KALLELSE/Underrättelse 1(1) 2014-01-08 KOMMUNSTYRELSENS ARBETSUTSKOTT

KALLELSE/Underrättelse 1(1) 2014-01-08 Beslutsorgan KOMMUNSTYRELSENS ARBETSUTSKOTT Tid Tisdagen den 14 januari 2014, kl 08.15 Plats Lejonet, Kommunhuset, Öckerö Ärenden Förmöte: Öckeröalliansen samlas kl. 07.30 1. Val av protokollsjusterare Anne-Lie Sundling 2. Anslag till Kalvsunds reservkaj 3. Motion om att utveckla skärgårdstrafiken 4. Besvarande av medborgarförslag om en bana för cross/motorfordon 5. Revisionsrapport: Förstudie av projektstyrning och exploatering 6. Samhällsbyggnadschefen informerar 7. Revidering av bolagsordning för SOLTAK AB 8. Antagande av informationssäkerhetspolicy 9. Produktionsmått/Redovisning av antalet arbetade timmar 10. Information 11. Övrigt Arne Lernhag Ordförande Lars G Andersson Sekreterare

Öckerö 2013-12-16 TJÄNSTESKRIVELSE Kommunstyrelsen - Samhällsbyggnad Handläggare: Håkan Samuelsson, Ingalill Siljat Ärende: Kalvsunds reservbrygga Diarienummer: 0397/13 Äskande av investeringsmedel till Kalvsunds reservkaj Förvaltningens beslutsförslag till Kommunstyrelsen Samhällsbyggnad tilldelas investeringsmedel på 2,3 mkr för renovering av reservbryggan Sammanfattning Vid höga vattennivåer och hårda nordliga vindar kan inte Öckerö båttrafik angöra ordinarie färjeläge, utan får angöra reservkajen. Nu har reservbryggan sådana skador att det föreligger rasrisk. Dessutom skadas fartygen om man försöker lägga till. Det är alltså risk både för resenärer och för fartyg. Beräknad kostnad uppgår till 2,3 mkr enligt information 2012. Beloppet är preliminärt. Åtgärden är av den omfattning så det bör redovisas som investering. Bakgrund 2012 utfördes en inspektion av reservbryggan för båttrafiken. Resultatet av inspektionen visade ett omfattande renoveringsbehov. Se bilaga inspektionsrapport. I samband med stormen Sven i år fick reservkajen ytterligare skador vilket innebär nu att åtgärden bör utföras omgående. Robert Svensson Samhällsbyggnadschef Ingalill Siljat Gatuchef Postadress Gatuadress Telefon Organisationsnr E-post Hemsida 475 80 Öckerö Sockenvägen 13 031-97 62 00 212000-1280 kommun@ockero.se www.ockero.se

Öckerö 2013-12-03 TJÄNSTESKRIVELSE Kommunstyrelsen Handläggare: Karin Zachau Ärende: Informationsäkerhetspolicy Diarienummer: 0193/12 Informationssäkerhetspolicy Förvaltningens beslutsförslag till Kommunstyrelsen Att kommunstyrelsen beslutar om Informationssäkerhetspolicyn enligt nedan. Informationssäkerhetspolicy Informationssäkerhetspolicyn är ett övergripande regelverk för hantering av information och informationssäkerhet. Policyn är ett stöd för samtliga anställda och reglerar de åtgärder som syftar till att förebygga eller minimera oönskade konsekvenser av händelser som negativt påverkar kommunens informationstillgångar. Policyn tydliggör kommunens viljeriktning och stöd för informationssäkerhet i enlighet med organisationens verksamhetskrav samt lagar och föreskrifter. Ytterst ansvarig för arbetet är kommunstyrelsen. Informationssäkerhet omfattar all kommunens hantering av information utan undantag. Med informationssäkerhet avses: att rätt information är tillgänglig för rätt person när den behövs och på ett spårbart sätt att informationen är och förblir riktig. Alla som hanterar kommunens informationstillgångar har ett ansvar att upprätthålla en god informationssäkerhetsnivå. Informationssäkerhetspolicyn omfattar samtliga anställda och förtroendevalda i kommun och bolag, konsulter och andra som ges rätt att använda kommunens och bolagens informationstillgångar och -system. Överenskommelse för elever upprättas utifrån kommunens informationssäkerhetspolicy. Begreppet information avser all information som skapas, inhämtas, distribueras och lagras, oavsett om den behandlas manuellt eller automatiserat och oberoende av i vilken form eller miljö den förekommer. Begreppet informationssystem avser samtliga digitala system. Dessa ska vara identifierade, förtecknade och bedömda efter vilka som är verksamhetskritiska. Begreppet IT är en förkortning för informationsteknik och avser användning av datorteknik, digitala nätverk och telefoni för att hantera och utbyta information. Informationssäkerhetspolicyn konkretiseras i följande instruktioner: Informationssäkerhetsinstruktion Förvaltning (inklusive Systeminventering) Informationssäkerhetsinstruktion Användare Informationssäkerhetsinstruktion Kontinuitet och drift (inklusive Informationssäkerhetsanalys). Policyn är ett levande dokument som revideras minst en gång per mandatperiod. Postadress Gatuadress Telefon Organisationsnr E-post Hemsida 475 80 Öckerö Sockenvägen 13 031-97 62 00 212000-1280 kommun@ockero.se www.ockero.se

Informationssäkerhetsinstruktion användare Detta dokument redovisar hur du som användare ska verka för att upprätthålla en god säkerhetsnivå Informationssäkerhetsinstruktion användare Reviderad 2013 11 18

Informationssäkerhetspolicy Informationssäkerhetspolicyn är ett övergripande regelverk för hantering av information och informationssäkerhet. Policyn är ett stöd för samtliga anställda och reglerar de åtgärder som syftar till att förebygga eller minimera oönskade konsekvenser av händelser som negativt påverkar kommunens informationstillgångar. Policyn tydliggör kommunens viljeriktning och stöd för informationssäkerhet i enlighet med organisationens verksamhetskrav samt lagar och föreskrifter. Ytterst ansvarig för arbetet är kommunstyrelsen. Informationssäkerhet omfattar all kommunens hantering av information utan undantag. Med informationssäkerhet avses: att rätt information är tillgänglig för rätt person när den behövs och på ett spårbart sätt att informationen är och förblir riktig. Alla som hanterar kommunens informationstillgångar har ett ansvar att upprätthålla en god informationssäkerhetsnivå. Informationssäkerhetspolicyn omfattar samtliga anställda och förtroendevalda i kommun och bolag, konsulter och andra som ges rätt att använda kommunens och bolagens informationstillgångar och -system. Överenskommelse för elever upprättas utifrån kommunens informationssäkerhetspolicy. Begreppet information avser all information som skapas, inhämtas, distribueras och lagras, oavsett om den behandlas manuellt eller automatiserat och oberoende av i vilken form eller miljö den förekommer. Begreppet informationssystem avser samtliga digitala system. Dessa ska vara identifierade, förtecknade och bedömda efter vilka som är verksamhetskritiska. Begreppet IT är en förkortning för informationsteknik och avser användning av datorteknik, digitala nätverk och telefoni för att hantera och utbyta information. Informationssäkerhetspolicyn konkretiseras i följande instruktioner: Informationssäkerhetsinstruktion Förvaltning (inklusive Systeminventering) Informationssäkerhetsinstruktion Användare Informationssäkerhetsinstruktion Kontinuitet och drift (inklusive Informationssäkerhetsanalys). Policyn är ett levande dokument som revideras minst en gång per mandatperiod. Öckerö 2013-10-01 Ingvar TH Karlsson Kommunchef Öckerö kommun Informationssäkerhetsinstruktion användare Reviderad 2013 11 18

1. Ansvar Samtliga användare inom kommunen (anställda och förtroendevalda i kommun och bolag, konsulter och andra som ges rätt att använda kommunens och bolagens informationstillgångar och -system samt elever utifrån separat överenskommelse) ska skydda den information han/hon hanterar. Det är varje användares ansvar att obehöriga inte nås av informationen. Du som användare har ett ansvar att känna till och följa befintliga regelverk för informationssäkerhet. För information om offentlighetsprincipen hänvisas till kommunens hemsida. 2. Support All felanmälan ska ske via supportsystemet i Lotus Notes. Vid akuta ärenden, kontakta IT-service eller växeln. Vid problem med nätverk, applikation eller hårdvara, kontakta IT-support. Vid problem med specifika informationssystem, kontakta systemansvarig. 3. Behörighet till informationssystem Kommunens informationssystem är utrustade med behörighetskontroll för att skydda kommunens information och endast ge behöriga användare tillgång. Behörighet är en rättighet du erhåller av närmaste chef. Inloggning och lösenord För att nyttja din behörighet i informationssystem krävs att du har ett lösenord. Tänk på att: användarnamn och lösenord är personliga och får inte lånas ut skydda ditt lösenord väl omedelbart byta lösenord om du misstänker att någon känner till det lösenord ska betraktas som en värdehandling alla noteringar om lösenord ska förvaras skyddade. Lösenord ska innehålla minst 8 tecken; bokstäver samt siffror och/eller specialtecken. Alla lösenord ska bytas ut var 90:e dag. I det interna nätverket samt de flesta informationssystem som kräver inloggning kommer du att bli påmind via en automatiskt genererad påminnelse. Följande typer av lösenord får inte användas: enkla repetitiva mönster som t ex BBbb22 lättforcerade lösenord såsom eget, familjemedlems eller husdjurs namn enkla tangentkombinationer såsom QWERTY. Efter upprepade misslyckade inloggningsförsök spärras din behörighet. Följande gäller för misslyckade inloggningsförsök: internt nätverk: 6 misslyckade inloggningsförsök kontakta IT-support informationssystem: 3 misslyckade inloggningsförsök kontakta systemansvarig. 4. Hantering av IT-utrustning IT-utrustning som finns tillgänglig för användare är stationär dator, bärbar dator, mobiltelefon, smartphone, läsplatta, USB-minnen mm. Utrustningen tillhör Öckerö kommun. Tänk på att hantera utrustningen varsamt och efter de regler som gäller samt att egna fysiska ingrepp inte får göras. Närmaste chef i samråd med IT-service tar beslut om inköp. All service av IT-utrustning ska ske via IT-service. Kassering av IT-utrustning ska ske via, eller efter samråd med, IT-service. Eventuell skadegörelse och stöld av IT-utrustning polisanmäls av närmaste chef. Informationssäkerhetsinstruktion användare Reviderad 2013 11 18

Sekretessbelagd information får endast lagras på anvisad plats på det interna nätverket och får inte förekomma på någon annan form av utrustning. Stationär och bärbar dator Stationär och bärbar dator ska ha virusskydd och brandvägg installerat. IT-service ansvarar för att alla datorer innehåller den programvara som krävs för att upprätthålla rätt säkerhetsnivå. Vid misstanke om att dator inte uppfyller säkerhetskraven, kontakta IT-support. Stationär dator ska vid behov vara fastlåst. Bärbar dator ska hanteras på ett säkerhetsmedvetet sätt och skyddas med inloggning till operativsystemet om den inte är installerad för att användas som tunn klient. Information ska inte lagras lokalt på bärbar dator då den inte omfattas av central säkerhetskopiering. Används den inte som tunn klient ska man spara under Dokument. Mobiltelefon/smartphone/läsplatta Mobiltelefon/smartphone/läsplatta ska hanteras på ett säkerhetsmedvetet sätt. Information på dessa enheter ska synkroniseras mot kommunens informationssystem så att information omfattas av central säkerhetskopiering. PIN-kod ska alltid vara aktiverad. Telefonnummer ska inte vidarekopplas till privat telefon. Vid frågor, kontakta informationsenheten. Bring your own device (BYOD) Privata enheter får inte anslutas till kommunens nätverk men åtkomst till internet är möjligt via gästinlogg (erhålles i medborgarkontoret). Kringutrustning Kringutrustning, t ex digitalkamera, kan lätt bli virusbärare eftersom information kan mellanlagras på dessa enheter. All USB-anslutning gentemot verksamhetens datorer ska godkännas av IT-service. Privat utrustning får inte anslutas eller användas i kommunens datorer eller nätverk. USB-minnen/extern hårddisk USB-minnen/extern hårddisk ska hanteras på ett säkerhetsmedvetet sätt. Så lite information som möjligt ska sparas på dessa enheter då de inte omfattas av central säkerhetskopiering. USB-minnen som delas ut på mässor eller liknande kan innehålla skadlig kod och ska därför innan användning testas och godkännas av IT-service. CD/DVD Information på CD/DVD-skivor ska före anslutning kontrolleras för att kunna identifiera eventuell skadlig kod. Om information lagras temporärt på CD/DVD-skivor rekommenderas att använda RWskivor där innehållet kan raderas. Information på lagringsmedia får endast lagras temporärt och ska efter användande raderas eller förstöras. Information på vanliga CD/DVD-skivor går inte att radera. Dessa ska därför förstöras efter att informationen använts. Molntjänster Arbetsrelaterat material får inte hanteras i sk molntjänster. För fjärrarbete ska av IT-service godkänd programvara användas, exempelvis Citrix. Sociala medier Det bör finnas ett uppdrag från närmaste chef för att en anställd ska kunna använda sociala medier i tjänsten. Med detta beslut klargörs att personen använder sociala medier som anställd och inte som privatperson. Sekretessbelagda uppgifter får inte publiceras på sociala medier. Det kan finnas regler för hur anställda får använda sociala medier på arbetstid. Här är det upp till varje arbetsgivare att bestämma vilka regler som ska gälla. För ytterligare vägledning, se: http://www.skl.se/press/socialamedier/riktlinjer-for-narvaro-i-sociala-medier 5. Regler och rutiner Anställning Vid nyanställning och tillfälliga anställningar ska genomgång och undertecknande av Informationssäkerhetsinstruktion Användare ske. Personalenheten ansvarar i samråd med informationsenheten för att samtliga nyanställda genomgår en informationssäkerhetsutbildning. Informationssäkerhetsinstruktion användare Reviderad 2013 11 18

Närmaste chef i samarbete med informationsenheten ansvarar för att samtliga användare kontinuerligt uppdateras om informationssäkerhet. Systemägare beslutar om vilka krav som ställs på användare som tilldelas behörighet till informationssystem. Systemägare ska ha en plan för hantering av nyckelpersonsberoende (backup). Systemansvarig ansvarar för att det finns en användarhandledning för respektive informationssystem. Ansökan om behörighet till informationssystem görs av närmaste chef, som i sin tur gör beställning till systemansvarig. När anställd avslutar anställning ska all utrustning lämnas tillbaka till närmaste chef, som meddelar berörda systemansvariga. Systemansvarig ska spärra användarkonto i samband med anställningens upphörande. Om anställd byter tjänst inom kommunen ska dennes behörighetsprofil revideras. Vid avsked av anställd ska närmaste chef omgående kontakta IT-service som med omedelbar verkan spärrar användarkontot. Mobil datoranvändning och distansarbete Närmaste chef beslutar om mobil datoranvändning för distansarbete. Arbetsplats Fysisk information ska skyddas på samma sätt som digital information. När arbetsplatsen lämnas utan uppsikt, lås in eller lägg undan känsligt arbetsmaterial. Lås datorn med Ctrl+Alt+Del, lås WYSE-klient med Ctrl+Alt+pil vänster. Säkerhetskopiering Digital information ska sparas i Öckerö kommuns centrala lagringsmapp som omfattas av central säkerhetskopiering. Information ska inte sparas på lokal hårddisk (C:), då den ej omfattas av kommunens centrala säkerhetskopiering. Allt material som lagras på Öckerö kommuns servrar och datorer tillhör Öckerö kommun och kan kopieras, avlägsnas, flyttas och läsas av personal på IT-service utan medgivande från den person som placerat materialet där. Programvaror Endast programvaror som ägs eller är licensierade av Öckerö kommun får användas i kommunens utrustning. Alla programinstallationer på IT-utrustning ska utföras eller godkännas av systemansvarig och/eller IT-service. Vissa uppdateringar får ske av användare via godkännande av IT-service. Vid behov av ytterligare programvara, kontakta närmaste chef som i sin tur kontaktar IT-service. Utskrift av dokument Utskrift av dokument ska ske på ett säkerhets- och miljömedvetet sätt. Whiteboardtavlor/pappersblock Whiteboardtavlor och pappersblock är att betrakta som fysisk information och behandlas därefter. All information ska tas bort då rummet lämnas. Var uppmärksam på vilken information som kan läsas utifrån. Besök till kommunens lokaler Vid mottagande av besök till kommunens lokaler gäller följande: besökare ska anmälas i receptionen där sådan finns besökare ska hämtas i receptionen av ansvarig tjänsteman besökare ska under hela besöket hållas under uppsikt. Mediahantering Kontakt med media hänvisas till närmaste chef. Vid frågor, kontakta informatör. Användning av Internet Internet är ett arbetsverktyg och får endast användas för privat bruk i sådan omfattning att det inte inkräktar på arbetet eller medför kostnader för kommunen. Nedladdning av filer är endast tillåten då arbetet kräver detta. Nedladdning av programvara är inte tillåten. När du surfar på Internet Informationssäkerhetsinstruktion användare Reviderad 2013 11 18

representerar du Öckerö kommun och lämnar spår efter dig i form av din IP-adress. Vid missbruk av dessa internetregler gör närmaste chef en anmälan till personalenheten, som agerar enligt gällande regelverk. E-handel är endast tillåten för arbetsrelaterade inköp och ska godkännas av närmaste chef. Användning av e-post Endast arbetsrelaterat material i e-postsystemet skyddas. Vid eventuell kontroll och rensning tar ITservice inget ansvar för privat material. Digital, kommunrelaterad information ska kommuniceras via Öckerö kommuns e-postserver. Uppgifter som berörs av sekretesslagen får inte okrypterat förekomma i e-postsystemet. Detsamma gäller för meddelanden som innehåller integritetskänsliga uppgifter enligt personuppgiftslagen (PUL). Radering av e-postmeddelanden ska ske i enlighet med nämndens dokumenthanteringsplan. Det är endast tillåtet att skicka eller öppna bifogade filer som är arbetsrelaterade. Vid problem med bifogade filer, filer med okänd avsändare eller misstanke om virus i e-postmeddelande, kontakta ITsupport. Många virus fortplantar sig som en bilaga till ett e-postmeddelande. Arbetsrelaterade e-postkonton får inte vidarebefordras till privat e-postkonto. Vid frånvaro längre än 24 timmar ska autosvarsfunktionen i e-postsystemet användas. I det automatiska svaret ska det framgå hur lång frånvaron är samt vid behov hänvisning till annan tjänsteman. Skadlig kod Skadlig kod kan vara olika typer av virus, trojaner och maskar som gör intrång i datorerna. För att skydda nätet används både centrala skydd i form av brandväggar och virusskydd samt lokala skydd i datorerna. Datavirus är små program som laddas ned i datorn utan din vetskap. Öppna aldrig en bifogad fil där avsändaren är okänd eller innehållet verkar misstänksamt. Tecken på datavirus kan vara att datorn utför något utan din vetskap, startar om sig med jämna mellanrum, arbetar mycket långsamt eller att antivirusprogrammet varnar om upptäckt virus. Vid misstanke om virus, kontakta IT-support. Incidenter En säkerhetsincident är en händelse som kan få negativa konsekvenser för verksamheten. Vid misstanke om att någon använt din användaridentitet eller att du varit utsatt för någon annan typ av säkerhetsincident ska du notera när du upptäckte incidenten och dokumentera alla iakttagelser i samband med upptäckten. Alla säkerhetsincidenter ska rapporteras i incidentrapporteringssystemet. Överträdelser Eventuella överträdelser av dessa regler kan leda till disciplinära åtgärder, även om överträdelsen skett på grund av oaktsamhet. Informationssäkerhetsinstruktion användare Reviderad 2013 11 18

Vid undertecknande av detta dokument, som har upprättats i två exemplar, intygas att medarbetaren är införstådd med, tagit del av och förbinder sig att följa Informationssäkerhetspolicy och Informationssäkerhetsinstruktion användare. Medarbetaren För Öckerö kommun Datum och ort Datum och ort Namnunderskrift Namnunderskrift Namnförtydligande Namnförtydligande Befattning Förvaltning/enhet Informationssäkerhetsinstruktion användare Reviderad 2013 11 18

Informationssäkerhetsinstruktion Förvaltning Detta dokument redovisar ansvarsfördelning inom informationssäkerhetsarbetet Informationssäkerhetsinstruktion Förvaltning Reviderad 20131118

Informationssäkerhetspolicy Informationssäkerhetspolicyn är ett övergripande regelverk för hantering av information och informationssäkerhet. Policyn är ett stöd för samtliga anställda och reglerar de åtgärder som syftar till att förebygga eller minimera oönskade konsekvenser av händelser som negativt påverkar kommunens informationstillgångar. Policyn tydliggör kommunens viljeriktning och stöd för informationssäkerhet i enlighet med organisationens verksamhetskrav samt lagar och föreskrifter. Ytterst ansvarig för arbetet är kommunstyrelsen. Informationssäkerhet omfattar all kommunens hantering av information utan undantag. Med informationssäkerhet avses: att rätt information är tillgänglig för rätt person när den behövs och på ett spårbart sätt att informationen är och förblir riktig. Alla som hanterar kommunens informationstillgångar har ett ansvar att upprätthålla en god informationssäkerhetsnivå. Informationssäkerhetspolicyn omfattar samtliga anställda och förtroendevalda i kommun och bolag, konsulter och andra som ges rätt att använda kommunens och bolagens informationstillgångar och -system. Överenskommelse för elever upprättas utifrån kommunens informationssäkerhetspolicy. Begreppet information avser all information som skapas, inhämtas, distribueras och lagras, oavsett om den behandlas manuellt eller automatiserat och oberoende av i vilken form eller miljö den förekommer. Begreppet informationssystem avser samtliga digitala system. Dessa ska vara identifierade, förtecknade och bedömda efter vilka som är verksamhetskritiska. Begreppet IT är en förkortning för informationsteknik och avser användning av datorteknik, digitala nätverk och telefoni för att hantera och utbyta information. Informationssäkerhetspolicyn konkretiseras i följande instruktioner: Informationssäkerhetsinstruktion Förvaltning (inklusive Systeminventering) Informationssäkerhetsinstruktion Användare Informationssäkerhetsinstruktion Kontinuitet och drift (inklusive Informationssäkerhetsanalys). Policyn är ett levande dokument som revideras minst en gång per mandatperiod. Öckerö 2013-10-01 Ingvar TH Karlsson Kommunchef Öckerö kommun Informationssäkerhetsinstruktion Förvaltning Reviderad 2013 11 18

1. Organisation och ansvar kring informationssäkerhet Organisation, roller och ansvar ska vara definierade för att det inte ska råda några tveksamheter om vem som ansvarar för vad. Kommunstyrelsen Kommunstyrelsen har det övergripande ansvaret för informationssäkerheten och beslutar om informationssäkerhetspolicyn. Det ska finnas ett ramverk för informationssäkerhet som gör alla medarbetare aktiva i detta arbete. Informationssäkerhetsarbetet ska ske systematiskt och kontinuerligt följas upp. Informationschef Informationschefen är ansvarig för att beslutade åtgärder gällande infrastruktur genomförs. Informationschefen ansvarar för att: följa upp och vid behov revidera informationssäkerhetsdokument samordna samt kontinuerligt informera och utbilda om informationssäkerhet stödja systemägarnas arbete med informationssystem och informationssäkerhet ansvara för drift och underhåll av egna informationssystem. Förvaltningschef Förvaltningschef ansvarar för att: medarbetare informeras om informationssäkerhetsdokument samt säkerställer att all informationshantering sker i enlighet med dessa aktuell dokumenthanteringsplan finns informationssystem finns förtecknade, analyserade och klassificerade i en systemsäkerhetsanalys enligt bilaga. Personuppgiftsombud Informatören är kommunens personuppgiftsombud. Datainspektionen är tillsynsmyndighet när det gäller behandling av personuppgifter. Personuppgiftsombud ansvarar för att personuppgifter behandlas på ett lagligt och korrekt sätt. Systemägare För varje informationssystem finns en systemägare. Denne är ägare av systemets mjuk- och hårdvara och har ansvar för inköp och utveckling. Systemägare ansvarar för informationssäkerheten och är personuppgiftsansvarig för aktuellt informationssystem. Systemägare ansvarar för att: analys av säkerhetsbehovet genomförs med hänsyn till informationsinnehåll och verksamhetskrav i samråd med närmaste chef besluta om åtkomst till ett informationssystem på distans applikationer används enligt gällande avtal och licensregler riktlinjer för behörighetstilldelning utarbetas säkerhetskrav uppfylls med inriktning på tillgänglighet, riktighet, sekretess och spårbarhet säkerställa att informationssystem som hanterar personuppgifter är förtecknat och anmält till personuppgiftsombud kontakta informationschef inför inköp av system. Kommunchef beslutar ytterst om inköp. hålla informationschef uppdaterad om förändringar gällande respektive system uppgifter om person med skyddad identitet hanteras med sekretess i informationssystem. Systemansvarig Systemansvarig utses av systemägaren och har som uppgift att ansvara för den dagliga driften och förvaltningen av aktuellt informationssystem. Detta omfattar upprättande av systemsäkerhetsanalys, hantering av användarkonton, kontakt med användare, kontakt med leverantören, rådgivning vid systemutveckling samt kontakt med IT-service. Informationssäkerhetsinstruktion Förvaltning Reviderad 2013 11 18

IT-service Den dagliga driften av ett informationssystem hanteras av IT-service, i vissa fall av leverantör eller konsult. IT-service ansvarar för att: hantera generella frågor avseende anskaffning, drift, förvaltning och avveckling av ITutrustning handha kontinuerliga drift av egna system ge stöd till verksamheterna analysera att den tekniska säkerheten genomförs med hänsyn till tillgänglighet, riktighet, sekretess och spårbarhet samt att påvisade brister åtgärdas systemägares säkerhetskrav tekniskt uppfylls. Användare Användare är personer som beviljats behörighet att bruka kommunens informationssystem. Användarens ansvar regleras av kommunens informationssäkerhetsdokument samt systemägarens instruktioner. Alla användare ska följa policy, instruktioner och rutiner. 2. Klassificering av information Information, i likhet med andra tillgångar, är avgörande för en fungerande verksamhet och måste skyddas. Alla informationstillgångar ska finnas dokumenterade i systeminventering, dokumenthanteringsplan och dokumentation av IT-utrustning. Vissa uppgifter en kommun hanterar omfattas av sekretess. Kommunen ska, med stöd av lagen, avgöra vilka dessa uppgifter är. Syftet med sekretess är för att skydda den personliga integriteten. Informationssystem Ansvar och ägarskap av informationssystem ska dokumenteras i en systeminventering. Informationsenheten i samverkan med systemansvarig ansvarar för framtagande av systeminventering. Systemägare ansvarar för att fördela systemansvar. Dokument I förvaltningens dokumenthanteringsplan redovisas hur dokument och handlingar hanteras. IT-utrustning Förvaltningen äger och ansvarar för IT-utrustning, dvs PC, bildskärm, skrivare mm. Vid omflyttning och överlåtelse av IT-utrustning till annan användare, ansvarar ansvarig chef för att dokumentera omflyttning av IT-utrustning. Respektive verksamhet fattar beslut om huruvida IT-utrustning i publikt utrymme ska vara fastlåst. Ansvarig chef ansvarar för att anmäla stöld av utrustning. 3. Hantering av informationssystem Anskaffning Respektive verksamhet ansvarar för anskaffning av informationssystem. Vid behov av nytt eller utbyggnad av befintligt system kontaktar verksamheten IT-samordnare för råd och stöd samt för att säkerställa att systemet fungerar i den befintliga tekniska miljön. Leverans, drift, informationssäkerhet och slutkontroll regleras i avtal med leverantören. Utveckling och underhåll Verksamhetens systemansvariga i samråd med IT-service fattar beslut om program- och systemförändringar samt tidpunkt för installation av nya programversioner. Systemansvarig ansvarar för att informera samtliga användare om funktionsändringar i informationssystem och program. Systemansvarig ansvarar även för att det finns systemdokumentation för respektive informationssystem. Denna ska omfatta: Informationssäkerhetsinstruktion Förvaltning Reviderad 2013 11 18

vad informationssystemens olika delar består av övergripande beskrivning av de olika delarnas uppgift en detaljerad systembeskrivning plan för utbildning och utveckling i systemet underhåll av systemet eventuella förändringar. Användare som är beroende av informationssystem och dess information ska informeras om avbrott och återställningsarbete via e-post. Avveckling Systemägare ansvarar för när avveckling av informationssystem ska ske. Systemägare beslutar i samverkan med IT-service hur avvecklingen ska ske. Rutin för avveckling: förvaltning kontaktar systemägare systemägare kontaktar IT-service IT-service kontaktar vid behov leverantör IT-service genomför avvecklingen IT-service återkopplar till systemägare. 4. Regler och rutiner Anställning Vid nyanställning och tillfälliga anställningar ska genomgång och undertecknande av Informationssäkerhetsinstruktion Användare ske. Personalenheten ansvarar i samråd med informationsenheten för att samtliga nyanställda genomgår en informationssäkerhetsutbildning. Närmaste chef i samarbete med informationsenheten ansvarar för att samtliga användare kontinuerligt uppdateras om informationssäkerhet. Systemägare beslutar om vilka krav som ställs på användare som tilldelas behörighet till informationssystem. Systemägare ska ha en plan för hantering av nyckelpersonsberoende (backup). Systemansvarig ansvarar för att det finns en användarhandledning för respektive informationssystem. Ansökan om behörighet till informationssystem görs av närmaste chef, som i sin tur gör beställning till systemansvarig. När anställd avslutar anställning ska all utrustning lämnas tillbaka till närmaste chef, som meddelar berörda systemansvariga. Systemansvarig ska spärra användarkonto i samband med anställningens upphörande. Om anställd byter tjänst inom kommunen ska dennes behörighetsprofil revideras. Vid avsked av anställd ska närmaste chef omgående kontakta IT-service som med omedelbar verkan spärrar användarkontot. Utomstående tjänsteleverantör Vid upphandling av tjänst ansvarar beställaren för att ett sekretessavtal tecknas med leverantören. Beställare av tjänst ska vid behov granska att utomstående tjänsteleverantörer följer givna säkerhetsföreskrifter. Vid outsourcing av drift av informationssystem ansvarar systemägare för att verksamhetens informationssäkerhetskrav regleras i avtal med leverantören. Systemägare ansvarar även för att informationsutbyte mellan egna system och system utanför organisationen regleras i avtal. Säkrade utrymmen Respektive chef fattar beslut om skydd av säkrade utrymmen, såsom serverhallar, teknikbod mm. T ex fattar informationschef beslut om vem som får tillträde till serverrum. Utrymmen med känslig information och/eller dess hårdvara ska vara låsta samt utrustas med kontroll för in- och utpassering. Behörig personal ska alltid närvara då extern personal behöver tillträde till dessa utrymmen. Dessa utrymmen ska även vara utrustade med fysisk säkerhet. Informationssäkerhetsinstruktion Förvaltning Reviderad 2013 11 18

Säkerhetskopiering Systemägare är ansvarig för informationssystems säkerhetskopiering och ska besluta om och i systeminventeringen dokumentera följande: vilken information som ska omfattas av säkerhetskopiering intervallen för kopiering hur många generationer säkerhetskopior som ska finnas hur säkerhetskopior ska förvaras när kontroll av säkerhetskopiornas läsbarhet ska genomföras. Outsourcingpartner ansvarar för säkerhetskopiering enligt SLA för aktuella informationssystem. E-förvaltning och e-tjänster Vid planering och införande av e-tjänster ska säkerhetskrav för säker inloggning och hantering av personuppgifter vara uppfyllda. Systemsäkerhetsanalys En systemsäkerhetsanalys ska upprättas för varje informationssystem. Systemansvarig ansvarar för att fastställa och dokumentera analysen. Systemsäkerhetsanalysen ska redovisa väsentlig information samt de samlade säkerhetskraven på systemet. Systemsäkerhetsanalysen ska redovisa riskbedömning och hantering, säkerhetskrav och åtgärder för att kraven på systemet ska uppfyllas. Kontinuitetsplan Systemägare beslutar om den längsta tid som informationssystem bedöms kunna vara ur funktion. Kontinuitetsplanering är en metod för att säkerställa och upprätthålla system och nätverk. Denna planering anpassas till olika verksamheters behov och hur vitala processer kan fortgå utan systemstöd. Kontinuitetsplan för respektive informationssystem ska finnas i systeminventeringen. Klassificering av verksamhetens informationssystem ska ligga till grund för systemets tillgänglighet samt avbrottsplaner. Klassificeringen utgår från systeminventeringen och grundas på uppgifter om: berörda kritiska processer konsekvenser av avbrott max avbrottstid verksamhetens krav på tillgänglighet. Övervakning De loggningsfunktioner som finns i informationssystemen används för att övervaka och registrera de aktiviteter som utförs i ett system. Beslut om informationssystemens loggar ska redovisas i systeminventeringen. Systemägare ska för verksamhetssystems loggar besluta: hur länge de ska sparas hur de ska förvaras hur de ska rensas hur ofta de ska analyseras vem som ansvarar för att analysera loggarna. Systemägare ska, via kravspecifikation innan upphandling, säkerställa att informationssystemet är konstruerat på ett sådant sätt att de loggar som krävs för uppföljning finns. Hantering av informationssäkerhetsincidenter Funktionsfel, misstanke om intrång eller andra störningar ska rapporteras i incidentrapporteringssystemet. Informationschef och/eller systemägare utvärderar rapporterade incidenter. Resultatet ligger till grund för underhåll och utveckling av säkerhetsarbetet. Informationssäkerhetsinstruktion Förvaltning Reviderad 2013 11 18

Informationssäkerhetsinstruktion Kontinuitet och drift De rutiner/regler som krävs för att hantera driftmiljön på ett säkert sätt. Informationssäkerhetsinstruktion kontinuitet och drift Reviderad 13 11 18

Informationssäkerhetspolicy Informationssäkerhetspolicyn är ett övergripande regelverk för hantering av information och informationssäkerhet. Policyn är ett stöd för samtliga anställda och reglerar de åtgärder som syftar till att förebygga eller minimera oönskade konsekvenser av händelser som negativt påverkar kommunens informationstillgångar. Policyn tydliggör kommunens viljeriktning och stöd för informationssäkerhet i enlighet med organisationens verksamhetskrav samt lagar och föreskrifter. Ytterst ansvarig för arbetet är kommunstyrelsen. Informationssäkerhet omfattar all kommunens hantering av information utan undantag. Med informationssäkerhet avses: att rätt information är tillgänglig för rätt person när den behövs och på ett spårbart sätt att informationen är och förblir riktig. Alla som hanterar kommunens informationstillgångar har ett ansvar att upprätthålla en god informationssäkerhetsnivå. Informationssäkerhetspolicyn omfattar samtliga anställda och förtroendevalda i kommun och bolag, konsulter och andra som ges rätt att använda kommunens och bolagens informationstillgångar och -system. Överenskommelse för elever upprättas utifrån kommunens informationssäkerhetspolicy. Begreppet information avser all information som skapas, inhämtas, distribueras och lagras, oavsett om den behandlas manuellt eller automatiserat och oberoende av i vilken form eller miljö den förekommer. Begreppet informationssystem avser samtliga digitala system. Dessa ska vara identifierade, förtecknade och bedömda efter vilka som är verksamhetskritiska. Begreppet IT är en förkortning för informationsteknik och avser användning av datorteknik, digitala nätverk och telefoni för att hantera och utbyta information. Informationssäkerhetspolicyn konkretiseras i följande instruktioner: Informationssäkerhetsinstruktion Förvaltning (inklusive Systeminventering) Informationssäkerhetsinstruktion Användare Informationssäkerhetsinstruktion Kontinuitet och drift (inklusive Informationssäkerhetsanalys). Policyn är ett levande dokument som revideras minst en gång per mandatperiod. Öckerö 2013-10-01 Ingvar TH Karlsson Kommunchef Öckerö kommun Informationssäkerhetsinstruktion kontinuitet och drift Reviderad 13 11 18

1. Internt nätverk För komplett och uppdaterad dokumentation av nätverkstopologi, se IP-planen i Lotus Notes. 2. Organisation och ansvar - IT-drift För att arbetet med informationssäkerhet ska kunna bedrivas på ett strukturerat sätt definieras roller och ansvarsområden. För rollfördelning, se Informationssäkerhetsinstruktion Förvaltning. 3. Daglig drift För att hantera den dagliga driften och IT-relaterade störningar/avbrott ska det på informationsenheten finnas bemanning för drift av informationssystem. IT-service ska vara bemannad helgfri måndag 08.00-18.00, tisdag-torsdag 08.00-16.30 och fredag 08.00-15.00. Supporttelefonen är öppen helgfri vardag 08.00-10.00 och 13.00-14.00. Övrig kontorstid kontaktas kommunens växel. Övrig tid kontaktas Tjänsteman i Beredskap, TiB. 4. Avbrott och störningar Genom att ha en fastställd plan för hur olika störningar i IT-driften ska hanteras, kan Öckerö kommun minimera eventuella skador eller kostnader i samband med en störning/avbrott. Nedan beskrivs hur avbrott hanteras under olika faser av störningar/avbrott. Incident/störning Avbrott Kris Hanteras av: IT-service Incident/störning Är en oönskad händelse som kan hanteras inom accepterad avbrottstid med interna eller externa resurser. Hanteras av: IT-service Informationschef Berörd chef Avbrott Oönskad händelse som inte kan hanteras inom accepterad avbrottstid med interna eller externa resurser. Hanteras av: IT-service Krisledningsgrupp Kris En mycket allvarlig och svårhanterlig händelse som kraftigt påverkar verksamheten. 5. Krav på nätverkets resurser Det finns en schematisk översiktlig IP-plan där alla enheter i nätverket finns förtecknade. Det finns även en lösenordsfil till alla system. Dessa dokument är rättighetsskyddade och krypterade. En systemsäkerhetsanalys ska finnas för den interna IT-infrastrukturen. Systemsäkerhetsanalysen redovisar väsentlig information samt de samlade kraven på infrastrukturen. Av analysen framgår vilka säkerhetsåtgärder som är vidtagna samt eventuella ytterligare säkerhetsåtgärder som behöver vidtas för att kraven på det interna nätverket ska uppfyllas. Informationschefen ansvarar för att fastställa och dokumentera systemsäkerhetsanalysen. 6. Hantering av tillgångar Standardarbetsplatser IT-service ansvarar för installation av Microsoftbaserade standardarbetsplatser. Arbetsplatserna ska vara utrustade enligt nedan. Hårdvara administratör och pedagog: WYSE-klient (i undantagsfall stationär dator) Informationssäkerhetsinstruktion kontinuitet och drift Reviderad 13 11 18

Laptop enligt aktuell standard. Programvara administratör: Officepaket Virusskydd Mailprogram Programvara pedagog: Officepaket Virusskydd PIM-program Märkning och förteckning av IT-utrustning All IT-utrustning i Öckerö kommun ska vara märkt och förtecknad av den som äger utrustningen enligt generell namnstandard för Öckerö kommun. I kommunens fakturasystem mottagningsgranskar personal på IT-service det man beställt och beställaren attesterar beställaren inköpet. Närmaste chef ansvarar för att dokumentera egendom. Kassering av IT-utrustning ska ske via, eller efter samråd med, IT-service. Då datamedia kasseras ska den förstöras. Systeminventering Ansvar och ägarskap av informationssystem dokumenteras i en systeminventering som redovisas på kommunens intranät. Informationsenheten i samverkan med systemansvarig ansvarar för framtagande av systeminventeringen. Systeminventeringen bör minst omfatta: systemansvar antal användare informationssystemets garanterade tillgänglighet tillhörighet (förvaltning/verksamhet/enhet). Klassificering av information och tillgångar Informationstillgångar klassificeras utifrån hur viktigt det är att informationen är konfidentiell, riktig och tillgänglig. Riktlinjer är dess värde, legala krav, känslighet och betydelse för organisationen. Hantering och klassning av datamedia ska ske enligt informationsklassningsmodell. Information på datamedia måste hanteras med samma säkerhet som det system den kommer ifrån. Kraven på sekretess ska beaktas. De krav på sekretess som ställs för ett specifikt informationssystem ska framgå av användarhandledningen för systemet. För klassificering av information, se Informationssäkerhetsinstruktion Förvaltning. 7. Fysisk säkerhet Skydd av utrustning Respektive chef ansvarar för avbrottsfri kraft, brandskydd, klimatlarm samt skalskydd. Avbrottsfri kraft Krav på och dokumentation om avbrottsfri kraft (dieselaggregat och UPS) ska dokumenteras i systeminventeringen och läggas in i OSI-modellen. För att minimera risken för avbrott och driftstörningar finns UPS (avbrottsfri kraft) i serverhall, konferensrum, medborgarkontor samt växeln i kommunhuset. Räddningstjänstens serverrum har egen UPS. All UPS testas en gång per år enligt serviceavtal. Öckerö Bostads AB ansvarar för dieselaggregaten och att de funktionstestas regelbundet enligt schema. Det ska också framgå vilken kapacitet aggregaten har. Informationssäkerhetsinstruktion kontinuitet och drift Reviderad 13 11 18

Brandskydd Det ska finnas larm för brand i anslutning till viktig dator- och kommunikationsutrustning. Öckerö Bostads AB ansvarar för att automatlarm finns installerat i dessa utrymmen samt att de kontinuerligt funktionstestas. Alla larm som är installerade är kopplade till en larmmottagare. För att minimera eller hindra skada på kommunens IT-utrustning och/eller avbrott i verksamheten finns det i anslutning till för driften viktig dator- och kommunikationsutrustning brandsläckare i erforderligt antal. Detta säkerställs genom årlig genomgång av Öckerö Bostads AB anlitad part. Klimatlarm I serverhallen finns: Fuktlarm (översvämningslarm) som larmar om vatten som går till kylanläggningen läcker ut på golvet under datagolvet. Hög värme (temperaturlarm) som larmar vid hög värme i serverhallen. En förutsättning för att larmet ska lösas ut är att den stora kylanläggningen slutar att fungera och reservkylan inte kan kyla under 25 grader. Hög luftfuktighet som utlöses om hög luftfuktighet uppstår i serverhallen. Dessa larm är a-larm som skickas som sms till ÖBO AB:s jourtelefon samt till informationschef och systemadministratör på IT. Larmen testas årligen av IT-service. Mer utförlig instruktion finns i serverhall, hos Öckerö Bostads AB samt Tjänsteman i Beredskap, TiB. Skalskydd Fastigheter med viktig dator- och kommunikationsutrustning ska ha godkänt skalskydd. Tillträdeskontroll till driftrelaterade utrymmen För att förhindra obehörigt tillträde, skada, stöld eller avbrott i verksamheten är tillträde till driftrelaterade utrymmen, som t ex serverrum, begränsat. Endast behörig personal har tillträde till dessa utrymmen. Medborgarkontoret ansvarar för tillträdeskontroll till driftrelaterade utrymmen. Behörighetssystemet Bewator hanterar tillträdeskontroll, passerkort och loggning. Informationschef har ansvaret för behörighetshanteringen. 8. Styrning av kommunikation och drift Driftrutiner och -dokumentation För varje informationssystem ska det finnas en driftdokumentation. Driftdokumentationen ska uppdateras vid förändringar som påverkar informationssystemet. Systemansvarig ansvarar för att det egna systemet blir uppdaterat. Driftdokumentationen ska minst omfatta: säkerhetskopiering återstarts- och återställningsrutiner hantering av logginformation installation och konfiguration registrering av viktiga ändringar godkännande av ändringar krav på tillgänglighet systemleverantör systemägare. En kopia av driftdokumentationen ska förvaras skyddad och åtskild från driftstället. Installationer Endast IT-service får utföra nyinstallation och konfiguration av programvaror. Endast godkända programvaror med gällande licenser får användas på kommunens datorer. Informationssäkerhetsinstruktion kontinuitet och drift Reviderad 13 11 18

Systemansvarig och IT-service ska i samverkan, efter beslut av systemägaren, bestämma tidpunkt för installation av nya programversioner. IT-service ansvarar för installation av funktioner i nätet. Eftersom det inte finns någon testmiljö ska all system-/programutveckling och tester av modifierade system, där behov finns, genomföras åtskilda från driftmiljön i en virtuell miljö. Där virtuell testmiljö ej finns tillgänglig kan modifieringen göras i skarp drift av behörig personal. Personal som ges behörighet att utföra tester och utveckling ska ha unika identiteter. Olika behörigheter ska användas för drift- och utvecklingsmiljö. All kablage märks så att det framgår hur det är draget och om det är avsett för datatrafik. Systemplanering och systemgodkännande Prestanda i organisationens informationssystem ska säkerställas via systematisk övervakning, avstämning samt kontroll av effekter vid ändringar. Detta kan även ge underlag för planläggning för framtida kapacitetskrav. Ansvar har IT-service i samverkan med systemansvarig. Skydd mot skadlig och mobil kod För att säkerställa riktighet i program och data ska det för verksamhetens informationssystem och nätverk finnas ett antivirusprogram centralt installerat på server. Servern distribuerar i sin tur ut uppdateringar och antivirusdefinitioner till samtliga klienter i nätverket en gång per dygn. IT-service ansvarar för att administrera brandväggen samt kontrollera att den ständigt är funktionell och uppdaterad. Gällande brandväggar ska IT-service besluta om vad som ska loggas, vem som ansvarar för uppföljning av loggarna, hur uppföljning ska ske och hur länge loggarna ska sparas. Beslut dokumenteras i Lotus Notes. Säkerhetskopiering Syftet med säkerhetskopiering är att säkerställa att viktig information bevaras även om filerna förändras, skadas, raderas eller blir stulna. Poängteras bör att säkerhetskopiering inte ska förväxlas med dokumenthantering. Säkerhetskopiering sker i DPM, där IT-service har angett parametrar för säkerhetskopiering för informationssystem. Kontroll av säkerhetskopiornas läsbarhet ska genomföras kontinuerligt. För att säkerställa att säkerhetskopierad information är läsbar under hela förvaringstiden, ska test ske regelbundet, minst en gång per år. Informationssystems säkerhetskopior ska också testas en gång om året för återstart i alla virtuella miljöer. IT-service ansvarar för att testerna genomförs samt att eventuella fel åtgärdas. Alla backup-band ska märkas och förtecknas med streckkod. Samtliga säkerhetskopior ska förvaras enligt gällande lagkrav, väl skyddade mot stöld och annan åverkan samt skilda från driftmiljön. Övervakning De loggningsfunktioner som finns i informationssystemen ska användas för att spåra obehörig åtkomst och otillåtna handlingar. Loggningsresurser och logginformation ska skyddas från obehörig åtkomst och manipulering genom individuella rättigheter, godkända av systemägare, till ett fåtal medarbetare. Systemansvarig ansvarar för att alla loggar övervakas och lagras under erforderlig tid. Regelbundna kontroller ska genomföras samt analyseras. Felmeddelanden och incidenter från loggövervakningen ska analyseras av systemansvarig för aktuellt system. Om anledning föreligger, ska informationschef kontaktas. Loggar som registrerar systemfel och de åtgärder som vidtagits för korrigering ska dokumenteras. Informationssäkerhetsinstruktion kontinuitet och drift Reviderad 13 11 18

Systemägares beslut gällande loggning ska dokumenteras och ska innehålla beslut kring: hur ofta det ska analyseras vem som ansvarar för analys hur länge de ska förvaras hur länge de ska sparas. Klockorna i informationssystemen ska vara synkroniserade med NTP (Network time protocol). Det ska finnas loggar i nätverket som registrerar användares och driftoperatörers identitet, datum för in- och utloggning, tidpunkt för inloggning samt misslyckade och lyckade inloggningsförsök. Kommunikation För att få tillgång till Öckerö kommuns interna nätverk vid externt arbete, krävs kommunikation via mjukvara för fjärraccess efter godkännande av närmaste chef. För leverantörer krävs fjärraccess (remote control) efter godkännande av beställande chef. VPN-uppkopplingar ska dokumenteras i IP-plan och i supportsystem. Ansvarsförbindelsen som undertecknats av samtliga anställda gäller också VPN-uppkopplingar. 9. Styrning av åtkomst Genom att styra åtkomst till informationssystem säkerställs behörig användares åtkomst. Vid uppbyggnad av driftadministratörers konton ska individuella användaridentiteter användas. För driftoperatörers lösenord ska gälla att de: består av minst åtta (8) tecken är komplexa (kombination av stora och små bokstäver, specialtecken och siffror) byts var 90:e dag. Säkerhetsarkitektur för interna och externa nät samt kommunikationssystem ska dokumenteras i IPplan och bör omfatta tekniska anvisningar för: åtkomst till e-post, filöverföringar och datum/tid för åtkomst till nätverk uppdelning av nätverk krav mot extern leverantör av extern nätverkstjänst säkerhetsarkitektur för användning av trådlösa kommunikationsnät. IT-service ansvarar för att dokumentera: regler för anslutning av utrustning till interna och externa nätverk regler och rutiner för anslutning av externa nätverk till organisationens eget nät med ingående säkerhetsfunktioner anvisningar för säkerhet vid Internetanslutning anslutning av trådlösa nätverk/anslutningar. Informationssäkerhetsinstruktion kontinuitet och drift Reviderad 13 11 18

Revidering av Öckerö Kommuns Informationssäkerhetsanalys Gjord av Nettan Sedelius, Riskhantering Öckerö kommun 2013 Informationssäkerhetsanalys 2013

Sammanfattning Öckerö kommun blev utnämnd till Sveriges säkraste kommun 2012. Nu är det viktigt att skapa en kontinuitet i det fortsatta säkerhetsarbetet. Informationssäkerhet är en viktig och stor del i detta arbete. Informationssäkerhetsanalysen skapar en bild av nuläget och eventuella framtida problem som kan uppstå. Vikten av informationssäkerhet ökar i och med att de tekniska möjligheterna ökar. Därmed ökar även ansvaret. En annan skyddsvärd aspekt är varumärket. Öckerö kommuns anseende stärks i förhållande till andra kommuner, myndigheter och företag när man hanterar och tar sig igenom en kris på ett professionellt sätt. I rapporten sammanställs och revideras tidigare gjorda analyser. En riskinventering har gjorts där riskerna inom verksamheten lyfts fram och bedöms. De system som finns inom Öckerö kommun redovisas. Rapporten föreslår en struktur för en säkerhetsorganisation samt kort- och långsiktiga förslag på åtgärder som bör genomföras för att uppnå basnivå inom informationssäkerhetsarbete. Viktiga åtgärdsförslag i det systematiska säkerhetsarbetet: besluta om säkerhets- och informationssäkerhetsorganisation besluta om säkerhets- och informationssäkerhetspolicy definiera hur systematiskt säkerhetsarbete och informationssäkerhetsarbete hör samman med Öckerömodellen genom systematisk kontinuitetsplanering säkerställa ordinarie drift vid kris tydliggöra systemansvar och ev behov av jour/beredskap på IT inventera kompetensbehov och resurser inom resp verksamhet upprätta en handlingsplan för utbildningar och övningar årligen genomföra riskinventering och åtgärdsplan årligen upprätta/uppdatera avtal avseende kvalitet, informationssäkerhet och säkerhet arbeta fram incidentrapporteringssystem, rutiner och ansvar uppdatera handlingsplaner, rutiner och checklistor uppdatera automatlarmplaner, rutiner, checklistor och ansvarsfördelning uppdatera ansvarsfördelning vid brand säkerställa systematiskt brandskyddsarbete säkerställa en robust redundans i infrastrukturen (tekniska system, larmsystem, jour, skelett server, fiber mm) stärka upp infrastruktur/kommunikation med Rakel. De kommuner som har valt att följa MSB:s kontinuitetsplanering har en bra grund för olika kriser och de klarar sig bäst ekonomiskt ur krissituationerna. En nyckel till ett framgångsrikt säkerhetsarbete är kontroll via olika systematiska arbetssätt. Dessa skapar kontinuitet som är en förutsättning för att skapa trygghet för anställda, kommuninvånare och besökare.