Projekt Formål Leverance beskrivelse Leverance frigives Status Kontakt

Transkript

1 Baseline Analyse Revision af KLs spørgeramme i Baseline analysen 2. Baseline analyse med besvarelse i kommunerne 23. november december 2017 Opdatere spørgeramme med GDPR spørgsmål, fjerne evt. spørgsmål, der ikke mere er gældende og tilbagemeldinger fra kommunerne fra 2. Baseline analyse nov/december november 2018 Leverancen er leveret i 2016 og 2017 Baseline analyse og spørgeramme målrettet folkeskolerne* Resultater fra 2. Baseline undersøgelse* Resultater fra baseline analyse målrettet skolerne * Øge informationssikkerheden i folkeskolen samt give mulighed for dialog og samarbejde med de kommunale kontaktpersoner i Sikkerhedsprogrammet. Kommunerne kan måle, om de har øget sikkerheden siden 1. analyse fra 2016 på de områder, den enkelte kommune eller kommunale fælleskaber har valgt at have fokus på. Kommunerne kan måle status på deres informationssikkerhed på skoleområdet. Udvikle spørgeramme målrettet folkeskolen Kommunens Baseline Portal indeholder resultater fra både 1. og 2. Baseline analyse inkl. opdateret brugergrænseflade med udvidede rapporteringsværktøjer til den kommunale ledelse. Baseline analysen foretages i 2016, 2017, 2018 og Der afholdes kommunedage efterfølgende med afsæt i analyse og effekten af de fælleskommununale indsatser. Kommunens Baseline Portal for skoleområdet indeholder resultatet fra baseline analyse. Den enkelte skole kan bl.a. se sit resultat i forhold til kommunale eller nationale gennemsnit. Uge Ny leverance dato, da baseline analyse målrettet skolerne gennemføres umiddelbart efter 2. baseline analyse Primo februar 2018 Leverancen er leveret i 2016 med besvarelse af alle 98 kommuner Jette Larsson Ultimo februar 2018 Ny Jette Larsson Fælleskommunal afrapportering for 1. og 2. Baseline analyse * Sikkerhedsprogrammets status på de fælleskommunale indsatsområder Digital ledelsesrapport Ultimo marts 2018 Leverancen leveres i årene 2018, 2019 og 2020 Side 1 af 10

2 Awareness Awareness om informationssikkerhed i kommunerne ISO Version 1 af information om hvordan man kommer godt i gang med implementering af ISO27001 principperne KL og HK Kommunal har i regi af Fremfærd Borger startet et fælles projekt med fokus på, hvordan der skabes en sikkerhedskultur i den kommunale organisation, der dels understøtter en helhedskultur og dels sikrer borgernes retssikkerhed i forvaltningen af persondataoplysninger, herunder hvordan dette konkret udmøntes i kompetenceprofiler for forskellige medarbejdergrupper i kommunen. Information til brug ved implementering af ISO principperne og den risikobaserede tilgang til informationssikkerhed Projektet har inddragelse og involvering af et antal (best practice) kommuner/ forvaltninger inden for håndtering af informationssikkerhed med det formål, at få: beskrevet Best Practice cases og kompetenceprofiler udarbejdet en værktøjskasse og kommunikationspakke til inspiration for alle kommuner med henblik på at imlementere en sikkerhedskultur med en høj grad af awareness. Leverancen består af skriftlige artikler, en publikation, procesværktøjer/metoder til forankring af adfærd, oplæg og nyhedsartikler. Informationen indeholder beskrivelse af en metode og en proces for implementering af den risikobaserede tilgang til informationssikkerhed. Succesivt i perioden december december 2018 På plan - Fokusgruppeinterviews med 7 kommunernes Borgerservice ledere, medarbejdere og helpdesk medarbejdere er gennemført i de respektive kommuner. Der har været afholdt et fælles seminar med opsamling på de lokale interviews. Leverancerne består af artikler og værktøjskasser til brug for medarbejdere og ledelse. Projektbeskrivelse: /Projektbeskrivelse%20- %20u.%20%C3%B8k.%20- %20Awareness%20.pdf Q Leveret Jette Larsson Skabeloner og eksempler til brug for implementering af den risikobaserede tilgang til informationssikkerhed Præsentation der beskriver implementering af informationssikkerhed rettet mod forvaltningsledelsen/daglig ledelse At stille en værktøjskasse til rådighed baseret på de tilbagemeldinger Sikkerhedsprogrammet har modtaget via Baseline Analysen og Sikkerhedsprogrammet netværk og referncegrupper. Præsentation som beskriver hvordan informationssikkerhed kan implementeres, og hvor der er mulighed for lokal tilpasning. Eksempel på et SOA dokument, eksempler på trusselskatalog, eksempel på konsekvenstyper og skala til vurdering, beskrivelse af sandsynlighed og eksempel på skabelon til opsamling af risici Med udgangspunkt i informationen om hvordan man kommer godt i gang med implementeringen af ISO principperne laves en præsentation, der kan anvendes til at præsentere metoden og processen i den kommunale ledelse. Q Leveret Jette Larsson Q Leveret Jette Larsson Side 2 af 10

3 Version 2 af information om hvordan man kommer godt i Informationen udbygges med vejledning i Q Jette Larsson leverandørstyring, hændelseshåndtering gang med implementering af ISO27001 principperne * og beredskabsplanlægning. Information til brug ved implementering af ISO principperne og den risikobaserede tilgang til informationssikkerhed. Ny leverance dato. Leverancen forventes frigivet løbende. Tidspunkt afhænger af hvornår der foreligger nationale vejledninger til brug for version 3 af information, da version 3 har højeste prioritet. Version 3 af information i hvordan man kommer godt i gang med implementering af ISO27001 principperne * Information til brug ved implementering af ISO principperne og den risikobaserede tilgang til informationssikkerhed. Informationen udbygges med forslag til evaluering, opfølgning og ledelsesrapportering, herunder årshjul med opfølgning, evaluering og løbende forbedringer af tilbagevendende aktiviteter. Årshjul og ledelsesrapportering kobles til databeskyttelsesforordningen. Materialet leveres i en minimumsudgave svarende til hvad GDPR kræver for at være lovmedholdelig. Q Ny leverance dato. Tidspunktet Jette Larsson for leverancerne afhænger af, hvornår der foreligger nationale vejledninger. Denne leverance har højeste prioritet version 2 leverancen Version 4 af information i hvordan man kommer godt i gang med implementering af ISO27001 principperne * Information til brug ved implementering af ISO principperne og den risikobaserede tilgang til informationssikkerhed. Version 3 materialet udbygges så det indeholder information ud over hvad GDPR kræver for at være lovmedholdelig. Q Ny leverance Jette Larsson Side 3 af 10

4 Rammearkitektur Udvidelse af KLs emnesystematik så personoplysninger kun opbevares så længe, det er nødvendigt * Åbne op for, at kommuner kan stille krav til leverandører af ESDH og fagsystemer om at understøtte vurdering af behov for sletning eller anonymisering af oplysninger. Og for at KOMBIT kan indlægge funktionalitet i K98-systemer. Løsningen er under udarbejdelse. Q Forsinket. Forventet Q Dan Bjørneboe KLs blanketsamling opdateres løbende - herunder også i forhold til samtykke Sikring af overholdelse af databeskyttelsesfordningens krav ved indkøb af nye it-systemer * Sikre blanketstøtte til forordning. At sikre overholdelse af databeskyttelsesfordningens krav ved indkøb af nye it-systemer. Der bliver muligt på samtykkeerklæringer at udfylde DPO'ens kontaktoplysninger til brug for borgere. Sikkerhedsporgrammet vil bygge videre på det materiale kontoret for Arbejdsgange og IT-arkitektur er i gang med at udarbejde. Sikkerhedsprogrammet sørger for gennem løbende dialog, at videndele med KOMBIT. Næste statusmøde med KOMBIT i Januar 2018 skulle gerne afgrænse KL's leverance op imod KOMBIT's leverancer. Løbende Q Koordinering med KOMBIT pågår Dan Bjørneboe Charlotte Fjeldberg / Dan Bjørneboe Implementering af persondataforordning Udarbejdelse af fællesfortegnelser Fælleskommunalt initiativ med at efterleve forordningens krav om dækkende fortegnelser. KL har udarbejdet fællesfortegnelser med input fra referencegruppen. Fællesanmeldelserne har i en vis udstrækning kunnet genbruges, idet de ikke dækker al behandlingsaktivitet. KL har præsenteret fortegnelserne for Datatilsynet og efterspurgt i den relevante vejledning en nærmere afklaring af visse indholdskrav. KL har ikke kunnet standardisere alle forhold, hvorfor den enkelte kommune har en opgave i at foretage efterbehandling af KL's fortegnelser. KL vedsender en vejledning i, hvad kommunerne selv skal udfylde. Leverancen er frigivet december 2017 i ver. 1.0 uagtet den forventede offentliggørelse af Justitsministeriets vejledning om fortegnelser ikke er frigivet november jf. den officielle tidsplan. Er leveringsklar og frigivet til kommunerne med forbehold for evt. ændringer, når Justitsministeriets vejledning om fortegnelser frigives (der var planlagt offentliggjort november 2017) Charlotte Fjeldberg Side 4 af 10

5 At give en indføring i både rådgiverens KL er i gang med at søge de fornødne Q1-Q Afventer tilbagemelding på, om Charlotte Fjeldberg Kursus vedr. databeskyttelsesrådgiver * opgaver og pligter efter forordningen midler til at kunne realisere denne de ansøgte midler til opbygning samt igennem gode eksempler og indhøstede erfaringer fra en erfaren sikkerhedskoordinator. At klæde rådgiveren på til at stimulere sikkerhedsarbejdet og øge organisationens modenhedsniveau på udvalgte sikkerhedsområder. leverance. af kurset bevilliges. E-læring * At give kommunalt ansatte, et overordnet indblik i datbeskyttelsesforordningen med fokus på nye tiltag - f.eks. DPO'ens rolle/funktion, fortegnelser etc. KL er i gang med at søge de fornødne midler til at kunne realisere denne leverance. Q Ny - Afventer tilbagemelding på, om de ansøgte midler til opbygning af kurset bevilliges. Kursus om god forvaltningsskik i hverdagen * Håndtering af brud på persondatasikkerhed Ruste medarbejdere og mellemledere til korrekt og praktisk tilrettelæggelse af dokumentation i hverdagen. Udarbejde en fælleskommunal skabelon/proces kommunerne kan anvende til håndtering af 72. timers kravet om anmeldelse af brud på persondatasikkerhed. Et-dages kursus i COK-regi. Q Forsinket Dan Bjørneboe Der frigives en vejledning jf. Justitsministeriets tidsplan, som supplement til betænkningen januar Denne leverance er et forslag til organisatorisk og praktisk implementering ift. 72 timers kravet. marts/april 2018 På plan Databehandleraftale - Fællesoffentlig skabelon for sundhedsvæsenet * At udarbejde en fællesoffentlig Skabelon til brug for databehandleraftaler Forsinket Q skabelon for hele sundhedsvæsenet, der i sundhedsvæsenet mellem kommuner, baseres på lovgivnings krav og i relevant regioner og stat. Skabelonen tager afsæt i omfang den kommende persondataforordning. KLs og KOMBITs struktur i fælleskommunale databehandleraftale med IT-leverandører. Side 5 af 10

6 Fællesoffentlige samarbejder mellem KL, Stat & Region Awareness - En rejsefortælling om funktioner, roller og ledelse Awareness -"Top fire" sikkerhedstiltag Awareness - Borgerrettet informationskampagne Informationssikkerhed med afsæt i ISO principper til brug for implementering af funktioner/roller/anvar. Et fællesoffentligt tiltag under initiativ 7.1. Fællesoffentligt tiltag under initiativ 7.1., hvor offentlige myndigheder arbejder efter "Top fire" sikkerhedstiltag Informationsindsatser rettet mod borgere om sikker digital adfærd. Leverancen har afsæt i Initiativ 9.3. Materiale der beskriver de forskellige Maj 2017 eksterne aktører samt interne roller og funktioner, der indgår i en organisations samarbejde om informationssikkerhed. Materialet er målrettet kommuner, der skal danne sig et overblik over feltet, og som eventuelt har brug for at viderekommunikere området for informationssikkerhed, herunder principper i ISO Rigsrevisionen anbefalede, at Center for Cybersikkerhed udarbejdede en vejledning om, hvilke sikringstiltag en offentlig virksomhed bør overveje til at imødegå aktuelle trusler fra hacking. Det er disse tiltag, som beskrives i denne vejledning. De fire tiltag, top fire - tiltagene, løser ikke problemet alene, men de løfter angrebsbyrden til et niveau, hvor færre modstandere kan være med. Vejledningen beskriver desuden andre tiltag, som kan forbedre cybersikkerheden yderligere. Vejledning er udarbejdet af Center for Cybersikkerhed (CFSE). Sikkerhedstiltagene er indarbejdet i Baseline Analysens spørgeramme. Borger kampagnen - Vi holder hackerne 7. november 2017 og kan ude - er rettet mod borgere og indeholder løbende tilgås en række simple og handlingsorienterede budskaber. Den består af små film og en quiz til sociale medier, en kampagneside, samt en aktiv PR indsats, hvor der bl.a. er en pjece/plakat til lokal print, som kan sættes op på biblioteker, borgerservicecentre mv. Materialet kan også anvendes i kommunale organisationer uden beregning. Leveret se materiale: es/id_84171/cf_202/kl_informati onssikkerhed_en_rejsefortlling_om_fun.pdf Årsskiftet 2017/2018 Leveret se vejledning : Cyberforsvar%20der%20virker.p df Kampagne siden: Vi holder hackerne ude - Download af materialer: Print af pjecer, plakater, adgang til videofilm m.m.: essourcer Side 6 af 10

7 Awareness - Læringspakke til offentlig ansatte målrettet Informationsindsatser rettet mod Læringspakken indeholder plakat og Jan/feb Ny sundshedssektoren, undervisningssektoren og den offentlig ansatte om sikker digital pjecer, som kan printes ud og placeres i adfærd. Leverancen har afsæt i Initiativ opholdsrum, samt case-beskrivelser og administrative sektor. * 9.3. quizzer, som ansatte kan tilgå på deres digitale enheder. Materialet er udviklet med øje for de særlige problemstillinger, man står overfor som hhv. underviser, udgående medarbejder, sundheds- og administrationsmedarbejder. Materialet er udarbejdet som undervisningsmateriale efter princippet "train-the-trainer" Der vil blive afholdt workshops via biblioteker. Mateialet vil frit kunne anvendes i de kommunale organisationer uden beregning. E-læring - introduktion til informationssikkerhed målrettet medarbejdere * Introduktion til informationssikkerhed, medarbejderens ansvar med udvalgte indsatsområder med afsæt i Fordele og trusler, Værdier: fortrolighed, integritet og tilgængelighed, Indsatsområder: fysisk, digitalt og adfærdsmæssigt ud fra behovet for en vedblivende indsats. Kende organisationens retningslinjer for informationssikkerhed, forstå eget ansvar for opretholdelse af informationssikkerhed, håndtere informationssikkerhedshændelser. Fagligt fundament er udarbejdet af Dansk Standard med afsæt i en risikobaseret tilgang. Mateialet distribueres via Sikkerhedsprogrammets kommunale kontaktpersoner, og vil frit kunne anvendes i de kommunale organisationer uden beregning. 1.Q 2018 Ny E-læring - introduktion til informationssikkerhed målrettet ledere * Introduktion til informationssikkerhed, lederens ansvar med udvalgte indsatsområder med afsæt i Fordele og trusler, Værdier: fortrolighed, integritet og tilgængelighed, Indsatsområder: fysisk, digitalt og adfærdsmæssigt ud fra behovet for en vedblivende indsats. Kommunikation og forankring af informationssikkerhed, opfølgning på ressourcetildeling og effekt af sikkerhedsindsats, risikostyring, evaluering og forbedring, håndtering af informationssikkerhedshændelser registrering, håndtering, rapportering og opfølgning. Fagligt fundament er udarbejdet af Dansk Standard med afsæt i en risikobaseret tilgang. Mateialet distribueres via Sikkerhedsprogrammets kommunale kontaktpersoner, og vil frit kunne anvendes i de kommunale organisationer uden beregning. 1.Q 2019 Ny Side 7 af 10

8 At samle de ansatte, der arbejder med Konferencen indledes med en Key-note 1. marts 2018 Ny Konference om ISO27001 i den offentlige sektor * implementering af Informationssikkerhed speaker kombineret med workshop spor for videndeling og inspiration. formiddag og eftermiddag deltageren selv vælger ved tilmelding. Konferencen er gratis og afholdes på Odense Kongress Center. Sikkerhedsprogrammets kontaknetværk inviteres direkte. Opdatering af klausulbibliotek med "kravkatalog" Det primære formål med kravkataloget er at hjælpe og inspirere til at stille relevante, hensigtsmæssige sikkerhedskrav ved eksempelvis udbud og indgåelse af it-kontrakter med leverandører. Kataloget kan desuden være relevant i enhver kontrakt, hvor leverandøren behandler information for kunden. Implementering af databeskyttelsesforordning - Der pågår et fællesoffentligt samarbejde Initiativ 7.1, hvor der Databeskyttelse gennem design og standardindstillinger * udarbejdes en vejledning i, hvordan de offentlige myndigheder kan indarbejde krav i feks. design og videreudvikling af løsninger. KL koordinerer med KOMBIT Implementering af databeskyttelsesforordning - Cloud computing * Der pågår et fællesoffentligt samarbejde - Cloud computing i den offentlige sektor initiativ med Digitaliseringsstyrelsen som tovholder Anvendelsen af kataloget forudsætter, at brugeren udvælger krav på baggrund af risikovurderinger, der bør understøtte ledelsens til- og fravalg af sikkerhedsmæssige tiltag. Kravkataloget vil indgå i samarbejdet med KOMBIT jf. ovennævnte aktivitet: Sikring af overholdelse af databeskyttelsesfordningens krav ved indkøb af nye it-systemer. Formålet er, at udarbejde brugbare eksempler til brug for kommunerne. Planlagt ultimo januar, hvor beskrivelse af leverancen vil tilføjes. Kravene i kataloget er formuleret generisk, og kravene skal derfor tilpasses den konkrete kontraktuelle kontekst. Eksempelvis skal begrebsanvendelsen afstemmes med kontraktens definitioner. Der er desuden ikke tale om en udtømmende liste af krav, og der kan derfor være behov for at stille yderligere krav, der ikke fremgår af Kravkataloget. December 2017 Q Q Kravkatalog: Sådan stiller du krav til leverandører om informationssikkerhed - Katalog Digitaliseringsstyrelsen Side 8 af 10

9 Kommunikation Udmelding af leverancer på kl.dk Dialogportal på kl.dk At holde kommunerne og andre interessenter informeret om programmets fremdrift samt at holde momentum i programmet At kommunale interessenter i arbejdet med databeskyttelse og sikkerhed skal kunne stille spørgsmål og drøfte udfordringer i arbejdet med at øge sikkerheden. I stedet for en samlet beskrivelse af Sikkerhedsprogrammet får hvert underliggende projekt en side med beskrivelse Alle kommunalt ansatte kan få adgang til dialogen vedrørende databeskyttelse og sikkerhed. Ved at have et samarbejde og en dialog åben for alle kommuner om udfordringer i arbejdet med informationssikkerhed, får programmet en bedre indsigt i kommunernes udfordringer og kan om muligt svare på spørgsmål. Q Leveret Torsten Israelsen Løbende Leveres løbende Torsten Israelsen / Charlotte Fjeldberg Nyhedsbreve til Sikkerhedsprogrammets kontaktpersoner Sikkerhedsprogrammets virtuelle bibliotek Sikkerhedsprogrammets virtuelle bibliotek - vedr. konkrete spørgsmål og evt. opmærksomhedpunkter til implementering At holde kommunerne informeret om programmets fremdrift samt at holde momentum i programmet. At give kommunerne mulighed for at dele skabeloner, dokumenter, planer og andre digitale værktøjer på tværs på en mere permanent platform. At give nogle autoritative bud på løsningerne af presserende konkrete problemstillinger målrettet Sikkerhedsprogrammets kommunale kontaktpersoner i Yammer-netværket Efterhånden som der sker udvikling i Sikkerhedsprogrammet bliver de kommunale kontaktpersoner løbende informeret direkte pr. mail. Et Yammer-netværk målrettet sikkerhedsprogrammets netværk er etableret. Afsættet er især på sikkerhedsforhold, som ud fra en risikobaseret tilgang er på dagsordenen hos kommunerne op til forordningens ikrafttrædelse. Leverancen har afsæt i kommunernes ønske om, at KL tager initiativ til at hjælpe med et mere tværkommunalt fokus som bidrag til øget sikkerhed. KL vil på udvalgte områder kunne forholde sig til spørgsmål, der ikke bliver behandlet i en vejledning fra Justitsministeriet, men som kan besvares med afsæt i betænkningen. Løbende Leveres løbende Torsten Israelsen Q og løbende Leveret og driftes Torsten Israelsen Løbende Leveres løbende Charlotte Fjeldberg Kommunikation til kommunal ledelse og politiske niveauer Informere om Sikkerhedsprogrammets fælleskommunale tiltag Kommunikationen har afsæt i Den fælleskommunale Handleplans initiav 7.1 Øget sikkerhed og implementering af EU's Databeskyttelsesforordning med fokus på de fælleskommununale initiativer i Sikkerhedsprogrammet. Løbende Leveres løbende Side 9 af 10

10 Vejledningshjælp til kommunerne i udarbejdelsen af egne Leveret Charlotte Fjeldberg fortegnelser Andet At have et sted, hvor de lavpraktiske spørgsmål under efterbehandlingsarbejdet stilles til KL og hvor kommunerne let kan trække på hinandens arbejde og erfaringer. KL opretter en gruppe for Sikkerhedsprogrammets kontaktpersoner. Formålet er dels at skabe overblik over spørgsmål og svar fra KL. Offentliggørelse af Justitsministeriets vejledning om fortegnelser er forsinket. KL vil når denne foreligger gennemgå om det betyder ændringer i vejledningen. Hvis det sker vil KL informerer kommunerne. Kommunedage - Folkeskoler Kommunedage - Baseline analyse Introduktion for skoleledelse og den kommunalt ansvarlige for Baseline i Sikkerhedsprogrammet mht. besvarelse af Baseline analyse i folkeskolen. Introduktion for den kommunale ansvarlige for Baseline i Sikkerhedsprogrammet mht. besvarelse af Baseline analyse, påklædning i funktionalitet og evt. revideret spørgeramme. Kommunedagen (½ dag) afholdes 3-5 steder i landet. Baseline analysen i folkeskolen integreres i kommunens portal. Dagen vil derfor have fokus på begge målgrupper. Kommunedagen afholdes i årene 2016, 2017, g 2019 afholdt om eftermiddagen med Folkeskole introduktionen om formiddagen. Uge 2 og November måned alle årene Gennemført 2016 og 2017 Jette Larsson Leverandørmøder Orientere it-virksomheder og konsulentmarked om Sikkerhedsprogrammets tiltag samt få en dialog og forventningsafstemning. Møder af max. 2 timers varighed i KL huset Løbende efter behov (Næste gang i marts 2018) Gennemført i 2016 Side 10 af 10