Informationssäkerhetspolicy för Nässjö kommun



Relevanta dokument
Informationssäkerhetspolicy för Vetlanda kommun

Informationssäkerhetspolicy

IT-säkerhetspolicy Instruktion Kommunfullmäktige. Senast reviderad Beskriver IT-säkerhetarbetet.

Informationssäkerhet - Informationssäkerhetspolicy

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

INFORMATIONSSÄKERHET 1 INLEDNING MÅL FÖR IT-SÄKERHETSARBETET... 2

Informationssäkerhetspolicy

RIKTLINJER FÖR IT-SÄKERHET

IT-Säkerhetspolicy för Munkfors, Forshaga, Kils och Grums kommun

IT-säkerhetspolicy. Fastställd av KF

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

1 (5) Informationssäkerhetspolicy Informationssäkerhetspolicy. Ver 3.0

EDA KOMMUN. nformationssäkerhet - Informationssäkerhetspolicy

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

Informationssäkerhetspolicy

Informationssäkerhetspolicy för Ånge kommun

Informationssäkerhetspolicy S/~LA KOMMUN KOMMUNFULLMÄKTIGE. Bi l aga KS 2015 / 135/1 INFORMATIONSSÄKERHETSPOLICY FÖR SALA KOMMUN

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Informationssäkerhetspolicy

Policy och strategi för informationssäkerhet

Riktlinjer för Informationssäkerhet Falkenbergs Kommun Kommunledningskontoret

IT-SÄKERHETSPOLICY. Stadskontoret. 1 Inledning Definition Omfattning Mål för IT-säkerhetsarbetet... 2

Informationssäkerhetspolicy

Katrineholms kommuns. Informationssäkerhetspo licy. IZatrineholms kommun "- Antagen av kommunfullmäktige , 106

Informationssäkerhetspolicy

1(6) Informationssäkerhetspolicy. Styrdokument

IT-säkerhetspolicy. Antagen av kommunfullmäktige

Bilaga till rektorsbeslut RÖ28, (5)

Informationssäkerhetspolicy KS/2018:260

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Informationssäkerhetspolicy för Ystads kommun F 17:01

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Policy för informationssäkerhet

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy. Linköpings kommun

IT-Säkerhetsinstruktion: Förvaltning

SÄKERHETSFÖRESKRIFTER FÖR FÖRVALTNING AV IT-SYSTEM

Policy för informations- säkerhet och personuppgiftshantering

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Revidering av riktlinjer för Informationssäkerhet vid Högskolan i Skövde

Organisation för samordning av informationssäkerhet IT (0:1:0)

Informationssäkerhetspolicy för Katrineholms kommun

POLICY INFORMATIONSSÄKERHET

IT-säkerhetsinstruktion Förvaltning

Verksamhetsplan Informationssäkerhet

IT-säkerhetspolicy. Finspångs kommun Finspång Telefon Fax E-post: Webbplats:

Kommunal författningssamling för Smedjebackens kommun. Informationssäkerhetspolicy. 97 Dnr 2016/00447

Handläggningsordning för förvaltning av IT-system vid Högskolan Dalarna

Policy för informationssäkerhet

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Kommunstyrelsens förslag till antagande av reviderad informationssäkerhetspolicy Ärende 11 KS 2017/336

1 INLEDNING ALLMÄNT OM INFORMATIONSSÄKERHET MÃL FÖRKOMMUNENS lnformationssäkerhetsarbete ROLLER OCH ANSVAR...

Dnr

Informationssäkerhetspolicy

Riktlinjer för IT-säkerhet i Halmstads kommun

Informationssäkerhetspolicy

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Informationssäkerhetspolicy

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

Informationssäkerhetspolicy för Umeå universitet

Finansinspektionens författningssamling

Regler och instruktioner för verksamheten

Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen

IT-Policy för Tanums kommun. ver 1.0. Antagen av Kommunfullmäktige

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

Svar på revisionsskrivelse informationssäkerhet

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

INFORMATIONSSÄKERHET 1 INLEDNING MÅL FÖR IT-SÄKERHETSARBETET... 2

Verket för förvaltningsutvecklings författningssamling ISSN Utgivare: Lena Jönsson, Verva, Box 214, Stockholm

Koncernkontoret Enheten för säkerhet och intern miljöledning

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Riktlinjer för säkerhetsarbetet i Älvsbyns kommun

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Policy Document Number ESS Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet

Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13

Riktlinjer för IT i Lilla Edets kommun. 2. Syftet med IT i Lilla Edets kommun

Välkommen till enkäten!

Informations- och IT-säkerhet i kommunal verksamhet

Finansinspektionens författningssamling

SÄKERHETSPOLICY FÖR VÄSTERVIKS KOMMUNKONCERN ANTAGEN AV KOMMUNFULLMÄKTIGE , 8

Myndigheten för samhällsskydd och beredskaps författningssamling

Riktlinjer. Informationssäkerhet och systemförvaltning

Myndigheten för samhällsskydd och beredskaps författningssamling

Kontinuitetsplan IT. Bilaga till Informationssäkerhetspolicy

IT-säkerhetspolicy R

Hur värnar kommuner digital säkerhet?

IT-plan för Söderköpings kommun

Plan för informationssäkerhet vid Högskolan Dalarna 2015

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Transkript:

Författningssamling Antagen av kommunfullmäktige: 2014-11-27 173 Informationssäkerhetspolicy för Nässjö kommun

Innehåll 1 Inledning... 3 1.1 Begreppsförklaring... 3 2 Syfte... 4 3 Mål för Informationssäkerhetsarbetet... 5 3.1 Långsiktiga mål... 5 3.2 Årliga mål... 5 4 Organisation, roller och ansvar... 6 4.1 Övergripande ansvar... 6 4.1.1 Kommunstyrelse... 6 4.1.2 Nämn och utskott... 6 4.2 Ledning och ansvar för informationssäkerhet... 6 4.2.1 Verksamhetsansvarig (systemägare)... 6 4.2.2 Systemansvarig... 7 4.2.3 CIO/e-strateg... 7 4.2.4 Höglandets kommunalförbund... 7 5 Särskilda områden... 9 5.1 Systemförvaltning... 9 5.2 Systemanvändning... 9 5.3 Kontinuitetsplanering... 9 5.4 Driftgodkännande... 9 6 Revidering och uppföljning... 10 2

1 Inledning Sedan den 1 januari 2010 finns en för Höglandskommunerna gemensam samverkansplattform för drift och underhåll av IT-verksamheten. IT-verksamheten finns inom Höglandets Kommunalförbund (HKF) och är en del av direktionens ansvar. Beslutanderätten avseende IT-verksamhetens mål, inriktning, omfattning och kvalitet ligger inom HKF. Till sin hjälp att utöva sitt ansvar inom HKF finns kommunchefsgruppen som en resurs. De IT-/e-strategiska utvecklingsfrågorna är ett ansvar för de kommunala verksamheterna. Verksamhetsansvar innebär ansvar för verksamhetssystem och därmed informationssäkerheten. Verksamhetsansvarig är systemägare och ska upprätta systemsäkerhetsanalyser för verksamhetskritiska system. Detta kräver en part inom Höglandets IT för att stödja och kvalitetssäkra verksamheternas informationssäkerhet. Överenskommelser kring informationssäkerhet tecknas mellan verksamhetsansvariga/systemägare och Höglandet IT. Information är en värdefull tillgång, den är kopplad till verksamhetens processer och måste skyddas efter behov. En lång rad lagar och förordningar ska uppfyllas. Förutom arkivlagen finns till exempel den grundlagsstyrda insynsrätten, det vill säga sekretesslagen, tryckfrihetsförordningen med offentlighetsprincipen och personuppgiftslagen. En väl fungerande e-förvaltning kräver en strukturerad hantering av den digitala informationen som ska få genomslag under informationens hela livscykel. Informationssäkerhetarbetet innebär ett systematiskt och långsiktigt arbete och omfattar både administrativa rutiner med policyer och riktlinjer samt tekniskt skydd. Informationssäkerhet är en del i kommunens lednings- och kvalitetsprocess som ska bidra till att ett IT-system kan användas på avsett sätt och med avsedd funktionalitet. Informationssäkerhetsarbetet bör följa det av MSB (Myndigheten för Samhällsskydd och Beredskap) rekommenderade ramverk LIS, inom ISO 27 000-serien. (Standardserien omfattar ledningens ansvar, administrativa rutiner och övergripande krav på ITinfrastruktur. Det finns möjlighet till oberoende certifiering av informationssäkerheten, i likhet med standarder för kvalitet ISO 9000 och miljö ISO 14000) 1.1 Begreppsförklaring Informationssäkerhet är säkerhet beträffande informationstillgångar rörande förmågan att upprätthålla önskad konfidentialitet, riktighet och tillgänglighet. Informationstillgångar är en organisations informationsrelaterade tillgångar, det vill säga både information och de resurser som används för att hantera information (exempelvis mjukvaror såsom kunddatabas, program, applikationer, operativsystem, kommunikationstjänster och hårdvaror såsom datorer och nätverk). LIS, ledningssystem för informationssäkerhet, är ett verktyg för att upprätta, införa, driva, övervaka, granska, underhålla och förbättra den önskade nivån på informationssäkerhet i organisationen. 3

Med informationssäkerhetspolicy menas här den övergripande viljeinriktningen för informationssäkerhet. Den ska ange varför det är viktigt med informationssäkerhet, mål och ansvarsförhållanden och uttrycker inga konkreta förhållningsregler, föreskrifter eller rutinbeskrivningar. 2 Syfte Nässjö kommuns informationstillgångar ska skyddas på ett sätt som tillgodoser legala krav, medborgarintressen och verksamhetsmässiga mål. Denna informationssäkerhetspolicy är en del av Nässjö kommuns styrande dokument och en viljeinriktning och stöd för informationssäkerhetsarbetet och syftar till att klargöra: Långsiktiga och kortsiktiga mål för informationssäkerhetsarbetet Organisation, ansvar och roller inom informationssäkerhetsområdet Särskilda rutiner för informationssäkerhet 4

3 Mål för Informationssäkerhetsarbetet 3.1 Långsiktiga mål De långsiktiga målen för informationssäkerhetsarbete är att säkerställa att kommunen, på ett lagligt och säkert sätt, kan tillhandahålla relevant information som: Endast delges behöriga personer (sekretess) och kan levereras vid rätt tidpunkt och till skäliga kostnader Är riktig, komplett och aktuell (tillförlitlighet/riktighet) Efterfrågas och som kommunen har ett ansvar att tillhandahålla (tillgänglighet) För att uppnå dessa mål ska kommunens informationssäkerhetsarbete bedrivas så att: Lagar och föreskrifter följs Det stöder kommunens samlade utvecklingsarbete och säkrar en effektiv informationsförsörjning som bidrar till ökat skydd och stöd för medarbetare, samverkande parter och tredje man Det förebygger oväntade händelser i IT-systemen som kan leda till negativa konsekvenser. Hotbilden för varje enskilt samhällsviktigt och verksamhetskritiskt IT-system analyseras fortlöpande och det finns systemförvaltningsplaner och säkerhetsinstruktioner upprättade för dessa system Alla investeringar både i form av information (data) och teknisk utrustning skyddas i tillräcklig grad. Kommunens information ses som en tillgång och skyddas i paritet med dess värde Samtliga IT-system som finns inom kommunen ska vara identifierade och det finns tillgång till en gemensam, säker och väl definierad infrastruktur för extern och intern datakommunikation All personal ges kunskap om gällande informationssäkerhetsregler 3.2 Årliga mål Informationssäkerhetsarbetet ska bedrivas som en integrerad del av kommunens normala verksamhet. Årliga mål för arbetet bör beslutas av systemägare. De årliga målen bör ange: Vad som ska göras under året och en tidplan (när och hur, sluttidpunkt) Resurser för arbetet (personella och ekonomiska) När, hur och av vem som uppföljning, utvärdering och avrapportering ska ske till systemägare När och hur kommunens medarbetare ska informeras och utbildas 5

4 Organisation, roller och ansvar 4.1 Övergripande ansvar Alla har ett ansvar för att informationssäkerheten upprätthålls och fungerar enligt lagar och regelverk. Det övergripande ansvaret för kommunens informationssäkerhet har kommunfullmäktige och är ägare till detta styrdokument. Säkerhetsansvaret för varje enskilt IT-system följer verksamhetsansvaret. Den som upptäcker brister i informationssäkerheten måste uppmärksamma till exempel sin chef på detta. Alla medarbetare måste också rapportera händelser som kan göra att informationstillgångar utsätts för risker. 4.1.1 Kommunstyrelse Kommunstyrelsen (KS) ska leda och samordna den övergripande styrningen av kommunens informationssäkerhet. 4.1.2 Nämn och utskott De olika verksamhetsnämnderna ska säkerställa att registerhållningen inte strider mot PUL. Säkerhetsinstruktioner för kommunens system beslutas av utskott 1. 4.2 Ledning och ansvar för informationssäkerhet En fastställd ansvarsfördelning för IT-systemsäkerheten är en avgörande förutsättning för att Nässjö kommun ska kunna leva upp till sin säkerhetspolicy. Organisation, roller och fördelning av ansvar ska säkerställa att ett IT-system kan administreras och hanteras på ett sådant sätt att det under hela sin livstid bidrar till att stödja avsedd verksamhet och uppfylla informationssäkerhetspolicyns mål. Detta innebär att ett IT-system med alla dess delar är en resurs i en verksamhet på samma sätt som personal, lokaler, kontorsmaterial med mera. 4.2.1 Verksamhetsansvarig (systemägare) Verksamhetsansvarig ansvarar för att de system för vilka man är systemägare, hanteras på ett ur säkerhetssynpunkt tillfredsställande sätt. Verksamhetsansvarig kan vara förvaltningschef, avdelningschef eller motsvarande. Systemägare ansvarar inför sin verksamhetsnämnd. Grundläggande ansvar för informationssäkerhet innebär att fastställa: Vilket informationsinnehåll systemen ska ha samt vilka lagar och andra regelverk som gäller Identifiera verksamhetskritiska system, verksamhetskrav och hotbild för systemen Fastställa säkerhetsinstruktioner för systemen, bland annat o hur och av vem/vilka informationen ska registreras i systemet o vilka uppgifter som ska tillhandahållas enligt offentlighetsprincipen och hur detta ska ske I samverkan med leverantör fastställa systemförvaltnings- och avbrottsplan samt driftsgodkänna system Beslut om enskilda användares behörighet till IT-systemet samt om avregistrering av användare från den gemensamma infrastrukturen 6

Arbeta fram en prioritering mellan verksamhetssystem vid större haverier, dvs. regler för vilka system som ska startas upp respektive stängas ned. Detta görs tillsammans med den eller de som är utsedda att ha ett för kommunen övergripande ansvar för informationssäkerhet samt driftleverantör 4.2.2 Systemansvarig Systemansvarig utses av systemägare och är den person i berörd verksamhet som har ansvaret för den dagliga administrationen av IT-systemet. Systemansvarig samverkar med Höglandets IT och dess systemadministratörer för att säkerställa en säker och rationell daglig drift av systemet. Systemansvarig har som uppgift att: Verkställa beslut som systemägaren/verksamhetsansvarig fattar Klargöra och dokumentera IT-/e-relaterade behov och förslag inom verksamhetsområdet Klargöra verksamhetsområdets krav tillsammans med berörda (kravspecificering) Se till att nödvändig dokumentation finns, att rätt säkerhets- och servicenivåer är klargjorda Följa upp och utvärdera beställningar och servicenivåer Vara kontaktperson och samverka med Höglandet IT Svara för användar- och behörighetsadministration Delta i arbetet med säkerhetsfrågor som rör systemet 4.2.3 CIO/e-strateg Uppdraget är att driva och stödja den kommunala verksamhetens förändring mot den framtida agendan för en e-förvaltning. Detta utifrån bland annat medborgarperspektivet, näringslivsperspektivet, nationella initiativ och regional samverkan. Detta inkluderar även aspekterna kring informationssäkerhet. Grundläggande ansvar för informationssäkerhet innebär att: Tillse att verksamhet och den digitala omställningen går hand i hand Bereda och skapa beslutsunderlag avseende övergripande och strategiska informationssäkerhetsfrågor Ständigt förbättra och kvalitetssäkra det IT- strategiska säkerhetsarbetet Stödja verksamheten med att följa upp åtaganden avseende överenskomna servicenivåer (SLA) och leveranser från leverantörer Utveckla och etablera ramverk (metoder och rutiner) för informationssäkerhetsarbetet 4.2.4 Höglandets kommunalförbund Höglandets kommunalförbund ansvarar för IT-säkerhetspolicy för dess verksamhet och anslutna medlemskommuner. Denna är ett komplement till höglandskommunernas policy för informationssäkerhet. 7

HKF och Höglandets IT understödjer arbetet med att uppnå kommunernas mål för informationssäkerhet. Detta kan innebära aktivt deltagande i projekt, etablerande av kontaktnät, utvärdering och deltagande i diskussioner kring metoder, plattformar, applikationer eller IT-system. Det är dock alltid upp till verksamheterna att välja på vilket sätt man vill uppnå målen. Höglandets IT har till uppgift att: driften av infrastruktur och system sker på ett säkert sätt vara rådgivande till systemägarna i informationssäkerhetsfrågor biträda systemägarna vid upprättande av systemförvaltningsplan säkerhetsinstruktioner avbrottsplanering för verksamheten säkerhetsgranskning inför driftgodkännande vara rådgivande till systemägare vad avser teknisk säkerhet biträda vid utbildning i informationssäkerhetsfrågor samordna rapportering och uppföljning av incidenter 8

5 Särskilda områden Vissa områden inom informationssäkerhet är av särskild betydelse för kommunens verksamhet och därför behöver särskilda rutiner. Följande områden ska beskrivas i särskilda instruktioner. 5.1 Systemförvaltning Arbetet med systemförvaltning syftar till att följa verksamhetens behov och krav, inte minst informationssäkerheten, och tillgodose dessa. Befintliga funktioner och tjänster ska underhållas och nya implementeras för att klara säkerhets- och kvalitetskrav. Systemförvaltningsplanen beskriver de system planen avser och de beroenden (integrationer) som är nödvändiga för systemets funktion och tillämpning. Detta gäller framför allt verksamhetskritiska system. Verksamhetskritiska system bör därför regelbundet identifieras och klassificeras. Systemförvaltningsplanen är ett ansvar för systemägaren. 5.2 Systemanvändning En del av säkerhetsarbetet avser hur vi ska använda systemen på ett säkert sätt. Det gäller bland annat behörigheter, hantering av information, e-post, distansarbete och användning av internet. Detta är säkerhetsinstruktioner som vänder sig till användare av kommunens system och beslutas utskott 1. 5.3 Kontinuitetsplanering Utifrån kommunens och systemägarnas krav på de enskilda IT-systemen, ska avbrotts- och katastrofplaner upprättas och ajourhållas för den tekniska infrastrukturen. För denna kontinuitetsplanering ansvarar driftsorganisationen för IT-systemen. 5.4 Driftgodkännande Systemägaren ska besluta om driftgodkännande av varje enskilt IT-system i samband med driftagande av förändringar eller av nya system. Av beslutet ska framgå hur kraven på informationssäkerheten tillgodoses. Beslut om driftgodkännande ska dokumenteras. 9

6 Revidering och uppföljning Policy och de särskilda rutinerna för informationssäkerhet ska löpande följas upp och ingå som en process i den normala internkontrollen. 10

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss