Assens Kommune Politik for databeskyttelse og informationssikkerhed

Transkript

1 Assens Kommune Politik for databeskyttelse og informationssikkerhed

2 Indholdsfortegnelse Indholdsfortegnelse Indledning Formål Holdninger og principper Omfang Sikkerhedsbevidsthed, organisering og ansvar Opfølgning Godkendelse... 8 Side 2 af 8

3 1. Indledning udgør den overordnede ramme for beskyttelse af it, data og information i Assens Kommune. Assens Kommune anvender i øget omfang digitale løsninger til varetagelsen af kommunens mangeartede opgaver. I samme ombæring stilles der øgede krav til databeskyttelse, som udspringer af EU s databeskyttelsesforordning (GDPR) og de afledte nationale lovgivninger på området. Derudover er databeskyttelse indarbejdet i de fællesoffentlige og fælleskommunale digitaliseringsstrategier. Dette har afsmittende effekt på måden, vi anvender digitale løsninger på, samt på omfanget og indholdet af de omkringliggende procedurer. Databeskyttelse tilstræbes tænkt tidligt ind i nye digitaliseringsprojekter, så sikkerhed prioriteres og håndteres. Assens Kommune behandler en stor mængde data, herunder både almindelige og følsomme personoplysninger. Disse informationer kræver en særlig beskyttelse for at bibeholde fortrolighed, integritet og tilgængelighed. Kommunens øvrige databehandling skal også omgås professionelt og beskyttes mod tab, korruption og sabotage. Beskyttelse af data- og informationssystemer er derfor et vigtigt fokusområde, som håndteres gennem kommunens indsats på databeskyttelsesområdet. Indsatsen består primært af en mængde sikringsforanstaltninger, der etableres med henblik på at beskytte de data- og informationssystemer, som kommunen anvender og har ansvaret for. Herunder specielt fokus på at passe godt på borgernes data. Upåagtet de fysiske og tekniske sikringsforanstaltninger er den menneskelige faktor altafgørende for at skabe og opretholde den nødvendige sikkerhed. Måden hvorpå ledelse, medarbejdere og samarbejdspartnere agerer, skaber fundamentet for et højt sikkerhedsniveau i kommunen. Det er derfor vigtigt, at der i kommunens databeskyttelsesindsats i høj grad også er fokus på de ledelsesmæssige, organisatoriske og menneskelige dimensioner. En altafgørende faktor for at opnå optimal databeskyttelse er derfor løbende at opbygge og vedligeholde organisationens kompetencer i datasikkerhed samt at gennemføre målrettede oplysningskampagner. Afledt af denne politik og med udgangspunkt i informationssikkerhedsstandarden ISO27001 er der udarbejdet Sikkerhedshåndbog for Databeskyttelse og Informationssikkerhed. Heri findes en mere udførlig beskrivelse af de regler og retningslinjer samt sikkerheds- og kontrolforanstaltninger, der er gældende for hele kommunen. Håndbogen danner basis for den operationelle indsats på databeskyttelse og informationssikkerhed i Assens Kommune. Side 3 af 8

4 2. Formål Formålet med er at sætte de overordnede rammer for de sikringsforanstaltninger, der skal beskytte data og informationssystemer. Det sker med udgangspunkt i tre centrale begreber: Fortrolighed Information kommer ikke uvedkommende til kendskab. Integritet Information forbliver pålidelig, korrekt og intakt. Tilgængelighed Relevant information kan tilgås og anvendes, når der er behov for det. Sikringsforanstaltningerne skal rettes imod alle former for trusler: Eksisterende og interne bevidst skadevoldende handlinger og misbrug (eksempelvis forsøg på hacking, misbrug af rettigheder, mm.). Hændelige fejl og uheld. Det skal sikres, at konsekvenserne af et sikkerhedsbrud reduceres til et accepteret niveau: Assens Kommune skal sikre, at borgerne til stadighed kan føle sig trygge ved at overlade deres data og informationer til kommunen. Assens Kommune skal i videst muligt omfang sikre medarbejderne mod mistænkeliggørelse og derved sikre medarbejdernes tryghed. 3. Holdninger og principper skal fastlægges som en afvejning af de ofte modstridende hensyn på den ene side ønsket om høj sikkerhed og på den anden side hensynet til brugervenlig it-anvendelse. Databeskyttelse og informationssikkerhed implementeres i overensstemmelse med følgende overordnede holdninger og principper: Kommunens troværdighed på databeskyttelsesområdet må ikke kunne drages i tvivl over for omverdenen. Sikkerhedsforanstaltninger skal søges tilrettelagt, så de opleves som en naturlig del af medarbejdernes daglige arbejde og ikke som en barriere. Sikkerheden søges styret i overensstemmelse med almindelig anerkendte metoder og procedurer for informationssikkerhed. Side 4 af 8

5 Såfremt sikkerhedshændelser berører borgere eller virksomheder, vil kommunens databeskyttelsesorganisation sikre standsning af ulykken, sikre data, kommunikere målrettet med de berørte parter og arbejde for at genoprette normal drift hurtigst muligt. 4. Omfang Politikken er gældende for: ethvert informationsaktiv, der tilhører kommunen eller som kommunen kan gøres ansvarlig for, uanset hvilket medie informationen er lagret på (papir, tavler, datamedier, m.m.). alle, der omgås og anvender Assens kommunes informationsaktiver (medarbejdere, samarbejdspartnere m.m.). I det omfang Assens Kommunes data og informationer hostes hos eller behandles af eksterne serviceleverandører, skal det sikres i samarbejdet med serviceleverandøren, at kommunens sikkerhedsniveau fastholdes. Det vil sige at serviceleverandøren, dennes faciliteter og medarbejdere, der har adgang til kommunens informationer, som minimum lever op til kommunens informationssikkerhedsniveau. Dette skal fastholdes via databehandleraftaler. 5. Sikkerhedsbevidsthed, organisering og ansvar Alle der har adgang til informationer, anvender eller behandler data i Assens Kommune har et medansvar for, at kommunens data og informationssystemer beskyttes optimalt. For at sikre, at der til stadighed er et højt bevidsthedsniveau, skal alle løbende uddannes i emner vedrørende databeskyttelse og generel informationssikkerhed. Uddannelse i databeskyttelse og informationssikkerhed skal gennemføres målrettet, således at alle får netop den viden, der er relevant for deres arbejdsområde. Assens Kommunes byråd har det overordnede og formelle ansvar for databeskyttelse og informationssikkerhed i kommunen. Den herunder etablerede sikkerhedsorganisering tildeles ansvaret for beskrivelse og udmøntning af nærværende politik for databeskyttelse og informationssikkerhed. Byrådet fastlægger overordnede principper og politik for databeskyttelse via godkendelse af. Direktionen godkender kommunens regler for databeskyttelse og informationssikkerhed og fastlægger overordnede niveau for risikovillighed og beredskab. sikrer overordnet prioritering og ressourcetildeling. udpeger øverste ansvarlige for den administrative styring af informationssikkerhedsindsatsen. Side 5 af 8

6 udpeger chef for databeskyttelse og informationssikkerhed. udpeger databeskyttelsesrådgiver (DPO). Vicedirektører har ansvar for overholdelse af kommunens Politik for databeskyttelse og informationssikkerhed. har ansvar for, at Sikkerhedshåndbog for databeskyttelse og informationssikkerhed bliver gjort tilgængelige for medarbejderne samt at de vedtagne retningslinjer overholdes. har ansvar for de databehandlinger, der foretages på deres respektive fagområder samt på tværorganisatoriske databehandlinger. har via Systemejer-rollen ansvaret for de systemer, der ligger inden for deres respektive fagområder, og i visse tilfælde tværorganisatoriske systemanvendelser. Øverste ansvarlige for databeskyttelse og informationssikkerhed (direktørniveau) sikrer den fornødne kontrol med efterlevelse af Politik for databeskyttelse og informationssikkerhed. repræsenterer databeskyttelse og informationssikkerhed i direktionen. sparrer med den udpegede chef. Chef for databeskyttelse og informationssikkerhed (fagchefniveau) har ansvaret for den operationelle, daglige ledelse og styring af indsatsen på området. sikrer udarbejdelse af relevant ledelsesinformation til organisationen for dokumentation af overensstemmelse mellem besluttet sikkerhedsniveau og faktisk sikkerhedsniveau (compliance). er formand for ledelsesgruppen. Ledelsesgruppen for databeskyttelse og informationssikkerhed udgør fælles, operationel ledelsesforum for databeskyttelse og informationssikkerhed i Assens Kommune. repræsenteres af chef for databeskyttelse og informationssikkerhed som formand og ledelsesrepræsentant for de borgervendte aspekter på området. Derudover repræsenteres de IT-tekniske og juridiske aspekter. sørger for at udarbejde fremdriftsplan for datasikkerhed. prioriterer i opgave- og projektporteføljen for datasikkerhed. sætter i samråd med kommunens øvrige eksperter herunder DPO retning for det implementeringsarbejde, der følger i kølvandet på kommunens databeskyttelsesindsats. instruerer og involverer IT-sikkerhedskoordinatoren i uddelegeringen af den praktiske udførelse af gruppens vedtagne opgaver. Databeskyttelsesforum er et tværorganisatorisk forum, som medvirker til: sparring med DPO og ledelsesgruppen om organisatorisk rettede tiltag. vurdering af hændelseshistorikken og de deraf afledte tiltag. idégenerering i forhold til awareness-kampagner og hjælp til udførelsen. Side 6 af 8

7 Databeskyttelsesrådgiver (DPO) holder sig opdateret på gældende lovgivning og bedste praksis inden for databeskyttelsesområdet. fortolker det omfattende lovstof og rådgiver ledelsesgruppen og resten af organisationen på de områder, hvor der skal sikres lovoverholdelse (compliance). overvåger og fører tilsyn med, at kommunen overholder gældende love og regler. rådgiver organisationen i at udforme og overholde formkrav i forhold til den omfattende skriftlige dokumenteringsopgave, som er obligatorisk for kommunen (Behandlings- og systemfortegnelser, dataflowbeskrivelser, databehandleraftaler, risikovurderinger, kontroldokumentation osv.). er kontaktperson for Datatilsynet samt andre relevante organer og interessenetværk. fungerer som rådgiver for borgerne om, hvordan vi bruger deres data. må ikke, i kraft af sin funktion, modtage instruks om udførelsen af sine opgaver. IT-sikkerhedskoordinator udfører opgaver afledt af beslutninger i Ledelsesgruppen. udfører sekretærlignende funktioner i forhold til Ledelsesgruppen og Databeskyttelsesforum i forhold til dagsorden/referat og mødearrangement m.m. sikrer den praktiske vedligeholdelse af sikkerhedshåndbog, beredskabsplaner og øvrig relevant dokumentation, der udspringer af Politik for databeskyttelse og informationssikkerhed. sikrer det praktiske arbejde med kontroller, risikovurdering, dokumentation m.m. Alle medarbejdere i Assens Kommune har et ansvar for, at følges i forbindelse med vedkommendes aktuelle ansvarsområde og arbejdsopgaver. 6. Opfølgning Ledelsesgruppen for databeskyttelse og informationssikkerhed sikrer, at systemejerne hvert tredje år eller i forbindelse med større ændringer i organisationen, forretningsprocesserne eller informationssystemerne, gennemfører en fornyet risikovurdering. Giver den enkelte risikovurdering grund til ændrede sikkerhedstiltag direkte i fagområdet, vil ændringerne søgt prioriteret med afsæt i risikovurderingens resultat. Det samlede overordnede risikobillede på tværs af de enkelte systemer og fagområder, forelægges direktionen til drøftelse og prioritering af ændringstiltag. DPO en rådgiver og understøtter processen samt påpeger udfordringer i håndteringen af risici fremkommet ved udarbejdelsen af risikovurderinger. Ledelsesgruppen revurderer løbende Sikkerhedshåndbog for databeskyttelse og informationssikkerhed. Grundlaget herfor baseres på rapporteringer fra overvågning, Side 7 af 8

8 kontrol, risikovurdering og hændelsesrapportering. DPO en rådgiver ledelsesgruppen og fremlægger den nødvendige dokumentation til arbejdet med revurderingen. Revideret politik for databeskyttelse og information fremlægges for Byrådet til godkendelse hvert tredje år eller i forbindelse med større ændringer. offentliggøres på Assens Kommunes intranet og kan udleveres til relevante samarbejdspartnere. 7. Godkendelse er godkendt af Assens Kommunes byråd den 30. maj Søren Steen Andersen Borgmester Finn G. Johansen Kommunaldirektør Side 8 af 8