Indholdsfortegnelse Indledning Formål Omfang Holdninger og principper... 4

Transkript

1 Halsnæs Kommune Informationssikkerhedspolitik 2012

2 Indholdsfortegnelse Indholdsfortegnelse Indledning Formål Omfang Holdninger og principper Sikkerhedsbevidsthed, organisering og ansvar Årshjul for informationssikkerhedspolitikken Brud på informationssikkerheden Udmøntning Offentliggørelse Godkendelse... 6 Informationssikkerhedspolitik Side 2 af 6

3 1. Indledning Denne informationssikkerhedspolitik udgør den overordnede ramme for beskyttelse af informationi Halsnæs Kommune. De retningslinjer samt sikkerheds- og kontrolforanstaltninger, der gælder i Halsnæs Kommune, samles i en sikkerhedshåndbog.udmøntning af reglerne sker i form af procedurer, vejledninger, kontrolforanstaltninger, mv. baseret på Informationssikkerhedsstandarden ISO Formål Formålet med informationssikkerhedspolitikken er at sætte de overordnede rammer for desikringsforanstaltninger, der skal beskytte data, information og informationssystemer med udgangspunkt i tre centrale begreber: Fortrolighed- information kommer ikke uvedkommende til kendskab. Integritet- information forbliver pålidelig, korrekt og intakt. Tilgængelighed - relevant information kan tilgås og anvendes, når relevante personer har behov for det. Sikringsforanstaltningerne skal rettes imod alle former for trusler, der kan komme intern såvel som ekstern fra: Bevidst skadevoldende handlinger og misbrug. Hændelige fejl og uheld. Det skal sikres, at konsekvenserne af et sikkerhedsbrud reduceres til et acceptabelt niveau: Halsnæs Kommune skal sikre, at borgerne og virksomheder til stadighed kan føle sig trygge ved at overlade deres data og informationer til kommunen. Halsnæs Kommune skal sikre medarbejderne mod mistænkeliggørelse og derved sikre medarbejdernes tryghed. Informationssikkerheden skal altid leve op til følgende krav: Sikkerhedsmæssige krav, der udspringer af lovgivningen. Her har specielt persondataloven betydning. Beredskabsplaner skal efter et nedbrud, der ikke kan håndteres inden for de normale rammer for daglig driftsafvikling, muliggøre genoptagelse af drift inden for de aftalte tidsfrister. Informationssikkerhedspolitik Side 3 af 6

4 3. Omfang Politikken omfatter Halsnæs Kommunesdata og informationer, som er: Enhver information, der tilhører kommunen. Informationer, som ikke tilhører kommunen, men som kommunen kan gøres ansvarlig for. Alle informationer, uanset hvilket medie informationen opbevares eller formidles på. Politikken er gældende for: Byrådsmedlemmer. Alle ansatte. Samarbejdspartnere, der har adgang til den kommunale it-infrastruktur. Øvrige brugere af Halsnæs Kommunes netværk. I det omfang Halsnæs Kommunes data og informationer hostes hos eller behandles af eksterne serviceleverandører, skal det i samarbejdet med serviceleverandøren sikres, at kommunens sikkerhedsniveau fastholdes. D.v.s. at serviceleverandøren, dennes faciliteter og medarbejdere, som har adgang til kommunens informationer, som minimum lever op til kommunens informationssikkerhedsniveau. 4. Holdninger og principper Informationssikkerhed i Halsnæs Kommune fastlæggesdels ud fra ønsket om høj sikkerhed og dels ud fra hensynet til brugervenlig it-anvendelse. Informationssikkerheden implementeres i overensstemmelse med følgende overordnede holdninger og principper: Kommunens troværdighed på informationssikkerhedsområdet overfor omverdenen, herunder borgere, virksomheder og samarbejdspartnere, må ikke kunne drages i tvivl. Sikkerhedsforanstaltninger skal søges tilrettelagt, så de opleves som en naturlig del af medarbejdernes daglige arbejde og ikke som en barriere. Sikkerheden søges styret i overensstemmelse med almindelig anerkendte metoder og procedurer for informationssikkerhed. Såfremt borgere eller virksomheder berøres af sikkerhedshændelser hos Halsnæs Kommune, vil kommunen kommunikere målrettet og arbejde for at genoprette normal drift hurtigst muligt. Informationssikkerhedspolitik Side 4 af 6

5 5. Sikkerhedsbevidsthed, organisering og ansvar Kommunens medarbejdere, byrådsmedlemmerog samarbejdspartnere har alle et medansvar for at kommunes informationer og informationssystemer beskyttes. For at sikre, at der til stadighed er et tilstrækkeligt bevidsthedsniveau, skal alle løbende uddannes i emner vedrørende informationssikkerheden. Uddannelse i forhold til informationssikkerheden skal tilrettelægges målrettet, således at de forskellige medarbejdergrupper får netop den viden, der er relevant for deres arbejdsområde. Halsnæs Kommunes byråd har det overordnede ansvar for informationssikkerheden i kommunen. Der etableres en informationssikkerhedsorganisation, der tildeles ansvaret for beskrivelse og udmøntning af nærværende informationssikkerhedspolitik, løbende risikovurdering og kommunikation til alle medarbejdere, samarbejdspartnere og byrådsmedlemmer i Halsnæs Kommune. Byrådethar det overordnede ansvar for informationssikkerheden og fastlægger overordnede principper og politik for informationssikkerheden. Direktionen fastlægger sikkerhedsorganisationen, sikkerhedsretningslinier, kontrolforanstaltninger og øvrige forhold der udmønter byrådets beslutninger på informationssikkerhedsområdet. 6. Årshjul for informationssikkerhedspolitikken Efter godkendelse af Kommunens informationssikkerhedspolitik, skal denne vedligeholdes og holdes levende. Dette sikres blandt andet gennem de opgaver der udføres i organisationen, gennem de roller og ansvar der er beskrevet ovenfor. Det kan illustreres via årshjul for hver af de overordnede roller. Byrådet skal en gang årligt have: - Forelagt status på informationssikkerheden, herunder rapportering af vigtige sikkerhedshændelser. - Tage stilling til overordnede ændringer til eller implementering af politikken Direktionen skal: - Levere årlig status til byrådet Informationssikkerhedspolitik Side 5 af 6

6 7. Brud på informationssikkerheden Såfremt en medarbejder opdager trusler mod informationssikkerheden eller brud på denne, skal dette straks meddeles til den ansvarlige systemejer. Medarbejdere, som bryder informationssikkerhedspolitikken eller deraf afledte retningslinjer, vil blive udsat for disciplinære forholdsregler i overensstemmelse med Halsnæs kommunes gældende regler og personalepolitik. 8. Udmøntning Politikken skal omsættes til operative sikkerhedsbestemmelser ogprocedurer. Der skal ske opfølgning på efterlevelse i organisationen. De retningslinjer samt sikkerheds- og kontrolforanstaltninger, der gælder i Halsnæs Kommune, samles i en sikkerhedshåndbog.udmøntning af reglerne sker i form af procedurer, vejledninger, kontrolforanstaltninger, mv. 9. Offentliggørelse Denne politik offentliggøres på Halsnæs Kommunes intranet og kan udleveres til relevante samarbejdspartnere. Øverste daglige leder af informationssikkerheden sikrer implementering og udmøntning af informationssikkerhedspolitikken. 10. Godkendelse Denne informationssikkerhedspolitik skalgodkendesaf Halsnæs Kommunes byråd. Informationssikkerhedspolitik Side 6 af 6