Riktlinjer. Informationssäkerhet och systemförvaltning



Relevanta dokument
Ansvar och roller för ägande av information samt ägande och förvaltande av informationssystem i Umeå kommun

Ansvar och roller för ägande och förvaltande av informationssystem

INFORMATIONSSÄKERHET 1 INLEDNING MÅL FÖR IT-SÄKERHETSARBETET... 2

Kompletterande handlingar till kommunstyrelsen

IT-säkerhetspolicy. Fastställd av KF

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

Regler och instruktioner för verksamheten

Handläggningsordning för förvaltning av IT-system vid Högskolan Dalarna

Riktlinjer för Informationssäkerhet Falkenbergs Kommun Kommunledningskontoret

Mittuniversitetets riktlinjer för systemförvaltning

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

Informationssäkerhetspolicy för Nässjö kommun

Systemförvaltnings Modell Ystads Kommun(v.0.8)

SÄKERHETSFÖRESKRIFTER FÖR FÖRVALTNING AV IT-SYSTEM

Systemförvaltningsmodell för LiU

Informationssäkerhetsanvisningar Förvaltning

Riktlinje för Systemförvaltning

Organisation för samordning av informationssäkerhet IT (0:1:0)

Policy och strategi för informationssäkerhet

Bilaga till rektorsbeslut RÖ28, (5)

Informationssäkerhetspolicy för Ånge kommun

Dnr

Policy Document Number ESS Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

POLICY INFORMATIONSSÄKERHET

Informationssäkerhetspolicy

INFORMATIONSSÄKERHET 1 INLEDNING MÅL FÖR IT-SÄKERHETSARBETET... 2

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

IT-plan för Söderköpings kommun

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Samverkansavtal avseende drift och förvaltning av XXXXsystem för XXXXXXXX i Kalmar Län

REGEL FÖR BEVARANDE AV ELEKTRONISKA HANDLINGAR

System- och objektförvaltning - roller

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

IT-säkerhetspolicy. Finspångs kommun Finspång Telefon Fax E-post: Webbplats:

Riktlinjer för IT och informationssäkerhet - förvaltning

Informationssäkerhetspolicy

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Informationssäkerhetspolicy

Letälvens utvecklingspotential

Informationssäkerhetspolicy inom Stockholms läns landsting

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Informationssäkerhetspolicy för Ystads kommun F 17:01

Informationssäkerhetspolicy för Katrineholms kommun

Finansinspektionens författningssamling

Informationssäkerhetspolicy

Rikspolisstyrelsens författningssamling

Informationssäkerhetspolicy. Linköpings kommun

IT-SÄKERHETSPOLICY. Stadskontoret. 1 Inledning Definition Omfattning Mål för IT-säkerhetsarbetet... 2

Informationssäkerhetspolicy IT (0:0:0)

Kommunal författningssamling för Smedjebackens kommun. Informationssäkerhetspolicy. 97 Dnr 2016/00447

Informationssäkerhetspolicy

Riktlinjer för IT i Lilla Edets kommun. 2. Syftet med IT i Lilla Edets kommun

1(6) Informationssäkerhetspolicy. Styrdokument

Instruktion enligt personuppgiftslagen (1998:204) för Eskilstuna kommunkoncern

Koncernkontoret Enheten för säkerhet och intern miljöledning

Riktlinjer för IT-säkerhet i Halmstads kommun

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet

Arkivreglemente för Motala kommun

Finansinspektionens författningssamling

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Hantering av behörigheter och roller

IT-Säkerhetsinstruktion: Förvaltning

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Granskning av IT-säkerhet

Informationssäkerhetspolicy för Vetlanda kommun

Informationssäkerhetspolicy IT (0:0:0)

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

1 (5) Informationssäkerhetspolicy Informationssäkerhetspolicy. Ver 3.0

1 (7) Arbetsgången enligt BITS-konceptet

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet

Informationssäkerhet - Informationssäkerhetspolicy

ARKIVREGLEMENTE FÖR LUNDS KOMMUN

Policy för informations- säkerhet och personuppgiftshantering

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

Informationssäkerhetspolicy

Handlingsplan för persondataskydd

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Beslutsdatum (rev )

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Publiceringsdatum Juni 2007 ( rev. September 2011)

Informationssäkerhetspolicy KS/2018:260

Informationssäkerhetspolicy

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

IT-verksamheten, organisation och styrning

Version Datum Kommentar Utfärdare. 1.0a Första utkastet Joakim Jenhagen. 1.0b Andra utkastet Thomas Norlin Joakim Jenhagen

Riktlinjer för informationssäkerhet

Arkivreglemente för Uddevalla kommun

Systemägande och systemförvaltning vid Lunds universitet

IT-Policy. Tritech Technology AB

Riktlinjer för IT-utveckling

FÖRFATTNINGSSAMLING Arkivreglemente Utgivare: Kommunledningsförvaltningen Kansli Gäller från: Lagakraftvunnet beslut Antagen: KF 5,

Riktlinje för informationssäkerhet

Protokollsutdrag. 346 Revisionsrapport Uppföljning IT-säkerhet och införande av dataskyddsförordningen - svar Dnr KS/2018:384

RIKTLINJER FÖR IT-SÄKERHET

Strategi för bevarande av elektroniska handlingar vid Karolinska Institutet

Finansinspektionens författningssamling

Transkript:

Riktlinjer Informationssäkerhet och systemförvaltning

LULEÅ KOMMUN RIKTLINJER Dnr 1 (5) 2012-11-29 Riktlinjer för roller och ansvar inom informationssäkerhet och systemförvaltning En god systemförvaltning är a och o inom informationssäkerhetsarbetet. För att systemförvaltningsprocessen ska kunna bedrivas på ett enhetligt och standardiserat sätt inom kommunen behöver också roller och ansvar inom systemförvaltning definieras. Dessa riktlinjer beskriver skillnaderna mellan informationsägande och systemägande samt beskriver innehållet i rollerna informationsägare, systemägare, systemförvaltare, systemadministratör/systemansvarig, systemdriftsansvarig och användare. Riktlinjerna konkretiserar rollbeskrivningen i avsnitt 6.5 av kommunens IT-strategi. I Luleå kommun är det obligatoriskt att rollerna informationsägare, systemägare, systemförvaltare samt systemdriftsansvarig är utsedda. Aktuella systemförvaltningsplaner ska finnas för prioriterade förvaltningsobjekt. Utgångspunkten för all systemförvaltning är att den ska vara verksamhetsdriven, målstyrd och utgöra ett av fundamenten för god informationssäkerhet. Riktlinjerna har anpassats för Luleå kommun, men följer i allt väsentligt nationella och internationella rekommendationer. I de fall där informationstillgångarna hanteras av och påverkas från flera förvaltningar, så utses Systemägare och Informationsägare i samråd mellan berörda förvaltningar, ytterst av kommunchef. För system med ett begränsat antal användare behövs normalt inte funktionen/rollen systemadministratör. I de fall där systemadministratör saknas, så tillförs administratörens uppgifter som regel systemförvaltaren. System som har flera hundra användare, alternativt med stor komplexitet på verksamheten, behöver ofta utse flera systemadministratörer. Systemdriftsansvaret (en annan vanlig benämning är tekniskt ansvarig) finns normalt hos kommunens IT-kontor eller respektive IT-enhet hos Lulebo och Luleå Energi. Alternativet till drift i egen regi är att leverantören av systemet ansvarar för driften och leverantören blir därmed systemdriftsansvarig oavsett var den fysiska driften sker. Om leverantören tar aktiv del i förvaltningen av system som är driftsatta i kommunens IT-infrastruktur, så ska systemdriftsansvariga finnas både lokalt och från leverantörens sida. Funktionerna och rollerna beskrivna i dessa riktlinjer tillämpas från och med 1:a januari 2013.

LULEÅ KOMMUN Dnr 2 (5) 1. Informationsägarskap och systemägarskap för Informationssystem Luleå kommun använder olika informationssystem som stöd för att genomföra verksamhetsuppdrag. För att uppfylla krav på insyn, tillgänglighet och säkerhet samt för att bedriva en effektiv och rationell verksamhet ska varje system som används i kommunen ha en organisation för ägande och förvaltning. Ägarskapet är uppdelat i två delar med olika ansvarsområden. Oaktat detta operativa ansvar så är nämnd eller styrelse för kommunalt bolag juridisk informationsägare och juridisk ägare av systemet enligt 6 kap 7 Kommunallagen. Informationsägarskap Informationsägarskapet utövas oftast av en förvaltning, men kan också vara delat på flera ägare beroende på hur systemet används och informationen lagras. Om förhållandet är det senare, så ska det finnas huvudägare för gemensamma delar såsom behörighetskontrollsystem, datalager och gallring/arkivering. Ansvarar för riktigheten i all information som finns i systemet Ansvarar för hur, var och vilken information som får lagras Ansvarar för hur systemet får användas i verksamheten, av vem/vilka Ansvarar för att dokumenthanteringsplan och arkivplan upprättas Ansvarar för att beslutad gallring av information verkställs enligt dokumenthanteringsplan Personuppgiftsansvar inom myndighetsområdet Systemägarskap Oavsett en eller flera informationsägare och om det är ett kommunövergripande system, så kan det bara finnas en namngiven systemägare. Ansvarar för systemförvaltning och att systemförvaltningsplan upprättas samt att planer beslutas årligen Ansvarar för utveckling av systemet, beslut om avveckling samt att teckna avtal med leverantör vid nyanskaffning Ansvarar för driften av systemet med betoning på god tillgänglighet samt att resurser för kontinuerlig drift och förvaltning tillskapats Har det yttersta ansvaret för att systemdesign och systemanvändning följer lagar och förordningar samt de riktlinjer som gäller för Luleå kommun Godkänner drifts- support- och serviceavtal Utser (kan delegera uppdraget) systemförvaltare och övriga

LULEÅ KOMMUN Dnr 3 (5) Ansvarar för att personuppgiftsombud utses enligt personuppgiftslagen samt att denne innehar kompetens att agera som ombud Bemyndigande att vägra lämna ut allmän handling (kan delegeras) Ansvarar för att definiera vilket skydd informationen ska ha med tillhörande informationsklassificering och beslutar om acceptabel nivå Ansvarar för merkostnader som kan uppstå vid förändrat skyddsbehov Ansvarar för uppföljning av beslutade åtgärder och insatser utifrån kommunens informationssäkerhetspolicy och riktlinjer samt att åtgärder vidtas utifrån genomförda systemsäkerhetsanalyser Förvaltningschef eller verksamhetsansvarig chef är informationsägare funktioner/roller som behövs för att upprätthålla god systemförvaltning Förvaltningschef eller verksamhetsansvarig chef är operativ systemägare 2. Systemförvaltare Ansvarar för att förvaltningsorganisation upprättas och fungerar för aktuellt system alternativt förvaltningsobjektet. Förvaltningsobjekt kan omfatta fler än ett system och används i fortsättningen synonymt med system. Initierar och, inom ramen för tilldelade resurser, beslutar om vidareutveckling av systemet samt föreslår systemägaren ny- eller avveckling av system baserad på dokumenterad verksamhetsanalys Ansvarar för att drifts-, support- och serviceavtal för aktuellt system upprättas och är aktuella Ansvarar för att dokumentation om systemet förs, upprätthålls, aktualiseras, kompletteras med beslut samt att komplett dokumentation är enkelt tillgänglig Upprätthåller kontakter med systemleverantörer Upprättar och ajóurhåller systemförvaltningsplan inkluderande tidplan för nya realeaser/versioner Ansvarar för att tester genomförs vid nya funktioner, releaser/versioner och tillbehör som kvalitetssäkrar systemet samt att testprotokoll upprättats och distribuerats innan driftsgodkännande överlämnas Ansvarar för att systemsäkerhetsanalys genomförs för informationssystemet med hjälp av den metod för säkerhetsanalys som tillämpas i kommunen Ansvarar för att informationssäkerhetsklassning görs i samband med analys grundat på systemägarens uppfattning

LULEÅ KOMMUN Dnr 4 (5) Säkerställer att informationen som lagras i systemet har en sådan struktur och utformning att det lätt går att urskilja handlingars status. ( Allmänna offentliga och icke offentliga handlingar, övriga handlingar) Säkrar att behörighetsrutiner finns (behörighetsrutiner = besluta om och tilldela roller/behörigheter i system) Säkerställer att administrativa rutiner för beställning/borttag finns och är kända av ITsupport och/eller extern driftsleverantör Registrerar avtal, systembeskrivning och systemförvaltningsorganisation i kommunens gemensamma förteckning för ändamålet Upprätthåller aktualitet i kommunens gemensamma förteckning över verksamhetssystem Initierar och kallar aktuella representanter till systemförvaltningsträffar/användarträffar Ansvarar för att rutiner/utbildningsprogram/smartass-guider finns för användare med behov av kännedom om hur systemet ska och får användas Ansvarar för att utbildningsmöjligheter anordnas samt att eventuell användarhandledning eller annat instruktionsmaterial finns och underhålls Ser till att gallringsutredningar utförs för den information som finns lagrad, att gallringsfrister fastställs samt att systemet klarar arkiveringskrav Ser till att beslutade uttag av information på papper eller på andra media verkställs i enlighet med dokumenthanteringsplanen 3. Systemansvarig/Systemadministratör Ansvarar för det dagliga operativa användandet av systemet inom en berörd verksamhet Ansvarar för att den dagliga driften upprätthålls i enlighet med driftsavtal Ansvarar för att starta och avsluta integrationskörningar enligt driftsplanering Upprätthåller vardaglig kontakt med systemdriftsansvarig på Luleås IT-kontor alternativt systemdriftsansvarig på annan ort och i förekommande fall direktkontakter med leverantören av systemet Verkställer beslut om systemets innehåll som tagits av systemförvaltare eller systemägare Dokumenterar ändrings- och utvecklingsförslag från verksamheten till gemensamt tillgänglig idé-förteckning Ger användarsupport i verksamhetsrelaterade systemfrågor Svarar för registrering och bevakning av riktigheten i systeminställningar/driftsparametrar samt viss operativ användar- och behörighetsadministration Deltar i säkerhetsarbete som rör systemet Svarar för, efter uppdrag från systemförvaltare, att ändra eller avregistrera användare i system med angivna roller och behörigheter Ansvarar för att dokumentera informationssäkerhetsincidenter i därtill avsett formulär så snart de blivit kända och kommit till systemansvarigs kännedom. Uppgiften innebär också att aktivt medverka till allmän spridning av kunskaper om hur användare anmäler incidenter.

LULEÅ KOMMUN Dnr 5 (5) 4. Systemdriftsansvarig Utses på funktionsnivå och namnges när driftsavtal upprättas mellan systemförvaltare och drift. Systemdriftsansvarig utses vid kommunens ITkontor (alternativt IT-enheten hos Lulebo och Luleå Energi) och ibland även hos leverantör av systemet. Ifall driften av systemet helt och hållet sker utanför kommunens regi (som webbapplikation) är leverantören ensamt systemdriftsansvarig. Ansvarar för installation, drift, underhåll, release/versionsbyte ur teknisk synvinkel för systemet Ansvarar för att rutiner för säkerhetskopiering och andra säkerhetsrelaterade delar uppfyller de krav som systemägaren ställer Ansvarar för att säkerhetskopierat material förvaras på ett betryggande sätt och att återläsningsrutiner fungerar Ansvarar för att reservrutiner, UPS, serviceavtal mm finns, så att systemförvaltarens krav på längsta tillåtna avbrottstid kan tillgodoses Ansvarar för att drifts- och annan teknisk systemdokumentation finns och är aktuell Ansvarar för att beslutade och ändamålsenliga metoder, standarder och teknik används Ansvarar för att åtkomst, lagring och förvaring sker under säkra former med den säkerhetsnivå som fastställts för systemet Informerar systemförvaltaren om koppling till andra system och testar dessa vid förändringar Ansvarar för att genomföra test av nya funktioner, releaser-/versioner och tillbehör Ansvarar för underhåll av databaser Följer upp driftsavbrott och rapporterar dessa till systemförvaltaren Ansvarar för systemets tekniska säkerhet Biträder systemförvaltaren med teknisk rådgivning då förändringar i systemet är aktuellt Biträder systemförvaltaren i avbrottsplanering Tillhandahåller teknisk support för användare via helpdesk eller systemsupport Deltar i säkerhetsarbete som rör enskilt system Verkställer föreskriven gallring på uppdrag av systemförvaltaren (i de fall där inte systemförvaltaren/systemansvarig själv utför momentet) 5. Systemanvändare Varje systemanvändare ansvarar för att känna till de riktlinjer som gäller för ITanvändning i Luleå kommun samt följa dessa riktlinjer

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss