Riktlinjer för IT-säkerhet i Halmstads kommun



Relevanta dokument
IT-SÄKERHETSPOLICY. Stadskontoret. 1 Inledning Definition Omfattning Mål för IT-säkerhetsarbetet... 2

Informationssäkerhetspolicy IT (0:0:0)

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Riktlinjer för Informationssäkerhet Falkenbergs Kommun Kommunledningskontoret

INFORMATIONSSÄKERHET 1 INLEDNING MÅL FÖR IT-SÄKERHETSARBETET... 2

IT-säkerhetspolicy. Fastställd av KF

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Informationssäkerhetspolicy

Informationssäkerhetspolicy

Informationssäkerhetspolicy KS/2018:260

Informationssäkerhetspolicy för Ånge kommun

Informationssäkerhetspolicy för Ystads kommun F 17:01

Informationssäkerhetspolicy inom Stockholms läns landsting

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Dnr

Policy och strategi för informationssäkerhet

Policy för informationssäkerhet

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhetspolicy för Katrineholms kommun

Informationssäkerhetspolicy

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Informationssäkerhetspolicy

SOLLENTUNA FÖRFATTNINGSSAMLING 1

POLICY INFORMATIONSSÄKERHET

Bilaga till rektorsbeslut RÖ28, (5)

Granskning av IT-säkerhet - svar

Katrineholms kommuns. Informationssäkerhetspo licy. IZatrineholms kommun "- Antagen av kommunfullmäktige , 106

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Riktlinjer för IT i Halmstads kommun

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

Informationsklassning och systemsäkerhetsanalys en guide

IT-säkerhet Internt intrångstest

Organisation för samordning av informationssäkerhet IT (0:1:0)

Regler och instruktioner för verksamheten

IT-säkerhet Externt och internt intrångstest

Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet

Finansinspektionens författningssamling

Informationssäkerhet - Informationssäkerhetspolicy

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ Agenda

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Finansinspektionens författningssamling

Lokal informationssäkerhetspolicy, lokala informationssäkerhetsriktlinjer och anvisningar

Finansinspektionens författningssamling

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

IT-säkerhetspolicy. Antagen av kommunfullmäktige

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Informationssäkerhetspolicy

Verket för förvaltningsutvecklings författningssamling ISSN Utgivare: Lena Jönsson, Verva, Box 214, Stockholm

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Säkerhetsskyddsplan. Fastställd av kommunfullmäktige

Policy Document Number ESS Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet

Informationssäkerhetspolicy för Vetlanda kommun

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

Informations- och IT-säkerhet i kommunal verksamhet

Myndigheten för samhällsskydd och beredskaps författningssamling

BESLUT. Instruktion för informationsklassificering

Handlingsplan för persondataskydd

Handläggningsordning för förvaltning av IT-system vid Högskolan Dalarna

Vetenskapsrådets informationssäkerhetspolicy

Riktlinjer informationssäkerhet

IT-säkerhetsinstruktion Förvaltning

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

Informationssäkerhetspolicy för Nässjö kommun

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Verksamhetsplan Informationssäkerhet

Informationssäkerhetspolicy

I n fo r m a ti o n ssä k e r h e t

Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Intern styrning och kontroll

1(6) Informationssäkerhetspolicy. Styrdokument

Sedan år 2000 har Anita Eckersand arbetat inom Varbergs kommun.

SÅ HÄR GÖR VI I NACKA

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni Erik Norman 1(6)

STRÖMSTADS KOMMUN SÄKERHETSPOLICY. Antagen av Kommunfullmäktige

Informationssäkerhetspolicy för Umeå universitet

Informationssäkerhet, Linköpings kommun

RIKTLINJER FÖR IT-SÄKERHET

REGLEMENTE FÖR INTERN KONTROLL I YSTADS KOMMUN

Kommunal författningssamling för Smedjebackens kommun. Informationssäkerhetspolicy. 97 Dnr 2016/00447

Riktlinje för informationssäkerhet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Kommunstyrelsens förslag till antagande av reviderad informationssäkerhetspolicy Ärende 11 KS 2017/336

Instruktion enligt personuppgiftslagen (1998:204) för Eskilstuna kommunkoncern

SÄKERHETSPOLICY FÖR VÄSTERVIKS KOMMUNKONCERN ANTAGEN AV KOMMUNFULLMÄKTIGE , 8

Strategi Program Plan Policy» Riktlinjer Regler

Informationssäkerhetspolicy S/~LA KOMMUN KOMMUNFULLMÄKTIGE. Bi l aga KS 2015 / 135/1 INFORMATIONSSÄKERHETSPOLICY FÖR SALA KOMMUN

Sjunet Anslutningsavtal Förenklat regelverk för informationssäkerhet

IT-Säkerhetsinstruktion: Förvaltning

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad:

Informationssäkerhetspolicy

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet

Transkript:

Riktlinjer för IT-säkerhet i Halmstads kommun VER 1.0

Innehåll Inledning...3 Definition av IT-säkerhet...3 Omfattning...3 Vikten av IT-säkerhet...3 Mål för IT-säkerhetsarbetet...4 Ledning och ansvar...4 Kommunstyrelse...5 Nämnder och Styrelser...5 Medarbetare...6 Generella krav...6 Lagar och andra regelverk...6 Klassning av IT-system...7 IT-säkerhetskompetens...7 Säkerhet i tredjepartsavtal...7 Kontinuitetsplanering...7 Riskanalys...7 Efterlevnad...7 Instruktioner och anvisningar...7 2

Inledning Riktlinjer för IT-säkerhet i Halmstads kommun anger Halmstads kommuns övergripande vilja och inriktning för arbetet med IT-säkerhet. Definition av IT-säkerhet IT-säkerhet är en del av det övergripande begreppet Informationssäkerhet, vilket omfattar IT-säkerhet och administrativ säkerhet som är relaterad till hantering av information i olika verksamheter. IT-säkerhet är skydd av information i informationsbehandlande tekniska system. Administrativ säkerhet avser regler för personal, säkerhetsklassning av information, m.m. och omfattas således inte av denna riktlinje. IT-säkerhet ansvarar för att skydda Halmstad kommuns värdefulla tillgångar som information, hårdvara och mjukvara. IT-säkerhet ingår som en beståndsdel i det totala säkerhetsramverket och koncentrerar sig på hot och skydd förenade med användning av IT. IT-säkerhet handlar om att förstå hotbilden, hantera sannolikheter för att utsättas för skada samt att balansera kostnader för motmedel för skydd mot värdet av det man skyddar. Viktiga beståndsdelar är: upprätthållandet av sekretess, riktighet och tillgänglighet av information som hanteras av IT-systemen, de arbetssätt och rutiner som behövs för att hantera informationen samt skyddet av IT-systemen själva. Omfattning Riktlinjen omfattar Halmstads kommuns samtliga nämnder, styrelser och helägda bolag. Vikten av IT-säkerhet Kommunens verksamheter blir allt mer beroende av IT. Det handlar om IT som underlättar i vardagen i hanteringen av äldreomsorg, familjeomsorg, personal, elever, kommunens ekonomi, drift av fastigheter, vattenförsörjning och så vidare. Kommunen erbjuder allt fler elektroniska tjänster på Internet och förväntas öka tillgången de närmaste åren. De tjänster som exponeras externt på Internet är dessutom ofta kopplade till bakomliggande ITsystem. Det finns med andra ord en risk för intrång utifrån för att sabotera bakomliggande IT-miljö som är avgörande för kommunens verksamheter. Ett annat perspektiv är den egna personalen. Anställda som har tillgång till kommunens informationstillgångar och som kan åstadkomma skada av misstag eller med uppsåt. 3

Tillgång till kommunens informationstillgångar, oberoende av om det sker utifrån eller av den egna personalen, kan i sin tur leda till att sekretessbelagd information sprids till obehöriga, att informationen förvanskas eller förstörs och att Halmstads kommuns verksamheter står stilla om information och informationssystem inte är tillgänglig. Detta kan i sin tur leda till ekonomisk förlust, felaktiga beslut som leder till personligt lidande, skadat förtroende för kommunen, felbehandling av patienter, reprimander från myndigheter och så vidare. Med detta som bakgrund är det viktigt att IT-säkerheten är tillräckligt hög för att bemöta aktuell hotbild, att användarna har hög kunskap om IT-säkerhet och att det finns rutiner för att hantera säkerhetsincidenter och förändringar i IT-miljön så att inga säkerhetsluckor uppstår. Mål för IT-säkerhetsarbetet Arbetet med IT-säkerhet har två mål: Att upprätthålla informationens riktighet, sekretess och tillgänglighet Att inge förtroende hos medborgarna Dessa mål uppnås bland annat genom att: IT-miljön har rätt säkerhetsnivå Medarbetarna har kompetens om IT-säkerhet genom förståelse om vilka tillgångar som finns och riskerna för dessa. IT-leverantörer följer kommunens riktlinjer för IT-säkerhet Det finns rutiner och arbetssätt för att bland annat hantera användare, behörigheter, säkerhetsincidenter och förändringar i IT-miljön. Regelbundna revisioner av IT-säkerhetsarbetets effektivitet och ändamålsenlighet genomförs. Ledning och ansvar En fastställd ansvarsfördelning för IT-säkerheten är en förutsättning för att Halmstads kommun skall kunna leva upp till målen med IT-säkerheten. Säkerhetsansvaret följer den normala linjeorganisationen och således svarar Kommunstyrelse, nämnder, styrelser och alla medarbetare för vidmakthållandet av IT-säkerhetsriktlinjerna. 4

Detta kapitel avser att förtydliga ansvaret och arbetsformerna utifrån ett IT-säkerhetsperspektiv. KOMMUNSTYRELSE Kommunstyrelsen ansvarar för att styra, stödja och samordna IT-säkerheten inom kommunen, i enlighet med kommunstyrelsens reglemente. Kommunstyrelsen definierar utgående från dessa riktlinjer anvisningar och instruktioner. Dessa finns samlade under kapitel IT-säkerhet i Halmstad kommuns IT-handbok. Kommunstyrelsen följer upp genomförande och resultat genom samverkansforum. Kommunstyrelsen fastställer förteckningen över kommunens IT-system som finns i Halmstad kommuns IT-handbok. I denna framgår vem som är Systemägare och om systemen klassas som verksamhetskritiska. NÄMNDER OCH STYRELSER Nämnder och styrelser är Systemägare av IT-system enligt förteckningen över kommunens ITsystem som finns i Halmstad kommuns IT-handbok. För verksamhetsunika IT-system som endast används av enskild förvaltning eller bolag står den enskilda Nämnden eller Styrelsen som Systemägare. Systemägaren utser Systemansvarig som blir dess företrädare. Har nämnden/styrelsen inte utsett en Systemansvarig är förvaltnings-/bolagschefen dess företrädare. Nämnder och styrelser ansvarar för att de har tillgång till personal med rätt kompetens för att kunna hantera IT-säkerheten inom sin verksamhet och för att kunna delta i kommunens samverkansforum. Systemansvarig leder det operativa IT-säkerhetsarbetet för sitt/sina system på uppdrag av Systemägaren. Systemansvarig kan utse en Systemförvaltare som får det övergripande ansvaret för att de olika IT-systemens tekniska delar fungerar. Rollen som Systemförvaltare innebär främst att hantera systemtekniska frågor. Systemansvarig kan även utse en Systemadministratör som, tillsammans med Systemförvaltaren, ansvarar för att den dagliga driften upprätthålls enlig överenskommelse med Systemansvarig. Rollen som Systemadministratör innebär framför allt att hantera användarrelaterade frågor. 5

MEDARBETARE Varje enskild medarbetare har ett eget ansvar att jobba efter de antagna ITsäkerhetsriktlinjerna. Generella krav Medarbetare och IT-leverantörer skall följa kommunens riktlinjer för IT-säkerhet. IT-säkerhet skall alltid vägas mot aktuell hotbild, användbarhet och kostnad. Förändringar i verksamhetskritiska IT-system skall genomföras enligt rutin för ändringshantering. Verksamhetskritiska IT-system skall genomgå en systemsäkerhetsanalys. IT-säkerheten skall regelbundet följas upp och kontrolleras. IT-säkerhetsarbetet skall baseras på aktuella och vedertagna standarder ex. ISO 27000. LAGAR OCH ANDRA REGELVERK Ramarna för Halmstads kommuns IT-säkerhetsarbete sätts utifrån aktuell hotbild samt lagar och andra regelverk framför allt Offentlighets- och sekretesslagen samt Personuppgiftslagen. Dessa anger villkoren för övergripande säkerhetskrav som ställs på verksamheten och därmed även på hanteringen av informationen i IT-systemen. Detta omfattar bland annat: Skyddet av den personliga integriteten Sekretessbelagd information skall skyddas mot otillbörlig åtkomst Olika intressenters krav på korrekt information och allmänhetens lagliga rätt till insyn i offentliga handlingar. Speciallagstiftning (ex. Lagen om elektronisk kommunikation, Säkerhetsskyddslagen, Lagen om skydd av företagshemligheter och Brottsbalken) 6

KLASSNING AV IT-SYSTEM Vissa IT-system är en förutsättning för att kommunens verksamhet kan bedrivas och klassas som verksamhetskritiska. Dessa skall vara identifierade och förtecknade. Av förteckningen skall framgå vem som är Systemägare. För verksamhetskritiska IT-system skall Systemägaren genomföra och dokumentera en systemsäkerhetsanalys. Denna skall uppdateras vid förändringar som kan påverka säkerheten. IT-SÄKERHETSKOMPETENS All personal ska ha den grundläggande kompetensnivån som behövs för att upprätthålla IT-säkerheten. Systemägaren avgör vad som är grundläggande kompetensnivå och initierar vid behov utbildning. SÄKERHET I TREDJEPARTSAVTAL Kommunen ansvarar för IT-säkerheten vid kundkontakt och tecknande av tredjepartsavtal. Det innebär att IT-leverantörer skall vara identifierade och att det skall finnas arbetssätt och rutiner för att hantera dem på ett enhetligt sätt. KONTINUITETSPLANERING Kontinuitetsplaner för verksamhetskritiska system skall finnas. Dessa skall minska sårbarheten och säkra IT-driften i händelse av störningar, vara baserade på verksamhetens krav och vara integrerade med verksamheternas övergripande kontinuitetsplaner. Systemägaren ansvarar för att kontinuitetsplaner finns. RISKANALYS En övergripande riskanalys för kommunens IT-säkerhet skall upprätthållas. EFTERLEVNAD Granskningar och skyddsåtgärder av större betydelse skall redovisas till kommunens ledning. Instruktioner och anvisningar Instruktioner och anvisningar finns samlade under kapitel IT-säkerhet i Halmstad kommuns IThandbok. 7

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss