INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2



Relevanta dokument
IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

IT-säkerhetspolicy. Fastställd av KF

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

INFORMATIONSSÄKERHET 1 INLEDNING MÅL FÖR IT-SÄKERHETSARBETET... 2

IT-SÄKERHETSPOLICY. Stadskontoret. 1 Inledning Definition Omfattning Mål för IT-säkerhetsarbetet... 2

Informationssäkerhetspolicy

Informationssäkerhetspolicy för Nässjö kommun

SÄKERHETSFÖRESKRIFTER FÖR FÖRVALTNING AV IT-SYSTEM

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

Policy Document Number ESS Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet

IT - SÄKERHETSPOLICY. Version 1,1

Riktlinjer. Informationssäkerhet och systemförvaltning

IT-Säkerhetsinstruktion: Förvaltning

IT-säkerhetsinstruktion Förvaltning

Riktlinjer för IT-säkerhet i Halmstads kommun

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Informationssäkerhetspolicy för Ånge kommun

IT-säkerhetspolicy Instruktion Kommunfullmäktige. Senast reviderad Beskriver IT-säkerhetarbetet.

Ansvar och roller för ägande av information samt ägande och förvaltande av informationssystem i Umeå kommun

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUNS NÄTVERK 1 INLEDNING BAKGRUND...1

IT-säkerhetspolicy. Finspångs kommun Finspång Telefon Fax E-post: Webbplats:

GENERELL SYSTEMSÄKERHETSPLAN FÖR FALKÖPINGS KOMMUN

Handläggningsordning för förvaltning av IT-system vid Högskolan Dalarna

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

Informationssäkerhetspolicy

IT-plan för Söderköpings kommun

IT säkerhetsinstruktion: Förvaltning Organisationen Svenljunga kommun

Informationssäkerhetspolicy

Regler och instruktioner för verksamheten

IT-säkerhetspolicy. Antagen av kommunfullmäktige

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhetspolicy för Vetlanda kommun

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

Bilaga till rektorsbeslut RÖ28, (5)

IT program för Mjölby kommun

IT-Säkerhetspolicy för Munkfors, Forshaga, Kils och Grums kommun

Riktlinjer för IT i Lilla Edets kommun. 2. Syftet med IT i Lilla Edets kommun

RIKTLINJER FÖR IT-SÄKERHET

Riktlinjer för Informationssäkerhet Falkenbergs Kommun Kommunledningskontoret

Åstorps kommuns Övergripande IT-policy för Åstorps kommun

Informationssäkerhetspolicy

Informationssäkerhet - Informationssäkerhetspolicy

Systemförvaltnings Modell Ystads Kommun(v.0.8)

IT-Säkerhetsinstruktioner: Förvaltning

Informationssäkerhetspolicy för Ystads kommun F 17:01

IT-Säkerhetsinstruktion:

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Informationssäkerhetspolicy inom Stockholms läns landsting

Organisation för samordning av informationssäkerhet IT (0:1:0)

IT-verksamheten, organisation och styrning

1 (5) Informationssäkerhetspolicy Informationssäkerhetspolicy. Ver 3.0

Finansinspektionens författningssamling

Informationssäkerhetspolicy IT (0:0:0)

e-södertälje En vision och strategi för hur IT möjliggör Södertäljes samhällsutveckling Medborgaren Föräldern Eleven Företagaren Kommunanställde

Informationssäkerhetspolicy

Verket för förvaltningsutvecklings författningssamling ISSN Utgivare: Lena Jönsson, Verva, Box 214, Stockholm

Informationssäkerhetspolicy

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Katrineholms kommuns. Informationssäkerhetspo licy. IZatrineholms kommun "- Antagen av kommunfullmäktige , 106

Riktlinjer informationssäkerhet

Myndigheten för samhällsskydd och beredskaps författningssamling

Riktlinjer för säkerhetsarbetet i Älvsbyns kommun

Ansvar och roller för ägande och förvaltande av informationssystem

Dnr

Varför IT-strategi. Mål och värderingar. IT-STRATEGI FÖR TIMRÅ KOMMUN. FÖRFATTNINGSSAMLING Nr KF 10 1 (7)

Informations- och IT-säkerhet i kommunal verksamhet

EDA KOMMUN. nformationssäkerhet - Informationssäkerhetspolicy

Informationssäkerhetspolicy KS/2018:260

Myndigheten för samhällsskydd och beredskaps författningssamling

Informationssäkerhetsanvisningar Förvaltning

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Informationssäkerhetspolicy

Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet

Policy och strategi för informationssäkerhet

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Informationssäkerhet, Linköpings kommun

FÖRSVARSMAKTENS INTERNA BESTÄMMELSER

1 (7) Arbetsgången enligt BITS-konceptet

Finansinspektionens författningssamling

Riktlinjer för IT och informationssäkerhet - förvaltning

Rikspolisstyrelsens författningssamling

Finansinspektionens författningssamling

Härjedalens Kommuns IT-strategi

RIKTLINJER. Riktlinjer för informationssäkerhet i Håbo kommun

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Riktlinjer för IT-utveckling

IT-säkerhetspolicy för Åtvidabergs kommun

Svar på revisionsskrivelse informationssäkerhet

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

GRUNDSÄKERHET. Allmänna råd. till föreskrifter om. för samhällsviktiga datasystem hos beredskapsmyndigheter. Utgåva 3, december 1999

Informationssäkerhetspolicy för Umeå universitet

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång Lomma Kommun

Strategi Program Plan Policy» Riktlinjer Regler

Dnr UFV 2017/93. Informationssäkerhet. Riktlinjer för säkerhetsarbetet vid Uppsala universitet. Fastställda av Universitetsdirektören

Transkript:

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 3 RIKTLINJER FÖR ATT UPPNÅ MÅLEN... 3 3.1 ALLMÄNT... 3 3.2 LEDNING OCH ANSVAR FÖR IT-SÄKERHET... 3 3.2.1 Systemägare... 3 3.2.2 Verksamhetsansvariga... 4 3.2.3 Systemansvarig... 4 3.2.4 IT-chefen... 5 3.2.5 Systemadministratör... 6 3.2.6 Användare... 6 3.2.7 IT-säkerhetsfunktion... 6 4 LAGAR OCH ANDRA REGELVERK... 7 5 GRUNDSÄKERHET IT... 7 6 IT-SÄKERHETSARBETET INOM... 7 7 DRIFTGODKÄNNANDE... 8 c:\documents and settings\mnn\lokala inställningar\temporary internet files\olk18\it-säkerhetsplan.doc

1 INLEDNING Denna säkerhetsplan anger Höganäs kommuns mål för IT-säkerheten i det administrativa nätverket samt riktlinjer för hur dessa skall uppnås. Säkerhetsplanen kompletteras med systemsäkerhetsplaner för de enskilda datasystemen. Det övergripande ansvaret för Höganäs kommun datasystem åvilar kommunstyrelsen. Det operativa ansvaret för att varje enskilt datasystem uppfyller verksamhetens krav på säkerhet följer linjeorganisationen. Följande definitioner gäller i samtliga IT-säkerhetsunderlag inom kommunen: Infrastruktur Utrustning t.ex. fiberkabel, routrar, switchar, hubbar, kontakter, nätverkskort mm. som krävs för att upprätta kontakt mellan användares arbetsplats och en server. Verksamhetssystem Ett förvaltningsspecifikt datorsystem t.ex AdeEko, Respons eller ProCapita. Standardsystem Program och utrustning som är generellt oavsett förvaltning. Som exempel kan nämnas Microsoft Office, Outlook eller Internet Explorer. Säkerhetsplanen har upprättats som ett led i IT-säkerhetsarbetet. Arbetet har baserats på föreskrifter och allmänna råd om grundsäkerhet för samhällsviktiga datasystem (FA22). 2 MÅL FÖR INFORMATIONSSÄKERHETSARBETET Målen för Höganäs kommuns informationssäkerhetsarbete är att: samtliga datasystem inom Höganäs kommun skall uppnå grundsäkerhet enligt FA22, för varje datasystem skall, utöver grundsäkerheten, verksamhetsrelaterade krav och hotrelaterade krav fastställas i en systemsäkerhetsplan, säkerhetsåtgärder i datasystemen utformas och förvaltas på ett sådant sätt att kraven uppfylls, nödvändig kontroll av informationssäkerheten skall ske, bl.a. som underlag för verksamhetsplanering, säkerheten för varje system skall gås igenom vart tredje år, varje datasystem skall formellt driftgodkännas samt Höganäs kommun skall kunna utföra sina uppgifter på ett tillfredsställande sätt även under höjd beredskap. INFORMATIONSSÄKERHET - Sida 2 -

3 RIKTLINJER FÖR ATT UPPNÅ MÅLEN 3.1 Allmänt För att uppnå målen krävs en effektiv samverkan mellan människor och teknik. Dessutom gäller att: gällande lagar, föreskrifter och författningar följs, all personal har kunskap om Höganäs kommuns informationssäkerhet, det finns tillgång till en gemensam, säker och väl definierad infrastruktur för datakommunikation, informationen skall vara tillgänglig löpande analysera hotbilden för varje enskilt datasystem 3.2 Ledning och ansvar för informationssäkerheten En fastställd ansvarsfördelning för datasystemsäkerheten är en avgörande förutsättning för Höganäs kommun att leva upp till sin säkerhetsplan. Säkerhetsansvaret följer den normala linjeorganisationen. Var och en, som är ansvarig för någon del av verksamheten, ansvarar också för informationssäkerheten inom sitt område. Nedan redovisas ansvarsfördelningen för olika rollinnehavare. I några fall kan samma person inneha flera av dessa roller, till exempel systemägare och verksamhetsansvarig. 3.2.1 Systemägare Systemägaren är förvaltningschefen som har det övergripande ansvaret inför ledningen för att datasystemet förvaltas på för verksamheten bästa sätt. Systemägaren fattar de avgörande besluten om datasystemets ny-, vidareutveckling eller avveckling inom ramen för resurstilldelningen för sin verksamhet. Systemägaren har, inom ramen för ledningens resurstilldelning, bl.a. ansvar för att säkerhetsinstruktion för datasystemet finns i de fall kraven överstiger grundsäkerhetskraven. Detta innebär att fastställa: en avbrottsplan för datasystemet dokumentation och användarhandledning för datasystemet vilket informationsinnehåll datasystemet skall ha organisation och befattningar som rör systemet vilka lagar och andra regelverk som gäller identifiera verksamhetens krav på datasystemet hotbilden för datasystemet INFORMATIONSSÄKERHET - Sida 3 -

Det innebär även att: att i samverkan med IT-avdelningen se till att systemet fungerar ihop med samverkade datasystem, att driftgodkänna datasystemet, att besluta om utbildning som rör systemet, att fatta beslut om utveckling av datasystemet ifråga om nya funktioner och samverka med IT-avdelningen då systemförändringar aktualiseras, att fatta beslut om systemets ekonomi vad som avser utveckling och användning samt tillsammans med IT-avdelningen vad som avser teknisk drift. Inom systemägarens område ligger också att svara för att behövliga licenser respektive eventuella tillstånd enligt datalagen, finns för datasystemet. 3.2.2 Verksamhetsansvariga Den verksamhetsansvarige ansvarar för själva informationen i systemet och att denna hanteras på ett från säkerhetssynpunkt tillfredställande sätt. Verksamhetsansvarig ansvarar för följande: vilka uppgifter som skall tillhandahållas enligt offentlighetsprincipen och hur detta skall ske, om och vilka delar av informationen som är sekretessbelagd, informationsinnehållet, beslut om enskilda användares behörighet till datasystemet, hur och av vem/vilka informationen skall registreras i systemet, att anmäla till systemansvarig när personal slutar eller av annat skäl skall ha ändrade behörigheter 3.2.3 Systemansvarig Systemansvariga och ersättare utses av systemägare eller verksamhetsansvarig och är de personer i berörd verksamhet som har ansvaret för den dagliga användningen av datasystemet. Systemansvariga samverkar med IT-avdelningens systemadministratör för att säkerställa en säker och rationell daglig drift av systemet. Systemansvariga har som uppgift att: Systemansvariga utses av systemägaren eller verksamhetsansvarig och är den person i berörd verksamhet som har ansvaret för den dagliga användningen av systemet. De systemansvariga samverkar med de systemadministratörerna d.v.s. de tekniskt ansvariga på IT-avdelningen för att säkerställa en säker och rationell drift av systemet. INFORMATIONSSÄKERHET - Sida 4 -

Systemansvarig har till uppgift att: verkställa beslut som systemägaren fattar, dokumentera förslag till ändringar/utveckling av systemet, ge användarsupport beträffande verksamhetsrelaterade frågor i systemet, samverka med IT-avdelningen, genomföra erforderliga utbildningar i systemet, svara för användar- och behörighetsadministration samt delta i arbetet med säkerhetsfrågor som rör systemet. 3.2.4 IT-chefen IT-chefen är systemägare för Höganäs kommuns IT-infrastruktur och för de gemensamma systemen, IT-chefen har det övergripande ansvaret för att de olika datasystemens tekniska delar fungerar. IT-chefen samverkar med systemägare vad som avser drift och resursfördelning för ett datasystem. IT-chefen har följande ansvarsområden: att ett datasystem håller den tekniska och funktionella kvalitet som överenskommits med systemägaren, att i samråd med systemägaren, se till att systemet fungerar ihop med samverkande datasystem, att rutiner för säkerhetskopiering uppfyller systemägarens krav, att säkerhetskopierat material förvaras på ett betryggande sätt och kontrollerar att återläsningsrutiner fungerar, att reservrutiner, serviceavtal m.m. finns så att systemägarens krav på längsta tillåtna avbrottstid kan tillgodoses, att tillhandahålla teknisk support för användare (HelpDesk), att biträda systemägaren i avbrottsplaneringen, att se till att kompetens är tillgänglig för teknisk rådgivning till systemägaren då förändringar i systemet är aktuella, att svara för systemets ekonomi vad som beträffar dess del i den tekniska infrastrukturen, att nätverk och resursdatorer har tillräcklig kapacitet, att ansvara för systemets tekniska säkerhet, att ansvara för att IT-säkerheten ligger på en för det mest krävande datasystemets högsta säkerhetsnivå. INFORMATIONSSÄKERHET - Sida 5 -

3.2.5 Systemadministratör Systemadministratören tillhör IT-avdelningen och innehar den tekniska kompetensen. Systemadministratören ansvarar, tillsammans med systemansvarig, för att den dagliga driften upprätthålls enligt överenskommelse mellan systemägaren och IT-chefen. Systemadministratören har bl.a. följande uppgifter: registrera användare i systemet (infrastrukturen) med den behörighetsprofil som verksamhetsansvarig har beslutat, avregistrera användare från infrastrukturen efter verksamhetsansvarigs beslut, ansvara för, tillsammans med systemansvarig, att den dagliga driften upprätthålls enligt överenskommelse mellan den operativa verksamheten och IT-avdelningen, tillhandahålla teknisk support till systemansvarig och användare samt delta i arbetet med säkerhetsfrågor som rör den tekniska infrastrukturen. 3.2.6 Användare Varje användare ansvarar för att gällande regler för IT-säkerhet följs. I detta ansvar ingår även att noga ta del av och följa de säkerhetsinstruktioner som finns för de datasystem den enskilde användaren använder. I ansvaret ingår även att till överordnad chef rapportera olika former av incidenter, t.ex. misstänkt virusangrepp. 3.2.7 IT-säkerhetsfunktion IT-chefen understödjer arbetet med att uppnå säkerhetsplanens mål. Detta kan innebära aktivt deltagande i projekt, etablerande av interna och externa kontaktnät, utvärdering och deltagande i diskussioner kring metoder, plattformar, applikationer eller datasystem. IT-chefen kan sägas arbeta som konsult åt verksamheten. Det är dock alltid upp till verksamheterna att välja på vilket sätt och med vilka resurser man vill uppnå målen. Revision av säkerhetsarbetet skall genomföras av externa konsulter vart annat år efter särskild plan och upphandling. IT-chefen samordnar informationssäkerhetsarbetet inom Höganäs kommun och har till uppgift att: vara rådgivande till systemägarna i informationssäkerhetsfrågor, biträda systemägarna vid upprättande av; systemsäkerhetsplan säkerhetsinstruktioner avbrottsplanering för verksamheten säkerhetsgranskning inför driftgodkännande INFORMATIONSSÄKERHET - Sida 6 -

upprätta avbrottsplan för infrastrukturen och driftmiljön, ansvara för teknisk säkerhet, biträda vid utbildning i informationssäkerhetsfrågor samt samordna rapportering och uppföljning av incidenter 4 LAGAR OCH ANDRA REGELVERK Ramarna för Höganäs kommun informationssäkerhetsarbete sätts utifrån lagar och andra regelverk. Dessa anger bland annat villkoren för de övergripande säkerhetskrav som ställs på verksamheten och därmed även på hanteringen av information i datasystem. Detta omfattar bland annat: skyddet av den personliga integriteten, offentlighetsprincipen gäller med undantag för att sekretessbelagd information skall skyddas mot otillbörlig åtkomst, olika intressenters krav på korrekt information och allmänhetens lagliga rätt till insyn i offentliga handlingar samt speciallagstiftning Personuppgiftslagen, PuL 5 GRUNDSÄKERHET IT Som grund för Höganäs kommuns informationssäkerhet gäller föreskrifter och allmänna råd om grundsäkerhet FA22. Dessa har kompletterats utifrån Höganäs kommuns behov och gäller nu som lägsta säkerhetsnivå i organisationen. 6 INFORMATIONSSÄKERHETSARBETET INOM HÖGANÄS KOMMUN Informationssäkerhetsarbetet inom Höganäs kommun skall följa den process i säkerhetsarbetet som baseras på FA22. FA22 är uppbyggt så att det indirekt anger en logisk arbetsprocess för informationssäkerhetsarbetet. INFORMATIONSSÄKERHET - Sida 7 -

Detta innebär att: Utgående från säkerhetsplanen tas en systemsäkerhetsplan fram för varje enskilt datasystem. I systemsäkerhetsplanen identifieras, utöver den lägsta säkerhetsnivån som gäller för Höganäs kommun, även krav i lagar och andra regelverk, verksamhetsrelaterade krav och hotrelaterade krav. Systemsäkerhetsplanen fastställs av systemägaren. Med utgångspunkt från säkerhetsplanen och systemsäkerhetsplanen tas säkerhetsinstruktioner fram. I säkerhetsinstruktionerna fastställer systemägaren vilka säkerhetsregler som gäller. För varje enskilt datasystem skall en avbrottsplan upprättas. Beredskapsplanen för Höganäs kommun skall innehålla en beskrivning av lägsta behov av IT-stöd under höjd beredskap Nödvändiga säkerhetsåtgärder vidtas för att tillgodose kraven i systemsäkerhetsplanen För att kontrollera att vidtagna säkerhetsåtgärder i datasystemet uppfyller ställda krav genomförs en granskning av befintliga säkerhetsåtgärder. Denna granskning ligger till grund för beslut om driftgodkännande av datasystemet. Systemägaren driftgodkänner datasystemet 7 DRIFTGODKÄNNANDE Systemägaren skall besluta om driftgodkännande av varje enskilt datasystem. Av beslutet skall framgå hur kraven på grundsäkerhet är tillgodosedda samt hur systemsäkerhetsplanen i övrigt tillgodoses. Beslut om driftgodkännande skall dokumenteras. Alla system inom Höganäs kommun skall ha en sådan säkerhet att de kan driftgodkännas. INFORMATIONSSÄKERHET - Sida 8 -

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss