Sedan år 2000 har Anita Eckersand arbetat inom Varbergs kommun.



Relevanta dokument
IT-säkerhetspolicy för Landstinget Sörmland

IT-säkerhetspolicy. Antagen av kommunfullmäktige

IT-säkerhetspolicy. Fastställd av KF

IT-säkerhetspolicy Instruktion Kommunfullmäktige. Senast reviderad Beskriver IT-säkerhetarbetet.

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

IT-Säkerhetspolicy för Munkfors, Forshaga, Kils och Grums kommun

Riktlinjer för IT-säkerhet i Halmstads kommun

PM DANDERYDS KOMMUN Kommunledningskontoret Johan Haesert KS 2008/0177. Översyn av IT- och telefonidrift - lägesrapport.

IT-SÄKERHETSPOLICY. Stadskontoret. 1 Inledning Definition Omfattning Mål för IT-säkerhetsarbetet... 2

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

Informationssäkerhetspolicy

Informationssäkerhetspolicy

Informationssäkerhet - Informationssäkerhetspolicy

Informationssäkerhetspolicy

IT-Säkerhetsinstruktion: Förvaltning

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

INFORMATIONSSÄKERHET 1 INLEDNING MÅL FÖR IT-SÄKERHETSARBETET... 2

Informationssäkerhetspolicy för Ystads kommun F 17:01

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

Härjedalens Kommuns IT-strategi

Åstorps kommuns Övergripande IT-policy för Åstorps kommun

Informationssäkerhetspolicy för Ånge kommun

SOLLENTUNA FÖRFATTNINGSSAMLING 1

Polisens incidenthantering

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

Informationssäkerhetspolicy inom Stockholms läns landsting

IT-plan för Söderköpings kommun

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet

Informationssäkerhetspolicy för Katrineholms kommun

Riktlinjer för Informationssäkerhet Falkenbergs Kommun Kommunledningskontoret

Riktlinjer för IT i Lilla Edets kommun. 2. Syftet med IT i Lilla Edets kommun

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

POLICY INFORMATIONSSÄKERHET

IT-säkerhetspolicy för Åtvidabergs kommun

IT-Policy för Tanums kommun. ver 1.0. Antagen av Kommunfullmäktige

Informationssäkerhetspolicy för Nässjö kommun

IT-verksamheten, organisation och styrning

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet

IT-säkerhetspolicy. Finspångs kommun Finspång Telefon Fax E-post: Webbplats:

Informationssäkerhet, Linköpings kommun

IT-säkerhetsinstruktion Förvaltning

Policy för säkerhetsarbetet i. Södertälje kommun

SÄKERHETSPOLICY FÖR VÄSTERVIKS KOMMUNKONCERN ANTAGEN AV KOMMUNFULLMÄKTIGE , 8

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet

Informationssäkerhetspolicy IT (0:0:0)

Strategi Program Plan Policy» Riktlinjer Regler

Säkerhetspolicy för Västerviks kommunkoncern

Säkerhetspolicy för Tibro kommun

Kommunens författningssamling

Vem tar ansvar för Sveriges informationssäkerhet?

IT-policy, Vansbro kommun Fastställd av fullmäktige den , 42. Datum Ärende KS2012/262

Policy Document Number ESS Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Så styr vi Lerum 2011

Säkerhetspolicy i Linköpings kommun

Fördelning av ansvar för informationssäkerhet. Version: 1. Beslutsinstans: Regiondirektören

Säkerhetspolicy för Kristianstad kommun

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Verket för förvaltningsutvecklings författningssamling ISSN Utgivare: Lena Jönsson, Verva, Box 214, Stockholm

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Varför IT-strategi. Mål och värderingar. IT-STRATEGI FÖR TIMRÅ KOMMUN. FÖRFATTNINGSSAMLING Nr KF 10 1 (7)

Riktlinjer för internkontroll i Kalix kommun

Säkerhetspolicy för Sandvikens kommun

Riktlinje för säkerhetsarbetet i Norrköpings kommun

Risk- och säkerhetspolicy. Tyresö kommun

Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13

MJÖLBY KOMMUN UTBILDNINGSFÖRVALTNINGEN. Roller och ansvar inom utbildningsförvaltningens IT-verksamhet IT-strategigruppen

Policy för informationssäkerhet

EDA KOMMUN. nformationssäkerhet - Informationssäkerhetspolicy

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Informationssäkerhetspolicy KS/2018:260

Översiktlig granskning av IT-säkerheten

1(6) Informationssäkerhetspolicy. Styrdokument

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Riktlinjer vid hot och våld mot förtroendevalda i Danderyds kommun

RIKTLINJER FÖR IT-SÄKERHET

Informationssäkerhetspolicy

FÖRFATTNINGSSAMLING Flik Säkerhetspolicy för Vingåkers kommun

Systemförvaltningsmodell för LiU

IT-policy för Hällefors kommun

Policy och riktlinjer för skyddsoch säkerhetsarbete

Säkerhet i fokus. Säkerhet i fokus

Policy för informations- säkerhet och personuppgiftshantering

Förvaltningens förslag till beslut Kommunstyrelsen beslutar föreslå kommunfullmäktige besluta att anta IT-strategi för Nykvarns kommun.

Handläggningsordning för förvaltning av IT-system vid Högskolan Dalarna

Informationssäkerhet i. Torsby kommun

FÖRFATTNINGSSAMLING BESLUT GÄLLER FR FLIK SID Kf 83/ Kf IT-säkerhetspolicy

E-strategi för Strömstads kommun

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Publiceringsdatum Juni 2007 ( rev. September 2011)

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

Vervas föreskrift om statliga myndigheters arbete med säkert elektroniskt informationsutbyte. Wiggo Öberg, tidigare Verva nu KBM,

Informationssäkerhetspolicy

Riktlinjer för IT i Halmstads kommun

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

10. Säkerhetspolicy och riktlinjer för säkerhetsarbetet i Västerviks kommunkoncern Dnr 2016/

Revisionsrapport Borgholms kommun Caroline Liljebjörn 1 juni 2016

Policy och strategi för informationssäkerhet

Transkript:

V A R B E R G S K O M M U N föregångare inom IT-säkerhet av lena lidberg Vilka är kommunens viktigaste IT-system? Och hur länge kan systemen ligga nere innan det uppstår kaos i verksamheterna? Frågor som dessa har hög prioritet i Varbergs kommun, som ligger långt framme inom området IT-säkerhet. Vi har jobbat på bred front. Vår IT-säkerhetspolicy är beslutad av fullmäktige och har fått ett stort genomslag i hela organisationen, säger Anita Eckersand, IT-chef i. Sedan år 2000 har Anita Eckersand arbetat inom. Innan dess jobbade hon inom kriminalvården. Mycket av mitt säkerhetstänkande har jag fått därifrån. Jag är van vid att arbeta med struktur- och ansvarsfrågor, förklarar hon. I dag är hon chef för IT-Driften i, en avdelning med cirka 15 anställda. Anita Eckersands tjänst består av två delar. 75 procent av arbetstiden ägnar hon åt driftsansvaret, och 25 procent åt IT-strategi. Det är lite ovanligt att kombinera detta i en och samma tjänst, men jag tycker att det är en bra lösning. Det handlar ju om ämnen som har ett naturligt samband. Hon har själv ingen bakgrund som tekniker, utan betonar att hennes roll är att leda personalen och se till helheten. Min uppgift är inte att lösa alla tekniska problem. Det gör den duktiga personalen på IT-Driften, framhåller Anita Eckersand. Fakta om Kommunen ligger i Hallands län. Varberg Arealen är 874 kvadratkilometer och antalet invånare drygt 54 000 (2005). Utöver Varberg ingår tätorter som Bua, Träslövsläge, Tvååker och Veddige. Kommunen har cirka 4 300 anställda. Risk-/hotbild Varberg tillhör en av Sveriges tillväxtregioner. Kommunen är en viktig knutpunkt för godstrafiken genom motorväg, järnväg och hamn. Här finns också färjeförbindelse med Grenå i Danmark. IT-strategi och IT-säkerhetspolicy Hösten 2000 antog fullmäktige en övergripande ITstrategi för kommunen och de kommunala verksamheterna. Här ingick bland annat strategier för bredbandsutbyggnaden. Men kommunen insåg också att det behövdes ett komplement, i form av en IT-säkerhetspolicy. En sådan antogs av fullmäktige året därpå, hösten 2001.

Förtroendet för kommunens verksamhet tar lång tid att bygga upp, men kan raseras av en enskild incident. Därför måste säkerhet, kvalitet och integritet inte bara vara honnörsord utan också utgöra riktmärken till efterlevnad. Policyn är ett styrdokument som anger ledningens syn på IT-säkerhet, inriktning, mål och ansvar för IT-säkerhetsarbetet och hur målen ska uppnås, berättar Anita Eckersand, som är en av de personer som bidrog med synpunkter när policyn togs fram. Mer beroende av IT Av policyn framgår bland annat att målmedvetet satsar på en ökad användning av informationsteknik. Tekniken utvecklas snabbt och ger nya möjligheter, men satsningarna innebär samtidigt att kommunen blir mer och mer beroende av att IT-lösningarna fungerar. Kommunens invånare måste alltid känna sig övertygade om att kommunen hanterar information om sina kommuninvånare på ett korrekt sätt, är en av de formuleringar som ingår i policyn. En annan är denna: Förtroendet för kommunens verksamhet tar lång tid att bygga upp, men kan raseras av en enskild incident. Därför måste säkerhet, kvalitet och integritet inte bara vara honnörsord utan också utgöra riktmärken till efterlevnad. Tydlig ansvarsfördelning I policyn poängteras också att en hög IT-säkerhet förutsätter att det finns en tydlig ansvarsfördelning. I är det kommunstyrelsen som beslutar om säkerhetspolicyn och har det övergripande ansvaret för IT-säkerheten. Kommunstyrelsen och nämnderna är ytterst ansvariga för IT-säkerheten inom sitt respektive område. Kommundirektören ansvarar för att det finns aktuella riktlinjer och föreskrifter, medan IT-chefen ansvarar för regelverk, samordning och kontroll. Utöver detta har vi funktioner som vi kallar systemägare, systemförvaltare och lokala IT-säkerhetsombud. Alla är de viktiga delar av vår ansvarskedja, Förvaltningscheferna är systemägare Det är förvaltningscheferna som har rollen som systemägare, vilket innebär att de är ansvariga för det operativa IT-säkerhetsarbetet inom sin förvaltning. Förvaltningscheferna har ansvaret för att genomföra de övergripande risk- och sårbarhetsanalyserna på respektive förvaltning, och där ingår ITsäkerhet som en av delarna. Inom IT-säkerhetsområdet svarar förvaltningscheferna dessutom för informationskvaliteten och systemsäkerhetsplanen, plus att de ska vidta nödvändiga skyddsåtgärder och se till att personalen har rätt utbildning i systemsäkerhet, förklarar Anita Eckersand. M E D V I N D I S Ä K E R H E T S A R B E T E T

Till sin hjälp utser systemägaren en eller flera systemförvaltare, vilket är medarbetare som till exempel beställer uppgraderingarna av programvara. Systemägaren utser också ett lokalt IT-säkerhetsombud, som håller i utbildningar och gör uppföljningar av det lokala säkerhetsarbetet. Nätverk för IT-frågor IT-säkerhetsombuden fungerar i de allra flesta fall även som kontaktpersoner för oss på IT-Driften. Varannan månad, eller vid behov, samlar vi vårt nätverk med IT-kontaktpersoner från förvaltningarna. Då informerar vi om saker som är på gång, till exempel förändringar i lösenord och inloggningsrutiner, Mellan IT-Driften och förvaltningarna finns en uppdelning i vad som betraktas som IT-infrastruktur och vad som betraktas som verksamhetssystem. I infrastrukturen ingår till exempel nätverk, servrar och serviceapplikationer som behövs för att drifta verksamheten. Det är delar som vi på IT- Driften ansvarar för. Däremot ansvarar varje förvaltning för sina verksamhetssystem, även om vi står för vissa serviceåtgärder. Dialog med förvaltningarna Anita Eckersand påpekar att dessa båda delar dock behöver knytas samman, så att det bildas en helhet där IT-säkerheten står i centrum. Hon ger ett exempel: om Ekonomiska kontoret behöver ett nytt ekonomisystem finns IT-Driften med på ett hörn för att ställa relevanta frågor och för att kontrollera att systemet passar in i kommunens övergripande IT-miljö. Vi för hela tiden en dialog med förvaltningarna. Ibland kan det hända att vi får sänka våra ursprungskrav, kanske av ekonomiska skäl. Och ibland är det kanske förvaltningen som får förändra sina krav gentemot leverantörerna. Men hela tiden har vi BITS, den basnivå för IT-säkerhet som Krisberedskapsmyndigheten förespråkar, som utgångspunkt. Det har vi ett fullmäktigebeslut på, TIPS I SÄKERHETSARBETET Satsa på en IT-säkerhetspolicy som är beslutad av fullmäktige och spridd i hela organisationen. Se till att ansvarsfördelningen är tydlig. Använd KBM:s BITS, basnivå för IT-säkerhet, som utgångspunkt i arbetet. Sammanställ en prioriteringsordning för hela IT-driften, och gör beräkningar av vad driftstopp av olika system kostar. Ta fram en IT-säkerhetshandbok och satsa på utbildning av personalen. Inför lokala IT-säkerhetsombud i verksamheterna. Prislapp på driftstopp När förvaltningarna gör sina risk- och sårbarhetsanalyser kartlägger de bland annat vilka system som har hög sårbarhet och vilka som kan ligga nere för en viss period. Finns det manuella rutiner som kan tas i bruk om det uppstår störningar, och hur ser behovet av reservkraft ut? Det här är frågor som kan skilja sig mycket från förvaltning till förvaltning. Men det viktiga är att vi får fram verksamheternas prioritetsordningar. Då kan vi göra risk- och sårbarhetsanalyser för IT-infrastrukturen, och därmed få fram prioriteringar för hela IT-driften. V A R B E R G S K O M M U N

KONTAKT Telefon: 0340-880 00 www.varberg.se I leder bedömningarna även fram till en prislapp. Vi gör en uppskattning av vad det kostar att ha mejlsystemet stående i till exempel fyra timmar, eller i två dygn. Sedan är det politikernas sak att avgöra på vilken nivå vi ska ligga, förklarar Anita Eckersand. Alla vet vad som gäller Hon konstaterar att kunskaperna om IT-säkerhet har ökat väsentligt i kommunen de senaste åren. Det gäller på alla nivåer. Som exempel har den fysiska säkerheten med larm och lås förbättrats, antivirussystemen har utökats och mejlsystemet blivit avskilt från de övriga systemen. Ett annat exempel är att vi har ändrat en del inloggningsrutiner. Nu har alla anställda, även teknikerna, personliga behörigheter till systemen. Det har medfört en del merarbete, men alla förstår att det i förlängningen ökar säkerheten. Anita Eckersand betonar att tydligheten både när det gäller regelverket och ansvarsfördelningen är något som kännetecknar s IT-säkerhet. Alla vet vad som gäller, det finns en stor medvetenhet och folk har respekt för frågorna. Det kräver tid och hårt arbete och komma dithän, men vinsterna blir stora. IT-säkerhetshandbok I IT-säkerhetspolicyn listas vilka tillgångar som ska skyddas: information, datorer, system, kommunikation, material, kapital, personal, lokaler och goodwill. Hotbilden utgörs av förlust, stöld, brand, bristande kvalitet, obehörig åtkomst, obehörig användning, avbrott, katastrof etcetera. Enligt policyn ska alla anställda i kommunen som berörs av IT vara medvetna om IT-säkerhetsfrågornas betydelse och ha kunskaper om lagar, policy och riktlinjer inom området. Ytterst vilar IT-säkerhetspolicyn i hög grad på varje medarbetares ansvar. Men utbildning spelar också en stor roll medarbetare kan utgöra ett hot mot säkerheten genom att inte vara informerad om säkerhetsriskerna, eller för att regler och rutiner är ofullständiga eller saknas. Därför är det viktigt att säkerhetsfrågor lyfts fram och ges en naturlig plats i det dagliga arbetet. Som informationsstöd har bland annat en omfattande IT-säkerhetshandbok. Även här har vi använt oss av material från KBM. Handboken är ett bra verktyg för både medarbetare och konsulter. M E D V I N D I S Ä K E R H E T S A R B E T E T

Översyn i skolorna Häromåret drabbades av ett strömförsörjningshaveri, som ledde till att servrarna låg nere i ungefär ett dygn. Händelsen berodde på ett mänskligt fel. I övrigt har dock kommunen varit förskonad från större IT-incidenter. Det värsta som skulle kunna hända är att vår IT-infrastruktur drabbas på ett sådant sätt att all utgående kommunikation stoppas. Då räcker inte reservkraften till. Men det här är ett scenario som våra systemägare har fått i uppgift att fundera över i samband med risk- och sårbarhetsanalyserna, Kommunens IT-säkerhetsarbete går nu vidare. Bland annat kommer servrar och datorer i skolorna att ses över. Det är ett område som vi inte har arbetat så mycket med tidigare. Men vårt första steg blir att hämta hem de servrar som i dag står ute på skolorna och placera dem i en mer säker miljö. Samtidigt ska eleverna få tunna klienter, som kommer att skötas av oss här på IT-Driften. P Ytterst vilar ITsäkerhetspolicyn i hög grad på varje medarbetares ansvar. Medarbetare kan utgöra ett hot mot säkerheten genom att inte vara informerad om säkerhetsriskerna. V A R B E R G S K O M M U N

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss