SIKKERHEDSREGLER. 5. Informationssikkerhedspolitikker

Transkript

1 SIKKERHEDSREGLER. 5. Informationssikkerhedspolitikker Retningslinjer for styring af informationssikkerhed Politikker for informationssikkerhed Informationssikkerhed defineres som de samlede foranstaltninger til at sikre fortrolighed, tilgængelighed og integritet. Foranstaltningerne omfatter tekniske og administrative sikringstiltag. Den overordnede sikkerhedspolitik udarbejdes og vedligeholdes løbende af IT & Digitalisering. Reglerne for informationssikkerhed udarbejdes og vedligeholdes af IT & Digitalisering. Procedurer der understøtter reglerne udarbejdes og vedligeholdes af IT-sikkerhedslederen. 6. Organisering af informationssikkerhed Intern organisering Roller og ansvarsområder for informationssikkerhed Systemejer er ansvarlig for at ethvert formaliseret eksternt samarbejde skal være baseret på en samarbejdsaftale der inkluderer informationssikkerhed Funktionsadskillelse Systemejer sikrer funktionsadskillelse henholdsvis i udviklings-, test- og driftsmiljøet, i størst muligt omfang. Endvidere sikres at der i forretningskritiske systemer indarbejdes funktionsadskillelse, i størst muligt omfang Kontakt med myndigheder IT-sikkerhedsleder varetager kontakt til eksterne myndigheder i forbindelse med spørgsmål vedr. informationssikkerhed Kontakt med særlige interessegrupper Systemejer er ansvarlig for at holde sig opdateret på hvilke trusler og sårbarheder der er relevante i forhold til de systemer de er systemejer. IT & Digitalisering skal informere systemejer om nye trusler, som potentielt kan berøre de pågældende forretningsenheder Mobilt udstyr og fjernarbejdspladser Politik for mobilt udstyr IT & Digitalisering sikrer at mobile enheder beskyttes med antivirus, firewall og log-on funktioner Fjernarbejdspladser Det er udelukkende kommunens computere der må benyttes som fjernarbejdsplads, og forbindelsen til kommunens netværk skal være krypteret. Endvidere er det ikke tilladt at data fra kommunens it-systemer gemmes på lokale harddiske eller andre medier tilknyttet fjernarbejdspladsen. Det er tilladt at benytte produktet til fjernadministration, såfremt produktet er sikkerhedsgodkendt af ITsikkerhedsleder. Fjernadgang til brug for leverandører og anden form for ekstern support, skal overvåges af medarbejdere mens de benyttes. 7. Personalesikkerhed Før ansættelsen Screening Lederen for den ansættende enhed er ansvarlig for at indhente referencer på den eller de medarbejder som tilbydes stilling. IT & Digitalisering udfører et forsvarligt baggrundscheck af medarbejdere med ansvar for forretningskritiske arbejdsområder og indhenter om nødvendigt straffeattest

2 efter reglerne i Odense Kommunes personalehåndbog Ansættelsesvilkår og -betingelser Alle medarbejdere skal acceptere en tavshedserklæring ved ansættelsestidspunktet. Konsulenter skal acceptere en tavshedserklæring enten via en virksomhedsaccept eller individuelt, ved samarbejde med Odense Kommune. Procedurer Tavshedserklæring Under ansættelsen Ledelsesansvar Det er den enkelte leders ansvar at alle medarbejdere er informeret om, at de ikke må søge eller indhente oplysninger som ikke er relevante for deres opgaveløsning Bevidsthed om, uddannelse og træning i informationssikkerhed Det er IT & Digitaliseringansvar, at alle it-medarbejdere specifikt uddannes i sikkerhedsaspekter, for at minimere risikoen for sikkerhedshændelser og at alle nye medarbejdere modtager Odense Kommunes informationssikkerhedshåndbog. Alle medarbejdere skal læse Odense Kommunes informationssikkerhedshåndbog Sanktioner IT & Digitalisering udarbejder en sanktionsprocedure for medarbejdere, der bryder Odense Kommunes informationssikkerhedshåndbog. Det er leders ansvar, at sanktioner håndhæves i overensstemmelse med gældende lovgivning Ansættelsesforholdets ophør eller ændring Ansættelsesforholdets ophør eller ændring Det er den enkelte leders ansvar at rettigheder tilknyttet en person der får sin ansættelse eller midlertidige kontrakt ophævet inddrages. Det er den enkelte leders ansvar at ID-kort, it-udstyr og lignende inddrages fra opsagte medarbejdere, da dette er forudsætning for sidste lønudbetaling. 8. Styring af aktiver Ansvar for aktiver Fortegnelse over aktiver IT & Digitalisering er ansvarlig for at alt it-udstyr er registreret med ejer, bruger, serienummer og placering. IT & Digitalisering er ansvarlig for administration af kommunens domænenavne. Administration af domænenavne sker i henhold til procedure, udarbejdet af IT & Digitalisering Accepteret brug af aktiver It-systemer i Odense Kommune må alene anvendes til kommunale formål. Systemejer skal udarbejde retningsliner for anvendelse hvis dette er påkrævet i forhold til systemets kritikalitet. Kommunens informationer må aldrig deles på et socialt medie, med mindre det er offentlige eller u- klassificerede informationer. Persondata må aldrig deles på sociale netværk. Ved deling af information skal du være sikker på ophavsretten ikke krænkes. Personlig brug af sociale medier skal fortrinsvis lægges uden for almindelig arbejdstid eller i pauser. Datatrafik til sociale medier bliver overvåget af IT & Digitalisering Accepteret brug af aktiver IT & Digitalisering er ansvarlig for at kun godkendte internettjeneste kan anvendes. Kommunens internetadgang er beregnet til arbejdsrelateret brug, men må i begrænset omfang anvendes til private formål, dog under forudsætning af at arbejdsrelateret brug ikke generes. Internettet må dog kun benyttes med de godkendte internettjenester Filer og programmer må gerne downloades til arbejdsrelateret brug, og i begrænset omfang til privat

3 brug. Det er tilladt at: - downloade filer og programmer - streame indhold, f.eks. lyd eller billede fra radio- og tv-tjenester og film. - bruge browserbaserede programmer (f.eks. NetBank) på de godkendte webbrowsere (sikkerhedsindstillingerne i webbrowsere må ikke forringes ifm. brug) - bruge og messenger-programmer (dog kun til informationer klassificerede til eksternt brug eller er u-klassificeret) og til at udveksle filer og links (Vejledning ved brug af internettet) Accepteret brug af aktiver IT & Digitalisering skal blokere for filtyper som IT & Digitalisering vurderer farlige eller uhensigtsmæssige. Modtaget og afsendt skal journaliseres og behandles efter samme principper som gælder for almindelig brevpost og fax. Kommunen tillader brug af til privat brug i begrænset omfang. Mailen skal markeres med teksten 'privat' i emne-feltet, og gemmes som private i en folder hvor teksten 'privat' indgår i folderens navn. Kommunen forbeholder sig ret til at skaffe sig adgang for medarbejdere, hvis dette sker af drifts- eller sikkerhedshensyn. med følsomt indhold skal krypteres med digital signatur. Dette gælder især for fortrolig eller følsom persondata, der sendes til eksterne personer/myndigheder Accepteret brug af aktiver Det er tilladt at opbevare fortrolig information på mobile enheder, såfremt disse er beskyttet med et sikkerhedsgodkendt produkt. Det er tilladt at opbevare personhenførbare information på mobile enheder, såfremt den mobile enhed er godkendt til formålet af IT & Digitalisering Tilbagelevering af aktiver Medarbejdere skal aflevere Odense Kommunes ejendom ved samarbejdets ophør Klassifikation af information Klassifikation af information Informationer klassificeres efter følgende opdeling: Eksternt brug: Materiale, der frit må udleveres til eksterne parter uden at fortrolighedsaftaler kræves. Internt brug: Materiale, der er tilgængeligt for alle internt i kommunen Fortroligt: Materiale, der er tilgængeligt for en begrænset gruppe personer. IT & Digitalisering er ansvarlig for at it-systemer klassificeres. Klassifikationen skal fremgå i oversigten over it-systemer Klassifikation af information IT & Digitalisering er ansvarlig for at alle informationsaktiver bliver tildelt en systemejer, og disse er informeret om deres rolle. Systemejer er ansvarlig for følgende forhold: - fastlægge og løbende revurdere adgangsrettigheder - klassificering i forhold til kritikalitet - tilstrækkelig beskyttelse af informationsaktivet Håndtering af aktiver IT & Digitalisering udarbejder en procedure for anvendelse af kryptering af datamedier med fortrolige/følsomme informationer Mediehåndtering Styring af bærbare medier IT & Digitalisering sikrer at datamedier slettes uden mulighed for genskabelse eller destrueres inden genbrug eller bortskaffelse. 9. Adgangsstyring Forretningsmæssige krav til adgangsstyring Politik for adgangsstyring Systemejer har ansvar for at etablere og vedligeholde en procedure adgangsstyring for hvert it-system Politik for adgangsstyring

4 Systemejer har ansvar for at etablere og vedligeholde en procedure adgangsstyring for hvert it-system. IT & Digitalisering sikre at eksterne brugerprofiler skal være tydeligt adskilt fra fastansattes brugerprofiler, gennem konsistent navngivning. Endvidere skal at standardadgangskode og standard bruger-id ikke anvendes Politik for adgangsstyring IT & Digitalisering sikre at eksterne brugerprofiler skal være tydeligt adskilt fra fastansattes brugerprofiler, gennem konsistent navngivning. Endvidere skal at standardadgangskode og standard bruger-id ikke anvendes Adgang til netværk og netværkstjenester Det er ikke tilladt at installere netværksudstyr uden forudgående godkendelse fra IT & Digitalisering Adgang til netværk og netværkstjenester Det er tilladt at forbinde sig til fremmede trådløse netværk, forudsat at der er en firewall er aktiveret på din enhed Administration af brugeradgang Brugerregistrering og -afmelding IT & Digitalisering sikrer at alle brugere tildeles et unikt bruger-id samt verificerer rettigheder tildelt brugere og ajourfører bruger/rettighedsfortegnelser for it-systemet årligt Brugerregistrering og -afmelding IT & Digitalisering sikrer at alle brugere tildeles et unikt bruger-id Tildeling af brugeradgang IT & Digitalisering verificerer rettigheder tildelt brugere og ajourfører bruger/rettighedsfortegnelser for it-systemet årligt Styring af privilegerede adgangsrettigheder IT & Digitalisering må kun tildele udvidede adgangsrettigheder i begrænset omfang og alene ud fra et arbejdsbetinget behov. Såfremt det er muligt skal der forsøges at implementere systemtekniske processer for at begrænse behovet for tildeling af udvidede rettigheder. Endvidere sikres at brugeridentiteter med udvidede rettigheder er tydeligt adskilt fra øvrige brugeridentiteter Styring af hemmelig autentifikationsinformation om brugere Adgangskoder til forretningskritiske systemer må aldrig forekomme i klartekst Inddragelse eller justering af adgangsrettigheder IT & Digitalisering udarbejder en procedure for inddragelse af brugerrettigheder i forbindelse med fratrædelse eller afskedigelse af personale. Proceduren indeholder bla. en liste over funktioner og personer, der skal informeres i forbindelse med fratrædelsen. Adgangsrettigheder skal inddrages af IT & Digitalisering Brugernes ansvar Brug af hemmelig autentifikationsinformation Det er ikke tilladt at benytte systemer, hvor adgangskoder gemmes i genveje, på funktionstaster eller lign. form for automatisk gemmefunktion. Det er ikke tilladt at anvende den samme adgangskode(r) på interne itsystemer og eksterne systemer f.eks. internet-websteder, netbank og lign. Adgangskoder skal indeholde følgende: - mindst 8 tegn - kombinationer fra mindst tre af følgende kategorier: store bogstaver, små bogstaver, tal og specialtegn og skiftes efter højst 90 dage Styring af system- og applikationsadgang Procedurer for sikker log-on Adgang til systemer beskyttes af en log-on funktion, hvor bruger-id bliver anvendt til at identificere personen der logger ind. Denne person er ansvarlig

5 for den aktivitet der bliver udført i it-systemet under det pågældende log-in. 10. Kryptografi Kryptografiske kontroller Politik for anvendelse af kryptografi IT & Digitalisering skal ajourføre en liste over godkendte krypteringsløsninger mindst én gang årligt. Endvidere sikres at indholdet af harddiske på bærbare computere altid krypteres. Forbindelser, der benyttes til it-administration, skal krypteres, hvis de benytter offentlige eller usikre netværk, f.eks. internettet Administration af nøgler IT & Digitalisering skal etablere og ajourføre et nøglehåndteringssystem, som understøtter virksomhedens anvendelse af kryptografi. 11. Fysisk sikring og miljøsikring Sikre områder Fysisk perimetersikring IT & Digitalisering sikrer at alle serverrum og udvalgte krydsfelter er aflåst. Endvidere sikres anvendelse af alarmsystemer på relevante bygninger og lokaler samt udarbejdese en procedure for aflåsning af alle døre og vinduer, således at kontorer er forsvarligt aflukket Fysisk adgangskontrol IT & Digitalisering sikrer, at serviceleverandører kun får adgang til sikre områder, når dette er påkrævet og at gæster kun færdes i sikre område, under ledsagelse af en medarbejder samt sikrer at adgang til serverrum og udvalgte krydsfelter kun tillades med godkendelse Sikring af kontorer, lokaler og faciliteter IT & Digitalisering udarbejder en procedure for passende fysisk sikring af kontorer, lokaler og perifert udstyr Beskyttelse mod eksterne og miljømæssige trusler IT & Digitalisering sikrer at Serverrum er sikret med godkendt brandslukningsudstyr og ikke benyttes som lager for brændbare materialer Beskyttelse mod eksterne og miljømæssige trusler IT & Digitalisering sikrer at datamedier til retablering af forretningskritiske systemer opbevares på et eksternt opbevaringssted. Endvidere at den fysiske sikkerhed på opbevarings-lokaliteten er sikret Udstyr Placering og beskyttelse af udstyr IT & Digitalisering udarbejder en procedure for placering af centralt it-udstyr og forretningskritisk it-udstyr. Ligeledes sikres at serverrum og udvalgte krydsfelter er beskyttet mod utilsigtet fysisk påvirkninger. Det er ikke tilladt at medbringe mad og drikke i serverrum eller på steder med centralt placeret forretningskritisk it-udstyr. Lokaler med væsentlige mængder af it-udstyr sikres kølet med aircondition. Lokaler med forretningskritisk it-udstyr sikres med redundant aircondition. Alt it-udstyr af væsentlig værdi sikres med tydeligt tyverimærket Understøttende forsyninger (forsyningssikkerhed) IT & Digitalisering sikrer; - at alle forsyninger som elektricitet, vand, kloak, varme og ventilation, har den fornødne kapacitet og eventuel redundans. - at alt forretningskritisk it-udstyr beskyttes med UPS nødstrømsanlæg til minimum 30 min. drift og efterfølgende kontrolleret nedlukning Vedligeholdelse af udstyr IT & Digitalisering sikrer at kritiske/følsomme informationer beskyttes, inden det sendes til reparation.

6 Sikring af udstyr og aktiver uden for organisationen Mobile enheder må ikke efterlades uden opsyn i uaflåste rum uden for kommunens ejendomme Sikker bortskaffelse eller genbrug af udstyr IT & Digitalisering sikrer ved genbrug eller bortskaffelse af it-udstyr at kritiske/følsomme informationer og licensbelagt software fjernes Brugerudstyr uden opsyn Medarbejdere skal aktivere skærmlås med adgangskodebeskyttelse, når arbejdsstationen forlades. IT & Digitalisering sikrer at arbejdsstationer automatisk aktiverer skærmlås efter 10 minutters inaktivitet Politik for ryddeligt skrivebord og blank skærm IT & Digitalisering sikrer at printere, som benyttes til udskrivning af fortrolige informationer placeres i lokaler, der ikke er tilgængelige for andre end kommunens medarbejdere. Medarbejdere skal sikre at skriveborde er ryddet for fortrolige dokumenter/informationer senest ved arbejdsdagens afslutning. Fortrolige dokumenter må dog gerne ligge fremme, såfremt kontorlokaler er aflåste. Dokumenter med personhenførbare oplysninger må ikke ligge med forsiden opad, når skrivebord/arbejdsstation forlades. 12. Driftssikkerhed Driftsprocedurer og ansvarsområder Ændringsstyring IT & Digitalisering af it service udarbejder procedurer for ændringsstyring for alle software- og systemkonfigurationsændringer, også indeholdende en entydig identifikation og registrering. Endvidiere sikres at ændringer planlægges, vurderes og testes inden idriftsættelse, og at der forefindes en plan for tilbagerulning af ændringer Kapacitetsstyring IT & Digitalisering sikrer at forretningskritiske it-systemer løbende overvåges med hensyn til tilstrækkelig kapacitet Adskillelse af udviklings-, test- og driftsmiljøer IT & Digitalisering sikrer at udviklings-, test- og driftsmiljøer er systemteknisk eller fysisk adskilte. Endvidere udarbejdes procedurer for migrering fra udvikling til test og til driftsmiljø, således at it-systemerne testes og kontrolleres på drift, sikkerhed og brugbarhed. (Procedure for miljø migrering af it-systemer) IT & Digitalisering er ansvarlig for sikkerheden i udvikling- og testmiljøer. Systemejer godkender brug af fortrolige/følsomme data til anvendelse i udvikling- og testmiljøer Beskyttelse mod malware Kontroller mod malware IT & Digitalisering er ansvarlig for at ind/udgående mails scannes for virus, spam og phishing. Ved fund af denne type skal disse automatisk sættes i karantæne. Endvidere sikres at der er installeret antivirus på alle servere og klienter, og at der fortages regelmæssigt scanning mod virus og lign Kontroller mod malware Beskyttelse med computervirus og lignende former for angreb forsøges modvirket ved installation af antivirus på enheder der tilkobles kommunens netværk. IT & Digitalisering er ansvarlig for at antivirus fungerer og løbende bliver opdateret og at der regelmæssigt scannes for adware på alle arbejdsstationer Backup Backup af information IT & Digitalisering udarbejder en procedure for backup, hvori det sikres at backupmedie til forretningskritiske it-systemer opbevares på et andet sted end de primære data. Endvideres sikres at reetablering af data fra backup-

7 systemer afprøves i et testmiljø minimum hvert andet år Logning og overvågning Hændelseslogning IT & Digitalisering sikrer at der opbevares log for sikkerhedshændelser, brugeraktiviteter og fejlhændelser på forretningskritiske it-systemer i mindst 3 måneder Administrator- og operatørlog IT & Digitalisering sikrer at der fortages logning af administratorers adgang og aktiviteter på it-systemer Styring af driftssoftware Softwareinstallation på driftssystemer IT & Digitalisering sikre en procedure der beskriver adskillelse af test og produktionsmiljø. Skal ligeledes holde sig informeret om alle programrettelser til alle programmer, der anvendes i kommunen og er ansvarlige for, at der løbende sker regelmæssig opdatering af anvendt software. Endvideree sikres at alle ændringer i forretningskritiske systemer udføres efter en godkendt ændringsarbejdsgang. Alle ændringsarbejdsgange skal indeholde en plan til retablering såfremt ændringen fejler Sårbarhedsstyring Styring af tekniske sårbarheder IT & Digitalisering er ansvarlig for eksternt samarbejde med samarbejdspartnere der kan bibringe de fornødne informationer i henhold til viden om trusler og skal etablere en procedure for identifikation af nye sårbarheder. Endvidere informere relevante personer i ledelsen om nye trusler, som potentielt kan berøre de pågældendes forretningsprocesser 13. Kommunikationssikkerhed Styring af netværkssikkerhed Netværksstyring Gæster og konsulenter må kun anvende det trådløse netværk til internetadgang, og ikke til adgang til interne systemer. For begge grupper gælder at de skal acceptere at deres brug overvåges før der gives adgang til kommunens trådløse netværk. IT & Digitalisering er ansvarlig for logisk beskyttelse af it-systemer, der er eksponeret mod internettet, f.eks. og web-servere, mod brud på tilgængelighed, integritet og fortrolighed Netværksstyring Det er ikke tilladt at installere udstyr, der giver trådløs netadgang Informationsoverførsel Politikker og procedurer for informationsoverførsel Medarbejdere skal sikre at og anden form for data/information, der indeholder fortrolige/følsomme informationer, altid er krypteret under transmission på eksterne forbindelser f.eks. internettet Fortroligheds- og hemmeligholdelsesaftaler IT & Digitalisering er ansvarlig for at ethvert formaliseret eksternt samarbejde er baseret på en samarbejdsaftale, og at der informeres om krav til efterlevelse af informationssikkerheden i kommunen Samtidig ansvarlig for at tredjepart, der kan få adgang til kommunens data, har underskrevet en tavshed og fortrolighedserklæring. IT & Digitalisering er ansvarlig for at alle medarbejdere accepterer en tavshedserklæring senest ved ansættelsestidspunktet. 14. Anskaffelse, udvikling og vedligeholdelse af systemer Sikkerhedskrav til informationssystemer Analyse og specifikation af informationssikkerhedskrav

8 IT-sikkerhedsleder sikrer at kommunens krav til nye såvel som bestående systemer skal indeholde krav til sikkerheden med udgangspunkt i en risikovurdering Sikkerhed i udviklings- og hjælpeprocesser Procedurer for styring af systemændringer IT & Digitalisering er ansvarlig for procedure for ændringsstyring og er ansvarlig for at migrering fra udvikling til produktionsmiljø følger procedure for ændringsstyring Outsourcet udvikling Odense Kommune; - kan kræve adgang til at overvåge udviklingsprocessen baseret på en individuel vurdering, hos eksterne leverandører. - kræver afleveringstest, hos eksterne leverandører - kræver dokumenteret løbende kvalitetssikring, hos eksterne leverandører - kan kræve deponering af kildekode baseret på individuel vurdering, hos eksterne leverandører - kan kræve ophavsrettighed på kildekode efter individuel vurdering, hos eksterne leverandører Testdata Sikring af testdata IT & Digitalisering er ansvarlig for at data til test udvælges, kontrolleres og beskyttes omhyggeligt og i henhold til deres klassifikation. Endvidere sikres at produktionsdata ikke benyttes i udviklings- eller testmiljøet. 15. Leverandørforhold Styring af leverandørydelser Overvågning og gennemgang af leverandørydelser Systemejer skal minimum hvert år, fortage en gennemgang af leverandøren og sikre at de overholder de sikkerhedskrav Odense Kommune stiller, og eventuelle ændringer til leverandøraftaler skal dokumenteres. 16. Styring af informationssikkerhedsbrud Styring af informationssikkerhedsbrud og forbedringer Ansvar og procedurer IT & Digitalisering er ansvarlig for at fastlægge procedure for håndtering af sikkerhedsbrud Rapportering af informationssikkerhedshændelser IT & Digitalisering sikrer at alle systemer med kritiske informationer løbende overvåges for tilstrækkelig kapacitet for at sikre pålidelig drift og tilgængelighed. Brud på sikkerheden i form af uautoriseret adgang og forsøg på uautoriseret adgang til systemer, informationer og data skal registreres som informationssikkerhedshændelser. IT & Digitalisering er ansvarlig for en procedure, der sikrer indrapportering af informationssikkerhedshændelser med betydning for kommunens informationssikkerhed Rapportering af informationssikkerhedssvagheder Medarbejdere og brugere, der observerer programfejl skal rapportere dette som en informationssikkerhedshændelser. Medarbejdere og brugere skal ved konstatering af brud eller mistanke om brud på sikringsforanstaltninger rapporterer det som en informationssikkerhedshændelser til IT & Digitalisering Erfaring fra informationssikkerhedsbrud IT-sikkerhedsleder er ansvarlig for at indsamle statistik for rapporterede sikkerhedshændelser. Mindst en gang hvert kvartal skal it-sikkerhedslederen gennemgå den forgangne periodes hændelser Indsamling af beviser Hvis et sikkerhedsbrud afstedkommer et retsligt efterspil - uanset om sikkerhedsbruddet er foretaget af en person eller en virksomhed - skal IT &

9 Digitalisering indsamle, opbevare og præsentere et fyldestgørende bevismateriale. 17. Informationssikkerhedsaspekter ved nød-, beredskabs- og reetableringsstyring Informationssikkerhedskontinuitet Implementering af beredskab IT & Digitalisering er ansvarlig for udarbejdelse og vedligeholdelse af en overordnet beredskabsplan. Der blandt andet indeholder: - hvem der har ansvaret for aktivering af beredskabsplanen - medarbejdere der indgår i beredskabsplanen er informeret om deres ansvar - alle medarbejdere skal være informeret om beredskabsplanernes eksistens - ansvarlig for, at der foregår tilstrækkelig uddannelse af medarbejdere der er involveret i kommunens it-beredskabs Implementering af beredskab IT-sikkerhedslederen er ansvarlig for at lave en statusrapport over itberedskabet til Operationel forum for digitalisering og velfærdsteknologi hvert år Verificer, gennemgå og evaluer beredskab IT-sikkerhedslederen sikrer at den overordnede beredskabsplan med tilhørende dokumenter opdateres mindst én gang årligt 18. Overensstemmelse Overensstemmelse med lov- og kontraktkrav Identifikation af gældende lovgivning og kontraktkrav IT & Digitalisering er ansvarlig for at kommunen overholder gældende lovgivning og er ansvarlig for, at alle eksterne sikkerhedskrav rettet mod kommunen klarlægges, dokumenteres og løbende vedligeholdes. ITsikkerhedslederen skal, sammen med lovgruppen, HR og sikkerhedschefen, gennemgå it-sikkerhedshåndbogen og verificere at denne overholder gældende lovgivning Immaterielle rettigheder IT & Digitalisering har det overordnede ansvar for, at medarbejderne fastholder opmærksomheden på ikke at krænke tredjeparts ophavsrettigheder og skal vedligeholde oversigt og dokumentation for ejendomsretten af software-licensaftaler, at der er et tilstrækkeligt antal og at ophavsretten ikke brydes. Endvidere skal de tilse, at kun kendt software, med et defineret formål, anskaffes og sættes i drift og skal indkøbe eller godkende indkøb af software, samt godkende software, der er installeret på kommunens systemer. IT & Digitalisering skal vedligeholde en liste over tilladte programmer. og er udelukkende dem der må installere it programmer. Brugere må installere programmer på kommunens arbejdsstationer forudsat at IT & Digitalisering har godkendt dispensationsansøgning. Medarbejdere må ikke forpligte kommunen ved at acceptere licensvilkår i software, som ikke er accepteret af IT & Digitalisering Beskyttelse af registreringer IT & Digitalisering sikrer at behandling af personrelaterede informationer logges automatisk. IT-sikkerhedslederen er ansvarlig for at overholdelse af persondatalovgivning finder sted i kommunen. Mail med følsomme oplysninger skal slettes senest efter 30 dage. Gerne efter journalisering. Det er ikke tillad at behandles personoplysninger af fortrolig karakter på en privat pc Privatlivets fred og beskyttelse af personoplysninger IT & Digitalisering sikrer at behandling af personrelaterede informationer logges automatisk. IT-sikkerhedslederen er ansvarlig for at overholdelse af persondatalovgivning finder sted i kommunen. Mail med følsomme

10 oplysninger skal slettes senest efter 30 dage. Gerne efter journalisering. Det er ikke tillad at behandles personoplysninger af fortrolig karakter på en privat pc Regulering af kryptografi Alle medarbejderes brug af kommunens it-systemer logges og derved har kommunen mulighed for at få indsigt i den enkelte medarbejders aktiviteter Gennemgang af informationssikkerhed Uafhængig gennemgang af informationssikkerhed IT-sikkerhedsleder sikre at outsourcing-partnere fremsender ekstern revisionsrapport, mindst en gang om året, med mindre kommunens risikovurdering ikke tilsiger dette Overensstemmelse med sikkerhedspolitikker og sikkerhedsstandarder IT & Digitalisering er ansvarlig for at der mindst en gang årligt udføres systematisk opfølgning på overholdelse af sikkerhedspolitikken i hele kommunen. Resultatet skal rapporteres til Operationelt forum for digitalisering og velfærdsteknologi. Hver enkelt leder skal løbende sikre at sikkerhedspolitikken bliver overholdt inden for eget ansvarsområde. ITsikkerhedslederen skal kontrollere, at sikkerhedspolitikken er indarbejdet i organisationen og overholdes. Kontrollen skal foretages mindst en gang årligt Undersøgelse af teknisk overensstemmelse IT & Digitalisering er ansvarlig for at der mindst to gange om året udføres uddybende sikkerhedstests af sikkerhedsniveauet D netværksudstyr og servere. Mindst en gang om året skal der udføres uddybende sikkerhedstest af sikkerhedsniveauet i internt netværksudstyr og servere der er tilgængelige fra internettet.