KALLELSE till ledamöter 1(1) Underrättelse till ersättare KUNGÖRELSE Öckerö kommunfullmäktige kallas till sammanträde torsdagen den 13 februari 2014 kl 18.15 i Öckerösalen, Kommunhuset, för behandling av följande ärenden: Förmöte: Öckeröalliansen i Lejonet, kommunhuset, KL 17.30 Socialdemokraterna i Fjärholmen, kommunhuset, KL 17.00 Miljöpartiet i Risö, kommunhuset, KL 17.30 1. Upprop 2. Val av protokollsjusterare jämte fastställande av tid och plats för protokollets justering (förslag: senast onsdagen den 26 februari 2014 kl 14.00 i kommunhuset). 3. Avsägelser från kommunala uppdrag 4. Antagande av informationssäkerhetspolicy 5. Äskande av medel för Kalvsunds reservkaj 6. Besvarande av medborgarförslag om en bana för cross/motorfordon 7. Besvarande av motion om att kommunen startar fritidsklubbar 8. Redovisning av obesvarade motioner och medborgarförslag 9. Revidering av bolagsordningen för SOLTAK AB 10.Lokala föreskrifter för att skydda människors liv och hälsa 11. Medborgarförslag om att kommunen ombesörjer försäljning av färdbevis 12. Koncernen Öckerö Bostad - namnändring av ett bolag. (Ärendet behandlas i Kommunstyrelsen 2014-02-13) 13.Rapportering av ej verkställda beslut enligt socialtjänstlagen och lag om stöd och service till vissa funktionshindrade För kännedom: Revisionens rapporter: Förstudie av anpassning till den nya skollagen. Förstudie av projektstyrning och exploatering Öckerö den 5 februari 2014 Bengt Olausson Ordförande Lars G Andersson Sekreterare Kommunfullmäktiges sammanträde direktsänds av Radio Öckerö på 94.1 Mhz. Ljudsändningar via webben är tillgängliga på kommunens hemsida.
Öckerö 2013-12-03 TJÄNSTESKRIVELSE Kommunstyrelsen Handläggare: Karin Zachau Ärende: Informationsäkerhetspolicy Diarienummer: 0193/12 Informationssäkerhetspolicy Förvaltningens beslutsförslag till Kommunstyrelsen Att kommunstyrelsen beslutar om Informationssäkerhetspolicyn enligt nedan. Informationssäkerhetspolicy Informationssäkerhetspolicyn är ett övergripande regelverk för hantering av information och informationssäkerhet. Policyn är ett stöd för samtliga anställda och reglerar de åtgärder som syftar till att förebygga eller minimera oönskade konsekvenser av händelser som negativt påverkar kommunens informationstillgångar. Policyn tydliggör kommunens viljeriktning och stöd för informationssäkerhet i enlighet med organisationens verksamhetskrav samt lagar och föreskrifter. Ytterst ansvarig för arbetet är kommunstyrelsen. Informationssäkerhet omfattar all kommunens hantering av information utan undantag. Med informationssäkerhet avses: att rätt information är tillgänglig för rätt person när den behövs och på ett spårbart sätt att informationen är och förblir riktig. Alla som hanterar kommunens informationstillgångar har ett ansvar att upprätthålla en god informationssäkerhetsnivå. Informationssäkerhetspolicyn omfattar samtliga anställda och förtroendevalda i kommun och bolag, konsulter och andra som ges rätt att använda kommunens och bolagens informationstillgångar och -system. Överenskommelse för elever upprättas utifrån kommunens informationssäkerhetspolicy. Begreppet information avser all information som skapas, inhämtas, distribueras och lagras, oavsett om den behandlas manuellt eller automatiserat och oberoende av i vilken form eller miljö den förekommer. Begreppet informationssystem avser samtliga digitala system. Dessa ska vara identifierade, förtecknade och bedömda efter vilka som är verksamhetskritiska. Begreppet IT är en förkortning för informationsteknik och avser användning av datorteknik, digitala nätverk och telefoni för att hantera och utbyta information. Informationssäkerhetspolicyn konkretiseras i följande instruktioner: Informationssäkerhetsinstruktion Förvaltning (inklusive Systeminventering) Informationssäkerhetsinstruktion Användare Informationssäkerhetsinstruktion Kontinuitet och drift (inklusive Informationssäkerhetsanalys). Policyn är ett levande dokument som revideras minst en gång per mandatperiod. Postadress Gatuadress Telefon Organisationsnr E-post Hemsida 475 80 Öckerö Sockenvägen 13 031-97 62 00 212000-1280 kommun@ockero.se www.ockero.se
Informationssäkerhetspolicy Informationssäkerhetspolicyn är ett övergripande regelverk för hantering av information och informationssäkerhet. Policyn är ett stöd för samtliga anställda och reglerar de åtgärder som syftar till att förebygga eller minimera oönskade konsekvenser av händelser som negativt påverkar kommunens informationstillgångar. Policyn tydliggör kommunens viljeriktning och stöd för informationssäkerhet i enlighet med organisationens verksamhetskrav samt lagar och föreskrifter. Ytterst ansvarig för arbetet är kommunstyrelsen. Informationssäkerhet omfattar all kommunens hantering av information utan undantag. Med informationssäkerhet avses: att rätt information är tillgänglig för rätt person när den behövs och på ett spårbart sätt att informationen är och förblir riktig. Alla som hanterar kommunens informationstillgångar har ett ansvar att upprätthålla en god informationssäkerhetsnivå. Informationssäkerhetspolicyn omfattar samtliga anställda och förtroendevalda i kommun och bolag, konsulter och andra som ges rätt att använda kommunens och bolagens informationstillgångar och -system. Överenskommelse för elever upprättas utifrån kommunens informationssäkerhetspolicy. Begreppet information avser all information som skapas, inhämtas, distribueras och lagras, oavsett om den behandlas manuellt eller automatiserat och oberoende av i vilken form eller miljö den förekommer. Begreppet informationssystem avser samtliga digitala system. Dessa ska vara identifierade, förtecknade och bedömda efter vilka som är verksamhetskritiska. Begreppet IT är en förkortning för informationsteknik och avser användning av datorteknik, digitala nätverk och telefoni för att hantera och utbyta information. Informationssäkerhetspolicyn konkretiseras i följande instruktioner: Informationssäkerhetsinstruktion Förvaltning (inklusive Systeminventering) Informationssäkerhetsinstruktion Användare Informationssäkerhetsinstruktion Kontinuitet och drift (inklusive Informationssäkerhetsanalys). Policyn är ett levande dokument som revideras minst en gång per mandatperiod. Öckerö 2013-10-01 Ingvar TH Karlsson Kommunchef Öckerö kommun
Informationssäkerhetsinstruktion användare Detta dokument redovisar hur du som användare ska agera för att upprätthålla en god säkerhetsnivå Informationssäkerhetsinstruktion användare Reviderad 2013 11 18
Informationssäkerhetspolicy Informationssäkerhetspolicyn är ett övergripande regelverk för hantering av information och informationssäkerhet. Policyn är ett stöd för samtliga anställda och reglerar de åtgärder som syftar till att förebygga eller minimera oönskade konsekvenser av händelser som negativt påverkar kommunens informationstillgångar. Policyn tydliggör kommunens viljeriktning och stöd för informationssäkerhet i enlighet med organisationens verksamhetskrav samt lagar och föreskrifter. Ytterst ansvarig för arbetet är kommunstyrelsen. Informationssäkerhet omfattar all kommunens hantering av information utan undantag. Med informationssäkerhet avses: att rätt information är tillgänglig för rätt person när den behövs och på ett spårbart sätt att informationen är och förblir riktig. Alla som hanterar kommunens informationstillgångar har ett ansvar att upprätthålla en god informationssäkerhetsnivå. Informationssäkerhetspolicyn omfattar samtliga anställda och förtroendevalda i kommun och bolag, konsulter och andra som ges rätt att använda kommunens och bolagens informationstillgångar och -system. Överenskommelse för elever upprättas utifrån kommunens informationssäkerhetspolicy. Begreppet information avser all information som skapas, inhämtas, distribueras och lagras, oavsett om den behandlas manuellt eller automatiserat och oberoende av i vilken form eller miljö den förekommer. Begreppet informationssystem avser samtliga digitala system. Dessa ska vara identifierade, förtecknade och bedömda efter vilka som är verksamhetskritiska. Begreppet IT är en förkortning för informationsteknik och avser användning av datorteknik, digitala nätverk och telefoni för att hantera och utbyta information. Informationssäkerhetspolicyn konkretiseras i följande instruktioner: Informationssäkerhetsinstruktion Förvaltning (inklusive Systeminventering) Informationssäkerhetsinstruktion Användare Informationssäkerhetsinstruktion Kontinuitet och drift (inklusive Informationssäkerhetsanalys). Policyn är ett levande dokument som revideras minst en gång per mandatperiod. Öckerö 2013-10-01 Ingvar TH Karlsson Kommunchef Öckerö kommun Informationssäkerhetsinstruktion användare Reviderad 2013 11 18
1. Ansvar Samtliga användare inom kommunen (anställda och förtroendevalda i kommun och bolag, konsulter och andra som ges rätt att använda kommunens och bolagens informationstillgångar och -system samt elever utifrån separat överenskommelse) ska skydda den information han/hon hanterar. Det är varje användares ansvar att obehöriga inte nås av informationen. Du som användare har ett ansvar att känna till och följa befintliga regelverk för informationssäkerhet. För information om offentlighetsprincipen hänvisas till kommunens hemsida. 2. Support All felanmälan ska ske via supportsystemet i Lotus Notes. Vid akuta ärenden, kontakta IT-service eller växeln. Vid problem med nätverk, applikation eller hårdvara, kontakta IT-support. Vid problem med specifika informationssystem, kontakta systemansvarig. 3. Behörighet till informationssystem Kommunens informationssystem är utrustade med behörighetskontroll för att skydda kommunens information och endast ge behöriga användare tillgång. Behörighet är en rättighet du erhåller av närmaste chef. Inloggning och lösenord För att nyttja din behörighet i informationssystem krävs att du har ett lösenord. Tänk på att: användarnamn och lösenord är personliga och får inte lånas ut skydda ditt lösenord väl omedelbart byta lösenord om du misstänker att någon känner till det lösenord ska betraktas som en värdehandling alla noteringar om lösenord ska förvaras skyddade. Lösenord ska innehålla minst 8 tecken; bokstäver samt siffror och/eller specialtecken. Alla lösenord ska bytas ut var 90:e dag. I det interna nätverket samt de flesta informationssystem som kräver inloggning kommer du att bli påmind via en automatiskt genererad påminnelse. Följande typer av lösenord får inte användas: enkla repetitiva mönster som t ex BBbb22 lättforcerade lösenord såsom eget, familjemedlems eller husdjurs namn enkla tangentkombinationer såsom QWERTY. Efter upprepade misslyckade inloggningsförsök spärras din behörighet. Följande gäller för misslyckade inloggningsförsök: internt nätverk: 6 misslyckade inloggningsförsök kontakta IT-support informationssystem: 3 misslyckade inloggningsförsök kontakta systemansvarig. 4. Hantering av IT-utrustning IT-utrustning som finns tillgänglig för användare är stationär dator, bärbar dator, mobiltelefon, smartphone, läsplatta, USB-minnen mm. Utrustningen tillhör Öckerö kommun. Tänk på att hantera utrustningen varsamt och efter de regler som gäller samt att egna fysiska ingrepp inte får göras. Närmaste chef i samråd med IT-service tar beslut om inköp. All service av IT-utrustning ska ske via IT-service. Kassering av IT-utrustning ska ske via, eller efter samråd med, IT-service. Eventuell skadegörelse och stöld av IT-utrustning polisanmäls av närmaste chef. Informationssäkerhetsinstruktion användare Reviderad 2013 11 18
Sekretessbelagd information får endast lagras på anvisad plats på det interna nätverket och får inte förekomma på någon annan form av utrustning. Stationär och bärbar dator Stationär och bärbar dator ska ha virusskydd och brandvägg installerat. IT-service ansvarar för att alla datorer innehåller den programvara som krävs för att upprätthålla rätt säkerhetsnivå. Vid misstanke om att dator inte uppfyller säkerhetskraven, kontakta IT-support. Stationär dator ska vid behov vara fastlåst. Bärbar dator ska hanteras på ett säkerhetsmedvetet sätt och skyddas med inloggning till operativsystemet om den inte är installerad för att användas som tunn klient. Information ska inte lagras lokalt på bärbar dator då den inte omfattas av central säkerhetskopiering. Används den inte som tunn klient ska man spara under Dokument. Mobiltelefon/smartphone/läsplatta Mobiltelefon/smartphone/läsplatta ska hanteras på ett säkerhetsmedvetet sätt. Information på dessa enheter ska synkroniseras mot kommunens informationssystem så att information omfattas av central säkerhetskopiering. PIN-kod ska alltid vara aktiverad. Telefonnummer ska inte vidarekopplas till privat telefon. Vid frågor, kontakta informationsenheten. Bring your own device (BYOD) Privata enheter får inte anslutas till kommunens nätverk men åtkomst till internet är möjligt via gästinlogg (erhålles i medborgarkontoret). Kringutrustning Kringutrustning, t ex digitalkamera, kan lätt bli virusbärare eftersom information kan mellanlagras på dessa enheter. All USB-anslutning gentemot verksamhetens datorer ska godkännas av IT-service. Privat utrustning får inte anslutas eller användas i kommunens datorer eller nätverk. USB-minnen/extern hårddisk USB-minnen/extern hårddisk ska hanteras på ett säkerhetsmedvetet sätt. Så lite information som möjligt ska sparas på dessa enheter då de inte omfattas av central säkerhetskopiering. USB-minnen som delas ut på mässor eller liknande kan innehålla skadlig kod och ska därför innan användning testas och godkännas av IT-service. CD/DVD Information på CD/DVD-skivor ska före anslutning kontrolleras för att kunna identifiera eventuell skadlig kod. Om information lagras temporärt på CD/DVD-skivor rekommenderas att använda RWskivor där innehållet kan raderas. Information på lagringsmedia får endast lagras temporärt och ska efter användande raderas eller förstöras. Information på vanliga CD/DVD-skivor går inte att radera. Dessa ska därför förstöras efter att informationen använts. Molntjänster Arbetsrelaterat material får inte hanteras i sk molntjänster. För fjärrarbete ska av IT-service godkänd programvara användas, exempelvis Citrix. Sociala medier Det bör finnas ett uppdrag från närmaste chef för att en anställd ska kunna använda sociala medier i tjänsten. Med detta beslut klargörs att personen använder sociala medier som anställd och inte som privatperson. Sekretessbelagda uppgifter får inte publiceras på sociala medier. Det kan finnas regler för hur anställda får använda sociala medier på arbetstid. Här är det upp till varje arbetsgivare att bestämma vilka regler som ska gälla. För ytterligare vägledning, se: http://www.skl.se/press/socialamedier/riktlinjer-for-narvaro-i-sociala-medier 5. Regler och rutiner Anställning Vid nyanställning och tillfälliga anställningar ska genomgång och undertecknande av Informationssäkerhetsinstruktion Användare ske. Personalenheten ansvarar i samråd med informationsenheten för att samtliga nyanställda genomgår en informationssäkerhetsutbildning. Informationssäkerhetsinstruktion användare Reviderad 2013 11 18
Närmaste chef i samarbete med informationsenheten ansvarar för att samtliga användare kontinuerligt uppdateras om informationssäkerhet. Systemägare beslutar om vilka krav som ställs på användare som tilldelas behörighet till informationssystem. Systemägare ska ha en plan för hantering av nyckelpersonsberoende (backup). Systemansvarig ansvarar för att det finns en användarhandledning för respektive informationssystem. Ansökan om behörighet till informationssystem görs av närmaste chef, som i sin tur gör beställning till systemansvarig. När anställd avslutar anställning ska all utrustning lämnas tillbaka till närmaste chef, som meddelar berörda systemansvariga. Systemansvarig ska spärra användarkonto i samband med anställningens upphörande. Om anställd byter tjänst inom kommunen ska dennes behörighetsprofil revideras. Vid avsked av anställd ska närmaste chef omgående kontakta IT-service som med omedelbar verkan spärrar användarkontot. Mobil datoranvändning och distansarbete Närmaste chef beslutar om mobil datoranvändning för distansarbete. Arbetsplats Fysisk information ska skyddas på samma sätt som digital information. När arbetsplatsen lämnas utan uppsikt, lås in eller lägg undan känsligt arbetsmaterial. Lås datorn med Ctrl+Alt+Del, lås WYSE-klient med Ctrl+Alt+pil vänster. Säkerhetskopiering Digital information ska sparas i Öckerö kommuns centrala lagringsmapp som omfattas av central säkerhetskopiering. Information ska inte sparas på lokal hårddisk (C:), då den ej omfattas av kommunens centrala säkerhetskopiering. Allt material som lagras på Öckerö kommuns servrar och datorer tillhör Öckerö kommun och kan, efter samråd med berörd person och/eller närmaste chef, kopieras, avlägsnas, flyttas och läsas av personal på IT-service utan medgivande från den person som placerat materialet där. Programvaror Endast programvaror som ägs eller är licensierade av Öckerö kommun får användas i kommunens utrustning. Alla programinstallationer på IT-utrustning ska utföras eller godkännas av systemansvarig och/eller IT-service. Vissa uppdateringar får ske av användare via godkännande av IT-service. Vid behov av ytterligare programvara, kontakta närmaste chef som i sin tur kontaktar IT-service. Utskrift av dokument Utskrift av dokument ska ske på ett säkerhets- och miljömedvetet sätt. Whiteboardtavlor/pappersblock Whiteboardtavlor och pappersblock är att betrakta som fysisk information och behandlas därefter. All information ska tas bort då rummet lämnas. Var uppmärksam på vilken information som kan läsas utifrån. Besök till kommunens lokaler Vid mottagande av besök till kommunens lokaler gäller följande: besökare ska anmälas i receptionen där sådan finns besökare ska hämtas i receptionen av ansvarig tjänsteman besökare ska under hela besöket hållas under uppsikt. Mediahantering Kontakt med media hänvisas till närmaste chef. Vid frågor, kontakta informatör. Användning av Internet Internet är ett arbetsverktyg och får endast användas för privat bruk i sådan omfattning att det inte inkräktar på arbetet eller medför kostnader för kommunen. Nedladdning av filer är endast tillåten då Informationssäkerhetsinstruktion användare Reviderad 2013 11 18
arbetet kräver detta. Nedladdning av programvara är inte tillåten. När du surfar på Internet representerar du Öckerö kommun och lämnar spår efter dig i form av din IP-adress. Vid missbruk av dessa internetregler gör närmaste chef en anmälan till personalenheten, som agerar enligt gällande regelverk. E-handel är endast tillåten för arbetsrelaterade inköp och ska godkännas av närmaste chef. Användning av e-post Endast arbetsrelaterat material i e-postsystemet skyddas. Vid eventuell kontroll och rensning tar ITservice inget ansvar för privat material. Digital, kommunrelaterad information ska kommuniceras via Öckerö kommuns e-postserver. Uppgifter som berörs av sekretesslagen får inte okrypterat förekomma i e-postsystemet. Detsamma gäller för meddelanden som innehåller integritetskänsliga uppgifter enligt personuppgiftslagen (PUL). Radering av e-postmeddelanden ska ske i enlighet med nämndens dokumenthanteringsplan. Det är endast tillåtet att skicka eller öppna bifogade filer som är arbetsrelaterade. Vid problem med bifogade filer, filer med okänd avsändare eller misstanke om virus i e-postmeddelande, kontakta ITsupport. Många virus fortplantar sig som en bilaga till ett e-postmeddelande. Arbetsrelaterade e-postkonton får inte vidarebefordras till privat e-postkonto. Vid frånvaro längre än 24 timmar ska autosvarsfunktionen i e-postsystemet användas. I det automatiska svaret ska det framgå hur lång frånvaron är samt vid behov hänvisning till annan tjänsteman. Skadlig kod Skadlig kod kan vara olika typer av virus, trojaner och maskar som gör intrång i datorerna. För att skydda nätet används både centrala skydd i form av brandväggar och virusskydd samt lokala skydd i datorerna. Datavirus är små program som laddas ned i datorn utan din vetskap. Öppna aldrig en bifogad fil där avsändaren är okänd eller innehållet verkar misstänksamt. Tecken på datavirus kan vara att datorn utför något utan din vetskap, startar om sig med jämna mellanrum, arbetar mycket långsamt eller att antivirusprogrammet varnar om upptäckt virus. Vid misstanke om virus, kontakta IT-support. Incidenter En säkerhetsincident är en händelse som kan få negativa konsekvenser för verksamheten. Vid misstanke om att någon använt din användaridentitet eller att du varit utsatt för någon annan typ av säkerhetsincident ska du notera när du upptäckte incidenten och dokumentera alla iakttagelser i samband med upptäckten. Alla säkerhetsincidenter ska rapporteras i incidentrapporteringssystemet. Överträdelser Eventuella överträdelser av dessa regler kan leda till disciplinära åtgärder, även om överträdelsen skett på grund av oaktsamhet. Informationssäkerhetsinstruktion användare Reviderad 2013 11 18
Vid undertecknande av detta dokument, som har upprättats i två exemplar, intygas att medarbetaren är införstådd med, tagit del av och förbinder sig att följa Informationssäkerhetspolicy och Informationssäkerhetsinstruktion användare. Medarbetaren För Öckerö kommun Datum och ort Datum och ort Namnunderskrift Namnunderskrift Namnförtydligande Namnförtydligande Befattning Förvaltning/enhet Informationssäkerhetsinstruktion användare Reviderad 2013 11 18
Informationssäkerhetsinstruktion Förvaltning Detta dokument redovisar ansvarsfördelning inom informationssäkerhetsarbetet Informationssäkerhetsinstruktion Förvaltning Reviderad 20131118
Informationssäkerhetspolicy Informationssäkerhetspolicyn är ett övergripande regelverk för hantering av information och informationssäkerhet. Policyn är ett stöd för samtliga anställda och reglerar de åtgärder som syftar till att förebygga eller minimera oönskade konsekvenser av händelser som negativt påverkar kommunens informationstillgångar. Policyn tydliggör kommunens viljeriktning och stöd för informationssäkerhet i enlighet med organisationens verksamhetskrav samt lagar och föreskrifter. Ytterst ansvarig för arbetet är kommunstyrelsen. Informationssäkerhet omfattar all kommunens hantering av information utan undantag. Med informationssäkerhet avses: att rätt information är tillgänglig för rätt person när den behövs och på ett spårbart sätt att informationen är och förblir riktig. Alla som hanterar kommunens informationstillgångar har ett ansvar att upprätthålla en god informationssäkerhetsnivå. Informationssäkerhetspolicyn omfattar samtliga anställda och förtroendevalda i kommun och bolag, konsulter och andra som ges rätt att använda kommunens och bolagens informationstillgångar och -system. Överenskommelse för elever upprättas utifrån kommunens informationssäkerhetspolicy. Begreppet information avser all information som skapas, inhämtas, distribueras och lagras, oavsett om den behandlas manuellt eller automatiserat och oberoende av i vilken form eller miljö den förekommer. Begreppet informationssystem avser samtliga digitala system. Dessa ska vara identifierade, förtecknade och bedömda efter vilka som är verksamhetskritiska. Begreppet IT är en förkortning för informationsteknik och avser användning av datorteknik, digitala nätverk och telefoni för att hantera och utbyta information. Informationssäkerhetspolicyn konkretiseras i följande instruktioner: Informationssäkerhetsinstruktion Förvaltning (inklusive Systeminventering) Informationssäkerhetsinstruktion Användare Informationssäkerhetsinstruktion Kontinuitet och drift (inklusive Informationssäkerhetsanalys). Policyn är ett levande dokument som revideras minst en gång per mandatperiod. Öckerö 2013-10-01 Ingvar TH Karlsson Kommunchef Öckerö kommun Informationssäkerhetsinstruktion Förvaltning Reviderad 2013 11 18
1. Organisation och ansvar kring informationssäkerhet Organisation, roller och ansvar ska vara definierade för att det inte ska råda några tveksamheter om vem som ansvarar för vad. Kommunstyrelsen Kommunstyrelsen har det övergripande ansvaret för informationssäkerheten och beslutar om informationssäkerhetspolicyn. Det ska finnas ett ramverk för informationssäkerhet som gör alla medarbetare aktiva i detta arbete. Informationssäkerhetsarbetet ska ske systematiskt och kontinuerligt följas upp. Informationschef Informationschefen är ansvarig för att beslutade åtgärder gällande infrastruktur genomförs. Informationschefen ansvarar för att: följa upp och vid behov revidera informationssäkerhetsdokument samordna samt kontinuerligt informera och utbilda om informationssäkerhet stödja systemägarnas arbete med informationssystem och informationssäkerhet ansvara för drift och underhåll av egna informationssystem. Förvaltningschef Förvaltningschef ansvarar för att: medarbetare informeras om informationssäkerhetsdokument samt säkerställer att all informationshantering sker i enlighet med dessa aktuell dokumenthanteringsplan finns informationssystem finns förtecknade, analyserade och klassificerade i en systemsäkerhetsanalys enligt bilaga. Personuppgiftsombud Informatören är kommunens personuppgiftsombud. Datainspektionen är tillsynsmyndighet när det gäller behandling av personuppgifter. Personuppgiftsombud ansvarar för att personuppgifter behandlas på ett lagligt och korrekt sätt. Systemägare För varje informationssystem finns en systemägare. Denne är ägare av systemets mjuk- och hårdvara och har ansvar för inköp och utveckling. Systemägare ansvarar för informationssäkerheten och är personuppgiftsansvarig för aktuellt informationssystem. Systemägare ansvarar för att: analys av säkerhetsbehovet genomförs med hänsyn till informationsinnehåll och verksamhetskrav i samråd med närmaste chef besluta om åtkomst till ett informationssystem på distans applikationer används enligt gällande avtal och licensregler riktlinjer för behörighetstilldelning utarbetas säkerhetskrav uppfylls med inriktning på tillgänglighet, riktighet, sekretess och spårbarhet säkerställa att informationssystem som hanterar personuppgifter är förtecknat och anmält till personuppgiftsombud kontakta informationschef inför inköp av system. Kommunchef beslutar ytterst om inköp. hålla informationschef uppdaterad om förändringar gällande respektive system uppgifter om person med skyddad identitet hanteras med sekretess i informationssystem. Systemansvarig Systemansvarig utses av systemägaren och har som uppgift att ansvara för den dagliga driften och förvaltningen av aktuellt informationssystem. Detta omfattar upprättande av systemsäkerhetsanalys, hantering av användarkonton, kontakt med användare, kontakt med leverantören, rådgivning vid systemutveckling samt kontakt med IT-service. Informationssäkerhetsinstruktion Förvaltning Reviderad 2013 11 18
IT-service Den dagliga driften av ett informationssystem hanteras av IT-service, i vissa fall av leverantör eller konsult. IT-service ansvarar för att: hantera generella frågor avseende anskaffning, drift, förvaltning och avveckling av ITutrustning handha kontinuerliga drift av egna system ge stöd till verksamheterna analysera att den tekniska säkerheten genomförs med hänsyn till tillgänglighet, riktighet, sekretess och spårbarhet samt att påvisade brister åtgärdas systemägares säkerhetskrav tekniskt uppfylls. Användare Användare är personer som beviljats behörighet att bruka kommunens informationssystem. Användarens ansvar regleras av kommunens informationssäkerhetsdokument samt systemägarens instruktioner. Alla användare ska följa policy, instruktioner och rutiner. 2. Klassificering av information Information, i likhet med andra tillgångar, är avgörande för en fungerande verksamhet och måste skyddas. Alla informationstillgångar ska finnas dokumenterade i systeminventering, dokumenthanteringsplan och dokumentation av IT-utrustning. Vissa uppgifter en kommun hanterar omfattas av sekretess. Kommunen ska, med stöd av lagen, avgöra vilka dessa uppgifter är. Syftet med sekretess är för att skydda den personliga integriteten. Informationssystem Ansvar och ägarskap av informationssystem ska dokumenteras i en systeminventering. Informationsenheten i samverkan med systemansvarig ansvarar för framtagande av systeminventering. Systemägare ansvarar för att fördela systemansvar. Dokument I förvaltningens dokumenthanteringsplan redovisas hur dokument och handlingar hanteras. IT-utrustning Förvaltningen äger och ansvarar för IT-utrustning, dvs PC, bildskärm, skrivare mm. Vid omflyttning och överlåtelse av IT-utrustning till annan användare, ansvarar ansvarig chef för att dokumentera omflyttning av IT-utrustning. Respektive verksamhet fattar beslut om huruvida IT-utrustning i publikt utrymme ska vara fastlåst. Ansvarig chef ansvarar för att anmäla stöld av utrustning. 3. Hantering av informationssystem Anskaffning Respektive verksamhet ansvarar för anskaffning av informationssystem. Vid behov av nytt eller utbyggnad av befintligt system kontaktar verksamheten IT-samordnare för råd och stöd samt för att säkerställa att systemet fungerar i den befintliga tekniska miljön. Leverans, drift, informationssäkerhet och slutkontroll regleras i avtal med leverantören. Utveckling och underhåll Verksamhetens systemansvariga i samråd med IT-service fattar beslut om program- och systemförändringar samt tidpunkt för installation av nya programversioner. Systemansvarig ansvarar för att informera samtliga användare om funktionsändringar i informationssystem och program. Systemansvarig ansvarar även för att det finns systemdokumentation för respektive informationssystem. Denna ska omfatta: Informationssäkerhetsinstruktion Förvaltning Reviderad 2013 11 18
vad informationssystemens olika delar består av övergripande beskrivning av de olika delarnas uppgift en detaljerad systembeskrivning plan för utbildning och utveckling i systemet underhåll av systemet eventuella förändringar. Användare som är beroende av informationssystem och dess information ska informeras om avbrott och återställningsarbete via e-post. Avveckling Systemägare ansvarar för när avveckling av informationssystem ska ske. Systemägare beslutar i samverkan med IT-service hur avvecklingen ska ske. Rutin för avveckling: förvaltning kontaktar systemägare systemägare kontaktar IT-service IT-service kontaktar vid behov leverantör IT-service genomför avvecklingen IT-service återkopplar till systemägare. 4. Regler och rutiner Anställning Vid nyanställning och tillfälliga anställningar ska genomgång och undertecknande av Informationssäkerhetsinstruktion Användare ske. Personalenheten ansvarar i samråd med informationsenheten för att samtliga nyanställda genomgår en informationssäkerhetsutbildning. Närmaste chef i samarbete med informationsenheten ansvarar för att samtliga användare kontinuerligt uppdateras om informationssäkerhet. Systemägare beslutar om vilka krav som ställs på användare som tilldelas behörighet till informationssystem. Systemägare ska ha en plan för hantering av nyckelpersonsberoende (backup). Systemansvarig ansvarar för att det finns en användarhandledning för respektive informationssystem. Ansökan om behörighet till informationssystem görs av närmaste chef, som i sin tur gör beställning till systemansvarig. När anställd avslutar anställning ska all utrustning lämnas tillbaka till närmaste chef, som meddelar berörda systemansvariga. Systemansvarig ska spärra användarkonto i samband med anställningens upphörande. Om anställd byter tjänst inom kommunen ska dennes behörighetsprofil revideras. Vid avsked av anställd ska närmaste chef omgående kontakta IT-service som med omedelbar verkan spärrar användarkontot. Utomstående tjänsteleverantör Vid upphandling av tjänst ansvarar beställaren för att ett sekretessavtal tecknas med leverantören. Beställare av tjänst ska vid behov granska att utomstående tjänsteleverantörer följer givna säkerhetsföreskrifter. Vid outsourcing av drift av informationssystem ansvarar systemägare för att verksamhetens informationssäkerhetskrav regleras i avtal med leverantören. Systemägare ansvarar även för att informationsutbyte mellan egna system och system utanför organisationen regleras i avtal. Säkrade utrymmen Respektive chef fattar beslut om skydd av säkrade utrymmen, såsom serverhallar, teknikbod mm. T ex fattar informationschef beslut om vem som får tillträde till serverrum. Utrymmen med känslig information och/eller dess hårdvara ska vara låsta samt utrustas med kontroll för in- och utpassering. Behörig personal ska alltid närvara då extern personal behöver tillträde till dessa utrymmen. Dessa utrymmen ska även vara utrustade med fysisk säkerhet. Informationssäkerhetsinstruktion Förvaltning Reviderad 2013 11 18