Esbo stad Informationssäkerhetspolicy

Relevanta dokument
Informationssäkerhetspolicy för Ystads kommun F 17:01

Informationssäkerhetspolicy inom Stockholms läns landsting

Datasäkerhetspolicy för verksamhetsenheter inom social- och hälsovården

GRUNDERNA FÖR INTERN KONTROLL OCH RISKHANTERING I VASA STAD OCH STADSKONCERN. Godkända av Vasa stadsfullmäktige den

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Informationssäkerhetspolicy

VASA STADS RISKHANTERINGSPOLICY. Godkänd av Vasa stadsfullmäktige den

Pensionsskyddscentralens dataskyddspolicy

GRUNDERNA FÖR INTERN KONTROLL OCH RISKHANTERING

Grunder för intern kontroll och riskhantering i Borgå stad och stadskoncernen

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Policy för informations- säkerhet och personuppgiftshantering

Policy för informationssäkerhet

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

1(6) Informationssäkerhetspolicy. Styrdokument

Policy för säkerhetsarbetet i. Södertälje kommun

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

POLICY INFORMATIONSSÄKERHET

Policy för informationssäkerhet

Informationssäkerhetspolicy

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Innehåll. Versionshistoria. Version Datum Uppgjord av Godkänd av Ändringar Maija Pylkkänen, Ledningsgruppen Första versionen

Informationssäkerhetspolicy

SÄKERHETSPOLICY FÖR VÄSTERVIKS KOMMUNKONCERN ANTAGEN AV KOMMUNFULLMÄKTIGE , 8

Informationssäkerhetspolicy för Ånge kommun

Informationssäkerhetspolicy KS/2018:260

Finansinspektionens författningssamling

Informationssäkerhetspolicy

Finansinspektionens författningssamling

Informationssäkerhetspolicy

Anvisning om riskhantering och internrevision i värdepapperscentraler

Koncernkontoret Enheten för säkerhet och intern miljöledning

Säkerhetspolicy för Västerviks kommunkoncern

Bilaga till rektorsbeslut RÖ28, (5)

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Lokal informationssäkerhetspolicy för hälso- och sjukvårdsförvaltningen

VASA STAD DATASÄKERHETSPOLICY

Policy och strategi för informationssäkerhet

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Vetenskapsrådets informationssäkerhetspolicy

Informationssäkerhetspolicy. Linköpings kommun

Kommunal författningssamling för Smedjebackens kommun. Informationssäkerhetspolicy. 97 Dnr 2016/00447

Finansinspektionens författningssamling

1 (5) Informationssäkerhetspolicy Informationssäkerhetspolicy. Ver 3.0

Den interna tillsynen är ett hjälpmedel vid ledningen av verksamheten. Landskapsstyrelsen ansvarar för ordnandet av den interna tillsynen.

VÅR KYRKAS DATASÄKERHETS- POLICY Säkerhetspolicy för datasystem inom Evangelisklutherska

Enkät om informations- och cybersäkerhet i Finlands kommuner 2015 Välkommen att svara på enkäten!

Riktlinjer informationssäkerhet

1 INLEDNING ALLMÄNT OM INFORMATIONSSÄKERHET MÃL FÖRKOMMUNENS lnformationssäkerhetsarbete ROLLER OCH ANSVAR...

Grunderna för den interna kontrollen och riskhanteringen i Pargas stad och stadskoncern

I n fo r m a ti o n ssä k e r h e t

Informationssäkerhetspolicy

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

Att öka förtroende. Verksamhetsplan

Kommunstyrelsens förslag till antagande av reviderad informationssäkerhetspolicy Ärende 11 KS 2017/336

Informationssäkerhetspolicy S/~LA KOMMUN KOMMUNFULLMÄKTIGE. Bi l aga KS 2015 / 135/1 INFORMATIONSSÄKERHETSPOLICY FÖR SALA KOMMUN

Regler och instruktioner för verksamheten

3 Delegationen Bestämmelser om delegationens uppgifter finns i 138 i lagen om kommunala pensioner.

Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen

KARLEBY STADS PERSONALPROGRAM. Godkänt i stadsstyrelsen

Riktlinjer för säkerhetsarbetet

Informationssäkerhetspolicy

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

PM 2015:127 RVI (Dnr /2015)

Informationssäkerhetspolicy

Anvisning för intern kontroll och styrning

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Myndigheten för samhällsskydd och beredskaps författningssamling

Förordning om offentlighet och god informationshantering i myndigheternas verksamhet /1030

Finansinspektionens författningssamling

Myndigheten för samhällsskydd och beredskaps författningssamling

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

IT-säkerhetspolicy. Antagen av kommunfullmäktige

FÖRESKRIFT OM RISKHANTERING OCH ÖVRIG INTERN KONTROLL I VÄRDEPAPPERSFÖRE- TAG

TILLÄMPNING AV KOMMUNALLAGENS BESTÄMMELSER OM INTERN KONTROLL OCH RISKHANTERING

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

Informationssäkerhetspolicy för Katrineholms kommun

Remiss angående säkerhetspolicy med tillhörande riktlinjer

SÄKERHETSPOLICY FÖR KÖPINGS KOMMUN

Informationssäkerhetspolicy IT (0:0:0)

Riktlinjer för informationssäkerhet

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Riktlinjer för Informationssäkerhet Falkenbergs Kommun Kommunledningskontoret

Avtal om anslutning till och användning av Kanta-tjänsterna

PROGRAM. Nacka kommuns säkerhetsoch riskhanteringsarbete KFKS 2012/83-012

Bilaga Från standard till komponent

Policy för intern styrning och kontroll

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

SÄKERHETSPOLICY I FÖR FALKÖPINGS KOMMUN

Sammanfattning av riktlinjer

Katrineholms kommuns. Informationssäkerhetspo licy. IZatrineholms kommun "- Antagen av kommunfullmäktige , 106

vid Geritrim vård- och rehabiliteringsenhet

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad:

KOMMISSIONENS GENOMFÖRANDEFÖRORDNING (EU) / av den

Transkript:

Behandling: Granskad Datasäkerhetsgruppen 7.1.2016 27.1.2016 Godkänd Stadsstyrelsen 8.2.2016 Ändringar: Datum / Gjorts av Punkt Beskrivning 28.1.2016 / Matti Franck Hela dokumentet Hela dokumentet ESPOON KAUPUNKI 02070 ESPOON KAUPUNKI WWW.ESPOO.FI ESBO STAD 02070 ESBO STAD WWW.ESBO.FI

Innehåll 1 Inledning... 3 2 Informationssäkerhet... 3 3 Riskhantering... 4 4 Beredskap... 4 5 Kravenlighet och mål... 4 6 Organisering, roller och ansvar... 4 7 Användning av information och informationssystem... 6 8 Kunskaper och färdigheter i informationssäkerhet... 6 9 Upprätthållande av informationssäkerheten... 6 2/7

1 Inledning Information har en central roll i Esbo stads verksamhet och tjänsteproduktion. För att informationen ska kunna utnyttjas effektivt, ska förfarandena vid informationshantering och informationsbehandling fungera som sig bör i alla situationer. Ledningen för Esbo stad fastställer i denna policy principer och riktlinjer för informationssäkerhet. Policyn ligger till grund för stadens anvisningar om informationssäkerhet, vilkas syfte är att precisera policyn och hjälpa att tillämpa den i praktiken. Policyn är en del av stadens system för hantering av informationssäkerhet (bilaga 1). Denna policy gäller alla de arbetstagare, tjänsteinnehavare, förtroendevalda och representanter för intressentgrupper som inom ramen för sitt arbete eller uppdrag behandlar information som Esbo stad äger eller förvaltar. Policyn tillämpas på all information och andra data (senare information) oberoende av dess framställningssätt, form, skyddsnivå, livscykelsskede, omgivning eller överföringssätt. 2 Informationssäkerhet I Esbo stad avses med informationssäkerhet administrativa, tekniska och andra metoder för att skydda information som staden äger eller förvaltar både under normala förhållanden, i störningssituationer under normala förhållanden och under undantagsförhållanden. Informationssäkerhet ska beaktas i ett så tidigt skede som möjligt när en verksamhet planeras. För att informationssäkerheten ska lyckas krävs det att följande omständigheter, vars betydelse varierar från fall till fall, uppfylls: Konfidentialitet: Informationen kan användas bara av dem som är berättigade till den. Integritet: Informationen har inte ändrats avsiktligt eller oavsiktligt, och informationen har inte förändrats till följd av en teknisk störning. Tillgänglighet: Informationen, ett informationssystem eller en tjänst är tillgänglig för och kan användas av de behöriga personerna och systemen när den behövs. Obestridlighet: Informationen behandlas så att parterna i behandlingen kan identifieras entydigt både under behandlingen och efteråt. Principen är att informationen i första hand är offentlig och öppen, vilket innebär att kraven på informationens integritet och tillgänglighet får allt större vikt. Informationssäkerheten i Esbo stad omfattar även cybersäkerhet, dataskydd och andra delområden inom säkerhet. De mest centrala av dessa för staden är följande: Tryggande av 1 konfidentialitet, integritet, tillgänglighet och kontinuitet i cyberrymden. Lagstadgat säkerställande av individens integritetsskydd och rättigheter som tryggar detta vid behandling av personuppgifter. Skydd av stadens lokaler och människorna, informationen och annan egendom som finns där mot skador av olika slag, mot försök till skadegörelse och mot obehöriga personer. 1 Personer, system och tjänster som är i interaktion med varandra med hjälp av olika tekniker. 3/7

Åtgärder i personalprocessen innan anställningsförhållandet inleds, medan det pågår och när det upphör. Avtal för att policyn ska följas också i samarbetet med intressentgrupper. 3 Riskhantering Riskhantering genomförs enligt Esbo stads riskhanteringspolicy. Processen som beskrivs i denna policy (inkl. rapportering, uppföljning och ansvar) utgör också grunden för stadens informationssäkerhet. Principen är att riskhanteringsprocessen används för hantering av interna och externa risker som gäller information eller förorsakas av information. 4 Beredskap Esbo stad förbereder sig på att i första hand trygga kritiska verksamheters och tjänsters kontinuitet under normala förhållanden, i störningssituationer under normala förhållanden och under undantagsförhållanden. Beredskap genomförs genom att man upprätthåller, övar och testar de beredskapsplaner och andra planer som behövs. Roller vid och ansvar för beredskap beskrivs i dessa planer. Målet är att förbereda sig på störningar och avbrott i verksamheten så att denna kan fortsätta så normalt som möjligt samt så att skadeverkningar kan begränsas och man kan återhämta sig så fort som möjligt. 5 Kravenlighet och mål Förutom lagen ställer stadens strategi Berättelsen om Esbo krav på och mål för stadens informationssäkerhet. Dessutom styrs informationssäkerheten av 5 i statsrådets förordning om informationssäkerheten inom statsförvaltningen (681/2010), anvisningarna från ledningsgruppen för informations- och cybersäkerheten inom statsförvaltningen (VAHTI) och den nationella kriteriesamlingen för säkerhetsauditering (KATAKRI). Målet med stadens informationssäkerhet är att bygga och säkerställa stadens verksamhetsmiljö så att inverkningarna av en störning (t.ex. ett mänskligt misstag, ett tekniskt fel eller avsiktlig skadegörelse) kan begränsas och funktionerna kan återställas till det normala så fort som möjligt. På så sätt säkerställs att de tjänster som tillhandahålls kommuninvånarna och stadens interna funktioner är av hög kvalitet. Dessutom är målet att förenhetliga stadens praxis för informations- och cybersäkerhet samt för dataskydd. De åtgärder som genomförts och planerats för att målen ska kunna nås och uppföljningen beskrivs i stadens informationssäkerhetsplan. Målen för informationssäkerhet nås bara om alla följer de gemensamt överenskomna principerna. 6 Organisering, roller och ansvar Rollerna med därtill hörande ansvar inom informationssäkerheten har organiserats enligt stadens regler. Stadsstyrelsen följer upp informationssäkerheten i staden. Stadsstyrelsen godkänner informationssäkerhetspolicyn och ändringarna i den. Stadsstyrelsen ordnar den interna kontrollen och riskhanteringen. Stadsdirektören har ett helhetsansvar för informationssäkerheten och rapporteringen om denna till stadsstyrelsen. Stadsdirektören "äger" informationssäkerhetspolicyn och föredrar ändringarna för stadsstyrelsen. Stadsdirektören godkänner anvisningar och riktlinjer som gäller hela staden. Stadens led- 4/7

ningsgrupp och ledningsgruppen för IT-utveckling bistår stadsdirektören i frågor som gäller informationssäkerhet. Sektordirektörerna svarar för riskhantering och beredskap samt informationssäkerheten och dataskyddet inom sina sektorer. Styrelserna och verkställande direktörerna för dotterbolagen och stiftelserna svarar för informationssäkerheten och dataskyddet inom sina organisationer. Cheferna svarar för informationssäkerheten inom sitt ansvarsområde. Chefens viktigaste uppgifter är att se till att de anställda introduceras i stadens informationssäkerhetsanvisningar och det ansvar som hör till varje anställd,,när en anställds anställningsförhållande upphör eller när personen övergår till andra uppgifter, o att stadens information och övriga egendom återlämnas o att Esbo informationsteknik informeras så att den kan avlägsna behörigheter. Personalen svarar för att följa anvisningarna. Var och en ska dessutom omedelbart anmäla om avvikelser, hot och risker som gäller informationssäkerhet till datasäkerhetschefen, till en dataskyddsansvarig eller till sin chef. Den som "äger" informationen svarar för klassificering av informationen (offentlighet och sekretess) och säkerställande av dess integritet samt sparande av informationen enligt klassificeringen. "Ägaren" till ett dataprogram svarar för riskhantering av och beredskap för störningar i programmet och informationen i detta samt för informationssäkerheten. Behörighet beviljas på ansökan av den anställdas chef av ägaren till dataprogrammet eller den som denne befullmäktigat. "Ägaren" till en process svarar för riskhantering av och beredskap för störningar i processen samt för informationssäkerheten. Han eller hon svarar också för identifiering av processens beroendeförhållanden och bedömning av hur kritiska dessa är. Datasäkerhetschefen främjar tillgodoseendet av informationssäkerheten i staden. Datasäkerhetschefen svarar för datasäkerhetsgruppens verksamhet, att systemet för hantering av informationssäkerhet fungerar samt för beredning och utveckling av informationssäkerhetspolicyn och informationssäkerhetsdokumentationen på stadsnivå. Datasäkerhetschefen rapporterar om tillgodoseendet av informationssäkerheten till stadsdirektören och i matrisen till säkerhetschefen samt svarar för informationen som gäller informationssäkerhet tillsammans med koncernstabens informationsenhet. Säkerhetschefen svarar för stadens säkerhetsplanering och beredskap. Datasäkerhetsgruppen följer med informationssäkerhetens allmänna utveckling och hotbilder samt följer upp informationssäkerheten och dataskyddet i staden. Gruppen analyserar och utvärderar den ovan nämnda helheten och ger utifrån utvärderingen förslag till förbättring av informationssäkerheten. Dessutom bistår gruppen hela stadens förvaltning i frågor som gäller informationssäkerhet. Datasäkerhetsansvariga och dataskyddsansvariga sörjer under styrning av sektorernas och koncernförvaltningens ledning för informationssäkerheten och dataskyddet. De hör till datasäkerhetsgruppen och rapporterar till sektorledningen. 5/7

Esbo informationsteknik svarar för den tekniska informationssäkerheten, beredningen av riktlinjer som stöder denna och för att informationssäkerhetskraven efterlevs. Esbo informationsteknik följer upp informationssäkerheten inom sitt ansvarsområde och rapporterar om denna till datasäkerhetschefen i datasäkerhetsgruppen. Dokumentförvaltningen svarar för dokumenthanteringen och anvisningarna som gäller denna. Interna revisionen svarar för att informationssäkerheten är ändamålsenlig och för utvärderingen av om den är tillräcklig samt för revision. Personalförvaltningen svarar för informationssäkerheten och dataskyddet i personalprocessen. Detta ansvar omfattar: anvisningar och stöd till personalen ordnande av utbildning och introduktion i informationssäkerhet kontroll av bakgrundsuppgifter vid behov. 7 Användning av information och informationssystem Staden använder sådana informationssystem, sådan utrustning och sådana dataprogram som Esbo informationsteknik godkänt och förvaltar och som är avsedda för arbetsuppgifterna. Behörighet till den information som staden äger och förvaltar samt till dataprogram beviljas i den omfattning som arbetsuppgifterna förutsätter. Vid eventuella försummelser och missbruk tillämpas förutom lagen också stadens anvisningar. 8 Kunskaper och färdigheter i informationssäkerhet Chefen ser till att en anställd som börjar i en ny uppgift introduceras i anvisningarna om informationssäkerhet och dataskydd samt i den specialkompetens som krävs för den anställdas arbetsuppgifter. Grundutbildning och fortbildning i informationssäkerhet och dataskydd ordnas regelbundet. Denna policy finns offentligt tillgänglig på www.esbo.fi och www.espoo.fi. Stadens informationssäkerhetsdokumentation i sin helhet finns tillgänglig för personalen i stadens interna informationskanaler i den omfattning arbetsuppgifterna förutsätter. 9 Upprätthållande av informationssäkerheten I Esbo stad upprätthålls och förbättras informationssäkerheten utifrån informationssäkerhetsplanen med hjälp av ledning och annan praxis som beskrivs i systemet för hantering av informationssäkerhet. Centralt i säkerhetsarbetet är att staden har tillräckliga färdigheter att aktivt leda informationssäkerheten, bevaka omvärlden, upptäcka och identifiera hoten, och förbereda sig på avvikelser och störningar samt reagera på det sätt som situationen kräver. 6/7

Bilaga 1 7/7

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss