Informationssikkerhedspolitik for Svendborg Kommune

Transkript

1 Informationssikkerhedspolitik for Svendborg Kommune Denne politik er godkendt af byrådet d. xx. Og træder i kraft d. xx. Seneste version er tilgængelig på intranettet.

2 Indledning Svendborg Byråd fastlægger med denne informationssikkerhedspolitik principper for opretholdelse af informationssikkerhed i Svendborg Kommune. Information er et aktiv, der i lighed med øvrige aktiver er væsentlig for kommunens aktiviteter og derfor skal beskyttes på passende vis. Dette er specielt vigtigt med den øgede digitale informationsudveksling, som har medført en forøgelse af både trusler og sårbarheder. En grundforudsætning for at kunne udnytte it er, at borgere, erhverv og ansatte føler sig trygge ved kommunens it-løsninger - ellers vil de ikke bruge dem. Samtidig afhænger kvalitetsoplevelsen af kommunens services af, at it-driften og informationer er pålidelige. Information kan eksistere i mange former. Det kan være skrevet på papir, lagret elektronisk, transmitteret via kabler eller gennem luften, ligge på en film eller være fremført i en samtale. Uanset formen skal information beskyttes i henhold til dens betydning for kommunen. Informationssikkerhed er den samlede indsats, der skal sikre kommunens daglige drift, minimere skader, samt beskytte kommunens borgere, erhvervsliv og samarbejdspartnere. Informationssikkerhed opnås ved at implementere, overvåge, revurdere og løbende ajourføre et passende sæt af foranstaltninger bestående af politikker, praksis, procedurer, organisatoriske tiltag og tekniske funktioner. Informationssikkerhed må ikke være unødigt begrænsende. Vi ønsker, at der i Svendborg Kommune er plads til innovation og eksperimenter. Informationssikkerhedstiltag skal derfor være i balance med hensynet til udvikling og effektivitet. Denne politik beskriver hvordan byrådet ønsker, at denne balance mellem tryghed, kvalitetsopfattelse, udvikling og effektivitet opnås. Politikkens opbygning Politikken er opdelt i tre niveauer, som figuren illustrerer:

3 Den overordnede politik (dette dokument) beskriver rammer, mål og overordnet organisering af informationssikkerhedsindsatsen. Den operationelle politik præciserer organisering, ansvar og roller. Den operationelle politik fastlægges af digitaliseringsstyregruppen og godkendes af direktionen. Retningslinjer beskriver krav til risikohåndtering på udvalgte områder. Retningslinjer fastlægges i relevante ledelsesfora og med inddragelse af forvaltninger og interessenter. Formål Politikkens formål er at sætte rammerne for, hvordan Svendborg Kommune sikrer en fornuftig balance mellem driftssikkerhed og udnyttelse af digitaliseringsmuligheder. Frem for alt skal politikken sikre, at indsatsen prioriteres efter den aktuelle risiko. Det kan ramme borgere og erhvervsliv og ansatte, at følsomme eller fortrolige oplysninger bliver offentliggjort eller går tabt. Kommunen kan lide økonomiske tab hvis data mistes eller der er fejl i data så afgørelser træffes på et forkert grundlag. Det kan påvirke driften og de ansatte, hvis sager, anlægsoplysninger eller andre informationer mistes og service til borgerne derfor ikke kan leveres. Det kan gå ud over kommunens omdømme og påvirke borgernes tillid til kommunens forvaltning, hvis der ikke er styr på data og systemer. Omfang og gyldighedsområde Alle informationer og systemer, som tilhører kommunen, som kommunen anvender eller som kommunen har ansvaret for, er omfattet. Det inkluderer personoplysninger, sagsdokumentation, produktionsdata, anlægsdata, tegninger, ledelsesinformation mv. Politikken gælder alle ansatte, politikere, midlertidigt ansatte, eksterne konsulenter og andre med arbejdsmæssig tilknytning til kommunen. Ved udlicitering af it-drift til eksterne serviceleverandører, deltagelse i itdriftsfællesskaber, private aktørers adgang til informationer mv. skal det sikres, at Svendborg Kommunes sikkerhedsniveau opretholdes. Enten via krav og overvågning af leverandøren eller ved at tage forholdsregler, hvis uheldet er ude. Grundprincipper for informationssikkerhed i Svendborg Kommune Informationssikkerhedsindsatsen tager afsæt i nedenstående mål og organisering. Indsatsen for at efterleve målene skal respektere kommunens ønsker om decentralt ansvar, at der skal tænkes i helheder, at tillid går forud for kontrol og at Svendborg Kommune vil være på forkant med udviklingen.

4 Mål Basis informationssikkerhedsniveauet i Svendborg Kommune skal opfylde følgende overordnede mål: Sikkerhedskultur og -bevidsthed. Målet er, at den enkelte medarbejder forholder sig til informationssikkerhed uanset niveau og opgave, og føler ansvar for, at der træffes de nødvendige forholdsregler. Både ledere og medarbejdere skal være opdaterede i forhold til de risici, som de kan påvirke i deres rolle og opgaver. Ledere på alle niveauer skal have et overblik over risikoen i deres område og har ansvaret for den løbende dialog med medarbejdere om risici og nødvendige forholdsregler for at håndtere dem. Målet skal opnås ved at etablere et fælles sprog, holdnings- og værdisæt, som formidles via ledelsessystemet og i direkte dialog med medarbejdere. Sikker drift. Målet er, at der opretholdes et driftsmæssigt stabilt, sikkert, let tilgængeligt og funktionelt it-serviceniveau. Forvaltningerne skal kunne stole på, at itservices, der etableres og leveres af It-afdelingen, er tilgængelige og beskyttet efter forvaltningernes behov. Målet skal opnås ved at sikkerhedsniveauet omkring it-services, som anvendes i kommunen, tydeligt deklareres og godkendes af ledelsen. Kritiske it-driftsprocesser skal følge faste, dokumenterede arbejdsgange, være systematisk overvåget og status på væsentlige driftsforhold skal rapporteres til ledelsen løbende. Adgang og rettigheder til data og systemer. Målet er, at følsomme og kritiske systemer og data er beskyttet mod uautoriseret adgang og ændring uanset hvor de befinder sig. Adgang til og ændring af følsomme eller kritiske systemer eller data skal let kunne spores til personen. Målet skal opnås ved at de ansvarlige ledere gives let adgang til oplysninger, der er nødvendige for at kunne udføre ledelsestilsyn. Hvis der gives adgang til fortrolige data uden for det etablerede sikkerhedsmiljø, kræves en forudgående direktionsgodkendelse. Adgangskontrollens effektivitet skal efterprøves kvartalsvis for væsentlige og følsomme data og systemer. Projekter. Målet er at digitaliseringsprojekter, herunder anskaffelse, udvikling og vedligeholdelse af it-systemer, ikke svækker sikkerhedsniveauet. Målet skal opnås ved projekter og ændringer skal følge en fast, dokumenteret projektog/eller ændringsstyringsproces. Sikkerhedsmæssig vurdering skal være en integreret del af projekt- og programstyringen, samt af udbudsprocessen. Inden højrisikoprojekter igangsættes skal der være en ledelsesgodkendt risikohåndteringsplan. Inden systemer sættes i drift, skal systemejer godkende resultatet af afprøvning af systemets sikkerhedsforanstaltninger. Fysisk sikkerhed. Målet er at, de fysiske omgivelserne for informationer og informationsudstyr, der anvendes af kommunen og som kommunen har ansvaret for,

5 beskytter effektivt mod fysiske hændelser, eksempelvis brand, vandskade, tyveri, hærværk, skader forårsaget af menneskelige fejl mv. Målet skal opnås ved, at der på steder, hvor der opbevares og anvendes informationer, systemer, infrastruktur og data, etableres et risikotilpasset niveau af fysisk sikkerhed. Placering og den fysiske sikring af udstyr, som It-afdelingen har driftsansvaret for, skal forhåndsgodkendes af It-afdelingen. Den fysiske sikkerhed på lokationer med vitale installationer og informationer, der kræver høj beskyttelse, skal løbende efterprøves. Håndtering af sikkerhedshændelser. Målet er, at skaden ved sikkerhedsbrud holdes på et acceptabelt niveau og kommunens vigtigste opgaver kan videreføres inden for en af ledelsen besluttet tidshorisont. Målet skal opnås ved, at der opretholdes et beredskab, så sikkerhedshændelser kan håndteres effektivt. Hændelser skal registreres og omfanget skal årligt evalueres og rapporteres til ledelsen. Ved alvorlige hændelser skal der foretages en efterfølgende evaluering af hændelsen. Sikkerhedsniveauet omkring de enkelte systemer og data fastlægges på baggrund af en risikovurdering og under hensyn til lovbestemte og kontraktlige krav. Der skal udarbejdes en informationssikkerhedsårsplan, som beskriver hvilke tiltag informationssikkerhedsorganisationen vil gennemføre for at opfyldelse ovenstående mål. Årsplanen skal godkendes af ledelsen. Organisation og ansvar Den enkelte medarbejders ansvar skal være præcist og entydigt beskrevet med udgangspunkt i nedenstående overordnede organisering: Alle medarbejdere har pligt til at sætte sig ind i regler og vejledninger om brug af kommunens it-faciliteter og til at rapportere hændelser, trusler og sårbarheder, som medarbejderen bliver bekendt med. Alle ledere har ansvar for, at kravene til system- og datasikkerhed i lederens ansvarsområde er klart kommunikeret til medarbejderne. Ledere med systemejeransvar skal fastlægge de krav, som brugere af systemet skal efterleve. Sekretariatschefer har inden for eget område ansvar for implementering og opfølgning på efterlevelse af politikken. Sekretariatschefer organiserer indsats inden for eget område og fastlægger behov for koordinering med andre enheder i kommunen. Sekretariatschefer har initiativpligten med hensyn til evalueringer for egne systemer og data. It-afdelingen varetager den overordnede koordinering for digitaliseringsudvalget, og koordinering af øvrige aktiviteter i årsplanen, som aftales med direktionen. Opgaver, der skal koordineres er kort beskrevet i bilag 1. It-afdelingen skal sikre, at behov er kortlagt inden nye projekter eller

6 ændringer, der vedrører hele kommunen, sættes i gang. It-afdelingen har desuden ansvar for at sikre en høj kvalitet i risikoinformation til relevante fora og direktion, og at værktøjer til systemejere effektivt understøtter systemejernes opgaver. IT-chefen er ansvarlig for at driften til ethvert tidspunkt lever op til informationssikkerhedspolitikken og til det sikkerhedsniveau, der er aftalt med forvaltningerne. Undtaget driftsaftaler, hvor It-afdelingen ikke er kontraktholder. Digitaliseringsudvalget har det overordnede ansvar for den tværgående indsats, herunder at politikken og beslutninger er kendt på alle ledelsesniveauer og efterleves effektivt, samt at det generelle niveau svarer til det aktuelle behov. Digitaliseringsudvalget godkender dispensationer og behandler sager. Er de væsentlige, skal kommunaldirektøren informeres. For alle systemer udpeges, så tæt på arbejdsgangen som muligt, en systemejer med ansvar for sikkerheden omkring systemet. Direktionen udpeger ejere af fællessystemer. Kommunaldirektøren er øverste informationssikkerhedsansvarlige og godkender i samråd med direktionen den operationelle informationssikkerhedspolitik efter indstilling fra digitaliseringsudvalget. Byrådet fastlægger den overordnede informationssikkerhedspolitik. Bilag 1 beskriver det operationelle ansvar. Evaluering og opfølgning Digitaliseringsudvalget leverer en årlig status og forslag til ny årsplan, herunder omfanget af evaluering og opfølgning til behandling i direktionen. Digitaliseringsudvalget skal løbende have status på omfanget af informationssikkerhedsbrud. Ved væsentlige personalerelaterede brud på sikkerheden informerer digitaliseringsudvalget HR-chefen, som herefter behandler sagen. Informationssikkerhedspolitikken revideres hvert andet år. Den overordnede informationssikkerhedspolitik skal godkendes på ny, når et nyt byråd er konstitueret efter et kommunalvalg.

7 Bilag 1 Anvendelse i praksis De retningslinjer samt beskrivelse af informationssikkerheds- og kontrolforanstaltninger, der gælder i Svendborg Kommune, samles i en sikkerhedshåndbog med samme punktinddeling, som anvendes i ISO Til det formål har kommunen anskaffet systemet Secureaware. Sikkerhedshåndbogen samler beskrivelser af informationssikkerhedsområder til brug for koordinering af indsatsen. Som minimum omfatter det operationelle ansvar: at sikre, at informationssikkerhedspolitikken og afledte retningslinjer implementeres at sikre en bestemmelse af værdien af de informationer og systemer, som er nødvendige for Svendborg Kommune, samt at træffe rimelige forholdsregler til beskyttelse af disse informationer, herunder at afse de nødvendige midler og ressourcer hertil at der udpeges systemejere for samtlige systemer at klassificere og beskytte de informationer og systemer, som kommunen har ansvaret for at forebygge og begrænse risici til en for Svendborg Kommune kendt og accepteret størrelse at udarbejde regler for informationskontrol og beskyttelse, som skal følges af de medarbejdere, der behandler og anvender informationerne og systemerne at etablere regler for adgang og brug af informationer samt at sikre, at reglerne bliver revideret med jævne mellemrum at definere reglerne for arkivering af informationer, således at disse altid kan genskabes senere inden for en kendt og accepteret tidshorisont at udarbejde en brugbar plan til at retablere daglig drift, såfremt informationerne eller systemerne ødelægges, uanset af hvilken grund, således: o at omfanget af og konsekvenserne ved nødsituationen kan minimeres o at væsentligste dele af den daglige forretningsmæssige drift i Svendborg Kommune kan gennemføres via alternative forretningsgange o at alle relevante berørte parter kan holdes orienteret i fornødent omfang o at den fulde drift af systemerne kan genoptages inden for en kendt og accepteret tidshorisont at sikre, at enhver sikkerhedsmæssig følsom informationsaktivitet kan henføres til den person, som har udført aktiviteten, samt at sikre gennemførelse af de fornødne kontroller til opdagelse af misbrug eller forsøg herpå at etablere regler og arbejdsgange for rettighedstildeling og funktionsadskillelse, som skal forebygge og begrænse konsekvenser af fejl, uheld og negative handlinger, der bevidst er foretaget af enkeltpersoner at sikre, at Svendborg Kommunes udvikling og implementering af systemer udføres under iagttagelse af betryggende sikkerhedsforanstaltninger at sikre, at Svendborg Kommunes leverandører overholder de sikkerhedsforskrifter, som er gældende for Svendborg Kommunes informationer, faciliteter og medarbejdere i samarbejdet med leverandøren at træffe de nødvendige forholdsregler for at sikre, at informationssikkerhedspolitikken og afledte retningslinjer bliver overholdt at sikre den fornødne ledelsesrapportering af status for informationssikkerheden, herunder aktiviteter og hændelser.