Regler och instruktioner för verksamheten



Relevanta dokument
Informationssäkerhetsanvisningar Förvaltning

Riktlinjer för IT och informationssäkerhet - förvaltning

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

Informationssäkerhetspolicy för Ånge kommun

Ansvar och roller för ägande av information samt ägande och förvaltande av informationssystem i Umeå kommun

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

Riktlinjer för Informationssäkerhet Falkenbergs Kommun Kommunledningskontoret

Organisation för samordning av informationssäkerhet IT (0:1:0)

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

Informationssäkerhetspolicy

Informationssäkerhetspolicy för Katrineholms kommun

Informationssäkerhetspolicy

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Informationssäkerhetspolicy

IT-säkerhetspolicy Instruktion Kommunfullmäktige. Senast reviderad Beskriver IT-säkerhetarbetet.

Dnr

Informationssäkerhet - Informationssäkerhetspolicy

IT-säkerhetsinstruktion Förvaltning

IT-Säkerhetsinstruktion: Förvaltning

Informationssäkerhetspolicy

Katrineholms kommuns. Informationssäkerhetspo licy. IZatrineholms kommun "- Antagen av kommunfullmäktige , 106

Informationssäkerhetspolicy IT (0:0:0)

INFORMATIONSSÄKERHET 1 INLEDNING MÅL FÖR IT-SÄKERHETSARBETET... 2

Bilaga till rektorsbeslut RÖ28, (5)

Informationssäkerhetspolicy. Linköpings kommun

1 (5) Informationssäkerhetspolicy Informationssäkerhetspolicy. Ver 3.0

Kommunal författningssamling för Smedjebackens kommun. Informationssäkerhetspolicy. 97 Dnr 2016/00447

POLICY INFORMATIONSSÄKERHET

Informationssäkerhetspolicy för Ystads kommun F 17:01

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Ansvar och roller för ägande och förvaltande av informationssystem

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Informationssäkerhetspolicy inom Stockholms läns landsting

Riktlinjer. Informationssäkerhet och systemförvaltning

Informationssäkerhetspolicy

Policy och strategi för informationssäkerhet

1 (7) Arbetsgången enligt BITS-konceptet

Informationssäkerhetspolicy

1(6) Informationssäkerhetspolicy. Styrdokument

IT-säkerhetspolicy. Fastställd av KF

Riktlinjer för IT-säkerhet i Halmstads kommun

Informationssäkerhetspolicy

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhetspolicy S/~LA KOMMUN KOMMUNFULLMÄKTIGE. Bi l aga KS 2015 / 135/1 INFORMATIONSSÄKERHETSPOLICY FÖR SALA KOMMUN

Informationssäkerhet Riktlinje Förvaltning

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Informationssäkerhetspolicy

Reglemente för internkontroll

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Handläggningsordning för förvaltning av IT-system vid Högskolan Dalarna

Intern kontroll. Riktlinjer av Kommunstyrelsen 70. Kommunövergripande. Tills vidare. Kommunchefen

Handlingsplan för persondataskydd

EDA KOMMUN. nformationssäkerhet - Informationssäkerhetspolicy

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

IT-SÄKERHETSPOLICY. Stadskontoret. 1 Inledning Definition Omfattning Mål för IT-säkerhetsarbetet... 2

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Informationssäkerhetspolicy för Nässjö kommun

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

Ledningssystem för Informationssäkerhet

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Policy för informationssäkerhet

1 INLEDNING ALLMÄNT OM INFORMATIONSSÄKERHET MÃL FÖRKOMMUNENS lnformationssäkerhetsarbete ROLLER OCH ANSVAR...

Verket för förvaltningsutvecklings författningssamling ISSN Utgivare: Lena Jönsson, Verva, Box 214, Stockholm

Dnr UFV 2017/93. Informationssäkerhet. Riktlinjer för säkerhetsarbetet vid Uppsala universitet. Fastställda av Universitetsdirektören

Myndigheten för samhällsskydd och beredskaps författningssamling

Informationssäkerhetspolicy

Informationssäkerhetspolicy

Svar på revisionsskrivelse informationssäkerhet

Informationssäkerhetspolicy KS/2018:260

Finansinspektionens författningssamling

Riktlinjer för säkerhetsarbetet i Älvsbyns kommun

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

SÄKERHETSFÖRESKRIFTER FÖR FÖRVALTNING AV IT-SYSTEM

Informationssäkerhetsinstruktion: Förvaltning (Infosäk F)

Ledningssystem för Informationssäkerhet

IT-plan för Söderköpings kommun

Ansvarsförbindelse för Stockholms Läns Landstings Elektroniska Katalog (EK)

Informationssäkerhetsgranskning. ISO ledningssystem för informationssäkerhet

Verksamhetsplan Informationssäkerhet

Finansinspektionens författningssamling

Koncernkontoret Enheten för säkerhet och intern miljöledning

Informationssäkerhet - Instruktion för förvaltning

Informationsklassning och systemsäkerhetsanalys en guide

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Informationssäkerhetspolicy för Umeå universitet

Punkt 19 Riktlinje för regelefterlevnad

Kommunstyrelsens förslag till antagande av reviderad informationssäkerhetspolicy Ärende 11 KS 2017/336

Informationssäkerhetspolicy för Vetlanda kommun

Reglemente Fastställd i Kommunfullmäktige

I Central förvaltning Administrativ enhet

Denna föreskrift riktar sig till anställda vid Stockholms universitet samt till personer som arbetar på uppdrag av universitetet.

Bilaga 1 - Handledning i informationssäkerhet

Finansinspektionens författningssamling

Transkript:

Informationssäkerhet Regler och instruktioner för verksamheten Dokumenttyp Regler och instruktioner Dokumentägare Kommungemensam ITsamordning Dokumentnamn Regler och instruktioner för verksamheten Dokumentansvarig Kommungemensam ITsamordning Fastställd/Upprättad Operativa ITgruppen 2009-05-12 Reviderad Stadsdir. Ledningsgrp 2013-01-18 Version 2.0 Giltighetstid t.v Dokumentinformation Regler och instruktioner för verksamheten. Ersätter dokumentet Informationssäkerhetsinstruktion Förvaltning. Detta dokument ingår som deldokument i kommunens informationssäkerhetsarbete och följer kommunens fastställda informationssäkerhetspolicy. Revidering av detta dokument beslutas av Stadsdirektörens ledningsgrupp.

2/7 1. Syfte... 3 1.1 Målgrupp... 3 1.2 Avgränsning... 3 2 Organisation av informationssäkerheten... 3 2.1 Organisationsskiss... 3 2.2 Roller och ansvar avseende informationssäkerhet... 4 2.2.1 Informationssäkerhetssamordnare... 4 2.2.2 Juridisk Systemägare... 4 2.2.3 Operativ Systemägare... 4 2.2.4 Systemförvaltare... 4 2.2.5 Systemansvarig/Systemadministratör... 4 2.2.6 Systemdriftsansvarig... 4 2.2.7 IT-strateg... 4 2.2.8 IT- chef... 4 3 Hantering av informationstillgångar... 4 3.1 Ansvar, ägarskap och förteckning av tillgångar... 4 3.2 Klassificering av information... 5 3.3 Ansvarig för tillgångar... 5 3.4 Mobil datoranvändning... 5 3.5 Styrning av användares åtkomst... 5 4 Personalresurser och säkerhet... 5 4.1 Kontroll av personal och disciplinära åtgärder... 5 4.2 Avtalsförbindelse med konsulter... 5 4.3 Utbildning av personal... 5 4.4 Avslutning av anställning... 6 5 Hantering av informationssäkerhetsincidenter... 6 5.1 Rapportering av säkerhetshändelser och svagheter... 6 5.2 Hantering av informationssäkerhetsincidenter och förbättringar... 6 5.3 Hantering vid misstanke om brott... 6 6 Anskaffning, utveckling och underhåll av informationssäkerhet... 6 6.1 Inför anskaffning... 6 6.2 Överlämning till driftorganisation... 6 6.3 Driftgodkännande... 7 6.4 Säkerhetsanalys... 7 6.5 Kontroll av tjänsteleverantör... 7 6.6 Säkerhet i utvecklings- och underhållsprocesser... 7 7 Revidering och uppföljning... 7

3/7 1. Syfte Information är en av kommunens viktigaste tillgångar. För att skydda denna krävs ett säkerhetsmedvetande hos alla berörda. Detta dokument utgår från policyn och redovisar kommunens interna organisation för informationssäkerhet samt vilka områden som kommunens verksamhetsledningar har ansvar för. 1.1 Målgrupp Målgruppen för detta dokument är samtliga verksamheter inom Umeå kommun. 1.2 Avgränsning Om det upplevs svårt att uppfylla kraven i detta dokument skall dokumentägaren kontaktas En verksamhet kan i samråd med Kommungemensam IT-samordning få möjlighet att fastställa egna regler och instruktioner. Dessa får inte påverka andra verksamheters säkerhetsnivå på ett negativt sätt. Anledning till avvikelse skall skriftligen dokumenteras. Dokumentet gäller ej bolag inom Umeå kommun som har egna fastställda regler och instruktioner inom detta område. 2 Organisation av informationssäkerheten Tekniska nämnden har ansvar för generella säkerhets- och IT-frågor i Umeå kommun.utifrån detta fattar tekniska nämnden beslut om hur övergripande informationssäkerhetsarbetet ska bedrivas. Kommunövergripande IT-samordning hanterar och utreder generella frågor avseende anskaffning, drift, förvaltning och avveckling av informationshanteringsresurser. Inom ramen för detta ingår frågor som avser kommunövergripande informationssäkerhetsfrågor. Frågor lyfts, utifrån frågans karaktär, för beredning till IT-strateg för beslut av stadsdirektörens ledningsgrupp. I vissa fall till ansvarig nämnd. 2.1 Organisationsskiss

4/7 2.2 Roller och ansvar avseende informationssäkerhet 2.2.1 Informationssäkerhetssamordnare Samordnare leder och samordnar arbetet med att uppnå informationssäkerhetspolicyns mål. Samordnare initierar och stödjer systemägarnas/systemförvaltarnas arbete. 2.2.2 Juridisk Systemägare Nämnd/styrelse (myndigheten) har ett övergripande ansvar för alla aktiviteter som bedrivs inom resp. ansvarsområde utifrån reglemente och delegationer (6 kap. 7, Kommunallagen). 2.2.3 Operativ Systemägare Verksamhetsansvarig chef har ett övergripande operativt informations- och systemägaransvar för informationssystem som används i organisationen. Verksamhetsansvarig chef ansvarar för att en organisation för systemförvaltning inrättas enligt den modell som beskrivs i dokumentet Systemförvaltning i Umeå kommun. 2.2.4 Systemförvaltare Systemförvaltaren utses av systemägaren och ansvarar för förvaltningen av aktuellt informationssystem. 2.2.5 Systemansvarig/Systemadministratör Systemansvarig/systemadministratör deltar i säkerhetsarbete som berör enskilt informationssystem. 2.2.6 Systemdriftsansvarig Utsedd systemdriftsansvarig hos IT och telefoni eller hos annan leverantör innehar den tekniska kompetensen, och ansvarar tillsammans med systemförvaltare och systemansvarig för att den dagliga driften upprätthålls enligt överenskommelse. 2.2.7 IT-strateg Kommunövergripande IT-samordning har det operativa ansvaret för genomförande av övergripande säkerhetsarbete som exempelvis definiera kommungemensamma informationssäkerhetskrav. Dessa krav riktas mot externa och interna leverantörer samt verksamheter inom Umeå kommun. 2.2.8 IT- chef Samordnings- och ledningsansvar för kommunövergripande informationssäkerhetsarbete innehas av ITchef. Ansvarar för att upprätta och uppfylla kommunens plan för kontinuitet och drift. 3 Hantering av informationstillgångar 3.1 Ansvar, ägarskap och förteckning av tillgångar Alla system som är av vikt för verksamhetens genomförande skall ha en systemägare som är ansvarig för att informationstillgångar är rätt klassade och har det skydd som fastställts. Systemägaren utser systemförvaltare som är den som operativt förvaltar systemet. Samtliga IT-system som elektroniskt lagrar information och där informationen ägs av kommunal myndighet skall i princip registreras i systemet RegIT. Alla system som hanterar personuppgifter skall registreras i RegIT. Förändringar, omflyttning och överlåtelse av tillgång får inte ske utan samråd med den ansvarige systemägaren.

5/7 3.2 Klassificering av information Umeå kommun följer den modell för klassificering som MSB 1 rekommenderar. Direktlänk till dokumentation. Systemägaren är ansvarig för att informationstillgångar är rätt klassade och har det skydd som fastställts. 3.3 Ansvarig för tillgångar Systemägaren är ansvarig för att det finns tydliga rutiner hur leverantörer, konsulter etc. skall få använda utrustning och vilken information som man kan ta del av. Ett avtal med tydliga villkor för vad som gäller bör underecknas i de fall där det är relevant. Det är också viktigt att tydliggöra hur känslig information skall hanteras av medarbetare. 3.4 Mobil datoranvändning Verksamhetsansvarig chef beslutar om ett informationssystems information ska få hanteras på distans med stationär eller mobil utrustning. 3.5 Styrning av användares åtkomst Närmaste chef fattar beslut om behörighet till informationssystem och är också ansvarig för att beställa avvaktivering av behörigheter. 4 Personalresurser och säkerhet 4.1 Kontroll av personal och disciplinära åtgärder I samband med anställning skall medarbetaren göras medveten om vilket ansvar och befogenheter som är kopplade till den tjänst han/hon tillträder. Detta skall tydligt framgå i anställningsvillkoren och verifieras i samband med det årliga medarbetarsamtalet. Skulle den anställde bryta mot uppsatta regler kan det bli aktuellt med disciplinära åtgärder. Läs mer om anställning och upphörande av anställning under personalfrågor för ledare. 4.2 Avtalsförbindelse med konsulter Konulter skall alltid underteckna en avtalsförbindelse i samband med utförande av konsulttjänster inom Umeå kommun. Direktlänk till avtalsförbindelse 4.3 Utbildning av personal Verksamheten är skyldig att vid nyanställning utbilda och informera medarbetaren om skyldigheter, regler och instruktioner som gäller: Informationssäkerhetens betydelse för verksamheten Innehållet i Informationssäkerhetspolicyn Informationssäkerhet regler och instruktioner för användare. Närmaste chef eller den som får uppgiften på delegation ansvarar för att nya användare ges grundläggande informationssäkerhetsutbildning före tilldelning av behörighet i nätverket.

6/7 4.4 Avslutning av anställning Systemägaren är ansvarig för att hantera behörigheter, passerkort, utrustning, smarta kort etc. utifrån fastställda rutiner som gäller vid avslutning av anställning. 5 Hantering av informationssäkerhetsincidenter 5.1 Rapportering av säkerhetshändelser och svagheter Vid misstanke om intrång eller andra incidenter ska användare agera enligt dokumentet Informationssäkerhet regler och instruktioner för användare. Detta innebär att användaren skall: Omedelbart anmäla förhållandet närmaste chef och till Kundtjänst på IT och Telefoni tel 161134 Dokumentera alla iakttagelser i samband med upptäckten och försöka fastställa om kvaliteten på informationen har påverkats. 5.2 Hantering av informationssäkerhetsincidenter och förbättringar Kommungemensam IT-samordning sammanställer en incidentrapport en gång år som rapporteras till Stadsdirektörens ledningsgrupp och till berörda verksamheter. Rapporten skall omfatta Intrång och försök till intrång Brott mot lagstiftning och internt regelverk Incidenter som orsakar eller skulle kunna orsaka betydande avbrott och störningar Konsekvenser och förslag till åtgärder efter intrång eller funktionsfel. 5.3 Hantering vid misstanke om brott Vid misstanke om brott gäller följande se dokument IT-relaterad brottslighet/handlingsplan 6 Anskaffning, utveckling och underhåll av informationssäkerhet 6.1 Inför anskaffning Inför nyanskaffning och införande av ett informationssystem ska verksamhetsansvarig i samråd med IT och Telefoni utforma en projektplan för införandet. Denna plan ska minst omfatta: Verksamhetens beskrivning av behov och mål med anskaffningen Systemsäkerhetsanalys. Analysen syftar till att klarlägga säkerhetskraven på det system som planeras införas och den utökas därefter med en kravspecifikation som minst omfattar: o integrationskrav med andra system o krav på test o tidplan o personella och ekonomiska resurser o klarlägga behov av användarutbildning 6.2 Överlämning till driftorganisation Ansvarig för nyanskaffningsprojekt förbereder överlämnandet från test och utveckling till drift och verksamhet tillsammans med den tilltänkte systemägaren. Beslut om tidpunkt från vilken systemet

7/7 övergår från projekt till förvaltning fattas av systemägaren. I och med detta övergår ansvaret till systemägaren som då också övertar all dokumentation och upprättar en systemsäkerhetsanalys. 6.3 Driftgodkännande Driftgodkännande avser den process som syftar till att fastställa om ett informationssystem uppfyller ställda säkerhetskrav. Denna process omfattar följande steg: Systemägaren driftgodkänner informationssystemet efter genomförd systemsäkerhetsanalys Systemägaren koordinerar sina krav med informationssäkerhetssamordnare och nätverksansvarig Systemägaren gör underlag för beslut av nämnd eller styrelse om införande av informationssystemet 6.4 Säkerhetsanalys Säkerhetsanalysen består av två delar, riskanalys och riskutvärdering. Riskanalysen innebär att identifiera risker och därefter analysera riskerna som ligger till grund för hur risker skall hanteras. Resultatet av riskutvärderingen visar på vilka risker som man sedan anser sig behöva hantera. Åtgärden kan vara att minska risken eller helt eliminera den. Vilket val man gör är bereonde på uppskattad risknivå. 6.5 Kontroll av tjänsteleverantör Används externa leverantörer bör de risker som det kan innebära analyseras. Utfallet av en sådan analys bör ingå som en del i underlaget vid förhandlingar med leverantören. Detta är några områden som särskilt skall beaktas: Riktlinjer för säkerhet och metoder för kontroll av efterlevnad Avbrottsplan Incidenthantering Säkerhetsorganisation Acceptans av systemägare Beställare av leverantörers tjänster ska följa upp och granska att säkerhetsöverenskommelser följs. 6.6 Säkerhet i utvecklings- och underhållsprocesser Förslag om önskemål på förändringar i systemet lämnas till systemförvaltaren. Arbetet med förändring i system bedrivs enligt kommunens modell för systemförvaltning. 7 Revidering och uppföljning Respektive verksamhet har uppföljningsansvar för lokalt beslutade åtgärder och insatser och för att åtgärder vidas utifrån genomförd systemsäkerhetsanalyser. Systemägaren har det operativa ansvaret.

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss