Riktlinjer avseende Informationssäkerheten Sida 1 Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner Informationssäkerhet är en del i kommunernas lednings- och kvalitetsprocess som ska bidra till att hantering av information utförs på ett beslutat sätt och med avsedd säkerhet. Fastställda kommunfullmäktige i Lidköping 2007-04-23
Sida 2 1 ALLMÄNT OM INFORMATIONSSÄKERHET...3 2 MÅL...4 3 ORGANISATION, ROLLER OCH ANSVAR...4 3.1 ÖVERGRIPANDE ANSVAR...4 3.2 ROLLER OCH ANSVAR...4 4 GENERELLA KRAV...5 5 REVIDERING OCH UPPFÖLJNING...5
Sida 3 1 ALLMÄNT OM INFORMATIONSSÄKERHET Information är en av våra viktigaste tillgångar och är västentlig förutsättning för att kunna bedriva verksamheten. Våra informationstillgångar måste därför behandlas och skyddas på ett tillfredsställande sätt. Utgångspunkter i vårt arbete med informationssäkerhet är: Lagar, förordningar och föreskrifter Verksamhetens krav Avtal Med informationstillgångar avses all information oavsett om den behandlas manuellt eller automatiserat och oberoende av i vilken form eller miljö den förekommer. Informationssäkerheten omfattar våra informationstillgångar utan undantag. Med informationssäkerhet avses i vår organisation att: rätt information är tillgänglig när den behövs för rätt person i rätt tid och på ett spårbart sätt informationen är och förblir riktig Informationssäkerheten är en integrerad del av vår verksamhet. Alla som hanterar informationstillgångar har ett ansvar att upprätthålla informationssäkerheten. Det är också ett ansvar för chefer, på alla nivåer, att aktivt verka för en positiv attityd till säkerhetsarbetet. Var och en ska vara uppmärksam på och rapportera händelser som kan påverka säkerheten för våra informationstillgångar. Alla delar inom vår kommun är bundna av våra riktlinjer för informationssäkerhet vilket medför att det inte finns utrymme att besluta om lokala regler som avviker från denna. Den som använder våra informationstillgångar på ett sätt som strider mot dessa riktlinjer blir föremål för åtgärder. Riktlinjerna konkretiseras i de styrande informationssäkerhetsinstruktionerna för Förvaltning Kontinuitet och Drift Användare Riktlinjer för informationssäkerheten Informationssäkerhetsinstruktion Förvaltning Målgrupp: Ledning, systemägare och samordningsansvariga Riktlinjer för kontinuitet och drift Målgrupp: ITdriftansvariga Informationssäkerhetsinstruktion Användare Målgrupp: Samtliga användare
Sida 4 2 MÅL Det övergripande målet med dessa riktlinjer är att förhindra att vår information hanteras felaktigt i det dagliga arbetet och vid störningar av olika slag. För vårt informationssäkerhetsarbete ska gälla att: krishanteringsförmågan upprätthålls det finns tillgång till en gemensam, säker och väl definierad infrastruktur för extern och intern datakommunikation all personal har kunskap om gällande informationssäkerhetsregler att informationsförsörjningen är säker, effektiv och bidrar till ökat skydd och stöd för medarbetare, samverkande partners och tredje man ingångna avtal är kända och följs alla investeringar både i form av information och teknisk utrustning har skydd i tillräcklig grad hotbilden för varje enskilt informationssystem, som är av vikt för vår verksamhet, analyseras fortlöpande händelser i informationssystemen som kan leda till negativa konsekvenser förebyggs årliga mål för arbetet beslutas i och framgår av verksamhetsplaneringen. För de årliga målen anges: vad ska göras under året och hur tidplan behov av resurser för arbetet (personella och ekonomiska) när och hur uppföljning, utvärdering och avrapportering ska ske när och hur våra medarbetare ska informeras och utbildas. 3 ORGANISATION, ROLLER OCH ANSVAR 3.1 Övergripande ansvar Det övergripande ansvaret för informationssäkerheten vilar på kommundirektören i respektive kommun. 3.2 Roller och ansvar Organisation, roller och fördelning av ansvar ska bidra till att informationen administreras och hanteras på ett riktigt sätt. Detta gäller också våra informationssystem så att de under hela sin livstid bidrar till att stödja avsedd verksamhet och att uppfylla riktlinjernas mål. Våra informationssystem, med alla dess delar, är en resurs i verksamheten på samma sätt som personal, lokaler, kontorsmaterial mm. Roller och ansvar beskrivs i Informationssäkerhetsinstruktion Förvaltning.
Sida 5 4 GENERELLA KRAV Samtliga informationssystem ska vara identifierade och förtecknade genom en översiktlig Riskanalys. Kommundirektören i respektive kommun utser systemägare för dessa. Alla informationssystem ska minst klara den basnivå för informationssäkerhet som KBM:s rekommendationer beskriver. Vissa informationssystem är en förutsättning för oss att kunna bedriva vår verksamhet. För dessa ska en riskanalys upprättas med stöd av KBM:s verktyg för analys av informationssäkerhet. Analysen ska utgöra underlag för utsedd system-ägares beslut om driftgodkännande. Följande områden är av särskild betydelse för vår verksamhet: Åtkomst till informationssystem Loggning och spårbarhet Informationssäkerhetsutbildning Informationsklassning Distansarbete och mobil datoranvändning Införande, drift, förvaltning och avveckling av informationssystem Incidenthantering Tillträdesskydd (rum för noder och kommunikationsutrustning) Säkerhetskopiering och lagring Hantering av datamedia Datakommunikation (internt och externt) E-post och Internet Kontinuitetsplanering Driftgodkännande För dessa områden finns särskilda krav som ska framgå av informationssäkerhetsinstruktionerna. 5 REVIDERING OCH UPPFÖLJNING Uppföljning är en viktig del i informationssäkerhetsarbetet för att bevaka att: - beslutade åtgärder är genomförda - årliga mål är uppfyllda - regler följs - riktlinjer, säkerhetsinstruktioner och riskanalyser vid behov revideras.