Informationssäkerhetspolicy



Relevanta dokument
ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Informationssäkerhetspolicy för Ystads kommun F 17:01

Informationssäkerhetspolicy

Informationssäkerhetspolicy

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Informationssäkerhetspolicy för Ånge kommun

1(6) Informationssäkerhetspolicy. Styrdokument

Informationssäkerhetspolicy inom Stockholms läns landsting

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Informationssäkerhetspolicy. Linköpings kommun

POLICY INFORMATIONSSÄKERHET

Informationssäkerhetspolicy KS/2018:260

Informationssäkerhetspolicy S/~LA KOMMUN KOMMUNFULLMÄKTIGE. Bi l aga KS 2015 / 135/1 INFORMATIONSSÄKERHETSPOLICY FÖR SALA KOMMUN

Informationssäkerhetspolicy

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Regler och instruktioner för verksamheten

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Kommunal författningssamling för Smedjebackens kommun. Informationssäkerhetspolicy. 97 Dnr 2016/00447

Riktlinjer för Informationssäkerhet Falkenbergs Kommun Kommunledningskontoret

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Informationssäkerhetspolicy IT (0:0:0)

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

INFORMATIONSSÄKERHET 1 INLEDNING MÅL FÖR IT-SÄKERHETSARBETET... 2

Policy för informationssäkerhet

Informationssäkerhetspolicy

1 INLEDNING ALLMÄNT OM INFORMATIONSSÄKERHET MÃL FÖRKOMMUNENS lnformationssäkerhetsarbete ROLLER OCH ANSVAR...

Informationssäkerhetspolicy

Informationssäkerhetspolicy för Katrineholms kommun

Informationssäkerhetspolicy

Informationssäkerhet - Informationssäkerhetspolicy

Policy för informationssäkerhet

Organisation för samordning av informationssäkerhet IT (0:1:0)

Kommunstyrelsens förslag till antagande av reviderad informationssäkerhetspolicy Ärende 11 KS 2017/336

I Central förvaltning Administrativ enhet

Riktlinjer för IT-säkerhet i Halmstads kommun

Informationssäkerhet, Linköpings kommun

Dnr

Informationssäkerhetspolicy IT (0:0:0)

Policy för informations- säkerhet och personuppgiftshantering

Policy och strategi för informationssäkerhet

Säkerhetsskyddsplan. Fastställd av kommunfullmäktige

Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13

Bilaga till rektorsbeslut RÖ28, (5)

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

IT-säkerhetspolicy. Fastställd av KF

Riktlinjer informationssäkerhet

1 (5) Informationssäkerhetspolicy Informationssäkerhetspolicy. Ver 3.0

SÄKERHETSPOLICY FÖR VÄSTERVIKS KOMMUNKONCERN ANTAGEN AV KOMMUNFULLMÄKTIGE , 8

Informationssäkerhetspolicy för Nässjö kommun

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

IT-SÄKERHETSPOLICY. Stadskontoret. 1 Inledning Definition Omfattning Mål för IT-säkerhetsarbetet... 2

I n fo r m a ti o n ssä k e r h e t

Säkerhetspolicy för Västerviks kommunkoncern

Katrineholms kommuns. Informationssäkerhetspo licy. IZatrineholms kommun "- Antagen av kommunfullmäktige , 106

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad:

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Strategi Program Plan Policy» Riktlinjer Regler

Riktlinje för informationssäkerhet

Informationssäkerhetspolicy för Umeå universitet

Reglemente för internkontroll

Informationssäkerhetspolicy

REGLEMENTE FÖR INTERN KONTROLL I YSTADS KOMMUN

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

Fördelning av ansvar för informationssäkerhet. Version: 1. Beslutsinstans: Regiondirektören

IT-säkerhetspolicy för Landstinget Sörmland

Reglemente för intern kontroll

IT-säkerhetspolicy Instruktion Kommunfullmäktige. Senast reviderad Beskriver IT-säkerhetarbetet.

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Remissutgåva. Program för informationssäkerhet

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

IT-Säkerhetspolicy för Munkfors, Forshaga, Kils och Grums kommun

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Riktlinje för säkerhetsarbetet i Norrköpings kommun

EDA KOMMUN. nformationssäkerhet - Informationssäkerhetspolicy

Myndigheten för samhällsskydd och beredskaps författningssamling

Informationsklassning och systemsäkerhetsanalys en guide

Säkerhetspolicy för Tibro kommun

Riktlinjer för säkerhetsarbetet i Älvsbyns kommun

Bilaga 3 Säkerhet Dnr: /

Verksamhetsplan Informationssäkerhet

Policy för säkerhetsarbetet i. Södertälje kommun

SÄKERHETSPOLICY I FÖR FALKÖPINGS KOMMUN

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

Informationssäkerhetspolicy

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

Policy för säkerhetsskydd

Kommunens författningssamling

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Säkerhetspolicy Bodens Kommun

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet

Informationssäkerhetsanvisningar Förvaltning

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

Lokal informationssäkerhetspolicy för hälso- och sjukvårdsförvaltningen

Informationssäkerhetspolicy

IT-säkerhetspolicy. Antagen av kommunfullmäktige

Transkript:

2009-07-15 1 (9) Informationssäkerhetspolicy Antagen av kommunfullmäktige den 2009-10-21, 110 Kommunstyrelseförvaltningen Postadress Besöksadress Telefon Telefax E-post Hemsida 462 85 Vänersborg Sundsgatan 29 0521-72 10 00 0521-72 19 60 vanersborg.kommun@vanersborg.se www.vanersborg.se

2 Innehåll Informationssäkerhetspolicy 1. Informationssäkerhet... 3 2. Syfte... 3 3. Mål... 3 4. Policy... 4 4.1. Ansvar... 4 4.2. Definition... 4 4.3. Planer och analyser... 4 4.4. Dokumentation... 4 4.5. Utbildning... 5 4.6. Övrigt... 5 Tillägg 1. Klarläggande... 6 1.1. Definition av Informations- och IT-säkerhet... 6 1.2. Målet med kommunens informationssäkerhetsarbete... 6 1.3. Styrande dokument för kommunens informationssäkerhet... 6 1.4. Organisation och ansvar... 7 1.4.1. Kommunstyrelsen... 7 1.4.2. Kommunchefen... 7 1.4.3. Informationssäkerhetssamordnare... 7 1.4.4. Förvaltnings- och bolagschefer (nämnder och styrelser)... 8 1.4.5. IT-chef... 8 1.4.6. Systemägare... 9 1.4.7. Personal... 9 1.4.8. Externt engagerad personal och extern tjänsteleverantör... 9 1.5. Uppföljning... 9

3 1. Informationssäkerhet Olika typer av hot och säkerhetsincidenter utgör en risk för Vänersborgs kommuns verksamhet. Förlust, förstörelse eller förändring av data eller oauktoriserat offentliggörande av sekretessbelagd information från våra system kan göra det svårt eller omöjligt för vår personal att utföra sin uppgift eller utsätta andra för fara. 2. Syfte Avsikten med policyn är att skydda kommunens informationstillgångar mot alla hot, interna eller externa, såväl avsiktliga eller oavsiktliga samt mot obehörig åtkomst. Information kan förekomma i många olika former data lagrad i datorer, överförd via nät/fax, tryckt på papper, lagrad på band, CD, USB-minne, telefon eller muntligt framförd. 3. Mål Åtgärder ska fortlöpande vidtas syftande till att information finns tillgänglig, inte förvanskas, inte heller förkommer eller otillbörligen sprids, samt att lagar och tilllämpliga regelverk efterlevs. Målsättningen med informationssäkerheten är att säkerställa kommunens verksamhet mot avbrott, genom att förebygga och minimera verkan av oönskade händelser. Samtliga delar ska vara mätbara samt följas upp.

4 4. Policy 4.1. Ansvar Policyn omfattar all information som hanteras inom kommunens verksamhet, samt i relation med medborgare och leverantör. Kommunfullmäktige har godkänt och ställer sig bakom denna Informationssäkerhetspolicy med tillhörande bilaga IT-riktlinjer för medarbetare. Alla chefer är direkt ansvariga för att denna policy följs inom sina respektive ansvarsområden. Policyn gäller för kommunens samtliga anställda. Det är varje persons ansvar att följa denna policy. Underlåtenhet kan medföra påföljd. Kommunens informationssäkerhetssamordnare har det direkta ansvaret för att leda informationssäkerhetsarbetet, sprida kunskap om och att ge råd/- vägledning för dess införande. 4.2. Definition Utifrån varje verksamhets kravbild ska; informationens tillgänglighet säkerställas, d.v.s. att informationen finns tillgänglig när den behövs. informationens riktighet säkerställas, d.v.s. att informationen är korrekt och fullständig. informationens sekretess säkerställas, d.v.s. att endast behöriga kommer åt informationen. informationens spårbarhet säkerställas, d.v.s. att man i efterhand kan följa händelser i IT-systemen och koppla dessa till en specifik händelse. 4.3. Planer och analyser Systemsäkerhetsplan ska genomföras för alla kritiska verksamhetssystem. Förvaltningschef ska upprätta avbrottsplan som ska underhållas och testas. Riskanalys ska årligen genomföras för varje kritisk informationstillgång. 4.4. Dokumentation Kritiska informationstillgångar ska dokumenteras och tilldelas en ägare. Klassificering och värdering av informationstillgångar ska upprätthållas. Respektive nämnd ska ta fram riktlinjer och rutiner för sin förvaltning till stöd för denna policy med angivande av ansvarsförhållanden för genomförande och förvaltning.

5 4.5. Utbildning Utbildning i informationssäkerhet ska ges alla anställda genom informationssäkerhetssamordnarens omsorg. 4.6. Övrigt Gällande lagstiftning och avtal ska uppfyllas. Alla säkerhetsincidenter, konstaterade eller misstänkta, ska rapporteras till och undersökas av informationssäkerhetssamordnaren. Regelbundna revisioner av att policyn efterlevs ska genomföras.

6 1. Klarläggande Detta dokument syftar till att utveckla punkterna som anges i informationssäkerhetspolicyn för Vänersborgs kommun. Dokumentet är inte en fortsättning på policyn utan mer en hjälp för att förstå konsekvensen av policyns innehåll. 1.1. Definition av Informations- och IT-säkerhet Med begreppet informationssäkerhet avses säkerhet beträffande informationstillgångar rörande förmågan att upprätthålla fastställda krav avseende sekretess, riktighet, tillgänglighet och spårbarhet. Med begreppet IT-säkerhet avses säkerhet beträffande IT-system med förmåga att förhindra obehörig åtkomst och obehörig eller oavsiktlig förändring eller störning vid databehandling samt dator- och telekommunikation. 1.2. Målet med kommunens informationssäkerhetsarbete Inom Vänersborgs kommun är informationsbehandlingen omfattande. Den har strategisk betydelse för kommunens verksamhet och för den nivå på service som kommunen tillhandahåller sina medborgare. Information är en viktig tillgång varför den måste skyddas mot förlust, förvanskning, obehörigt nyttjande etc. Vänersborgs kommun är samlingsbegreppet för all verksamhet som bedrivs av enheter där Vänersborgs kommun har avgörande ägarinflytande. Information återfinns i många olika former, t.ex. i brev som inkommer till kommunen, i handlingar som upprättas, i IT-system, i samtal och diskussioner o.s.v. De skyddsmetoder som erfordras inkluderar bl.a. riktlinjer, rutiner, organisation, säkerhetstekniska lösningar och ett gott säkerhetsmedvetande. Informationssäkerhetsarbetet och skyddet omfattar all den information, oavsett om IT-stöd nyttjas eller inte, som hanteras, lagras, bearbetas etc. inom kommunen. Informationsskyddet måste möta de krav som ställs i gällande lagstiftning, av medborgarna, den egna verksamheten etc. Skyddet skall vara utformat så att tillgången till information och öppenheten inom kommunens verksamheter förblir så stor som möjligt för allmänheten. Aktuellt skydd skall alltid kunna hänföras till ställda skyddskrav, vilka även skall ta hänsyn till aktuell hot- och riskbild. Det är av vikt att aktuella hot- och risker mot informationen, dess hantering och dess behandling, kartläggs hos respektive verksamhet inom kommunen för att möjliggöra införandet av ett effektivt och adekvat informationsskydd. Kommunens informationssäkerhetsskydd utgörs av den samlade effekten av de skyddsåtgärder som reducerar risken för att hot utfaller gentemot informationens sekretess, riktighet, tillgänglighet och åtgärder som reducerar de negativa konsekvenserna om ett hot utfaller. 1.3. Styrande dokument för kommunens informationssäkerhet Inom kommunen är det ett flertal olika regelverk som styr vilka regler som är gällande avseende information, dess hantering och behandling. Föreligger motsägelser i de olika regelverken är det alltid gällande lagstiftning som skall följas. Följande hierarki avseende reglerna för informationssäkerheten inom kommunen är gällande.

7 1. Gällande lagstiftning och andra relevanta/tvingande regelverk. 2. Regler kring informationssäkerhet utfärdade av kommunens informationssäkerhetssamordnare. 3. Regler kring nyttjande av IT-säkerhetstekniska lösningar utfärdade av ITavdelningen. 4. Regler kring informationssäkerhet utfärdade av nämnder/styrelser. 5. Regler kring informationssäkerhet utfärdade av förvaltningschefer eller motsvarande. 6. Regler kring informationssäkerhet utfärdade av informationssäkerhetsombud och IT-säkerhetssamordnare. 7. Regler kring informationssäkerhet utfärdade av informationssystemägare. 8. Handhavandeinstruktioner och användarinstruktioner. Informations- och IT-säkerheten skall så långt som möjligt integreras i de rutiner som gäller för den specifika informationshanteringen/ informationssystemet. 1.4. Organisation och ansvar Kommunens informationssäkerhetsarbete bygger på att den som ansvarar för en verksamhet därmed även ansvarar för verksamhetens informationssäkerhetsskydd. Ansvaret för att erforderligt skydd införs, förvaltas och vidareutvecklas åvilar alltid verksamhetsansvariga. 1.4.1. Kommunfullmäktige Kommunfullmäktige fastställer kommunens informationssäkerhetspolicy enligt vilken kommunens informationssäkerhetsarbete skall bedrivas och organiseras och är ytterst ansvarig för att en god säkerhet finns och upprätthålls inom kommunen och dess verksamheter. 1.4.2. Kommunchefen Kommunchefen utser kommunens informationssäkerhetssamordnare. 1.4.3. Informationssäkerhetssamordnare Kommunens informationssäkerhetssamordnare är direkt underställd kommunchefen och ansvarar för upprättande, vidareutveckling och förvaltning av kommunens övergripande informationssäkerhetsregler, upprättande av utbildningsmaterial i kommunens övergripande informationssäkerhetsregelverk, framtagande av metodstöd etc. inom informationssäkerhetsområdet, en årlig sammanställning av informationssäkerhetsincidenter inom kommunen, med incident avses händelse som potentiellt kan få eller kunnat få allvarliga konsekvenser för verksamheten, att upprätthålla en aktuell övergripande hot-/riskbild mot kommunens informationsförsörjning,

8 samt har befogenhet att stoppa sådan verksamhet som bryter mot gällande regelverk för informationssäkerhet, kan utfärda dispenser till förvaltningar och bolag att avvika från kommunens gällande regelverk (dock inte kommunens informationssäkerhetspolicy) kring informationssäkerhet under förutsättning att förvaltningen och nämndens ledning accepterat den ökade hot/riskexponeringen. Dispenser skall vara tidsbegränsade och omfattar normalt en giltighetstid om 3 månader men i särskilda fall upp till 12 månader, utgör kontaktperson gentemot andra organisationer, utgör expertstöd till kommunens förvaltningar och bolag i informationssäkerhetsfrågor. 1.4.4. Förvaltnings- och bolagschefer (nämnder och styrelser) Nämnder och styrelser är ytterst ansvariga för att informationssäkerheten möter aktuell hot-/riskbild mot verksamheten. Förvaltnings- och bolagschefer har normalt av nämnd/styrelse delegerats att operativt ansvara för informations- och IT-säkerheten inom verksamheten. En chefsbefattning innebär säkerhetsansvar och ansvar för att personalen är informerad om gällande policy (säkerhetspolicy och informationssäkerhetspolicy), regler och tillhörande bilaga IT-riktlinjer för medarbetare samt att dessa följs inom ramen för ansvarsområdet. Respektive chef ansvarar för att rapportering av incidenter, utan fördröjning, sker till informationssäkerhetssamordnaren. 1.4.5. IT-chef IT-avdelningen äger kommungemensamma informations- och ITsäkerhetslösningar samt har befogenhet att utfärda anvisningar om att specifika IT-säkerhetstekniska lösningar skall användas inom kommunen om de uppfyller verksamhetens krav på informationssäkerhet. IT-chef ansvarar för att tillhandahålla en teknisk driftmiljö som motsvara de av systemägaren ställda krav, som gäller tillgänglighet av informationen. Dessa krav definieras i systemsäkerhetsplanen för systemet IT-säkerheten möter de krav som ställs upprätthålla en aktuell hot-/riskbild mot IT-verksamheten utgöra expertstöd till verksamheten i IT-säkerhetsfrågor rapportering av incidenter, utan fördröjning, sker till säkerhetssamordnaren riktlinjer, användarinstruktioner, installationsanvisningar etc. innehåller erforderlig information kring IT-säkerhet uppdatera bilagan till denna policy, IT-riktlinjer för medarbetare

9 1.4.6. Systemägare Med system avses såväl manuella rutiner såväl som rutiner som helt eller delvis utgörs av IT-stöd. Systemägarna ansvarar för att informations- och ITsäkerheten möter de krav som ställs, genom att upprätta en systemsäkerhetsplan samt en aktuell hot-/riskbild för de system som av kommunen är klassade som kritiska. Systemägaren ansvarar även för att en hot-/riskanalys utförs på systemet samt att erforderligt skydd utifrån systemsäkerhetsplanens krav införs innan driftsättning. Dessa krav gäller även vid förändring av driftsatt system. En årlig uppdatering av systemsäkerhetsplan samt en hot-/riskanalys skall genomföras på driftsatta system. 1.4.7. Personal Kommunens personal skall känna till informationssäkerhetspolicyn samt tillhörande bilaga IT-riktlinjer för medarbetare. Detta ska ställas i relation till den information som hanteras samt de eventuella specifika regler som är gällande inom kommunen. 1.4.8. Externt engagerad personal och extern tjänsteleverantör Externt engagerad personal och externa tjänsteleverantörer skall ha tagit del av de regler som är relevanta för deras uppdrag innan de får hantera kommunens informationssystem och informationsresurser. 1.5. Uppföljning Enligt gällande säkerhetspolicy skall uppföljning ske av att säkerhetsnivån är acceptabel inom kommunens förvaltningar och bolag genom säkerhetsrevision i form av intern kontroll. Resultatet av genomförd revision rapporteras till nämnd/styrelse. Säkerhetsrevisionen skall bl.a. mäta antalet inträffade skador, dess omfattning och kostnader samt antalet incidenter, d.v.s. händelser som skulle ha kunnat resultera i en skada. En viktig del i säkerhetsrevisionen är att bedöma kostnaderna i relation till ett ökat säkerhetsskydd.

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss