Bilag 8- DATABEHANDLERAFTALE

Transkript

1 Bilag 8- DATABEHANDLERAFTALE Mellem [Virksomhed] [Adresse] [Postnr.] [By] [CVR nr.] (Herefter kaldet Leverandøren) Og Horsens Kommune Rådhustorvet Horsens CVR nr (Herefter kaldet Kommunen) er der indgået nedenstående databehandleraftale (herefter Aftalen ) om Leverandørens behandling af personoplysninger på vegne af Kommunen: Udbud af sundhedsordning Bilag 8 - Databehandleraftale Version Side 1 af 12

2 1. Generelt 1.1 Aftalen vedrører Leverandørens forpligtelse til at efterleve de sikkerhedskrav, som fremgår af Lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven) 42, jf. 41, stk Kravene er beskrevet i: (i) Bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning (Sikkerhedsbekendtgørelsen). (ii) Vejledning nr. 37 af 02/04/2001 til bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning (Sikkerhedsvejledningen). 1.2 Den 25. maj 2018 erstattes Persondataloven af Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 (herefter Databeskyttelsesforordningen) således, at Aftalens pkt. 1.1 (i) (ii) herefter erstattes med Databeskyttelsesforordningen. 1.3 I Aftalen er indarbejdet de krav, som såvel Persondataloven som de kommende regler i Databeskyttelsesforordningen stiller til databehandleraftaler. 1.4 Leverandøren skal leve op til principper og anbefalinger i ISO Leverandøren skal behandle personoplysninger i overensstemmelse med god databehandlingsskik, jf. de til enhver tid gældende regler og forskrifter for behandling af personoplysninger. 1.6 Leverandøren forpligter sig til at gøre sig bekendt med Kommunens retningslinjer for informationssikkerhed, informationssikkerhedspolitik og informationssikkerhedshåndbog, som vedlægges Aftalen som bilag Formål 2.1 Leverandøren behandler i medfør af aftale med Kommunen kontrakt om sundhedsordning (herefter Hovedaftalen ) personoplysninger for Kommunen, hvor Leverandørens behandlinger og formålet med behandlingerne er beskrevet. 3. Kommunens rettigheder og forpligtelser 3.1 Kommunen er dataansvarlig for de personoplysninger, som Kommunen instruerer Leverandøren om at behandle. 3.2 Kommunen har de rettigheder og forpligtelser, som er givet en dataansvarlig i medfør af lovgivningen, jf. Aftalens pkt. 1.1 og Kommunen er forpligtet til at orientere Leverandøren i tilfælde af Kommunens eventuelle væsentlige it-sikkerhedsregler i Kommunens retningslinjer for informationssikkerhed, informationssikkerhedspolitik og informationssikkerhedshåndbog, jf. bilag 4-6 Udbud af sundhedsordning Bilag 8 - Databehandleraftale Version Side 2 af 12

3 4. Leverandørens forpligtelser 4.1 Leverandøren er databehandler for de personoplysninger, som Leverandøren behandler på vegne af Kommunen, jf. pkt. 6 og bilag 3. Leverandøren har som databehandler de forpligtelser, som er pålagt en databehandler i medfør af lovgivningen, jf. Aftalens pkt. 1.1 og Leverandøren behandler alene de overladte personoplysninger efter instruks fra Kommunen, jf. pkt. 6 og bilag 3, og alene med henblik på opfyldelse af Hovedaftalen. 4.3 Leverandøren skal fra 25. maj 2018 løbende føre en fortegnelse over behandlingen af personoplysninger samt en fortegnelse over alle sikkerhedsbrud. 4.4 Leverandøren skal sikre personoplysningerne via tekniske og organisatoriske sikkerhedsforanstaltninger, som beskrevet i Sikkerhedsbekendtgørelsen og Sikkerhedsvejledningen (frem til 25. maj 2018) og Databeskyttelsesforordningen (fra 25. maj 2018), jf. bilag 1 Sikkerhed. 4.5 Leverandøren skal på opfordring fra Kommunen hjælpe med at opfylde Kommunens forpligtelser i forhold til den registreredes rettigheder, herunder besvarelse af anmodninger fra borgere om indsigt i egne oplysninger, udlevering af borgerens oplysninger, rettelse og sletning af oplysninger, begrænsning af behandling af borgerens oplysninger, samt Kommunens forpligtelser i forhold til underretning af den registrerede ved sikkerhedsbrud, fra 25. maj 2018 i medfør af Databeskyttelsesforordningens kap. III samt artikel Leverandøren skal fra 25. maj 2018 hjælpe Kommunen med at efterleve dennes forpligtelser efter Databeskyttelsesforordningens artikel Leverandøren garanterer fra 25. maj 2018 at levere tilstrækkelig ekspertise, pålidelighed og ressourcer til at implementere passende tekniske og organisatoriske foranstaltninger sådan, at Leverandørens behandling af Kommunens personoplysninger opfylder kravene i Databeskyttelsesforordningen og sikrer beskyttelse af den registreredes rettigheder. 4.8 Leverandøren er forpligtet til at oplyse med præcise adresseangivelser, hvor Kommunens personoplysninger opbevares, jf. bilag 2. Leverandøren skal ajourføre oplysningerne over for Kommunen ved enhver ændring. 4.9 Hvis Leverandøren er etableret i en anden EU-medlemsstat, skal Leverandøren frem til 25. maj 2018 ligeledes overholde de bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den pågældende medlemsstat. 5. Underleverandør (underdatabehandler) 5.1 Ved underdatabehandler forstås en underleverandør, til hvem Leverandøren har overladt hele eller dele af den behandling, som Leverandøren foretager på vegne af Kommunen. 5.2 Leverandøren må ikke uden udtrykkelig skriftlig godkendelse fra Kommunen anvende andre underdatabehandlere end dem, der er angivet i bilag 2, herunder foretage udskiftning af disse, Udbud af sundhedsordning Bilag 8 - Databehandleraftale Version Side 3 af 12

4 til at behandle de personoplysninger, som Kommunen har overladt til Leverandøren i medfør af Hovedaftalen. 5.3 Hvis Leverandøren overlader behandlingen af personoplysninger, som Kommunen er dataansvarlig for, til underdatabehandlere, skal Leverandøren indgå en skriftlig (under)databehandleraftale med underdatabehandleren. 5.4 Underdatabehandleraftalen, jf. pkt. 5.3, skal pålægge underdatabehandleren de samme databeskyttelsesforpligtelser, som Leverandøren er pålagt efter Aftalen, herunder, at underdatabehandleren fra 25. maj 2018 garanterer at kunne levere tilstrækkelig ekspertise, pålidelighed og ressourcer til at kunne implementere de passende tekniske og organisatoriske foranstaltninger således, at underdatabehandlerens behandling opfylder kravene i Databeskyttelsesforordningen og sikrer beskyttelse af den registreredes rettigheder. 5.5 Når Leverandøren overlader behandlingen af personoplysninger, som Kommunen er dataansvarlig for, til underdatabehandlere, har Leverandøren over for Kommunen ansvaret for underdatabehandlernes overholdelse af disses forpligtelser, jf. pkt Kommunen kan til enhver tid forlange dokumentation fra Leverandøren for eksistensen og indholdet af underdatabehandleraftaler for de underdatabehandlere, som Leverandøren anvender i forbindelse med opfyldelsen af sine forpligtelser over for Kommunen. 5.7 Al kommunikation mellem Kommunen og underdatabehandleren sker via Leverandøren. 6. Instrukser 6.1 Leverandørens behandling af personoplysninger på vegne af Kommunen sker udelukkende efter dokumenteret instruks, jf. bilag 3. Det er Leverandørens ansvar at sikre, at eventuelle underdatabehandlere, jf. pkt 5.3, får tilsendt Kommunens instruks, jf. bilag Leverandøren giver fra 25. maj 2018 omgående besked til Kommunen, hvis en instruks efter Leverandørens vurdering er i strid med lovgivningen, jf. pkt Tekniske og organisatoriske sikkerhedsforanstaltninger 7.1 Leverandøren skal frem til 25. maj 2018, jf. bilag 1, træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at personoplysninger: (i) (ii) (iii) tilintetgøres, mistes, ændres eller forringes, kommer til uvedkommendes kendskab eller misbruges, eller i øvrigt behandles i strid med lovgivningen, jf. pkt. 1.1 eller i strid med Kommunens uddybende it-sikkerhedsregler, jf. bilag Leverandøren skal fra 25. maj 2018, jf. bilag 1, iværksætte alle sikkerhedsforanstaltninger, der kræves for at sikre et passende sikkerhedsniveau. Udbud af sundhedsordning Bilag 8 - Databehandleraftale Version Side 4 af 12

5 7.3 Leverandøren skal mindst en gang årligt gennemgå sine interne sikkerhedsforskrifter og retningslinjer for behandlingen af personoplysninger med henblik på at sikre, at de fornødne sikkerhedsforanstaltninger til stadighed er iagttaget, jf. pkt. 7.1 og 7.2, samt bilag Leverandøren samt dennes ansatte er underlagt forbud mod at skaffe sig oplysninger af enhver art, som ikke har betydning for udførelsen af den pågældendes opgaver. 7.5 Leverandøren har pligt til at instruere de ansatte, der har adgang til eller på anden måde varetager behandling af Kommunens personoplysninger, om Leverandørens forpligtelser, herunder bestemmelserne om tavshedspligt og fortrolighed, jf. pkt Leverandøren er forpligtet til straks at underrette Kommunen om ethvert sikkerhedsbrud samt ved (i) enhver anmodning om videregivelse af personoplysninger omfattet af Aftalen fra en myndighed, medmindre orienteringen af Kommunen er eksplicit forbudt ved lov, f.eks. i medfør af regler, der har til formål at sikre fortroligheden af en retshåndhævende myndigheds efterforskning, (ii) anden manglende overholdelse af Leverandørens, samt eventuelle underdatabehandleres forpligtelser uanset, om dette sker hos Leverandøren eller hos en underdatabehandler. (iii) driftsforstyrrelser, hvor det har indflydelse på de personoplysninger, som Leverandøren behandler under denne aftale. (iv) øvrige hændelser, jf. pkt Underretning jf. pkt. 7.6 skal ske omgående efter konstateringen af hændelsen/hændelserne og uanset om konstateringen sker hos Leverandøren eller hos Underdatabehandleren. 7.8 Leverandøren må ikke hverken offentligt eller til tredjeparter kommunikere om sikkerhedsbrud, jf. pkt 7.6, uden forudgående skriftlig aftale med Kommunen om indholdet af en sådan kommunikation, medmindre Leverandøren har en retlig forpligtelse til sådan kommunikation. 8. Overførsler til andre lande 8.1 Leverandørens overførsel af personoplysninger til lande, der ikke er medlem af EU (tredjelande), f.eks. via en cloudløsning eller en underdatabehandler, skal ske i overensstemmelse med Kommunens instruks herfor, jf. bilag Hvis Kommunens personoplysninger overføres til en EU-medlemsstat, er det frem til 25. maj 2018 Leverandørens ansvar, at de til enhver tid gældende bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den pågældende medlemsstat, overholdes. Udbud af sundhedsordning Bilag 8 - Databehandleraftale Version Side 5 af 12

6 9. Tavshedspligt og fortrolighed 9.1 Leverandøren er - under og efter Hovedaftalens ophør - pålagt fuld tavshedspligt omkring alle oplysninger, denne bliver bekendt med gennem samarbejdet. Aftalen indebærer, at tavshedspligtsbestemmelserne i straffelovens f, jf. straffelovens 152a, finder anvendelse. 9.2 Leverandøren skal fra 25. maj 2018 sikre, at alle, der behandler oplysninger omfattet af Aftalen, herunder ansatte, tredjeparter (f.eks. en reparatør) og underdatabehandlere, forpligter sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt. 10. Kontroller og erklæringer 10.1 Leverandøren er forpligtet til uden ugrundet ophold at give Kommunen nødvendige oplysninger til, at Kommunen til enhver tid kan sikre sig, at Leverandøren overholder de krav, der følger af denne Aftale Kommunen, en repræsentant for Kommunen eller dennes revision (såvel intern som ekstern) har adgang til at foretage inspektioner og revision hos Leverandøren, få udleveret dokumentation, herunder logs, stille spørgsmål m.v. med henblik på at konstatere, at Leverandøren overholder de krav, der følger af denne Aftale Kommunen vil 1 gang årligt foretage et tilsyn om overholdelse af denne Aftale hos Leverandøren. Omfang og proces for tilsyn aftales efter kontraktunderskrivelse. Hver part afholder sine egne udgifter forbundet med tilsynet I tilfælde af, at Kommunen og/eller relevante offentlige myndigheder, særligt Datatilsynet, ønsker at foretage en inspektion af de ovennævnte foranstaltninger i henhold til denne aftale, forpligter Leverandøren og Leverandørens underleverandører sig til uden yderligere omkostninger for Kommunen at stille tid og ressourcer til rådighed herfor. 11. Ændringer i Aftalen 11.1 I det omfang ændringer i lovgivningen, jf. pkt 1.1 og 1.2, eller tilhørende praksis, giver anledning til dette, er Kommunen med et varsel på 30 dage og uden at dette medfører krav om betaling fra Leverandøren, berettiget til at foretage ændringer i Aftalen. 12. Sletning af data 12.1 Kommunen træffer beslutning om, hvorvidt der skal ske sletning eller tilbagelevering af personoplysningerne efter, at behandlingen af personoplysningerne er ophørt i medfør af Hovedaftalen Kommunen skal senest 3 måneder inden Hovedaftalens ophør skriftligt meddele Leverandøren, hvorvidt alle personoplysningerne skal slettes eller tilbageleveres til Kommunen. I det tilfælde, hvor personoplysningerne tilbageleveres til Kommunen, skal Leverandøren ligeledes slette eventuelle kopier. Leverandøren skal sikre, at eventuelle underdatabehandlere ligeledes efterlever Kommunens meddelelse. Udbud af sundhedsordning Bilag 8 - Databehandleraftale Version Side 6 af 12

7 12.3 Leverandøren skal fremsende dokumentation for, at den påkrævede sletning, jf. pkt. 12.2, er foretaget Leverandøren skal foretage den påkrævede sletning, jf. pkt. 12.2, i henhold til anerkendte standarder for sletning 13. Ikrafttræden og varighed 13.1 Aftalen indgås ved begge parters underskrift og løber indtil ophør af Hovedaftalen. 14. Formkrav 14.1 Aftalen skal foreligge skriftligt, herunder elektronisk, hos Kommunen og Leverandøren. For Kommunen Dato For Leverandøren Dato Bilag: Bilag 1 Sikkerhed Bilag 2 Oplysninger om lokationer for behandling og underleverandører (underdatabehandlere) Bilag 3 Instruks Bilag 4 Horsens Kommunes retningslinjer for informationssikkerhed Bilag 5 Horsens kommunes informationssikkerhedspolitik Bilag 6 Horsens kommunes informationssikkerhedshåndbog Udbud af sundhedsordning Bilag 8 - Databehandleraftale Version Side 7 af 12

8 Bilag 1 Sikkerhed 1. Indledning Dette bilag indeholder en beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger, som Leverandøren i medfør af Aftalen har ansvar for at gennemføre, overholde og sikre overholdelse af hos dennes underdatabehandlere, som er angivet i bilag Sikkerhedskrav indtil 25. maj 2018 Leverandøren gennemfører følgende tekniske og organisatoriske sikkerhedsforanstaltninger for at sikre et sikkerhedsniveau, der opfylder kravene i Sikkerhedsbekendtgørelsen og tilhørende praksis. Foranstaltningerne gennemføres for at undgå, at personoplysninger: tilintetgøres, mistes, ændres eller forringes, kommer til uvedkommendes kendskab eller misbruges, eller i øvrigt behandles i strid med lovgivningen, jf. Aftalens pkt. 1.1 Generelle sikkerhedsforanstaltninger [Her beskriver Leverandøren, hvordan Leverandøren overholder kravene i Sikkerhedsbekendtgørelsens kap. 2 om interne sikkerhedsbestemmelser, instrukser, retningslinjer for Leverandørens tilsyn og ajourføring, instruktion, fysisk sikring samt sikkerhed ved reparation, service, kassation af medier mv.] [Leverandøren udfylder] Autorisation og adgangskontrol [Her beskriver Leverandøren, hvordan Leverandøren overholder kravene i Sikkerhedsbekendtgørelsens kap. 2, samt hvis relevant kap. 3, om autorisationer og adgangskontrol] [Leverandøren udfylder] Inddatamateriale som indeholder personoplysninger [Her beskriver Leverandøren, hvis relevant, hvordan Leverandøren overholder kravene i Sikkerhedsbekendtgørelsens kap. 2 om håndtering af inddatamateriale] [Leverandøren udfylder] Uddatamateriale som indeholder personoplysninger [Her beskriver Leverandøren, hvis relevant, hvordan Leverandøren overholder kravene i Sikkerhedsbekendtgørelsens kap. 2 om håndtering af uddatamateriale] [Leverandøren udfylder] Eksterne kommunikationsforbindelser [Her beskriver Leverandøren, hvordan Leverandøren overholder kravene i Sikkerhedsbekendtgørelsens kap. 2 om eksterne kommunikationsforbindelser. Hjælp til udfyldelse kan findes i Datatilsynets it-sikkerhedstekster: Udbud af sundhedsordning Bilag 8 - Databehandleraftale Version Side 8 af 12

9 [Leverandøren udfylder] Kontrol med afviste adgangsforsøg [Her beskriver Leverandøren, hvis relevant, hvordan Leverandøren overholder kravene i Sikkerhedsbekendtgørelsens kap. 3 om kontrol med afviste adgangsforsøg] [Leverandøren udfylder] Logning [Her beskriver Leverandøren, hvis relevant, hvordan Leverandøren overholder kravene i Sikkerhedsbekendtgørelsens kap. 3 om logning] [Leverandøren udfylder] Hjemmearbejdspladser Leverandørens behandling af personoplysninger sker helt eller delvist ved anvendelse af hjemmearbejdspladser [Leverandøren udfylder]: Ja Nej [Her beskriver Leverandøren, hvordan Leverandøren overholder kravene i Sikkerhedsbekendtgørelsens kap. 2 om retningslinjer for hjemmearbejdspladser mv.] [Leverandøren udfylder] Sikkerhedskrav fra 25. maj 2018 [Se kommentarer] Leverandøren gennemfører følgende tekniske og organisatoriske sikkerhedsforanstaltninger for at sikre et sikkerhedsniveau, der passer til de aftalte behandlinger, jf. Instruks (bilag 3), og som dermed opfylder Databeskyttelsesforordningens artikel 32. Foranstaltningerne fastlægges ud fra overvejelser om: 1. Hvad der kan lade sig gøre rent teknisk 2. Implementeringsomkostningerne 3. Den pågældende behandlings karakter, omfang, sammenhæng og formål, jf. Instruksen (bilag 3) 4. Konsekvenserne for borgerne ved et sikkerhedsbrud 5. Den risiko, der er forbundet med behandlingerne, herunder risikoen for: a) tilintetgørelse af oplysningerne b) tab af oplysningerne c) ændring af oplysningerne d) uautoriseret videregivelse af oplysningerne e) uautoriseret adgang til oplysningerne [Leverandøren udfylder] Udbud af sundhedsordning Bilag 8 - Databehandleraftale Version Side 9 af 12

10 Bilag 2 Oplysninger om lokationer for behandling og underleverandører (underdatabehandlere) 1. Lokation(er) for behandlingen [Her opregner Leverandøren, de steder, hvor Kommunens personoplysninger opbevares/behandles.] [Leverandøren udfylder] 2. Underdatabehandlere [Her angiver Leverandøren navn, adresse, cvr-nummer m.m. på underdatabehandlere, som er godkendt af Kommunen, jf. pkt. 5.2 i Aftalen.] [Leverandøren udfylder, hvis der anvendes underdatabehandlere] Udbud af sundhedsordning Bilag 8 - Databehandleraftale Version Side 10 af 12

11 Bilag 3 Instruks Instruks Kommunen instruerer hermed Leverandøren om at foretage behandling af Kommunens oplysninger til brug for levering og drift af sundhedsordning, jf. Hovedaftalen Kontrakt om sundhedsordning. Overlader Leverandøren behandling af Kommunens oplysninger til underdatabehandlere, er Leverandøren ansvarlig for at indgå skriftlige (under)databehandleraftaler med disse, jf. Aftalens pkt 5.3. Leverandøren er ansvarlig for, at Kommunens instruks fremsendes til eventuelle underdatabehandlere. 1.1 Behandlingens formål Behandling af Kommunens oplysninger sker i henhold til formålet i Hovedaftalen. Leverandøren må ikke anvende oplysningerne til andre formål. Oplysningerne må ikke behandles efter instruks fra andre end Kommunen. 1.2 Generel beskrivelse af behandlingen [Se kommentarer] Leverandørens skal opbevare personoplysninger om Horsens kommunes personales primære helbredsproblemer. Oplysningerne skal bruges i forbindelse med behandling af personalet. Oplysningerne opbevares indtil kommunen anmoder om sletning heraf. 1.3 Typen af personoplysninger Behandlingerne indeholder personoplysninger i de nedenfor afkrydsede kategorier. Leverandørens og eventuelle underdatabehandleres niveau for behandlingssikkerhed bør afspejle oplysningernes følsomhed, jf. bilag 1. Almindelige personoplysninger (indtil 25. maj 2018, jf. Persondatalovens 6, fra 25. maj 2018, jf. Databeskyttelsesforordningens artikel 6) Almindelige personoplysninger Følsomme personoplysninger (indtil 25. maj 2018, jf. Persondatalovens 7, fra 25. maj 2018, jf. Databeskyttelsesforordningens artikel 9): Racemæssig eller etnisk baggrund Politisk overbevisning Religiøs overbevisning Filosofisk overbevisning Fagforeningsmæssige tilhørsforhold Helbredsforhold, herunder misbrug af medicin, narkotika, alkohol m.v. Seksuelle forhold Oplysninger om enkeltpersoners rent private forhold (indtil 25. maj 2018, jf. Persondatalovens 8, fra 25. maj 2018, jf. Databeskyttelsesforordningens artikel 6 og 9): Strafbare forhold Væsentlige sociale problemer Andre rent private forhold, som ikke er nævnt ovenfor: Udbud af sundhedsordning Bilag 8 - Databehandleraftale Version Side 11 af 12

12 Oplysninger om cpr-nummer (indtil 25. maj 2018, jf. Persondatalovens 11, fra 25. maj 2018, eventuelt national lovgivning, jf. Databeskyttelsesforordningens artikel 87) CPR-numre 1.4 Kategorier af registrerede Der behandles oplysninger om følgende kategorier af registrerede (f.eks. borgere, elever, kontanthjælpsmodtagere m.m.): A) Ansatte ved Horsens Kommune 1.5 Tredjelande (ikke EU-medlemslande) Leverandøren må ikke overføre personoplysninger til tredjelande. Udbud af sundhedsordning Bilag 8 - Databehandleraftale Version Side 12 af 12

13 Retningslinjer for informationssikkerhed i Horsens Kommune Senest opdateret september 2016

14 Indholdsfortegnelse INDLEDNING... 4 LÆSEVEJLEDNING RISIKOSTYRING RISIKOVURDERINGSPROCESSEN RISIKOHÅNDTERING SIKKERHEDSPOLITIK ORGANISERING AF INFORMATIONSSIKKERHED MEDARBEJDERE ANSÆTTELSESFORHOLDET SIKKERHEDSPROCEDURER FØR ANSÆTTELSE ANSÆTTELSENS OPHØR KRITISKE PROCESSER SAMT KLASSIFIKATION AF SYSTEMER OG DATA KRITISKE FORRETNINGSPROCESSER SYSTEM KLASSIFIKATION DATA KLASSIFIKATION ADGANGSSTYRING DE FORRETNINGSMÆSSIGE KRAV TIL ADGANGSSTYRING ADMINISTRATION AF BRUGERADGANG BRUGERENS ANSVAR MOBILT UDSTYR OG FJERNARBEJDSPLADSER ADGANG FOR EKSTERN LEVERANDØRER KRYPTOGRAFI FYSISK SIKKERHED SIKRE OMRÅDER BESKYTTELSE AF UDSTYR DRIFTSIKKERHED FUNKTIONSADSKILLELSE UAFHÆNGIGHED AF NØGLEPERSONER OPERATIONELLE PROCEDURER OG ANSVARSOMRÅDER STYRING AF DRIFTSMILJØ SKADEVOLDENDE PROGRAMMER SIKKERHEDSKOPIERING LOGNING OG OVERVÅGNING DRIFTSBEREDSKAB

15 13. KOMMUNIKATIONSSIKKERHED NETVÆRKSSIKKERHED INFORMATIONSOVERFØRSEL ANSKAFFELSE, UDVIKLING OG VEDLIGEHOLDELSE AF IT-SYSTEMER SIKKERHEDSKRAV TIL INFORMATIONSBEHANDLINGSSYSTEMER VURDERING AF SYSTEMDATA STYRING AF DRIFTSMILJØET SIKKERHED I UDVIKLINGS- OG HJÆLPEPROCESSER DATABEHANDLERAFTALER STYRING AF SIKKERHEDSHÆNDELSER PÅ IT-OMRÅDET HÅNDTERING AF SIKKERHEDSBRUD OG FORBEDRINGER RAPPORTERING AF SIKKERHEDSHÆNDELSER OG SVAGHEDER IT-BEREDSKABSSTYRING GODKENDELSE BILAG 1: INDHOLD AF RAPPORTERING TIL DIREKTIONEN ÅRLIG RAPPORTERING AD HOC RAPPORTERING BILAG 2: DAGSORDEN FOR INFORMATIONSSIKKERHEDSUDVALGSMØDER BILAG 3: MEDARBEJDER I INFORMATIONSSIKKERHEDSORGANISATIONEN BILAG 4: ROLLEBESKRIVELSER BILAG 5: BEGREBSAFKLARING BILAG 6: DEFINITION AF KRITISKE FORRETNINGSPROCESSER

16 Indledning Dette dokument har til formål at understøtte Horsens Kommune informationssikkerhedspolitik ved at fastlægge de konkrete retningslinjer, der sikrer, at organisationen lever op til politikken. Dokumentet ejes og vedligeholdes af kommunens Informationssikkerhedsudvalg. Da indholdet af retningslinjerne kontinuerligt udvikles som en del af det løbende informationssikkerhedsarbejde, kan der optræde afvigelser i forhold til den faktiske status. Der henvises her til SoA-dokumentet 1, hvor der gives en oversigt for igangværende udviklingstiltag. Læsevejledning Rækkefølgen for de kommende afsnit er opsat efter det kontrolnummer, som afsnittet relaterer sig til i ISO standarden. Derfor vil overskrifterne starte med en reference til ISO Risikostyring Det ligger i ISO-standardens præmis, at informationssikkerhed skal styres på baggrund af en risikobaseret tilgang til informationssikkerheden. Risikostyringen i Horsens Kommune påhviler informationssikkerhedsudvalget og understøttes af informationssikkerhedskoordinatoren. Arbejdet har til formål at skabe forståelse for de trusler og sårbarheder, som Horsens Kommune står overfor samt de tilhørende konsekvenser og sandsynlighed for, at disse risici bliver til virkelighed. Risikostyringen skal dermed gør ledelsen bekendt med risici, så den kan prioritere ressourcerne effektivt i forhold til, hvor de gør mest gavn. 4.1 Risikovurderingsprocessen Risikostyringen tager udgangspunkt i risikovurderingsprocessen. Her identificeres, analyseres og evalueres risici med udgangspunkt i den definerede kontekst. Risikovurderingsproces gennemføres en gang om året eller oftere hvis det er betydelige ændringer i risikobilledet. Det kan f.eks. være ved en ændring i de eksterne trusler, ved støre organisationsændringer eller implementering af nye it-systemer. Risikovurderingsprocessen tager udgangspunkt i en række kritiske forretningsprocesser, der er identificeret jf. metode beskrevet senere i dette dokument. Processerne er herunder bl.a. identificeret med det udgangspunkt i deres betydning for Horsens Kommune informationers fortrolighed, integritet og/eller tilgængelighed. For hver kritiske forretningsproces gennemføres en risikovurderingsprocessen via en workshop, med deltagelse af alle relevante interessenter. Workshoppen består af følgende procestrin: 1. Etablering af oversigt for forretningsprocessens IT- understøttelse 2. Konsekvensvurdering af forretningsprocesser 3. Vurdering af sandsynligheden for forretningsmæssige konsekvenser 4. Etablere liste over risici med forslag til risikoreducerende tiltag 1 SoA står for Statement of Applicability (Opgørelse af anvendelighed) og er en vigtig del af ISO

17 Det sikres herunder, at der tages stilling til alle de informationssikkerhedsrelevante aktiver, der understøtter processerne og deres betydning herfor. Samtidig er det muligt at identificere sammenhæng og afhængigheder mellem aktiverne, som kan have stor betydning for risikoen. Et aktiv kan f.eks. anvendes af flere forretningsprocesser til forskellige formål og med forskellige konsekvenser, hvis der sker en hændelse. 4.2 Risikohåndtering Resultatet af de løbende risikovurderinger er et opdateret grundlag hvorudfra ledelsen kan håndtering risici. Den kan herunder beslutte, hvilke risici der er acceptable, og hvilke risici der bør gøres noget ved. Risikohåndtering består af følgende procestrin: 1. Fremlæggelse af risikovurderingen og risikoreducerende tiltag for i-udvalget. 2. Dokumentere udvalgets til- og fravalg. 3. Dokumentere status for arbejdet med risici i SoA-dokumentet. Dokumentet fungerer herved som et dialog-, prioriterings-, overbliks- og beslutningsværktøj. SoA en skal vedligeholdes af informationssikkerhedskoordinatoren på baggrund af risikovurderingsprocessen og den løbende dialog med Informationssikkerhedsudvalget. 5. Sikkerhedspolitik Dette emne er behandlet i dokumentet Informationssikkerhedspolitik for Horsens Kommune. 6. Organisering af informationssikkerhed Dette emne er behandlet i dokumentet Informationssikkerhedspolitik for Horsens Kommune. 7. Medarbejdere Opretholdelse af det ønskede sikkerhedsniveau er meget afhængig af, at alle kommunens medarbejdere tager ansvar for informationssikkerheden. 7.1 Ansættelsesforholdet Alle medarbejdere har et medansvar for at opretholde det ønskede sikkerhedsniveau i Horsens Kommune. Alle medarbejdere skal derfor: Have et generelt kendskab til informationssikkerhed. Kende deres ansvar for sikkerheden. Sikre deres personlige adgangskoder. Passe på organisationens IT-udstyr. Deltage aktivt i rettelse af fejl, løsning af problemer og forbedringer af sikkerheden. Rapportere hændelser der kan indikere brud på sikkerheden. 5

18 Der findes en Informationssikkerhedshåndbog, der giver retningslinjer for den ønskede brugeradfærd. Alle ansatte skal være bekendt med indholdet af håndbogen, og overtrædelser vil blive håndteret af områdets leder. Ved introduktion og modtagelse af nyansatte bør informationssikkerheden indgå som en del af de generelle informationer. Findes der tjeklister til brug for ny-ansættelser, anbefales det ligeledes at tage informationssikkerhed med som et punkt på tjeklisten. Væsentlige ændringer til retningslinjer for brugeradfærd skal godkendes af direktionen efter behandling i Informationssikkerhedsudvalget. Informationssikkerhedshåndbog skal revurderes, opdateres og godkendes af Informationssikkerhedsudvalget en gang årligt. 7.2 Sikkerhedsprocedurer før ansættelse I forbindelse med ansættelse i Horsens Kommune udarbejdes et ansættelsesbrev. I ansættelsesbrevet fremgår det, at man har tavshedspligt, og at tavshedspligten ikke bortfalder, når man fratræder. Den enkelte afdelingsleder har til ansvar at sørge for instruktion i forhold til anvendelse af systemer i det daglige arbejde, samt i forhold til den ønskede generelle adfærd for informationssikkerhed jf. informationssikkerhedshåndbogen. Alle nye administrative medarbejdere skal gennemføre en digital introduktion til korrekt ITadfærd. Den enkelte medarbejder skal automatisk modtage en invitation per ved ansættelse, og har herefter 30 dage til at gennemføre det. Hvis dette ikke sker, eskaleres det til nærmeste leder, som herefter har ansvaret for at medarbejderen gennemfører kurset. 7.3 Ansættelsens ophør Der skal være procedurer i den enkelte afdeling, der sikrer, at IT-aktiver returneres, og at adgange og rettigheder ophører senest ved ansættelsesforholdets ophør. Det er lederens ansvar, at procedurer udarbejdes og efterleves. Såfremt adgange og rettigheder skal ophøre, forinden ansættelsesforholdets ophør, f.eks. i forbindelse med særlige aftaler om fritstilling og lignende, skal lederen kontakte IT- afdelingen på 1234@horsens.dk. 8. Kritiske processer samt klassifikation af systemer og data Informationssikkerhedsarbejdet tager som tidligere beskrevet udgangspunkt i en risikobaseret tilgang. Det sker bl.a. ved at identificere og vurdere de særligt kritiske forretningsprocesser herunder deres afhængighed til underliggende systemer og data. Det giver hermed mulighed for at give en øget gennemsigtighed for de kritiske sammenhænge i Horsens Kommunes infrastruktur samt afdække behovet for det tilhørende beredskabsniveau. 6

19 8.1 Kritiske forretningsprocesser De kritiske forretningsprocesser i Horsens Kommune skal identificeres med udgangspunkt i digitaliseringsstyrelsens definition (se Bilag 6: Definition af kritiske forretningsprocesser). De identificerede processer skal tilføjes en samlet oversigt for de kritiske forretningsprocesser. 8.2 System klassifikation Klassificering af systemer dokumenteres i Systemlandskabsoversigten for alle kommunes systemer, hvor det enkelte system kan være i en af følgende klassifikationer: Guld (mest kritisk), Sølv og Bronze. Der er følgende definition på de enkelte systemklassifikationer: Systemejeren har ansvaret for at indplacere det enkelte system i en passende klassifikation. Dette kan med input fra det årlige arbejde med de kritiske forretningsprocesser jf. kap. 4. Alle systemer i oversigten er endvidere indplaceret i en af følgende typer; Fagsystemer, Støttesystemer og Infrastruktur. Systemlandskabsoversigten indeholder mange andre informationer f.eks. hvem der er systemejer samt henvisninger til databehandleraftaler og leverandørkontrakter. 8.3 Data klassifikation Dataejeren har ansvaret for at klassificere data efter behov og skal i de givne tilfælde ske med udgangspunkt i følgende klassifikationer: Tilgængelighed Høj: Forretningskritisk og kan ikke erstattes af manuelle procedurer. Medium: Vigtigt, men funktionerne kan udføres manuelt i en begrænset tidsperiode. Lav: Ikke kritisk og funktionerne kan afbrydes i en længere tidsperiode. 7

20 Integritet Høj: Forretningskritiske beslutninger bliver taget på grundlag af data. Medium: Data danner grundlag for beslutninger, men de er ikke kritiske. Lav: Data danner aldrig, eller kun sjældent, grundlag for beslutninger. Fortrolighed Fortroligt: Data der kun må være tilgængeligt for en begrænset gruppe af personer f.eks. lukkede punkter fra bestyrelsesmøder. Internt brug: Materiale der er tilgængeligt for alle internt i organisationen. Uklassificeret: Der er ingen fortrolighed og ingen begrænsninger for hvem, der må få adgang til data. 9. Adgangsstyring I det daglige arbejde i Horsens Kommune behandles og gemmes mange fortrolige informationer, der både kan tilgås indenfor og udenfor Horsens Kommunes fysiske lokaliteter. Det er herfor afgørende, at disse informationer beskyttes via krav til adgangsstyringen for at imødegå uvedkommendes adgang. 9.1 De forretningsmæssige krav til adgangsstyring Alle informationsaktiver (programmel, udstyr, data, informationer og databærende medier) skal være beskyttet mod uautoriseret adgang. Systemejerne skal løbende tage stilling til adgang til IT-systemerne, og der skal være retningslinjer og procedurer for tildeling af adgang til arbejdsstationer, arkiver, netværk og lignende ressourcer. 9.2 Administration af brugeradgang Tildeling, ændring og sletning af brugeradgang til systemer og data skal ske ud fra arbejdsbetingede behov og i overensstemmelse med datas klassifikation. Adgang til netværk og systemer skal inddrages, når brugeren ikke længere skal have adgang. Adgangsprocedurerne omfatter: Registrering af alle brugere med en unik brugeridentitet. Regler for, hvem der må disponere over hvilke IT-systemer og dele heraf. Regler for, hvordan og i hvilke tilfælde adgangstilladelse tildeles og inddrages. Regler for overvågning, logning, efterkontrol, ledelsesrapportering og opfølgning. Anvendelsen af fællesadgang skal være begrænset til systemer, der ikke indeholder personfølsomme og/eller forretningskritiske data. 9.3 Brugerens ansvar Alle medarbejdere er ansvarlige for deres personlige adgangskoder og for at følge vedtagne retningslinjer for password. 8

21 9.4 Mobilt udstyr og fjernarbejdspladser I Informationssikkerhedshåndbog for Horsens Kommune er der fastlagt de regler, som skal overholdes ved brug af mobilt udstyr og fjernarbejdspladser. 9.5 Adgang for ekstern leverandører Når der er behov for at give adgang til Horsens Kommunes netværk for andre end Horsens Kommunes medarbejdere, skal der først indgås en Fortrolighedserklæring (eksterne konsulenter) med den givne person. IT- og Digitaliseringsafdelingen varetager vedligeholdelse og formidling af denne skabelon, mens den givne systemejer har ansvaret for indgåelse af aftalen samt opbevaring af dokumentation. 10. Kryptografi Kommunikation til og fra Horsens Kommunes infrastruktur er vitalt for at medarbejderne i kommunen, kan gøre deres arbejde. Derfor er det afgørende, at de beskeder der sendes til og fra Horsens Kommune er sikret, og at indholdet er hemmeligholdt, for tredjeparter. Dette afsnit indeholder de procedurer, der skal til for at sikre korrekt og effektiv brug af kryptografi for at beskytte informationers fortrolighed, integritet og autenticitet. Behovet for brug af kryptering skal identificeres ud fra en vurdering af, hvor kryptering som sikringsforanstaltning kan imødegå behovet for sikring af datas fortrolighed og/eller integritet. Det sker på grundlag af datas klassifikation. For at leve op til best practice for efterlevelse af persondataloven skal kommunikation af persondata med identitetsangivelse, der kan misbruges, foregå ved krypteret form. Ved anvendelse af kryptering skal der tages højde for nøglehåndtering. 11. Fysisk sikkerhed Der opbevares informationer og kritiske IT-komponenter på en række af Horsens Kommunes fysiske lokaliteter. For at opretholde et tilstrækkeligt sikkerhedsniveau skal der tages individuel stilling til behovet for en eventuel beskyttelse af disse fysiske lokaliteter Sikre områder Lokaler er opdelt i sikkerhedsområder, hvor adgang tildeles på baggrund af et arbejdsbetinget behov og under hensyntagen til funktionsadskillelse. Den fysiske adgang skal beskyttes med et hensigtsmæssigt adgangskontrolsystem, som er udvalgt på baggrund af en risikovurdering Beskyttelse af udstyr Datacenter og Hovedkrydsfelt skal beskyttes mod ødelæggelse og skade, der er følger af brand, vandskade, strømsvigt og andre skader, forårsaget af hændelser i det omkringliggende fysiske miljø. 9

22 Kritisk IT-udstyr skal overvåges og vedligeholdes efter leverandørens anvisninger. Ved bortskaffelse, reparation eller genbrug af IT-udstyr skal det sikres, at udstyret er renset for data på en sådan måde, at de ikke kan gendannes. 12. Driftsikkerhed Styring af netværk og drift skal sikre at Horsens Kommune opnår en høj driftsstabilitet. Det stiller krav til IT-afdelingen og underleverandører på en række konkrete områder af både forebyggende og udbedrende karakter Funktionsadskillelse Der skal være etableret regler for funktionsadskillelse. Dette princip er en grundlæggende forudsætning for forebyggelse, og begrænsning af konsekvenser, som stammer fra fejl, uheld og bevidst ondsindede handlinger forårsaget af enkeltpersoner eller grupper af personer Uafhængighed af nøglepersoner Der tilstræbes uafhængighed af enkeltpersoner, hvor dette er muligt gennem vidensdeling, personbackup, opdateret dokumentation samt system- og procesunderstøttelse Operationelle procedurer og ansvarsområder For at sikre stabilitet i driften skal der, hvor det er relevant, etableres adskilt test og produktion på forskellige systemmiljøer. Nye systemer og ændringer til eksisterende systemer testes inden installering i driftsmiljøet således, at tilgængelighed og integritet sikres. Procedurer, ansvarsområder og anvendt teknologi skal understøtte den nødvendige funktionsadskillelse. Som en forudsætning for hurtig imødegåelse af driftsforstyrrelser, er der etableret procedurer for daglig sikkerhedskopiering (backup). Backup opbevares på samme lokation men i separat brandsikrede områder Styring af driftsmiljø Der skal være procedurer, der sikrer stabilitet ved installation af systemer i driftsmiljøer. Der anvendes standardopsætninger for konfiguration af systemkomponenter, som kontrollerer kendte sårbarheder. IT-afdelingen skal løbende vurdere tilgængelige sikkerhedsrettelser, f.eks. patches og hotfixes til anvendte operativsystemer. Sikkerhedsrettelser installeres efter behov. Data der anvendes til test, skal udvælges omhyggeligt, kontrolleres nøje og beskyttes i henhold til deres klassifikation. Der skal være særligt fokus på beskyttelse af persondata. Kapaciteten i forbindelse med alle servere med kritiske informationer skal løbende overvåges for at sikre pålidelig drift og tilgængelighed. Ved implementering af nye systemer skal det sikres, at der skal være mulighed for reetablering og fornøden fejlhåndtering. 10

23 12.5 Skadevoldende programmer Skadevoldende programmer kan sætte hele organisationen ud af drift, og det kan være meget dyrt at rense IT-systemerne, hvis de er blevet ramt af et hackerangreb eller en virus. Alt godkendt IT-udstyr der er tilsluttet Horsens Kommunes netværk, har, hvor det er muligt, installeret et aktivt og opdateret antivirusprogrammel, der kan opdage, rense og beskytte mod forskellige former for skadevoldende programmer. Ved eksterne brugere skal der tages individuel stilling til deres sikkerhedsniveau, og herudfra skal det vurderes, om der skal gives fuld adgang eller en begrænset adgang via Citrix. Det skal løbende kontrolleres, at anti-virus er aktivt på arbejdsstationerne, og at signaturfilerne ikke er ældre end én uge. Opdatering finder automatisk sted, når brugeren tilgår Horsens Kommunes netværk. Opdateringen kan medføre, at netværket i kort tid ikke er tilgængeligt. Det er ikke tilladt at installere egne programmer på Horsens Kommunes maskiner. Ved installation af programmer skal procedurerne, der findes i Horsens Kommunes egne retningslinjer, følges Sikkerhedskopiering For at vigtige informationer altid kan fremfindes, og for at undgå tabt arbejde, foretages der sikkerhedskopiering og backup med faste intervaller for alle systemer og netværksdrev. De nærmere regler herfor findes i retningslinjen for backup. Aftaler med eksterne leverandører skal indeholde krav til samme procedurer, som gælder internt i Horsens Kommune. Det skal ved regelmæssige test sikres, at sikkerhedskopierne kan genindlæses. Sikkerhedskopierne opbevares i en anden brand-celle på samme lokation, så de kan fremfindes ved igangsættelse af nødplaner eller i forbindelse med andre behov Logning og overvågning Der foretages logning af vore kritiske systemer. Logningerne kontrolleres med henblik på at opdage og spore uautoriserede handlinger, og at kunne føre disse tilbage til enkeltpersoner eller identificerbart netværksudstyr. Det kontrolleres, at IT-systemer anvendes korrekt. Overvågningsniveauet fastlægges på grundlag af en risikovurdering af det enkelte system, og alle overvågningsaktiviteter skal beskrives. Alle aktiviteter på de fleste IT-systemer registreres automatisk. Som en del af logningen skal sikkerhedsrelaterede hændelser registreres. Logfaciliteter og logoplysninger skal beskyttes mod manipulation og tekniske fejl. Alle ure synkroniseres, så hændelser kan identificeres entydigt. 11

24 12.8 Driftsberedskab Der skal være til enhver tid være et driftsberedskab i Horsens Kommune, der er tilstrækkelig til at varetage det beredskab, som er aftalt med de givne områder i organisationen. 13. Kommunikationssikkerhed Kommunikationssikkerhed har til formål at sikre beskyttelse af informationer i netværket og af understøttende informationsbehandlingsfaciliteter samt at opretholde informationssikkerhed ved overførsel internt i kommunen og til en ekstern part Netværkssikkerhed For at undgå uautoriseret adgang skal vores netværk sikres. Sikring af vores netværk imod uautoriseret adgang styres af IT-afdelingen. Det sker f.eks. via adgangskontrol og adskillelse af netværkstjenester, hvor dette er hensigtsmæssigt. Der må ikke installeres netværksudstyr som f.eks. trådløse modems uden IT-afdelingens godkendelse. Der skal være etableret firewall løsninger, der beskytter mod forbindelse til upålidelige netværk. Der etableres udelukkende forbindelser fra internettet til sikkerhedsgodkendte servere som f.eks. - og webservere. Det skal sikres, at IT-afdelingen vedblivende har den nødvendige viden samt redskaber til overvågning af Horsens Kommunes for at kunne opdage og spore sikkerhedsbrister samt til fejlretning. Netværket overvåges løbende med henblik på at opdage og udbedre brud på sikkerheden. Bærbare medier med adgang til netværket skal styres og beskyttes. Der er etableret trådløst netværk på de fleste af Horsens Kommunes lokationer. Der må kun etableres trådløst lokalnet efter IT-afdelingens godkendelse. Nettet skal konfigureres således, at uautoriseret adgang og aflytning ikke er mulig. Trådløse netværk betragtes som usikre og ubeskyttede netværk, og adgang til trådløst netværk kræver gyldigt brugernavn og kodeord samt anvendelse af godkendt udstyr. Gæster kan få adgang til Horsens Kommunes gæstenetværk, hvor der kun tilbydes adgang til internettet. Gæstenettet skal være segmenteret på en sådan måde, at der ikke her forefindes personfølsomme og/eller forretningskritiske data. Da gæstenettet tilbydes ikke-kommercielt, så foretages der ikke overvågning og logning af gæsters anvendelse af internettet Informationsoverførsel Regler i forbindelse med informationsudveksling af fortrolig information via og andre elektroniske medier findes i Informationssikkerhedshåndbogens afsnit omhandlende retningslinjen for og digital post. I forbindelse med ekstern opkobling til Horsens Kommunes systemer må fortrolige data ikke kopieres, flyttes eller lagres på bærbare medier. Derudover har alle medarbejdere et ansvar for at beskytte uovervåget IT-udstyr og bærbare datamedier. 12

25 14. Anskaffelse, udvikling og vedligeholdelse af IT-systemer Det er vigtigt for af kommunens informationssikkerhed, at anskaffelse af nye IT-systemer samt den efterfølgende udvikling og vedligeholdelse af systemerne sker korrekt. Det er f.eks. herunder, at det skal sikres, at systemerne er designet og opsat på en måde, der bedst muligt imødegår tab af fortrolige data eller ustabil drift ved forretningskritiske systemer Sikkerhedskrav til informationsbehandlingssystemer De sikkerhedskrav der stilles til systemers behandling af data, skal indgå i vurderingen, som foretages ved indkøb og test af eksternt udviklede systemer. Det enkelte system skal have implementeret sikringsforanstaltninger, som er tilstrækkelige i forhold til klassifikation af de data, som systemet behandler, samt de forretningsmæssige funktioner, som systemet varetager. Informationssikkerhedskoordinatoren skal herfor i denne forbindelse inddrages i udarbejdelse af krav ved indkøb af IT-systemer Vurdering af systemdata Vurderingen af hvilke sikringsforanstaltninger der er nødvendige i det enkelte system, foretages ud fra, hvilke data systemet indeholder, og hvilke forretningsmæssige funktioner systemet varetager Styring af driftsmiljøet Der skal være etableret procedurer, der sikrer stabilitet ved installation af systemer i driftsmiljøet. Data der anvendes til test, skal udvælges omhyggeligt, kontrolleres nøje og beskyttes i henhold til deres klassifikation, f.eks. ved at anonymisering af data i testmiljøet Sikkerhed i udviklings- og hjælpeprocesser Vi udvikler ikke selv systemer, men anvender pålidelige og kompetente leverandører. Der anvendes standardprodukter i videst muligt omfang. IT-afdelingen etablerer godkendelsesprocedurer for nye systemer, nye versioner og opdateringer af eksisterende systemer. Godkendelsesprocedurerne beskriver krav til dokumentation, specifikationer, test, kvalitetskontrol og en styret implementeringsproces. Der skal foretages en risikovurdering af ændringerne i forhold til eksisterende sikringsforanstaltninger og eventuelt opståede behov for nye sikringsforanstaltninger. Vedligeholdelse af systemer der indgår i kritiske forretningsprocesser, skal ske i henhold til særskilte aftaler, der indgås med forretningen og dokumenteres i Beredskabsstrategi og beredskabsplaner. Når driftsmiljøet ændres, skal der ved disse kritiske forretningssystemer gennemgås og testes for at sikre, at det ikke har utilsigtede, afledte virkninger på den daglige drift og sikkerhed. 13

26 14.5 Databehandleraftaler Der skal forefindes databehandleraftaler for alle de situationer, hvor persondata i Horsens Kommune overlades til ekstern leverandørers (udenfor Horsens Kommunes netværk). Databehandleraftalen skal indgås i forbindelse systemkontraktudarbejdelsen og skal basere sig på den af IT- og Digitaliseringsafdelingen ejede skabelon. Dataejeren skal sikre en løbende opfølgning af databehandlerens varetagelse af den indgåede aftale. IT- og Digitaliseringsafdelingen vedligeholder beskrivelsen af opgavens indhold og indhold. 16. Styring af sikkerhedshændelser på IT-området Informationssikkerhedsarbejdet skal sikre en håndtering af sikkerhedshændelser. Endvidere er der i det forbyggende arbejde med informationssikkerhed, behov for at dokumentere sikkerhedshændelser, så det kan indgå i arbejdet med at analysere svagheder og planlægge det videre informationssikkerhedsarbejde Håndtering af sikkerhedsbrud og forbedringer Alle medarbejdere har pligt til hurtigst muligt at afrapportere sikkerhedshændelser til den relevante GIA 2 aktør. Opståede hændelser skal håndteres af den ansvarlige for området med udgangspunkt i en vurdering af alvoren ved problemet. Hændelser der har indflydelse på tilgængelighed, skal afklares i overensstemmelse med gældende serviceaftaler. Driftshændelser der ikke kan afklares inden for aftalt tid, skal i disse tilfælde håndteres i overensstemmelse med procedurer for hændelseshåndtering, og de ramte brugere og systemejere skal informeres. Hvor der kan komme et retsligt efterspil, skal beviser indsamles, opbevares og præsenteres, så vi kan sikre, at de udgør et fyldestgørende og pålideligt bevismateriale Rapportering af sikkerhedshændelser og svagheder Efter en imødegåelse af hændelsens konsekvenser har GIA aktøren ansvaret for en afrapportering af hændelsen til informationssikkerhedskoordinatoren. Afrapporteringen af alle hændelser skal ske i et særligt skema, som sendes til Informationssikkerhedskoordinatoren, der hermed kan skabe et samlet overblik for alle rapporterede hændelser. Denne information vil indgå i afrapporteringen til Informationssikkerhedsudvalgt og den årlige afrapportering til direktionen. Der er forskellige skema målrettet forskellige typer af hændelser. Det er Informationssikkerhedskoordinatoren, der har ansvaret for at definere omfanget for og typen af skemaer samt for den løbende vedligeholde. 2 GIA = Gruppen af Informationssikkerheds Aktører. Se begrebsafklaringen i Informationssikkerhedspolitikken for yderligere information. 14

27 17. IT-beredskabsstyring Horsens Kommune har udarbejdet en IT-beredskabsstrategi, der indgår i Horsens Kommunes overordnede kriseberedskab. Strategien redegør for, hvordan Horsens Kommune skal håndtere en beredskabssituation, ved nedbrud af kommunens IT-services. Godkendelse Dokumentet er godkendt af Horsens Kommunes Informationssikkerhedsudvalg. Formand for Informationssikkerhedsudvalget Lars Faurholt, Horsens d. 06/

28 Bilag 1: Indhold af rapportering til direktionen Afrapportering fra Informationssikkerhedsudvalget til direktionen skal have et omfang og en detailgrad, der gør at direktionen er i stand til at varetage sit ansvar om Horsens Kommunes overordnede sikkerhed. Årlig rapportering 1. Overordnede status Organisatoriske aspekter (ressourceoversigt & budget) Overordnet resultat af udførte aktiviteter Nye væsentlige implementeringer, restrukturering eller lign. Kritiske hændelser f.eks. virusudbrud eller angreb Væsentlige nedbrud 2. Det aktuelle risikobillede for Horsens Kommune Gennemgang af top-prioriterede risici Statistik samt udvikling/historik i typer af hændelser 3. Generel markedsstatus Nye trends/sikkerhedsrisici som Horsens Kommune skal være opmærksomme på Udvikling i Internet- og mailtrafik Statistik vedr. Virus, spam, m.v. Nye relevante teknologier, der medfører øget risiko 4. Nye fokusområder og aktiviteter Prioriteret liste over projekter vedr. informationssikkerhed for kommende periode Nye investeringer Ad hoc rapportering Informationssikkerhedsudvalget skal desuden rapportere ad hoc, hvis der indtræffer hændelser, der har en karakter, der bør have direktionens opmærksomhed f.eks. Tab af tilgængelighed, udstyr eller faciliteter Systemfejl eller overbelastning Menneskelige fejl Brud på den fysiske sikkerhed Brud på adgangskontrollerne Ændring i de forudsætninger, som indvirker på Horsens Kommunes sikkerhedspolitik f.eks. nye lovkrav, organisationsændringer eller igangsatte aktiviteter. 16

29 Bilag 2: Dagsorden for Informationssikkerhedsudvalgsmøder Informationssikkerhedsudvalget følger en fast mødedagsorden for at sikre fuldstændighed i dialogen om sikkerhedsarbejdet og for at sikre en ensartethed i rapportering til direktionen. Omdrejningspunktet for dialog, status og prioriteringsgrundlaget er SoA-dokumentet. Orientering fra direktionen Status på risikovurderingsarbejde Status på igangværende arbejder Hændelsesrapportering fra informationssikkerhedskoordinatoren og GIA o Hændelser, omfang, type og konsekvens o Status på udbedring o Forebyggende initiativer Fastlæggelse af opgaver for det kommende kvartal o Beskrivelse/succeskriterier o Projektledelse og -ressourcer o Tidslinje Eventuelt Der skal tages referat ved alle møder. 17

30 Bilag 3: Medarbejder i informationssikkerhedsorganisationen I det følgende er der redegjort for hvilke personer i organisationen, der er allokeret til de respektive roller i informationssikkerhedsorganisationen. Rolle Direktionen DPO Informationssikkerhedsudvalg Informationssikkerhedskoordinator IT- og Digitaliseringschefen IT-driftsafdelingen (ved ITdriftschefen) Ejer af lokale Digital Forretningsstrategi Ledelse på alle organisatoriske niveauer Ejer af Kritisk forretningsproces Systemejer Dataejer Person(er) Niels Aalund, Karin Holland, Tom Heron, Peter Sinding Poulsen XXX Lars Faurholt (Formand), Claus Rindahl Hansen, Søren Grotkær, Frode Fårup, Jette Stencel, Jens Heslop, Karina Bentsen & Anne-Mette Gisselmann. Mathias Bechmann Haurdahl Lars Faurholt Leif B. Præsius Se de lokale Digital Forretningsstrategi Se organisationsdiagram på medarbejderportal Se oversigt for Kritisk forretningsproces Se systemejer databasen Er samme person som systemejeren 18

31 Bilag 4: Rollebeskrivelser Direktionen Årlig revidering af informationssikkerhedspolitikken. Informationssikkerhedsudvalget Mødes 4 gange årligt Vurdere indholdet af SoA-dokumentet og herudfra igangsætte sikkerhedsarbejde Fremlæggelse og godkendelse af sikkerhedsstatus for direktionen via årlig afrapportering. Evaluere årlig intern informationssikkerhedsaudit med tilhørende evaluering af ISMS et. Indgå i overvågning af eksterne og interne trusler (trusselbilledet). Evaluere håndtering og baggrund for eventuelle angreb og brud på IT-sikkerhed. Årlig revidering af informationssikkerhedsretningslinjer og -håndbog kan ske oftere. IT- og Digitaliseringschefen Ledelsen af Informationssikkerhedskoordinatoren. Formand for informationssikkerhedsudvalget. Informationssikkerhedskoordinator Arbejdet med sikkerhedsarbejdet bør jf. ISO følge et fast årshjul, som her er opdelt i 4 faser svarende til PDCA cirklen. Gennemgå og opdatere SoA-dokumentet i dialog med IT-sikkerhedsudvalget. Implementerer det aftalte sikkerhedsarbejde jf. SoA-dokumentet. Gennemfører løbende Awareness aktiviteter. Samle op på eventuelle sikkerhedshændelser og afrapportere til IT-sikkerhedsudvalget. Rådgive organisationen om informationssikkerhed ved projekter og aktiviteter. Arrangere møder i IT-sikkerhedsudvalget hver 3. måned. Sikrer gennemførelse af årlig intern audit. Assistere årlig test af beredskabsplaner Overvågning af eksterne og interne trusler (trusselbilledet). Løbende opgørelse af angreb og brud på IT-sikkerhed. Vedligeholde systemoversigten i samarbejde med system- og dataejere. Vedligeholde oversigten for kritiske forretningsprocesser i samarbejde med procesejerne. Kontinuerligt opsamle ekstern viden om status og udvikling mht. informationssikkerhed. Gennemføre årlig evaluering af ISMS et i samarbejde med sikkerhedsudvalget. Årlig revidering af informationssikkerhedspolitik, retningslinjer og -håndbog. 19

32 IT-driftsafdelingen (ved IT-driftschefen) Adgangsstyring. Drifts- og kommunikationssikkerhed IT-beredskabsstrategi. Test af beredskabsplaner (skrivebordstest 1 gang årligt). Styring og afrapportering af sikkerhedshændelser i IT-driften. Ejer af lokale Digital Forretningsstrategi Sikre strategisk retning, der overholder informationssikkerhedspolitikken og retningslinjerne. Alternativt skal de initiere forslag om en nødvendige justering. Ledelse på alle organisatoriske niveauer Overholdelse af sikkerhedsprocedure ved ansættelsen. Introduktion til medarbejderne af de generelle sikkerhedsregler (f.eks. via e-learning). Nedlukning af arbejdsforhold (herunder aflevering af IT-udstyr). Eskaleringspunkt ved sikkerhedshændelser observeret af medarbejderne. Funktionsadskillelse. Uafhængighed af nøglepersoner. Fysisk sikkerhed. Styring og afrapportering af sikkerhedshændelser til Informationssikkerhedskoordinatoren. Ejer af Kritisk forretningsproces Forretningsnødplan for forretningsprocessen. SLA niveau for Service- og IT-beredskabsplan. Afrapportering af sikkerhedshændelser. Styring og afrapportering af sikkerhedshændelser til Informationssikkerhedskoordinatoren. Systemejer Introduktion af sikkerhedsregler ved nye brugere. Scanning af system for imødegåelse af misbrug. Vedligeholde af system identifikation og klassifikation. Anskaffelse, udvikling og vedligeholdelse af IT-systemer. Styring og afrapportering af sikkerhedshændelser for egne systemer. Dataansvarlig Vedligeholde af systemdataklassifikation. Indgåelse og audit af databehandleraftaler. Styring og afrapportering af sikkerhedshændelser til Informationssikkerhedskoordinatoren. Juridisk afdeling Ejerskab af skabelon til databehandleraftaler. 20

33 Bilag 5: Begrebsafklaring I det følgende er foretaget en beskrivelse af de begreber, som anvendes i dokumentet. Sikkerhedshændelser Begrebet forstås bredt som alle de hændelser, der påvirker informationssikkerheden. Der er hermed tale om alle episoder hvor der, grundet et angreb, uhensigtsmæssig adfærd eller tekniske nedbrud, har været risiko for, eller faktisk er sket, et brud på Horsens Kommunes informationssikkerhed ift. de i SoA en opstillede kontroller. Der kunne f.eks. være tale om følgende typer konsekvenser: Kompromittering af personfølsomme data Tab af troværdighed og mistet tillid Angreb på tilgængelighed Tab af arbejdstid og produktivitet Fejl og utilsigtede handlinger Fortrolige data Fortrolighed, i omgangen med data, drejer sig om at sikre imod en spredning af oplysninger om fortrolige forhold. Det gælder i forhold til omverdenen, såvel som i forhold til medarbejderne i Horsens Kommune. Fortrolige data er f.eks. oplysninger om: Racemæssig eller etnisk baggrund Helbredsoplysninger Politiske, religiøse eller filosofiske overbevisning Seksuel orientering Strafbare forhold Væsentlige sociale problemer Kun autoriserede personer har ret til at tilgå informationerne, og informationerne skal kun være tilgængelige for autoriserede personer. Horsens Kommune opdeler oplysninger i kategorierne fortrolige, interne og uklassificerede. Dataintegritet Data kan være ukorrekte og dermed upålidelige. Det kan f.eks. ske ved ukorrekt indtastning, ved bevidst ændring ved tredje part eller tekniske fejl. Dataintegritet handler hermed om data er komplette, korrekte og opdaterede. Data tilgængelighed I tilgængelighedskriteriet ligger der, at det skal være muligt at tilgå systemer og data for autoriserede personer, når dette er nødvendigt. 21

34 Sikringsforanstaltninger De kontroller som indføres i form af administrative procedurer eller tekniske opsætninger for at undgå, at der indtræffer sikkerhedshændelser. Sikkerhedsforhold Med sikkerhedsforhold menes alle de forhold, som kan påvirke informationers sikkerhed i forhold til fortrolighed, pålidelighed og tilgængelighed. Gruppen af Informationssikkerheds Aktører (GIA) Gruppen af Informationssikkerheds Aktører (GIA) udgøres af en række forskellige aktører, der alle via deres givne rolle, har et særligt ansvar ift. informationssikkerhed. F.eks. IT- og Digitaliseringschefen IT-driftsafdelingen (ved IT-driftschefen) Ejer af lokale Digital Forretningsstrategi Ledelse på alle organisatoriske niveauer Ejer af Kritisk forretningsproces Systemejer Dataansvarlig 22

35 Bilag 6: Definition af kritiske forretningsprocesser Digitaliseringsstyrelsen har lavet en vejledning 3, der redegøre for hvordan man kan identificeres kritiske forretningsprocesser. Der redegøres her for, at der er forskellige metoder til denne identifiaktion. Grundlæggende handler det dog om, at forretningen selv vurderer hvor kritisk det vil være, hvis it-understøttelsen svigter i forhold til bestemte forretningsprocesser. I forbindelse med identifikation, kan man finde inspiration i nedenstående områder, der alle giver anledning til at anse en forretningsproces som kritisk. Forretningsprocesser, som: sikrer, at basale menneskerettigheder overholdes borgere og virksomheder er afhængige af for at kunne hævde eller opnå vitale retsstillinger er nødvendige for at opretholde infrastruktur f.eks. veje er nødvendige for at garantere borgernes sikkerhed politi- og redningsindsatser er nødvendige i forhold til sundhed og sygdomsbekæmpelse 3 ISO27001/Guide-til-id-af-kritiske-processer-til-forretningsnoedplan_ver1_juli2013x.pdf 23

36 Informationssikkerhedspolitik for Horsens Kommune Senest opdateret januar 2016

37 Indholdsfortegnelse 1. FORMÅL OMFANG OG SIKKERHEDSNIVEAU HOVEDMÅLSÆTNINGER ORGANISERING OG ANSVAR INTERNE ORGANISATORISKE FORHOLD DIREKTIONEN INFORMATIONSSIKKERHEDSUDVALGET INFORMATIONSSIKKERHEDSKOORDINATOREN GRUPPEN AF INFORMATIONSSIKKERHEDS AKTØRER (GIA) EKSTERNE SAMARBEJDSPARTNERE OVERTRÆDELSE AF INFORMATIONSSIKKERHEDSPOLITIKKEN AFVIGELSER UDARBEJDELSE OG IKRAFTTRÆDELSE... 7 BILAG 1: ISMS OVERSIGT

38 1. Formål Horsens Kommunes informationssikkerhedspolitik er udarbejdet for at imødegå de informationssikkerhedstrusler, som Horsens Kommune kan blive udsat for. Nedenfor er de potentielle trusler samt deres eventuelle konsekvenser illustreret. Informationssikkerhedspolitik fungerer herved som en rammebeskrivelse af, hvad kommunen gør for at imødegå truslerne ved henholdsvis forebyggelse og udbedring. Endvidere ser Horsens Kommune et højt sikkerhedsniveau som en nødvendighed for at kunne fastholde godt omdømme og fortsat tillid fra omverdenen. Derfor skal politikken være med til at sikre, at data og informationer behandles i overensstemmelse med de krav, der stilles til organisationer med stor samfundsmæssig betydning. 2. Omfang og sikkerhedsniveau Med informationssikkerhed forstår vi grundlæggende den nødvendige beskyttelse af samtlige ressourcer, der indgår i, eller bidrager til, Horsens Kommunes behandling og kommunikation af enhver form for data herunder også teknologi og organisatoriske processer. Informationssikkerheden i Horsens Kommune skal være på et niveau, der tilgodeser lov- og myndighedskrav, kontraktlige forpligtelser samt forpligtelser overfor de aktører der er forpligtet til at anvende Horsens Kommune. Det er samtidig ambitionen, at sikkerhedsniveauet har et afbalanceret omfang, således at der samtidig med høj sikkerhed også fastholdes en forretningsmæssig fleksibilitet og dynamik. Horsens Kommune ønsker dermed ikke at sikre sig for enhver pris, men ønsker at være bevidst om enhver risiko, og forholde sig tilfredsstillende til disse, hvormed et tilstrækkeligt sikkerhedsniveau etableres. 3

39 Informationssikkerhedspolitikken angiver de generelle beslutninger, som ledelsen i Horsens Kommune har truffet med henblik på nærmere at fastlægge det tilstrækkelige sikkerhedsniveau. Derfor fastlægges omfanget af informationssikkerhedspolitikken således: Informationssikkerhedspolitikken gælder for alle ansatte i Horsens Kommune uanset ansættelsesform, herunder også eksterne konsulenter og servicemedarbejdere. Det forventes, at informationssikkerhedspolitikken overholdes. Informationssikkerhedspolitikken gælder for alle systemer og alle data i Horsens Kommunes besiddelse samt systemer, der leveres af, og data der opbevares ved underleverandører. Leverandører og samarbejdspartnere som har adgang til organisationens systemer og data, skal ligeledes have kendskab til og følge informationssikkerhedspolitikken. Politikken dækker alle tekniske og administrative forhold, der har direkte eller indirekte indflydelse på drift og brug af Horsens Kommunes IT-systemer og papirarkiver. Politikken redegør for den overordnede ramme for håndtering af informationssikkerhed i Horsens Kommune, men er kun ét, blandt flere, delelement i ift. dette arbejde. Der er en række andre delelementer, der bl.a. omfatter konkrete retningslinjer, informationssikkerhedshåndbogen og beredskabsstrategien. Den samlede løsning benævnes Horsens Kommunes Information Security Management System (ISMS), og omfatter samlet de elementer, der er beskrevet i Bilag 1: ISMS oversigt. 3. Hovedmålsætninger Målsætningerne med Informationssikkerhedspolitikken er at sikre: En bevidsthed om informationssikkerhed i organisationen. Høj driftssikkerhed og minimeret risiko for store nedbrud og tab af data. Korrekt funktion af IT-systemerne med minimeret risiko for manipulation af data og systemer samt fejl i disse. Mulighed for fortrolig behandling, transmission og opbevaring af data. Dvs. at faciliteter hertil skal være til stede og benyttes efter konkret behov. En imødegåelse af forsøg på tilsidesættelse af sikkerhedsforanstaltninger. En prioritet ledelsesforankret styring af informationssikkerhedsrelaterede risici. 4. Organisering og ansvar Der er etableret en organisering af informationssikkerhedsarbejdet, der skal sikre at arbejdet operationaliseres via dedikerede processer, procedurer og ansvarsallokeringer. 4.1 Interne organisatoriske forhold Nedenstående fremgår kommunens samlede Informations Sikkerheds Organisation (ISO). 4

40 1 4.2 Direktionen Det strategiske niveau udgøres af Horsens Kommunes direktion, der er den overordnede ansvarlig og besluttende myndighed vedrørende sikkerheden for informationsaktiver ved Horsens Kommune. Direktionen evaluerer og godkender årligt informationssikkerhedspolitikken med udgangspunkt i oplæg fra Informationssikkerhedsudvalget. Direktionen skal endvidere sikre, at det besluttede sikkerhedsniveau udmøntes i budgetter, og indgår i relevante handlingsplaner. Direktionen skal årlig modtage og evaluere en rapport fra Informationssikkerhedsudvalget om status for kommunes informationssikkerhed. Direktionen tager herudover ad hoc stilling til spørgsmål angående informationssikkerheden, når disse bringes til deres opmærksomhed via Informationssikkerhedsudvalget. 4.3 InformationsSikkerhedsUdvalget Informationssikkerhedsudvalget udgør det taktiske niveau for arbejdet med informationssikkerheden i kommunen, og refererer til direktionen via udvalgets formand. Informationssikkerhedsudvalget varetager den overordnede koordinering og kontrol af Horsens Kommunes informationssikkerhed. Det sker ved: * Rollen som Data Protection Officer (DPO) forventes at blive et krav i forbindelse med den kommende EU persondataforordning. Rollens ansvar og opgaver afventer vedtagelse af forordningen. 5

41 at bidrage med input til direktionen ved nødvendige justeringer af informationssikkerhedspolitikken. at vedligeholde, realisere og sikre efterlevelse af: o Retningslinjerne for informationssikkerhed o Informationssikkerhedshåndbogen (retningslinjer for medarbejderne) en løbende vurdering og prioritering af kommunens informationssikkerhedsrelaterede risici samt en planlægning af det fremadrettede informationssikkerhedsarbejde en årlig afrapportering til direktionen med af status for informationssikkerhed samt ved alvorlige ad hoc sikkerhedshændelser. Informationssikkerhedsudvalget udgøres i praksis af udvalgte ledere, der samlet repræsenterer alle kommunens direktørområder. Deltagerne skal hermed varetage Horsens Kommunes sikkerhed med udgangspunkt i den overordnede sikkerhedspolitik, og arbejdet kræver, at den enkelte deltager er i stand til at sætte sig ud over lokale interesser og sætte opgaver i et overordnet sikkerhedsmæssigt perspektiv. Informationssikkerhedsudvalget har møder en gang per kvartal samt ved ad hoc behov. 4.4 Informationssikkerhedskoordinatoren Informationssikkerhedskoordinatoren, der er under ledelse af IT- og digitaliseringschefen, udgør sammen med de resterende dele af ISO, den operationelle del af arbejdet med informationssikkerheden i Horsens Kommune. Koordinatoren er sekretær for Informationssikkerhedsudvalget, og varetager den overordnede praktiske styring af kommunens samlede informationssikkerhedsindsats. Koordinatoren har til opgave at tilvejebringe et grundlag for Informationssikkerhedsudvalget ift. deres arbejde med overvågning og prioritering af informationssikkerhedsrelaterede risici, samt til deres planlægning af det fremadrettede informationssikkerhedsarbejde. Endvidere skal koordinatoren sikre et overblik over de igangværende og planlagte initiativer indenfor området. Informationssikkerhedskoordinatoren har endvidere en rådgivende og koordinerende funktion for hele kommunen i forhold til informationssikkerhedsopgaver. 4.5 Gruppen af Informationssikkerheds Aktører (GIA) Gruppen af Informationssikkerheds Aktører (GIA) udgøres af en række forskellige aktører, der alle via deres givne rolle, har et særligt ansvar ift. informationssikkerhed. GIA erne er ansvarlig for, at politikken efterleves under deres individuelle ansvarsområder, men er også ansvarlig for varetagelsen af deres opgaver ift. deres specifikke rolle. Ved et systemnedbrud er det som eksempel den enkelte systemejer, der har det overordnede ansvar for en genetablering af systemdriften. GIA erne er forpligtet til at rapportere til Informationssikkerhedsudvalget i forbindelse med alle opgaver og hændelser, der har relevans for kommunens informationssikkerhed. 6

42 4.6 Eksterne samarbejdspartnere Der skal indgås skriftlige aftaler med eksterne samarbejdspartnere, og de sikkerhedskrav der stilles, skal defineres ud fra persondataloven samt ISO Kravene skal fremgå af de skriftlige aftaler. Eksterne samarbejdspartnere der har adgang til data, skal efterleve samme retningslinjer som gælder internt i organisationen. 5. Overtrædelse af informationssikkerhedspolitikken Alle medarbejdere i Horsens Kommune er forpligtet til at efterleve den, til enhver tid gældende, informationssikkerhedspolitik med tilhørende retningslinjer, forretningsgange og relaterede bilag. Hvis der konstateres en overtrædelse er det et ledelsesansvar at håndtere dette. Hvis en medarbejder er vidende om, at Horsens Kommunes informationssikkerhed overtrædes, skal det meddeles til nærmeste leder hurtigst muligt. 6. Afvigelser Hvis der opstår situationer, hvor kravene i politikken ikke kan efterleves, skal der skriftligt anmodes om dispensation i Informationssikkerhedsudvalget. Eventuelle afvigelser fra kravene skal dokumenteres, og der skal indføres alternative sikringsforanstaltninger. 7. Udarbejdelse og ikrafttrædelse Håndtering af ændringer i sikkerhedsdokumentationen foretages på følgende måde: Informationssikkerhedspolitikken godkendes af direktionen. Retningslinjer for informationssikkerhed og Informationssikkerhedshåndbogen godkendes af informationssikkerhedsudvalget. Alle andre elementer af ISMS et foretages af de ansvarlige medarbejdere. Informationssikkerhedspolitikken er godkendt af kommunaldirektør i Horsens Kommune. Underskrift: Kommunaldirektør Niels Aalund, Horsens d. 20. januar

43 Bilag 1: ISMS oversigt Nedenstående giver en oversigt for de elementer, der indgår i Horsens Kommunes Information Security Management System (ISMS). Informationssikkerhedspolitikken. Nærværende dokument. Dokumentet ejes af direktionen. Retningslinjer for informationssikkerhed. Retningslinjer omkring informationssikkerhed i Horsens Kommune. Dokumentet ejes af informationssikkerhedsudvalget. Informationssikkerhedshåndbog. Håndbog til medarbejderne om regler og vejledning for brugen af it. Dokumentet ejes af informationssikkerhedsudvalget. SoA-dokumentet. Indeholder de kontroller, der er omdrejningspunktet for sikkerhedsarbejdet. Dokumentet ejes af informationssikkerhedsudvalget. Risikovurderingsrapport. Struktureret risikovurderingsrapport der en gang årligt fremlægges for direktionen. Dokumentet ejes af informationssikkerhedsudvalget. Informationssikkerhedsintroduktion. E-learning baseret introduktion om informationssikkerhed, der udsendes til alle relevante medarbejdere ved ansættelsen og med dokumentation for gennemførelse. Dokumentet ejes af informationssikkerhedsudvalget. IT-beredskabsstrategi. Redegør for den overordnede strategi for IT-beredskabet. Dokumentet ejes af informationssikkerhedsudvalget. Oversigt for Kritiske forretningsprocesser. Oversigt der viser alle Horsens Kommunes kritiske forretningsprocesser indeholdende procesnavn, forretningsansvarlig samt reference til processens specifikke service- og beredskabsplan. Dokumentet ejes af informationssikkerhedsudvalget. IT-forretningsnødplaner: Plan der ved kritiske forretningsprocesser der redegør for hvordan den enkelte forreningssproces opretholdes ved nedbrud af den bagvedliggende IT-service. Dokumentet ejes af den konkrete ejer af den kritiske forretningsproces. Service- og beredskabsplaner. Aftaler indgået mellem IT-driften og det enkelte forretningsområde for kritiske forretningsprocesser. Dokumentet ejes af IT-driftschefen. IT-beredskabsplaner. Plan for hvert enkelt IT-system, der redegør for den tekniske genetablering af systemet og tilhørende data. Dokumentet ejes af systemejeren. Systemlandskabsoversigt. Oversigt der viser alle Horsens Kommunes systemer med tilhørende klassifikation. Der er for hvert system en reference til systems specifikke ITberedskabsplan. Dokumentet ejes af IT- og Digitaliseringschefen. Dataoversigt. Oversigt der viser alle Horsens Kommunes data med dataklassifikation. Dokumentet ejes af IT- og Digitaliseringschefen. Der er herudover en række områder, der har relation til og som skal efterleve informationssikkerhedspolitikken f.eks. ansættelsesbreve og leverandørkontrakter. 8

44 Håndbog til informationssikkerhed i Horsens Kommune Senest opdateret februar 2015