It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner.

Transkript

1 Juni

2 Indhold 1. Indledning 3 2. Formål 4 3. Omfang 5 4. It-sikkerhedsniveau 5 5. It-sikkerhedsbevidsthed 6 6. Overtrædelse af it-sikkerhedspolitikken 6 7. Udarbejdelse og ikrafttrædelse 6 2

3 1 Indledning It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner. Udover at understøtte kommunens interne forretningsområder tilstræbes det, at it anvendes til borgerrettede funktioner i overensstemmelse med den af Kommunalbestyrelsen vedtagne Kanal- og Servicestrategi og det forventes, at it-anvendelsen danner rammen om en effektiv forvaltning. Endvidere skal it anvendes optimalt i sagsbehandlingen og som løftestang for 0rganisationsudvikling samt i forhold til dialog med politikere, borgere og brugere. It-anvendelsen og den øvrige teknologianvendelse - skal understøtte følgende områder: Dialog, herunder styrkelse af kommunikation med borgere, virksomheder, politikere og ansatte. Effektivitet, herunder moderne, hurtig, kompetent og smidig sagsbehandling. Service, herunder fleksibel service af høj kvalitet til borgere og virksomheder i kommunen. For at opnå sikker effekt af it-anvendelsen skal der opstilles mål og handleplaner, disse handleplaner skal bygge på følgende værdier: Åbenhed og dialog mellem borgere, erhvervsliv og kommune. Kvalitet i de kommunale ydelser. Hurtig og effektiv opgaveløsning. Helhed i sagsbehandlingen. Deltagelse i den demokratiske proces. Som en naturlig konsekvens skal it-anvendelsen og it-sikkerhedspolitikken understøtte kommunens værdibaserede ledelse. Langeland Kommunes it-sikkerhed skal være optimeret i forhold til det aktuelle tekniske itsikkerhedsniveau og de omkostninger, der er forbundet mediværksættelsen. For at sikre it-anvendelsen, ønsker Langeland Kommune, at alle medarbejdere har en sikkerhedsorienteret kultur og en bevidst holdning til begrebet it-sikkerhed, hvor der lægges vægt på reel sikkerhed frem for formel sikkerhed. It-sikkerhedspolitikken tilstræber at være realistisk, operationel, logisk, acceptabel og kontrollerbar. It-anvendelsen i Langeland Kommune har et sikkerhedsniveau, som tilgodeser lovgivningskrav og myndighedsforventninger og muliggør en bredspektret it-systemanvendelse. It-sikkerhedspolitikken skal skabe rammerne for en sikker it-anvendelse for både borgere, brugere, virksomheder og samarbejdspartnere samt medarbejdere, ledelse og politikere i Langeland Kommune. 3

4 It-sikkerhedspolitikken fastsætter hovedprincipperne for it-sikkerheden, herunder placering af ansvaret for varetagelse af it-sikkerheden. Den overordnede it-sikkerhedspolitik uddybes i en it-sikkerhedshåndbog samt en række bilag, som det fremgår i appendiks A. Bilagene er opdelt 5 søjler: Retningslinjer for it-medarbejdere. Retningslinjer for it-brugere. Retningslinjer for systemejere. Retningslinjer for eksterne samarbejdspartnere. Retningslinjer for borgerrelaterede forhold. Som supplement til it-sikkerhedspolitikken - med det formål, at skabe en effektiv formidling af budskabet - er der udarbejdet 2 brugerfoldere - Sikker it i Langeland Kommune og Vejledning til systemejere. It-sikkerhedspolitik, it-sikkerhedshåndbog og relevante bilag, er tilgængelige på kommunens intranet. Af sikkerhedsmæssige årsager er en række it-organisatoriske og systemtekniske bilag ikke tilgængelige for alle. Der foretages løbende opfølgning på, hvorvidt reglerne i it-sikkerhedspolitikken samt bilagene i praksis efterleves. It-sikkerheden kontrolleres og revideres ud fra en konkret vurdering af væsentlighed og risiko. Øverste sikkerhedsansvarlige har ansvaret for, at denne opfølgning foretages mindst en gang om året eller ved større tekniske eller organisatoriske ændringer. Opfølgningen kan eventuelt ske med ekstern bistand. 2 Formål Formålet med it-sikkerhedspolitikken er at fastlægge it-sikkerheden på et overordnet niveau samt sikre implementeringen af de nødvendige retningslinjer, procedurer og kontroller i organisationen. Desuden ønskes en høj driftsikkerhed og at gældende lovgivning og myndighedskrav overholdes. Langeland Kommunes it-sikkerhedsniveau er resultatet af den samlede mængde af normer, foranstaltninger og kontroller, der kan sikre organisationens driftsmæssige kontinuitet og minimere de økonomiske risici ved tab, minimere misbrug af organisationens informationer samt undgå at kommunens omdømme skades og borgernes tillid svækkes. Det er kommunens direktion, der har ansvaret for it-sikkerheden, herunder sikring af tilgængelighed, fortrolighed og integritet. It-sikkerhedspolitikken skal endvidere sikre, at it-sikkerheden etableres på et effektivt og ensartet niveau, så risikoen for alvorlige fejl begrænses, høj driftsikkerhed og tilgængelighed til systemer, at datagrundlaget for kommunens forretningsgange er retvisende, at it-sikkerheden er tilpasset de værdier og informationer, som skal beskyttes og at væsentlige værdier ikke går tabt, at it-anvendelsen er tilpasset kommunens egne behov at it-sikkerheden indarbejdes i de eksisterende forretningsgange, 4

5 at ansvaret er entydigt placeret, at alle it-brugere har kendskab til it-sikkerhedspolitikkens relevans. It-sikkerhedspolitikken skal i overensstemmelse med kommunens vitale forretningsgange være en afvejning af væsentlighed og risiko. Sikringen skal stå mål med risikoen. Langeland Kommune vil ikke sikre sig for enhver pris, men være bevidst om enhver risiko. Endvidere har en effektiv og konsekvent formidling af it-sikkerhedspolitikken til formål at skærpe itbrugernes opmærksomhed på sikkerhed i forbindelse med anvendelse af de forskellige systemer, ligesom it-sikkerhedspolitikken skal sikre, at alle it-brugere er beskyttet af et entydigt regelsæt. 3 Omfang It-sikkerhedspolitikken i Langeland Kommune omfatter kommunens administrative it-baserede forretningsgange, herunder kontorprogrammer og fagsystemer og inkluderer også netværk og itinfrastrukur. It-sikkerhedspolitikken, it-sikkerhedshåndbogen og bilagene omfatter alle brugere af kommunens administrative it-systemer og it-baserede infrastruktur. I det omfang Langeland Kommune udliciterer it-driftafviklingen til eksterne leverandører skal det sikres, at serviceleverandøren overholder retningslinjerne, som de er beskrevet i it-sikkerhedspolitikken, it-sikkerhedshåndbogen og relevante bilag således, at it-sikkerhedsniveauet er i overensstemmelse med Langeland Kommunes it-sikkerhedspolitik. 4 It-sikkerhedsniveau It-sikkerhedspolitikken har udgangspunkt i god it-skik, best-practice samt lovgivning indenfor itsikkerhed. It-sikkerhedspolitikken er udarbejdet med ISO 27001/2 som referenceramme. It-sikkerhedsniveauet er fastlagt på baggrund af en risikovurdering således, at it-sikkerheden er afstemt efter betydningen af kommunens data og systemer. It-sikkerheden skal være på et betryggende niveau, hvor der aldrig skabes tvivl om, at kommunens it-sikkerhed er tilstrækkelig. Der gennemføres mindst en gang om året - eller ved større tekniske eller organisatoriske ændringer - en risikovurdering således, at kommunens ledelse kan holdes orienteret om det aktuelle risikobillede. Det konkrete og operationelle ansvar for den daglige styring af it-sikkerhedsarbejdet er placeret hos Langeland Kommunes it-sikkerhedskoordinator. Organisering af it-sikkerhedsarbejdet er uddybende beskrevet i it-sikkerhedshåndbogen. 5

6 5 It-sikkerhedsbevidsthed Langeland Kommunes it-sikkerhedspolitik vedrører den samlede administrative systemanvendelse og det samlede informationsflow. Gennemførelse af it-sikkerhedspolitikken skal derfor finde sted med bistand fra it-brugere og it-medarbejdere i kommunen. Alle kommunens medarbejdere har et ansvar for at bidrage til en sikker og betryggende it-driftafvikling. En effektiv og konsekvent formidling af it-sikkerhedspolitikken skal skærpe it-brugernes opmærksomhed på sikkerhed i forbindelse med anvendelse af de forskellige systemer. Som brugere af Langeland Kommunes systemer og data skal alle administrative it-brugere følge itsikkerhedspolitikken, it-sikkerhedshåndbogen og relevante bilag. Systemer og data må udelukkende anvendes til udførelse af de relevante arbejdsopgaver og systemer og data skal beskyttes i overensstemmelse med deres indhold og følsomhed. 6 Overtrædelse af it-sikkerhedspolitikken Ansvaret for at efterleve sikkerheden omkring it-anvendelsen i Langeland Kommune er placeret hos den enkelte medarbejder. Det skal derfor fremhæves, at overtrædelse af it-sikkerhedspolitikken samt relaterede bilag, kan medføre sanktioner. Hvis en medarbejder opdager trusler i mod kommunens it-driftafvikling eller er bekendt med overtrædelser af it-sikkerhedspolitikken, skal dette meddeles it-sikkerhedskoordinatoren, it-afdelingen eller nærmeste leder - hurtigst muligt. 7 Udarbejdelse og ikrafttrædelse Ændringer i it-sikkerhedspolitikken besluttes af Kommunalbestyrelsen, mens ændringer i itsikkerhedshåndbogen samt bilag og retningslinjer, godkendes af direktionen. Ændringer i operationelle procedurer foretages i de ansvarlige stabe, afdelinger eller institutioner. Denne It-sikkerhedspolitikken afløser it-sikkerhedspolitikken, der blev vedtaget i Kommunalbestyrelsen den 11. juni Denne it-sikkerhedspolitik træder i kraft den 1. juli