Operationel informationssikkerhedspolitik for Vejen Kommune

Transkript

1 Operationel informationssikkerhedspolitik for Vejen Kommune Denne politik er godkendt af direktionen den 28. juni 2016

2 Indhold 1. INDLEDNING Politikkens opbygning MÅL OG KRAV Sikkerhedskultur og bevidsthed Sikker drift Adgang og rettigheder til data og systemer Projekter Fysisk sikkerhed Håndtering af informationssikkerhedshændelser ORGANISERING, ROLLER OG ANSVAR Koordinering og styring Øverste informationssikkerhedsansvarlige Direktionen Digitaliseringsgruppe Intern Service Drift og vedligeholdelse af fælles foranstaltninger Digitaliseringsgruppen Kommunikation Bygningsservice og Beredskab Informationssikkerhed i afdelingen Systemejere/procesejere Ledere med personaleansvar Medarbejdere Eksterne brugere Autorisationsmedarbejdere Dagtilbud og Skole Alle afdelinger DISPENSATIONER EVALUERING OVERTRÆDELSER Appendiks A Ledelse af informationssikkerhed IT & GIS Digitalisering Side 2

3 1. Indledning Den operationelle informationssikkerhedspolitik beskriver, hvordan principperne og målene i den overordnede politik, som er godkendt af byrådet, udmøntes i Vejen Kommunes organisation. Politikken beskriver, hvordan indsatsen er organiseret. Den beskriver dels organisatoriske enheders ansvar og individuelt ansvar, som hører til bestemte stillingsbetegnelser. Den operationelle informationssikkerhedspolitik fastlægges af direktionen og skal ikke godkendes i byrådet. Den operationelle politik er først og fremmest en støtte for de personer, der har hovedansvaret for koordinering af informationssikkerhedsindsatsen. Disse personer kan bruge politikken til at formidle ansvar og vurdere, hvem der skal involveres i aktiviteterne. Det er således ikke tanken, at alle medarbejdere skal være bekendt med alle afsnit i den operationelle politik. Den praktiske formidling, og arbejdet med at opnå den ønskede adfærd i kommunen, er behandlet i afsnit 2.1 Sikkerhedskultur og - bevidsthed Politikkens opbygning Politikken består af nedenstående afsnit Mål og krav. Dette afsnit uddyber de seks delmål fra den overordnede politik. Anerkendt praksis i den offentlige sektor, Datatilsynets retningslinjer, samt standarderne ISO og ISO er anvendt som reference og grundlag herfor. Organisation og ansvar. Dette afsnit beskriver hvordan indsatsen er organiseret og hvem der løser hvilke opgaver. Afsnittet er delt op i tre dele: o Koordinering og styring beskriver opgaver, der vedrører ledelsessystemet. Det er opgaver, som sikrer en effektiv koordinering og styring. o Drift og vedligeholdelse af fælles foranstaltninger beskriver de opgaver, som vedrører drift og vedligeholdelse af fælles sikringsforanstaltninger. o Informationssikkerhed i afdelingen beskriver opgaver, som vedrører drift og vedligeholdelse af decentralt etablerede sikringsforanstaltninger og af fælles sikringsforanstaltninger hvor en del af ansvaret for drift og vedligeholdelse er placeret decentralt. Dispensationer. Dette afsnit beskriver, hvordan afvigelser fra politikken håndteres. Evaluering. Dette afsnit beskriver det overordnede, centrale ledelsestilsyn. Overtrædelser. Dette afsnit beskriver, hvordan overtrædelser håndteres. Side 3

4 2. Mål og krav Dette afsnit uddyber de seks delmål fra den overordnede politik. Anerkendt praksis i den offentlige sektor, Datatilsynets retningslinjer, samt standarderne ISO og ISO er anvendt som reference og grundlag herfor Sikkerhedskultur og bevidsthed Ledere og medarbejdere skal kende de risici, som de har indflydelse på. Vejen Kommune har en enhedsforvaltning. Det er derfor vigtigt, at medarbejdere kender deres ansvar og kun behandler informationer, som de aktuelt har behov for til løsning af den konkrete opgave. Ledere har en ambassadørrolle. Ledere skal kende risikoen i deres område og har ansvaret for medarbejderes forståelse af risici og efterlevelse af forholdsregler. Målet skal opnås ved at etablere et fælles sprog, holdnings- og værdisæt, som formidles via ledelsessystemet og i direkte dialog med medarbejdere. Arbejdet med sikkerhedskultur og bevidsthed skal følge en fast, direktionsgodkendt plan, som er tilpasset medarbejderrelaterede risici. Følgende aktiviteter understøtter dette mål: En plan for aktiviteter, der opretholder opmærksomhed på væsentlige risici, som medarbejdere kan påvirke. Aktiviteter skal tilpasses målgrupper. Eksempelvis mobile medarbejdere, politikere, hjemmehjælpere, ingeniører mv. Indarbejdelse af krav til informationssikkerhed i medarbejderrettet information, hvor det er relevant. Eksempelvis ved udlevering af udstyr, ved MUS samtaler eller ved ansættelser eller rokeringer. Løbende evaluering af- og kommunikation om eksempelvis omfanget af informationssikkerhedsbrud, kendskab til og forståelse for retningslinjer, holdninger til informationssikkerhed mv. Konsekvent og tydelig reaktion ved overtrædelser som afdelingen skal selv definere. IT og GIS registrerer overtrædelser og orienterer om omfang i afdelingen. Kursus- eller uddannelsestilbud til medarbejdere med et særligt ansvar for informationssikkerhed. Indarbejdes i andre kurser eller træningsforløb. Kursus mv. indgår i awareness program Sikker drift Der skal opretholdes et stabilt, sikkert, let tilgængeligt og funktionelt it-serviceniveau. Afdelingerne skal kunne stole på, at it-services, der etableres og leveres af IT & GIS, er tilgængelige og beskyttet efter afdelingernes behov. Målet skal opnås ved at kravene til informationssikkerhed godkendes af systemejer, som også fører tilsyn med efterlevelsen. Kritiske it-driftsprocesser skal følge faste, Side 4

5 dokumenterede arbejdsgange, være systematisk overvåget og status på væsentlige driftsforhold skal rapporteres til relevante ledere og ledelsesfora løbende. Der skal udarbejdes retningslinjer for it-drift, som fastlægger krav til: Operationelle procedurer og ansvarsområder. Driftsafviklingsprocedurer, ændringsstyring, funktionsadskillelse i it-driften og adskillelse mellem udvikling, test og drift i højrisikosituationer. Styring og anvendelse af eksterne serviceleverandører. Aftaleindgåelse og godkendelse af serviceleverancen, overvågning af leverandøren, ændringsstyring hos leverandøren. Styring af driftsmiljøet. Kapacitetsstyring (People, Processes, Partners, Performance), godkendelse og idriftsættelse af nye systemer. Beskyttelse mod mobil kode og skadevoldende programmer. Afvikling af activex, Java mm. på kommunens servere og pc er, antivirus, håndtering af hændelser mm. Sikkerhedskopiering. Procedurer for backup og retablering af data og systemer, beskyttelse af backupmedier. Netværkssikkerhed. Fjernarbejdspladser, lokalnet, fysiske og logiske netværk. Databærende medier. Beskyttelse af bærbare medier, destruktion af medier, beskyttelse af data på medierne, herunder systemdokumentation. Beskyttelse af elektroniske kanaler til informationsudveksling. Eksempelvis mail, webbaseret kommunikation, publikums-pc er, ip-telefoni, instantmessaging, intranet og ekstranet etc. Elektroniske services. Handel og elektroniske betalinger, selvbetjeningsløsninger mv. Logning og overvågning. Efterforskning af fejl og misbrug, Overvågning af hændelser, dokumentation for serviceniveau, anvendelse af udvidede rettigheder. Retningslinjerne skal beskrive et minimumsniveau, som skal overholdes uanset hvordan og af hvem en it-service leveres. Eventuelle særlige behov, som går udover det fælles minimumsniveau, skal aftales med respektive system- og dataejere Adgang og rettigheder til data og systemer Følsomme og kritiske systemer og data skal beskyttes mod uautoriseret adgang og ændring uanset hvor de er og hvorfra de tilgås. Adgang til og ændring af følsomme eller kritiske systemer eller data skal let kunne spores til personen. Målet skal opnås ved at de ansvarlige ledere gives let adgang til oplysninger, der er nødvendige for at kunne udføre tilsyn med anvendelse af rettigheder. Tilsynet skal give indblik i omfanget af eventuel utilsigtet anvendelse af rettigheder, idet kommunen har en enhedsforvaltning, som giver vide muligheder for behandling og dataadgang. Hvis der gives adgang til fortrolige data uden for det etablerede sikkerhedsmiljø, kræves en forudgående godkendelse af kommunaldirektøren. Adgangskontrollens effektivitet skal efterprøves med faste intervaller. Rettigheder fastlægges med udgangspunkt i følgende hensyn/overvejelser: Side 5

6 Adgang skal tildeles på baggrund af medarbejderens opgavemæssige profil. Der skal defineres profiler for velkendte funktioner. Det skal tilstræbes, at en enkelt person med sine tildelte rettigheder ikke alene kan forårsage alvorlig tab eller skade. Rettigheder skal afspejle det aktuelle behov. Udvidede rettigheder skal have særlig opmærksomhed og kræver godkendelse af leder. Der skal udarbejdes retningslinjer, som beskriver: De forretningsmæssige krav til adgangsstyring. Adgangsstyring og tildeling af adgang. Administration af brugeradgang. Registrering af brugere, udvidede adgangsrettigheder, adgangskoder, revision af rettigheder. Brugernes ansvar. Brug af adgangskoder, beskyttelse af uovervåget udstyr mod uautoriseret adgang, beskyttelse af datamedier på den personlige arbejdsplads. Styring af netværksadgang. Brug af netværkstjenester (internet, sociale medier mm.), autentifikation af eksterne brugere, identifikation af netværksudstyr, beskyttelse af diagnose og konfigurationsadgange, opdeling af netværk, styring af netværksadgang, styring af netværksruter. Styring af systemadgang. Sikre log-on procedurer, identifikation og autentifikation af brugere, systemer til styring af adgangskoder, brug af systemværktøjer, adgangsog netværksforbindelsestider, adgang til data og systemer via andre systemer Mobilt udstyr og fjernarbejdspladser/hjemmearbejdspladser. Sikringsforanstaltninger omkring det mobile udstyr og fjernarbejdspladser, opsætning og anvendelse af fjernarbejdspladser Projekter Digitaliseringsprojekter, herunder anskaffelse, udvikling og vedligeholdelse af itsystemer, må ikke svække sikkerhedsniveauet. Projekter og ændringer skal følge en fast, dokumenteret projekt- og/eller ændringsstyringsproces, som omfatter en sikkerhedsmæssig vurdering af projektet/ændringen. Vurderingen skal foretages i samarbejde med IT & GIS. Højrisikoprojekter skal godkendes af kommunaldirektøren efter indstilling fra digitaliseringsgruppe. Inden systemer sættes i drift, skal systemejer godkende resultatet af afprøvning af systemets sikkerhedsforanstaltninger. Der skal udarbejdes retningslinjer for anskaffelse, udvikling og implementering af informationsteknologi, som beskriver kravene til: Fastlæggelse af informationssikkerhedsniveau. Analyse af informationssikkerhedsbehov, identifikation af mulige sikringstiltag, beskrivelse af informationssikkerhedskravene til løsningen. Korrekt informationsbehandling. Sikring af it-systemers behandling af informationer, validering af inddata, kontrol af korrektheden af data, som er Side 6

7 behandlet af systemet og som er i systemet, kommunikation mellem systemer, validering af uddata. Kryptografi. Anvendelse af kryptografi, håndtering af krypteringsnøgler. Test og idriftsættelse. Beskyttelse af testdata i henhold til klassifikation, installation af systemer i driftsmiljøer. Adgang til kildekode. Beskyttelse mod uautoriseret adgang til og ændring af kildekode. Ændringsstyring. Proces for ændringsstyring, kontrol af afledte effekter efter gennemførte ændringer, ændringer af standardsystemer, ekstern bistand til systemudvikling Sårbarhedsstyring. Proces for identifikation og implementering af beskyttelse mod sårbarheder Fysisk sikkerhed De fysiske omgivelser for informationer og informationsudstyr, der anvendes af kommunen og som kommunen har ansvaret for, skal beskyttes mod fysiske hændelser, eksempelvis brand, vandskade, tyveri, hærværk, skader forårsaget af menneskelige fejl mv. Omplacering og den fysiske sikring af udstyr, som IT & GIS har driftsansvaret for, skal forhåndsgodkendes af IT & GIS. Afdelingschefer skal godkende placering og sikring af andre informationsaktiver, såsom arkiver mv. Den fysiske sikkerhed på lokationer med vitale installationer og informationer skal efterprøves med faste intervaller. Hvor informationer, systemer, infrastruktur og data anvendes og opbevares, skal der etableres en passende fysisk sikkerhed mod eksempelvis brand, vandskade, tyveri, hærværk, skader forårsaget af menneskelige fejl mv. Den fysiske sikkerhed skal koordineres med medarbejdersikkerhed og må ikke svække den personlige sikkerhed. Den fysiske sikkerhed omkring informationsaktiverne skal tilrettelægges og styres efter følgende principper: Indsatsen skal koordineres med den eksisterende sikkerhedsorganisation, som har ansvar for den generelle fysiske sikkerhed, herunder medarbejdersikkerhed. Medarbejdersikkerheden har altid forrang for informationssikkerheden. Eksempelvis må flugtveje i aldrig blokeres. Anlægs- og bygningsarbejder må ikke føre til informationssikkerhedsbrud. Eksempelvis ved om- og tilbygninger, vejarbejde, flytninger mv. Der skal være en ensartet sikkerhed omkring informationsaktivet uanset hvor det befinder sig. Hvis det samme fysiske niveau ikke kan garanteres skal logiske og administrative foranstaltninger kompensere tilsvarende, så målsætningen fastholdes. Borgere og medarbejderes færden på kommunens lokationer må ikke kompromittere sikkerheden Der skal udarbejdes retningslinjer, som beskriver kravene til den generelle fysiske sikkerhed omkring informationsaktiverne. Retningslinjerne skal definere og stille krav til: Side 7

8 Sikre områder. Opdeling i zoner og fysisk afgrænsning, adgangskontrol mellem zoner, sikkerheden omkring arbejdspladser. Beskyttelse af udstyr i kommunen. Opbevaring og placering af udstyr, medier og arkiver, forsyningssikkerhed, sikring af kabler og føringsveje, vedligeholdelse af anlæg og udstyr. Beskyttelse af udstyr uden for kommunen. Udstyr uden for kommunens overvågning, bortskaffelse eller genbrug af udstyr, flytning af udstyr og arkiver Håndtering af informationssikkerhedshændelser Skaden ved sikkerhedsbrud skal holdes på et acceptabelt niveau og kommunens vigtigste opgaver skal kunne videreføres inden for en af den ansvarlig afdelingschef besluttet tidshorisont. Målet opnås ved at der fastlægges reaktionsprocedurer for kendte og hyppige sikkerhedshændelser, så de kan håndteres hurtigt og effektivt og ikke udvikler sig. Der skal desuden opretholdes et it-beredskab i tilfælde af større hændelser, som ikke kan håndteres med de normale reaktionsprocedurer. Hændelser og svagheder skal registreres og årligt rapporteres til kommunaldirektøren. Ved alvorlige hændelser skal der foretages en efterfølgende evaluering af hændelsen, som behandles på direktionsniveau. Registrering af hændelser hjælper til at finde den optimale balance imellem forebyggende, opdagende og udbedrende foranstaltninger. Planer og procedurer for håndtering af informationssikkerhedshændelser skal omfatte: Rapportering af hændelser og svagheder. Kriterier for rapportering af hændelser og eskalering til ledelsen, registrering og kvittering for indrapporterede hændelser, registrering og behandling af rapporterede svagheder. Håndtering af informationssikkerhedsbrud og forbedringer. Reaktionsprocedurer, prioritering af hændelser, indsamling af beviser, udbedring og eskalering til en it-beredskabssituation, fremadrettet forebyggelse. Identifikation af it-beredskabsbehovet. Risikovurdering, ressourcebehov. Udarbejdelse og implementering af it-beredskabsplaner. Fælles planer, lokale nødplaner, ekstern bistand i en it-beredskabssituation, beskyttelse og sikring af itberedskabsinformation. Afprøvning og vedligeholdelse af it-beredskabsplaner. Grundighed og frekvens for afprøvning, opdatering ved ændringer i driftsforhold, lovgivning mm, revurdering ved større ændringer. 3. Organisering, roller og ansvar Dette afsnit beskriver hvordan indsatsen er organiseret og hvem der løser hvilke opgaver. Afsnittet er delt op i tre dele: Koordinering og styring beskriver opgaver, der vedrører ledelsessystemet. Det er opgaver, som sikrer en effektiv koordinering og styring. Side 8

9 Drift og vedligeholdelse af fælles foranstaltninger beskriver de opgaver, som vedrører drift og vedligeholdelse af fælles sikringsforanstaltninger. Informationssikkerhed i afdelingen beskriver opgaver, som vedrører drift og vedligeholdelse af decentralt etablerede sikringsforanstaltninger og af fælles sikringsforanstaltninger hvor en del af ansvaret for drift og vedligeholdelse er placeret decentralt Koordinering og styring Øverste informationssikkerhedsansvarlige Kommunaldirektøren har, som Vejen Kommunes øverste informationssikkerhedsansvarlige, ansvaret for at følge den generelle udvikling i risikobilledet og for at risikostyringen er tilstrækkelig og effektiv. : A. At rammer, kompetencer og ressourcer til at vedligeholde informationssikkerhed i Vejen Kommune er til stede. B. At informationssikkerhedsniveauet opretholdes ved større organisatoriske ændringer. C. At fastlægge mål og bagatelgrænser for ledelsesinformation og rapportering. D. En gang årligt følge op på, at: o Der er et ensartet niveau i alle afdelinger o Det løbende kontrolleres, at foranstaltningerne fungerer og er dokumenteret o Brugeres autorisationer vurderes periodisk. o Ledere forstår og efterlever deres ansvar for at opfylde Vejen Kommunes informationssikkerhedsmålsætning Direktionen Direktionen fastlægger, sammen med øverste i-sikkerhedsansvarlige, organiseringen af indsatsen og sikrer, at informationssikkerhed er koordineret med tværgående ledelsesmæssige aktiviteter og prioriteringer. Det er direktionens ansvar at sikre tilstrækkelige ressourcer til at opnå det fastlagte sikkerhedsniveau. A. Beslutter og prioriterer større it-risikostyringsaktiviteter. B. Sikrer, at besluttede aktiviteter forankres i afdelingernes ledergrupper og påser at aktiviteterne gennemføres tilfredsstillende. Side 9

10 C. At den overordnede politik og den operationelle politik modsvarer det aktuelle behov og eksterne forpligtelser i lovgivning og aftaler mv Digitaliseringsgruppe Koordinerer indsatsen med digitaliseringsplaner og tværgående digitaliseringsaktiviteter. A. Sikre, at Digitaliseringsstrategien er i overensstemmelse med i- sikkerhedspolitikkens krav. Og at digitaliseringsprojekter besluttes og gennemføres i overensstemmelse med politikken. B. Sikre, at aktiviteter til implementering af i-sikkerhedspolitikken og løbende forbedringstiltag indgår i relevante handlingsplaner Intern Service Intern Service servicerer og rådgiver direktionen, digitaliseringsgruppen og kommunens afdelinger om informationssikkerhed. Det er Intern Service s ansvar, at aktiviteter er sammenhængende. Appendiks A indeholder en oversigt over opgaverne. : A. Implementere evaluerings- og tilsynsaktiviteter, herunder tilsyn med informationssikkerhedsopgaverne. B. Bistå Digitaliseringsgruppen med at sikre, at kommunens planer og projekter tilgodeser informationssikkerhedsbehov. C. Udvikle og vedligeholde værktøjer til støtte for systemejere, samt materiale til opmærksomhedsskabende aktiviteter. D. Løbende måle effekten og effektiviteten af sikringsforanstaltninger i henhold til øverste it-sikkerhedsansvarliges krav E. Varetage styringen og driften af tekniske sikringsforanstaltninger, styre aftaler med leverandører og yde løbende rådgivning af systemejere Drift og vedligeholdelse af fælles foranstaltninger Nogle enheder har et tværgående ansvar for it-sikkerhed. Dette ansvar er beskrevet nedenfor Digitaliseringsgruppen Digitaliseringsgruppen varetager den daglige koordinering af aktiviteter mellem Intern Service og afdelingerne. Hver afdeling er repræsenteret ved en koordinator som er Side 10

11 bindeled mellem afdelingen og Intern Service. Koordinatoren har ansvaret for, inden for sit område, at føre tilsyn med overholdelse af informationssikkerhedspolitikken. A. Koordinering af informationssikkerhedsopgaver mellem afdelingerne og de centrale enheder. B. Identificere afdelingens informationsaktiver og sikre, at der placeres ejerskab for afdelingens væsentlige systemer. C. Vurdere behov for informationer, uddannelse, og træning, samt koordinere indsatsen Kommunikation Kommunikation varetager intern og ekstern kommunikation i Vejen Kommune og er systemejer for intranet og hjemmeside. A. Bistå Intern Service med udarbejdelse af formidlingsmateriale og awarenessplan. B. Udførende ved centrale awareness kampagner og andre awareness tiltag i henhold til plan for awareness. C. Publicere og distribuere materiale og kommunikation om informationssikkerhed. D. Løbende kontrol af at der ikke er fortrolig eller personfølsom information på intranet, hjemmeside og andre publikationsmedier Bygningsservice og Beredskab Har ansvaret for adgangskontrolsystemet til rådhus, områdekontorer og andre bygninger med administrativt personale, herunder alarmsystemer med ekstern vagtordning. Desuden IT-sikkerhedsmæssige forhold vedrørende daglig drift (kantine, budtjeneste, fysisk postfordeling mv.), lokaleforsyning og lokaleindretning (herunder vedligehold og ombygning) på rådhuset. A. Beskyttelse af intern og ekstern post, arkiver og anden papirdokumentation. Herunder sikker håndtering af følsomme dokumenter til makulering. B. Etablere og vedligeholde adgangskontrolforanstaltninger til relevante lokationer, herunder lokationer med følsomme eller kritiske informationsaktiver. Eksempelvis døre og låse, vinduessikring, tyverialarmer, hegn, kameraer mv. Side 11

12 C. Sikre, at de fysiske sikringsforanstaltninger på rådhuset ikke er i konflikt med personsikkerhedskrav, herunder flugtveje og klimastyring. Risikokoordinatoren har ansvar for videoovervågning. D. Indgå i tæt samarbejde med IT & GIS, der har det overordnede ansvar vedrørende kalibrering og vedligeholdelse af de fysiske sikringsforanstaltninger omkring it-installationer som fx serverrum, herunder klimastyring og brandslukningsanlæg. E. Organisering af kontrolforanstaltninger vedrørende den fysiske adgang og færdsel på rådhuset og øvrige lokationer, som Bygningsservice og Beredskab har ansvaret for. F. Afprøve alarmer. Oprette og vedligeholde oversigter vedrørende udlevering af nøgler og nøglekort til medarbejdere med adgang til lokaler, hvor der opbevares væsentlige informationsaktiver. Bygningsservice og Beredskab er desuden bygherrerådgiver for Byrådet og afdelingerne og varetager bygherrens interesser overfor håndværkere/entreprenører og eksterne rådgivere/konsulenter. A. Rådgive bygherrer i samarbejde med IT & GIS. B. Indarbejde relevante dele af informationssikkerhedspolitikken og retningslinjerne i byggeprogrammer mm. C. Varetage bygherrers krav til informationssikkerhed overfor håndværkere/entreprenør og eksterne rådgivere/konsulenter. D. I samarbejde med IT & GIS, vedligeholde en oversigt over kritiske forsyninger og kommunikationsforbindelser. IT & GIS udpeger sammen med systemejere de kritiske lokationer. IT & GIS varetager opgaver vedrørende opslag og registreringer i LER. E. Sikre, at ombygninger, tilbygninger og nybygninger ikke medfører brud på informationssikkerheden. F. Sikre, at anlægsprojekter gennemføres på en sådan måde, at der tages relevante skridt til at sikre forsyning og kommunikationsforbindelser. G. Vedligeholde et internt beredskab til hurtigt at retablere kritiske forsyninger, som er nødvendige for drift af it-installation Bygningsservice og Beredskab varetager og deltager i det lovpligtige, eksternt rettede beredskab, som træder i kraft i krisesituationer og i tilfælde af større ulykker eller katastrofer. Side 12

13 A. I samarbejde med IT & GIS bistå afdelinger, der løser beredskabsopgaver med etablering af it-nødberedskab i en beredskabssituation, herunder lokaler, elforsyning og netværksforbindelser. B. I samarbejde med IT & GIS planlægge levering af beredskabets itunderstøttelse, kommunikationsløsninger og informationer i en beredskabssituation. Beskrivelse indarbejdes i beredskabsplanen Informationssikkerhed i afdelingen Dette afsnit fastlægger ansvaret for de opgaver, som afdelingerne selv varetager i forhold til informationssikkerhed Systemejere/procesejere Systemejerskab placeres hos den afdelingschef, der har ansvaret for de forretningsprocesser, som systemet understøtter. Systemejer fastlægger hvem der må få adgang til systemet/data, regler for anvendelse af system/data og hvor god beskyttelsen skal være. Direktionen udpeger ejere af fællessystemer. IT & GIS er systemejer for it-infrastruktur. Basisprogrammel såsom databaser, kommunikationsløsninger, standard officepakker mv. betragtes som infrastruktur. A. Identificere kritiske forretningsfunktioner i eget og andre områder, som er afhængig af systemet B. Foretage risikovurdering. C. Stille krav til tilgængelighed, integritet og fortrolighed. D. Sikre, at foranstaltninger er implementeret og vedligeholdt. E. Sikre, at rettigheder og adgang afspejler et aktuelt, forretningsbetinget behov. F. Sikre formidling af accepteret brug af det enkelte system og fastlægge holdninger og ønsket adfærd i afdelingen. G. Sikre, at medarbejdere, der fratræder, gøres opmærksom på tavshedspligt og overholder systemejers krav vedr. opbevaring og bortskaffelse af data. H. En gang om året gøre status på sikkerheden omkring systemet med områdets koordinator og repræsentant i digitaliseringsgruppe. Side 13

14 Ledere med personaleansvar Den personaleansvarlige er ansvarlig for, at dennes medarbejdere forstår og efterlever de regler for brug af systemer, udstyr, arkiver mv. der er gældende i området. Opgaven kan delegeres til en mellemleder, projektleder, teamleder eller lignende, som har det direkte ansvar for andre medarbejderes adgang til et informationsaktiv. A. Sikre, at brugere er bekendt med retningslinjer og systemejeres krav. B. Sikre, at brugere får relevant uddannelse og træning C. Sikre, at adgangsrettigheder ajourføres når adgangsbehovet ændrer sig. D. Sikre mod datatab. E. Rapportere brud på regler, hændelser og svagheder til service desk. F. Overvåge og tage stikprøver af brugernes efterlevelse af regler. G. Medvirke til fastholdelse af it-sikkerhedsniveauet ved fratrædelser og ændringer i medarbejderstaben Medarbejdere Alle medarbejdere, som har fået adgang til kommunens informationer og systemer. A. Efterleve reglerne for accepteret brug af Vejen Kommunes informationsaktiver. B. Rapportere observerede eller formodede it-sikkerhedsbrud. C. Sikre fortroligheden af tildelt password. D. Ændre password omgående ved mistanke om kompromittering Eksterne brugere Eksterne brugere er for eksempel borgere, foreninger, andre myndigheder, andre kommuner, konsulenter, virksomheder, leverandører mv. Afdelingerne har ansvaret for, at deres eksterne brugere får den nødvendige vejledning og for at fastlægge retningslinjer for brug af kommunens it faciliteter. Sekretariatet har ansvaret for byrådet og dermed ansvaret for, at politikerne får den nødvendige vejledning samt for at fastlægge retningslinjer for brug af kommunens it faciliteter. Side 14

15 Autorisationsmedarbejdere Autorisationsmedarbejdere varetager den tekniske administration af brugerrettigheder, herunder oprettelse af nye brugere, autorisation til KMD-systemer (LOS administratorer), udstedelse af digital signatur, oprettelse af brugere til eksterne samarbejdspartneres systemer, systemadministrator-brugere mv. A. Oprettelse af brugere, der er blevet autoriseret til at bruge et system. B. Gennemføre bestilte ændringer i brugeres adgang og rettigheder. C. Overvåge og nedlukke inaktive brugerkonti. D. Spærring af brugeradgang ved hændelser i henhold til reaktionsprocedurer. E. Bistå personaleansvarlige med at verificere brugerroller og rettigheder Dagtilbud og Skole Dagtilbud og Skole giver et stort antal eksterne brugere (elever og andre borgere) adgang til en del af kommunens it-infrastruktur. Adgang for eksterne brugere er ikke reguleret af de retningslinjer, som er gældende for kommunens medarbejdere. Dagtilbud og Skole koordinerer selv den fysiske sikkerhed omkring det it-udstyr på skoler og institutioner, som Dagtilbud og Skole giver brugerne adgang til. A. Formulere og vedligeholde politik og regelsæt for eksterne brugeres itanvendelse på kommunens skoler og institutioner, i samarbejde med Intern Service. B. At gøre politik og regelsæt kendt skolernes daglige ledelse. C. At sikre, eksempelvis ved stikprøver, at regelsættet håndhæves og efterleves, samt at der sker en konsekvent reaktion i forhold til brugerne ved sikkerhedsbrud Sekretariatet Sekretariatet har det overordnede tilsyn med kommunens efterlevelse af persondataloven, offentlighedsloven og forvaltningsloven Alle afdelinger Med udgangspunkt i den overordnede politik og retningslinjerne tilrettelægger afdelingerne selv organisering af informationssikkerhed og varetager selv den fysiske sikkerhed på afdelingens lokationer. A. Implementering af politikken og retningslinjerne i afdelingen Side 15

16 B. En gang årligt vurdere håndtering af informationssikkerhed og afdelingens behov C. Vedligeholde adgang og rettigheder til afdelingens informationsaktiver. D. Sikre, at afdelingens praksis, værdier, holdninger og regelsæt er konsistente med politikker for it og informationsanvendelse. E. Koordinere opmærksomhedsaktiviteter inden for afdelingen og i samarbejde med Intern Service, og Kommunikation. Side 16

17 4. Dispensationer Der kan dispenseres midlertidigt fra informationssikkerhedspolitikken, hvis indsatsen ikke står i rimeligt forhold til risikoen. Ved dispensationer skal der foretages en risikovurdering, en beskrivelse af hvordan risikoen håndteres, samt en plan for hvordan der opnås efterlevelse. Intern Service behandler dispensationsansøgninger og indstiller til kommunaldirektøren. Hvis dispensationer skal forlænges kræver det fornyet godkendelse af kommunaldirektøren. 5. Status Intern Service rapporterer én gang årligt status til kommunaldirektøren. Kommunaldirektøren godkender på den baggrund, efter indstilling fra Intern Service og i samråd med direktionen, eventuel yderligere opfølgning eller kontrol. Ved væsentlige brud på informationssikkerheden, informerer Intern Service kommunaldirektøren, som herefter behandler sagen. 6. Overtrædelser I regelsæt og instrukser til medarbejdere skal det klart fremgå, hvordan overtrædelser sanktioneres. Alle medarbejdere og enheder skal rapportere svagheder og overtrædelser til IT & GIS. Der skal minimum en gang årligt udarbejdes en status på omfanget af overtrædelser til Digitaliseringsgruppen. Side 17

18 Appendiks A Ledelse af informationssikkerhed Intern Service varetager den oveordnede koordinering af informationssikkerhed for Kommunaldirektøren og Direktør med ansvar for Intern Service, som er kommunaldirektørens stedfortræder i informationssikkerhedsspørgsmål. for koordinering af informationssikkerhed A. Sikre, at der udarbejdes retningslinjer, som dækker de væsentlige aspekter af kommunens opgaver og services, og etablere et styringssystem til efterlevelse, vedligeholdelse og optimering. B. Koordinere implementering af politikken og retningslinjerne, samt koordinere den årlige vurdering af effekten af sikringsforanstaltningerne. C. Fastlægge metoder og procedurer for eksempelvis risikovurdering, ledelsestilsyn og sikkerhedsklassifikation, samt overvågning af ændringer i trusselsbilledet. D. Varetage den overordnede koordinering med afdelingerne via Digitaliseringsgruppen. E. Konsulent og rådgiver for systemejere, medarbejdere og enheder med informationssikkerhedsansvar. F. Føre tilsyn og tage stikprøver af efterlevelsen af politikken og retningslinjer, standarder, procedurer mm. G. Styre autorisationer til kommunens netværk, systemer og data, samt den fysiske adgang til it-driftsmiljøer. H. Medvirke til, at politikker for it og informationsanvendelse er konsistente med fælles politikker (eksempelvis personalepolitik, kommunikationspolitik mv.). I. Holde it-organisationen ajour med den generelle udvikling på itsikkerhedsområdet. J. Sikre, at kommunen overholder it-sikkerhedskravene i den fællesoffentlige og fælleskommunale digitalisering IT & GIS IT & GIS har ansvar for drift og support. Alle medarbejdere i IT & GIS er ambassadører for en god i-sikkerhedskultur i kommunen. A. Styre it-driftsmæssige risici, sikre it-infrastruktur, håndtere tekniske sårbarheder og trusler og styre driften af tekniske it-sikkerhedsforanstaltninger. Side 18

19 B. Styre den fysiske adgang til hardware i krydsfelter og serverrum, infrastruktur og backupmedier. C. Opfylde serviceaftaler vedr. support, it-beredskab mv. herunder overvåge og levereaftalt kapacitet. D. Vedligeholde it-beredskab til retablering af kritiske services. E. Fastlægge driftsprocedurer, tekniske sikkerhedsstandarder og arkitektur, samt sikre at de følges. F. Varsko system- og dataejere ved service og ændringer, der kan påvirke itdriften. G. Indgå aftaler med eksterne it-serviceleverandører og overvåge, at leverandører efterlever kravene. Driftskoordinatoren i IT & GIS sørger for at de interne driftsprocedurer er dokumenteret og sammenhængende, herunder ændringsstyring, kapacitetsstyring, releasestyring mv Digitaliseringssekretariat Digitaliseringssekretariatet er sekretariat for Digitaliseringsgruppen. A. Kvalitetssikring af business cases, herunder at i-sikkerhedskrav er fastlagt. B. I-sikkerhed i projekt og porteføljestyring C. Post Implementerings Reviews, herunder at i-sikkerhedsfunktionalitet virker og at systemer anvendes korrekt. Side 19