Overordnet Informationssikkerhedspolitik

Transkript

1 Overordnet Informationssikkerhedspolitik Denne politik er godkendt af byrådet d. 4. juni 2018 Ved udskrivning af politikken skal du være opmærksom på, at du anvender senest godkendte version. Acadre sagsnr. 18/12498 Telefon Telefax

2 1. Indledning Byrådet har fastlagt denne informationssikkerhedspolitik 1 som den overordnede ramme for opretholdelse af informationssikkerheden i Esbjerg Kommune. Informationssikkerhedspolitikken skal sikre, at kommunens informationssikkerhed til stadighed overholder alle lovmæssige krav og opfylder såvel egne som eksterne interessenters krav. Sikkerheden omkring informationsaktiverne er afgørende for kommunens daglige drift og målsætninger. Effektiviseringer og kvalitetsforbedringer baseres i stadig højere grad på digitale løsninger. Det gælder både velfærd, administrative processer og borgerservice. Dermed er risikobilledet i konstant forandring, og det stiller krav om, at kommunen kontinuerligt tilpasser informationssikkerheden. Hvis informationssikkerheden er utilstrækkelig, kan det skade kommunens omdømme og medføre, at effektiviseringer og kvalitetsforbedringer må opgives. I nogle tilfælde kan brud på informationssikkerhed også få menneskelige konsekvenser. Informationssikkerhed har således i mere end én forstand vital betydning for kommunen. Informationssikkerhedspolitikken er bygget op i tre niveauer: En overordnet informationssikkerhedspolitik (denne politik), der beskriver rammer, mål og overordnet organisering af informationssikkerhedsindsatsen. En operationel informationssikkerhedspolitik, hvor organisering, ansvar og roller, samt informationssikkerhedsstrategien er præciseret. Retningslinjer, som beskriver risikohåndtering på udvalgte områder, med udgangspunkt i arbejdsprocesser, medarbejderpolitikker og tekniske og fysiske forhold. 2. Formål Formålet med informationssikkerhedspolitikken i Esbjerg Kommune er at beskytte informationer og systemer, uafhængigt af hvor disse findes, oparbejdes og drives, så kommunen fremstår som en betroet og kompetent samarbejdspartner og myndighed. Indsatsen skal tilgodese følgende behov: at følsomme og fortrolige informationer beskyttes, så de forbliver hemmelige for alle personer, der ikke har ret til at kende dem, at informationer er korrekte og fuldstændige, at anvendte it-services fungerer korrekt, og at informationer og it-services er tilgængelige, når autoriserede brugere har behov for det. Med andre ord skal politikken bidrage til at opretholde fortrolighed, integritet og tilgængelighed (FIT) af informationer og minimere risikoen for sikkerhedsbrud. 1 Det bemærkes, at nærværende politik i sin seneste version har ændret navn fra it-sikkerhedspolitik til informationssikkerhedspolitik. Henvisninger til kommunens informationssikkerhedspolitik skal derfor forstås som henvisninger til nærværende informationssikkerhedspolitik

3 3. Informationssikkerhedspolitik Den internationale standard ISO anvendes som reference og grundlag for informationssikkerhedsarbejdet. Det indebærer, at kommunen følger principperne i standarden. Informationssikkerhedsindsatsen skal opfylde nedenstående delmål: 1. Overholdelse af lovgivning og eksterne krav. Informationsanvendelsen skal overholde gældende lovgivning og eksterne krav. 2. Sikker drift. Der skal sikres et driftsmæssigt stabilt, sikkert, let tilgængeligt og funktionelt it-serviceniveau, hvor data er tilgængelige og beskyttet efter følsomhed og betydning for kommunen og for registrerede 2. Kritiske it-driftsprocesser skal være formaliseret og systematisk overvåget. 3. Fysisk sikkerhed. På steder hvor informationer, systemer, infrastruktur og data anvendes og opbevares, skal der etableres en passende fysisk sikkerhed mod eksempelvis brand, vandskade, tyveri, hærværk, skader forårsaget af menneskelige fejl mv. Driftsmiljøet og vigtige arbejdsgange skal kunne videreføres inden for en af ledelsen besluttet tidshorisont. 4. Adgang og rettigheder til data og systemer. Fortrolige, følsomme og kritiske informationsaktiver skal beskyttes mod uautoriseret adgang og ændring. Det gælder såvel kommunens egne som andres. 5. Projekter. Anskaffelse, udvikling og vedligeholdelse af it-systemer må ikke afvige fra det af kommunen fastsatte sikkerhedsniveau. Projekt- og ændringsstyring skal være formaliseret, og kritiske projekter kræver en ledelsesgodkendt risikovurdering. 6. Håndtering af sikkerhedshændelser. Der skal ske en systematisk registrering af hændelser og etableres en parathed og et beredskab, så skaden for kommunen og for registrerede ved kritiske hændelser holdes på et minimum. 7. Beredskabsstyring. Der skal etableres et grundlag for videreførelse af kommunens kritiske opgaver i en undtagelsestilstand. 8. Sporbarhed. Adgang til og ændring af fortrolige, følsomme eller kritiske informationsaktiver skal kunne spores til personen, der har foretaget handlingen. 9. Evaluering. Informationssikkerhedsindsatsen skal evalueres mindst én gang årligt og ved væsentlige organisatoriske, tekniske eller fysiske ændringer. Informationssikkerhedspolitikken, retningslinjer og instrukser skal være tilgængelige for alle medarbejdere, og de skal være indarbejdet i relevante publikationer, herunder medarbejderpolitikker, håndbøger, stillingsbeskrivelser mv. Sikkerhedsniveauet fastlægges på baggrund af en risikovurdering og under hensyn til lovbestemte krav. Ved etablering af sikkerhedsforanstaltninger, skal effektivitets- og fleksibilitetspåvirkninger medtænkes. Esbjerg Kommunes politikker, retningslinjer, instrukser og indsats skal være tilpasset det aktuelle risikobillede. 2 Registrerede forstås her som borgere og medarbejdere, hvis oplysninger behandles af kommunen

4 4. Dækningsområde Informationssikkerhedspolitikken gælder for alle direktørområder, institutioner og selvejende institutioner ved Esbjerg Kommune samt for eksterne brugere, politikere, samarbejdspartnere og leverandører. Informationssikkerhedspolitikken regulerer den indsats, der er nødvendig for at beskytte væsentlige informationsaktiver i bredest mulig forstand, herunder: Fagsystemer, der gør arbejdsgange mere effektive, øger kvaliteten/korrektheden af en myndighedsopgave eller giver en bedre service til borgere og erhvervsliv. Informative systemer, som danner, opsamler og organiserer information til forskellige formål, herunder ledelsesbeslutninger, implementerer styringsprincipper i henhold til Esbjerg Kommunes organisationshåndbog, styrker kommunikationen internt og eksternt, og sikrer dokumentation for efterlevelse af lovgivning mv. Strategisk vigtige it-investeringer, der er med til også fremadrettet at fastholde Esbjerg Kommunes omdømme som en troværdig organisation og til at realisere kommunens mål. Infrastrukturen, der er fundamentet for digitaliseringen af kommunen. Papirbaserede arkiver og dokumenter, som har stor værdi og rummer fortrolige og følsomme oplysninger. Digitale velfærdsteknologier, herunder sensorer, robotter, telemedicineringsudstyr og talegenkendelse. 5. Organisation og ansvar Alle kommunens ansatte har et medansvar for opretholdelse af den generelle informationssikkerhed. Ansvaret for informationssikkerheden i Esbjerg Kommune skal være præcist og entydigt beskrevet med udgangspunkt i nedenstående overordnede organisering: Byrådet godkender og vedligeholder den overordnede informationssikkerhedspolitik efter indstilling fra direktionen. Kommunaldirektøren godkender i samråd med direktionen den operationelle informationssikkerhedspolitik. Direktører og afdelingschefer har inden for eget område ansvar for implementering og opfølgning på efterlevelse af informationssikkerhedspolitikken. Digitaliserings- og It-chefen leder og organiserer informationssikkerhedsindsatsen i henhold til årsplanen for informationssikkerhed, med reference til kommunaldirektøren. Krav til brug af værktøjer aftales med kommunaldirektøren. Digitaliserings- og It-chefen godkender nyanskaffelser, digitale samarbejder, dispensationer og behandler sager om informationssikkerhedsbrud. Ved brud på persondatasikkerheden behandles sager i samarbejde med databeskyttelsesrådgiveren. Er der tale om væsentlige sikkerhedsbrud, skal kommunaldirektøren og hvis relevant databeskyttelsesrådgiverens styregruppe informeres

5 It-strategigruppen har det overordnede ansvar for, at informationssikkerhedspolitikken er kendt på alle ledelsesniveauer og gennemføres hensigtsmæssigt og effektivt, samt at politikken svarer til det aktuelle behov. Databeskyttelsesrådgiveren (DPO en) understøtter, at kommunen overholder de databeskyttelsesretlige regler og sikrer koordinering til direktørområderne. DPO en har ret og pligt til at rapportere til kommunaldirektøren, når hensynet til databeskyttelse nødvendiggør det. DPO en er ikke personligt ansvarlig for brud på databeskyttelsesforordningen. DPO en indgår i Informationssikkerhedsfunktionen i. For alle væsentlige informationsaktiver identificeres en ejer med ansvar for sikkerheden omkring aktivet. 6. Evaluering Digitaliserings- og It-chefen rapporterer én gang årligt status til kommunaldirektøren. Kommunaldirektøren beslutter, i samråd med Digitaliserings- og It-chefen og direktionen, på hvilken måde informationssikkerhed skal indarbejdes i direktionens og andre relevante årsplaner, og hvordan informationssikkerhedsindsatsen konkret skal evalueres. Informationssikkerhedspolitikken revideres hvert fjerde år og godkendes af det nye byråd. Politikken skal desuden godkendes af byrådet, hvis der sker væsentlige organisatoriske forandringer. Overtrædelser Overtrædelser af kommunens informationssikkerhed eller andre bestemmelser, som er udmøntet heraf, vil blive behandlet af ledelsen afhængig af karakteren af overtrædelsen