Organisering og styring af informationssikkerhed. I Odder Kommune

Transkript

1 Organisering og styring af informationssikkerhed I Odder Kommune

2 Indhold Indledning...3 Organisationens kontekst (ISO kap. 4)...3 Roller, ansvar og beføjelser i organisationen (ISO kap. 5)...4 Risikovurdering og håndtering (ISO kap. 6)...5 Sikkerhedsbevidsthed (ISO kap. 7)...6 Evaluering og tilsyn og opfølgning på informationssikkerhed (ISO kap. 9)...6 Håndtering af Informationssikkerhedshændelser (ISO kap. 10)...7 Godkendelse (ISO kap. 11)...8

3 Indledning Den overordnede informationssikkerhedsstrategi skaber rammerne for organiseringen af ansvar og styring af informationssikkerhed, der udmøntes i etableringen af fastsatte regler og procedurer for Odder kommunes informationssikkerhedshåndtering. Dermed etableres et grundlag for det daglige arbejde med informationssikkerhed inden for kommunens virke. Den samlede informationssikkerhedsbeskrivelse består af 3 dokumenter: Den overordnede informationssikkerhedsstrategi. Godkendes af Byrådet Organisering og styring af informationssikkerhed, der fastlægger fordeling af ansvar. (Dette dokument) Godkendes af Direktionen. De konkrete regler, som vi alle skal overholde i det daglige arbejde. Godkendes af kommunens øverste sikkerhedsansvarlige Både organisering og styring af informationssikkerhed og konkrete regler revideres ved behov inden for rammerne af den overordnede informationssikkerhedsstrategi Dette dokument beskriver organiseringen af ansvar og styring af informationssikkerhed i Odder Kommune. Sammen med den overordnede strategi, en løbende risikovurdering, regler for informationssikkerhed og arbejdet i informationssikkerhedsorganisationen, dannes grundlaget for sikker håndtering af informationer i Odder kommune. Dokumentet tager udgangspunkt i systematikken fra ISO Ud for hvert hovedafsnit angives hvilket ISOafsnit det drejer sig om. Dette for lette indarbejdelse af de kommende rettelser fra EU- Persondataforordningen. Organisationens kontekst (ISO kap. 4) Odder Kommune består af Direktion, Stabe og 3 virksomhedsområder. Parter, der er relevante for informationssikkerheden: - Borgere og virksomheder - Ansatte - Datatilsynet - Leverandører og eksterne samarbejdspartnere Følgende 3 målsætninger konkretiserer behov og forventninger fra interne og eksterne parter: Fortrolighed i forvaltningen. Vi vil i vores IT-anvendelse sikre, at behandling af data og informationer sker med fortroligt og i overensstemmelse med god forvaltningsskik. Informationssikkerhed skal derfor sikre, at informationer om virksomheder og borgerne ikke kommer til uvedkommendes kendskab. [3]

4 Sikre kommunens medarbejdere, borgere og virksomheder adgang til en stabil og korrekt kommunal service. Informationssikkerhedsforanstaltninger skal sikre borgere og virksomheder tilgængelighed og pålidelig adgang til de eksterne systemer på og selvbetjeningsløsninger. For de interne systemer skal der sikres stabil drift og It-anvendelsen skal bygge på korrekte data. Dette for at sikre korrekt service til tiden. Forebyggende sikkerhed. Informationssikkerheden skal implementeres gennem forebyggende tekniske tiltag og informationsaktiviteter, der øger medarbejdernes kompetencer og viden omkring informationssikkerhed. Tekniske kontroller er væsentlige, men den menneskelige faktor i form af brugeradfærd ses som den største risiko-faktor. Den menneskelige faktor kan ikke kontrolleres og er derfor afhængig af medarbejdernes kompetencer og forståelse for deres rolle i forbindelse med informationssikkerhed. I forhold til ovenstående defineres informationssikkerhed som kommunens samlede foranstaltninger til at sikre fortrolighed, tilgængelighed og integritet. Foranstaltninger inkluderer tekniske, proceduremæssige, regel- og lovmæssige kontroller. Juridiske krav som Odder Kommune bestræber sig på at omsætte i forbindelse med informationssikkerhed: - Persondataloven. - Sikkerhedsbekendtgørelsen. - Persondataforordningen pr. 25. maj Forvaltningsloven. - Arkivloven, Kontraktlige forpligtelser, der påvirker informationssikkerheden: - Kontrakter på løsninger og samarbejde med eksterne parter - Databehandleraftaler - Licensstyring - På sigt overvejes også ansættelsesbreve, således at nyansatte medarbejdere allerede før ansættelse er bekendte med, at de i deres kommende arbejde skal overholde kommunens regler for informationssikkerhed. Anvendelsesområdet for Informationssikkerhedssikkerhedsregler Informationssikkerhedsreglerne gælder alle organisatoriske enheder i Odder Kommune: Politikere, administrationen, alle kerneydelsesområder og eksterne parter, der har adgang til Odder Kommunes informationer. Reglerne gælder informationer både i digital- og i papirform. Roller, ansvar og beføjelser i organisationen (ISO kap. 5) Sikkerhedsorganisation Informationssikkerhedsstrategien godkendes af Byrådet og varetages af kommunaldirektøren, der er kommunens øverste sikkerhedsansvarlige. Det daglige arbejde udføres i samarbejde med kommunens Informationssikkerhedsorganisation. Informationssikkerhedsorganisationen har ansvar for at sikre, at regler og strategien for informationssikkerhed er synlig, koordineret og i overensstemmelse med kommunens overordnede principper og mål for informationssikkerhed. Informationssikkerhedsorganisationen består af den øverste sikkerhedsansvarlige, en informationssikkerhedsgruppe og herunder direktører og stabs- og virksomhedsledere. Chefen for It- og Indkøb er formand for Informationssikkerhedsgruppen. Ansvaret for tilsyn og koordination af sikkerheden på tværs i organisationen bæres af den øverste sikkerhedsansvarlige i samarbejde med chefen for It- og Indkøb. Direktører og de enkelte stabs- og virksomhedsledere skal sikre udbredelse af informationssikkerhedsbeskrivelsen til egne medarbejdere og overholdelse af informationssikkerheden i de fagspecifikke områder og for systemer inden for deres ansvarsområde. [4]

5 Den daglige kontakt omkring informationssikkerhedshændelser og praktisk overvågning af systemer varetages af It- og Indkøb. Ledelsens rolle og engagement Den øverste sikkerhedsansvarlige skal aktivt lede og støtte de medarbejdere, der er ansvarlige for at vedligeholde informationssikkerheden. Ledelsen på alle niveauer skal støtte kommunens informationssikkerhed ved at udlægge klare retningslinjer, udvise synligt engagement samt sikre præcis placering af ansvar. Det er ledelsens ansvar, at sikre at alle medarbejdere: - Er tilstrækkeligt informeret om deres roller og ansvar i forbindelse med sikkerhed. - Tilegner sig kompetencer og et opmærksomhedsniveau i spørgsmål vedrørende informationssikkerhed, der er i overensstemmelse med deres roller og ansvar i kommunen. Herudover skal de sikre varetagelse sikkerheden for de systemer, som de er ejer af og ansvarlige af. (Link til liste over systemer i Odder Kommune) Ledelsen skal kommunikere betydningen af at overholde kravene til informationssikkerhed. Ledelsen skal aktivt fremme og støtte løbende forbedringer af informationssikkerheden. Informationssikkerhedsgruppens rolle Det daglige tilsyn og styring af informationssikkerhed udføres af kommunens informationssikkerhedsgruppe. Informationssikkerhedsgruppen sikrer i samarbejde med den øverste sikkerhedsansvarlige vedligeholdelse af den samlede informationssikkerhedsbeskrivelse: strategi, organisering og styring, samt de konkrete regler. Ligeledes sikrer de den løbende risikovurdering, samt information til ledelsen omkring informationssikkerhed. Kommunens digitaliseringsgruppe holdes løbende opdateret i form af referater fra gruppen. Informationssikkerhedsgruppen mødes jævnligt og straks i forbindelse med alvorlige informationssikkerhedshændelser. Ligeledes sikrer de den løbende risikovurdering, samt sikre information, der støtter ledelsen i deres arbejde med informationssikkerhed. It driftens rolle I tilfælde af informationssikkerhedshændelser skal brugere og ledere rette henvendelse til IT og Indkøb. Håndtering af nedbrud på IT-løsninger mv. varetages ligeledes af denne afdeling. Når personalet i It- og Indkøb registrerer informationssikkerhedshændelser orienteres chefen for It- og Indkøb, som træffer beslutning om handling og indkaldelse til møde i Informationssikkerhedsgruppen. Distribution af informationssikkerhedsbeskrivelsen Informationssikkerhedsbeskrivelsen skal kommunikeres ud i organisationen. Dette sker med behandling i MED-organisationen, på møder med ledergrupper, superbrugere og afdelingernes fagsystemansvarlige, der har fået uddelegeret ansvaret for informationssikker i fagsystemerne. Informationssikkerhedsbeskrivelsen skal være tilgængelig for alle relevante parter. Beskrivelsen publiceres på kommunens Intranet for medarbejdere og på kommunens hjemmeside for borgere og virksomheder. I forbindelse med indgåelse af samarbejdsaftaler med IT-leverandører og eksterne parter henvises der til informationssikkerhedsbeskrivelsen for at sikre, at deres sikkerhedsniveau som minimum svarer til kommunens niveau. Risikovurdering og håndtering (ISO kap. 6) Der skal udføres en overordnet risikovurdering af alle kommunens systemer. Den overordnede risikovurderingen skal opdateres en gang om året i forbindelse med revision af Informationssikkerhedsbeskrivelsen. (Metode til overordnet risikovurdering er under udarbejdelse). [5]

6 Overordnet risikovurdering fortages altid i forbindelse med anskaffelse af alle it-systemer. Ud fra den overordnede risikovurdering vurderes det hvilke systemer, der skal gennemgå en mere detaljeret risikovurdering. (Kriterier for hvilke systemer det skal gælde er under udarbejdelse) Der skal udarbejdes en detaljeret risikoanalyse for forretningskritiske systemer. (Metode til detaljeret risikovurdering er under udarbejdelse). Den detaljerede risikovurdering skal indeholde en generel beskrivelse af den planlagte indsats i forbindelse med risici: sikkerhedsforanstaltninger for tilgængelighed, integritet og tilgængelighed. Resultaterne af den deltaljerede risikovurderingen skal være systematisk og konsekvent dokumenteret. Ejerskab Der udpeges altid en ejer af alle kommunens systemer. I Odder Kommune ejes fagsystemerne af lederen for den afdeling, som er primære udfører på opgaven der løses via fagsystemet. Hvis fagsystemet anvendes af flere afdelinger, så tildeles ansvaret til lederen af den afdeling som har flest brugere af løsningen. It- og Indkøb er ejer af serverplatform, kommunikationslinjer og fællessystemer. Fællessystemer er tværgående "kontorværktøjer" som tekstbehandling, regneark, mailsystem mv. It- og Indkøb sørger for en liste over ejere af fagsystemer og fællessystemer. Denne opdateres løbende. Sikkerhedsbevidsthed (ISO kap. 7) Uddannelse i informationssikkerhed Ved introduktion af nye medarbejdere præsenteres disse for den overordnede informationssikkerhedsstrategi og en kort gennemgang af de overordnede informationssikkerhedsregler. Deltagelse i IT-Intro giver yderligere information om regler. Deltagelse er obligatorisk for medarbejdere, der arbejder på det administrative netværk. Alle administrative it-brugere skal læse og sætte sig ind i kommunens informationssikkerhedsregler. Den løbende kompetenceudvikling og træning af medarbejderne i kommunens informationssikkerhedsbeskrivelse varetages af ledelsen. Ledelsens arbejde understøttes af jævnlige informationer og produkter fra Informationssikkerhedsgruppen, der formidler disse forskellige måder: , video, plakater, rundskrivelser, tests, opslag på kommunens intranet, møder, kampagner mv. Kommunikation om informationssikkerhed Kommunikationsplan for informationssikkerhed er følgende: Ved indførelse af den nye informationssikkerhedsregler orienteres kommunens Stabs- og Virksomhedsledere. Disse har efterfølgende ansvaret for udbredelse og implementering af nye tiltag i deres del af organisationen. Den løbende kommunikation sker efter vurderinger på møder i Informationssikkerhedsgruppen. For hver udmelding omkring informationssikkerhed skal følgende vurderes: - hvornår der skal kommunikeres - modtagere - hvem, der skal kommunikere - hvordan kommunikationen skal foretages (medie/form) - hvad der skal kommunikeres Evaluering og tilsyn og opfølgning på informationssikkerhed (ISO kap. 9) En gang årligt skal der udføres systematisk opfølgning på overholdelse af Informationssikkerhedsbeskrivelsen i organisationen. Resultatet skal rapporteres til direktionen. Den øverste sikkerhedsansvarlige skal overveje resultaterne af den overordnede risikovurdering, risikohåndtering af forretningskritiske systemer, samt muligheder for løbende forbedringer. Dette sker i samarbejde med Informationssikkerhedsgruppen. Informationssikkerhedsgruppen foretager tilsyn og intern kontrol af afdelingernes arbejde med sikkerhed. [6]

7 Den interne kontrol skal sikre, at sikkerhedsbeskrivelsen er velimplementeret i organisationen og at ansvar og regler overholdes. (Så vi er trygge ved, at det virker og at vores indsats giver resultater). Denne kontrol forventes, at ske i forbindelse med ledelsestilsynet, og bør omfatte beskrivelse af årsagen til afvigelser, samt handlingsplan, der er nødvendige for at håndtere afvigelserne (korrigerende handlinger). Kontrollen af sikkerhed for fagsystemer foretages stikprøvevist for de fagsystemer, der udvælges af Informationssikkerhedsgruppen. Outsourcede informationssikkerhedsprocesser styres via Databehandleraftaler og Revisionserklæringer. Informationssikkerhedsgruppen gennemgår og vurderer behov for revision af informationssikkerhedsbeskrivelsen en gang om året. Informationssikkerhedsbeskrivelsen revideres endvidere når de forretningsmæssige behov eller virksomhedens mål ændres. Håndtering af Informationssikkerhedshændelser (ISO kap. 10) Sikkerhedshændelser hos outsourcingleverandør Leverandøren skal registrerer alle sikkerhedshændelser - brud på fortrolighed, tilgængelighed eller integritet, i det outsourcede system. Odder Kommune gennemgår eventuelle sikkerhedshændelser sammen med leverandøren når de opstår. Tilgængelighedshændelser Hændelser, der har indflydelse på tilgængelighed, skal afklares i henhold til gældende driftsaftaler (SLA). Driftshændelser, der ikke kan afklares inden for aftalt tid, skal udløse procedurer for hændelseshåndtering. De ramte brugere og systemejere skal informeres. I tilfælde af afvigelser fra sikringstiltagene, skal chefen for It- og Indkøb træffe korrigerende foranstaltninger og håndtere potentielle konsekvenser af hændelsen. Hændelser, korrigerende handlinger og effekten af korrigerende handlinger aftales på møder i Informationssikkerhedsgruppen og dokumenteres i referater fra møder. Information om sikkerhedshændelser Kommunen skal på faktuel vis informere berørte parter internt og eksternt om eventuelle sikkerhedshændelser. Chefen for It- og Indkøb skal godkende alle meddelelser til de berørte parter. Ved større sikkerhedshændelser er det den øverste sikkerhedsansvarlige, der godkender meddelelser og håndterer evt. presseomtale. Opfølgning på rapporterede sikkerhedshændelser Chefen for It- og Indkøb er ansvarlig for at indsamle de rapporterede sikkerhedshændelser. Behandling af rapporterede sikkerhedshændelser sker på møder i Informationssikkerhedsgruppen. Overtrædelse af informationssikkerhedsregler Det er ledelsens ansvar, at sanktioner for brud på kommunens informationssikkerhed håndhæves konsekvent og i overensstemmelse med gældende lovgivning. Ved overtrædelse informeres lederen af afdelingen af chefen for It- og Indkøb. I samarbejde med den øverste sikkerhedsansvarlige aftales det hvilken sanktion overtrædelsen skal resultere i. Rapportering af informationssikkerhedshændelser It- og Indkøbsafdelingen skal definere telefonnumre, -adresser og elektroniske formularer til rapportering af sikkerhedshændelser. It- og Indkøbsafdelingen skal etablere og vedligeholde en procedure, der sikrer et passende svar til personer, som rapporterer en mulig sikkerhedshændelse. [7]

8 Godkendelse (ISO kap. 11) Organisering og styring af informationssikkerhed i Odder Kommune er godkendt af direktionen den 9. maj 2017 [8]