Behandling: Granskad Datasäkerhetsgruppen 7.1.2016 27.1.2016 Godkänd Stadsstyrelsen 8.2.2016 Ändringar: Datum / Gjorts av Punkt Beskrivning 28.1.2016 / Matti Franck Hela dokumentet Hela dokumentet ESPOON KAUPUNKI 02070 ESPOON KAUPUNKI WWW.ESPOO.FI ESBO STAD 02070 ESBO STAD WWW.ESBO.FI
Innehåll 1 Inledning... 3 2 Informationssäkerhet... 3 3 Riskhantering... 4 4 Beredskap... 4 5 Kravenlighet och mål... 4 6 Organisering, roller och ansvar... 4 7 Användning av information och informationssystem... 6 8 Kunskaper och färdigheter i informationssäkerhet... 6 9 Upprätthållande av informationssäkerheten... 6 2/7
1 Inledning Information har en central roll i Esbo stads verksamhet och tjänsteproduktion. För att informationen ska kunna utnyttjas effektivt, ska förfarandena vid informationshantering och informationsbehandling fungera som sig bör i alla situationer. Ledningen för Esbo stad fastställer i denna policy principer och riktlinjer för informationssäkerhet. Policyn ligger till grund för stadens anvisningar om informationssäkerhet, vilkas syfte är att precisera policyn och hjälpa att tillämpa den i praktiken. Policyn är en del av stadens system för hantering av informationssäkerhet (bilaga 1). Denna policy gäller alla de arbetstagare, tjänsteinnehavare, förtroendevalda och representanter för intressentgrupper som inom ramen för sitt arbete eller uppdrag behandlar information som Esbo stad äger eller förvaltar. Policyn tillämpas på all information och andra data (senare information) oberoende av dess framställningssätt, form, skyddsnivå, livscykelsskede, omgivning eller överföringssätt. 2 Informationssäkerhet I Esbo stad avses med informationssäkerhet administrativa, tekniska och andra metoder för att skydda information som staden äger eller förvaltar både under normala förhållanden, i störningssituationer under normala förhållanden och under undantagsförhållanden. Informationssäkerhet ska beaktas i ett så tidigt skede som möjligt när en verksamhet planeras. För att informationssäkerheten ska lyckas krävs det att följande omständigheter, vars betydelse varierar från fall till fall, uppfylls: Konfidentialitet: Informationen kan användas bara av dem som är berättigade till den. Integritet: Informationen har inte ändrats avsiktligt eller oavsiktligt, och informationen har inte förändrats till följd av en teknisk störning. Tillgänglighet: Informationen, ett informationssystem eller en tjänst är tillgänglig för och kan användas av de behöriga personerna och systemen när den behövs. Obestridlighet: Informationen behandlas så att parterna i behandlingen kan identifieras entydigt både under behandlingen och efteråt. Principen är att informationen i första hand är offentlig och öppen, vilket innebär att kraven på informationens integritet och tillgänglighet får allt större vikt. Informationssäkerheten i Esbo stad omfattar även cybersäkerhet, dataskydd och andra delområden inom säkerhet. De mest centrala av dessa för staden är följande: Tryggande av 1 konfidentialitet, integritet, tillgänglighet och kontinuitet i cyberrymden. Lagstadgat säkerställande av individens integritetsskydd och rättigheter som tryggar detta vid behandling av personuppgifter. Skydd av stadens lokaler och människorna, informationen och annan egendom som finns där mot skador av olika slag, mot försök till skadegörelse och mot obehöriga personer. 1 Personer, system och tjänster som är i interaktion med varandra med hjälp av olika tekniker. 3/7
Åtgärder i personalprocessen innan anställningsförhållandet inleds, medan det pågår och när det upphör. Avtal för att policyn ska följas också i samarbetet med intressentgrupper. 3 Riskhantering Riskhantering genomförs enligt Esbo stads riskhanteringspolicy. Processen som beskrivs i denna policy (inkl. rapportering, uppföljning och ansvar) utgör också grunden för stadens informationssäkerhet. Principen är att riskhanteringsprocessen används för hantering av interna och externa risker som gäller information eller förorsakas av information. 4 Beredskap Esbo stad förbereder sig på att i första hand trygga kritiska verksamheters och tjänsters kontinuitet under normala förhållanden, i störningssituationer under normala förhållanden och under undantagsförhållanden. Beredskap genomförs genom att man upprätthåller, övar och testar de beredskapsplaner och andra planer som behövs. Roller vid och ansvar för beredskap beskrivs i dessa planer. Målet är att förbereda sig på störningar och avbrott i verksamheten så att denna kan fortsätta så normalt som möjligt samt så att skadeverkningar kan begränsas och man kan återhämta sig så fort som möjligt. 5 Kravenlighet och mål Förutom lagen ställer stadens strategi Berättelsen om Esbo krav på och mål för stadens informationssäkerhet. Dessutom styrs informationssäkerheten av 5 i statsrådets förordning om informationssäkerheten inom statsförvaltningen (681/2010), anvisningarna från ledningsgruppen för informations- och cybersäkerheten inom statsförvaltningen (VAHTI) och den nationella kriteriesamlingen för säkerhetsauditering (KATAKRI). Målet med stadens informationssäkerhet är att bygga och säkerställa stadens verksamhetsmiljö så att inverkningarna av en störning (t.ex. ett mänskligt misstag, ett tekniskt fel eller avsiktlig skadegörelse) kan begränsas och funktionerna kan återställas till det normala så fort som möjligt. På så sätt säkerställs att de tjänster som tillhandahålls kommuninvånarna och stadens interna funktioner är av hög kvalitet. Dessutom är målet att förenhetliga stadens praxis för informations- och cybersäkerhet samt för dataskydd. De åtgärder som genomförts och planerats för att målen ska kunna nås och uppföljningen beskrivs i stadens informationssäkerhetsplan. Målen för informationssäkerhet nås bara om alla följer de gemensamt överenskomna principerna. 6 Organisering, roller och ansvar Rollerna med därtill hörande ansvar inom informationssäkerheten har organiserats enligt stadens regler. Stadsstyrelsen följer upp informationssäkerheten i staden. Stadsstyrelsen godkänner informationssäkerhetspolicyn och ändringarna i den. Stadsstyrelsen ordnar den interna kontrollen och riskhanteringen. Stadsdirektören har ett helhetsansvar för informationssäkerheten och rapporteringen om denna till stadsstyrelsen. Stadsdirektören "äger" informationssäkerhetspolicyn och föredrar ändringarna för stadsstyrelsen. Stadsdirektören godkänner anvisningar och riktlinjer som gäller hela staden. Stadens led- 4/7
ningsgrupp och ledningsgruppen för IT-utveckling bistår stadsdirektören i frågor som gäller informationssäkerhet. Sektordirektörerna svarar för riskhantering och beredskap samt informationssäkerheten och dataskyddet inom sina sektorer. Styrelserna och verkställande direktörerna för dotterbolagen och stiftelserna svarar för informationssäkerheten och dataskyddet inom sina organisationer. Cheferna svarar för informationssäkerheten inom sitt ansvarsområde. Chefens viktigaste uppgifter är att se till att de anställda introduceras i stadens informationssäkerhetsanvisningar och det ansvar som hör till varje anställd,,när en anställds anställningsförhållande upphör eller när personen övergår till andra uppgifter, o att stadens information och övriga egendom återlämnas o att Esbo informationsteknik informeras så att den kan avlägsna behörigheter. Personalen svarar för att följa anvisningarna. Var och en ska dessutom omedelbart anmäla om avvikelser, hot och risker som gäller informationssäkerhet till datasäkerhetschefen, till en dataskyddsansvarig eller till sin chef. Den som "äger" informationen svarar för klassificering av informationen (offentlighet och sekretess) och säkerställande av dess integritet samt sparande av informationen enligt klassificeringen. "Ägaren" till ett dataprogram svarar för riskhantering av och beredskap för störningar i programmet och informationen i detta samt för informationssäkerheten. Behörighet beviljas på ansökan av den anställdas chef av ägaren till dataprogrammet eller den som denne befullmäktigat. "Ägaren" till en process svarar för riskhantering av och beredskap för störningar i processen samt för informationssäkerheten. Han eller hon svarar också för identifiering av processens beroendeförhållanden och bedömning av hur kritiska dessa är. Datasäkerhetschefen främjar tillgodoseendet av informationssäkerheten i staden. Datasäkerhetschefen svarar för datasäkerhetsgruppens verksamhet, att systemet för hantering av informationssäkerhet fungerar samt för beredning och utveckling av informationssäkerhetspolicyn och informationssäkerhetsdokumentationen på stadsnivå. Datasäkerhetschefen rapporterar om tillgodoseendet av informationssäkerheten till stadsdirektören och i matrisen till säkerhetschefen samt svarar för informationen som gäller informationssäkerhet tillsammans med koncernstabens informationsenhet. Säkerhetschefen svarar för stadens säkerhetsplanering och beredskap. Datasäkerhetsgruppen följer med informationssäkerhetens allmänna utveckling och hotbilder samt följer upp informationssäkerheten och dataskyddet i staden. Gruppen analyserar och utvärderar den ovan nämnda helheten och ger utifrån utvärderingen förslag till förbättring av informationssäkerheten. Dessutom bistår gruppen hela stadens förvaltning i frågor som gäller informationssäkerhet. Datasäkerhetsansvariga och dataskyddsansvariga sörjer under styrning av sektorernas och koncernförvaltningens ledning för informationssäkerheten och dataskyddet. De hör till datasäkerhetsgruppen och rapporterar till sektorledningen. 5/7
Esbo informationsteknik svarar för den tekniska informationssäkerheten, beredningen av riktlinjer som stöder denna och för att informationssäkerhetskraven efterlevs. Esbo informationsteknik följer upp informationssäkerheten inom sitt ansvarsområde och rapporterar om denna till datasäkerhetschefen i datasäkerhetsgruppen. Dokumentförvaltningen svarar för dokumenthanteringen och anvisningarna som gäller denna. Interna revisionen svarar för att informationssäkerheten är ändamålsenlig och för utvärderingen av om den är tillräcklig samt för revision. Personalförvaltningen svarar för informationssäkerheten och dataskyddet i personalprocessen. Detta ansvar omfattar: anvisningar och stöd till personalen ordnande av utbildning och introduktion i informationssäkerhet kontroll av bakgrundsuppgifter vid behov. 7 Användning av information och informationssystem Staden använder sådana informationssystem, sådan utrustning och sådana dataprogram som Esbo informationsteknik godkänt och förvaltar och som är avsedda för arbetsuppgifterna. Behörighet till den information som staden äger och förvaltar samt till dataprogram beviljas i den omfattning som arbetsuppgifterna förutsätter. Vid eventuella försummelser och missbruk tillämpas förutom lagen också stadens anvisningar. 8 Kunskaper och färdigheter i informationssäkerhet Chefen ser till att en anställd som börjar i en ny uppgift introduceras i anvisningarna om informationssäkerhet och dataskydd samt i den specialkompetens som krävs för den anställdas arbetsuppgifter. Grundutbildning och fortbildning i informationssäkerhet och dataskydd ordnas regelbundet. Denna policy finns offentligt tillgänglig på www.esbo.fi och www.espoo.fi. Stadens informationssäkerhetsdokumentation i sin helhet finns tillgänglig för personalen i stadens interna informationskanaler i den omfattning arbetsuppgifterna förutsätter. 9 Upprätthållande av informationssäkerheten I Esbo stad upprätthålls och förbättras informationssäkerheten utifrån informationssäkerhetsplanen med hjälp av ledning och annan praxis som beskrivs i systemet för hantering av informationssäkerhet. Centralt i säkerhetsarbetet är att staden har tillräckliga färdigheter att aktivt leda informationssäkerheten, bevaka omvärlden, upptäcka och identifiera hoten, och förbereda sig på avvikelser och störningar samt reagera på det sätt som situationen kräver. 6/7
Bilaga 1 7/7