Informationssäkerhetspolicy



Relevanta dokument
Informationssäkerhet - Informationssäkerhetspolicy

RIKTLINJER FÖR IT-SÄKERHET

IT-säkerhetspolicy Instruktion Kommunfullmäktige. Senast reviderad Beskriver IT-säkerhetarbetet.

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

IT-Säkerhetspolicy för Munkfors, Forshaga, Kils och Grums kommun

EDA KOMMUN. nformationssäkerhet - Informationssäkerhetspolicy

Informationssäkerhetspolicy

INFORMATIONSSÄKERHET 1 INLEDNING MÅL FÖR IT-SÄKERHETSARBETET... 2

Informationssäkerhetspolicy

IT-säkerhetspolicy. Antagen av kommunfullmäktige

Riktlinjer för Informationssäkerhet Falkenbergs Kommun Kommunledningskontoret

Informationssäkerhetspolicy för Nässjö kommun

IT-säkerhetspolicy. Fastställd av KF

1 (5) Informationssäkerhetspolicy Informationssäkerhetspolicy. Ver 3.0

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

IT-Säkerhetsinstruktion: Förvaltning

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

IT-säkerhetsinstruktion Förvaltning

IT-säkerhetspolicy. Finspångs kommun Finspång Telefon Fax E-post: Webbplats:

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhetspolicy för Ånge kommun

Policy för informationssäkerhet

Katrineholms kommuns. Informationssäkerhetspo licy. IZatrineholms kommun "- Antagen av kommunfullmäktige , 106

FÖRFATTNINGSSAMLING BESLUT GÄLLER FR FLIK SID Kf 83/ Kf IT-säkerhetspolicy

Informationssäkerhetspolicy för Vetlanda kommun

Informationssäkerhetspolicy S/~LA KOMMUN KOMMUNFULLMÄKTIGE. Bi l aga KS 2015 / 135/1 INFORMATIONSSÄKERHETSPOLICY FÖR SALA KOMMUN

SÄKERHETSFÖRESKRIFTER FÖR FÖRVALTNING AV IT-SYSTEM

IT-SÄKERHETSPOLICY. Stadskontoret. 1 Inledning Definition Omfattning Mål för IT-säkerhetsarbetet... 2

IT-säkerhetspolicy R

Policy och strategi för informationssäkerhet

Informationssäkerhetspolicy

1 INLEDNING ALLMÄNT OM INFORMATIONSSÄKERHET MÃL FÖRKOMMUNENS lnformationssäkerhetsarbete ROLLER OCH ANSVAR...

Informationssäkerhetspolicy

Informationssäkerhetspolicy IT (0:0:0)

Dnr

Organisation för samordning av informationssäkerhet IT (0:1:0)

IT-verksamheten, organisation och styrning

Kommunal författningssamling för Smedjebackens kommun. Informationssäkerhetspolicy. 97 Dnr 2016/00447

Regler och instruktioner för verksamheten

Kommunstyrelsens förslag till antagande av reviderad informationssäkerhetspolicy Ärende 11 KS 2017/336

Informationssäkerhetspolicy för Ystads kommun F 17:01

Riktlinjer för säkerhetsarbetet i Älvsbyns kommun

Policy Document Number ESS Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet

Informationssäkerhetspolicy

Informationssäkerhetspolicy för Katrineholms kommun

POLICY INFORMATIONSSÄKERHET

IT säkerhetsinstruktion: Förvaltning Organisationen Svenljunga kommun

Informationssäkerhetspolicy. Linköpings kommun

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUN

Informationssäkerhetspolicy

Informationssäkerhetspolicy KS/2018:260

Informationssäkerhetsanvisningar Förvaltning

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Informationssäkerhetspolicy inom Stockholms läns landsting

INFORMATIONSSÄKERHET 1 INLEDNING MÅL FÖR IT-SÄKERHETSARBETET... 2

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

1 (7) Arbetsgången enligt BITS-konceptet

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUNS NÄTVERK 1 INLEDNING BAKGRUND...1

1(6) Informationssäkerhetspolicy. Styrdokument

Policy för informations- säkerhet och personuppgiftshantering

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun

Bilaga till rektorsbeslut RÖ28, (5)

Verket för förvaltningsutvecklings författningssamling ISSN Utgivare: Lena Jönsson, Verva, Box 214, Stockholm

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

IT-Säkerhetsinstruktion:

Informationssäkerhetspolicy

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Riktlinjer för IT och informationssäkerhet - förvaltning

Informationssäkerhetspolicy

Svar på revisionsskrivelse informationssäkerhet

Informationssäkerhet, Linköpings kommun

Handläggningsordning för förvaltning av IT-system vid Högskolan Dalarna

IT-Säkerhetsinstruktioner: Förvaltning

Välkommen till enkäten!

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

SÄKERHETSPOLICY FÖR VÄSTERVIKS KOMMUNKONCERN ANTAGEN AV KOMMUNFULLMÄKTIGE , 8

Myndigheten för samhällsskydd och beredskaps författningssamling

Myndigheten för samhällsskydd och beredskaps författningssamling

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Informationssäkerhetspolicy

Informations- och IT-säkerhet i kommunal verksamhet

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Myndigheten för samhällsskydd och beredskaps författningssamling

Grundläggande IT-strategi för Falkenbergs kommun Kommunledningskontoret IT-avdelningen

Informationssäkerhet Riktlinje Förvaltning

Åstorps kommuns Övergripande IT-policy för Åstorps kommun

Riktlinjer för IT-säkerhet i Halmstads kommun

VÄGLEDANDE RÅD OCH BESTÄMMELSER FÖRVALTNING & DRIFT AV IT INOM TIMRÅ KOMMUN

Transkript:

2006-09-07 Informationssäkerhetspolicy Antagen av kommunfullmäktige 2006-09-28, 140

Innehåll 1 INLEDNING...3 2 MÅL FÖR INFORMATIONSSÄKERHETSARBETET...4 2.1 LÅNGSIKTIGA MÅL...4 2.2 ÅRLIGA MÅL...4 3 ORGANISATION, ROLLER OCH ANSVAR...5 3.1 ÖVERGRIPANDE ANSVAR...5 3.2 ROLLER OCH ANSVAR...5 3.2.1 Systemägare...5 3.2.2 Verksamhetsansvariga...5 3.2.3 Systemansvarig...6 3.2.4 IT-chef...6 3.2.5 Systemtekniker...6 3.2.6 Användare...6 3.2.7 Informationssäkerhetsansvarig...6 4 KONTINUITETSPLANERING...7 5 DRIFTGODKÄNNANDE AV IT-SYSTEM...7 6 REVIDERING OCH UPPFÖLJNING...7 2 (7)

1 Inledning Denna Informationssäkerhetspolicy utgör det övergripande dokumentet för hur informationssäkerheten skall regleras inom Värnamo kommun. Kommunledningen har här reglerat ansvar och inriktning både beträffande befintliga system och beträffande system som kommer att installeras i framtiden. Säkerhetsarbetet har sin utgångspunkt i rekommendationer och anvisningar från Krisberedskapsmyndigheten, KBM. I rekommendationen BITS, basnivå för informationssäkerhet, fastlägger man grundkraven för datorsystem som är en förutsättning för en organisations verksamhet även under fredstida kriser. Bakgrunden till Informationssäkerhetspolicyn är att datasystemen är en viktig förutsättning för att den dagliga verksamheten inom Värnamo kommun skall fungera. Krav ställs dels på att systemen skall ha en hög tillförlitlighet, i vissa fall ställs också sekretesskrav och nästan alltid är hög tillgänglighet en förutsättning för att man skall kunna utföra sina arbetsuppgifter. Kommunen har dessutom en viktig roll i samband svåra påfrestningar vid extraordinära händelser. Under dessa omständigheter kan det på vissa system ställas högre krav än normalt medan andra system inte kommer att behövas alls. Dessutom skall i många fall samverkan med andra myndigheter ske. Det är viktigt att poängtera att detta dokument inte upphäver det normala linjeansvaret. Det är alltid ledningen som har det övergripande ansvaret för ett datasystem. Dessa s.k. systemägare ansvarar för att upprätta systemsäkerhetsplaner för sina system. Systemsäkerhetsplanerna kommer dessutom att underlätta för den centrala IT-driften eftersom här regleras vilka krav verksamheten ställer och vad som skall utföras. Alla system skall driftgodkännas, dvs. systemägare skall tillsammans med den centrala driftpersonalen verifiera att de krav som ställs också verkligen uppfylls. För att kunna göra detta måste systemsäkerhetsplanen kunna brytas med till en mycket konkret driftinstruktion. Informationssäkerhetspolicy är en del av organisationens IT-verksamhet och redovisar ledningens viljeinriktning och stöd för informationssäkerhetsarbetet och syftar till att klarlägga: mål för informationssäkerhetsarbetet organisation, ansvar och roller inom informationssäkerhetsområdet riktlinjer för områden av särskild betydelse Policyn konkretiseras i Säkerhetsinstruktionerna, Förvaltning, Drift och Användare samt i Systemsäkerhetsplaner. Informationssäkerhetspolicy Säkerhetsinstruktion Förvaltning Säkerhetsinstruktion Drift Säkerhetsinstruktion Användare Systemsäkerhetspla Bild 1 Styrande dokument Säkerhetsinstruktionerna fastställs enligt anvisningar under punkt 4. Ledningen ska utse systemansvariga för samhällsviktiga system och/eller verksamhetskritiska system IT-system. 3 (7)

2 Mål för informationssäkerhetsarbetet 2.1 Långsiktiga mål De långsiktiga målen för informationssäkerhetsarbete är att säkerställa att Värnamo kommun kan tillhandahålla relevant information som: endast delges behöriga personer och kan levereras vid rätt tidpunkt och till skäliga kostnader (sekretess) är riktig, komplett och aktuell (riktighet) efterfrågas och som organisationen har ett ansvar att tillhandahålla (tillgänglighet) Målen för Värnamo kommuns informationssäkerhetsarbete är att: samtliga datasystem inom Värnamo kommun skall uppnå minst nivån för bassäkerhet för informationssäkerhet (BITS), för varje samhällsviktigt/verksamhetskritiskt datasystem skall, utöver bassäkerheten, verksamhetsrelaterade krav och hotrelaterade krav fastställas i en systemsäkerhetsplan, säkerhetsåtgärder i datasystemen utformas och förvaltas på ett sådant sätt att kraven uppfylls, en årlig uppföljning och kontroll av informationssäkerheten skall ske, bl.a. som underlag för verksamhetsplanering, varje samhällsviktigt datasystem skall formellt driftgodkännas samt Värnamo kommun skall kunna utföra sina uppgifter på ett tillfredsställande sätt även vid extraordinära händelser och höjd beredskap. För att uppnå dessa mål ska organisationens informationssäkerhetsarbete bedrivas så att: lagar och föreskrifter följs det stöder organisationens samlade utvecklingsarbete det förebygger oväntade händelser i IT-systemen som kan leda till negativa konsekvenser det säkrar en effektiv informationsförsörjning som bidrar till ökat skydd och stöd för medarbetare, samverkande partners och tredje man alla investeringar både i form av information (data) och teknisk utrustning skyddas i tillräcklig grad organisationens information ses som en tillgång och skyddas i paritet med dess värde all personal ges kunskap om gällande informationssäkerhetsregler det finns tillgång till en gemensam, säker och väl definierad infrastruktur för extern och intern datakommunikation hotbilden för varje enskilt samhällsviktigt/verksamhetskritiskt IT-system analyseras fortlöpande samtliga samhällsviktiga och verksamhetskritiska IT-system som finns inom organisationen ska vara identifierade och uppfylla basnivån för informationssäkerhet enligt BITS för de samhällsviktiga och verksamhetskritiska IT-systemen ska en systemsäkerhetsplan vara upprättad i enlighet med KBM:s säkerhetsguide. Planen ska utgöra underlag för systemägarens beslut om driftgodkännande 2.2 Årliga mål Informationssäkerhetsarbetet ska bedrivas som en integrerad del av organisationens normala verksamhet. Årliga mål för arbetet ska därför beslutas och framgå av verksamhetsplaneringen. För de årliga målen bör anges: 4 (7)

vad ska göras under året tidplan (när och hur, sluttidpunkt) resurser för arbetet (personella och ekonomiska) när och hur uppföljning, utvärdering och avrapportering ska ske när och hur organisationens medarbetare ska informeras och utbildas. För att uppnå de årliga målen är det viktigt att gällande lagar, föreskrifter och författningar följs all personal har kunskap om Värnamo kommuns informationssäkerhetsregler 3 Organisation, roller och ansvar 3.1 Övergripande ansvar Klart definierade ansvarsgränser och en tydlig organisation är en avgörande förutsättning för att Värnamo kommun skall kunna upprätthålla en god drift- och datasystemsäkerhetsnivå, samt leva upp till de krav som ställs i Informationssäkerhetspolicyn. Säkerhetsansvaret följer den normala linjeorganisationen. Var och en, som är ansvarig för någon del av verksamheten, ansvarar också för informationssäkerheten inom sitt område. 3.2 Roller och ansvar Organisation, roller och fördelning av ansvar ska säkerställa att ett IT-system kan administreras och hanteras på ett sådant sätt att det under hela sin livstid bidrar till att stödja avsedd verksamhet och uppfylla Informationssäkerhetspolicyns mål. Detta innebär att ett IT-system med alla dess delar är en resurs i en verksamhet på samma sätt som personal, lokaler, kontorsmaterial mm. Den interna organisationen för informationssäkerhetsarbetet, roller, fördelning av ansvar och arbetssätt framgår av Säkerhetsinstruktion: Förvaltning. 3.2.1 Systemägare Systemägaren är respektive nämnd, vilka har det övergripande ansvaret för att datasystemet förvaltas på för verksamheten bästa sätt. Systemägaren fattar de avgörande besluten om datasystemets ny-, vidareutveckling eller avveckling. 3.2.2 Verksamhetsansvariga Det operativa ansvaret för att datasystemen uppfyller verksamhetens krav vilar på verksamhetsansvariga, till exempel förvaltningschef/funktionsansvarig. I detta ansvar ingår att bedöma den egna verksamhetens krav på säkerhet avseende sekretess, tillförlitlighet, tillgänglighet, spårbarhet samt att personalen har tillräckliga kunskaper för att hantera datasystemet på ett säkert sätt. 5 (7)

3.2.3 Systemansvarig Systemansvarig är en tjänsteman som genom delegation från systemägaren fått i uppdrag att bereda systemärenden för förvaltningsledningen samt att svara för administration, förvaltning och användning av ett IT-system i verksamheten. Systemansvarigs ansvar och arbetsuppgifter bör beskrivas i befattningsbeskrivning. Om delegation inte skett till enskild tjänsteman är myndigheten ansvarig för systemförvaltningen. 3.2.4 IT-chef IT-chef, har det övergripande ansvaret för Värnamo kommuns IT-infrastruktur och att de olika datasystemens tekniska delar fungerar. IT-chef samverkar med systemägare vad avser drift och resursfördelning för respektive datasystem. 3.2.5 Systemtekniker Systemtekniker innehar den tekniska kompetensen och ansvarar för att den dagliga driften upprätthålls enligt överenskommelse mellan systemägaren och IT-ansvarig. Systemtekniker utgör utpekad person/personer på Värnamo kommuns IT-avdelning 3.2.6 Användare Varje användare ansvarar för att gällande regler och riktlinjer för informationssäkerhet följs. I detta ingår att noga ta del av och följa de säkerhetsregler som finns för de datasystem den enskilde användaren använder. 3.2.7 Informationssäkerhetsansvarig Informationssäkerhetsansvarig är Kommundirektören. Till sin hjälp har han/hon en Informationssäkerhetssamordnare vilken utgörs av IT-ekonomen på ekonomiavdelningen, vilken samordnar och understödjer arbetet med att uppnå säkerhetsplanens mål. Informationssäkerhetssamordnaren kan sägas arbeta som konsult åt verksamheten. Det är dock alltid upp till verksamheterna att välja på vilket sätt och med vilka resurser man vill uppnå målen. Vissa områden inom informationssäkerhet är av särskild betydelse för kommunens verksamhet. Av Säkerhetsinstruktionerna ska nedanstående områden och de särskilda riktlinjer, regler och rutiner som gäller för dessa framgå enligt följande: Säkerhetsinstruktion Förvaltning: Områdena behörighetsadministration (tilldelning, uppföljning och uppdatering av behörighet), loggning och spårbarhet, distansarbete och mobil datoranvändning, drift och förvaltning av IT-system, incidenthantering, tillträdesskydd, säkerhetskopiering, lagring, externa anslutningar, brandväggar användning av e-post och Internet. Fastställs av: Kommunstyrelsen 6 (7)

Säkerhetsinstruktion Drift: Områdena system- och driftdokumentation, förvaring av datamedia tillträdes- och brandskydd, elförsörjning, regler för säkerhetskopiering och förvaring av datamedia Fastställs av: Kommunstyrelsen Säkerhetsinstruktion Användare: Områdena informationsklassning, byte av lösenord, e- post, Internet, distansarbete och incidenter. Fastställs av: Kommunstyrelsen Systemsäkerhetsplan: Reglerar krav som ställs på enskilda system som är samhällsviktiga/verksamhetskritiska. Fastställs av: Respektive systemägare 4 Kontinuitetsplanering Av organisationens systemsäkerhetsplaner ska framgå de enskilda IT-systemens krav på avbrottsoch katastrofplanering. Kraven ska vara sammanställda i systemsäkerhetsplanen för den tekniska infrastrukturen. Se Säkerhetsinstruktion Förvaltning. 5 Driftgodkännande av IT-system Före systemägarens beslut om driftgodkännande ska en granskning göras för att kontrollera att säkerheten är tillgodosedd enligt kraven i systemsäkerhetsplanen. Beslutet dokumenteras i systemsäkerhetsplanen. Se Säkerhetsinstruktion Förvaltning. 6 Revidering och uppföljning Policy, Säkerhetsinstruktioner och Systemsäkerhetsplaner ska löpande följas upp och vid behov revideras. Se Säkerhetsinstruktion Förvaltning. 7 (7)

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss