olika fördelning av ansvar. Kommunövergripande system som används av flera eller alla förvaltningar och ev. också av bolag. Det formella ägarskapet för information i ett kommunövergripande system eller ett flerförvaltningssystem kan vara fördelat på flera ägare, utifrån hur systemet används och hur informationen lagras. Här är det lämpligt, att för vissa ansvarsdelar som ingår i informationsägarskapet, utse en huvudansvarig, t.ex. för behörighetsrutiner eller för verkställighet av beslutad gallring i ett system. En central systemägare med övergripande ägaransvar ska alltid finnas utsedd för s.k. flerförvaltningssystem. System som är förvaltnings- eller verksamhetsspecifika I dessa fall finns informations- och systemägare inom samma organisation. Alla informationssystem som används i Umeå kommun och som lagrar elektronisk information ska registreras i RegIT för att uppfylla krav i Umeå kommuns internkontrollreglemente, krav i sekretess, arkiv- och personuppgiftslag samt krav i kommunens informationssäkerhetsinstruktioner.

4 2. Juridisk systemägare * - Nämnd /Styrelse Nämnd/styrelse (myndigheten) har ett övergripande ansvar för alla aktiviteter som bedrivs inom resp. ansvarsområde utifrån reglemente och delegationer (6 kap. 7, Kommunallagen). Utifrån detta har nämnd/styrelse i en kommun följande ansvar och roller; Informationsägare Nämnden/styrelsen är i juridisk mening ägare av den information som lagras och bearbetas i olika informationssystem för dess räkning samt för vad som publiceras eller tillgängliggörs från olika system. Det operativa informationsägarskapet utövas inte av nämnden utan är delegerat till förvaltningschef eller till verksamhetsansvarig chef. Med informationsägarskapet följer: Personuppgiftsansvar för myndighetsområdet Ansvar för att personuppgiftsombud utses enligt personuppgiftslagen för myndighetsområdet Bemyndigande att besluta om att vägra lämna ut allmän handling (kan vidaredelegeras) Ansvar för att dokumenthanteringsplaner och arkivredovisning upprättas för den information som finns lagrad i systemet. Ansvar för beslutad gallring av information i system verkställs Ansvar för att definiera vilket skydd som informationen ska ha och fatta beslut om acceptabel nivå. Ansvar för att bekosta ev. merkostnader som kan uppstå vid ett förändrat skyddsbehov. Ansvar för uppföljning av beslutade åtgärder och insatser utifrån kommunens informationssäkerhetspolicy samt för att åtgärder vidtas utifrån genomförd systemsäkerhetsanalys.

Systemägare Nämnden/styrelsen är i juridisk mening ägare av de informationssystem som används inom myndighets- eller verksamhetsområdet. Det operativa systemägarskapet utövas inte av nämnden utan delegeras till förvaltningschef eller till verksamhetsansvarig chef Med systemägarskapet följer: 5 Yttersta ansvar för att systemdesign och systemanvändning följer lagar, förordningar samt fastställda riktlinjer för Umeå kommun.

6 3. Operativ systemägare * - Förvaltningschef eller annan verksamhetsansvarig chef Operativt informationsoch systemägaransvar : Förvaltningschef eller verksamhetsansvarig chef har ett övergripande operativt informations- och systemägaransvar för informationssystem som används i organisationen. Han eller hon ansvarar för att den information som lagras i förvaltningsunika och kommungemensamma system hanteras på ett ur rättssäkerhetssynpunkt tillfredställande sätt. Förvaltningschef eller verksamhetsansvarig chef ansvarar för att en organisation för systemförvaltning inrättas enligt den modell som beskrivs i dokumentet Systemförvaltning i Umeå kommun. Eftersom varje förvaltning har unika organisatoriska förutsättningar kan /roller ha olika kombinationer på resp. förvaltning. Obligatoriska roller som alltid ska finnas för ett informationssystem är systemägare (juridisk och operativ), systemförvaltare och systemdriftsansvarig. (Märkta med *) : I förvaltningschefs eller verksamhetsansvarigs chefs ansvar ingår att: ansvara för att som beskrivs i informationsägarskapet under avsnitt 1 verkställs ansvara för anskaffning, ny- eller vidareutveckling samt avveckling av informationssystem samt teckna avtal med leverantör ansvara för att informationssystemet förvaltas och används inom ramen för antagna verksamhetsmål, ekonomiska ramar och tecknade avtal godkänna årsplan för systemets förvaltning godkänna drifts-, support- och serviceavtal tilldela ekonomiska resurser för systemets förvaltande

4. Systemförvaltare* 7 Systemförvaltaren ansvarar för att: en förvaltningsorganisation finns upprättat för aktuellt system kalla aktuella representanter till systemförvaltningsträffar registrera avtal, systembeskrivning och systemförvaltningsorganisation i RegIT fortlöpande uppdatera i RegIT drifts-, support- och serviceavtal för aktuellt system finns upprättat samla in, dokumentera och prioritera ändringsförslag initiera och, inom ramen för tilldelade resurser, besluta om vidareutveckling av systemet samt till systemägaren föreslå ny- eller avveckling av system tester genomförs vid nya funktioner, releaser/versioner och tillbehör systemsäkerhetsanalys genomförs för informationssysmet med stöd av BITs plus. säkra behörighetsrutiner finns (behörighetsrutiner = besluta om och tilldela roller/behörigheter i system säkerställa administrativa rutiner för beställning/borttag hos systemsupport. informationssäkerhetsklassning görs för information som finns lagrat i systemet informationen som lagras i systemet har en sådan struktur och utformning att det lätt går att utskilja handlingars status. ( Allmänna offentliga och icke offentliga handlingar, övriga handlingar ) besluta om vilka delar av lagrad information som ska vara tillgänglig, till vilka och i vilka former att användare får grundläggande kännedom om hur systemet ska och får användas utbildningsmöjligheter finns samt att ev. användarhandledning eller annat instruktionsmaterial finns och underhålls gallringsutredningar utförs av den information som finns lagrad samt att gallringsfrister fastställs beslutad gallring av lagrad information i systemet verkställs samt att

8 beslutade uttag av information på papper eller på andra media verkställs i enlighet med dokumenthanteringsplanen upprätta årsplan för systemets förvaltning med tidplan för nya realeaser/versioner. 5. Systemansvarig/Systemadministratör Ansvarar för det dagliga operativa användandet av systemet inom en berörd verksamhet. Ansvarar för att den dagliga driften upprätthålls i enlighet med driftsavtal. Systemansvarig/Systemadministratör ska: verkställa beslut som berör system som fattas av systemförvaltaren eller systemägare på delegation från systemförvaltaren dokumentera ändrings- och utvecklingsförslag ge användarsupport i verksamhetsrelaterade systemfrågor svara för viss operativ användar- och behörighetsadministration delta i säkerhetsarbete som rör systemet svara för, att efter uppdrag från systemförvaltare, ändra eller och avregistrera användare i system utifrån med angivna roller och behörigheter

6. Systemdriftsansvarig * 9 Utses i samband med upprättande av driftsavtal mellan systemförvaltare och drift. Aktiviteter med * ansvarar leverantören för (om driften sköts av extern leverantör). Systemdriftsansvarig ska : delta på systemförvaltningsmöten delta i säkerhetsarbete som rör ett enskilt system ansvara för underhåll av databaser ansvarar för att genomföra test av nya funktioner, releaser-/versioner och tillbehör informera systemförvaltaren om koppling till andra system och testa dessa vid förändringar ansvara för installation, drift, underhåll, release/versionsbyte ur teknisk synvinkel av systemet ansvara för att drifts- och annan teknisk systemdokumentation finns och är aktuell ansvara för att beslutade och ändamålsenliga metoder, standarder och teknik används följa upp driftsavbrott och rapportera dessa till systemförvaltaren ansvara för att åtkomst, lagring och förvaring sker under säkra former med den säkerhetsnivå som fastställts för systemet ansvara för att rutiner för säkerhetskopiering och andra säkerhetsrelaterade delar uppfyller de krav som systemägaren ställer ansvara för att säkerhetskopierat material förvaras på ett betryggande sätt och att återläsningsrutiner fungerar reservrutiner, serviceavtal m.m. finns så att systemförvaltarens krav på längsta tillåtna avbrottstid kan tillgodoses biträda systemförvaltaren i avbrottsplanering biträda systemförvaltaren med teknisk rådgivning då förändringar i systemet är aktuellt ansvara för systemets tekniska säkerhet tillhandahålla teknisk support för användare via helpdesk eller systemsupport på uppdrag av systemägaren verkställa föreskriven gallring

10 7. Systemanvändare Varje systemanvändare ansvarar för att ta del av och följa uppsatta regler för systemanvändning och systemsäkerhet i Umeå kommun 8. Systemleverantör (intern eller extern) Ansvarar för att vidareutveckla och testa system efter uppdrag och plan som avtalats. 9. Personuppgiftsansvar Är kopplat till informationsägarskapet. Personuppgiftsansvarig är den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandling av person. I kommunal verksamhet är vanligen nämnden (myndigheten) personuppgiftsansvarig. För vissa kommungemensamma informationssystem kan det vara svårt att avgöra vem som är personuppgiftsansvarig. Detta gäller t.ex. gemensamma ekonomioch personalsystem. Har en nämnd ansvar för hanteringen av systemet och bestämmer hur personna ska hanteras, är den nämnden personuppgiftsansvarig även om registrering sker på annat håll. Om flera nämnder bestämmer om ändamål och medel för behandlingarna i systemet är flera personuppgiftsansvariga 10. Personuppgiftsombud (utses av nämnd eller styrelse) Är kopplat till informationsägarskapet. Uppgifter och ansvar regleras i Personuppgiftslagen och innebär att: självständigt se till att den personuppgiftsansvarige behandlar person på ett lagligt och korrekt sätt och i enlighet med god sed påpeka ev. brister för den personuppgiftsansvarige vid misstanke om att den personuppgiftsansvarige bryter mot de bestämmelser som gäller för behandling av person och om

11 rättelse inte snarast vidtas efter påpekande, anmäla förhållandet till Datainspektionen samråda med Datainspektionen föra förteckning över de behandlingar som genomförs och om dessa är anmälningspliktiga hjälpa registrerad att få rättelse när det finns anledning att misstänka att behandlade person är felaktiga eller ofullständiga bevaka att om de system som används inom verksamhetsområdet finns registrerade i RegIT innan de driftssätts informera personuppgiftsansvarig nämnd om uppdraget

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss