ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) INFORMATIONSSÄKERHETSPOLICY Innehållsförteckning Sida 1.1 Informationssäkerhet 1 1.2 Skyddsområden 1 1.3 Övergripande mål 2 1.4 Årliga mål 2 1.5 Organisation och ansvar 3 1.6 Basnivå för informationssäkerhet 3 1.7 Skyddsklassning av information 4 1.8 Internet och e-post 4 1.9 Kontinuitetsplanering 4 1.10 Revision och uppföljning 4 1.11 Styrande dokument för informationssäkerhet 5 1.12 Styrande dokument som upphör att gälla 5 Bilagor Bilaga 1, Modell för skyddsklassning av information 1.1 Informationssäkerhet Informationssäkerhet är förmågan att upprätthålla önskad sekretess, riktighet och tillgänglighet avseende information och informationstillgångar. Denna informationssäkerhetspolicy anger mål och inriktning för informationssäkerhetsarbetet i kommunens förvaltningar och bolag (kommunen). Policyn konkretiseras bland annat i säkerhetsinstruktionerna för Förvaltning, Användare och Kontinuitet och drift, se vidare under punkt 1.11, Styrande dokument för informationssäkerhet. Informationssäkerheten ska omfatta hanteringen av kommunens samtliga informationstillgångar utan undantag. Med informationstillgångar avses all information oavsett om den behandlas manuellt eller automatiserat och oberoende av i vilken form eller miljö den förekommer. 1.2 Skyddsområden Utgångspunkter i arbetet med informationssäkerhet är; Lagar, förordningar och föreskrifter Kommunens egna krav på informationssäkerhet Avtal som reglerar frågor om informationssäkerhet
ÅNGE KOMMUN Informationssäkerhetspolicy 2 (5) Det är nödvändigt att kunna skilja på den information som ska vara tillgänglig för alla och den information som ska skyddas för att förhindra obehörig åtkomst, manipulation eller otillåten spridning av information. All information av värde och de tekniska system som hanterar denna information, ska skyddas mot hot som påverkar följande skyddsområden; Sekretess Riktighet Tillgänglighet Informationen skyddas så att den inte avsiktligt eller oavsiktligt görs tillgänglig eller avslöjas för obehöriga eller utnyttjas på ett otillåtet sätt. Informationen ska vara riktig, aktuell och begriplig. Informationen ska vara tillgänglig för rätt person när den behövs och på ett spårbart sätt. 1.3 Övergripande mål Målsättningen med informationssäkerhetsarbetet i kommunen är att; all personal har kunskap om gällande informationssäkerhetsregler, informationsförsörjningen är säker, effektiv och bidrar till ökat skydd och stöd för medarbetare, samverkande partners och tredje man, avtal som rör informationssäkerhet är kända och följs, krishanteringsförmågan upprätthålls, det finns tillgång till en gemensam, säker och väl definierad infrastruktur för extern och intern datakommunikation, all information av värde och de tekniska system som hanterar denna information ska skyddas i tillräcklig grad, händelser i informationssystemen som kan leda till negativa konsekvenser förebyggs, hotbilden för varje samhällsviktigt/verksamhetskritiskt informationssystem analyseras fortlöpande. 1.4 Årliga mål Årliga mål för arbetet med informationssäkerhet ska framgå av förvaltningens verksamhetsplanering och ge svar på följande frågeställningar; tidplan för vad som ska göras under året (när och hur, sluttidpunkt), vilka resurser för arbetet med informationssäkerhet avsätts i budget, när och hur uppföljning, utvärdering och avrapportering ska ske, när och hur förvaltningens medarbetare ska informeras och utbildas.
ÅNGE KOMMUN Informationssäkerhetspolicy 3 (5) 1.5 Organisation och ansvar Kommunstyrelsen har det övergripande ansvaret på politisk nivå för att denna policy och övriga styrdokument följs inom hela kommunkoncernen. Varje nämnd och styrelse samt styrelse i helägt kommunalt bolag svarar för arbetet med informationssäkerhet inom sitt verksamhetsområde och för att styrdokumenten följs. under ledning av kommunchefen har det övergripande ansvaret i ledningsorganisationen för planering och genomförande av kommunens informationssäkerhetsarbete. En informationssäkerhetssamordnare/-funktion utses av ledningen för att svara för samordning av informationssäkerhetsarbetet. En viktig del i säkerhetsarbetet är att klargöra hur ansvaret för samtliga informationssystem är fördelat på systemägare, systemförvaltare och övriga ansvarsroller. I dokumentet Säkerhetsinstruktion Förvaltning beskrivs organisationen för hanteringen av kommunens informationssystem och vilka roller som gäller och vilket ansvar som följer med dessa roller. Alla verksamheter inom kommunkoncernen är bundna av denna policy vilket medför att det inte finns utrymme att besluta om lokala regler och avvikelser. Var och en ska vara uppmärksam på och rapportera händelser som kan påverka säkerheten för våra informationstillgångar. Det är också ett ansvar för ledare på alla nivåer att aktivt verka för en positiv attityd till säkerhetsarbetet. All personal ska regelbundet få den utbildning som behövs för att informationssäkerheten ska upprätthållas. Den som använder informationstillgångar på ett sätt som strider mot denna policy kan bli föremål för disciplinära åtgärder. 1.6 Basnivå för informationssäkerhet Samtliga informationssystem ska vara identifierade och förtecknade och de system som är kritiska för verksamheten ska prioriteras av förvaltningschefsgruppen. För dessa ska en systemsäkerhetsanalys upprättas med stöd av BITS Plus som är ett verktyg för analys av informationssäkerhet. Analysen ska utgöra underlag för driftgodkännande. Basnivå är den säkerhetsnivå som minst måste uppnås för informationssystem som bedöms nödvändigt för att upprätthålla en verksamhet på acceptabel nivå enligt (BITS) som Myndigheten för Samhällsskydd och Beredskap (MSB) rekommenderar.
ÅNGE KOMMUN Informationssäkerhetspolicy 4 (5) 1.7 Skyddsklassning av information Vid analys av informationssäkerhet med avseende på sekretess, riktighet och tillgänglighet, ska kommunens Modell för skyddsklassning av information användas, se Bilaga 1. 1.8 Internet och e-post Vid användning av Internet och tjänster som är tillgängliga där, representerar användaren Ånge kommun och det innebär ett ansvar för att uppträda på ett professionellt och etiskt godtagbart sätt som inte skadar kommunen. Det är inte tillåtet att via Internet ta del av och sprida information med innehåll som exempelvis kan vara förtal, hets mot folkgrupp, pornografi och olaga våldsskildring, Undantag kan beviljas av ansvarig chef om informationen på sådana webbplatser har relevans för arbetsuppgifterna. Sekretessbelagd och annan känslig information får inte skickas via e-post. Regler om användningen av Internet, e-post och distansarbete med IT-stöd beskrivs mer utförligt i Säkerhetsinstruktion Användare. 1.9 Kontinuitetsplanering Kontinuitetsplaneringen är avgörande för att verksamheten ska kunna utföras på en acceptabel nivå under såväl normala förhållanden som extraordinära händelser. Det ska finnas en kontinuitetsplan för driften av informationssystemen, baserad på de kritiska informationssystemens samlade krav. Se vidare i Säkerhetsinstruktion Kontinuitet och drift. I systemsäkerhetsanalysen ska behovet av kontinuitetsplan klarläggas. Konsekvenser av kortare och längre avbrott bör vägas mot kostnader för utökade skyddsåtgärder och olika reservdriftalternativ. 1.10 Revision och uppföljning Systemsäkerhetsanalyser av informationssystem bör löpande följas upp och vid behov revideras. Rapportering av skador och incidenter som rör informationssäkerhet, oavsett om informationen behandlas manuellt eller automatiserat, ska göras enligt de rutiner som beskrivs i Säkerhetsinstruktion Användare. Uppföljning av hur säkerhetspolicyn och övriga styrdokument efterlevs, sker bland annat genom säkerhetsgruppens rapportering till kommunstyrelsen och genom att riktade säkerhetsrevisioner genomförs.
ÅNGE KOMMUN Informationssäkerhetspolicy 5 (5) 1.11 Styrande dokument för informationssäkerhet I följande tabell beskrivs samtliga styrande dokument för informationssäkerhet med uppgift om var dokumenten fastställs; Dokument Innehåll Fastställs av Informationssäkerhetspolicy. Policy för Kommunfullmäktige informationssäkerhet Förvaltning. Användare. Kontinuitet och drift. Systemsäkerhetsanalyser och driftgodkännande för alla informationssystem. inom hela organisationen. Instruktion för roller och ansvar samt förvaltning av informationssystem. Instruktion med regler, råd och anvisningar för användare. Instruktion för att förebygga och hantera avbrott i samhällsviktiga informationssystem. Systemsäkerhetsanalyser utförs i verktyget BITS Plus och är en ingående analys av säkerheten i ett system. Systemägarna 1.12 Styrande dokument som upphör att gälla Följande styrdokument upphör att gälla samtidigt som denna policy fastställs av kommunfullmäktige; Dokument Innehåll Fastställd av IT-säkerhetspolicy Policy för IT-säkerhet Kommunfullmäktige inom hela organisationen 2005-06-13, 40 Policy för distansarbete Riktlinjer för distansarbete Policy för distansarbete med IT-stöd för anställda inom Ånge kommun Riktlinjer för distansarbete med IT-stöd Kommunstyrelsen, 2001-04-03, 53, 2001-04-20