Hillerød Kommune. IT-sikkerhedspolitik Bilag 2. Opfølgning på lovbestemte krav

Transkript

1 IT-sikkerhedspolitik Bilag 2 November 2004

2 Indholdsfortegnelse 1 Formål Ansvar og roller Byrådet Kommunaldirektøren/ Direktionen Ledere, fagchefer mv It gruppen, It og sekretariat Medarbejdere Samarbejdspartnere og leverandører Overholdelse af lovmæssige krav Lov om personoplysninger Ophavsret m.v Intern kontrol og revision Definitioner og forkortelser Referencer...6 Side 2 af 7

3 1 Formål Mange aspekter af Hillerød Kommunes virke er omfattet af lovgivning. Formålet med dette bilag til it-sikkehedspolitikken er at sikre at Hillerød Kommune overholder gældende lovgivning, og fx foretager indrapportering som foreskrevet til offentlige myndigheder. i forhold til persondataloven mv. 2 Ansvar og roller Nedenfor er roller og ansvar beskrevet. 2.1 Byrådet Byrådet er ansvarlig for godkendelse af hoveddokumentet til it sikkerhedspolitikken, som dette dokument er et bilag til. Bilaget bliver ikke behandlet af byrådet. 2.2 Kommunaldirektøren/ Direktionen Kommunaldirektøren er ansvarlig for udformningen og implementering af de nødvendige forretningsgange, der understøtter dette bilag. 2.3 Ledere, fagchefer mv. Som leder mv. er du ansvarlig for, at retningslinjerne i dette bilag til it sikkerhedspolitikken bliver fulgt af medarbejderne på dit eget område. 2.4 It gruppen, It og sekretariat Som medlem af it gruppen er du i samarbejde med It og sekretariat ansvarlig for at sikre at sikkerhedsniveauet kontrolleres gennem løbende revisioner af it sikkerhedspolitikken, fx ved at bilagene til it sikkerhedspolitikken behandles mindst 2 gange årligt af it gruppen. Som medlem af it gruppen er du ansvarlig for at it sikkerhedspolitikken efterleves på eget direktørområde. It og sekretariat har ansvaret for at sikre at dette bilag til it sikkerhedspolitikken bliver opdateret. 2.5 Medarbejdere Som medarbejder er du ansvarlig for at følge retningslinjerne i it sikkerhedspolitikken. Alle retningslinier der vedrøre medarbejdere er opført i bilag 1. Enhver afvigelse fra dette bilag skal du som medarbejder rapportere til it og sekretariat også, hvis det sker hos dine kollegaer, leverandører mv. Side 3 af 7

4 2.6 Samarbejdspartnere og leverandører Som samarbejdspartner, leverandør mv. er du forpligtet til at følge retningslinierne dette bilag. Fremtidige eller nuværende systemejere har ansvaret for at videregive informationer om Hillerød Kommunes it sikkerhedspolitik Overholdelse af lovmæssige krav Identifikation af relevant lovgivning Direktørerne er for eget område ansvarlige for at identificere lovgivning der er relevant for Hillerød Kommunes drift, eller udpege en person der er ansvarlig for denne opgave. For it sikkerheden i Hillerød Kommune er den relevante lovgivning primært lov om behandling af personoplysninger. Anden lovgivning kan have betydning såsom: Forvaltningsloven, lovgivning om ophavsret, lovgivning om markedsføring, bogføringsloven, straffeloven (brevhemlighed mv.). It og sekretariat er ansvarlig for at it sikkerhedspolitikken incl. bilag gennemgås en gang hvert år med henblik på at sikre, at de interne sikkerhedsbestemmelser er fyldestgørende, lever op til lovens krav og afspejler de faktiske forhold i Hillerød Kommune. Herunder er kravene fra Lov om personoplysninger angivet. 3.2 Lov om personoplysninger Anmeldelse af behandling af personoplysninger Enkelt registre skal ikke anmeldes til Datatilsynet, men det skal de processer, hvor registre eller anden behandling af personoplysninger foregår. Byrådssekretariatet har ansvaret for kommunens anmeldelser til Datatilsynet. Byrådssekretariatet opdaterer en gang årligt lister med de af kommunens arbejdsgange der er relevante for anmeldelsen til Datatilsynset. It og sekretariat har ansvaret for at de nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger (Persondataloven, sikkerhedsbekendtgørelsen nr. 528) virker for de tværgående centrale systemer og for evt. instrukser og aftaler med eksterne databehandlere på centrale systemer. Fagcheferne er ansvarlige for de nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger (Persondataloven, sikkerhedsbekendtgørelsen nr. 528) på de decentrale fagsystemer, og for evt. instrukser og aftaler med eksterne databehandlere. It og sekretariat vil om nødvendigt være behjælpelig med tolkningen af de persondatalovens sikkerhedsbekendtgørelse. Side 4 af 7

5 3.2.2 Lovens formål mv. Loven gælder for behandling af personoplysninger, når det sker ved hjælp af edb eller oplysningerne indgår eller vil indgå i et register. Ved behandling forstås enhver form for håndtering af oplysningerne, f.eks. indsamling, registrering, systematisering, opbevaring, brug, videregivelse, samkøring og sletning. Persondataloven skelner mellem almindelige personoplysninger, følsomme oplysninger og andre følsomme oplysninger Behandling af almindelige person oplysninger Almindelige personoplysninger kan f.eks. være identifikationsoplysninger eller oplysninger om økonomiske forhold. Disse oplysninger må behandles, når der foreligger et udtrykkeligt samtykke fra den registrerede eller behandlingen f.eks. er nødvendigt af hensyn til udførelsen af en opgave der henhører under Hillerød Kommunes myndighedsudøvelse Behandling af følsomme oplysninger. Ved særlige følsomme oplysninger forstås oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold og oplysninger om helbredsmæssige og seksuelle forhold. Sådanne oplysninger må kun behandles, når der foreligger et udtrykkeligt samtykke fra den registrerede eller behandlingen f.eks. er nødvendig for at et retskrav kan fastlægges Behandling af andre følsomme oplysninger Andre følsomme kan f.eks. være oplysninger om strafbare forhold eller væsentlige sociale problemer. Disse oplysninger må behandles, hvis betingelserne for de under pkt nævnte oplysninger er opfyldt eller hvis det er nødvendigt for varetagelsen af Hillerød Kommunes opgaver. Oplysningerne må ikke videregives, medmindre der foreligger et udtrykkeligt samtykke eller hvis videregivelsen f.eks. er nødvendig for en myndigheds virksomhed eller en afgørelse som myndigheden skal træffe. Vær opmærksom på, at der gælder særlige regler for det sociale område Opbevaring og behandling af personoplysninger Der må ikke behandles personoplysninger af rent private forhold på en medarbejders private pc. Der må ikke behandles personoplysninger på transportable pcere, undtaget er transportable pcere som er forsynet med kryptering af hardisken. Vær opmærksom på at det kun er it og sekretariat der må installerer kryptering Sikring af kommunens data Kommunens lovbestemte data skal opbevares og behandles således at data tab, uautoriseret modifikation og forfalskning undgås. It og sekretariat er ansvarlig for at personoplysninger, som er af særlig interesse for fremmed magter, kan bortskaffes eller tilintetgøres i tilfælde af krig. Side 5 af 7

6 3.3 Ophavsret m.v Administration af software licenser Registrering af software licenser sker gennem it og sekretariat. Det er Direktørområdernes overordnede ansvar at der et tilstrækkeligt antal licenser. 3.4 Intern kontrol og revision Sikkerhedstest af it systemer It og Sekretariat skal: mindst fire gange om året udføre uddybende sikkerhedstest af sikkerhedsniveauet på internt netværksudstyr og servere. minimum månedligt foretage sikkerhedstest af Hillerød Kommunes netværk. 4 Definitioner og forkortelser Internet: World Wide Web: Kryptering: Uopfordret: Tilgængelighed: Integritet Fortrolighed: Kort for elektronisk post, transmissionen af beskeder over kommunikationsnetværk. Et globalt elektronisk netværk der forbinder computere. Repræsenterer et system af internet servere der supporterer dokumenter der har et specielt format kaldet HTML (HyperText Markup Language). Dette sprog supporterer links til andre dokumenter såvel som grafik, audio og video filer. Kryptering af data medfører at indholdet præsenteres i et uigenkendeligt format modsat klartekst. Kryptering bruges til opbevaring og transmittering af data, og dekryptering sker typisk ved angivelse af adgangskode. Enhver henvendelse, modtageren ikke på forhånd har anmodet om. Sikkerhed for at brugere kan tilgå information. Forebyggelse af uautoriseret ændring af information. Forebyggelse af uautoriseret afsløring af information. 5 Referencer Dansk standard for edb-sikkerhed, DS Side 6 af 7

7 British Standard for information security, BS 7799 Hillerød Kommune, IT-sikkerhedspolitik, marts 2003 Side 7 af 7