Organisering og styring af Informationssikkerhed

Transkript

1 Organisering og styring af Informationssikkerhed Version 1/2018

2 Indhold 1. Indledning Organisationens kontekst (ISO kap. 4) Anvendelsesområdet for informationssikkerhedsregler Roller, ansvar og beføjelser i organisationen (ISO kap. 5) Sikkerhedsorganisationen Ledelsens rolle og engagement I-sikkerhedsstyregruppens rolle IT-afdelingens rolle Distribution af informationssikkerhedsbeskrivelsen Risikovurdering og håndtering (ISO kap. 6) Ejerskab Sikkerhedsbevidsthed (ISO kap. 7) Uddannelse i informationssikkerhed Kommunikation om informationssikkerhed Evaluering, tilsyn og opfølgning (ISO kap. 9) Håndtering af sikkerhedshændelser (ISO kap. 9) Sikkerhedshændelser hos outsourcingleverandører Tilgængelighedshændelser Information om sikkerhedshændelser Godkendelse (ISO kap. 11)

3 1. Indledning Den overordnede informationsstrategi skaber rammerne for organiseringen af ansvar og styring af informationssikkerhed, der udmøntes i etableringen af fastsatte regler og procedurer for Nyborg Kommunes informationssikkerhedshåndtering. Dermed etableres der et grundlag for det daglige arbejde med informationssikkerhed inden for kommunens virke. Den samlede informationssikkerhedsbeskrivelse består af tre dele: 1. Den overordnede informationsstrategi godkendes af Byrådet 2. Organisering og styring af informationssikkerhed, der fastlægger ansvar godkendes af Direktionen 3. De konkrete regler og retningslinjer, som vi alle skal overholde i det daglige arbejde. Godkendes af kommunens styregruppe for i-sikkerhed. Både organisering og styring af informationssikkerhed og konkrete regler revideres ved behov inden for rammerne af den overordnede informationsstrategi. Dette dokument beskriver organiseringen af ansvar og styring af informationssikkerheden i Nyborg Kommune. Sammen med den overordnede strategi, en løbende risikovurdering, de udarbejdede regler for informationssikkerhed og selve arbejdet i i- sikkerhedsorganisationen, dannes grundlaget for sikker håndtering af information i Nyborg Kommune. Dokumentet tager udgangspunkt i systematikken fra ISO Ud for hvert hovedafsnit angives hvilket ISO-afsnit, det drejer sig om. Dette for at lette indarbejdelse af de kommende rettelser fra EU-Persondataforordningen og implementeringen af ISO27001 i Nyborg Kommune. 3

4 2. Organisationens kontekst (ISO kap. 4) Nyborg Kommunes administrative organisation består af følgende: Borgmester Kenneth Muhs Direktion Kommunaldirektør Lars Svenningsen (LSV) Vicekommunaldirektør Søren Møllegård (SMH) Direktør Marianne Stentebjerg (MSTE) Personale Leder Maj-Britt Borg Pedersen Ref.: SMH Økonomi & Løn Økonomichef Anders M. Sørensen Ref.: LSV IT IT chef Henrik Dyrhøj Ref.: ANSO Sekretariat, HR, Intern Service, Kantine & Serviceteam Sekretariatschef Tina Andersen Ref.: SMH Social Socialchef Dorthe Dahlstrup Ref.: MSTE Jobcenter Jobcenterchef Louise Berg Ref.: MSTE Teknik og Miljø Vicekommunaldirektør Søren Møllegård Sundhed og Omsorg Sundheds- og ældrechef Mette Bill Ladegaard Ref.: SMH Skole og Kultur Skole- og kulturchef Jan Hermansen Ref.: MSTE Børn Børnechef Torben Birk Rosbach Ref.: MSTE Borgerservice Borgerservicechef Betina Østergreen Ref.: LSV Parter, der er relevante for informationssikkerheden: - Borgere og virksomheder - Ansatte - Datatilsynet - Leverandører og eksterne samarbejdspartnere. Følgende tre målsætninger konkretiserer behov og forventninger fra interne og eksterne parter: 1. Fortrolighed: Borgerne skal til enhver tid kunne stole på, at de trygt kan overlade deres fortrolige data til Nyborg Kommune. Informationssikkerheden skal sikre fortrolig behandling, transmission og opbevaring af data, hvor kun autoriserede brugere har adgang. 2. Integritet: Informationssikkerhedsforanstaltningerne skal sikre pålidelighed, korrekt brug af løsningerne og søge at minimere risikoen for ukorrekt datagrundlag fx som følge af menneskelige og systemmæssige fejl eller udefra kommende hændelser. Det skal sikre borgere og virksomheder tilgængelighed og pålidelig adgang til eksterne systemer via og selvbetjeningsløsninger. 4

5 For de interne systemer skal der sikres stabil drift, og it-anvendelsen skal bygge på korrekte data. Dette for at sikre korrekt service til tiden. 3. Forebyggende sikkerhed: Informationssikkerheden skal implementeres gennem forebyggende tekniske tiltag og informationsaktiviteter, der øger de ansattes kompetencer og viden omkring informationssikkerhed. Tekniske kontroller er væsentlige, men den menneskelige faktor i form af brugeradfærd ses som den største risikofaktor. Den menneskelige faktor kan ikke kontrolleres og er derfor afhængig af de ansattes kompetencer og forståelse for deres rolle i forbindelse med informationssikkerhed. I forhold til ovenstående defineres informationssikkerhed som kommunens samlede foranstaltninger til at sikre fortrolighed, tilgængelighed og integritet. Foranstaltninger inkluderer tekniske, proceduremæssige, regel- og lovmæssige kontroller. Juridiske krav som Nyborg Kommune bestræber sig på at omsætte i forbindelse med informationssikkerhed: Persondataloven Sikkerhedsbekendtgørelsen Persondataforordningen pr. 25. maj 2018 Forvaltningsloven Arkivloven Kontraktlige forpligtelser, der påvirker informationssikkerheden: Kontrakter på løsninger og samarbejde med eksterne parter Databehandleraftaler Licensstyring Ansættelsesbreve (de ansatte bliver allerede ved ansættelsen informeret om kravet om at overholde kommunens regler for informationssikkerhed) Anvendelsesområdet for informationssikkerhedsregler Informationssikkerhedsreglerne gælder alle organisatoriske enheder i Nyborg Kommune: Politikere, administrationen, decentrale enheder og eksterne parter, der har adgang til Nyborg Kommunes informationer. Reglerne gælder informationer både i digital- og i papirform. 5

6 3. Roller, ansvar og beføjelser i organisationen (ISO kap. 5) 3.1. Sikkerhedsorganisationen Informationssikkerhedsstrategien godkendes af Byrådet og varetages af kommunaldirektøren, der er kommunens øverste sikkerhedsansvarlige. Det daglige arbejde udføres i samarbejde med kommunens informationssikkerhedsorganisation, der har ansvaret for at sikre, at strategi, politik og regler er synlig, koordineret og i overensstemmelse med kommunens overordnede principper og mål for informationssikkerhed. Informationssikkerhedsorganisationen består af følgende: Den øverste sikkerhedsansvarlige, chefgruppen og i-sikkerhedsstyregruppen. I-sikkerhedsstyregruppen er dem, der i samarbejde med den øverste sikkerhedsansvarlige, udstikker rammerne for arbejdet, fører tilsyn mv. I-sikkerhedsstyregruppen består af følgende: Sekretariatschef (formand for gruppen) It-chef Databeskyttelsesrådgiver Jurist Digitaliseringskonsulent. Ansvaret for tilsyn og koordination af sikkerhed på tværs i organisationen bæres af den øverste sikkerhedsansvarlige i samarbejde med i-sikkerhedsstyregruppen. Cheferne skal sikre udbredelsen af informationssikkerhedsbeskrivelsen til egne ledere og medarbejdere helt ud i de decentrale enheder - og sikre overholdelsen af informationssikkerheden i de fagspecifikke områder og for systemer inden for deres ansvarsområde. Den tekniske overvågning af systemer foretages af it-afdelingen, der kan udtrække logs af systemerne. Den daglige kontakt vedr. informationssikkerhedshændelser varetages af databeskyttelsesrådgiveren. 6

7 3.2. Ledelsens rolle og engagement Den øverste sikkerhedsansvarlige skal aktivt lede og støtte de medarbejdere, der er ansvarlige for at vedligeholde informationssikkerheden. Ledelsen på alle niveauer skal støtte kommunens informationssikkerhed ved at udlægge klare retningslinjer, udvise synligt engagement og sikre præcis placering af ansvar. Det er ledelsens ansvar at sikre, at alle ansatte: 1. Er tilstrækkeligt informeret om deres roller og ansvar i forbindelse med informationssikkerhed 2. Tilegner sig kompetencer og opmærksomhedsniveau i spørgsmål vedr. informationssikkerhed, der er i overensstemmelse med deres roller og ansvar i kommunen. Herudover skal ledelsen sikre varetagelsen af sikkerheden for de systemer, som de er systemejere og ansvarlige for. Oversigten kan ses på kommunens intranet: Ledelsen skal endvidere kommunikere betydningen af at overholde kravene til informationssikkerhed aktivt fremme og støtte løbende forbedringer af informationssikkerheden I-sikkerhedsstyregruppens rolle Det daglige tilsyn og styring af informationssikkerheden udføres af kommunens i-sikkerhedsstyregruppe. I-sikkerhedsstyregruppen sikrer i samarbejde med den øverste sikkerhedsansvarlige vedligeholdelse af den samlede informationssikkerhedsbeskrivelse: Strategi, Organisering og Styring og diverse regelsæt. Ligeledes sikrer de den løbende risikovurdering og information til ledelsen omkring informationssikkerhed. Kommunens digitaliseringsgruppe holdes løbende opdateret. I-sikkerhedsstyregruppen mødes hver måned og straks i forbindelse med alvorlige hændelser. 7

8 Ligeledes sikrer styregruppen den løbende risikovurdering og sikrer den information, der skal støtte kommunens ledelse i deres arbejde med informationssikkerhed IT-afdelingens rolle Håndtering af nedbrud på IT-løsninger mv. varetages af IT-afdelingen. Ved kritiske IT-nedbrud indkaldes kriseberedskabet jf. bilag A8-B9-C3 Nødberedskab for it-anvendelsen. Det er it-chefen, der i de enkelte tilfælde beslutter, hvorvidt kriseberedskabet skal igangsættes Distribution af informationssikkerhedsbeskrivelsen Informationssikkerhedsbeskrivelsen skal kommunikeres ud i organisationen. Dette sker via kontaktpersoner i de enkelte afdelinger, via behandling i MED-organisationen, på ledergruppemøder, afdelingsmøder mv. Informationssikkerhedsbeskrivelsen skal være tilgængelig for alle relevante parter. Beskrivelsen publiceres på kommunens intranet for medarbejdere og på kommunens hjemmeside for borgere og virksomheder. I forbindelse med indgåelse af samarbejdsaftaler med IT-leverandører og eksterne parter henvises der til informationssikkerhedsbeskrivelsen for at sikre, at deres sikkerhedsniveau som minimum svarer til kommunens niveau. 4. Risikovurdering og håndtering (ISO kap. 6) Der skal udføres en overordnet risikovurdering af alle kommunens systemer. Den overordnede risikovurdering skal opdateres en gang om året i forbindelse med revision af informationssikkerhedsbeskrivelsen. Overordnet risikovurdering foretages altid i forbindelse med anskaffelse af nyt it-system. Ud fra den overordnede risikovurdering, vurderes det hvilke systemer, der skal gennemgå en mere detaljeret risikovurdering. Den detaljerede risikovurdering skal indeholde en generel beskrivelse af den planlagte indsats i forbindelse med risici: Sikkerhedsforanstaltninger for tilgængelighed, integritet og tilgængelighed. Resultaterne af den detaljerede risikovurdering skal være systematisk og konsekvent dokumenteret. 8

9 4.1. Ejerskab Der udpeges altid en systemejer af alle kommunens systemer. I Nyborg Kommune ejes fagsystemerne altid af chefen/lederen for den afdeling, som er primære udfører på opgaven, der løses via systemet. Hvis fagsystemet anvendes af flere afdelinger, så tildeles ansvaret til chefen/lederen af den afdeling, som har flest brugere af løsningen, eller hvor systemet logisk bør være forankret. It-afdelingen er systemejer af serverplatform, kommunikationslinjer og fællessystemer (der dækker bredt i organisationen fx outlook). I-sikkerhedsstyregruppen sørger løbende for at holde system- og konsekvensejeroversigten opdateret. 5. Sikkerhedsbevidsthed (ISO kap. 7) 5.1. Uddannelse i informationssikkerhed Ved introduktion af nye medarbejdere præsenteres de for kommunens informationssikkerhedsregler. Det er ligeledes obligatorisk, at alle nye medarbejdere i løbet af den første tid gennemgår et e-learningsforløb i informationssikkerhed. Dette kursus gentages derefter en gang årligt. Alle administrative it-brugere skal læse og sætte sig ind i kommunens informationssikkerhedsregler. Den løbende kompetenceudvikling og træning af medarbejderne i kommunens informationssikkerhedsbeskrivelse varetages af den enkelte leder. Ledelsens arbejde understøttes af jævnlige informationer og produkter fra i-sikkerhedsstyregruppen, der formidler disse på forskellige måder: , video, plakater, test, opslag på intranettet, møder, kampagner mv. Der bliver ligeledes udbudt korte interne kurser i informationssikkerhed Kommunikation om informationssikkerhed Kommunikationsplan for informationssikkerhed er følgende: Ved indførelse af nye regler, orienteres chefgruppen. Disse har efterfølgende ansvaret for udbredelse og implementering af nye tiltag i deres del af organisationen. Den løbende kommunikation sker efter vurderinger på møder i i-sikkerhedsstyregruppen. For hver udmelding omkring informationssikkerhed skal følgende vurderes: 9

10 Hvornår skal der kommunikeres? Modtagere? Hvem, der skal kommunikere? Hvordan kommunikationen skal foretages (medie/form) Hvad der skal kommunikeres? 6. Evaluering, tilsyn og opfølgning (ISO kap. 9) En gang årligt skal der udføres systematisk opfølgning på overholdelse af informationssikkerhedsbeskrivelsen i organisationen. Resultatet skal rapporteres til Direktionen. Den øverste sikkerhedsansvarlige skal overveje resultaterne af den overordnede risikovurdering, risikohåndtering af forretningskritiske systemer og mulighed for løbende forbedringer. Dette sker i samarbejde med i-sikkerhedsstyregruppen. I-sikkerhedsstyregruppen foretager tilsyn og intern kontrol af afdelingernes arbejde med sikkerhed. Den interne kontrol skal sikre, at sikkerhedsbeskrivelsen er velimplementeret i organisationen, og at ansvar og regler overholdes (så vi er trygge ved, at det virker, og at vores indsats giver resultater). Denne kontrol forventes at ske i forbindelse med ledelsestilsynet, og bør omfatte beskrivelsen af evt. årsag til afvigelser og handlingsplan, der er nødvendig for at håndtere afvigelserne (korrigerende handlinger). Kontrollen af sikkerhed for fagsystemerne foretages stikprøvevist for de fagsystemer, der udvælges af i-sikkerhedsstyregruppen. Borgerservice følger særskilte retningslinjer for logning. Outsourcede informationssikkerhedsprocesser styres via databehandleraftaler og revisionserklæringer. I-sikkerhedsstyregruppen gennemgår og vurderer behov for revision af informationssikkerhedsbeskrivelsen en gang om året. Den revideres altid når de forretningsmæssige behov eller kommunens mål ændres. Databeskyttelsesrådgiveren afgiver én gang årligt sin beretning til byrådet. 10

11 7. Håndtering af sikkerhedshændelser (ISO kap. 9) 7.1. Sikkerhedshændelser hos outsourcingleverandører Leverandøren skal registrere alle sikkerhedshændelser: Brud på fortrolighed, tilgængelighed eller integritet i det outsourcede system. Nyborg Kommune gennemgår eventuelle sikkerhedshændelser sammen med leverandøren, hvis de opstår Tilgængelighedshændelser Hændelser, der har indflydelse på tilgængelighed, skal afklares i henhold til gældende driftsaftaler (SLA). Driftshændelser, der ikke kan afklares inden for aftalt tid, skal udløse procedurer for hændelseshåndtering. De ramte brugere og systemejere informeres. I tilfælde af afvigelser fra sikringstiltagene, skal it-chefen træffe korrigerende foranstaltninger og håndtere potentielle konsekvenser af hændelsen. Hændelser, korrigerende handlinger og effekten af korrigerende handlinger aftales på møder i i-sikkerhedsstyregruppen og dokumenteres i referater Information om sikkerhedshændelser Kommunen skal på faktuel vis informere berørte parter internt og eksternt om eventuelle sikkerhedshændelser. Sikkerhedsbrud skal anmeldes til Datatilsynet inden for 72 timer. Dette foretages via kommunens databeskyttelsesrådgiver. 8. Godkendelse (ISO kap. 11) Organisering og styring af informationssikkerhed er godkendt i Direktionen 21. marts

12 Torvet Nyborg Evt. spørgsmål kan rettes til : Sekretariatschef Tina Andersen,