Operationel It-sikkerhedspolitik

Transkript

1 Operationel It-sikkerhedspolitik Udmøntning af Esbjerg Kommunes Overordnede It-sikkerhedspolitik som er godkendt af byrådet den X. måned 2014 Ved udskrivning af politikken skal du være opmærksom på, at du anvender senest godkendte version. maj 2014 Acadre sags nr. 14/8285

2 1 Indledning Mål og sikkerhedskrav Overholdelse af lovgivning og eksterne krav Retningslinjer Sikker drift Retningslinjer Fysisk sikkerhed Retningslinjer Brug af data og systemer Retningslinjer Projekter Retningslinjer Håndtering af hændelser Retningslinjer Beredskabsstyring Retningslinjer Sporbarhed Retningslinjer Evaluering Sikkerhedsniveau Organisation og ansvar It Den generelle styring af it-anvendelsen It-sikkerhedskoordineringsfunktionen Individuelt ansvar Øverste It-sikkerhedsansvarlige Direktør Ejere af informationsaktiver/systemejere Brugeransvarlig/it-sikkerhedsleder Direktørområdets It-sikkerhedskoodineringsfunktion Brugere Autorisationsmedarbejdere Organisatoriske enheders ansvar Udarbejdelse af retningslinjer og instrukser Politik for evaluering Værktøjer Dispensationer Overtrædelser af it-sikkerhedspolitikken

3 1 Indledning Jf. den overordnede it-sikkerhedspolitik, der er godkendt af byrådet i Esbjerg Kommune, fastlægger kommunaldirektøren den operationelle it-sikkerhedspolitik. Den operationelle it-sikkerhedspolitik præciserer organisering, roller, ansvars- og kompetencefordeling og er udarbejdet med udgangspunkt i Esbjerg Kommunes Organisationshåndbog. Den operationelle politik beskriver endvidere på hvilke områder, der skal udarbejdes retningslinjer og hvad retningslinjerne skal stille krav om. På udvalgte områder udarbejdes konkrete retningslinjer og instrukser. Politikker, retningslinjer og instrukser (bilag 1) danner en sammenhængende og operationel itsikkerhedspolitik for Esbjerg Kommune, herefter omtalt som it-sikkerhedspolitikken. Kommunens it-sikkerhedspolitik er minimumskrav og forhindrer ikke, at den enkelte forvaltning eller enhed stiller strengere krav, hvis der er særlige forhold i området, som nødvendiggør et højere sikkerhedsniveau. 2 Mål og sikkerhedskrav Den overordnede sikkerhedspolitik fastlægger 9 delmål for informationssikkerhed. Dette afsnit beskriver, hvordan det sikres, at delmålene opfyldes. Følgende gennemgående principper skal anvendes ved fastlæggelse af sikkerhedsindsatsen for hvert af de 9 delmål. Kommunens omdømme og troværdighed. Det skal kunne dokumenteres, at kommunen har levet op til god forvaltningsskik. Lovgivning og aftaler med eksterne samarbejdspartnere. Kravene til informationssikkerhed i lovgivning og samarbejdsaftaler skal være kortlagt og sikringsforanstaltningerne etableret i overensstemmelse hermed Risikovurdering. Indsatsen skal stå i forhold til de konkrete risici. Risikovurderingen skal være eksplicit i forhold til hhv. fortrolighed, integritet og tilgængelighed. Ensartethed. Der skal være det samme basale sikkerhedsniveau i hele kommunen. Effektivitet. Der skal tilstræbes den kombination af forebyggende, opdagende og udbedrende tiltag, som giver mest sikkerhed for pengene. Fleksibilitet. Retningslinjer skal beskrives på et niveau, så de er anvendelige på tværs af dagligdags forandringer og ikke-sikkerhedsrelevante forskelle mellem organisatoriske enheder, teknologi og opgaver. Retningslinjer skal beskrive ansvar, organisering og generelle krav og skal sikre, at der er etableret de nødvendige kontrolmuligheder, så man er i stand til at følge op på og justere den sikkerhedsmæssige indsats. 2.1 Overholdelse af lovgivning og eksterne krav Informationsanvendelsen skal overholde gældende lovgivning og eksterne krav. Brug af en række informationer og systemer er omfattet af lovgivning. Lovgivning om it-sikkerhed handler blandt andet om beskyttelse af borgerne, informationer der er vigtige for samfundet og om informationer, som har en historisk eller kulturel værdi. Derudover er efterlevelse af den lovgivning, som regulerer kommunernes styring og opgaver ofte baseret på it-systemer. Som eksempler på lovgivning, der har betydning for informationssikkerhed og itanvendelsen i kommunen, kan nævnes: Persondatalovgivning. Regulerer anvendelsen af personoplysninger, uanset form og medie. Forvaltningslovgivning. Stiller krav om korrekt og tilstrækkelig dokumentation for forvaltningsmæssig virksomhed. Regler for offentligt ansattes tavshedspligt

4 Styrelsesloven. Omfatter blandt andet krav til økonomistyring og til data som er relevante for regnskabsaflæggelsen. Offentlighedsloven. Sikrer offentligheden ret til indsigt i visse informationer om myndighedsbeslutninger. Arkivlovgivning. Regulerer forholdet mellem myndigheder og Statens Arkiver. Eksempelvis krav om systemuafhængige arkiveringsversioner Lovgivning om ophavsret. Omhandler retten til brug af it-systemer og rettighedsbeskyttet indhold. Eksempelvis billeder, musik, video og publikationer. Straffelovgivning. Eksempelvis 235, 226 vedr. distribution af billeder af seksuelle overgreb mod børn og 263 og 279a vedr. it-kriminalitet Lovgivning om markedsføring og immaterielle aktiver, som eksempelvis regulerer offentliggørelse af sammenligningsinformationer og erhvervshemmeligheder. Folketingsbeslutning B103, om brug af åbne standarder for informationer og informationsbehandling i den offentlige sektor, er også relevant Retningslinjer For lovkrav og andre eksterne krav, som går på tværs af systemer og forvaltninger skal der udarbejdes retningslinjer, som sikrer en ensartet håndtering af kravet. I nogle tilfælde kan det være tilstrækkeligt at indarbejde kravet i øvrige retningslinjer. Der skal foreligge retningslinjer for: Beskyttelse er personhenførbare oplysninger, som præciserer, hvordan kommunen efterlever sikkerhedsbekendtgørelsen. Anvendelse af digital signatur. Anvendelsen har juridiske implikationer og er samtidig et krav jf. B103. I de tilfælde, hvor et krav vedrører en specifik myndighedsopgave kan det være tilstrækkeligt at indarbejde kravet i instrukser, arbejdsgangsbeskrivelser, driftshåndbøger med videre. Der skal med passende intervaller følges op på den aktuelle efterlevelse af krav i lovgivning og aftaler med eksterne parter. Sikringsforanstaltningerne skal muliggøre kontrol af efterlevelse og konstaterede brud på efterlevelsen skal registreres. Ved nyanskaffelser og større ændringer skal konsekvenser for efterlevelse af lovgivning og eksterne krav vurderes. Identificerede brud på lovgivningen skal registreres via it-service systemet. 2.2 Sikker drift Der skal sikres et driftsmæssigt stabilt, sikkert, let tilgængeligt og funktionelt itserviceniveau, hvor data er tilgængelige og beskyttet efter følsomhed og betydning for kommunen. Kritiske it-driftsprocesser skal være formaliseret og systematisk overvåget. Kommunens forvaltninger, interne servicefunktioner, borgerne, erhvervslivet, politikere og samarbejdspartnere forventer et højt it-serviceniveau. Når systemer svigter, afkobles kommunen i praksis fra omverdenen og en række opgaver vil ikke kunne løses. Det går ud over kommunens omdømme. For at sikre en korrekt og betryggende driftsafvikling skal kritiske driftsopgaver identificeres og styres systematisk. I Esbjerg Kommune er det besluttet at tage udgangspunkt i ITIL (en standard, som beskriver praksis for it-servicemanagement). Det betyder i praksis, at It drives som en virksomhed, der leverer it-services i henhold til et aftalt serviceniveau, som garanteres i kraft af et kvalitetsstyringssystem. Service- og sikkerhedsniveauet fastlægges ud fra en forretningsmæssig risiko- og behovsvurdering, og aftales med repræsentanter for brugergrupperne(kunderne). Niveauet dokumenteres i serviceaftaler, retningslinjer, procedurebeskrivelser og anden driftsdokumentation

5 2.2.1 Retningslinjer Der skal udarbejdes retningslinjer for driftsprocesserne og retningslinjerne skal afspejle system- og dataejeres krav. Retningslinjerne skal beskrive kravene til: Operationelle procedurer og ansvarsområder. Driftsafviklings-procedurer, ændringsstyring, funktionsadskillelse i it-driften og adskillelse mellem udvikling, test og drift. Styring og anvendelse af eksterne serviceleverandører. Aftaleindgåelse og godkendelse af serviceleverancen, overvågning af leverandøren, ændringsstyring hos leverandøren. Styring af driftsmiljøet. Kapacitetsstyring(People, Processes, Partners, Performance), godkendelse og idriftsættelse af nye systemer. Beskyttelse mod mobil kode og skadevoldende programmer. Afvikling af activex, Java mm. på kommunens servere og pc er, antivirus, håndtering af sikkerhedshændelser mm. Sikkerhedskopiering. Procedurer for backup og retablering af data og systemer, beskyttelse af backupmedier. Netværkssikkerhed. Fjernarbejdspladser, lokalnet, fysiske og logiske netværk. Databærende medier. Beskyttelse af bærbare medier, destruktion af medier, beskyttelse af data på medierne, herunder systemdokumentation. Beskyttelse af elektroniske kanaler til informationsudveksling. Mail, webbaseret, kiosk-pc er, ip-telefoni, sociale medier, intranet og ekstranet etc. Elektroniske services. Handel og elektroniske betalinger, selvbetjeningsløsninger mv. Logning og overvågning. Efterforskning af fejl og misbrug, Overvågning af sikkerhedsrelaterede hændelser, dokumentation for serviceniveau, anvendelse af udvidede rettigheder. Retningslinjerne skal beskriver et minimumsniveau, som skal overholdes uanset hvordan og af hvem en it-service leveres. Eventuelle særlige behov, som går udover det fælles minimumsniveau, skal aftales eksplicit med respektive systemejere. 2.3 Fysisk sikkerhed Der hvor informationer, systemer, infrastruktur og data anvendes og opbevares, skal der etableres en passende fysisk sikkerhed mod eksempelvis brand, vandskade, tyveri, hærværk, skader forårsaget af menneskelige fejl mv. Driftsmiljøet og vigtige arbejdsgange skal kunne videreføres inden for en af ledelsen besluttet tidshorisont. En række af de hændelser, som kan true informationssikkerheden, skyldes forhold i de fysiske omgivelser. Ofte er det naturen eller medarbejderes fysiske omgang med informationer og systemer, som er årsagen til en sikkerhedshændelse. Den fysiske sikkerhed omkring informationsaktiverne skal tilrettelægges og styres efter følgende principper: Indsatsen skal koordineres med den eksisterende sikkerhedsorganisation, som har ansvar for den generelle fysiske sikkerhed, herunder medarbejdersikkerhed. Medarbejdersikkerheden har altid forrang for informationssikkerheden. Eksempelvis må flugtveje i tilfælde af brand aldrig blokeres. Ændringer i de fysiske omgivelser må ikke føre til sikkerhedsbrud. Eksempelvis ved om- og tilbygninger, vejarbejde mv. Der skal være en ensartet sikkerhed omkring informationsaktivet uanset hvor det befinder sig. Hvis det samme fysiske niveau ikke kan garanteres skal logiske og administrative foranstaltninger kompensere tilsvarende, så sikkerhedsmålsætningen fastholdes

6 2.3.1 Retningslinjer Der skal være retningslinjer, som beskriver kravene til den generelle fysiske sikkerhed omkring informationsaktiverne. Retningslinjerne skal stille krav til: Sikre områder. Opdeling i zoner og fysisk afgrænsning, adgangs-kontrol mellem zoner, sikkerheden omkring arbejdspladser. Beskyttelse af udstyr i kommunen. Opbevaring og placering af udstyr, medier og arkiver, forsyningssikkerhed, sikring af kabler og føringsveje, vedligeholdelse af anlæg og udstyr. Beskyttelse af udstyr uden for kommunen. Udstyr uden for kommunens overvågning, bortskaffelse eller genbrug af udstyr, flytning af udstyr og arkiver. 2.4 Brug af data og systemer Følsomme og kritiske informationsaktiver skal beskyttes mod uautoriseret adgang og ændring. Både kommunens egne og andres. Adgang og rettigheder til at læse, ændre og slette data giver potentielt mulighed for en række alvorlige sikkerhedsbrud. Endvidere stiller lovgivningen krav om dokumentation for af hvem og til hvilket formål data er tilgået/anvendt. Der er på den anden side også effektivitets- og fleksibilitetsomkostninger ved adgangsstyring. Det rette niveau skal fastlægges med udgangspunkt i følgende principper: Esbjerg Kommune har en enhedsforvaltning. Med mindre lovgivningen kræver det, kan alle medarbejdere i en enhed løse de samme opgaver. Profiler skal beskrives, så der er klarhed over hvem der kan hvad. Det skal sikres, at en enkelt person med sine tildelte rettigheder ikke alene kan forårsage katastrofalt tab eller skade. Rettigheder skal afspejle det aktuelle behov. Udvidede rettigheder skal have særlig opmærksomhed. Såfremt der ikke kan opnås fuld funktionsadskillelse, etableres alternative kontrolmuligheder f.eks. overvåget fysisk adgangskontrol, så et tilsvarende sikkerhedsniveau opnås Retningslinjer For at beskytte informationer, it-systemer og data mod uvedkommendes adgang og manipulation, skal der fastlægges retningslinjer for: Fastlæggelse af de forretningsmæssige krav til adgangs-styring. Adgangsstyring og tildeling af adgang Administration af brugeradgang. Registrering af brugere, udvidede adgangsrettigheder, adgangskoder, revision af rettigheder. Brugernes ansvar. Brug af adgangskoder, beskyttelse af uovervåget udstyr, beskyttelse af datamedier på den personlige arbejdsplads. Styring af netværksadgang. Brug af netværkstjenester(internet mm.), autentifikation af eksterne brugere, identifikation af netværksudstyr, beskyttelse af diagnose og konfigurationsporte, opdeling af netværk, styring af netværksadgang, styring af netværksruter. Styring af systemadgang. Sikre log-onprocedurer, identifikation og autentifikation af brugere, systemer til styring af adgangskoder, brug af systemværktøjer, adgangs- og netværksforbindelsestider, adgang til data og systemer via andre systemer Mobilt udstyr og fjernarbejdspladser. Sikringsforanstaltninger omkring det mobile udstyr og fjernarbejdspladser, opsætning og anvendelse af fjernarbejdspladser

7 2.5 Projekter Anskaffelse, udvikling og vedligeholdelse af it-systemer må ikke bryde sikkerhedsniveauet. Projekt- og ændringsstyring skal være formaliseret og kritiske projekter kræver en ledelsesgodkendt risikovurdering. Definition og styring af informationssikkerhed er et gennemgående element ved gennemførelsen af it- og digitaliseringsprojekter. Generelt kan et projekt opdeles i faser, som nedenstående figur illustrerer: Mulighed Krav Plan Implementering Test Drift Udfasning Nyanskaffelser og større ændringer skal gennemføres som et formaliseret ændringsprojekt, hvor de sikkerhedsmæssige krav til selve løsningen og den efterfølgende drift beskrives. Gennemførelse af projekter skal ske på en måde, så det fastlagte sikkerhedsniveau fastholdes. Det indebærer, at udviklings-, test- og driftsmiljøer og -aktiviteter skal være adskilt Retningslinjer Der skal udarbejdes retningslinjer for anskaffelse, udvikling og implementering af informationsteknologi, som beskriver kravene til: Fastlæggelse af sikkerhedskrav. Analyse af sikkerhedsbehov, identifikation af mulige sikringstiltag, beskrivelse af sikkerhedskravene til løsningen. Korrekt informationsbehandling. Sikring af it-systemers behandling af informationer, validering af inddata, kontrol af korrektheden af data, som er behandlet af og er i systemet, kommunikation mellem systemer, validering af uddata. Kryptografi. Anvendelse af kryptografi, håndtering af krypteringsnøgler. Test og idriftsættelse. Beskyttelse af testdata i henhold til klassifikation, installation af systemer i driftsmiljøer. Adgang til kildekode. Beskyttelse mod uautoriserede adgang til og ændringer i kildekode. Ændringsstyring. Proces for ændringsstyring, kontrol af afledte effekter efter gennemførte ændringer, ændringer af standardsystemer, ekstern bistand til systemudvikling Sårbarhedsstyring. Proces for identifikation og implementering af beskyttelse mod sårbarheder. 2.6 Håndtering af hændelser Der skal etableres et beredskab og en parathed, så skaden ved kritiske hændelser holdes på et minimum. En væsentlig faktor for implementering og vedligeholdelse af en betryggende informationssikkerhed, er et effektivt hændelsesstyringssystem. Hændelsesstyringen sørger for, at der er reaktionsprocedurer, som effektivt begrænser skaden ved sikkerhedsbrud og kan i mange tilfælde forhindre, at en hændelse udvikler sig til en egentlig beredskabssituation. Registrering af hændelser giver samtidig et grundlag for at vurdere sikkerhedsindsatsens effektivitet, herunder om der er en fornuftig balance imellem forebyggende, opdagende og udbedrende foranstaltninger. Håndteringen af sikkerhedshændelser hænger sammen med både den fysiske sikkerhed og med s generelle hændelsesstyring og support. Eksempler på sikkerhedshændelser er: Tab af tilgængelighed, udstyr eller faciliteter - 7 -

8 Systemfejl eller overbelastning Menneskelige fejl Afvigelser fra fastlagte procedurer Brud på den fysiske sikkerhed Ukontrollerede ændringer i systemer Fejl i udstyr Brud på adgangskontrollerne Skadevoldende kode på kommunens udstyr Angreb mod kommunens installation via netværket Retningslinjer Der skal udarbejdes retningslinjer, som sikrer en ensartet og koordineret håndtering af sikkerhedsrelaterede hændelser. Registreringen af sikkerhedshændelser skal ske på en måde, som understøtter evaluering. Retningslinjerne skal beskrive kravene til: Rapportering af sikkerhedshændelser og svagheder. Kriterier for rapportering af hændelser og eskalering til ledelsen, registrering og kvittering for indrapporterede hændelser, registrering og behandling af rapporterede svagheder. Håndtering af sikkerhedsbrud og forbedringer. Reaktionsprocedurer, prioritering af hændelser, indsamling af beviser, udbedring og eskalering til en beredskabssituation, fremadrettet forebyggelse. s incident management proces skal kunne registrere og håndtere sikkerhedsbrud via it-servicedesk. Teknisk-relaterede svagheder håndteres af problem management processen. 2.7 Beredskabsstyring Der skal etableres et grundlag for videreførelse af kommunens kritiske opgaver i en undtagelsestilstand. Ved hændelser, hvor eksempelvis en central del af infrastrukturen ødelægges, vil de normale processer for drift og hændelsesstyring ikke fungere. Det kan betyde, at en række af kommunens kritiske opgaver, som eksempelvis ældreomsorgen, ikke kan udføres. Der skal derfor etableres en beredskabsstyring på it-området, som gør det muligt for kommunen at videreføre alle kritiske opgaver inden for en fastlagt tidsfrist. I tilfælde af en større ulykke, eksempelvis en brand eller eksplosion, kan det generelle beredskab tilsvarende være iværksat og tilmed kræve it-understøttelse. Det generelle beredskab og it-beredskabet skal koordineres, så fysiske, tekniske og menneskelige forhold håndteres effektivt Retningslinjer Der skal være retningslinjer, som beskriver kravene til; Identifikation af beredskabsbehovet. Risikovurdering, ressourcebehov. Udarbejdelse og implementering af beredskabsplaner. Fælles planer, lokale planer, ekstern bistand i en beredskabssituation, beskyttelse og sikring af beredskabsinformation Afprøvning, vedligeholdelse og revurdering af beredskabsplaner. Grundighed og frekvens for afprøvning, opdatering ved ændringer i driftsforhold, lovgivning mm, revurdering ved større ændringer

9 2.8 Sporbarhed Adgang til og ændring af følsomme eller kritiske informationsaktiver skal kunne spores til personen, der har foretaget handlingen. Sporbarheden etableres ved overvågning og logning af aktiviteter, som vedrører informationer, arkiver og systemer. Fysiske aktiviteter skal også overvåges og logges. Revisions- og transaktionsspor giver mulighed for: at kunne dokumentere korrekt sagsbehandling og administration efterforskning af misbrug af data og systemer, samt som bevismateriale. opklaring af misforståelser omkring anvendelse af rettigheder Overvågning og logning har også en præventiv effekt på linje med eksempelvis overvågningskameraer og underskrifter på juridisk bindende papirer. Anvendelse af udvidede rettigheder skal altid logges og overvåges Retningslinjer Krav til sporbarhed skal indarbejdes i retningslinjer, som eksplicit skal formulere krav til informationerne i logningsmaterialet: hvem, der har foretaget en bestemt handling (brugerens ID eller andet identitetsbevis), hvornår handlingen er foretaget (tidspunkt), hvad der er foretaget hvilken person handlingen har vedrørt, eller det anvendte søgekriterium. Samt krav til anvendelse af overvågning: hvor der skal etableres overvågning hvor tit overvågningsmaterialet analyseres I nogle tilfælde, hvor en detaljeret adgangsstyring ikke er mulig, eller hvor prisen herfor vil være uforholdsmæssig høj, kan overvågning og logning, samt procedurer for løbende kontrol af anvendelse af rettigheder, kompensere og dermed effektivt give samme sikkerhedsniveau. I så fald skal dette, samt resultatet af overvågning fremgå af dokumentationen. 2.9 Evaluering It-sikkerhedsindsatsen skal evalueres mindst en gang årligt og ved væsentlige organisatoriske, tekniske eller fysiske ændringer. Evalueringen skal ske: på kommunalt niveau på forvaltningsniveau på enhedsniveau i forhold til de organisatoriske enheder, som jf. afsnit 4 har et særligt ansvar for informationssikkerheden På rolleniveau i forhold til de personer, som jf. afsnit 4 har et ansvar for informationssikkerheden. Evalueringen skal levere grundlaget for at kunne vurdere efterlevelsen af ovenstående delmål, herunder selve formen for evalueringen. Der skal anvendes fælles værktøjer til evalueringen for at kunne vurdere, hvorvidt der er sikret et ensartet sikkerhedsniveau i alle organisatoriske enheder. Resultatet af evalueringen skal, foruden opfyldelsen af ovenstående delmål også vurderes i forhold til om korrigerende handlinger kan påvirke effektivitet og brugertilfredshed. Endelig skal selve politikken evalueres hvert fjerde år, i forbindelse med tiltrædelse af nyt byråd, for at sikre, at politikken modsvarer et aktuelt behov

10 3 Sikkerhedsniveau Informationer og data afgrænses til bestemte områder afhængig af datas betydning og krav til beskyttelse mod uvedkommendes adgang og manipulation. Til hvert område fastlægges operationelle krav til sikkerheden. Der sikres opretholdelse af et ensartet sikkerhedsniveau indenfor hvert område. De konkrete it-anvendelser tilknyttes bestemte sikkerhedsområder afhængig af databehandlingens formål og sikkerhedskrav. Disse vurderinger og analyser foretages af systemejeren og dokumenteres. Afgrænsning af informationer og data skal ske med særlig vurdering af krav til tilgængelighed, troværdighed og fortrolighed ud fra en risiko- og konsekvensanalyse af de enkelte datatyper. Disse vurderinger og analyser foretages af systemejeren og dokumenteres. Kravene til tilgængelighed og systemadgang skal især vurderes på, hvem der har udvidede beføjelser i forhold til tilretning af data og systemer, f.eks. hvorledes data håndteres, opbevares og makuleres. Disse vurderinger og analyser skal foretages af systemejeren efter behov. -chefen fastlægger retningslinjer for krav til vurderinger og risiko-/ konsekvensanalyser, samt overordnet afgrænsning af informationer og data, ligesom de operationelle krav til it-sikkerhed udmøntes i retningslinjer jf. bilag 1. 4 Organisation og ansvar Overordnet ansvars- og kompetencefordeling for informationssikkerhedsområdet fremgår af Overordnet it-sikkerhedspolitik, kapitel 6. Styringen af Esbjerg Kommunes informationssikkerhed er organiseret som vist i figuren nedenfor. Organiseringen tager afsæt i eksisterende it-styringsprincipper og i, hvordan styringsopgaverne hænger sammen med medarbejderes og organisatoriske enheders øvrige opgaver. Både det forretningsmæssige ansvar og det driftsmæssige ansvar beskrives i figur 2. Det forretningsmæssige ansvar er kort fortalt at sikre en balance mellem kommunens mål, omdømme og økonomi, og It-sikkerhedsindsatsen. Det driftsmæssige ansvar består i at levere services og udføre opgaverne i overensstemmelse med retningslinjerne og aftaler mellem forretningsenheder og driftsenheder. Den røde farve viser hvilke enheder/roller, som har et endeligt ansvar og beslutningskompetence. Den blå farve indikerer et udførende ansvar. Bilag 1 uddyber figur er strategisk partner for Esbjerg Kommunes direktion og forretningsenheder, og er leverandør af it-drifts, udviklings, og supportydelser til hele kommunen. Opgaverne vedrørende it-styring fremgår af nedenstående tegning: har ansvar for sammenhæng imellem aktiviteterne på tegningen ovenfor og for at aktiviteterne understøtter kommunens overordnede målsætninger. Digitaliserings- og It godkender nyanskaffelser, digitale samarbejder, dispensationer og behandler sager om it-sikkerhedsbrud

11 Byrådet Øverste it-sikkerhedsansvarlige (Kommunaldirektør) It-sikkerhedsansvarlige (-chef) Direktion It-strategigruppe It-koordineringsgruppe Enheder med risikostyrings opgaver Direktørområder It-sikkerhedskoordineringsfunktion System ejere Administratorer Brugere Den generelle styring af it-anvendelsen et vedr. it-opgaver er beskrevet i organisationshåndbogen. Styringen af itanvendelsen koordineres af. har den it-ledelsesfaglige ekspertise og det er, som er ansvarlig for: At der med udgangspunkt i god praksis for it-styring vedligeholdes en struktur og organisering vedrørende beslutninger om: - It-principper - It-arkitektur - It-infrastrukturen - Applikationer - Investeringer i it Beskrivelse og implementering af formelle processer for sikring af overensstemmelse med politikker på digitaliserings- og it området. Kommunikation og uddannelse til organisatoriske enheder og rolleindehavere om deres it-styringsansvar og opgaver It-sikkerhedskoordineringsfunktionen Styring af informationssikkerheden varetages af en it-sikkerhedskoordineringsfunktion, som er organisatorisk placeret i. It-sikkerhedskoordineringen udføres for

12 Kommunaldirektøren og -chefen er øverste It-sikkerhedsansvarliges stedfortræder i it-sikkerhedsspørgsmål. En nærmere beskrivelse af it-koordineringsfunktionens ansvar er beskrevet i bilag Individuelt ansvar Dette afsnit fastlægger ansvaret for medarbejdere i Esbjerg Kommune. Medarbejdere, som er ansat på midlertidige kontrakter, er også omfattet. Afsnittet beskriver opgaver og handlinger, som skal udføres for at efterleve sikkerhedspolitikken og retningslinjerne. Der kan være sammenfald mellem rollerne. Eksempelvis kan en forvaltningsdirektør være ejer af bestemte informationsaktiver. Vær dog opmærksom på, at krav om funktionsadskillelse i nogle tilfælde forhindrer personsammenfald Øverste it-sikkerhedsansvarlige Kommunaldirektøren har, som Esbjerg Kommunes øverste it-sikkerhedsansvarlige, ansvaret for at følge den generelle udvikling i risikobilledet, herunder konsekvenserne af den øgede digitalisering af den offentlige sektor. En nærmere beskrivelse af Øverste itsikkerhedsansvarliges ansvar er beskrevet i bilag Direktør Direktøren har inden for eget område ansvaret for sikring og overholdelse af itsikkerhedspolitikken og tilhørende retningslinjer og instrukser, herunder også for områdets informationsaktiver. En nærmere beskrivelse af direktørernes ansvar er beskrevet i bilag Ejere af informationsaktiver/systemejere Informationsaktiver er informationer og systemer, som er væsentlige for kommunens opgavevaretagelse og myndighedsansvar. Ejer betyder ansvar for, at et aktiv beskyttes i henhold til retningslinjer og politik. Ejere fastlægger hvem der må få adgang til aktivet, under hvilke betingelser aktivet må anvendes og hvordan aktivet skal beskyttes. Principper for placeringen af ejerskab og ejerens ansvar er beskrevet i bilag 2. Organisering af informationsaktiver Esbjerg Kommune anvender et meget stort antal systemer og der kommer flere til i takt med digitaliseringen af den offentlige forvaltning. For at sikre en effektiv og ensartet sikkerhed på tværs af systemer med samme sikkerhedsbehov, skal systemerne kategoriseres efter mission og sikkerhedsbehov. Kategoriseringen skal fremgå af en systemoversigt med reference til ejeren af informationsaktivet Brugeransvarlig/it-sikkerhedsleder Brugeransvarlige er medarbejdere, som har det direkte ansvar for andre medarbejderes adgang til et informationsaktiv. Brugeransvarlige er typisk mellemledere og funktionsledere, projektledere, teamledere eller administratorer. Eksempler på brugere er medarbejdere, borgere, foreninger, andre myndigheder, andre kommuner, politikere, konsulenter, erhvervslivet eller leverandører Direktørområdets It-sikkerhedskoordineringsfunktion Direktører for forvaltningerne har ansvaret for at nedenstående koordineringsopgaver udføres. Direktører kan vælge at udpege en It-sikkerhedskoordinator til at varetage den overordnede styring af informationssikkerheden i direktørområdet. Hvis området har en itkoordinatorfunktion med ansvar for styring og planlægning af it-anvendelsen i direktørom

13 rådet, kan opgaverne eventuelt placeres her. Direktørområdets Itsikkerhedskoodineringsfunktion ansvar er beskrevet i bilag Brugere En bruger er en medarbejder eller en tredje part, som har fået adgang til kommunens informationer og systemer. Brugernes ansvar er beskrevet i bilag 2. Efterleve reglerne for accepteret brug af Esbjerg Kommunes informationsaktiver. Rapportere observerede eller formodede it-sikkerhedsbrud, herunder misbrug af bruger-id, i overensstemmelse med hændelsesstyringsprocessen. Sikre fortroligheden af tildelt password. Brugere må ikke dele passwords, tokens mm. med andre personer. Tilsvarende bør det undgås at gøre supportfunktioner afhængige af kendskabet til brugerens password. Ændre password omgående ved mistanke om kompromittering Autorisationsmedarbejdere Autorisationsmedarbejdere har ansvaret for den tekniske administration af brugerrettigheder. Det kan eksempelvis være den generelle oprettelse af brugere, autorisation af brugere til systemerudstedelse af digital signatur, oprettelse af brugere til eksterne samarbejdspartneres systemer, systemadministrator-brugere mv. Oprettelse af brugere, der er blevet autoriseret til at bruge et system. Gennemføre bestilte ændringer i brugeres adgang og rettigheder. Overvåge og eventuelt nedlukke inaktive brugerkonti i henhold til de fastlagte krav. Spærring af brugeradgang i henhold til hændelsesstyringsprocessen. Løbende verifikation af brugerroller og rettigheder i henhold til systemejers krav. Levering af oplysninger om brugeropsætning til brugeransvarlige og informationsejere. 4.3 Organisatoriske enheders ansvar Nogle af Esbjerg Kommunes enheder har et særligt ansvar for it-sikkerheden, såvel tværgående som inden for forvaltningens eget område. Organisationshåndbogen, samt den overordnede og operationelle it-sikkerhedspolitik beskriver den overordnede organisering. Følgende organisatoriske enheder har et særligt ansvar som er nærmere beskrevet i bilag 3: Byrådet Direktionen Fællesforvaltningen Personale og udvikling Fællesforvaltningen Rådhusservice Fællesforvaltningen Beredskab Fællesforvaltningen Kommunikationssekretariatet Teknik og Miljø - Ejendomme 5 Udarbejdelse af retningslinjer og instrukser Der udarbejdes og vedligeholdes uddybende retningslinjer og instrukser, jf. afsnit 2 og oversigten i bilag 1. Retningslinjer på it-sikkerhedsområdet udarbejdes og vedligeholdes centralt af It

14 6 Politik for evaluering Politik for evaluering beskriver de generelle retningslinjer for, hvordan der foretages evaluering i Esbjerg Kommune. It-sikkerhedspolitikken beskriver sammen med retningslinjerne et koncept for styring af informationsrisici, også kaldet et ISMS (Information Security Management System). Et ISMS svarer til et kvalitetsstyringssystem og efterlevelse af ISO indebærer, at ISMS et opfylder de krav, som ISO 9001 fastlægger til et kvalitetsstyringssystem. Krav til systematik, metode og dokumentation er derfor opfyldt. Evalueringer kan indeholde fortrolige og personfølsomme oplysninger. Som hovedregel skal de indsamlede oplysninger derfor beskyttes mod uvedkommendes adgang. Konklusioner skal offentliggøres men anonymiseres, hvis de udgør en risiko. Evaluering af it-sikkerhed udføres på alle niveauer i kommunen. 7 Værktøjer Værktøjer, som understøtter den tværgående indsats og evaluering leveres af Digitalisering & It. Krav om brug af værktøjer fastlægges i politikken og i retningslinjer. 8 Dispensationer Tilladelse til at opretholde et lavere sikkerhedsniveau end fastlagt i politikken, kan kun gives ved skriftlig tilladelse fra den øverste ledelse og -chefen. 9 Overtrædelser af it-sikkerhedspolitikken Kommunens lokale enheder skal registrere når der opstår overtrædelser af gældende retningslinjer, procedurer eller instrukser. -chefen skal løbende overvåge it-anvendelsen. Såfremt der opstår afvigelser i driftsstabiliteten så som tab af data, systemfejl, nedbrud, nødsituationer eller andre sikkerhedsmæssige krænkelser fx. misbrug eller forsøg på misbrug, herunder installering af programmer som i sin natur er ødelæggende for it-anvendelsen, skal det rapporteres til Digitalisering & It-chefen. Overtrædelser af kommunens It-sikkerhedspolitik eller andre bestemmelser som er udmøntet heraf, vil blive behandlet af ledelsen afhængig af karakteren af overtrædelsen. Overtrædelser rapporteres til

15 Ensartet tilgang Integreret med ERM Risikobevidste beslutninger Dataindsamling Analyse af risici Vedligeholde risikoprofil Kommunikere risici Kontrollere risici Reaktionsprocedurer Fællesforvaltning Bilag 1 til den Operationelle it-sikkerhedspolitik (Acadre sag 14/8285) maj 2014 Organisering og ansvar for it-sikkerhed i Esbjerg kommune Rolledefinitioner Risikoledelse Risikovurdering Risikohåndtering Rolle Byråd Kommunaldirektør Direktion It-sikkerhedsansvarlige (Digitalisering & It-chef) Digitalisering & It-chef It-strategigruppe It-koordinerings gruppe Forvaltningschefer Systemejere Forvaltningskoordinatorer Personale & Udvikling Rådhusservice Beredskab Beskrivelse Kommunens øverste ledelsesniveau. Fastlægger principperne for styring af kommunens risici på alle områder, herunder også på it-området. for udmøntning af byrådets styringsprincipper i kommunen. Det endelige ansvar for tværgående ledelsesmæssige problemstillinger. Den rolle, som sikrer, at itrisikostyringsaktiviteter gennemføres. Svarer til en kvalitetschefs rolle. Sikrer sammenhæng mellem it og forretningsstrategier og at it-services lever op til serviceaftaler. Behandler tværgående ledelsesmæssige problemstillinger. Skaber konsensus om it-risikostyringsaktiviteter Behandler de praktiske problemstillinger og sikrer konsensus om tiltag. for risikostyringen i egen forvaltning. Procesejere med ansvar for et service/administrationsområde. De daglige risikostyringsaktiviteter i en forvaltning Kompetencer og indarbejdelse af risikostyringsaspekt i P&U s aktiviteter Personsikkerhed, lokaler, post mm. Bistå enheder i nødssituationer, adg. Kontrolsystemet på rådhuset. Risikostyring ved bygge- og anlægsopgaver. Sml. It. Ekstern og intern kommunikation. Teknik og milljø, Ejendomme Kommunikationssekretariatet Børn og Kultur It-anvendelsen på skoler og biblioteker Farveanvendelse: Blå: Rollen har ansvaret for og/eller varetager delvist ejerskabet for processen Rød: Rollen har det ultimative ejerskab for processen. Kun én rolle kan ultimativt eje en proces

16 Bilag 2 til den Operationelle it-sikkerhedspolitik (Acadre sag 14/8285) maj 2014 Beskrivelse af de roller, der er defineret i den operationelle It-sikkerhedspolitik Herunder uddybes indholdet i de roller som er beskrevet i den operationelle itsikkerhedspolitik. It-koordineringsfunktionen Styring af informationssikkerheden varetages af en it-sikkerhedskoordineringsfunktion, som er organisatorisk placeret i Digigalisering & It. It-sikkerhedskoordineringen udføres for kommunaldirektøren og Digitalisering & it-chefen er øverste it-sikkerhedsansvarliges stedfortræder i it-sikkerhedsspørgsmål. It-koordineringsfunktionen har dels et generelt ansvar for koordinering af informationssikkerhed og dels ansvar i relation til s opgaver: Generelt ansvar for koordinering af informationssikkerhed Koordinere implementering af politikken og retningslinjerne, samt årligt vurdere effekten af sikringsforanstaltningerne og behovet for justering Varetage sekretariatsbetjeningen af it-strategigruppen for så vidt angår itsikkerhedsrelaterede punkter på dagsordenen Fastlægge ensartede metoder og procedurer for eksempelvis risiko-vurdering og sikkerhedsklassifikation, samt overvågning af ændringer i trusselsbilledet Varetage den overordnede koordinering med direktørområdernes itsikkerhedskoordinatorer Rådgive it-strategigruppen og den øverste ledelse om forhold vedrørende itsikkerhedsrisikostyring, behov for ledelsesbeslutninger og for input til strategier Konsulent og rådgivningsopgaver i forhold til medarbejdere og organisatoriske enheder med it-sikkerhedsansvar Føre tilsyn med efterlevelsen af politikken og retningslinjer, standarder, procedurer mm på tværs af kommunen Måle det aktuelle it-sikkerheds- og modenhedsniveau i kommunen Koordinere autorisationsprocedurer, som giver generel adgang til kommunens informationsaktiver Sagsbehandle it-sikkerhedskonflikter og eventuelle dispensationsansøgninger Koordinere awareness aktiviteter Medvirke til at sikre, at fælles politikker(eksempelvis personalepolitik) er konsistente med politikker for it og informationsanvendelse Holde sig ajour med den generelle udvikling på it-sikkerhedsområdet i relation til s opgaver Sikre, at kommunen opererer inden for rammerne af de it-sikkerhedsmæssige krav i den fællesoffentlige og fælleskommunale digitaliseringsstrategi Medvirke til optimering af tekniske sikringsforanstaltninger Styre it-driftsmæssige risici, sikre den tekniske infrastruktur, håndtere tekniske sårbarheder og trusler og styre driften af tekniske it-sikkerhedsforanstaltninger Styre den fysiske adgang til hardware i krydsfelter og serverrum, infrastruktur og medier med ophavsretsbeskyttet, følsomt eller forretningskritisk indhold Rådgive forretningsenheder om tekniske risici, herunder bistå med håndtering af de tekniske sikkerhedsaspekter af it-udviklingsprojekter

17 Opfylde serviceaftaler vedr. support, beredskab mv. herunder overvåge og levere aftalt kapacitet Vedligeholde et internt beredskab til hurtigt at retablere kritiske kommunikationsforbindelser Fortolkning af retningslinjer og standarder, særligt ved design og implementering af ny teknologi Fastlægge tekniske sikkerhedsstandarder Varsko systemejere ved service og ændringer, der kan påvirke driften af systemer og infrastruktur Styre serviceleverandører til It og sikre, at Esbjerg Kommunes itsikkerhedsmålsætning ikke kompromitteres af serviceleverandøren. Øverste it-sikkerhedsansvarlige Kommunaldirektøren har, som Esbjerg Kommunes øverste it-sikkerhedsansvarlige, ansvaret for at følge den generelle udvikling i risikobilledet, herunder konsekvenserne af den øgede digitalisering af den offentlige sektor. -chefen er øverste itsikkerhedsansvarliges stedfortræder i it-sikkerhedsspørgsmål. : Påse, at den operationelle it-sikkerhedspolitik er i overensstemmelse med den aktuelle overordnede it-sikkerhedspolitik Fastlægge hvordan politikkens krav integreres i den administrative ledelse, herunder organisering og præcisering af ansvar jf. den operationelle it-sikkerhedspolitik Sikre, at der udarbejdes retningslinjer, som dækker alle væsentlige aspekter af kommunens opgaver og services, og etablere et styringssystem til efterlevelse, vedligeholdelse og optimering Sikre, at rammerne, kompetencerne og ressourcerne til at vedligeholde informationssikkerheden i Esbjerg Kommune er til stede Følge med i udviklingen af god praksis for ledelse af it og informationssikkerhed Opretholde et samlet, aktuelt risikooverblik for kommunen, særligt ved væsentlige ændringer i it- og informationsanvendelsen og ved større organisatoriske ændringer Fastlægge mål og bagatelgrænser for rapportering i samarbejde med den politiske ledelse og it-sikkerhedsorganisationen Opretholde et samlet overblik over eksterne krav, samt sikre, at retningslinjerne afspejler disse Med udgangspunkt i de fastlagte delmål i den operationelle it-sikkerhedspolitik s afsnit 2, én gang årligt følge op på informationsanvendelsen og it-udviklingen, således at: - Der er et minimum sikkerhedsniveau i alle organisatoriske enheder og i- sikkerhedspolitikken er implementeret - Der i forbindelse med etablering af sikkerhedsforanstaltninger udføres de nødvendige kontroller til sikring af, at foranstaltningerne fungerer. Udførte kontroller skal dokumenteres - Der foretages periodisk vurdering af brugeres autorisationer - Medarbejdere gives instruktion og information svarende til den enkelte medarbejders medansvar for at opfylde Esbjerg Kommunes sikkerhedsmålsætning - ISO standard for informationssikkerhed, ISO 27001, anvendes som reference og grundlag for i-sikkerhedsarbejdet På grundlag den årlige opfølgning vurderes det, om omfanget og alvorligheden af sikkerhedshændelser, samt afvigelser fra sikkerhedspolitikken og regelsættet er inden for det forventede eller viser et behov for optimering eller forbedring af indsatsen

18 Direktør/direktørområdets it-sikkerhedskoordineringsfunktion Direktøren har inden for eget område ansvaret for sikring og overholdelse af itsikkerhedspolitikken og tilhørende retningslinjer og instrukser, herunder også for områdets informationsaktiver. Sikre en effektiv organisering og styring af it-sikkerheden i direktørområdet, som er i overensstemmelse med Esbjerg Kommunes politik, gældende lovgivning og eksterne krav, herunder persondataloven, lov om ophavsret, distribution af ulovligt eller fortroligt indhold mm. Identificere informationsaktiverne og fastlægge ejerskab for alle væsentlige informationsaktiver i forvaltningen. Direktøren er ejer af direktørområdets informationsaktiver med mindre direktøren har uddelegeret ejeransvaret (jf. den operationelle itsikkerhedspolitiks afsnit 4.2.3) for aktivet til en anden chef i forvaltningen. Træffe de endelige beslutninger om kontrolbehov og niveau, eller udpege en chef, som kan træffe endelige beslutninger vedrørende sikkerhedsmæssige problemstillinger, som måtte opstå i relation til de informationsaktiver, der ejes af eller anvendes af direktørområdet. Beslutninger og organisering skal dokumenteres Sikre, at alle medarbejdere og eksterne samarbejdspartnere inden for direktørområdets ansvarsområde deltager i relevant uddannelse og træning og er informeret om deres ansvar for beskyttelse af direktørområdets og interessenters information, herunder personoplysninger Årligt gøre status på informationssikkerheden til øverste i-sikkerhedsansvarlige jf. den operationelle it-sikkerhedspolitiks afsnit Ejere af informationsaktiver/systemejere Informationsaktiver er informationer og systemer, som er væsentlige for kommunens opgavevaretagelse og myndighedsansvar. Ejer betyder ansvar for, at et aktiv beskyttes i henhold til retningslinjer og politik. Ejere fastlægger hvem der må få adgang til aktivet, under hvilke betingelser aktivet må anvendes og hvordan aktivet skal beskyttes. Placering af ejerskab skal ske efter følgende principper: Lokalt anvendte informationsaktiver ejes af chefen for den forvaltning eller enhed i forvaltningen, som har det primære ansvar for de opgaver, informationsaktivet understøtter Alle væsentlige interessenter i kommunen skal acceptere placering af ejerskabet Fællesapplikationer ejes af den støttefunktion, som har ansvaret for de processer, applikationen understøtter It-infrastrukturservices og komponenter ejes af It-koordineringsfunktionen kan anmode kommunaldirektøren om dispensation fra ovenstående principper i konkrete tilfælde Principperne gælder også ved placering af ejerskab for fysiske sikringsforanstaltninger Ejere er altid chefer eller ledere for et område, afdeling eller institution og har ofte samtidig budget og medarbejderansvar for området. Ejere har normalt også et ansvar for eksterne parter, dvs. samarbejdspartnere, eksterne brugere og leverandører i eget område Identificere kritiske forretningsfunktioner i eget område, herunder funktioner, som er kritiske for andre uden for området

19 Forstå Esbjerg Kommunes it-sikkerhedspolitik og styringskrav, herunder klassifikations krav, samt sikre, at informationsaktiverne er beskyttet i overensstemmelse hermed i hele aktivets livscyklus og i alle forretningsgange Gennemføre risikovurdering i overensstemmelse med Esbjerg Kommunes retningslinjer herfor og håndtere uacceptable risici Sikre, at basissikkerhedsforanstaltningerne er implementeret og vedligeholdt inden for eget område Sikre, at rettigheder og adgang afspejler et aktuelt, forretningsbetinget behov i relation til den enkelte medarbejders ansvar og funktion Årligt give status på aktivets beskyttelse til direktøren Brugeransvarlig/it-sikkerhedsleder Brugeransvarlige er medarbejdere, som har det direkte ansvar for andre medarbejderes adgang til et informationsaktiv. Brugeransvarlige er typisk mellemledere og funktionsledere, projektledere, teamledere eller administratorer. Eksempler på brugere er medarbejdere, borgere, foreninger, andre myndigheder, andre kommuner, politikere, konsulenter, erhvervslivet eller leverandører. Sikre, at brugere er bekendt med deres ansvar for at beskytte Esbjerg Kommunes informationsaktiver i overensstemmelse med de fastlagte retningslinjer og krav fra forvaltningsdirektør og ejere. Behandle anmodninger om adgang til informationsaktiver og sikre, at adgangen tildeles i overensstemmelse med ejers og retningslinjers krav. Sikre, at brugere omfattes af awareness aktiviteter og relevante uddannelses og træningstiltag og at de har forstået deres ansvar og rolle. Sikre, at adgangsrettigheder opdateres når ændringer i brugerens jobindhold eller relation til kommunen tilsiger det. Ved nyansættelser, orlov, fratrædelser, afbrudt samarbejde mm. Sikre, at kommunens ejendom og informationsaktiver, samt tokens og anden autentifikationsinformation tilbageleveres. Sikre, at jounaliserings- arkiveringskrav er opfyldt inden eventuel slettelse af data på brugerens udstyr, i mail konti og andre steder, hvor brugeren har opbevaret information, herunder eventuelt krypteret information. Rapportere og håndtere brud på informationssikkerheden, hændelser mm. i overensstemmelse med den fastlagte hændelsesstyringsproces. Kontrol af overensstemmelse med relevante krav og retningslinjer i henhold til system- og dataejeres krav. Overvågning af brugernes efterlevelse af regler for accepteret brug af informationsaktiverne. Direktørområdets It-sikkerhedskoodineringsfunktion Direktører for forvaltningerne har ansvaret for at nedenstående koordineringsopgaver udføres. Direktører kan vælge at udpege en I-sikkerhedskoordinator til at varetage den overordnede styring af informationssikkerheden i direktørområdet. Hvis området har en itkoordinatorfunktion med ansvar for styring og planlægning af it-anvendelsen i direktørområdet, kan opgaverne eventuelt placeres her. Implementering af politikken og retningslinjerne i forvaltningen, samt årligt vurdere effekten af sikringsforanstaltningerne og behovet for justering i forhold til særlige sikkerhedsbehov i forvaltningen. Varetage direktørområdets i-sikkerhedsfunktion. Rådgive direktøren og informationsejere om forhold vedrørende styring af informationsrisici

20 Sikre efterlevelsen af politikken og retningslinjer, standarder, procedurer mv. i direktørområdet. Måle det aktuelle sikkerheds- og modenhedsniveau i forvaltningen. Tilrettelægge autorisationsprocedurer, som giver adgang til forvaltningens informationsaktiver, med afsæt i retningslinjerne for autorisation og forvaltningens egen risikovurdering. Sagsbehandle sikkerhedskonflikter og eventuelle dispensationsansøgninger. Medvirke til at sikre, at områdets politikker(eksempelvis biblioteks-politik eller skolepolitik) er konsistente med politikker for it og informationsanvendelse. Koordinere awarenessaktiviteter inden for forvaltningen og i samarbejde med Digitalisering & It. Brugerne En bruger er en medarbejder eller en tredje part, som har fået adgang til kommunens informationer og systemer. Brugernes ansvar er beskrevet i bilag 2. Efterleve reglerne for accepteret brug af Esbjerg Kommunes informationsaktiver. Rapportere observerede eller formodede i-sikkerhedsbrud, herunder misbrug af bruger-id, i overensstemmelse med hændelsesstyringsprocessen. Sikre fortroligheden af tildelt password. Brugere må ikke dele passwords tokens mm. med andre personer. Tilsvarende bør det undgås at gøre supportfunktioner afhængige af kendskabet til brugerens password. Ændre password omgående ved mistanke om kompromittering

21 Bilag 3 til den Operationelle it-sikkerhedspolitik (Acadre sag 14/8285) maj 2014 Beskrivelse af de organisatoriske enheders ansvar Nogle af Esbjerg Kommunes enheder har et særligt ansvar for it-sikkerheden, såvel tværgående som inden for forvaltningens eget område. Organisationshåndbogen, samt den overordnede og operationelle it-sikkerhedspolitik beskriver den overordnede organisering. Følgende organisatoriske enheder har et særligt ansvar som er nærmere beskrevet her: Byrådet Byrådet Direktionen Fællesforvaltningen Personale og udvikling Fællesforvaltningen Rådhusservice Fællesforvaltningen Beredskab Fællesforvaltningen Kommunikationssekretariatet Teknik & Miljø - Ejendomme Byrådet vedtager de overordnede principper for styring i samarbejde med kommunens direktion. Den overordnede it-sikkerhedspolitikken beskriver principperne for styring af informations- og operationelle it-risici og skal derfor godkendes af byrådet. Sikre, at der fastlægges et niveau for styring af informationssikkerheden Følge op på overholdelsen af styringsprincipper Fastlægge direktionens ansvar Sikre at kommunen er parat til at håndtere en intern beredskabssituation Føre overordnet tilsyn med risikostyringen og overholdelse af lovbestemte krav og politiske beslutninger Direktionen Direktionen har det endelige ansvar og dermed også beslutningskompetencen i forhold til tværgående ledelsesmæssige problemstillinger. Fællesforvaltningen Personale & Udvikling Enheder under Personale & Udvikling, som varetager personalerelaterede sager, herunder løn, ansættelse og afskedigelse af medarbejdere, personalepolitik, intern uddannelse, lederuddannelsen, lederevaluering og konsulentbistand til forvaltninger, har nedenstående ansvar i relation til informationssikkerhed: Indarbejde relevante it-sikkerhedsretningslinjer i medarbejderrettet information fra Udvikling og Evaluering, herunder politikker og vejledninger til medarbejdere Sikre, at relevante it-sikkerhedsopgaver indgår i jobbeskrivelser og opslag ved vurdering af ansøgere til stillinger i kommunen, samt ved evalueringer og medarbejdersamtaler Indhentning og opbevaring af erklæringer fra medarbejdere om efterlevelse af kommunens regler for accepteret brug af informationsaktiver. Erklæringer udarbejdes i samarbejde med It