SÅ HÄR GÖR VI I NACKA

Relevanta dokument
VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

Bilaga 1 - Handledning i informationssäkerhet

Informationssäkerhet

Handledning i informationssäkerhet Version 2.0

Informationsklassning och systemsäkerhetsanalys en guide

Informationssäkerhetspolicy för Ystads kommun F 17:01

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Informationssäkerhetspolicy för Ånge kommun

Koncernkontoret Enheten för säkerhet och intern miljöledning

Dnr

Informationssäkerhet. Riktlinjer. Kommunövergripande. Tills vidare. IT-chef. Dokumenttyp. Fastställd/upprättad av Kommunstyrelsen 26

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Guide för säker behörighetshantering

Informationssäkerhetspolicy för Katrineholms kommun

Informationssäkerhetspolicy

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Dnr UFV 2017/93. Informationssäkerhet. Riktlinjer för säkerhetsarbetet vid Uppsala universitet. Fastställda av Universitetsdirektören

1(6) Informationssäkerhetspolicy. Styrdokument

Informationssäkerhetspolicy KS/2018:260

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Riktlinjer för IT-säkerhet i Halmstads kommun

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

BESLUT. Instruktion för informationsklassificering

Finansinspektionens författningssamling

Riktlinje för informationssäkerhet

Kommunstyrelsens förslag till antagande av reviderad informationssäkerhetspolicy Ärende 11 KS 2017/336

Bilaga till rektorsbeslut RÖ28, (5)

Regler för användning av Riksbankens ITresurser

Informationssäkerhet vid Lunds Universitet. Mötesplats Rydberg 3:e oktober Lennart Österman

Regel. Användning av Riksbankens IT-resurser. Inledning. Användning av IT-resurser

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Sammanfattning av riktlinjer

Policy för informations- säkerhet och personuppgiftshantering

Informationssäkerhetspolicy

POLICY INFORMATIONSSÄKERHET

Informations- säkerhet

Policy för användande av IT

Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13

Finansinspektionens författningssamling

Finansinspektionens författningssamling

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

IT-riktlinjer Nationell information

Informationssäkerhetspolicy

Administrativ IT-säkerhetspolicy Version 1.0 Fastställd

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun

Riktlinjer användning IT- och telefonistöd

I n fo r m a ti o n ssä k e r h e t

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

Katrineholms kommuns. Informationssäkerhetspo licy. IZatrineholms kommun "- Antagen av kommunfullmäktige , 106

ORU /2016 Användning av IT-resurser - riktlinjer vid Örebro universitet

Kommunal författningssamling för Smedjebackens kommun. Informationssäkerhetspolicy. 97 Dnr 2016/00447

Informationssäkerhetsanvisningar Förvaltning

Informationssäkerhet, ledningssystemet i kortform

Riktlinjer för informationssäkerhet

IT-Säkerhetsinstruktion: Förvaltning

Informationssäkerhetspolicy. Linköpings kommun

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Bilaga 3 Säkerhet Dnr: /

Informationsärende Nya e-postadresser styrelsen

Dnr 2007/83 PS 004. Riktlinjer för elevernas IT användning i proaros skolverksamhet

Riktlinjer informationssäkerhetsklassning

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Säkerhet i fokus. Säkerhet i fokus

Informationssäkerhet och SKLs verktyg KLASSA. Avdelningen för Digitalisering Sektionen för Informationshantering och Digital Arbetsmiljö (IDA)

IT-Policy Vuxenutbildningen

IT-policy. Förvaltningen Björn Sandahl, förvaltningschef

Riktlinjer för informationssäkerhet

Lex Sarah-rapport: är en rapport om ett missförhållande eller en påtaglig risk för ett missförhållande enligt 14 kap. 3 SoL respektive 24 b LSS.

Policy Document Number ESS Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet

IT-säkerhetsinstruktion Förvaltning

Lösenordsregelverk för Karolinska Institutet

Rekryteringsmyndighetens interna bestämmelser

Riktlinjer för informationssäkerhet

Myndigheten för samhällsskydd och beredskaps författningssamling

SLU Säkerhets instruktioner avseende kryptering av filer

Roller för information behöver också fastställas, använd gärna nedanstående roller som kommer från SKL och deras verktyg

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Informationssäkerhetspolicy S/~LA KOMMUN KOMMUNFULLMÄKTIGE. Bi l aga KS 2015 / 135/1 INFORMATIONSSÄKERHETSPOLICY FÖR SALA KOMMUN

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

Regler för lagring av Högskolan Dalarnas digitala information

IT-säkerhetsinstruktion

Juridik och informationssäkerhet

Myndigheten för samhällsskydd och beredskaps författningssamling

Riktlinje för säkerhetsarbetet i Norrköpings kommun

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ Agenda

VGR-RIKTLINJE FÖR FYSISK SÄKERHET

Syfte...1 Omfattning...1 Beskrivning...1

Policy för telefoni, mobilteknisk utrustning samt e-postanvändning

VGR-RIKTLINJE FÖR ÅTKOMST TILL INFORMATION

Riktlinjer för IT och informationssäkerhet - förvaltning

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

Informationssäkerhet i. Torsby kommun

Transkript:

SÅ HÄR GÖR VI I NACKA Så här arbetar vi med informationssäkerhet i Nacka kommun Dokumentets syfte Beskriver vad och hur vi gör i Nacka rörande informationssäkerhetsarbetet. Dokumentet gäller för Alla chefer och medarbetare i Nacka kommun Med informationstillgångar avses all information oavsett om den behandlas manuellt eller automatiserat och oberoende av dess form eller miljön den förekommer i. Arbetet med informationssäkerheten är en integrerad del i verksamheten. Utgångspunkter I arbetet med informationssäkerhet ska följande krav säkerställs: Tillgänglighet - att informationen ska kunna nyttjas efter behov, i förväntad utsträckning samt av rätt person med rätt behörighet Riktighet - att informationen är tillförlitlig, korrekt och fullständig Konfidentialitet - att informationen kan åtkomstbegränsas om så krävs Spårbarhet - att specifika aktiviteter som rör informationen ska kunna spåras Samtliga anställda och externa aktörer ska ha kännedom om Nacka kommuns regelverk kring informationssäkerhet samt följa dessa. Alla som hanterar informationstillgångar har ett ansvar att informationssäkerheten upprätthålls. Var och en ska vara uppmärksam på och rapportera händelser som kan påverka säkerheten för våra informationstillgångar. Samverkan med konsulter, externa leverantörer och entreprenörer ska regleras genom avtal. Vid behov av åtkomst till informationsresurser bör en riskbedömning göras för att identifiera ytterligare krav på säkerhet. Hantering av informationstillgångar Samtliga informationstillgångar ska vara identifierade och förtecknade. Av förteckningen ska framgå vem som är informationsägare eller systemägare. Alla verksamheter och system är utsatta för risker. Risk- och sårbarhetsanalysen ska identifiera tänkbara störningar, allvarliga händelser samt extraordinära händelser. Arbetet syftar till att skapa robusta system samt identifiera och analysera skyddsvärda informationstillgångar. Arbetet ska fokusera på förebyggande insatser och konkreta skyddsåtgärder för människor, egendom och miljö. Diarienummer Fastställd/senast uppdaterad Beslutsinstans Ansvarigt politiskt organ Ansvarig processägare KFKS 2013/754-001 Stadsdirektören Kommunstyrelsen Administrativa direktören POSTADRESS BESÖKSADRESS TELEFON E-POST SMS WEBB ORG.NUMMER Nacka kommun, 131 81 Nacka Stadshuset, Granitvägen 15 08-718 80 00 info@nacka.se 716 80 www.nacka.se 212000-0167

Klassificering av information Klassificering av information är en grundläggande aktivitet för att informationstillgångar och resurser ges nödvändigt skydd. Det är informationen som är skyddsobjektet, dvs. det som ska skyddas. Dock kan överklassificering medföra onödiga åtgärder med ytterligare kostnader till följd. Informationen ska klassificeras utifrån den funktion och betydelse för verksamheten som den har och de konsekvenser det medför om informationen skulle hanteras felaktigt, försvinna, komma i orätta händer etc. Vid klassificering av information ska det bedömas i vilken grad förlust av konfidentialitet, riktighet, tillgänglighet eller spårbarhet hos information innebär negativ påverkan på egen eller annan verksamhet och dess tillgångar, eller på enskild individ. Vid bedömning används en fyrgradig skala. 1. Försumbar skada 2. Måttlig skada 3. Betydande skada 4. Allvarlig skada Personalresurser och säkerhet Alla anställda, uppdragstagare och utomstående användare ska förstå sitt ansvar. Det ska säkerställas att dessa är lämpliga för de roller de anses ha i syfte att minska risken för stöld, bedrägeri eller missbruk av resurser. Det ska också säkerställas att de är medvetna om hot och problem som rör informationssäkerhet samt är rustade för att följa kommunens regelverk för informationssäkerhet när de utför sitt normala arbete och för att minska risken för mänskliga fel. När anställda, uppdragstagare och utomstående användare lämnar kommunen eller ändrar anställningsförhållande ska det ske på ett ordnat sätt. Fysisk och miljörelaterad säkerhet Nivån på det fysiska skyddet ska stå i proportion till resultatet av informationsklassificeringen och de återkommande riskanalyser. Utrustning ska skyddas mot förlust, skada, stöld eller skadlig påverkan på tillgångar och avbrott i kommunens verksamhet. En grundläggande utgångspunkt är att utrustning såsom datorer, surfplattor, telefoner och likande är arbetsredskap och att användning av dessa ska vara arbetsrelaterad. Användaren har ett förtroende att efter eget gott omdöme använda sig av utrustningen på ett ändamålsenligt sätt. Användaren ansvarar också för att skydda utrustningen mot stöld. Kommunikation och drift Kommunen ska ha en korrekt och säker drift av IT-miljö, nätverk och tillhörande infrastruktur så att informationens konfidentialitet, riktighet, tillgänglighet och spårbarhet upprätthålls. Risken för systemfel ska minimeras och systemintegriteten för programvara och riktighet i information ska säkerställas genom tydliga förvaltningsmodeller och adekvata tekniska skydd mot exempelvis skadlig kod. Informationens 2 (5)

och IT-miljöns riktighet respektive systemintegritet och tillgänglighet ska bevaras genom väl utvecklade rutiner för säkerhetskopiering och återläsning. De ska finnas tydliga rutiner som hindrar att information på flyttbart och avvecklat media avslöjas. Kritiska och säkerhetsrelevanta händelser ska vara spårbara genom automatiska loggningsfunktioner som skyddas mot manipulation och obehörig åtkomst. Åtkomst till system och information ska styras utifrån verksamhetens behov och säkerhetskrav. Den som har behov av tillgång till viss information för att kunna utföra sina arbetsuppgifter ska tilldelas åtkomsträttigheter. All åtkomst ska vara behovsbaserad utifrån ansvars- och arbetsområde. Alla administratörer ska ha individuella användaridentiteter. Användare ska hantera sina inloggningsuppgifter på ett sätt så att obehörig åtkomst undviks. Anskaffning, utveckling och underhåll av system Alla system inom kommun ska ha erforderliga skydd så att informationens konfidentialitet, riktighet, tillgänglighet och spårbarhet upprätthålls. Systemen ska utformas så att fel, obehörig förändring eller missbruk förhindras genom exempelvis validering av in- och utdata och andra adekvata kontroller. Risker med publicerade sårbarheter ska hanteras. Hantering av informationssäkerhetsincidenter Incidenter och säkerhetsmässiga svagheter ska, utan dröjsmål, rapporteras och korrigerande åtgärder vidtas i rätt tid. Kontinuitetsplanering för verksamheten Kontinuitetsplaner ska upprättas och införas för att säkerställa att identifierade viktiga funktioner kan återställas inom rimlig tid och att verksamheten har manuella rutiner för tiden under återuppbyggnadsarbetet. Kontinuitetsplanen ska baseras på analys av konsekvenserna av störningar, allvarliga händelser, och extraordinära händelser med hänsyn till dess inverkan på verksamheten. Lösenord Lösenord ska vara långa, svåra att gissa sig till och ska innehålla en blandning av versaler, gemener, siffror och specialtecken. Undvik att använda samma lösenord på flera ställen. Skriv aldrig ned eller lagra lösenordet i klartext. Lösenord är personligt och omfattas normalt av sekretess enligt Offentlighets- och sekretesslagen. Internetanvändning Alla aktiviteter på Internet är spårbara. Användare som är aktiva på Internet ska vara medvetna om att aktiviteterna som görs kan påverka allmänhetens uppfattning. Det är därför särskilt viktigt att beakta god etik och gott omdöme på Internet. Det är inte tillåtet att använda Internet i strid med gällande lagstiftning och regler. 3 (5)

Sociala medier & direktmeddelanden Sociala medier som Facebook, Twitter, LinkedIn och liknande kan vara värdefulla verktyg i arbetet. Likaså funktioner för direktmeddelande som Lync, Skype, Jabber och liknande. Var alltid tydlig med om du kommunicerar som privatperson eller representerar kommunen. Sekretessbelagd information eller känsliga personuppgifter får aldrig skickas via dessa medier eller kanaler. E-post Sekretessbelagd information eller känsliga personuppgifter får inte skickas via e-post. För överföring av sådana uppgifter krävs kryptering med en av kommunen godkänd metod. Verksamhetsrelaterad information får inte skickas vidare eller automatiskt vidarebefordras till privat e-post. Kommunens e-postadress får användas för anställdas privata syften, men bara i den omfattning att det inte inkräktar på arbetet. Bifogade filer ska endast öppnas om de kommer från en känd avsändare och en bilaga är förväntad. I de fall erhållna bilagor i e-postmeddelanden bedöms innehålla känslig eller sekretessbelagd information ska dessa inte hanteras på oskyddad utrustning. Undvik att klicka på bifogade länkar till externa webbsidor, då dessa kan innehålla virus, skadlig kod eller att gå till skadliga internetsidor. Microsoft Office Verksamhetsrelaterad information ska lagras på gemensamt diskutrymme (G:). Där får också känslig eller sekretessbelagd information lagras i skydd av åtkomstbegränsning och med utökad spårbarhet. Verksamhetsrelaterad information får inte lagras lokalt på din dator, surfplatta, telefon eller likande. Andra lagringsplatser såsom USB-minnen, Office 365, Dropbox, Google drive eller motsvarande får inte användas för att lagra känslig eller sekretessbelagd information. Undantag kan medges när informationen krypterats med en av kommunen godkänd metod. Efterlevnad Kommunen ska undvika överträdelser av lagar, författningar eller avtalsförpliktelser, samt andra säkerhetskrav. Chefer inom kommunen ska säkerställa att alla säkerhetsrutiner inom deras respektive ansvarsområde utförs korrekt för att uppnå efterlevnad av kommunens informationssäkerhetsregelverk. Vitala system och vitala delar i IT-miljö, nätverk och tillhörande infrastruktur ska regelbundet kontrolleras så att informationens konfidentialitet, riktighet, tillgänglighet och spårbarhet upprätthålls. Extern revision ska utföras på ett sådant sätt att informationens konfidentialitet, riktighet, tillgänglighet och spårbarhet inte påverkas. Var och en ska vara uppmärksam på och rapportera händelser som kan påverka säkerheten för våra informationstillgångar. Vid misstanke om att utrustning blivit stulen eller på annat sätt har förkommit ska detta omedelbart rapporteras. 4 (5)

Om misstanke finns att information eller utrustning inte har hanterats rätt kan kommunen, utan att meddela användaren, gå igenom loggar med mera för att kontrollera efterlevnad av lagstiftning och regler. Kontroll av enskilda användare kan även inledas på förekommen anledning. Otillåten användning kan leda till disciplinära åtgärder. Om kommunen finner att någon anställd kan misstänkas för brottslig handling kan detta komma att polisanmälas. 5 (5)

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss