Bilag 7 - Databehandleraftale Horsens Kommune Indkøb af elektronisk nøglesystem til hjemmeplejen

Transkript

1 Bilag 7 - Databehandleraftale Horsens Kommune Indkøb af elektronisk nøglesystem til hjemmeplejen Side 1/16

2 DATABEHANDLERAFTALE Mellem [Virksomhed] [Adresse] [Postnr.] [By] [CVR nr.] (Herefter kaldet Leverandøren) Og Horsens Kommune Rådhustorvet Horsens CVR nr (Herefter kaldet Kommunen) er der indgået nedenstående databehandleraftale (herefter Aftalen ) om Leverandørens behandling af personoplysninger på vegne af Kommunen: Side 2/16

3 1. Generelt 1.1 Aftalen vedrører Leverandørens forpligtelse til at efterleve de sikkerhedskrav, som fremgår af Lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven) 42, jf. 41, stk Kravene er beskrevet i: (i) Bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning (Sikkerhedsbekendtgørelsen). (ii) Vejledning nr. 37 af 02/04/2001 til bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning (Sikkerhedsvejledningen). 1.2 Den 25. maj 2018 erstattes Persondataloven af Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 (herefter Databeskyttelsesforordningen) således, at Aftalens pkt. 1.1 (i) (ii) herefter erstattes med Databeskyttelsesforordningen. 1.3 I Aftalen er indarbejdet de krav, som såvel Persondataloven som de kommende regler i Databeskyttelsesforordningen stiller til databehandleraftaler. 1.4 Leverandøren skal leve op til principper og anbefalinger i ISO Leverandøren skal behandle personoplysninger i overensstemmelse med god databehandlingsskik, jf. de til enhver tid gældende regler og forskrifter for behandling af personoplysninger. 1.6 Leverandøren forpligter sig til at gøre sig bekendt med Kommunens retningslinjer for informationssikkerhed, informationssikkerhedspolitik og informationssikkerhedshåndbog, som vedlægges Aftalen som bilag Formål 2.1 Leverandøren behandler i medfør af Kontrakt om levering af elektronisk nøglesystem til hjemmeplejen (herefter Hovedaftalen ) personoplysninger for Kommunen, hvor Leverandørens behandlinger og formålet med behandlingerne er beskrevet. Side 3/16

4 3. Kommunens rettigheder og forpligtelser 3.1 Kommunen er dataansvarlig for de personoplysninger, som Kommunen instruerer Leverandøren om at behandle. 3.2 Kommunen har de rettigheder og forpligtelser, som er givet en dataansvarlig i medfør af lovgivningen, jf. Aftalens pkt. 1.1 og Kommunen er forpligtet til at orientere Leverandøren i tilfælde af Kommunens eventuelle væsentlige it-sikkerhedsregler i Kommunens retningslinjer for informationssikkerhed, informationssikkerhedspolitik og informationssikkerhedshåndbog, jf. bilag Leverandørens forpligtelser 4.1 Leverandøren er databehandler for de personoplysninger, som Leverandøren behandler på vegne af Kommunen, jf. pkt. 6 og bilag 3. Leverandøren har som databehandler de forpligtelser, som er pålagt en databehandler i medfør af lovgivningen, jf. Aftalens pkt. 1.1 og Leverandøren behandler alene de overladte personoplysninger efter instruks fra Kommunen, jf. pkt. 6 og bilag 3, og alene med henblik på opfyldelse af Hovedaftalen. 4.3 Leverandøren skal fra 25. maj 2018 løbende føre en fortegnelse over behandlingen af personoplysninger samt en fortegnelse over alle sikkerhedsbrud. 4.4 Leverandøren skal sikre personoplysningerne via tekniske og organisatoriske sikkerhedsforanstaltninger, som beskrevet i Sikkerhedsbekendtgørelsen og Sikkerhedsvejledningen (frem til 25. maj 2018) og Databeskyttelsesforordningen (fra 25. maj 2018), jf. bilag 1 Sikkerhed. 4.5 Leverandøren skal på opfordring fra Kommunen hjælpe med at opfylde Kommunens forpligtelser i forhold til den registreredes rettigheder, herunder besvarelse af anmodninger fra borgere om indsigt i egne oplysninger, udlevering af borgerens oplysninger, rettelse og sletning af oplysninger, begrænsning af behandling af borgerens oplysninger, samt Kommunens forpligtelser i forhold til underretning af den registrerede ved sikkerhedsbrud, fra 25. maj 2018 i medfør af Databeskyttelsesforordningens kap. III samt artikel Leverandøren skal fra 25. maj 2018 hjælpe Kommunen med at efterleve dennes forpligtelser efter Databeskyttelsesforordningens artikel Side 4/16

5 4.7 Leverandøren garanterer fra 25. maj 2018 at levere tilstrækkelig ekspertise, pålidelighed og ressourcer til at implementere passende tekniske og organisatoriske foranstaltninger sådan, at Leverandørens behandling af Kommunens personoplysninger opfylder kravene i Databeskyttelsesforordningen og sikrer beskyttelse af den registreredes rettigheder. 4.8 Leverandøren er forpligtet til at oplyse med præcise adresseangivelser, hvor Kommunens personoplysninger opbevares, jf. bilag 2. Leverandøren skal ajourføre oplysningerne over for Kommunen ved enhver ændring. 4.9 Hvis Leverandøren er etableret i en anden EU-medlemsstat, skal Leverandøren frem til 25. maj 2018 ligeledes overholde de bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den pågældende medlemsstat. 5. Underleverandør (underdatabehandler) 5.1 Ved underdatabehandler forstås en underleverandør, til hvem Leverandøren har overladt hele eller dele af den behandling, som Leverandøren foretager på vegne af Kommunen. 5.2 Leverandøren må ikke uden udtrykkelig skriftlig godkendelse fra Kommunen anvende andre underdatabehandlere end dem, der er angivet i bilag 2, herunder foretage udskiftning af disse, til at behandle de personoplysninger, som Kommunen har overladt til Leverandøren i medfør af Hovedaftalen. 5.3 Hvis Leverandøren overlader behandlingen af personoplysninger, som Kommunen er dataansvarlig for, til underdatabehandlere, skal Leverandøren indgå en skriftlig (under)databehandleraftale med underdatabehandleren. 5.4 Underdatabehandleraftalen, jf. pkt. 5.3, skal pålægge underdatabehandleren de samme databeskyttelsesforpligtelser, som Leverandøren er pålagt efter Aftalen, herunder, at underdatabehandleren fra 25. maj 2018 garanterer at kunne levere tilstrækkelig ekspertise, pålidelighed og ressourcer til at kunne implementere de passende tekniske og organisatoriske foranstaltninger således, at underdatabehandlerens behandling opfylder kravene i Databeskyttelsesforordningen og sikrer beskyttelse af den registreredes rettigheder. 5.5 Når Leverandøren overlader behandlingen af personoplysninger, som Kommunen er dataansvarlig for, til underdatabehandlere, har Leverandøren Side 5/16

6 over for Kommunen ansvaret for underdatabehandlernes overholdelse af disses forpligtelser, jf. pkt Kommunen kan til enhver tid forlange dokumentation fra Leverandøren for eksistensen og indholdet af underdatabehandleraftaler for de underdatabehandlere, som Leverandøren anvender i forbindelse med opfyldelsen af sine forpligtelser over for Kommunen. 5.7 Al kommunikation mellem Kommunen og underdatabehandleren sker via Leverandøren. 6. Instrukser 6.1 Leverandørens behandling af personoplysninger på vegne af Kommunen sker udelukkende efter dokumenteret instruks, jf. bilag 3. Det er Leverandørens ansvar at sikre, at eventuelle underdatabehandlere, jf. pkt 5.3, får tilsendt Kommunens instruks, jf. bilag Leverandøren giver fra 25. maj 2018 omgående besked til Kommunen, hvis en instruks efter Leverandørens vurdering er i strid med lovgivningen, jf. pkt Tekniske og organisatoriske sikkerhedsforanstaltninger 7.1 Leverandøren skal frem til 25. maj 2018, jf. bilag 1, træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at personoplysninger: (i) (ii) (iii) tilintetgøres, mistes, ændres eller forringes, kommer til uvedkommendes kendskab eller misbruges, eller i øvrigt behandles i strid med lovgivningen, jf. pkt. 1.1 eller i strid med Kommunens uddybende it-sikkerhedsregler, jf. bilag Leverandøren skal fra 25. maj 2018, jf. bilag 1, iværksætte alle sikkerhedsforanstaltninger, der kræves for at sikre et passende sikkerhedsniveau. 7.3 Leverandøren skal mindst en gang årligt gennemgå sine interne sikkerhedsforskrifter og retningslinjer for behandlingen af personoplysninger med henblik på at sikre, at de fornødne sikkerhedsforanstaltninger til stadighed er iagttaget, jf. pkt. 7.1 og 7.2, samt bilag 1. Side 6/16

7 7.4 Leverandøren samt dennes ansatte er underlagt forbud mod at skaffe sig oplysninger af enhver art, som ikke har betydning for udførelsen af den pågældendes opgaver. 7.5 Leverandøren har pligt til at instruere de ansatte, der har adgang til eller på anden måde varetager behandling af Kommunens personoplysninger, om Leverandørens forpligtelser, herunder bestemmelserne om tavshedspligt og fortrolighed, jf. pkt Leverandøren er forpligtet til straks at underrette Kommunen om ethvert sikkerhedsbrud samt ved (i) enhver anmodning om videregivelse af personoplysninger omfattet af Aftalen fra en myndighed, medmindre orienteringen af Kommunen er eksplicit forbudt ved lov, f.eks. i medfør af regler, der har til formål at sikre fortroligheden af en retshåndhævende myndigheds efterforskning, (ii) anden manglende overholdelse af Leverandørens, samt eventuelle underdatabehandleres forpligtelser uanset, om dette sker hos Leverandøren eller hos en underdatabehandler. (iii) driftsforstyrrelser, hvor det har indflydelse på de personoplysninger, som Leverandøren behandler under denne aftale. (iv) øvrige hændelser, jf. pkt Underretning jf. pkt. 7.6 skal ske omgående efter konstateringen af hændelsen/hændelserne og uanset om konstateringen sker hos Leverandøren eller hos Underdatabehandleren. 7.8 Leverandøren må ikke hverken offentligt eller til tredjeparter kommunikere om sikkerhedsbrud, jf. pkt 7.6, uden forudgående skriftlig aftale med Kommunen om indholdet af en sådan kommunikation, medmindre Leverandøren har en retlig forpligtelse til sådan kommunikation. 8. Overførsler til andre lande 8.1 Leverandørens overførsel af personoplysninger til lande, der ikke er medlem af EU (tredjelande), f.eks. via en cloudløsning eller en underdatabehandler, skal ske i overensstemmelse med Kommunens instruks herfor, jf. bilag Hvis Kommunens personoplysninger overføres til en EU-medlemsstat, er det frem til 25. maj 2018 Leverandørens ansvar, at de til enhver tid gældende Side 7/16

8 bestemmelser om sikkerhedsforanstaltninger, som er fastsat i lovgivningen i den pågældende medlemsstat, overholdes. 9. Tavshedspligt og fortrolighed 9.1 Leverandøren er - under og efter Hovedaftalens ophør - pålagt fuld tavshedspligt omkring alle oplysninger, denne bliver bekendt med gennem samarbejdet. Aftalen indebærer, at tavshedspligtsbestemmelserne i straffelovens f, jf. straffelovens 152a, finder anvendelse. 9.2 Leverandøren skal fra 25. maj 2018 sikre, at alle, der behandler oplysninger omfattet af Aftalen, herunder ansatte, tredjeparter (f.eks. en reparatør) og underdatabehandlere, forpligter sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt. 10. Kontroller og erklæringer 10.1 Leverandøren er forpligtet til uden ugrundet ophold at give Kommunen nødvendige oplysninger til, at Kommunen til enhver tid kan sikre sig, at Leverandøren overholder de krav, der følger af denne Aftale Kommunen, en repræsentant for Kommunen eller dennes revision (såvel intern som ekstern) har adgang til at foretage inspektioner og revision hos Leverandøren, få udleveret dokumentation, herunder logs, stille spørgsmål m.v. med henblik på at konstatere, at Leverandøren overholder de krav, der følger af denne Aftale Leverandøren skal én gang årligt fremsende en erklæring til Kommunen om overholdelse af denne Aftale. Kommunen og Leverandøren skal aftale Leverandørens pris herfor. Erklæringen skal udarbejdes i overensstemmelse med gældende anerkendte branchestandarder på området, og skal omfatte både Leverandørens og eventuelle underdatabehandleres databehandling. Den første erklæring skal foreligge 12 måneder efter Hovedaftalens indgåelse I tilfælde af, at Kommunen og/eller relevante offentlige myndigheder, særligt Datatilsynet, ønsker at foretage en inspektion af de ovennævnte foranstaltninger i henhold til denne aftale, forpligter Leverandøren og Leverandørens underleverandører sig til uden yderligere omkostninger for Kommunen at stille tid og ressourcer til rådighed herfor. Side 8/16

9 11. Ændringer i Aftalen 11.1 I det omfang ændringer i lovgivningen, jf. pkt 1.1 og 1.2, eller tilhørende praksis, giver anledning til dette, er Kommunen med et varsel på 30 dage og uden at dette medfører krav om betaling fra Leverandøren, berettiget til at foretage ændringer i Aftalen. 12. Sletning af data 12.1 Kommunen træffer beslutning om, hvorvidt der skal ske sletning eller tilbagelevering af personoplysningerne efter, at behandlingen af personoplysningerne er ophørt i medfør af Hovedaftalen Kommunen skal senest 3 måneder inden Hovedaftalens ophør skriftligt meddele Leverandøren, hvorvidt alle personoplysningerne skal slettes eller tilbageleveres til Kommunen. I det tilfælde, hvor personoplysningerne tilbageleveres til Kommunen, skal Leverandøren ligeledes slette eventuelle kopier. Leverandøren skal sikre, at eventuelle underdatabehandlere ligeledes efterlever Kommunens meddelelse Leverandøren skal fremsende dokumentation for, at den påkrævede sletning, jf. pkt. 12.2, er foretaget Leverandøren skal foretage den påkrævede sletning, jf. pkt. 12.2, i henhold til anerkendte standarder for sletning 13. Ikrafttræden og varighed 13.1 Aftalen indgås ved begge parters underskrift og løber indtil ophør af Hovedaftalen. 14. Formkrav 14.1 Aftalen skal foreligge skriftligt, herunder elektronisk, hos Kommunen og Leverandøren. Side 9/16

10 For Kommunen Dato For Leverandøren Dato Bilag: Bilag 1 Sikkerhed Bilag 2 Oplysninger om lokationer for behandling og underleverandører (underdatabehandlere) Bilag 3 Instruks Bilag 4 Horsens Kommunes retningslinjer for informationssikkerhed Bilag 5 Horsens kommunes informationssikkerhedspolitik Bilag 6 Horssens kommunes informationssikkerhedshåndbog Side 10/16

11 Bilag 1 Sikkerhed 1. Indledning Dette bilag indeholder en beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger, som Leverandøren i medfør af Aftalen har ansvar for at gennemføre, overholde og sikre overholdelse af hos dennes underdatabehandlere, som er angivet i bilag Sikkerhedskrav indtil 25. maj 2018 Leverandøren gennemfører følgende tekniske og organisatoriske sikkerhedsforanstaltninger for at sikre et sikkerhedsniveau, der opfylder kravene i Sikkerhedsbekendtgørelsen og tilhørende praksis. Foranstaltningerne gennemføres for at undgå, at personoplysninger: tilintetgøres, mistes, ændres eller forringes, kommer til uvedkommendes kendskab eller misbruges, eller i øvrigt behandles i strid med lovgivningen, jf. Aftalens pkt. 1.1 Generelle sikkerhedsforanstaltninger [Her beskriver Leverandøren, hvordan Leverandøren overholder kravene i Sikkerhedsbekendtgørelsens kap. 2 om interne sikkerhedsbestemmelser, instrukser, retningslinjer for Leverandørens tilsyn og ajourføring, instruktion, fysisk sikring samt sikkerhed ved reparation, service, kassation af medier mv.] [Leverandøren udfylder] Autorisation og adgangskontrol [Her beskriver Leverandøren, hvordan Leverandøren overholder kravene i Sikkerhedsbekendtgørelsens kap. 2, samt hvis relevant kap. 3, om autorisationer og adgangskontrol] [Leverandøren udfylder] Inddatamateriale som indeholder personoplysninger [Her beskriver Leverandøren, hvis relevant, hvordan Leverandøren overholder kravene i Sikkerhedsbekendtgørelsens kap. 2 om håndtering af inddatamateriale] [Leverandøren udfylder] Uddatamateriale som indeholder personoplysninger [Her beskriver Leverandøren, hvis relevant, hvordan Leverandøren overholder kravene i Sikkerhedsbekendtgørelsens kap. 2 om håndtering af uddatamateriale] Side 11/16

12 [Leverandøren udfylder] Eksterne kommunikationsforbindelser [Her beskriver Leverandøren, hvordan Leverandøren overholder kravene i Sikkerhedsbekendtgørelsens kap. 2 om eksterne kommunikationsforbindelser. Hjælp til udfyldelse kan findes i Datatilsynets it-sikkerhedstekster: [Leverandøren udfylder] Kontrol med afviste adgangsforsøg [Her beskriver Leverandøren, hvis relevant, hvordan Leverandøren overholder kravene i Sikkerhedsbekendtgørelsens kap. 3 om kontrol med afviste adgangsforsøg] [Leverandøren udfylder] Logning [Her beskriver Leverandøren, hvis relevant, hvordan Leverandøren overholder kravene i Sikkerhedsbekendtgørelsens kap. 3 om logning] [Leverandøren udfylder] Hjemmearbejdspladser Leverandørens behandling af personoplysninger sker helt eller delvist ved anvendelse af hjemmearbejdspladser [Leverandøren udfylder]: Ja Nej [Her beskriver Leverandøren, hvordan Leverandøren overholder kravene i Sikkerhedsbekendtgørelsens kap. 2 om retningslinjer for hjemmearbejdspladser mv.] [Leverandøren udfylder] Sikkerhedskrav fra 25. maj 2018 [Se kommentarer] Leverandøren gennemfører følgende tekniske og organisatoriske sikkerhedsforanstaltninger for at sikre et sikkerhedsniveau, der passer til de aftalte behandlinger, jf. Instruks (bilag 3), og som dermed opfylder Databeskyttelsesforordningens artikel 32. Foranstaltningerne fastlægges ud fra overvejelser om: 1. Hvad der kan lade sig gøre rent teknisk Side 12/16

13 2. Implementeringsomkostningerne 3. Den pågældende behandlings karakter, omfang, sammenhæng og formål, jf. Instruksen (bilag 3) 4. Konsekvenserne for borgerne ved et sikkerhedsbrud 5. Den risiko, der er forbundet med behandlingerne, herunder risikoen for: a) tilintetgørelse af oplysningerne b) tab af oplysningerne c) ændring af oplysningerne d) uautoriseret videregivelse af oplysningerne e) uautoriseret adgang til oplysningerne [Leverandøren udfylder] Side 13/16

14 Bilag 2 Oplysninger om lokationer for behandling og underleverandører (underdatabehandlere) 1. Lokation(er) for behandlingen [Her opregner Leverandøren, de steder, hvor Kommunens personoplysninger opbevares/behandles.] [Leverandøren udfylder] 2. Underdatabehandlere [Her angiver Leverandøren navn, adresse, cvrnummer m.m. på underdatabehandlere, som er godkendt af Kommunen, jf. pkt. 5.2 i Aftalen.] [Leverandøren udfylder, hvis der anvendes underdatabehandlere] Side 14/16

15 Bilag 3 Instruks Instruks Kommunen instruerer hermed Leverandøren om at foretage behandling af Kommunens oplysninger til brug for drift af administrationssytemet, jf. Hovedaftalen. Overlader Leverandøren behandling af Kommunens oplysninger til underdatabehandlere, er Leverandøren ansvarlig for at indgå skriftlige (under)databehandleraftaler med disse, jf. Aftalens pkt 5.3. Leverandøren er ansvarlig for, at Kommunens instruks fremsendes til eventuelle underdatabehandlere. 1.1 Behandlingens formål Behandling af Kommunens oplysninger sker i henhold til formålet i Hovedaftalen. Leverandøren må ikke anvende oplysningerne til andre formål. Oplysningerne må ikke behandles efter instruks fra andre end Kommunen. 1.2 Generel beskrivelse af behandlingen Leverandøren skal i medfør af levering af et administrationssystem til håndtering af kommunens elektroniske nøglesystem, behandler personoplysninger om de borgere, der er bevilget elektroniske nøgle samt det personale, som anvender det elktroniske nøglesystem. Leverandørens behandling består i opbevaring af oplysningerne i systemet. Oplysninger opbevares i systemet indtil de slettes af Kommunen. 1.3 Typen af personoplysninger Behandlingerne indeholder personoplysninger i de nedenfor afkrydsede kategorier. Leverandørens og eventuelle underdatabehandleres niveau for behandlingssikkerhed bør afspejle oplysningernes følsomhed, jf. bilag 1. Almindelige personoplysninger (indtil 25. maj 2018, jf. Persondatalovens 6, fra 25. maj 2018, jf. Databeskyttelsesforordningens artikel 6) X Almindelige personoplysninger Følsomme personoplysninger (indtil 25. maj 2018, jf. Persondatalovens 7, fra 25. maj 2018, jf. Databeskyttelsesforordningens artikel 9): Racemæssig eller etnisk baggrund Politisk overbevisning Side 15/16

16 Religiøs overbevisning Filosofisk overbevisning Fagforeningsmæssige tilhørsforhold X Helbredsforhold, herunder misbrug af medicin, narkotika, alkohol m.v. Seksuelle forhold Oplysninger om enkeltpersoners rent private forhold (indtil 25. maj 2018, jf. Persondatalovens 8, fra 25. maj 2018, jf. Databeskyttelsesforordningens artikel 6 og 9): Strafbare forhold Væsentlige sociale problemer Andre rent private forhold, som ikke er nævnt ovenfor: Oplysninger om cpr-nummer (indtil 25. maj 2018, jf. Persondatalovens 11, fra 25. maj 2018, eventuelt national lovgivning, jf. Databeskyttelsesforordningens artikel 87) X CPR-numre 1.4 Kategorier af registrerede Der behandles oplysninger om følgende kategorier af registrerede (f.eks. borgere, elever, kontanthjælpsmodtagere m.m.): A) Borgere, som er bevilget et nøglesystem 1.5 Tredjelande (ikke EU-medlemslande) Leverandøren må overføre personoplysninger tredjelande. Side 16/16

17 Håndbog til informationssikkerhed i Horsens Kommune Senest opdateret februar 2015

18 Indholdsfortegnelse 1. INDLEDNING SIKKERHED IMOD IT-ANGREB VED MISTANKE OM SIKKERHEDSBRUD BRUGERNAVN OG PASSWORD VEJLEDNING VEDRØRENDE SKIFT AF PASSWORD REGLER FOR UDLEVERET IT-UDSTYR GENERELLE REGLER PC ER OG PROGRAMMER SMARTPHONE OG TABLET PRIVAT ANVENDELSE AF IT-UDSTYR ADGANG UDENFOR HORSENS KOMMUNES NETVÆRK HÅNDTERING AF DOKUMENTER OG DATA DOKUMENTER OG DATA DER ER PERSONFØLSOMME DOKUMENTER OG DATA DER IKKE ER PERSONFØLSOMME ANVENDELSE AF ELEKTRONISK POST DIGITAL POST LOGNING VED BRUG AF ANVENDELSE AF INTERNET LOGNING VED BRUG AF INTERNETTET KOPIERING OG PRINT HVIS MAN ER I TVIVL GODKENDELSE

19 1. Indledning Informationssikkerhed handler om, hvordan vi passer på vores fælles viden og informationer. Som ansat i Horsens Kommune har man selv et ansvar for informationssikkerhed omkring sit arbejde. Det er derfor også medarbejderens eget ansvar at kende de gældende regler omkring informationssikkerhed. De fleste vil nok mene, at informationssikkerhed bør kunne løses med teknologi. Man kan, og gør også, meget på den tekniske front for at gøre IT-systemerne og data sikre. Men der er områder i anvendelse af moderne informationsteknologi, hvor man ikke kan dække sig ind med tekniske løsninger alene. Det er en vigtig del af jobbet at forholde sig til og overholde sikkerhedsreglerne. Overtrædelser af håndbogens retningslinjer vil blive håndteret af den ansvarlige leder for området. 2. Sikkerhed imod IT-angreb Horsens Kommune har antispam- og virusfilter på alle ind- og udgående mails, men der findes intet produkt som kan fange alt. Den enkelte bruger har derfor et stort ansvar for at sikre ondsindede ITangreb på Horsens Kommune. Overvej derfor altid følgende før programmer eller links åbnes: Kender jeg afsender? Er der ukendte ikoner på den vedhæftede fil? Er teksten i meddelelsen logisk? Man skal kontakte IT-support hvis man er i tvivl. 3. Ved mistanke om sikkerhedsbrud Hvis man oplever, eller har mistanke om, brud på informationssikkerheden, er det et krav, at man hurtigst muligt informerer sin nærmeste leder. Hvis angrebet sker på en eget udstyr, skal man dog først gøre følgende: Stop arbejdet Afbryd fysisk forbindelsen til netværket (sluk for systemet) Kontakt IT-support 4. Brugernavn og password Når man som medarbejder får adgang til IT-systemer, så får man samtidig ofte adgang til en række oplysninger, som er personlige og fortrolige. Derfor bliver alle IT-brugere udstyret med et hemmeligt og personligt password, som ikke må videregives til andre. Værn om dit password, da man er ansvarlig for alt, hvad der foretages på den pc, tablet eller Smartphone, hvor man er logget ind. Det vil sige, at man er ansvarlig for de oplysninger og dokumenter, der ligger på pc en, hvad der søges på i de forskellige programmer, og hvilke hjemmesider der besøges. Man skal i denne forbindelse overholde følgende: 3

20 Password må ikke opbevares sammen med dit IT-udstyr. Password må ikke kommunikeres eller udleveres. Har man mistanke om, at andre kender ens password, skal det skiftes det med det samme. Når arbejdspladsen forlades, skal man låse skærmen eller helt logge ud af systemet. Hvis man deler en pc med en kollega, skal man først logge sig af, før kollegaen kan logge sig på. 4.1 Vejledning vedrørende skift af password For at passwords skal have den ønskede effekt, er det nødvendigt at stille visse minimumskrav til opbygningen og længden af det, samt hvor ofte det skal ændres. For det password, der benyttes for adgang til Horsens Kommunes administrative netværk, gælder følgende: Ved nyansættelse modtager man et password, som straks skal ændres. Dette skal bestå af mindst 8 tegn - anvend gerne tal og specialtegn. Passwords skal skiftes hver 90. dag man bliver automatisk husket på dette. Undgå passwords som er lette at gætte for andre. Anvend derfor aldrig eget navn, navn på ægtefælle, navne på egne børn eller den nærmeste families initialer, fødselsdag, bilnummer, hundenavn eller lignende Et godt password er en kombination af små og store bogstaver samt tal og eventuelt specialtegn som underscore eller udråbstegn. Undgå Æ, æ, Ø, ø, Å, å da det er danske special-tegn, der kan give problemer. Der kan være andre regler for de passwords, der anvendes til specifikke fagprogrammer. Man vil få individuel instruktion i disse eventuelle regler, når man starter med at benytte fagprogrammet første gang. Det anbefales, at man skifter sine passwords til andre programmer samtidig med sit password til Horsens Kommunes netværk. 5. Regler for udleveret IT-udstyr Alt IT-udstyr, der udleveres til medarbejderen under ansættelses forholdet, ejes af Horsens Kommune og skal leveres tilbage ved afslutning af arbejdsforholdet. Der gælder en række regler for dette udstyr. 5.1 Generelle regler I tilfælde af tyveri af IT-udstyr skal der straks rettes henvendelse til nærmeste leder og IT-support. Man må ikke anvende sit private IT-udstyr til arbejdsmæssige formål (dog undtaget anvendelse af Citrix). Herunder må mail og kalender ikke synkroniseres til private enheder. Alt IT-udstyr skal indkøbes via IT-support. Alle dataabonnementer, der bruges med IT-udstyr, skal indkøbes via IT-support. Overlad aldrig dit IT-udstyr til personer som ikke er autoriseret til at anvende Horsens Kommunes systemer og data. Det er tilladt at tilslutte IT-udstyr til åbne wifi netværk, eksempelvis i tog, lufthavne og på hoteller. 4

21 5.2 Pc er og programmer Der må ikke anvendes andre programmer på Horsens Kommunes pc er end dem, der er godkendt af, eller installeret af, IT- og Digitaliseringsafdelingen. Er der alligevel et helt specielt behov for download af mindre programmer og hjælpeværktøjer så kontakt IT-support for en afklaring omkring licensrettigheder og IT-sikkerheden. 5.3 Smartphone og tablet Da en smartphone eller tablet ofte indeholder fortrolige informationer, skal de sikres med adgangskontrol således, at der skal angives kode for at åbne dem. Dette sikres i praksis ved opsætningen af den enkelte enhed og er den enkelte brugers ansvar. Hvis man er i udlandet, skal opsætning af dataroaming på Smartphones og tablets være slået fra. Det skyldes, at prisen for at sende data er meget høj og forskellig fra land til land, hvilket kan medføre høje telefonregninger. Kommunikeres der i udlandet med arbejdspladsen via mail, skal din smartphone, eller tablet, i stedet være tilsluttet et trådløst net (WiFi). 5.4 Privat anvendelse af IT-udstyr Man kan udenfor arbejdstid anvende det udleverede IT-udstyr, men under overholdelse af de øvrige gældende regler. 6. Adgang udenfor Horsens Kommunes netværk Horsens Kommunes pc er kan via programmet Cisco AnyConnect få adgang til Horsens Kommune systemer via en VPN forbindelse. Herved tilgås Horsens Kommunes netværk, på samme måde som, hvis man sidder på kommunen. Ved adgang via denne metode gælder de samme retningslinjer, som for Horsens Kommunes almindelige kontor it -arbejdspladser. Den enkelte bruger skal således sikre, at der opretholdes en sikkerhed, som er på højde med sikkerheden på kontoret. Tablets og Smartphones kan synkronisere med mail- og kalenderdata. Der må ikke etableres anden adgang og anvendelse af Horsens Kommunes programmer og data på tablets og smartphones. 7. Håndtering af dokumenter og data Dokumenter og data i Horsens Kommune skal håndteres korrekt for at sikre, at dokumenter og data ikke mistes eller kommer i forkerte hænder. 7.1 Dokumenter og data der er personfølsomme I forhold til dokumenter og data skal man altid være opmærksom på om, hvorvidt der er tale om følsomme eller fortrolige personoplysninger. Det kan for eksempel være et personnummer, oplysninger om en persons økonomiske forhold, sygedage, religiøse tilhørsforhold eller en graviditet. Persondata skal altid behandles fortroligt. Selvom man har muligheden, må man ikke hente andre data end dem, der er relevante for sit arbejde. 5

22 Når man arbejder i fagsystemer, som for eksempel omsorgsprogrammet CSC Vitae, skoleprogrammet KMD Elev eller journaliseringssystemet SBSYS, bliver den enkeltes data gemt korrekt. Det betyder, at der dagligt bliver taget sikkerhedskopi af de data, eller dokumenter, man opretter, tilføjer eller redigerer i. Når man arbejder i fagsystemer, skal man derfor ikke tænke over, hvor dokumenter eller data gemmes. Filer og dokumenter med personfølsomme eller fortrolige data skal altså gemmes på sikrede systemer. Alle dokumenter, der hører til en sag, SKAL gemmes i et fagsystem eller journaliseringssystemet SBSYS. 7.2 Dokumenter og data der IKKE er personfølsomme Arbejder man uden for fagsystemerne, skal man stadig være opmærksom på, hvor man gemmer sine dokumenter. Med begrebet dokumenter menes forskellige typer af filer - for eksempel Worddokumenter, Excel-regneark, pdf-dokumenter, film, s eller billeder. Man kan gemme alle disse dokumenter mange forskellige steder på en Horsens Kommune pc, og mulighederne bliver gennemgået en ad gangen. Generelt gælder der følgende: Pc ens skrivebord og C-drev / IKKE sikker: Man kan gemme dokumenterne på pc ens skrivebord og C- drevet men gør man det, skal man vide at dokumenterne forsvinder, hvis pc en geninstalleres, hvis pc en går i stykker, eller hvis den bliver stjålet. Dokumenterne kan ikke tilgås, hvis man logger på en anden pc, og der tages ikke daglig sikkerheds-kopi af dokumenterne. Så gem derfor ALDRIG dokumenter på skrivebordet eller C-drevet. G: - Afdelings drevet / Sikker men kun til data som ikke er personfølsomme: Dette drev anvendes til placering af dokumenter fra eksempelvis Officepakken som har relation til din afdelings arbejde, og som ikke skal gemmes i SBSYS. T: - Fællesdrev til projekter og tværfagligt arbejde / Sikker men kun til data som ikke er personfølsomme: Dette drev anvendes til placering af dokumenter og data som ikke skal gemmes i SBSYS, og som er relevant for en gruppe af medarbejdere f.eks. if. med et tværfagligt projekt. P: - Personligt drev / Sikker men må kun bruges til egne personlige filer: Dette drev kan anvendes til at placere data som alene en selv skal have adgang til. Dette kunne være et flexskema. Daglige arbejdsdokumenter bør ikke ligge her. B: - Billede og multimediedrev / Sikker men må kun bruges til mediefiler: Dette drev anvendes udelukkende til placering af lyd, billede- og videofiler, som tjener et forretningsmæssigt formål. USB-pen og ekstern harddisk / IKKE sikker: Dokumenter på en ekstern enhed som for eksempel en USB-pen eller en ekstern harddisk kan mistes, hvis enheden går i stykker eller forsvinder. Enheden er som udgangspunkt ikke krypteret, og dette betyder, at indholdet kan ses af uvedkommende, hvis de kommer i forkerte hænder. Eksterne enheder skal derfor kun anvendes til at flytte dokumenter, og kun dem uden personfølsomme oplysninger. God praksis er at begrænse brugen af USB-pen og ekstern harddisk til et absolut minimum. 6

23 Internettet / IKKE sikker: Det er muligt at gemme dokumenter og data på internettet via tjenester som for eksempel Google Docs, Dropbox, OneDrive og icloud men vær opmærksom på, at det hverken er sikkert eller lovligt at gemme personfølsomme data på internettet. 8 Anvendelse af elektronisk post Elektronisk post omfatter både Digital post og . Når man ønsker at sende informationer via elektronisk post, har man følgende muligheder: Digital Post fra fagsystemer og SBSYS samt fra Word (Doc2mail) 8.1 Digital Post Digital post anvendes til at sende myndighedsbreve, afgørelser, breve med personfølsomme oplysninger eller andet til eksterne parter, hvor man ellers ville sende et almindeligt papirbrev. Der er tale om sikker kommunikation. Loven fastslår, at digitale meddelelser fremsendt gennem digital post løsningen har samme retsvirkning, som hvis meddelelsen sendes med papirpost. Digital Post er en tjeneste, som sørger for, at meddelelsen sendes ad en sikker og krypteret kanal fra Horsens Kommune til modtagerens digitale postkasse. Hvis modtageren er fritaget fra Digital Post, sørger systemet for at sende meddelelsen via fjernprint og brevet leveres dermed til modtagerens fysiske postkasse. Alle borgere over 15 år, alle virksomheder og alle foreninger er tilmeldt Digital Post, så de kan modtage digital post fra det offentlige. Loven giver myndighederne ret til at sende meddelelser, dokumenter, m.v. digitalt til borgere og virksomheder. Når man sender digital post til andre myndigheder, kan man anvende samme systemer som til borgere, virksomheder og foreninger. Derudover kan man også benytte Send sikkert funktionaliteten, der findes i Outlook, som sørger for, at s sendes sikkert og krypteret fra Horsens Kommune. Der findes yderligere information og vejledning til digital post via følgende link: til intern modtager: Horsens Kommunes netværk er et sikkert lukket netværk. Det betyder, at man trygt kan sende s med personfølsomme oplysninger internt til sine kollegaer (alle med en mailadresse der ender uden at sende via Digital Post eller Sikker . Vær dog opmærksom på at personfølsomme oplysninger kun må være i din mailboks i højest 30 dage. til ekstern modtager: Sendes en almindelig ud af Horsens Kommune, kan det sammenlignes med at sende et åbent postkort. s der sendes til ekstern modtager, må ikke indeholde personfølsomme oplysninger. Det kan dog gælde dog andre regler, hvis s sendes som Sikker spørg den nærmeste leder i det konkrete tilfælde. 7

24 signatur Hvis man benytter , anbefales det, at man tilføjer en -signatur. Det sikrer, at modtagere af den enkeltes s kan identificere hvem man er, så de ikke opfatter henvendelsen som spam. Hvis man er i tvivl om, hvordan man opretter en -signatur, har IT-support udarbejdet en vejledning. Man kan rette sine egne oplysninger, som automatisk bruges i signaturen via ikonet Ret brugeroplysninger på ens computers skrivebord. Vedhæftede filer og url-links Når man modtager s, skal man være forsigtig med at åbne eller downloade vedhæftede filer eller trykke på indsatte url-links - specielt når en er fra en ukendt afsender. Endvidere bør man ikke besvare mails fra ukendte afsendere, der lokker med gaver, gevinster, præmier m.v. Besvarelse af s En skal besvares og medarbejderne har derved også et ansvar for at tømme deres personlige postkasser. Kan man ikke give et konkret svar, sender man en kvittering for modtagelse og en bemærkning om hvad der videre sker med henvendelsen. Endvidere bør man kun sende s til den modtager, der skal agere på mailen samt kun anvende c.c. til dem som skal være orienterede. Forholdsregler i forbindelse med ferie, sygdom eller anden fravær. Er man fraværende fra sit arbejde igennem længere tid, f.eks. i forbindelse med ferie, skal der oprettes et autosvar på en i den givne periode. IT-support har udarbejdet vejledninger, der beskriver, hvordan man gør dette i Outlook. Følg de lokale procedurer for indholdet af dette autosvar. Er en medarbejder fraværende i længere tid på grund af sygdom, skal afdelingslederen sørge for at få omdirigeret medarbejderens til en anden. Det foregår ved henvendelse til IT-support. Det er ikke tilladt at omdirigere til en ekstern adresse. Forholdsregler i forbindelse med fratrædelse fra Horsens Kommune. Ved fratrædelse skal man rydde op i sin postkasse og sørge for at opsætte et autosvar med henvisning til en anden medarbejder. Horsens Kommune har ifølge datatilsynet ret til at holde din konto åben i op til 12 måneder efter din fratrædelse. I denne periode må betroede medarbejdere i Horsens Kommune læse de s, der kommer i din indbakke. Journalisering og arkivering af . Ind- og udgående , der indgår i en journalsag, skal journaliseres i SBSYS. Det er den enkeltes eget ansvar, at s, der modtages i den personlige postkasse og som vedrører en konkret sag, bliver journaliseret på sagen. Retningslinjer for sagsgange omkring fastsættes af de enkelte afdelinger. 8

25 8.3 Logning ved brug af Der foretages ikke løbende kontrol af medarbejderens brug af . Horsens Kommune er dog berettiget til i særlige tilfælde at foretage kontrol, men medarbejderen vil dog så blive informeret. 9. Anvendelse af Internet Medarbejderne har fri adgang til internettet fra sit arbejdsudstyr, og man må anvende internettet i det omfang, det er nødvendigt for at løse sine arbejdsopgaver. Al brug af internettet skal ske med omtanke. Det er f.eks. ikke tilladt at besøge sider med racistisk, uetisk eller pornografisk indhold. Kommunes internetforbindelser, udstyr og medier må endvidere ikke anvendes til spredning af ulovligt eller stødende materiale. Undgå endvidere at klikke på pop-up vinduer med diverse tilbud. Vær opmærksom på cookies på hjemmesider og klik ikke automatisk på accepter. 9.1 Logning ved brug af internettet Der foretages ikke løbende kontrol af medarbejderens brug af internet, men IT- og Digitaliseringsafdelingen er dog berettiget til at foretage en sådan. I tilfælde af kontrol er det ikke nødvendigt at opnå medarbejderens samtykke, men man vil blive informeret herom. IT- og Digitaliseringsafdelingen opbevarer en log, hvor det registreres, hvem der søger hvilke information på internettet hvornår. Hvis der konstateres misbrug, er det et ledelsesansvar at håndtere dette. 10. Kopiering og print Det er vigtigt, at man tænker sig om, når man kopierer eller printer følsomme oplysninger. Udskrifter der ligger blot få minutter i en printerbakke, kan blive offer for "datatyveri" også selvom printet stadig er der, når man henter det! Dette er særligt vigtig at have for øje, når man benytter en fælles printer og denne står i offentlig tilgængelig. Man skal herfor fjerne sine udskrifter fra printeren med det samme. Risikoen for at personlige oplysninger kommer til andres kendskab er stor, specielt dér hvor printeren er placeret tæt på områder uden adgangskontrol. 11. Hvis man er i tvivl... eller har spørgsmål om IT-sikkerhed, kan man kontakte IT-support. 12. Godkendelse Dokumentet er godkendt af formanden for Horsens Kommune Informationssikkerhedsudvalg. Underskrift: Formand XXX XXX, Horsens d. XX/XX-20XX 9

26 It-beredskabsstrategi for Horsens Kommune Senest opdateret oktober

27 Indholdsfortegnelse 1. FORMÅL MED IT-BEREDSKABSSTRATEGIEN STRATEGIENS SAMMENHÆNG TIL DET RESTERENDE BEREDSKAB OMFANG, AFGRÆNSNING OG ANTAGELSER MÅLSÆTNING FOR IT-BEREDSKABET ROLLER OG ANSVAR RETABLERINGSSTRATEGIER... FEJL! BOGMÆRKE ER IKKE DEFINERET. 7. EKSTERNE LEVERANDØRER BEREDSKABSSCENARIER IMPLEMENTERING AF IT-BEREDSKABET

28 1. Formål med it-beredskabsstrategien Formålet med it-beredskabsstrategien er at fastlægge de overordnede rammer for Horsens Kommunes it-beredskab. Strategien indeholder en beskrivelse af beredskabets opbygning og er udtryk for Horsens Kommunes forventninger og krav hertil. 2. Strategiens sammenhæng til det resterende beredskab Sammenhængen mellem de forskellige elementer i beredskabet er illustreret i figuren nedenfor. Som det fremgår er it-beredskabsstrategien kun et delelement af de it-forretningsnødplaner, som ejes af det enkelte forretningsområde og som skal sikre at forretningen har alternative forretningsgange ved nedbrud af it-services. Den operationelle udmøntning af strategien håndteres via systemspecifikke it-beredskabsplaner samt service- og beredskabsplaner knyttet til de identificerede 1 kritiske forretningsprocesser. It-beredskabsplanerne ejes af Systemejeren for det respektive system mens Service- og beredskabsplanerne ejes af den givne ejer af den kritiske forretningsproces. 1 Se dokumentet Retningslinjer for informationssikkerhed i Horsens Kommune for yderligere information. 3

29 3. Omfang, afgrænsning og antagelser I det følgende er redegjort for de afgrænsninger og antagelser, Horsens Kommune har lagt til grund for omfang og indhold af it-beredskabsstrategien. Strategien omfatter alle de systemer, der understøtter kritiske forretningsprocesser samt for systemer som er en del af kommunens overordnede beredskabsplan. Der er endvidere mulighed for at udvide omfanget med yderligere systemer, hvis den konkrete systemejer vælger dette. Beredskabet gælder både de systemer som organisationen selv drifter og dem som driftes af underleverandører. Der hvor systemerne afhænger af underliggende infrastruktur- og applikationskomponenter er disse også omfattet af it-beredskabsstrategien. Der kan opstå særlige ekstreme hændelsesscenarier, der er karakteriseret ved meget lave sandsynligheder og meget ødelæggende konsekvenser. Eksempler på sådanne scenarier behandles for alle kritiske forretningsprocesser ved afholdelse af tilbagevendende konsekvensvurderingsworkshops. Der vil i forbindelse med disse workshops ske en aktiv stillingtagen til, hvilke af de ekstreme dele som bør inddrages i de enkelte systemers it-beredskabsplanlægning. IT-beredskabet forventes generelt kun at fungere effektiv, under forudsætning af følgende antagelser: Det antages, at en katastrofe ikke samtidigt ødelægger organisationens og driftsleverandørens fysiske lokationer. Det antages, at en katastrofe ikke er sammenfaldende med flere af beredskabsledelsens nøgleaktørers fratræden fra deres stillinger. 4. Målsætning for it-beredskabet Der er følgende målsætning for it-beredskabet: Beredskabet skal begrænse skadevirkningerne ved ikke planlagt utilgængelighed af itunderstøttede forretningsprocesser. Beredskabet skal understøtte en smidig overgang til alternative driftsfaciliteter. Beredskabet skal understøtte smidig retablering af data og systemer efter et nedbrud. Beredskabet skal i nødvendigt omfang understøtte aktivering af alternative it-driftsscenarier i tilfælde af et nedbrud. Beredskabet skal understøtte at medarbejdere uddannes i håndtering af et nedbrud, der berører it-anvendelsen. Beredskabet skal understøtte, at der kan etableres et smidigt samarbejde med leverandører i tilfælde af et nedbrud, der berører organisationens it-anvendelse. Beredskabet skal understøtte, at efterfølgende vurdering og evt. kontrol af retableringsforløbet, kan redegøres gennem fyldestgørende udfyldelse af hændelsesjournal/-log. 4

30 5. Roller og ansvar Beredskabsstyringen omfatter en række opgaver af meget forskellig karakter, og der er flere forskellige aktører, som bidrager til såvel planlægning, udarbejdelse og vedligeholdelse af beredskabet. Dette afsnit beskriver roller og ansvar i relation til udarbejdelsen og vedligeholdelsen af de enkelte operationelle delelementer i beredskabsplanlægningen og de væsentligste planlægningsområder. For at lette vedligeholdelsen af den skrevne operationelle plan er opgaver og aktiviteter primært placeret i funktionelle enheder eller hos rolleindehavere frem for hos navngivne personer. Nedenstående aktivitetsliste og ansvarsbeskrivelser præciserer, hvem der har ansvaret for de forskellige opgaver i forbindelse med planlægning og vedligeholdelse af it-beredskabet. Aktivitet Ansvarlig Udførende Rådgivende Leverandøransvar Ansvar for itberedskabsstrategi Ansvar for Itberedskabsplaner Kontaktlister Retningslinjer for aktivering af plan Beredskabsledelse Informationssikke rhedsudvalget Informationssikke rhedskoordinatoren Systemejeren Systemejeren IT arkitektur Ejer af kritiske forretningsproces Samarbejde mellem ansvarlig og udførende Alle parter har et ansvar for at sikre, at kontaktoplysningerne opdateres ift. områdets ressourcer. Ejer af kritiske forretningsproces Informationssikkerhedskoordinatoren Itberedskabsplaner : Systemejerne Ejer af kritiske forretningsproces Ansvar for IT serviceaftaler Informationssikkerhedskoordinatoren IT-driftschef, ekstern systemleverandør og/eller egen organisation Kriterier aftales med leverandøren via SLA IT serviceaftale: Ejerne af kritiske forretningsproces ser 6. Interne og eksterne leverandøraftaler Horsens Kommunes krav til sikkerhed og tilgængelighed skal opfyldes, også selvom Horsens Kommune er afhængig af eksterne leverandører. Derfor skal det, som en del af beredskabet sikres, at leverandørerne kan leve op til de sikkerhedskrav til beskyttelse af data og det serviceniveau i forhold til tilgængelighed, som Horsens Kommune forventer. I forhold til fortroligheden af data skal det sikres, at leverandøren er bekendt med Horsens Kommunes klassifikationsniveauer, og hvilke krav til håndteringen af data det medfører. I en beredskabssituation 5

31 kan det være nødvendigt at ændre eller omgå de normale sikringsforanstaltninger, og leverandøren skal derfor være særlig opmærksom på, hvilke krav der er til beskyttelse af fortroligheden. Horsens Kommunes konkrete krav til retableringsmål (RTO, RPO mv.) fremgår af driftsaftalerne og er beskrevet i it-beredskabsplanen. Løbende kontrol af om leverandøren kan efterleve disse krav udføres jf. de konkrete aftaler og består af en eller flere af følgende kontroller: SLA-aftaler samt aftaleforhold, der forpligter leverandører til et højt kvalitets- og sikkerhedsniveau (f.eks. efterlevelse af ISO-standarder) periodevise revisionserklæringer via periodiske test og målinger løbende rapportering af resultater 7. Beredskabsscenarier I dette afsnit er der en oversigt over de beredskabsscenarier, som Horsens Kommune anser som mulige konsekvenser ud fra trusselsbilledet, og som de operationelle beredskabsplaner som minimum skal håndtere. Der skal fremgå operationelle delplaner i it-beredskabsplanen for hver delscenarie. Scenarie Svigt af en enkelt komponent i it-infrastrukturen, som udgør single point of failure (SPOF), hvorved der udløses et hændelsesforløb af beredskabsmæssig karakter. Svigt af netværksinfrastruktur, hvorved en hel lokation afskæres fra itunderstøttelse. Svigt af centrale servere, hvorved kritiske systemer bliver utilgængelige, og væsentlige opgaver ikke kan løses. Fysisk ødelæggelse af serverrum, hvorved kritiske systemer bliver utilgængelige, og væsentlige opgaver ikke kan løses. Forsyningssvigt, hvorved kritiske systemer bliver utilgængelige, og væsentlige opgaver ikke kan løses. Ødelæggelse af fysiske lokationer, hvorved kritiske systemer bliver utilgængelige, og væsentlige opgaver ikke kan løses. Brud på fortrolighed af følsomme personoplysninger, hvorved borgere udsættes for risiko for identitetstyveri eller andre væsentlige indskrænkninger i deres handlefrihed. Primære trusler Fejlende hardware eller software, menneskelige fejl Fejlende hardware eller software, hackerangreb Malware, hackerangreb, sabotage Naturfænomener, terrorisme, sabotage Naturfænomener, terrorisme, sabotage, menneskelige fejl Naturfænomener, terrorisme Hackerangreb, konfigurationsfejl 8. Implementering af it-beredskabet Kommunikation og implementering i Horsens Kommune sker efter "top-down" princippet, hvor formanden for informationssikkerhedsudvalget har ansvaret for at kommunikere strategien til de interessenter, der indgår i beredskabsorganisationen. Kommunikationen spiller en vigtig rolle og skal sikre, at både den operationelle plan og fremtidige opdateringer hertil formidles effektivt og direkte. Målet med kommunikationen er at: gøre interessenterne opmærksomme på, at der eksisterer en it-beredskabsstrategi og hvilket ansvar der hermed påhviler den enkelte interessent, 6

32 informere beredskabsorganisationen om opdateringer til it-beredskabsstrategien, når det er relevant, skabe en distributionskanal for den opdaterede beredskabsplan og sikre og forbedre itberedskabssituationen. En god implementering af beredskabsplanen viser sig i en beredskabssituation, hvor kommunikationen og håndteringen af beredskabet: er præcis og rettidig, sikrer tilstrækkelig information til medarbejdere, brugere, samarbejdspartnere og pressen, sikrer konsistens i informationen om hvilke systemer, der er berørte, hvilken konsekvens situationen medfører, forventninger til retableringstidsrammen mv. 7

33 Retningslinjer for informationssikkerhed i Horsens Kommune Senest opdateret september 2016

34 Indholdsfortegnelse INDLEDNING... 4 LÆSEVEJLEDNING RISIKOSTYRING RISIKOVURDERINGSPROCESSEN RISIKOHÅNDTERING SIKKERHEDSPOLITIK ORGANISERING AF INFORMATIONSSIKKERHED MEDARBEJDERE ANSÆTTELSESFORHOLDET SIKKERHEDSPROCEDURER FØR ANSÆTTELSE ANSÆTTELSENS OPHØR KRITISKE PROCESSER SAMT KLASSIFIKATION AF SYSTEMER OG DATA KRITISKE FORRETNINGSPROCESSER SYSTEM KLASSIFIKATION DATA KLASSIFIKATION ADGANGSSTYRING DE FORRETNINGSMÆSSIGE KRAV TIL ADGANGSSTYRING ADMINISTRATION AF BRUGERADGANG BRUGERENS ANSVAR MOBILT UDSTYR OG FJERNARBEJDSPLADSER ADGANG FOR EKSTERN LEVERANDØRER KRYPTOGRAFI FYSISK SIKKERHED SIKRE OMRÅDER BESKYTTELSE AF UDSTYR DRIFTSIKKERHED FUNKTIONSADSKILLELSE UAFHÆNGIGHED AF NØGLEPERSONER OPERATIONELLE PROCEDURER OG ANSVARSOMRÅDER STYRING AF DRIFTSMILJØ SKADEVOLDENDE PROGRAMMER SIKKERHEDSKOPIERING LOGNING OG OVERVÅGNING DRIFTSBEREDSKAB

35 13. KOMMUNIKATIONSSIKKERHED NETVÆRKSSIKKERHED INFORMATIONSOVERFØRSEL ANSKAFFELSE, UDVIKLING OG VEDLIGEHOLDELSE AF IT-SYSTEMER SIKKERHEDSKRAV TIL INFORMATIONSBEHANDLINGSSYSTEMER VURDERING AF SYSTEMDATA STYRING AF DRIFTSMILJØET SIKKERHED I UDVIKLINGS- OG HJÆLPEPROCESSER DATABEHANDLERAFTALER STYRING AF SIKKERHEDSHÆNDELSER PÅ IT-OMRÅDET HÅNDTERING AF SIKKERHEDSBRUD OG FORBEDRINGER RAPPORTERING AF SIKKERHEDSHÆNDELSER OG SVAGHEDER IT-BEREDSKABSSTYRING GODKENDELSE BILAG 1: INDHOLD AF RAPPORTERING TIL DIREKTIONEN ÅRLIG RAPPORTERING AD HOC RAPPORTERING BILAG 2: DAGSORDEN FOR INFORMATIONSSIKKERHEDSUDVALGSMØDER BILAG 3: MEDARBEJDER I INFORMATIONSSIKKERHEDSORGANISATIONEN BILAG 4: ROLLEBESKRIVELSER BILAG 5: BEGREBSAFKLARING BILAG 6: DEFINITION AF KRITISKE FORRETNINGSPROCESSER

36 Indledning Dette dokument har til formål at understøtte Horsens Kommune informationssikkerhedspolitik ved at fastlægge de konkrete retningslinjer, der sikrer, at organisationen lever op til politikken. Dokumentet ejes og vedligeholdes af kommunens Informationssikkerhedsudvalg. Da indholdet af retningslinjerne kontinuerligt udvikles som en del af det løbende informationssikkerhedsarbejde, kan der optræde afvigelser i forhold til den faktiske status. Der henvises her til SoA-dokumentet 1, hvor der gives en oversigt for igangværende udviklingstiltag. Læsevejledning Rækkefølgen for de kommende afsnit er opsat efter det kontrolnummer, som afsnittet relaterer sig til i ISO standarden. Derfor vil overskrifterne starte med en reference til ISO Risikostyring Det ligger i ISO-standardens præmis, at informationssikkerhed skal styres på baggrund af en risikobaseret tilgang til informationssikkerheden. Risikostyringen i Horsens Kommune påhviler informationssikkerhedsudvalget og understøttes af informationssikkerhedskoordinatoren. Arbejdet har til formål at skabe forståelse for de trusler og sårbarheder, som Horsens Kommune står overfor samt de tilhørende konsekvenser og sandsynlighed for, at disse risici bliver til virkelighed. Risikostyringen skal dermed gør ledelsen bekendt med risici, så den kan prioritere ressourcerne effektivt i forhold til, hvor de gør mest gavn. 4.1 Risikovurderingsprocessen Risikostyringen tager udgangspunkt i risikovurderingsprocessen. Her identificeres, analyseres og evalueres risici med udgangspunkt i den definerede kontekst. Risikovurderingsproces gennemføres en gang om året eller oftere hvis det er betydelige ændringer i risikobilledet. Det kan f.eks. være ved en ændring i de eksterne trusler, ved støre organisationsændringer eller implementering af nye it-systemer. Risikovurderingsprocessen tager udgangspunkt i en række kritiske forretningsprocesser, der er identificeret jf. metode beskrevet senere i dette dokument. Processerne er herunder bl.a. identificeret med det udgangspunkt i deres betydning for Horsens Kommune informationers fortrolighed, integritet og/eller tilgængelighed. For hver kritiske forretningsproces gennemføres en risikovurderingsprocessen via en workshop, med deltagelse af alle relevante interessenter. Workshoppen består af følgende procestrin: 1. Etablering af oversigt for forretningsprocessens IT- understøttelse 2. Konsekvensvurdering af forretningsprocesser 3. Vurdering af sandsynligheden for forretningsmæssige konsekvenser 4. Etablere liste over risici med forslag til risikoreducerende tiltag 1 SoA står for Statement of Applicability (Opgørelse af anvendelighed) og er en vigtig del af ISO

37 Det sikres herunder, at der tages stilling til alle de informationssikkerhedsrelevante aktiver, der understøtter processerne og deres betydning herfor. Samtidig er det muligt at identificere sammenhæng og afhængigheder mellem aktiverne, som kan have stor betydning for risikoen. Et aktiv kan f.eks. anvendes af flere forretningsprocesser til forskellige formål og med forskellige konsekvenser, hvis der sker en hændelse. 4.2 Risikohåndtering Resultatet af de løbende risikovurderinger er et opdateret grundlag hvorudfra ledelsen kan håndtering risici. Den kan herunder beslutte, hvilke risici der er acceptable, og hvilke risici der bør gøres noget ved. Risikohåndtering består af følgende procestrin: 1. Fremlæggelse af risikovurderingen og risikoreducerende tiltag for i-udvalget. 2. Dokumentere udvalgets til- og fravalg. 3. Dokumentere status for arbejdet med risici i SoA-dokumentet. Dokumentet fungerer herved som et dialog-, prioriterings-, overbliks- og beslutningsværktøj. SoA en skal vedligeholdes af informationssikkerhedskoordinatoren på baggrund af risikovurderingsprocessen og den løbende dialog med Informationssikkerhedsudvalget. 5. Sikkerhedspolitik Dette emne er behandlet i dokumentet Informationssikkerhedspolitik for Horsens Kommune. 6. Organisering af informationssikkerhed Dette emne er behandlet i dokumentet Informationssikkerhedspolitik for Horsens Kommune. 7. Medarbejdere Opretholdelse af det ønskede sikkerhedsniveau er meget afhængig af, at alle kommunens medarbejdere tager ansvar for informationssikkerheden. 7.1 Ansættelsesforholdet Alle medarbejdere har et medansvar for at opretholde det ønskede sikkerhedsniveau i Horsens Kommune. Alle medarbejdere skal derfor: Have et generelt kendskab til informationssikkerhed. Kende deres ansvar for sikkerheden. Sikre deres personlige adgangskoder. Passe på organisationens IT-udstyr. Deltage aktivt i rettelse af fejl, løsning af problemer og forbedringer af sikkerheden. Rapportere hændelser der kan indikere brud på sikkerheden. 5

38 Der findes en Informationssikkerhedshåndbog, der giver retningslinjer for den ønskede brugeradfærd. Alle ansatte skal være bekendt med indholdet af håndbogen, og overtrædelser vil blive håndteret af områdets leder. Ved introduktion og modtagelse af nyansatte bør informationssikkerheden indgå som en del af de generelle informationer. Findes der tjeklister til brug for ny-ansættelser, anbefales det ligeledes at tage informationssikkerhed med som et punkt på tjeklisten. Væsentlige ændringer til retningslinjer for brugeradfærd skal godkendes af direktionen efter behandling i Informationssikkerhedsudvalget. Informationssikkerhedshåndbog skal revurderes, opdateres og godkendes af Informationssikkerhedsudvalget en gang årligt. 7.2 Sikkerhedsprocedurer før ansættelse I forbindelse med ansættelse i Horsens Kommune udarbejdes et ansættelsesbrev. I ansættelsesbrevet fremgår det, at man har tavshedspligt, og at tavshedspligten ikke bortfalder, når man fratræder. Den enkelte afdelingsleder har til ansvar at sørge for instruktion i forhold til anvendelse af systemer i det daglige arbejde, samt i forhold til den ønskede generelle adfærd for informationssikkerhed jf. informationssikkerhedshåndbogen. Alle nye administrative medarbejdere skal gennemføre en digital introduktion til korrekt ITadfærd. Den enkelte medarbejder skal automatisk modtage en invitation per ved ansættelse, og har herefter 30 dage til at gennemføre det. Hvis dette ikke sker, eskaleres det til nærmeste leder, som herefter har ansvaret for at medarbejderen gennemfører kurset. 7.3 Ansættelsens ophør Der skal være procedurer i den enkelte afdeling, der sikrer, at IT-aktiver returneres, og at adgange og rettigheder ophører senest ved ansættelsesforholdets ophør. Det er lederens ansvar, at procedurer udarbejdes og efterleves. Såfremt adgange og rettigheder skal ophøre, forinden ansættelsesforholdets ophør, f.eks. i forbindelse med særlige aftaler om fritstilling og lignende, skal lederen kontakte IT- afdelingen på 1234@horsens.dk. 8. Kritiske processer samt klassifikation af systemer og data Informationssikkerhedsarbejdet tager som tidligere beskrevet udgangspunkt i en risikobaseret tilgang. Det sker bl.a. ved at identificere og vurdere de særligt kritiske forretningsprocesser herunder deres afhængighed til underliggende systemer og data. Det giver hermed mulighed for at give en øget gennemsigtighed for de kritiske sammenhænge i Horsens Kommunes infrastruktur samt afdække behovet for det tilhørende beredskabsniveau. 6

39 8.1 Kritiske forretningsprocesser De kritiske forretningsprocesser i Horsens Kommune skal identificeres med udgangspunkt i digitaliseringsstyrelsens definition (se Bilag 6: Definition af kritiske forretningsprocesser). De identificerede processer skal tilføjes en samlet oversigt for de kritiske forretningsprocesser. 8.2 System klassifikation Klassificering af systemer dokumenteres i Systemlandskabsoversigten for alle kommunes systemer, hvor det enkelte system kan være i en af følgende klassifikationer: Guld (mest kritisk), Sølv og Bronze. Der er følgende definition på de enkelte systemklassifikationer: Systemejeren har ansvaret for at indplacere det enkelte system i en passende klassifikation. Dette kan med input fra det årlige arbejde med de kritiske forretningsprocesser jf. kap. 4. Alle systemer i oversigten er endvidere indplaceret i en af følgende typer; Fagsystemer, Støttesystemer og Infrastruktur. Systemlandskabsoversigten indeholder mange andre informationer f.eks. hvem der er systemejer samt henvisninger til databehandleraftaler og leverandørkontrakter. 8.3 Data klassifikation Dataejeren har ansvaret for at klassificere data efter behov og skal i de givne tilfælde ske med udgangspunkt i følgende klassifikationer: Tilgængelighed Høj: Forretningskritisk og kan ikke erstattes af manuelle procedurer. Medium: Vigtigt, men funktionerne kan udføres manuelt i en begrænset tidsperiode. Lav: Ikke kritisk og funktionerne kan afbrydes i en længere tidsperiode. 7

40 Integritet Høj: Forretningskritiske beslutninger bliver taget på grundlag af data. Medium: Data danner grundlag for beslutninger, men de er ikke kritiske. Lav: Data danner aldrig, eller kun sjældent, grundlag for beslutninger. Fortrolighed Fortroligt: Data der kun må være tilgængeligt for en begrænset gruppe af personer f.eks. lukkede punkter fra bestyrelsesmøder. Internt brug: Materiale der er tilgængeligt for alle internt i organisationen. Uklassificeret: Der er ingen fortrolighed og ingen begrænsninger for hvem, der må få adgang til data. 9. Adgangsstyring I det daglige arbejde i Horsens Kommune behandles og gemmes mange fortrolige informationer, der både kan tilgås indenfor og udenfor Horsens Kommunes fysiske lokaliteter. Det er herfor afgørende, at disse informationer beskyttes via krav til adgangsstyringen for at imødegå uvedkommendes adgang. 9.1 De forretningsmæssige krav til adgangsstyring Alle informationsaktiver (programmel, udstyr, data, informationer og databærende medier) skal være beskyttet mod uautoriseret adgang. Systemejerne skal løbende tage stilling til adgang til IT-systemerne, og der skal være retningslinjer og procedurer for tildeling af adgang til arbejdsstationer, arkiver, netværk og lignende ressourcer. 9.2 Administration af brugeradgang Tildeling, ændring og sletning af brugeradgang til systemer og data skal ske ud fra arbejdsbetingede behov og i overensstemmelse med datas klassifikation. Adgang til netværk og systemer skal inddrages, når brugeren ikke længere skal have adgang. Adgangsprocedurerne omfatter: Registrering af alle brugere med en unik brugeridentitet. Regler for, hvem der må disponere over hvilke IT-systemer og dele heraf. Regler for, hvordan og i hvilke tilfælde adgangstilladelse tildeles og inddrages. Regler for overvågning, logning, efterkontrol, ledelsesrapportering og opfølgning. Anvendelsen af fællesadgang skal være begrænset til systemer, der ikke indeholder personfølsomme og/eller forretningskritiske data. 9.3 Brugerens ansvar Alle medarbejdere er ansvarlige for deres personlige adgangskoder og for at følge vedtagne retningslinjer for password. 8

41 9.4 Mobilt udstyr og fjernarbejdspladser I Informationssikkerhedshåndbog for Horsens Kommune er der fastlagt de regler, som skal overholdes ved brug af mobilt udstyr og fjernarbejdspladser. 9.5 Adgang for ekstern leverandører Når der er behov for at give adgang til Horsens Kommunes netværk for andre end Horsens Kommunes medarbejdere, skal der først indgås en Fortrolighedserklæring (eksterne konsulenter) med den givne person. IT- og Digitaliseringsafdelingen varetager vedligeholdelse og formidling af denne skabelon, mens den givne systemejer har ansvaret for indgåelse af aftalen samt opbevaring af dokumentation. 10. Kryptografi Kommunikation til og fra Horsens Kommunes infrastruktur er vitalt for at medarbejderne i kommunen, kan gøre deres arbejde. Derfor er det afgørende, at de beskeder der sendes til og fra Horsens Kommune er sikret, og at indholdet er hemmeligholdt, for tredjeparter. Dette afsnit indeholder de procedurer, der skal til for at sikre korrekt og effektiv brug af kryptografi for at beskytte informationers fortrolighed, integritet og autenticitet. Behovet for brug af kryptering skal identificeres ud fra en vurdering af, hvor kryptering som sikringsforanstaltning kan imødegå behovet for sikring af datas fortrolighed og/eller integritet. Det sker på grundlag af datas klassifikation. For at leve op til best practice for efterlevelse af persondataloven skal kommunikation af persondata med identitetsangivelse, der kan misbruges, foregå ved krypteret form. Ved anvendelse af kryptering skal der tages højde for nøglehåndtering. 11. Fysisk sikkerhed Der opbevares informationer og kritiske IT-komponenter på en række af Horsens Kommunes fysiske lokaliteter. For at opretholde et tilstrækkeligt sikkerhedsniveau skal der tages individuel stilling til behovet for en eventuel beskyttelse af disse fysiske lokaliteter Sikre områder Lokaler er opdelt i sikkerhedsområder, hvor adgang tildeles på baggrund af et arbejdsbetinget behov og under hensyntagen til funktionsadskillelse. Den fysiske adgang skal beskyttes med et hensigtsmæssigt adgangskontrolsystem, som er udvalgt på baggrund af en risikovurdering Beskyttelse af udstyr Datacenter og Hovedkrydsfelt skal beskyttes mod ødelæggelse og skade, der er følger af brand, vandskade, strømsvigt og andre skader, forårsaget af hændelser i det omkringliggende fysiske miljø. 9

42 Kritisk IT-udstyr skal overvåges og vedligeholdes efter leverandørens anvisninger. Ved bortskaffelse, reparation eller genbrug af IT-udstyr skal det sikres, at udstyret er renset for data på en sådan måde, at de ikke kan gendannes. 12. Driftsikkerhed Styring af netværk og drift skal sikre at Horsens Kommune opnår en høj driftsstabilitet. Det stiller krav til IT-afdelingen og underleverandører på en række konkrete områder af både forebyggende og udbedrende karakter Funktionsadskillelse Der skal være etableret regler for funktionsadskillelse. Dette princip er en grundlæggende forudsætning for forebyggelse, og begrænsning af konsekvenser, som stammer fra fejl, uheld og bevidst ondsindede handlinger forårsaget af enkeltpersoner eller grupper af personer Uafhængighed af nøglepersoner Der tilstræbes uafhængighed af enkeltpersoner, hvor dette er muligt gennem vidensdeling, personbackup, opdateret dokumentation samt system- og procesunderstøttelse Operationelle procedurer og ansvarsområder For at sikre stabilitet i driften skal der, hvor det er relevant, etableres adskilt test og produktion på forskellige systemmiljøer. Nye systemer og ændringer til eksisterende systemer testes inden installering i driftsmiljøet således, at tilgængelighed og integritet sikres. Procedurer, ansvarsområder og anvendt teknologi skal understøtte den nødvendige funktionsadskillelse. Som en forudsætning for hurtig imødegåelse af driftsforstyrrelser, er der etableret procedurer for daglig sikkerhedskopiering (backup). Backup opbevares på samme lokation men i separat brandsikrede områder Styring af driftsmiljø Der skal være procedurer, der sikrer stabilitet ved installation af systemer i driftsmiljøer. Der anvendes standardopsætninger for konfiguration af systemkomponenter, som kontrollerer kendte sårbarheder. IT-afdelingen skal løbende vurdere tilgængelige sikkerhedsrettelser, f.eks. patches og hotfixes til anvendte operativsystemer. Sikkerhedsrettelser installeres efter behov. Data der anvendes til test, skal udvælges omhyggeligt, kontrolleres nøje og beskyttes i henhold til deres klassifikation. Der skal være særligt fokus på beskyttelse af persondata. Kapaciteten i forbindelse med alle servere med kritiske informationer skal løbende overvåges for at sikre pålidelig drift og tilgængelighed. Ved implementering af nye systemer skal det sikres, at der skal være mulighed for reetablering og fornøden fejlhåndtering. 10

43 12.5 Skadevoldende programmer Skadevoldende programmer kan sætte hele organisationen ud af drift, og det kan være meget dyrt at rense IT-systemerne, hvis de er blevet ramt af et hackerangreb eller en virus. Alt godkendt IT-udstyr der er tilsluttet Horsens Kommunes netværk, har, hvor det er muligt, installeret et aktivt og opdateret antivirusprogrammel, der kan opdage, rense og beskytte mod forskellige former for skadevoldende programmer. Ved eksterne brugere skal der tages individuel stilling til deres sikkerhedsniveau, og herudfra skal det vurderes, om der skal gives fuld adgang eller en begrænset adgang via Citrix. Det skal løbende kontrolleres, at anti-virus er aktivt på arbejdsstationerne, og at signaturfilerne ikke er ældre end én uge. Opdatering finder automatisk sted, når brugeren tilgår Horsens Kommunes netværk. Opdateringen kan medføre, at netværket i kort tid ikke er tilgængeligt. Det er ikke tilladt at installere egne programmer på Horsens Kommunes maskiner. Ved installation af programmer skal procedurerne, der findes i Horsens Kommunes egne retningslinjer, følges Sikkerhedskopiering For at vigtige informationer altid kan fremfindes, og for at undgå tabt arbejde, foretages der sikkerhedskopiering og backup med faste intervaller for alle systemer og netværksdrev. De nærmere regler herfor findes i retningslinjen for backup. Aftaler med eksterne leverandører skal indeholde krav til samme procedurer, som gælder internt i Horsens Kommune. Det skal ved regelmæssige test sikres, at sikkerhedskopierne kan genindlæses. Sikkerhedskopierne opbevares i en anden brand-celle på samme lokation, så de kan fremfindes ved igangsættelse af nødplaner eller i forbindelse med andre behov Logning og overvågning Der foretages logning af vore kritiske systemer. Logningerne kontrolleres med henblik på at opdage og spore uautoriserede handlinger, og at kunne føre disse tilbage til enkeltpersoner eller identificerbart netværksudstyr. Det kontrolleres, at IT-systemer anvendes korrekt. Overvågningsniveauet fastlægges på grundlag af en risikovurdering af det enkelte system, og alle overvågningsaktiviteter skal beskrives. Alle aktiviteter på de fleste IT-systemer registreres automatisk. Som en del af logningen skal sikkerhedsrelaterede hændelser registreres. Logfaciliteter og logoplysninger skal beskyttes mod manipulation og tekniske fejl. Alle ure synkroniseres, så hændelser kan identificeres entydigt. 11

44 12.8 Driftsberedskab Der skal være til enhver tid være et driftsberedskab i Horsens Kommune, der er tilstrækkelig til at varetage det beredskab, som er aftalt med de givne områder i organisationen. 13. Kommunikationssikkerhed Kommunikationssikkerhed har til formål at sikre beskyttelse af informationer i netværket og af understøttende informationsbehandlingsfaciliteter samt at opretholde informationssikkerhed ved overførsel internt i kommunen og til en ekstern part Netværkssikkerhed For at undgå uautoriseret adgang skal vores netværk sikres. Sikring af vores netværk imod uautoriseret adgang styres af IT-afdelingen. Det sker f.eks. via adgangskontrol og adskillelse af netværkstjenester, hvor dette er hensigtsmæssigt. Der må ikke installeres netværksudstyr som f.eks. trådløse modems uden IT-afdelingens godkendelse. Der skal være etableret firewall løsninger, der beskytter mod forbindelse til upålidelige netværk. Der etableres udelukkende forbindelser fra internettet til sikkerhedsgodkendte servere som f.eks. - og webservere. Det skal sikres, at IT-afdelingen vedblivende har den nødvendige viden samt redskaber til overvågning af Horsens Kommunes for at kunne opdage og spore sikkerhedsbrister samt til fejlretning. Netværket overvåges løbende med henblik på at opdage og udbedre brud på sikkerheden. Bærbare medier med adgang til netværket skal styres og beskyttes. Der er etableret trådløst netværk på de fleste af Horsens Kommunes lokationer. Der må kun etableres trådløst lokalnet efter IT-afdelingens godkendelse. Nettet skal konfigureres således, at uautoriseret adgang og aflytning ikke er mulig. Trådløse netværk betragtes som usikre og ubeskyttede netværk, og adgang til trådløst netværk kræver gyldigt brugernavn og kodeord samt anvendelse af godkendt udstyr. Gæster kan få adgang til Horsens Kommunes gæstenetværk, hvor der kun tilbydes adgang til internettet. Gæstenettet skal være segmenteret på en sådan måde, at der ikke her forefindes personfølsomme og/eller forretningskritiske data. Da gæstenettet tilbydes ikke-kommercielt, så foretages der ikke overvågning og logning af gæsters anvendelse af internettet Informationsoverførsel Regler i forbindelse med informationsudveksling af fortrolig information via og andre elektroniske medier findes i Informationssikkerhedshåndbogens afsnit omhandlende retningslinjen for og digital post. I forbindelse med ekstern opkobling til Horsens Kommunes systemer må fortrolige data ikke kopieres, flyttes eller lagres på bærbare medier. Derudover har alle medarbejdere et ansvar for at beskytte uovervåget IT-udstyr og bærbare datamedier. 12

45 14. Anskaffelse, udvikling og vedligeholdelse af IT-systemer Det er vigtigt for af kommunens informationssikkerhed, at anskaffelse af nye IT-systemer samt den efterfølgende udvikling og vedligeholdelse af systemerne sker korrekt. Det er f.eks. herunder, at det skal sikres, at systemerne er designet og opsat på en måde, der bedst muligt imødegår tab af fortrolige data eller ustabil drift ved forretningskritiske systemer Sikkerhedskrav til informationsbehandlingssystemer De sikkerhedskrav der stilles til systemers behandling af data, skal indgå i vurderingen, som foretages ved indkøb og test af eksternt udviklede systemer. Det enkelte system skal have implementeret sikringsforanstaltninger, som er tilstrækkelige i forhold til klassifikation af de data, som systemet behandler, samt de forretningsmæssige funktioner, som systemet varetager. Informationssikkerhedskoordinatoren skal herfor i denne forbindelse inddrages i udarbejdelse af krav ved indkøb af IT-systemer Vurdering af systemdata Vurderingen af hvilke sikringsforanstaltninger der er nødvendige i det enkelte system, foretages ud fra, hvilke data systemet indeholder, og hvilke forretningsmæssige funktioner systemet varetager Styring af driftsmiljøet Der skal være etableret procedurer, der sikrer stabilitet ved installation af systemer i driftsmiljøet. Data der anvendes til test, skal udvælges omhyggeligt, kontrolleres nøje og beskyttes i henhold til deres klassifikation, f.eks. ved at anonymisering af data i testmiljøet Sikkerhed i udviklings- og hjælpeprocesser Vi udvikler ikke selv systemer, men anvender pålidelige og kompetente leverandører. Der anvendes standardprodukter i videst muligt omfang. IT-afdelingen etablerer godkendelsesprocedurer for nye systemer, nye versioner og opdateringer af eksisterende systemer. Godkendelsesprocedurerne beskriver krav til dokumentation, specifikationer, test, kvalitetskontrol og en styret implementeringsproces. Der skal foretages en risikovurdering af ændringerne i forhold til eksisterende sikringsforanstaltninger og eventuelt opståede behov for nye sikringsforanstaltninger. Vedligeholdelse af systemer der indgår i kritiske forretningsprocesser, skal ske i henhold til særskilte aftaler, der indgås med forretningen og dokumenteres i Beredskabsstrategi og beredskabsplaner. Når driftsmiljøet ændres, skal der ved disse kritiske forretningssystemer gennemgås og testes for at sikre, at det ikke har utilsigtede, afledte virkninger på den daglige drift og sikkerhed. 13

46 14.5 Databehandleraftaler Der skal forefindes databehandleraftaler for alle de situationer, hvor persondata i Horsens Kommune overlades til ekstern leverandørers (udenfor Horsens Kommunes netværk). Databehandleraftalen skal indgås i forbindelse systemkontraktudarbejdelsen og skal basere sig på den af IT- og Digitaliseringsafdelingen ejede skabelon. Dataejeren skal sikre en løbende opfølgning af databehandlerens varetagelse af den indgåede aftale. IT- og Digitaliseringsafdelingen vedligeholder beskrivelsen af opgavens indhold og indhold. 16. Styring af sikkerhedshændelser på IT-området Informationssikkerhedsarbejdet skal sikre en håndtering af sikkerhedshændelser. Endvidere er der i det forbyggende arbejde med informationssikkerhed, behov for at dokumentere sikkerhedshændelser, så det kan indgå i arbejdet med at analysere svagheder og planlægge det videre informationssikkerhedsarbejde Håndtering af sikkerhedsbrud og forbedringer Alle medarbejdere har pligt til hurtigst muligt at afrapportere sikkerhedshændelser til den relevante GIA 2 aktør. Opståede hændelser skal håndteres af den ansvarlige for området med udgangspunkt i en vurdering af alvoren ved problemet. Hændelser der har indflydelse på tilgængelighed, skal afklares i overensstemmelse med gældende serviceaftaler. Driftshændelser der ikke kan afklares inden for aftalt tid, skal i disse tilfælde håndteres i overensstemmelse med procedurer for hændelseshåndtering, og de ramte brugere og systemejere skal informeres. Hvor der kan komme et retsligt efterspil, skal beviser indsamles, opbevares og præsenteres, så vi kan sikre, at de udgør et fyldestgørende og pålideligt bevismateriale Rapportering af sikkerhedshændelser og svagheder Efter en imødegåelse af hændelsens konsekvenser har GIA aktøren ansvaret for en afrapportering af hændelsen til informationssikkerhedskoordinatoren. Afrapporteringen af alle hændelser skal ske i et særligt skema, som sendes til Informationssikkerhedskoordinatoren, der hermed kan skabe et samlet overblik for alle rapporterede hændelser. Denne information vil indgå i afrapporteringen til Informationssikkerhedsudvalgt og den årlige afrapportering til direktionen. Der er forskellige skema målrettet forskellige typer af hændelser. Det er Informationssikkerhedskoordinatoren, der har ansvaret for at definere omfanget for og typen af skemaer samt for den løbende vedligeholde. 2 GIA = Gruppen af Informationssikkerheds Aktører. Se begrebsafklaringen i Informationssikkerhedspolitikken for yderligere information. 14

47 17. IT-beredskabsstyring Horsens Kommune har udarbejdet en IT-beredskabsstrategi, der indgår i Horsens Kommunes overordnede kriseberedskab. Strategien redegør for, hvordan Horsens Kommune skal håndtere en beredskabssituation, ved nedbrud af kommunens IT-services. Godkendelse Dokumentet er godkendt af Horsens Kommunes Informationssikkerhedsudvalg. Formand for Informationssikkerhedsudvalget Lars Faurholt, Horsens d. 06/

48 Bilag 1: Indhold af rapportering til direktionen Afrapportering fra Informationssikkerhedsudvalget til direktionen skal have et omfang og en detailgrad, der gør at direktionen er i stand til at varetage sit ansvar om Horsens Kommunes overordnede sikkerhed. Årlig rapportering 1. Overordnede status Organisatoriske aspekter (ressourceoversigt & budget) Overordnet resultat af udførte aktiviteter Nye væsentlige implementeringer, restrukturering eller lign. Kritiske hændelser f.eks. virusudbrud eller angreb Væsentlige nedbrud 2. Det aktuelle risikobillede for Horsens Kommune Gennemgang af top-prioriterede risici Statistik samt udvikling/historik i typer af hændelser 3. Generel markedsstatus Nye trends/sikkerhedsrisici som Horsens Kommune skal være opmærksomme på Udvikling i Internet- og mailtrafik Statistik vedr. Virus, spam, m.v. Nye relevante teknologier, der medfører øget risiko 4. Nye fokusområder og aktiviteter Prioriteret liste over projekter vedr. informationssikkerhed for kommende periode Nye investeringer Ad hoc rapportering Informationssikkerhedsudvalget skal desuden rapportere ad hoc, hvis der indtræffer hændelser, der har en karakter, der bør have direktionens opmærksomhed f.eks. Tab af tilgængelighed, udstyr eller faciliteter Systemfejl eller overbelastning Menneskelige fejl Brud på den fysiske sikkerhed Brud på adgangskontrollerne Ændring i de forudsætninger, som indvirker på Horsens Kommunes sikkerhedspolitik f.eks. nye lovkrav, organisationsændringer eller igangsatte aktiviteter. 16

49 Bilag 2: Dagsorden for Informationssikkerhedsudvalgsmøder Informationssikkerhedsudvalget følger en fast mødedagsorden for at sikre fuldstændighed i dialogen om sikkerhedsarbejdet og for at sikre en ensartethed i rapportering til direktionen. Omdrejningspunktet for dialog, status og prioriteringsgrundlaget er SoA-dokumentet. Orientering fra direktionen Status på risikovurderingsarbejde Status på igangværende arbejder Hændelsesrapportering fra informationssikkerhedskoordinatoren og GIA o Hændelser, omfang, type og konsekvens o Status på udbedring o Forebyggende initiativer Fastlæggelse af opgaver for det kommende kvartal o Beskrivelse/succeskriterier o Projektledelse og -ressourcer o Tidslinje Eventuelt Der skal tages referat ved alle møder. 17

50 Bilag 3: Medarbejder i informationssikkerhedsorganisationen I det følgende er der redegjort for hvilke personer i organisationen, der er allokeret til de respektive roller i informationssikkerhedsorganisationen. Rolle Direktionen DPO Informationssikkerhedsudvalg Informationssikkerhedskoordinator IT- og Digitaliseringschefen IT-driftsafdelingen (ved ITdriftschefen) Ejer af lokale Digital Forretningsstrategi Ledelse på alle organisatoriske niveauer Ejer af Kritisk forretningsproces Systemejer Dataejer Person(er) Niels Aalund, Karin Holland, Tom Heron, Peter Sinding Poulsen XXX Lars Faurholt (Formand), Claus Rindahl Hansen, Søren Grotkær, Frode Fårup, Jette Stencel, Jens Heslop, Karina Bentsen & Anne-Mette Gisselmann. Mathias Bechmann Haurdahl Lars Faurholt Leif B. Præsius Se de lokale Digital Forretningsstrategi Se organisationsdiagram på medarbejderportal Se oversigt for Kritisk forretningsproces Se systemejer databasen Er samme person som systemejeren 18

51 Bilag 4: Rollebeskrivelser Direktionen Årlig revidering af informationssikkerhedspolitikken. Informationssikkerhedsudvalget Mødes 4 gange årligt Vurdere indholdet af SoA-dokumentet og herudfra igangsætte sikkerhedsarbejde Fremlæggelse og godkendelse af sikkerhedsstatus for direktionen via årlig afrapportering. Evaluere årlig intern informationssikkerhedsaudit med tilhørende evaluering af ISMS et. Indgå i overvågning af eksterne og interne trusler (trusselbilledet). Evaluere håndtering og baggrund for eventuelle angreb og brud på IT-sikkerhed. Årlig revidering af informationssikkerhedsretningslinjer og -håndbog kan ske oftere. IT- og Digitaliseringschefen Ledelsen af Informationssikkerhedskoordinatoren. Formand for informationssikkerhedsudvalget. Informationssikkerhedskoordinator Arbejdet med sikkerhedsarbejdet bør jf. ISO følge et fast årshjul, som her er opdelt i 4 faser svarende til PDCA cirklen. Gennemgå og opdatere SoA-dokumentet i dialog med IT-sikkerhedsudvalget. Implementerer det aftalte sikkerhedsarbejde jf. SoA-dokumentet. Gennemfører løbende Awareness aktiviteter. Samle op på eventuelle sikkerhedshændelser og afrapportere til IT-sikkerhedsudvalget. Rådgive organisationen om informationssikkerhed ved projekter og aktiviteter. Arrangere møder i IT-sikkerhedsudvalget hver 3. måned. Sikrer gennemførelse af årlig intern audit. Assistere årlig test af beredskabsplaner Overvågning af eksterne og interne trusler (trusselbilledet). Løbende opgørelse af angreb og brud på IT-sikkerhed. Vedligeholde systemoversigten i samarbejde med system- og dataejere. Vedligeholde oversigten for kritiske forretningsprocesser i samarbejde med procesejerne. Kontinuerligt opsamle ekstern viden om status og udvikling mht. informationssikkerhed. Gennemføre årlig evaluering af ISMS et i samarbejde med sikkerhedsudvalget. Årlig revidering af informationssikkerhedspolitik, retningslinjer og -håndbog. 19