Rammekontraktbilag M. Regulativ for it-sikkerhed

Transkript

1 Rammekontraktbilag M Regulativ for it-sikkerhed

2 2

3 Indholdsfortegnelse Kapitel 1 - Regulativets anvendelsesområde, formål og omfang... 4 Kapitel 2 - Definitioner... 4 Kapitel 3 - Organisatoriske forhold... 8 Kapitel 4 - Risikovurdering og -håndtering Kapitel 5 - It-sikkerhedsinstruks Kapitel 6 - Adfærdsregler Kapitel 7 - Medarbejderne Kapitel 8 - Fysisk sikkerhed Kapitel 9 - Adgangsstyring Kapitel 10 - Anskaffelse, udvikling og vedligeholdelse af it-systemer Kapitel 11 - Styring af it-sikkerhedshændelser Kapitel 12 - It-beredskabsstyring Kapitel 13 - Lovbestemte krav Kapitel 14 - Revision af it-sikkerhed Kapitel 15 - Ikrafttrædelse og ændringer Instrukser til regulativet Erklæringer tilhørende it-sikkerhedsregulativet I medfør af 5 i Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning, udsteder Rudersdal Kommune følgende it-sikkerhedsregulativ: 3

4 Kapitel 1 - Regulativets anvendelsesområde, formål og omfang 1. It-sikkerhedsregulativet gælder for behandling af personoplysninger og dataoplysninger i Rudersdal Kommune, som helt eller delvist foretages ved hjælp af elektronisk databehandling og for ikke-elektronisk databehandling af personoplysninger, der er eller vil blive indeholdt i et manuelt register. Stk. 2. De selvejende og private institutioner mv., der har indgået driftsoverenskomst med kommunen, eller som kommunen udfører behandlinger for, skal efterleve it-sikkerhedsregulativet. 2. Formålet med it-sikkerhedsregulativet er navnlig at sikre, at enhver elektronisk håndtering af personoplysninger og dataoplysninger i Rudersdal Kommune sker på en betryggende og tillidsvækkende måde i forhold til kommunens borgere og virksomheder, og at kommunen overholder de regler for behandling af personoplysninger, der er fastsat i lov om behandling af personoplysninger (persondataloven) med tilhørende bekendtgørelser mv. 3. It-sikkerhedsstyringssystemet omfatter udover regulativet med tilhørende bilag diverse instrukser, vejledninger, beskrivelse af procedurer samt handlingsplaner. Alt materiale vil altid være tilgængeligt og opdateret på Intranettet. Kapitel 2 - Definitioner 4. I it-sikkerhedsregulativet anvendes definitionerne i persondatalovens 3. Herudover anvendes følgende definitioner: Beredskabsplan Beredskabsplanen for Rudersdal Kommune. Dataoplysninger Oplysninger, der har en væsentlig økonomisk ellerforvaltningsmæssig betydning for kommunen eller væsentlige aktiver, der indeholder fortrolige eller følsomme it-aktiver eller personoplysninger. Distancearbejdsplads En arbejdsplads udenfor kommunens ejendomme, hvorfra medarbejderen kan udføre sit arbejde via en netværksforbindelse. Driftsmiljø It-miljø af en eller flere servere, som afvikler 4

5 Eksterne datamedier Fremmede netværk Fællessystem Inddata It-aktiver It Security Manager It-beredskabsplan It-chef It-platform applikationer. Miljøet kan være opdelt i flere miljøer til test, udvikling, produktion, uddannelse mv. Usb-nøgler, disc og andre databærende medier Netværk, herunder trådløse, som ikke administreres og kontrolleres af kommunen. Et it-system, der som udgangspunkt anvendes af samtlige forvaltninger, f.eks. Acadre og Outlook. Papirbaseret eller elektronisk grundmateriale, hvorfra personoplysninger hentes til videre elektronisk databehandling med undtagelse af papirer fra papirbaserede sager. Omfatter databaser, registre, it-systemer, applikationer, filer, systemdokumentation, forretningsgange, driftsplaner, beredskabsplaner, nødplaner eller kontrakter. Jurist i Digitalisering og Organisationsudvikling med ansvar for den daglige ledelse og styring af informationssikkerheden. It Security Manager yder rådgivning og vejledning til samt kontrol af overholdelse af it-sikkerhedsregulativet samt øvrige regler indenfor itsikkerhedsstyringssystemet. Itsikkerhedsskoordinatoren skal organisatorisk være placeret uafhængig af Rudersdal it. Plan for iværksættelse af nødplaner, reetablering af it-systemer og begrænsning af skadevirkninger i tilfælde af større it-nedbrud mv. Chefen for Rudersdal it En it-teknisk platform, som skal understøtte et itmiljø. Begrebet benyttes til at angive forudsætningerne for, at en given applikation kan afvikles. Omfatter både programmel og maskinel. 5

6 It-sikkerhedsinstruks It-sikkerhedsledelsen It-sikkerhedsregulativet It-system It-udstyr Kommunen Kommunens ejendomme Medarbejdere Mobilt it-udstyr Instruks for et it-sikkerhedsområde fastsat af It Security Manager til supplement af itsikkerhedsregulativet. Konkret udmøntning af itsikkerhedsregulativet. Udgøres af It-chefen og It Security Manager som udfører opgaver af it-sikkerhedsmæssig karakter samt fører tilsyn med, at itsikkerhedsarbejdet bliver udført i overensstemmelse med de til enhver tid gældende it-sikkerhedsbestemmelser. Regulativ for it-sikkerhed i Rudersdal Kommune udstedt i medfør af 5 i Sikkerhedsbekendtgørelsen. Sammenhængende it-baserede funktioner (applikationer, programmer, registre og data), der har til formål at løse en bestemt opgave med tilhørende automatiske og manuelle behandlingsprocesser. Udstyr og netværk, der indgår i en it-løsning. Rudersdal Kommune. De af kommunen ejede, lejede eller benyttede ejendomme og lokationer. Medarbejdere i kommunen og virksomheder, der er brugere af kommunens it-systemer, medarbejdere i selvejende og private institutioner og virksomheder, medarbejdere i eksterne virksomheder, der er vikarer eller udfører it-opgaver for kommunen, og hvor adgangen til kommunens it-systemer er aftalt med it-chefen, samt medlemmer af Kommunalbestyrelsen. Ved mobilt it-udstyr forstås it-udstyr, der kan anvendes til lagring af data og/eller kommunikation med kommunens netværk eller systemer, uden at denne anvendelse nødvendigvis er bundet til en bestemt lokation - eksempelvis PDA'er, bærbare pc'ere og tablets, 6

7 ipads, mobiltelefoner, iphones, smartphones og eventuelle databærende medier. Persondataloven Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer. Sikkerhedsbekendtgørelsen Bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning med senere ændringer. Sikre områder Krydsfelter, serverrum og andre områder, hvor der er it-udstyr, som kræver særlig sikkerhed, og hvor der er truffet beslutning om, at området skal være sikkert område. Superbrugere, systemadministratorer Varetager autorisation til fagsystemer på grundlag af skriftlige anmodninger fra egen afdeling eller område. Systemejer Leder eller ledende medarbejder i et område eller en afdeling, der har ansvar for det pågældende it-systems sikkerhedsløsning, opbygning, anvendelse og for beskyttelse af de oplysninger, der indgår i systemet. Lederen af det område, som anskaffer systemet, varetager systemejerskabet indtil udpegning af systemejer har fundet sted. Systemejeren kan delegere dele af sine ansvarsopgaver til en systemansvarlig. Systemansvarlig Varetager de delegerede ansvarsopgaver omkring det pågældende it-system. Uddata Resultatet af en elektronisk databehandling, som foreligger i elektronisk eller papirbaseret form. 7

8 Kapitel 3 - Organisatoriske forhold Kommunalbestyrelsen 5. Kommunalbestyrelsen forelægges kommunens informationspolitik efter indstilling fra Direktionen. Stk. 2. It-sikkerhedsregulativet udmønter informationspolitikken og beskriver det overordnede it-sikkerhedsniveau, de organisatoriske rammer for kommunens håndtering af it-sikkerhedsrisici og de overordnede retningslinjer for udformningen af kontrol, udmøntning og it-sikkerhedsforanstaltninger. Itsikkerhedsregulativet behandles af HovedMED og godkendes af Direktionen. Stk. 3. informationspolitikken revideres efter behov og vurderes en gang årligt. Stk. 4. It-sikkerhedsregulativet skal gennemgås mindst en gang hvert år. Direktionen 6. Direktionen godkender it-sikkerhedsregulativet. Stk. 2. Kommunaldirektøren er øverste sikkerhedsansvarlige og rådgives af It Security Manager og it-chefen i relation til persondataloven, sikkerhedsbekendtgørelsen og it-sikkerhedsregulativet. Stk. 3. Direktionen er ansvarlig for kommunens sikkerhedsniveau og skal iværksætte de foranstaltninger, der er nødvendige for at opnå en tilstrækkelig it-sikkerhed. Stk. 4. Direktionen delegerer ansvaret for overholdelse af itsikkerhedsregulativet til områdecheferne. Stk. 5. Direktionen delegerer ansvaret for håndteringen af itsikkerhedsregulativet samt kontrolansvaret i medfør af regulativet til It Security Manager. It Security Manager 7. It Security Manager fører det daglige tilsyn med overholdelsen af kommunens it-sikkerhedsbestemmelser, koordinerer kommunens itsikkerhedsarbejde og udøver kontrol med overholdelse af itsikkerhedsregulativet og bestemmelser udstedt i medfør heraf. Stk. 2. It Security Manager og it-chefen rådgiver kommunen om itsikkerhedsmæssige forhold. 8

9 Stk. 3. It Security Manager kan afkræve enhver medarbejder i kommunen oplysninger eller dokumentation, som har betydning for varetagelsen af kontrolfunktionen. Stk. 4. It Security Manager kan efter vurdering udarbejde en sikkerhedsinstruks for et givent it-sikkerhedsområde som supplement til eller uddybning af it-sikkerhedsregulativet. Stk. 5. It Security Manager tager stikprøver af lederens kontrol med adgangsrettigheder og autorisationer, der er givet til medarbejderne. Stk. 6. It Security Manager kan efter egen vurdering foretage kontrol i relation til det overordnede formål af alle operationer og systemer, der må påkalde sig interesse. Stk. 7. It Security Managers opgaver, jf. stk. 1-6, omfatter ikke Rudersdal Hørsholm Beredskab. Systemejere 8. Systemejeren er ansvarlig for et it-systems funktionalitet, opbygning, anvendelse og sikkerhedsløsning samt for at iværksætte de nødvendige foranstaltninger til beskyttelse af it-systemet og de person- og dataoplysninger, der er indeholdt heri samt de krav til installation m.v., it til enhver tid måtte have. For alle væsentlige, definérbare systemer identificeres en systemejer. Vurderingen af et systems væsentlighed ligger hos itsikkerhedsledelsen. Stk. 2. Systemejer er ansvarlig for, at de sikkerhedsmæssige krav opfyldes. Herved forstås krav om tilgængelighed, fortrolighed, integritet, adgangskontrol samt eventuel anmeldelse af behandlinger til Datatilsynet. Stk. 3. Systemejeren skal sikre, at der for it-systemer på egne it-platforme udarbejdes procedurer for driftsafviklingen, herunder driftsplanen, og godkende disse. Driftsplaner udarbejdet af eksterne samarbejdspartnere skal tillige godkendes af systemejeren. Driftsafviklingsprocedurer for it-systemer, der er væsentlige it-aktiver, skal være dokumenterede, ajourførte og tilgængelige for driftsafviklingspersonalet og andre med et arbejdsbetinget behov herfor. Systemejeren skal sammen med it sikre, at der laves aftale om it-beredskab for så vidt angår det it-system, som henhører under systemejeren. Stk. 4. Ved brug af eksterne samarbejdspartnere er systemejeren ansvarlig for, at der i forhold til det pågældende it-system træffes de nødvendige itsikkerhedsforanstaltninger, herunder at der i nødvendigt omfang indgås 9

10 aftaler om de nærmere vilkår og it-sikkerhedskrav i forbindelse med samarbejdet. Stk. 5. Udveksling af person- og dataoplysninger i form af udtræk fra et itsystem til et andet (dataudveksling) skal uanset udtræksmediet ske i henhold til retningslinjer udarbejdet af systemejeren eller leverandøren for det itsystem, der er genstand for udtrækket. Stk. 6. Systemejeren sikrer, at it-systemet kan logge i fornødent omfang, jf. sikkerhedsbekendtgørelsens 19, og at logoplysningerne behandles i overensstemmelse med gældende it-sikkerhedskrav, herunder at loggen slettes igen, ligeledes jfr. sikkerhedsbekendtgørelsens 19. Stk. 7. Systemejeren sikrer, at it-sikkerhedskravene iagttages ved design, test, implementering og opgradering af it-systemer og ved systemændringer. Hvis integration af it-systemer indebærer en øget it-sikkerhedsrisiko, skal denne risiko vurderes nærmere af systemejeren med inddragelse af it og It Security Manager. Stk. 8. Systemejer kan uddelegere det praktiske ansvar for et system til en systemansvarlig. It 9. It skal sikre, at opbygning og anvendelse af kommunens it-platform, driftsmiljø og kommunikationsforbindelser er i overensstemmelse med de itsikkerhedsmæssige krav og den til enhver tid gældende digitaliseringsstrategi. Stk. 2. It skal, såfremt det skønnes nødvendigt, udarbejde itsikkerhedsforskrifter. It Security Manager godkender disse forskrifter. Itsikkerhedsforskrifterne revideres efter behov. Stk. 3. It har ansvaret for sikkerheden på it-platforme og skal drage omsorg for, at operativsystemet er sikkerhedspatchet til seneste godkendte niveau. Stk. 4. It har ansvaret for de fysiske sikringsforanstaltninger inden for eget område og i forhold til kommunens netværk samt netværksudstyr og servere m.v., som ejes af kommunen. Stk. 5. It skal sikre, at leverandørers applikation kan holde udviklings-, testog uddannelsesmiljøer adskilt fra produktionsmiljøet. Stk. 6. It træffer sammen med It Security Manager beslutning om de opgaver, som henhører under it s ansvarsområde. 10

11 Funktionsadskillelse 10. Rudersdal Kommune har valgt, at en medarbejder ikke samtidig kan varetage funktionen som It Security Manager, systemejer og/eller sidde i IT. Organisering af internt samarbejde 11. Det interne samarbejde sker efter aftale mellem systemejer, It Security Manager, it og it-chefen. Stk. 2. Arbejdet tilrettelægges efter nødvendighed og har ingen formkrav. Stk. 3. Enhver afdeling eller område kan bede It Security Manager om at påse overholdelse af gældende regler, ligesom It Security Manager af egen drift påser og vurderer, om der skal foretages kontroller eller andet tilsyn. Organisering af eksternt samarbejde 12. Ved indgåelse af aftaler med eksterne samarbejdspartnere skal samarbejdspartneren underskrive en erklæring om tavshedspligt, hvis samarbejdspartneren som led i samarbejdet får adgang til kommunens fortrolige og følsomme personoplysninger og dataoplysninger. Det nærmere indhold af tavshedspligten fremgår af et af It Security Manager udarbejdet paradigme. Stk. 2. Ved indgåelse af aftaler med eksterne samarbejdspartnere, der indebærer, at samarbejdspartneren skal foretage databehandling på kommunens vegne, skal der indgås en databehandleraftale, hvis indhold er i overensstemmelse med et af It Security Manager udarbejdet paradigme herom. Stk. 3. Ansvaret for indgåelse af de i stk. 1-2 nævnte aftaler påhviler den, der indgår eller burde have indgået aftale med samarbejdspartneren. Stk. 4. Ved udveksling af person- og dataoplysninger i form af udtræk fra et system til et andet (dataudveksling) skal retningslinjerne udarbejdet af systemejeren, jf. 8 stk. 5, følges. Kapitel 4 - Risikovurdering og -håndtering 13. Direktionen har ansvar for at fastlægge et passende it-sikkerhedsniveau ud fra en risikovurdering. 11

12 Stk. 2. Direktionen har ansvar for at fastlægge it-sikkerhedsniveauet i forhold til kommunens netværk samt netværksudstyr og servere m.v. Som led i fastlæggelsen af it-sikkerhedsniveauet har direktionen ansvar for gennemførelse af risikovurderinger. Stk. 3. Der skal udføres en risikoanalyse for de områder, hvor risikovurderingen begrunder det. Risikoanalysen udarbejdes af It Security Manager i samarbejde med it-chefen. Stk. 4. Risikovurderinger skal udarbejdes på grundlag af et af It Security Manager udarbejdet paradigme. Stk. 5. Risikovurderinger skal udarbejdes ved væsentlige ændringer i risikobilledet. Stk. 6. It Security Manager udarbejder på baggrund af de respektive risikovurderinger om nødvendigt en samlet risikovurdering for kommunen. Stk. 7. Den samlede risikovurdering skal udarbejdes inden udgangen af 1. kvartal i hvert lige år de år, hvor risikobilledet begrunder det. Stk. 8. På baggrund af den samlede risikovurdering træffer Direktionen beslutning om fastlæggelse af kommunens overordnede it-sikkerhedsniveau. Det på ikrafttrædelsestidspunktet overordnede it-sikkerhedsniveau fremgår af kommunens informationspolitik godkendt af direktionen i juli Liste over systemer, behandlinger og anmeldelsespligt 14. Som led i risikovurderingen skal It Security Manager sikre udarbejdelse af en liste over anvendte it-systemer og de databehandlinger, der foretages, og det skal i den forbindelse vurderes og dokumenteres i hvilket omfang, der er pligt til at foretage anmeldelse af behandlingen til Datatilsynet, jf. stk. 3. Stk. 2. Den, der påtænker at tage et nyt system i brug, skal orientere it, og selvstændig formular skal udfyldes og godkendes af it. Stk. 3. Systemejer skal foretage anmeldelse til Datatilsynet af alle anmeldelsespligtige behandlinger før behandlingerne påbegyndes, jf. dog også persondatalovens 44. Anmeldelser skal i videst muligt omfang ske ved tilslutning til de af KL og Datatilsynet udarbejdede fællesanmeldelser. Væsentlige it-aktiver 15. Som led i risikovurderingen skal It Security Manager sikre, at der til enhver tid findes en ajourført fortegnelse over alle væsentlige (og efter en konkret vurdering kritiske) it-aktiver med undtagelse af eksterne datamedier. 12

13 Stk. 2. Af fortegnelsen over væsentlige it-aktiver skal for hvert enkelt aktiv fremgå, hvem der er aktivets ejer, og hvilken type af oplysninger aktivet indeholder. Endvidere skal der være taget stilling til arkivering og eventuel sletning af oplysninger. Stk. 3. Den i stk. 2 nævnte oversigt benævnes systemoversigt. Kapitel 5 - It-sikkerhedsinstruks 16. It Security Manager sikrer udarbejdelse af nødvendige itsikkerhedsinstrukser, der skal sikre, at it-sikkerhedsregulativet udmøntes i praksis. Stk. 2. It-sikkerhedsinstrukserne udarbejdes efter samråd med It-chefen. Kapitel 6 - Adfærdsregler Kommunikation og lagring 17. Al kommunikation mv. skal som udgangspunkt foregå via kommunens fælles it-netværk. Stk. 2. Når kommunikation mv. ikke foregår via kommunens fælles it-netværk, må der kun anvendes it-systemer, internetservices, programmer, kommunikationsforbindelser, mv., der er godkendt af it. Stk. 3. Der må kun anvendes server- og/eller netværksdrev, som er godkendt af it. Kryptografi 18. It fastlægger niveauet for kommunens kryptografi. Stk. 2. Der må ikke anvendes andre former for kryptering end de af it godkendte. Brug af internet 19. Medarbejdere må anvende kommunens internetadgang til arbejdsmæssige formål. Hvis det ikke generer den arbejdsrelaterede anvendelse, må kommunens internetadgang tillige benyttes til private formål 13

14 under forudsætning af, at den private anvendelse ikke er i strid med kommunens værdigrundlag eller i øvrigt ikke stiller kommunen i et dårligt lys. Ved enhver brug af kommunens internetadgang skal kommunens itsikkerhedsregulativ overholdes. Stk. 2. It fastlægger sikkerhedsindstillingerne for webbrowsere og administrerer indstillingerne centralt. Der må kun anvendes godkendte webbrowsere. Medarbejderne må på ingen måde forsøge at omgå eller bryde disse it-sikkerhedsforanstaltninger. Stk. 3. It kan i fornødent omfang fastsætte regler om tung og vedvarende trafik. Stk. 4. It skal sikre, at filer, der hentes fra internettet, scannes for virus umiddelbart efter, at de er hentet, og inden de åbnes. Stk. 5. Kommunen kan af tekniske og it-sikkerhedsmæssige hensyn foretage maskinel registrering (logning) af medarbejdernes brug af internettet mv. Stk. 6. Kommunen kan herudover undtagelsesvis, og hvis der i det konkrete tilfælde skønnes at være behov herfor, overvåge medarbejderes anvendelse af internettet og øvrig datakommunikation efter forudgående orientering til It Security Manager. Stk. 7. Medarbejderen vil altid være orienteret om overvågningen, medmindre der er tilstrækkeligt tungtvejende grunde til ikke at gøre dette. I givet fald skal medarbejderen, når de tungtvejende grunde ikke længere taler imod en sådan orientering, orienteres om overvågningen. Stk. 8. Retningslinjerne for brug af internettet gælder ligeledes for adgang til internettet via citrix. Brug af 20. Medarbejdere skal anvende kommunens systemer til arbejdsmæssige formål. Hvis det ikke generer den arbejdsrelaterede anvendelse, må kommunens system tillige benyttes til private formål under forudsætning af, at den private anvendelse ikke er i strid med kommunens værdigrundlag eller i øvrigt ikke stiller kommunen i et dårligt lys. Ved enhver brug af kommunens system skal kommunens itsikkerhedsregulativ og politik overholdes. Stk. 2. s, der indeholder fortrolige og følsomme person- eller dataoplysninger, og som sendes over internettet eller andre åbne netværk, skal altid krypteres med godkendt software. Krypterede s modtages i og afsendes fra sikre e-postkasser (NemPost og digital post) i kommunen. 14

15 Stk. 3. It bør, hvor det er muligt, etablere filtre, der forhindrer medarbejderne i at modtage og sende s mv., der anses for at udgøre en særlig risiko for it-sikkerheden. Stk. 4. Modtager en medarbejder alligevel en , som den pågældende af it-sikkerhedsmæssige årsager er utryg ved, må denne ikke åbnes, før it har godkendt dette. Såfremt private s helt eller delvist tilbageholdes af itsikkerhedsmæssige årsager, vil medarbejderen på forespørgsel herom kunne få udleveret en kopi af disse mails på et eksternt datamedie. Sådanne s må ikke åbnes på kommunens it-udstyr. Stk. 5. Medarbejdere bør markere private s med teksten privat i emnefeltet eller gemme private s i en folder, hvor teksten privat indgår i folderens navn. Stk. 6. Kommunen kan undtagelsesvis skaffe sig adgang til s og oplysninger hos medarbejdere, hvis dette sker af arbejdsmæssige eller it-sikkerhedsmæssige hensyn og efter forudgående godkendelse fra nærmeste leder, hvis det er arbejdsmæssigt, og It Security Manager, hvis det er af sikkerhedsmæssige hensyn. Stk. 7. Kommunen vil i videst muligt omfang søge at undgå at åbne private e- mails og oplysninger, og dette vil kun ske, hvis de interesser, der nødvendiggør, at medarbejderens s og oplysninger åbnes, efter en konkret vurdering gør dette berettiget, jfr. det anførte herom i Straffeloven. Stk. 8. Medarbejderen vil altid være orienteret om, at kommunen skaffer sig adgang til s og oplysninger, medmindre It Security Manager forud herfor har godkendt, at der er tilstrækkeligt tungtvejende grunde til ikke at gøre dette. I givet fald skal medarbejderen, når de tungtvejende grunde ikke længere taler herfor, orienteres herom. Stk. 9. I tilfælde af at kommunen uden medarbejderens viden skaffer sig adgang til medarbejderens s mv., skal arbejdet udføres ved tilstedeværelse af en it-medarbejder samt medarbejderens nærmeste leder. Kapitel 7 - Medarbejderne Ansættelse af medarbejdere 21. Alle medarbejdere skal senest på tiltrædelsestidspunktet og som en integreret del af ansættelsesaftalen erklære at være bekendt med, at 15

16 vedkommende er underlagt reglerne om tavshedspligt, jf. Forvaltningslovens 27 og Straffelovens 152 og 152 c-152 f. Ansvaret herfor påhviler medarbejderens nærmeste overordnede. Stk. 2. Ved ansættelse af medarbejdere skal den leder, der underskriver ansættelsesaftalen, sikre, at der i fornødent omfang og under hensyn til stillingens karakter, er gennemført en undersøgelse af medarbejderens forhold. Under ansættelsesforholdet 22. Den nærmeste overordnede er ansvarlig for, at medarbejderen er informeret om sine opgaver og ansvar i forhold til it-sikkerheden, inden medarbejderen får adgang til kommunens it-systemer og oplysninger. Stk. 2. Alle medarbejdere, som skal have adgang til kommunens it-system modtager en mail, som indeholder information om kommunens itsikkerhedsbestemmelser og et link til kommunens it-sikkerhedsregulativ med bilag, som medarbejderen har pligt til at læse. Dette materiale vil altid ligge på kommunens intranet. Stk. 3. Såfremt medarbejderen tilkendegiver, at den pågældende har behov for yderligere instruktion om it-sikkerhedsreglerne, skal den nærmeste overordnede sikre, at medarbejderen modtager den fornødne instruktion. Stk. 4. Den nærmeste overordnede kan iværksætte en undersøgelse af medarbejderens forhold, såfremt dette skønnes nødvendigt. Ved ansættelsesforholdets ophør 23. Medarbejderens nærmeste overordnede sikrer, at medarbejderen senest ved ansættelsesforholdets ophør afleverer it-udstyr og lignende, som tilhører kommunen, og at der sker inddragelse af medarbejderes adgangsrettigheder jfr. 38 stk. 4 samt brugeridentitet i henhold til en af it nærmere fastlagt procedure Stk. 2. Medarbejderens nærmeste overordnede skal orientere medarbejderen om tavshedspligtens indhold efter ansættelsesforholdets ophør. 16

17 Kapitel 8 - Fysisk sikkerhed 24. Den lokale ledelse har inden for eget område ansvaret for, at der etableres en tilstrækkelig fysisk sikring af de områder, hvor der sker elektronisk databehandling af personoplysninger og dataoplysninger, og at kravene til it-sikkerhed til enhver tid overholdes. Stk. 2. It har ansvaret for, at der etableres en tilstrækkelig fysisk sikring, jf. stk. 1, i forhold til kommunens netværk samt netværksudstyr og servere mv. Beskyttelse af udstyr, herunder ind - og uddata 25. It-udstyr skal beskyttes, så risikoen for skader og uautoriseret adgang minimeres. Stk. 2. It-udstyr, der benyttes til behandling af personoplysninger eller dataoplysninger, skal placeres på en sådan måde, at det er beskyttet mod adgang fra uvedkommende. 26. Adgangen til ind- og uddata, der indeholder personoplysninger eller dataoplysninger, skal begrænses til medarbejdere, der har et arbejdsbetinget behov herfor. Stk. 2. De i stk. 1 nævnte ind- og uddata skal til enhver tid opbevares således, at de ikke kommer til uvedkommendes kendskab, og som minimum ved aflåsning af lokalet, når dette forlades. Stk. 3. I områder, som anvendes til betjening af borgere, og hvortil der er offentlig adgang, skal ind- og uddata, som omfatter fortrolige eller følsomme personoplysninger eller dataoplysninger, opbevares på en sådan måde, at uvedkommende ikke uhindret kan skaffe sig adgang. Stk. 4. De i stk. 1 nævnte ind- og uddata skal tilintetgøres på betryggende vis, f.eks. ved makulering eller sletning, når der ikke længere er sagligt behov for disse og senest 5 dage herefter. Stk. 5. Ved fysisk transport af ind- og uddata skal der, når henses til oplysningernes karakter, anvendes en betryggende transportform. Vurderingen heraf skal foretages af systemejeren af det system, som ind- og uddata hidrører fra og fornødent efter inddragelse af It Security Manager. 27. Printere, der benyttes til udskrivning af personoplysninger eller dataoplysninger, skal placeres i lokaler, hvortil der ikke er offentlig adgang, eller forsynes med en teknisk facilitet, der kun muliggør udskrivning af 17

18 dokumenter, når medarbejderen fysisk står ved printeren og giver tilladelse hertil. 28. Fast it-udstyr må ikke fjernes fra kommunens ejendomme, medmindre it vurderer andet. 29. Personoplysninger eller dataoplysninger skal så vidt muligt slettes effektivt og på en sikker måde fra it-udstyr, der repareres eller vedligeholdes uden for kommunens ejendomme. Stk. 2. Såfremt der skal ske gendannelse af it-udstyr, hvor sletning af de i stk. 1 nævnte oplysninger ikke er hensigtsmæssig eller i situationer, hvor sletning ikke er mulig, skal der indgås en databehandleraftale med den eksterne samarbejdspartner, jfr. det herom anførte i 12. Stk. 3. Ved salg og øvrig genbrug af it-udstyr skal de i stk. 1 nævnte oplysninger slettes effektivt uden mulighed for gendannelse. Stk. 4. Bortskaffelse af it-udstyr, som indeholder de i stk. 1 nævnte oplysninger, skal ske ved destruktion. Stk. 5. Ansvaret for den i stk. 1-4 nævnte sletning og bortskaffelse påhviler it. Sikre og kontrollerede områder 30. Centrale krydsfelter, serverrum og andre steder, hvor netværksudstyr er placeret, anses altid som sikre områder. Stk. 2. It skal fastsætte retningslinjer for fysisk sikring herunder godkendelse af personale med adgang til de i stk. 1 nævnte områder, om eventuel overvågning af personale, om meddelelse af oplysninger herom, om anvendelse af alarmsystemer, beskyttelse mod brand og vandskader, eventuel etablering af køling og ventilation, beskyttelse med nødstrømsanlæg og kapaciteten heraf samt om andre foranstaltninger til beskyttelse af de i stk. 1 nævnte områder. Retningslinjerne skal revideres mindst hvert 4. år. Stk. 3. It skal føres en fortegnelse over de i stk. 1 nævnte områder. 31. Den lokale ledelse skal i samarbejde med it-chef og It Security Manager træffe beslutning om hvilke andre områder, der, udover de i 30, stk. 1 nævnte, skal være sikre områder. It skal føre en fortegnelse over disse områder. 32. Den lokale ledelse træffer i samarbejde med It Security Manager herudover beslutning om hvilke områder, offentligheden ikke normalt skal have adgang til, og som dermed skal anses for kontrollerede områder. Den lokale ledelse fastsætter om nødvendigt nærmere retningslinjer for 18

19 sikkerheden på sådanne kontrollerede områder. Eventuelle retningslinjer herom skal revideres mindst hvert 2. år. Kapitel 9 - Adgangsstyring Adgangsstyring og brugeradgang 33. Al adgang til kommunens it-systemer, servere, netværk og pc'er, der indeholder person- eller dataoplysninger, skal være betinget af konkrete autorisationer. Stk. 2. Medarbejdere må alene få adgang til de oplysninger, som de har et sagligt behov for som led i deres arbejde. Stk. 3. Oprettelse og vedligeholdelse af medarbejdere i kommunens itsystemer skal ske i Servicedesk i it. Stk. 4. It Security Manager sikrer udarbejdelse af en eller flere procedurer for adgangsstyring og brugeradgang. Stk. 5. Autorisationer til de enkelte medarbejdere tildeles efter skriftlig anmodning fra den overordnede, som har kendskab til hvilke it-systemer, medarbejderen som led i sit arbejde har et sagligt behov for at få adgang til. Anmodningen skal være umiddelbart tilgængelig for It Security Manager. Stk. 6. It har via AD en kendskab til hvilke overordnede, der jf. stk. 5 kan anmode om tildeling af autorisationer til de enkelte medarbejdere. Superbrugere kan skriftligt anmode om tildeling af autorisationer til navngivne medarbejdere. 34. Eksterne samarbejdspartnere, som har brug for adgang til et it-system af hensyn til drifts-, udviklings- og vedligeholdelsesopgaver, skal autoriseres hertil. Stk. 2. Autorisation af eksterne samarbejdspartnere må kun finde sted, såfremt en entydig identifikation af den pågældende medarbejder kan finde sted. Dette skal som udgangspunkt ske i form af cpr-nummer. Stk. 3. Autorisation sker på baggrund af en anmodning fra den ansvarlige for aftaleindgåelsen med den eksterne samarbejdspartner, som skal sørge for at indhente de fornødne oplysninger om samarbejdspartneren. 35. Hver medarbejder skal ved oprettelse tildeles en unik brugeridentitet. Brugeridentiten er personlig. 19

20 Stk. 2. Den unikke brugeridentitet skal genereres i kommunens itsikkerhedssystem. 36. Ved oprettelse eller nulstilling af adgangskode skal medarbejderen tildeles en sikker midlertidig adgangskode, som skal ændres af medarbejderen umiddelbart ved første anvendelse. Stk. 2. Udlevering af den midlertidige adgangskode skal ske på en sikker måde. Midlertidige adgangskoder skal opfylde de almindelige krav til adgangskoder, jfr. 41, stk. 4. Stk. 3. It udarbejder en procedure for, hvordan en brugers identitet fastslås, før en ny adgangskode må udleveres, og for hvorledes udleveringen skal ske. Stk. 4. Såfremt der skal ske transmission af adgangskoder over internettet eller andre åbne netværk, skal dette ske ved kryptering med godkendt software. Adgangskoder må ikke tastes i et læsbart felt. Stk. 5. Standardadgangskoder fra systemleverandører skal ændres i forbindelse med installation af it-systemet. Stk. 6. Indtastning af adgangskode kan erstattes af brug af id-kort fra DanId eller lignende autentifikationsmekanisme med et tilsvarende eller højere sikkerhedsniveau. 37. It Security Manager skal sikre, at der foretages kontrol af de tildelte autorisationer. Stk. 2. It Security Manager skal sikre, at der sker kontrol af, at medarbejdere, der er tildelt brugerrettigheder, som giver adgang til dataoplysninger eller fortrolige personoplysninger, fortsat opfylder betingelserne for de tildelte brugerrettigheder. 38. Ved omplacering af medarbejdere skal medarbejderens nye overordnede, som ved hvilke it-systemer medarbejderen som led i sit arbejde har et sagligt behov for at få adgang til, sikre, at medarbejderen alene har de brugerrettigheder, der herefter er sagligt behov for. Ændringerne skal meddeles Servicedesk i it på de til formålet udfærdigede paradigmer. Stk. 2. Ved overflytning af medarbejdere fra et område til et andet, skal de pågældende medarbejderes profil nedlægges i det område, de flytter fra, og flyttes over i det nye område. Stk. 3. Ved overflytning af medarbejdere, jf. stk. 2, skal adgangsrettighederne tilpasses. Stk. 4. Ophører ansættelsesforholdet, fritstilles en medarbejder eller er der i en periode ikke den fornødne arbejdsmæssige brug for at kunne udnytte 20

21 brugerrettigheder, skal brugerrettighederne inddrages. Nærmeste leder er ansvarlig herfor. 39. Systemejer er ansvarlig for de nærmere retningslinjer for adgangsstyring til det it-system, der er ejerskab til. 40. Kontrol med afviste adgangsforsøg kan etableres ved login til kommunens netværk eller i forbindelse med login til it-systemer, der behandler dataoplysninger eller fortrolige eller følsomme personoplysninger, jf. dog sikkerhedsbekendtgørelsens 15, således at forgæves forsøg på login logges automatisk. Stk. 2. Hvis der konstateres flere på hinanden følgende forgæves loginforsøg, skal der automatisk blokeres for yderligere forsøg. Blokeringen rapporteres til IT. Stk. 3. Blokering af login kan ophæves af Servicedesk i it. Medarbejderens ansvar 41. Adgangskoder må ikke udlånes til andre. De er personlige og strengt fortrolige. Stk. 2. Såfremt adgangskoden kompromitteres, eller der opstår mistanke herom, er det medarbejderens ansvar straks at underrette it og få nulstillet kodeordet. Stk. 3. Hvis flere medarbejdere benytter den samme arbejdsstation, skal den enkelte medarbejder logge på med egen brugeridentitet, før der udføres arbejdsopgaver og logge af, inden den næste medarbejder overtager arbejdspladsen. Stk. 4. Adgangskoder i adgangskontrolsystemerne skal opfylde følgende krav: - adgangskoder skal indeholde mindst 8 tegn, - adgangskoder skal indeholde kombinationer fra mindst tre af følgende kategorier; store bogstaver, små bogstaver og tal, - der må ikke anvendes æ, ø eller å, - der henstilles til, at der ikke benyttes brugeridentitet, navn eller datoer som en del af adgangskoden, - adgangskoder skal skiftes efter højst 180 dage. Stk. 5. Når en medarbejder forlader en tændt arbejdsstation, således at den er ude af pågældendes synsvidde, skal den adgangskodebeskyttede skærmlås aktiveres. Alle arbejdsstationer skal have en skærmlås, der aktiveres automatisk efter højest 15 minutters inaktivitet. 21

22 Stk. 6. Adgangskoder til administratoradgang skal opbevares på en forsvarlig måde, og således at ingen uvedkommende kan skaffe sig adgang. Styring af netværk 42. It har ansvaret for at beskytte det benyttede netværk. Installation af netværksudstyr må kun foretages af medarbejdere, der på forhånd er udpeget hertil eller af personer, der har fået tilladelse hertil af it. Stk. 2. It har ansvaret for de benyttede internetforbindelser. Stk. 3. Adgang til sikkerhedsaktiverede, trådløse netværk kan ske efter tilladelse fra it. 43. It skal sikre, at medarbejdere alene får adgang til godkendte fælles netværk og dertil knyttede tjenester. Stk. 2. Adgang til det interne netværk fra andre ejendomme end kommunens skal beskyttes med tofaktor-login, medmindre der foreligger en godkendelse af andet fra it. 44. It skal begrænse og styre adgangen til systemværktøjer, der kan påvirke eller omgå systemers eller enheders it-sikkerhed. Unødige systemværktøjer må ikke være installeret eller tilgængelige på medarbejderes computere. Adgangen til systemværktøjer skal begrænses til et minimum af godkendte medarbejdere. Stk. 2. Hvis funktionsadskillelse er påkrævet, må medarbejdere ikke have adgang til både systemværktøjer og fagsystemer. Stk. 3. Såfremt der i forbindelse med driftsproblemer, tests, genopretning el. lign. er et dokumenteret arbejdsbetinget behov for adgang til både systemværktøjer og brugersystemer, kan it dog give tilladelse hertil. 45. It skal sikre, at der installeres de nødvendige antivirusprodukter til beskyttelse af systemer og oplysninger. Der skal installeres antivirus på alle it-systemer, hvor dette er muligt. Antivirus skal løbende opdateres. 46. Hvis en person med kendskab til administratoradgangskoder fratræder, skal disse adgangskoder ændres med det samme. Adgangskoder skal endvidere ændres med det samme, hvis udenforstående får kendskab til disse. Stk. 2. Administratoradgangskoder skal følge samme minimumskrav som øvrige adgangskoder. Stk. 3. Medarbejdere må ikke ændre opsætning eller indstilling på de arbejdsstationer, de benytter. 22

23 Mobilt it-udstyr herunder distancearbejdspladser 47. Distancearbejdspladser tillades, når it-sikkerhedsregulativet og bestemmelser i medfør heraf overholdes. Stk. 2. Distancearbejdspladser må ikke anvendes af andre end den medarbejder, som distancearbejdspladsen er tiltænkt, eller af kommunens itmedarbejdere, hvis dette sker som led i udførelsen af en it-service, som f.eks. installation eller reparation. Stk. 3. Distancearbejdspladser skal stilles til rådighed for kommunen i forbindelse med it-sikkerhedskontroller, servicering mv. Stk. 4. Personoplysninger eller dataoplysninger må ikke lagres på distancearbejdspladsens harddisk, medmindre dette er godkendt af it, og oplysningerne er krypterede. Stk. 5. Medarbejdere har pligt til at destruere udskrifter med fortrolige eller følsomme personoplysninger eller dataoplysninger på en sikker måde, når udskrifterne ikke længere skal anvendes. Dette kan f.eks. ske ved makulering. 48. For at få adgang til kommunens interne netværk fra en distancearbejdsplads, skal brugeren være autentificeret på en efter forholdene forsvarlig måde, og der skal anvendes en krypteret forbindelse. 49. It skal sikre, at antivirusprogrammer og adgangskontrolsystemer er installeret på mobilt it-udstyr og distancearbejdspladser tillige med firewall eller anden tilsvarende sikkerhedsforanstaltning. Stk. 2. It skal løbende sikre, at de i stk. 1 nævnte antivirusprogrammer, adgangskontrolsystemer og firewall el. lign. er tilstrækkelige. Stk. 3. Adgang til kommunens netværk må kun ske gennem sikkerhedsgodkendt it-udstyr. Der kan fra distancearbejdspladser fås adgang til de samme applikationer, som fra medarbejderens sædvanlige kontorarbejdsplads. Stk. 4. Der må ikke opbevares fortrolige eller følsomme personoplysninger eller dataoplysninger på mobilt it-udstyr, medmindre dette er godkendt af itsikkerhedsledelsen, og oplysningerne er krypterede. Stk. 5. Der må ikke behandles eller opbevares personoplysninger eller dataoplysninger på it-udstyr, der ikke tilhører kommunen, medmindre der jfr. bestemmelserne i regulativet er indgået aftale herom. 23

24 Kapitel 10 - Anskaffelse, udvikling og vedligeholdelse af it-systemer Anskaffelse af it-systemer 50. Ved anskaffelse og udvikling af it-systemer skal systemejer sikre, at anskaffelsen og udviklingen lever op til de gældende it-sikkerhedskrav, kommunens digitale vision og digitaliseringsstrategi. Stk. 2. Anskaffelse og udvikling af it-systemer kan alene ske efter forudgående godkendelse af sikkerhedsløsningen fra it. Systemejeren skal dokumentere over for it, at anskaffelsen og udviklingen lever op til de gældende it-sikkerhedskrav. Stk. 3. Systemejeren skal sikre, at leverandøren indgår en it-sikkerhedsaftale eller en databehandleraftale med kommunen og fremlægger en årlig revisorerklæring i henhold til statsautoriserede revisorers revisionsstandard RS 3411 om generelle it-kontroller og applikationskontroller. Stk. 4. Kravet om generelle it-kontroller og applikationskontroller, jf. stk. 3, kan dog fraviges, såfremt kravet ikke følger af lov eller bekendtgørelser fastsat i henhold til lov og efter en risikovurdering af kompleksiteten i den enkelte applikation set i forhold til det fastlagte it-sikkerhedsniveau. Stk. 5. Systemejer skal foretage en risikovurdering af det nye it-system på baggrund af leverandørens tilbud, inden der indgås kontrakt om udvikling og inden ibrugtagning. Stk. 6. Ved anskaffelse af væsentlige it-systemer eller ved itsystemopgraderinger, vedligeholdelse og videreudvikling skal systemejeren beskrive de enkelte it-sikkerhedskrav, og leverandøren skal dokumentere, at it-sikkerhedskravene overholdes. Stk. 7. It skal tilse, at kun testede og godkendte it-systemer idriftsættes. Stk. 8. Systemejer har ansvaret for, at relevante tests afholdes og skal godkende disse. 51. Systemejeren for et it-system, der er installeret på kommunens egen platform, har ansvaret for at vedligeholde dokumentationen for ejendomsretten af licenser, originalmateriale og manualer i forhold til dette itsystem. Stk. 2. It har ansvaret for at vedligeholde det materiale, som jf. stk. 1 ikke relaterer sig til et it-system, der varetages af en systemejer. 24

25 Stk. 3. It har ansvaret for, at software- og licensaftaler overholdes, og at der kun er installeret autoriserede it-systemer, hvortil kommunen har licens. Det er it s ansvar, at der er et tilstrækkeligt antal licenser til rådighed. Stk. 4. Medarbejdere må ikke kopiere, konvertere eller udtrække information fra billed- eller lydfiler mv. eller kopiere bøger, artikler, rapporter mv., medmindre dette er udtrykkeligt tilladt af rettighedshaveren. Medarbejdere må ikke forpligte kommunen ved at acceptere licensvilkår i software, som ikke er accepteret af it. Anskaffelse af it-udstyr 52. Ved anskaffelse af it-udstyr skal it foretage en risikovurdering for at sikre, at it-udstyret lever op til it-sikkerhedskravene og til itsikkerhedsregulativet samt sikre, at it-udstyret ikke medfører en øget risiko for it-sikkerhedshændelser. En øget risiko for it-sikkerhedshændelser kan accepteres efter It Security Managers forudgående godkendelse af direktionen. Stk. 2. Hvis risikovurderingen giver anledning hertil, kan it beslutte, at itudstyret skal gennemgå en detaljeret risikoanalyse, inden det tages i brug. Stk. 3. Denne risikovurdering foretages af it og godkendes af It Security Manager. Interne kontroller for it-systemer 53. Systemejeren er ansvarlig for, at der udarbejdes de nødvendige beskrivelser af forretningsgange og procedurer for interne kontroller ved anvendelse af it-systemet. 54. It Security Manager kan til enhver tid foretage anmeldte som uanmeldte kontroller af anvendelsen af systemet. Styring af driftsmiljøer 55. It skal sikre, at der sker lagring og backup af oplysninger på serverudstyr. Det skal sikres, at der efter behov og i henhold til aftale tillige opbevares en sikkerhedskopi på en ekstern lokation. It fastsætter nærmere retningslinjer for sikkerhedskopieringen. Retningslinjerne skal revideres mindst hvert 4. år. 56. Ved migrering fra udvikling til produktion skal systemejer sikre, at leverandøren af et it-system gennemfører de tests, der er nødvendige for at 25

26 sikre driftsniveau, it-sikkerhedsniveau og brugbarhed inden implementering. Godkendt software skal sikres mod uønskede ændringer. Stk. 2. Testoplysninger skal udvælges, kontrolleres og beskyttes omhyggeligt. Oplysninger fra driftsmiljøet, der anvendes i testmiljøer, skal beskyttes på samme måde som i produktionsmiljøet og slettes omgående efter afsluttet test. Stk. 3. Kildekode til udviklingsprojekter skal sikres mod uautoriseret adgang og opbevares forsvarligt. Vedligeholdelse og kopiering af kildekode skal følge en dokumenteret procedure for ændringsstyring. It-sikkerhed i udviklings- og ændringsprocesser 57. Al systemudvikling og -ændring skal gennemføres med de nødvendige it-sikkerhedsforanstaltninger. 58. Ved ændringer i et it-system gennemgås it-sikkerhedsforanstaltninger og interne kontroller for at sikre, at disse ikke forringes ved implementering af ændringer. Ændringer skal testes og godkendes af systemejer, inden de sættes i værk. Stk. 2. Systemdokumentation skal opdateres ved ændringer. Stk. 3. Der skal vedligeholdes en versionsstyring for alle systemændringer og et kontrolspor for alle ændringer. Stk. 4. Ved ændring af driftsmiljøer skal kritiske forretningssystemer gennemgås og testes for at sikre, at ændringerne ikke medfører utilsigtede virkninger på kommunens daglige drift. Stk. 5. Kildekode til applikationer under udvikling skal beskyttes med adgangskontrolsystemer. 59. Ved systemudvikling, der udføres for kommunen af en ekstern leverandør, skal det sikres, at der indgås en aftale om, at systemejeren får adgang til at følge udviklingsprocessen. Stk. 2. Leverandøren gennemfører afleveringstest og aktiviteter med henblik på dokumenteret løbende kvalitetssikring. Resultatet af afleveringstest skal godkendes af systemejer. Stk. 3. Kildekode opbevares hos kommunen eller betroet samarbejdspartner. Kommunen kan kræve ophavsrettighederne til kildekoden. 26

27 Sårbarhedsstyring 60. It skal godkende idriftsættelsen af nye it-systemer og nye versioner og opdateringer af eksisterende it-systemer samt de afprøvninger, der skal foretages, inden de kan godkendes og sættes i drift. Stk. 2. It skal sikre, at det løbende vurderes, om der er behov for at installere rettelser til operativsystemer i kommunens interne driftsmiljø. Nødvendige rettelser installeres senest en uge efter gennemførelse af en positiv funktionsog kompatibilitetstest. Stk. 3. It skal sikre, at det løbende vurderes, om større operativsystemopdateringer og programpakke-opdateringer (servicepackages) skal installeres i kommunens interne driftsmiljø. Kapitel 11 - Styring af it-sikkerhedshændelser 61. Ved konstatering af eller formodning om brud på itsikkerhedsbestemmelserne skal it, It Security Manager og it-chef straks underrettes herom. Stk. 2. Dén, der konstaterer et it-sikkerhedsbrud eller har en formodning herom, skal til brug for underretningen af It Security Manager øjeblikkeligt notere alle vigtige detaljer såsom typen af brud, den opståede fejl, beskeder på skærmen og usædvanlige hændelser. Stk. 3. It skal straks iværksætte de foranstaltninger, der er nødvendige, for at korrigere de konstaterede fejl eller svagheder. It Security Manager udarbejder årligt eller efter behov et notat om alle rapporterede it-sikkerhedsbrud og om resultatet af de iværksatte foranstaltninger og orienterer skriftligt it-chefen og Direktionen. 62. It Security Manager sikrer, at der sker opsamling og bearbejdning af oplysninger om it-sikkerhedshændelser. Stk. 2. It Security Manager vurderer mindst én gang om året, om periodens hændelser giver anledning til forbedringer af it-sikkerheden med efterfølgende indstilling til Direktionen. 63. Brugere, der observerer programfejl, som de ikke har oplevet før, skal rapportere dette til systemejeren eller til it med henblik på videreformidling til systemejeren. 27

28 Stk. 2. Ved computervirus eller mistanke om virusangreb skal der omgående rettes henvendelse til it. 64. It og eksterne samarbejdspartnere skal rapportere til It Security Manager, såfremt der er konstateret hændelser af betydning for itsikkerheden og beskrive disse hændelser nærmere. Kapitel 12 - It-beredskabsstyring 65. It har ansvaret for, at der foreligger procedurer, som sikrer en tværorganisatorisk styring af it-beredskabet i tilfælde af større it-nedbrud mv. til uddybning af kommunens beredskabsplan. Stk. 2. It udpeger en it-beredskabsansvarlig. Stk. 3. Den it-beredskabsansvarlige fastlægger i samarbejde med it de overordnede retningslinjer for udarbejdelse af it-beredskabsplanerne. Itberedskabsplanerne skal indeholde procedurer for iværksættelse af nødplaner, eskalering, reetablering af it-systemer og begrænsning af skadevirkninger i tilfælde af større it-nedbrud. Stk. 4. It-beredskabsansvarlige koordinerer arbejdet med udarbejdelse af itberedskabsplaner. Stk. 5. Nærmeste leder sikrer, at der foregår uddannelse af medarbejdere i de fastlagte it-beredskabsprocedurer. Stk. 6. I tilfælde af større it-nedbrud skal it-beredskabsplanen aktiveres efter den fastlagte eskaleringsprocedure. 66. It har ansvaret for at indgå aftale om it-beredskab, herunder den tekniske reetableringsplan med eksterne driftsleverandører og sikre, at disse bliver testet og vedligeholdt. It-beredskabsansvarlig og systemejerne for de itsystemer, som it-beredskabsplanen vedrører, skal medvirke ved test af itberedskabsplanen. Stk. 2. Systemejer skal sikre, at der indgås aftale om it-beredskab for så vidt angår det it-system, som denne er systemejer for herunder udarbejdelse af af nødplaner og kommunikationsplaner for så vidt angår kritiske systemer. Hvis flere it-systemer driftafvikles hos samme leverandør, skal itberedskabsplanerne for disse it-systemer koordineres. 28

29 67. Direktionen ansvaret for at sikre, at der er tegnet en tilstrækkelig forsikring af det af området anvendte it-udstyr, software, it-systemer og oplysninger. Stk. 2. Direktionen har, ud over det i stk. 1 nævnte, ansvaret for at sikre, at der er tegnet en tilstrækkelig forsikring for netværksudstyr og servere m.v., som ejes af kommunen. 68. Reglerne i dette it-sikkerhedsregulativ kan fraviges i en itberedskabssituation, såfremt forholdene tilsiger det. Underretning om fravigelse skal ske til it-chefen, og It Security Manager skal efterfølgende orienteres om de risici, fravigelsen har indebåret og hvem, fravigelsen har berørt og på hvilken måde. Kapitel 13 - Lovbestemte krav 69. Direktionen skal sikre, at specifik lovgivning af betydning for itsikkerheden og eksterne it-sikkerhedskrav for det pågældende område bliver identificeret, dokumenteret og overholdt. Kapitel 14 - Revision af it-sikkerhed 70. Som led i den almindelige revision af kommunen skal tillige foretages revision af it-sikkerheden og udarbejdes nødvendig dokumentation herom. Stk. 2. Udover den i stk. 1 nævnte revision udfører It Security Manager uafhængige inspektioner rettet mod it-sikkerheden uden og efter anmodning og udarbejder løbende rapporter om resultatet af inspektionerne. Rapporterne sendes om nødvendigt til direktionen. Stk. 3. I forbindelse med den løbende og årlige revision af it-sikkerheden skal It Security Manager høres, forinden der afgives bemærkninger, som vedrører it-sikkerhedsmæssige forhold. 29

30 Kapitel 15 - Ikrafttrædelse og ændringer 71. It-sikkerhedsregulativet med tilhørende instrukser træder i kraft efter behandlingen i HovedMED, og når Direktionen har godkendt regulativet. Samtidig ophæves den tidligere IT-sikkerhedspolitik i Rudersdal Kommune. Stk. 2. Væsentlige ændringer i it-sikkerhedsregulativet godkendes af Direktionen. Instrukser til regulativet Instruks for it-brugere Instruks for anvendelse af e-post Instruks for anvendelse af internet Instruks for brugerautorisation Instruks for logning Instruks for fysisk sikkerhed Instruks for distancearbejdspladser 30

31 Erklæringer tilhørende it-sikkerhedsregulativet Databehandleraftale Erklæring om tavshedspligt Retningslinjer tilhørende it-sikkerhedsregulativet Retningslinjer for brug af Retningslinjer for It-medarbejdere - ekspertmanual Kontakt Har du spørgsmål i forbindelse med it-sikkerhed, er du velkommen til at kontakte It Security Manager, Birger Mac, på [email protected] eller mobil

32