VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

Relevanta dokument
SÅ HÄR GÖR VI I NACKA

Informationssäkerhetspolicy för Ystads kommun F 17:01

Informationssäkerhetspolicy inom Stockholms läns landsting

1(6) Informationssäkerhetspolicy. Styrdokument

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Informationsklassning och systemsäkerhetsanalys en guide

Informationssäkerhetspolicy för Ånge kommun

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Dnr

Informationssäkerhetspolicy

Informationssäkerhetspolicy KS/2018:260

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Informationssäkerhetspolicy för Katrineholms kommun

Informationssäkerhetspolicy

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Informationssäkerhet och SKLs verktyg KLASSA. Avdelningen för Digitalisering Sektionen för Informationshantering och Digital Arbetsmiljö (IDA)

Koncernkontoret Enheten för säkerhet och intern miljöledning

Informationssäkerhetspolicy. Linköpings kommun

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Informationssäkerhetspolicy IT (0:0:0)

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13

Kommunstyrelsens förslag till antagande av reviderad informationssäkerhetspolicy Ärende 11 KS 2017/336

Strukturerat informationssäkerhetsarbete

Kommunfullmäktigesalen. Vid förhinder att delta meddela ditt partis gruppledare för inkallande av ersättare.

Informationssäkerhetspolicy

Riktlinje för informationssäkerhet

POLICY INFORMATIONSSÄKERHET

BESLUT. Instruktion för informationsklassificering

Informationssäkerhetspolicy

Bilaga till rektorsbeslut RÖ28, (5)

IT-Säkerhetsinstruktion: Förvaltning

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Policy för informations- säkerhet och personuppgiftshantering

Ledningens informationssäkerhet

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

Informationssäkerhetsanvisningar Förvaltning

Informationssäkerhetspolicy S/~LA KOMMUN KOMMUNFULLMÄKTIGE. Bi l aga KS 2015 / 135/1 INFORMATIONSSÄKERHETSPOLICY FÖR SALA KOMMUN

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

Finansinspektionens författningssamling

I n fo r m a ti o n ssä k e r h e t

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

Riktlinjer för Informationssäkerhet Falkenbergs Kommun Kommunledningskontoret

Bilaga 1 - Handledning i informationssäkerhet

Riktlinjer för IT-säkerhet i Halmstads kommun

Informationssäkerhet - Informationssäkerhetspolicy

Regler och instruktioner för verksamheten

Katrineholms kommuns. Informationssäkerhetspo licy. IZatrineholms kommun "- Antagen av kommunfullmäktige , 106

Informationssäkerhetspolicy

Policy och strategi för informationssäkerhet

Kommunal författningssamling för Smedjebackens kommun. Informationssäkerhetspolicy. 97 Dnr 2016/00447

Roller för information behöver också fastställas, använd gärna nedanstående roller som kommer från SKL och deras verktyg

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Finansinspektionens författningssamling

Finansinspektionens författningssamling

1 INLEDNING ALLMÄNT OM INFORMATIONSSÄKERHET MÃL FÖRKOMMUNENS lnformationssäkerhetsarbete ROLLER OCH ANSVAR...

Dnr UFV 2017/93. Informationssäkerhet. Riktlinjer för säkerhetsarbetet vid Uppsala universitet. Fastställda av Universitetsdirektören

Informationssäkerhetspolicy

Riktlinjer för styrdokument i Hallsbergs kommun

Handledning i informationssäkerhet Version 2.0

IT-säkerhetsinstruktion Förvaltning

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Lokal informationssäkerhetspolicy för hälso- och sjukvårdsförvaltningen

Verksamhetsplan Informationssäkerhet

Informationssäkerhetspolicy


Administrativ säkerhet

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun

Informationssäkerhetspolicy

Riktlinjer. Informationssäkerhetsklassning

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Revidering av riktlinjer för styrdokument i Uppsala kommun

Riktlinjer för IT och informationssäkerhet - förvaltning

Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet

Strategi Program Plan Policy Riktlinjer» Regler. Arkivregler för Borås Stad

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad:

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

Policy för informationssäkerhet

EDA KOMMUN. nformationssäkerhet - Informationssäkerhetspolicy

1 (5) Informationssäkerhetspolicy Informationssäkerhetspolicy. Ver 3.0

Policy för informationssäkerhet

Informationssäkerhetspolicy IT (0:0:0)

Riktlinjer för informationssäkerhet

Riktlinje för säkerhetsarbetet i Norrköpings kommun

Informationssäkerhet Riktlinje Förvaltning

Vi skyddar din information. Vårt informationssäkerhetsarbete och skydd av personuppgifter

Informationssäkerhet

I Central förvaltning Administrativ enhet

Informationssäkerhet, Linköpings kommun

Revidering av riktlinjer för Informationssäkerhet vid Högskolan i Skövde

Remissutgåva. Program för informationssäkerhet

myndigheter En andra granskning av informationssäkerhet i staten RiR 2016:8 Informationssäkerhetsarbete

Informationssäkerhet vid Lunds Universitet. Mötesplats Rydberg 3:e oktober Lennart Österman

Lokal informationssäkerhetspolicy, lokala informationssäkerhetsriktlinjer och anvisningar

Strategi Program Plan Policy >> Riktlinjer Regler. Lysekils kommuns. Riktlinjer för styrdokument

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

Informationssäkerhetspolicy för Umeå universitet

Transkript:

Riktlinjer Handläggare Vårt diarienummer Datum Sidan 1(8) Jonas Åström KS2016/222 VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL Sandvikens kommuns Riktlinjer för informationssäkerhet - - - - - - - - - - - - - - - - - - - - - - - Version nr 7

Datum Sidan 2(8) Sandvikens kommuns styrdokument» Aktiverande VISION övergripande måldokument, beskriver den framtid organisationen strävar mot STRATEGI avgörande vägval för att nå målen för Sandvikens kommun PROGRAM verksamheter och metoder i riktning mot målen PLAN lagstadgad benämning och styrdokument» Normerande REGLEMENTE ansvarsområde och arbetsformer POLICY Sandvikens kommuns förhållningssätt, viljeinriktning samt principer inom ett område RIKTLINJE rekommenderade sätt att agera REGEL absoluta gränser och ska-krav Styrdokumentets data Fastställt av: Kommunfullmäktige Datum och paragraf: 2016-06-13, 119 Diarienummer: KS2016/222 För revidering ansvarar: För uppföljning och tidplan för denna ansvarar: Dokumentet gäller för: Kommunkoncernen Dokumentet gäller från och med: 2016-07-01 Dokumentet gäller till och med: tills vidare Dokumentansvarig: Informationssäkerhetssamordnare Rätt att göra revideringar under löptiden: KS Revidering av styrdokumentet Rätt att revidera ges på delegation från beslutande organ. I beslutet ska det framgå att delegationen t.ex. gäller administrativa förändringar. Orsak till revidering: Förändring i dokumentet: Beslut av: Beslutsdatum: Diarienumm 2

Datum Sidan 3(8) Innehåll 1 Informationssäkerhet...4 2 Struktur...4 3 Hantering av tillgångar...4 4 Klassificering av information...4 5 Personalresurser och säkerhet...5 6 Fysisk och miljörelaterad säkerhet...5 7 Kommunikation och drift...6 8 Lagring av dokument...6 9 Anskaffning, utveckling, underhåll och avveckling av system...7 10 Hantering av informationssäkerhetsincidenter...7 11 Kontinuitetsplanering...7 12 Efterlevnad...7 13 Ytterligare information...8 3

Datum Sidan 4(8) 1 Informationssäkerhet Information är en av kommunens viktigaste tillgångar och hanteringen av den är en mycket viktig del i arbetet. Med informationstillgångar avses all information oavsett om den behandlas manuellt eller automatiserat och oberoende av dess form eller miljön den förekommer i. Informationssäkerheten omfattar kommunens alla informationstillgångar. 2 Struktur I Informationssäkerhetspolicyn fastställs synen på informationssäkerhet, övergripande mål och organisationens intention med informationssäkerhetsarbetet. I detta dokument, Riktlinjer för informationssäkerhet, beskrivs vad som måste etableras för att uppfylla informationssäkerhetspolicyn. Utifrån detta upprättas sedan instruktioner, som detaljerat redogör för hur exempelvis rutiner och säkerhetslösningar ska utformas och tillämpas, för att informationssäkerhetspolicyn och riktlinjerna ska följas. Sammantaget är detta kommunens regelverk för informationssäkerhet. 3 Hantering av tillgångar Samtliga informationstillgångar ska vara identifierade och förtecknade. Av förteckningen ska framgå vem som är informationsägare och i förekommande fall systemägare. Alla verksamheter och system är utsatta för risker. Risk- och sårbarhetsanalysen ska identifiera tänkbara störningar, allvarliga händelser samt extraordinära händelser. Arbetet syftar till att skapa robusta system samt identifiera och analysera skyddsvärda informationstillgångar. Arbetet ska fokusera på förebyggande insatser och konkreta skyddsåtgärder för människor, egendom och miljö. 4 Klassificering av information Klassificering av information är en grundläggande aktivitet för att alla informationstillgångar och resurser ges nödvändigt skydd. Det är informa- 4

Datum Sidan 5(8) tionen som är skyddsobjektet, dvs. det som ska skyddas. Dock kan överklassificering medföra onödiga åtgärder med ytterligare kostnader till följd. Informationen ska klassificeras utifrån den funktion och betydelse för verksamheten som den har och de konsekvenser det medför om informationen skulle hanteras felaktigt, försvinna, komma i orätta händer etc. Klassificering av information ska ske inom följande fyra kravområden: Konfidentialitet att informationen kan åtkomstbegränsas (benämndes tidigare sekretess men standarden har ändrats för att inte förväxla begreppet med sekretess i juridisk mening) Riktighet att informationen ska vara tillförlitlig, korrekt och fullständig Tillgänglighet att informationen ska kunna nyttjas efter behov, i förväntad utsträckning samt av rätt person med rätt behörighet Spårbarhet att specifika aktiviteter som rör informationen kan spåras Vid bedömning används följande fyra konsekvensnivåer: Allvarlig skada t.ex. massiv informationsförlust, verksamhetsförlust, oöverskådliga konsekvenser, samt fara för liv och hälsa Betydande skada t.ex. tillgänglighetsstörningar, brott mot regelverk, rättsliga krav och avtal, samt förlust av skapat förtroende Måttlig skada t.ex. minskad förmåga att genomföra verksamhetens uppgifter, men effektiviteten är påvisbart reducerad Försumbar skada 5 Personalresurser och säkerhet Alla anställda, uppdragstagare och utomstående användare ska förstå sitt ansvar. Det ska säkerställas att dessa är lämpliga för de roller de anses ha i syfte att minska risken för stöld, bedrägeri eller missbruk av resurser. Det ska också säkerställas att de är medvetna om hot och problem som rör informationssäkerhet samt är rustade för att följa kommunens regelverk för informationssäkerhet när de utför sitt normala arbete och för att minska risken för mänskliga fel. När anställda, uppdragstagare och utomstående användare lämnar kommunen eller ändrar anställningsförhållande ska det ske på ett ordnat sätt. 6 Fysisk och miljörelaterad säkerhet Nivån på det fysiska skyddet ska stå i proportion till resultatet av informationsklassificeringen och de återkommande riskanalyser. 5

Datum Sidan 6(8) Utrustning ska skyddas mot förlust, skada, stöld eller skadlig påverkan på tillgångar och avbrott i kommunens verksamhet. 7 Kommunikation och drift Kommunen ska ha en korrekt och säker drift av IT-miljö, nätverk och tillhörande infrastruktur så att informationens konfidentialitet, riktighet, tillgänglighet och spårbarhet upprätthålls. Risken för systemfel ska minimeras och systemintegriteten för programvara och riktighet i information ska säkerställas genom tydliga förvaltningsmodeller och adekvata tekniska skydd mot exempelvis skadlig kod. Informationens och IT-miljöns riktighet respektive systemintegritet och tillgänglighet ska bevaras genom väl utvecklade rutiner för säkerhetskopiering och återläsning. De ska finnas tydliga instruktioner som hindrar att information på flyttbart och avvecklat media avslöjas. Kritiska och säkerhetsrelevanta händelser ska vara spårbara genom automatiska loggningsfunktioner som skyddas mot manipulation och obehörig åtkomst. Åtkomst till system och information ska styras utifrån verksamhetens behov och säkerhetskrav. Den som har behov av tillgång till viss information för att kunna utföra sina arbetsuppgifter ska tilldelas åtkomsträttigheter. All åtkomst ska vara behovsbaserad utifrån ansvars- och arbetsområde. Alla administratörer ska ha individuella användaridentiteter. Användare ska hantera sina inloggningsuppgifter på ett sätt så att obehörig åtkomst undviks. 8 Lagring av dokument Integritetskänslig eller sekretessinformation ska i första hand lagras i ett befintligt verksamhetssystem som är säkerhetsmässigt godkänt och i andra hand lagras på någon av enheterna H: eller G: i nätverket. Vid lagring på G: måste behörigheten till mappen och dokumentet särskilt anges Information, som är offentlig eller som inte är integritetskänslig får lagras i molnet (OneDrive) m. fl. verktyg i Office 365. Vad som anses vara integritetskänsligt eller som omfattas av sekretess och/eller tystnadsplikt innehåll kan du få hjälp av din chef att definiera Lagring av filer på datorns skrivbord eller på användarens lokala disk ska undvikas då dessa lagringsplatser inte säkerhetskopieras. Dokument som 6

Datum Sidan 7(8) sparats på dessa platser kan försvinna vid t ex ett datorhaveri eller vid en ominstallation av datorn. 9 Anskaffning, utveckling, underhåll och avveckling av system Alla system inom kommun ska ha tillräckliga skydd så att informationens konfidentialitet, riktighet, tillgänglighet och spårbarhet upprätthålls. Systemen ska utformas så att fel, obehörig förändring eller missbruk förhindras genom exempelvis validering av in- och utdata och andra adekvata kontroller. Risker med publicerade sårbarheter ska hanteras. Vid anskaffning ska gallring och arkivering vägas in och beaktas särskilt för att stötta informationens hela livscykel. Plan för avveckling ska finnas redan vid anskaffning av ett system. Krav på gallring och arkivering ska beaktas vid avveckling. Uppgifter som gallras ska förstöras på ett sådant sätt att uppgifterna inte kan återskapas eller komma i orätta händer. 10 Hantering av informationssäkerhetsincidenter Incidenter och säkerhetsmässiga svagheter ska utan dröjsmål rapporteras till Servicedesk på IT-kontoret och ansvarig för Informationssäkerheten i kommunen. Korrigerande åtgärder ska vidtas snarast möjligt. 11 Kontinuitetsplanering Kontinuitetsplaner ska upprättas och införas för de kritiska verksamhetsprocesserna för att säkerställa att identifierade viktiga funktioner kan återställas inom rimlig tid och att verksamheten har manuella rutiner för tiden under återuppbyggnadsarbetet. Kontinuitetsplanen ska baseras på analys av konsekvenserna av störningar, allvarliga händelser, och extraordinära händelser med hänsyn till dess inverkan på verksamheten. 12 Efterlevnad Chefer ska säkerställa att alla säkerhetsrutiner inom deras respektive ansvarsområden utförs korrekt för att upprätthålla informationens konfidentialitet, riktighet, tillgänglighet och spårbarhet. Vitala system och vitala delar i IT-miljö, nätverk och tillhörande infrastruktur ska regelbundet kontrolleras så att informationens konfidentialitet, riktighet, tillgänglighet och spårbarhet upprätthålls. 7

Datum Sidan 8(8) Extern revision ska utföras på ett sådant sätt att informationens konfidentialitet, riktighet, tillgänglighet och spårbarhet inte påverkas. 13 Ytterligare information Dessa riktlinjer är utarbetad helt i enlighet med de normativa kraven i SS- ISO/IEC 27001:2013. För vidare information se respektive instruktion. 8

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss