Informationssikkerhedspolitik for Sønderborg Kommune

Transkript

1 Informationssikkerhedspolitik for Sønderborg Kommune Denne politik er godkendt af Byrådet d. 4. februar 2015 og træder i kraft d. 1. marts 2015 Seneste version er tilgængelig på intranettet 1/8

2 Indledning Sønderborg Byråd fastlægger med denne informationssikkerhedspolitik principper for opretholdelse af informationssikkerhed i Sønderborg Kommune. Den øgede digitale informationsudveksling har medført en forøgelse af både trusler og sårbarheder, specielt hvad angår beskyttelse af information. En grundforudsætning for at kunne udnytte it optimalt er, at borgere, erhverv og ansatte føler sig trygge ved kommunens it-løsninger. Denne tryghed hænger uløseligt sammen med kvalitetsoplevelsen af kommunens services. It-driften og informationer skal være sikre, pålidelige og tilgængelige. Information er et aktiv, der i lighed med øvrige aktiver, er væsentlig for kommunens aktiviteter og derfor skal beskyttes på passende vis. Information kan eksistere i mange former. Det kan være skrevet på papir, lagret elektronisk, transmitteret via kabler eller gennem luften, ligge på en film eller være fremført i en samtale. Uanset formen skal information beskyttes i henhold til dennes betydning for kommunen og de regler og forordninger, som gælder. Informationssikkerhed er den samlede indsats, der skal sikre kommunens daglige drift, minimere skader, samt beskytte kommunens borgere, erhvervsliv og samarbejdspartnere. Informationssikkerhed opnås ved at implementere, overvåge, revurdere og løbende ajourføre et passende sæt af foranstaltninger bestående af politikker, praksis, procedurer, organisatoriske tiltag og tekniske funktioner. Der skal i Sønderborg Kommune være plads til innovation og eksperimenter, hvilket informationssikkerheden skal understøtte og rumme. Informationssikkerhedstiltag skal derfor være i balance med hensyn til udvikling og effektivitet, således at mål i Vision , hvad angår fokus på særlige indsatsområder vedrørende digitalisering, udbygges og anvendes. Informationssikkerhedsforanstaltningerne skal tillige sikre, at dansk og EU lovgivning overholdes og indarbejdes i kontroller eksempelvis persondataloven og den forventede EU persondataforordning. Denne politik beskriver hvordan byrådet ønsker, at balance mellem tryghed, kvalitetsopfattelse, udvikling og effektivitet opnås med et hensigtsmæssigt informationssikkerhedssystem tilpasset kommunens ledelsessystem. 2/8

3 Politikkens opbygning It-sikkerhedspolitikken er opdelt i tre niveauer, med udgangspunkt i kommunens værdisæt, samt en række administrative procedurer. Dette er illustreret i nedenstående figur. Den overordnede politik (dette dokument) beskriver rammer, mål og overordnet organisering af informationssikkerhedsindsatsen. Den operationelle politik præciserer organisering, ansvar og roller. Den godkendes af direktionen. Retningslinjer beskriver krav til risikohåndtering på udvalgte områder. Retningslinjer fastlægges med inddragelse af relevante ledelsesfora, forvaltninger og interessenter. Formål Politikkens formål er at sætte rammerne for, hvordan Sønderborg Kommune sikrer en fornuftig balance mellem driftssikkerhed og udnyttelse af digitaliseringsmuligheder. Frem for alt skal politikken sikre, at indsatsen prioriteres efter den aktuelle risiko. Det kan ramme borgere og erhvervsliv og ansatte, hvis følsomme eller fortrolige oplysninger bliver offentliggjort eller går tabt. Kommunen kan lide økonomiske tab, hvis data mistes, eller der er fejl i data, så afgørelser træffes på et forkert grundlag. Det kan påvirke driften og de ansatte, hvis sager, anlægsoplysninger eller andre informationer mistes og service til borgerne derfor ikke kan leveres. Det kan gå ud over kommunens omdømme og påvirke borgernes tillid til kommunens forvaltning, hvis der ikke er styr på data og systemer. 3/8

4 Omfang og gyldighedsområde Alle informationer og systemer, som tilhører kommunen, som kommunen anvender eller som kommunen har ansvaret for, er omfattet. Det inkluderer personoplysninger, sagsdokumentation, produktionsdata, anlægsdata, tegninger, ledelsesinformation og eventuelle andre data. Politikken gælder alle ansatte, politikere, midlertidigt ansatte, eksterne konsulenter og andre med arbejdsmæssig tilknytning til kommunen. Ved udlicitering af it-drift til eksterne serviceleverandører, deltagelse i it-driftsfællesskaber, private aktørers adgang til informationer og lignende skal det sikres, at Sønderborg Kommunes sikkerhedsniveau opretholdes. Enten via krav og overvågning af leverandøren eller ved at tage forholdsregler, hvis uheldet er ude. Grundprincipper for informationssikkerhed Informationssikkerhedsindsatsen tager afsæt i nedenstående mål og organisering. Indsatsen for at efterleve målene skal respektere kommunens ønsker om decentralt ansvar, at der skal tænkes i helheder, at tillid går forud for kontrol og at Sønderborg Kommune vil være på forkant med udviklingen. Mål Informationssikkerhedsniveauet i Sønderborg Kommune skal opfylde følgende overordnede mål. Sikkerhedskultur og -bevidsthed Målet er, at den enkelte medarbejder forholder sig til informationssikkerhed uanset niveau og opgave, samt føler ansvar for, at der træffes de nødvendige forholdsregler. Både ledere og medarbejdere skal være opdaterede i forhold til de risici, som de kan påvirke i deres rolle og opgaver. Ledere på alle niveauer skal have et overblik over risikoen i deres område, og har ansvaret for den løbende dialog med medarbejdere om risici og nødvendige forholdsregler for at håndtering heraf. Målet skal opnås ved at etablere et fælles sprog og holdnings- og værdisæt, som formidles via ledelsessystemet og i direkte dialog med medarbejdere. Sikker drift Målet er, at der opretholdes et driftsmæssigt stabilt, sikkert, let tilgængeligt og funktionelt itserviceniveau. Forvaltningerne skal kunne stole på, at it-services, der etableres og leveres af Itafdelingen, er tilgængelige og beskyttet efter forvaltningernes behov. Målet skal opnås ved at sikkerhedsniveauet omkring it-services, som anvendes i kommunen, tydeligt deklareres og godkendes af ledelsen. Kritiske it-driftsprocesser skal følge faste, dokumenterede arbejdsgange, være systematisk overvåget og status på væsentlige driftsforhold skal rapporteres til DIS løbende. Adgang og rettigheder til data og systemer Målet er, at følsomme og kritiske systemer og data er beskyttet mod uautoriseret adgang og ændring uanset hvor de befinder sig. Adgang til og ændring af følsomme eller kritiske systemer eller data skal let kunne spores til personen. 4/8

5 Målet skal opnås ved at de ansvarlige ledere gives let adgang til oplysninger, der er nødvendige for at kunne udføre ledelsestilsyn. Adgangskontrollens effektivitet skal som minimum efterprøves årligt for væsentlige og følsomme data og systemer. Hvis der gives adgang til fortrolige data uden for det etablerede sikkerhedsmiljø, kræves en forudgående godkendelse af forvaltningens direktør. Projekter Målet er, at digitaliseringsprojekter, herunder anskaffelse, udvikling og vedligeholdelse af it-systemer, ikke svækker sikkerhedsniveauet. Målet skal opnås ved projekter og ændringer skal følge en fast, dokumenteret projekt- og/eller ændringsstyringsproces. Sikkerhedsmæssig vurdering skal være en integreret del af projekt- og programstyringen, samt af udbudsprocessen. Inden højrisikoprojekter igangsættes, skal der være en risikohåndteringsplan godkendt af kommunens sikkerhedsansvarlige. Inden systemer sættes i drift, skal systemejer godkende resultatet af afprøvning af systemets sikkerhedsforanstaltninger. Fysisk sikkerhed Målet er, at de fysiske omgivelser for informationer og informationsudstyr, der anvendes af kommunen og som kommunen har ansvaret for, beskyttes effektivt mod fysiske hændelser, eksempelvis brand, vandskade, tyveri, hærværk, skader forårsaget af menneskelige fejl og lignende. Målet skal opnås ved, at der på steder, hvor der opbevares og anvendes informationer, systemer, infrastruktur og data, etableres et risikotilpasset niveau af fysisk sikkerhed. Placering og den fysiske sikring af udstyr, som It-afdelingen har driftsansvaret for, skal forhåndsgodkendes af It-afdelingen. Den fysiske sikkerhed på lokationer med vitale installationer og informationer, der kræver høj beskyttelse, skal løbende efterprøves. Håndtering af sikkerhedshændelser Målet er, at skaden ved sikkerhedsbrud holdes på et acceptabelt niveau og at kommunens vigtigste opgaver kan videreføres inden for en af ledelsen besluttet tidshorisont. Målet skal opnås ved, at der opretholdes et beredskab, så sikkerhedshændelser kan håndteres effektivt. Hændelser skal registreres og omfanget skal årligt evalueres og rapporteres til ledelsen. Ved alvorlige hændelser skal der foretages en efterfølgende evaluering af hændelsen. Sikkerhedsniveauet omkring de enkelte systemer og data fastlægges på baggrund af en risikovurdering og under hensyn til lovbestemte og kontraktlige krav. Der skal udarbejdes en informationssikkerhedsårsplan, som beskriver hvilke tiltag informationssikkerhedsorganisationen vil gennemføre for at opfyldelse ovenstående mål. Årsplanen forelægges direktionen til godkendelse hvert år i januar. Organisation og ansvar Den enkelte medarbejders ansvar skal være præcist og entydigt beskrevet med udgangspunkt i nedenstående overordnede organisering: Byrådet fastlægger den overordnede informationssikkerhedspolitik. Kommunaldirektøren er øverst informationssikkerhedsansvarlig og godkender i samråd med direktionen den operationelle informationssikkerhedspolitik. Forvaltningsdirektører har inden for eget område ansvar for implementering og opfølgning på efterlevelse af politikken. Niveau 2 chefer organiserer indsats inden for eget område og fastlægger behov for 5/8

6 koordinering med andre enheder i kommunen. Niveau 2 chefer har initiativpligten med hensyn til evalueringer af egne systemer og data. Digitaliserings- og it-styregruppen (DIS) har det overordnede ansvar for den tværgående indsats, herunder at politikken og beslutninger er kendt på alle ledelsesniveauer og efterleves effektivt, samt at det generelle niveau svarer til det aktuelle behov. Ligeledes sikrer DIS, at nye projekter opfylder krav til it-sikkerhed. It-chefen er ansvarlig for at driften til ethvert tidspunkt lever op til informationssikkerhedspolitikken og til det sikkerhedsniveau, der er aftalt med forvaltningerne. Undtaget driftsaftaler, hvor It-afdelingen ikke er kontraktholder. Alle ledere har ansvar for, at kravene til system- og datasikkerhed i lederens ansvarsområde er klart kommunikeret til medarbejderne. Ledere med systemejeransvar skal fastlægge de krav, som brugere af systemet skal efterleve. For alle systemer udpeges, så tæt på arbejdsgangen som muligt, en systemejer med ansvar for sikkerheden omkring systemet. Direktionen udpeger ejere af fællessystemer. It-sikkerhedskoordinator refererer til kommunaldirektøren eller en af ham udpeget leder og varetager den overordnede it-sikkerhedskoordinering og koordinering af øvrige aktiviteter i årsplanen, som aftales med direktionen. Itsikkerhedskoordinator afrapporterer it-sikkerhedsstatus til DIS minimum kvartalsvis og deltager i DIS vedr. it sikkerhedsproblematikker. It-afdelingen skal sikre, at behov er kortlagt inden nye projekter eller ændringer, der vedrører hele kommunen, sættes i gang. It-afdelingen har desuden ansvar for at sikre en høj kvalitet i risikoinformation eksempelvis sikkerhedsbrud til relevante fora for eksempel it-sikkerhedskoordinator, DIS og direktion, og at værktøjer til systemejere effektivt understøtter systemejernes opgaver. Ligeledes er det Itafdelingens opgave at sikre aftalt beredskab. Alle medarbejdere har pligt til at sætte sig ind i regler og vejledninger om brug af kommunens it-faciliteter og til at rapportere hændelser, trusler og sårbarheder, som medarbejderen bliver bekendt med. 6/8

7 Evaluering og opfølgning It-sikkerhedskoordinatoren leverer en årlig status og forslag til ny årsplan, herunder omfanget af evaluering og opfølgning til behandling i direktionen. DIS skal løbende have status på omfanget af informationssikkerhedsbrud. Ved personalerelaterede brud på sikkerheden informerer it-sikkerhedskoordinatoren medarbejderens nærmeste leder, som herefter behandler sagen i forhold til medarbejderen. Forekommer der gentagne brud på sikkerheden fra samme medarbejder orienterer it-sikkerhedskoordinatoren både medarbejderens nærmeste leder og chefen henholdsvis direktøren for det berørte område. Informationssikkerhedspolitikken revideres hvert andet år, og sendes til fornyet godkendelse i Byrådet ved meget væsentlige ændringer. Den overordnede informationssikkerhedspolitik skal godkendes på ny, når et nyt byråd er konstitueret efter et kommunalvalg. 7/8

8 8/8