IT-SIKKERHEDSPOLITIK UDKAST

Transkript

1 IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens målsætninger.

2 INDHOLD 1. Indledning 2 2. Formål 3 3. Omfang 4 4. It-sikkerhedsniveau 4 5. It-sikkerhedsbevidsthed 4 6. Overtrædelse af it-sikkerhedspolitikken 5 7. Udarbejdelse og ikrafttrædelse 5 - It-sikkerhedshåndbogen - Bilag til it-sikkerhedshåndbogen 2

3 1 INDLEDNING It-anvendelsen i Odsherred Kommune har til formål at understøtte kommunens overordnede visioner, der er fastsat af Byråd og Direktion. Odsherred Kommunes it-vision beskrives i it-strategien, som er et af Direktionens redskaber til operationalisering af Byrådets målsætninger for kommunens samlede udvikling. Endvidere skal it-strategien medvirke til at sikre sammenhæng i opgaveløsningen samt give medarbejdere, ledelse og politikere et pejlemærke for it-anvendelsen. I it-strategien fremgår det, at it-anvendelsen og den øvrige teknologianvendelse - skal understøtte følgende områder: w Dialog, herunder styrkelse af kommunikation med borgere, virksomheder, politikere og ansatte. w Effektivitet, herunder moderne, hurtig, kompetent og smidig sagsbehandling. w Service, herunder fleksibel service af høj kvalitet til borgere og virksomheder i kommunen. For at sikre effektuering af it-strategien skal der opstilles mål og handleplaner. Et gennemgående tema vil være følgende værdier: w Åbenhed og dialog mellem borger, erhvervsliv og kommune. w Kvalitet i de kommunale ydelser. w Hurtig og effektiv opgaveløsning. w Helhed i sagsbehandlingen. w Deltagelse i den demokratiske proces. w Fortsat decentralisering. Som en naturlig konsekvens, skal it-anvendelsen og it-sikkerhedspolitikken så vidt muligt, understøtte kommunens ønske om værdibaseret ledelse. Kommunens it-sikkerhed skal være optimeret i forhold til det aktuelle tekniske it-sikkerhedsniveau og de omkostninger, der er forbundet med dets iværksættelse. Med dette udgangspunkt er it-sikkerhedsniveauet fastsat og beskrevet i it-sikkerhedspolitikken. For at sikre it-anvendelsen, ønsker Odsherred Kommune, at alle medarbejdere har en sikkerhedsorienteret kultur og en bevidst holdning til begrebet it-sikkerhed, hvor der lægges vægt på reel sikkerhed frem for formel sikkerhed. It-sikkerhedspolitikken tilstræber at være realistisk, operationel, logisk, acceptabel og kontrollerbar. It-anvendelsen i Odsherred Kommune har et sikkerhedsniveau, som tilgodeser lovgivningskrav og myndighedsforventninger og muliggør en bredspektret it-systemanvendelse. It-sikkerhedspolitikken skal skabe rammerne for en sikker it-anvendelse for både borgere, brugere, virksomheder og samarbejdspartnere samt medarbejdere og politikere i Odsherred Kommune. 3

4 It-sikkerhedspolitikken fastsætter hovedprincipperne for it-sikkerheden, herunder placering af ansvaret for varetagelse af it-sikkerheden. Den overordnede it-sikkerhedspolitik er uddybet i en it-sikkerhedshåndbog samt en række bilag, som det fremgår i appendiks A. Bilagene er opdelt 5 søjler: w Retningslinier for it-medarbejdere. w Retningslinier for it-brugere. w Retningslinier for systemejere. w Retningslinier for eksterne samarbejdspartnere. w Retningslinier for borgerrelaterede forhold. Som supplement til it-sikkerhedspolitikken - med det formål, at skabe en effektiv formidling af budskabet - er der udarbejdet 2 brugerfoldere Sikker it i Odsherred Kommune og Vejledning til systemejere. It-sikkerhedspolitik, it-sikkerhedshåndbog og relevante bilag, er tilgængelige på kommunens intranet. Af sikkerhedsmæssige årsager, er en række it-organisatoriske og systemtekniske bilag ikke tilgængelige for alle. Der foretages løbende opfølgning på, hvorvidt reglerne i it-sikkerhedspolitikken samt bilagene, i praksis efterleves. It-sikkerheden kontrolleres og revideres ud fra en konkret vurdering af væsentlighed og risiko. Øverste sikkerhedsansvarlige har ansvaret for, at denne opfølgning foretages mindst en gang om året eller ved større tekniske eller organisatoriske ændringer. Opfølgningen kan eventuelt foretages med ekstern bistand. 2 FORMÅL Formålet med it-sikkerhedspolitikken er at fastlægge it-sikkerheden på et overordnet niveau samt sikre implementeringen af de nødvendige retningslinier, procedurer og kontroller i organisationen. Desuden ønskes en høj driftsikkerhed og at gældende lovgivning og myndighedskrav overholdes. Odsherred Kommunes it-sikkerhedsniveau skal sikre organisationens driftsmæssige kontinuitet og minimere de økonomiske risici ved tab, minimere misbrug af data og informationer samt undgå at kommunens omdømme skades og borgernes tillid svækkes. Det er kommunens Direktion, der har ansvaret for it-sikkerheden, herunder sikring af tilgængelighed, fortrolighed og integritet. It-sikkerhedspolitikken skal endvidere sikre, w at it-sikkerheden indarbejdes i de eksisterende forretningsgange, w at ansvaret er entydigt placeret, w at datagrundlaget for kommunens forretningsgange er retvisende, w at it-anvendelsen er tilpasset kommunens egne behov, w at it-sikkerheden etableres på et effektivt og ensartet niveau, w høj driftsikkerhed og tilgængelighed til systemer, w at it-sikkerheden er tilpasset de værdier og informationer, som skal beskyttes og at væsentlige værdier ikke går tabt. 4

5 It-sikkerhedspolitikken skal i overensstemmelse med kommunens vitale forretningsgange være en afvejning af væsentlighed og risiko. Sikringen skal stå mål med risikoen. Odsherred Kommune vil ikke sikre sig for enhver pris, men være bevidst om enhver risiko. Endvidere har en effektiv og konsekvent formidling af it-sikkerhedspolitikken til formål, at skærpe itbrugernes opmærksomhed på sikkerhed i forbindelse med anvendelse af de forskellige systemer ligesom it-sikkerhedspolitikken skal sikre, at alle it-brugere er beskyttet af et entydigt regelsæt. 3 OMFANG It-sikkerhedspolitikken i Odsherred Kommune omfatter kommunens administrative it-baserede forretningsgange, herunder kontorprogrammer og fagsystemer og inkluderer også netværk og it-infrastruktur. It-sikkerhedspolitikken, it-sikkerhedshåndbogen og bilagene omfatter alle brugere af kommunens administrative it-systemer og it-baserede infrastruktur. Endvidere regulerer it-sikkerhedspolitikken øvrige områder, hvor der sker elektronisk behandling af administrative data. I det omfang Odsherred Kommune udliciterer it-driftafviklingen til eksterne leverandører skal det sikres, at serviceleverandøren overholder retningslinierne, som de er beskrevet i it-sikkerhedspolitikken, it-sikkerhedshåndbogen og relevante bilag således, at it-sikkerhedsniveauet er i overensstemmelse med Odsherred Kommunes it-sikkerhedspolitik. 4 IT-SIKKERHEDSNIVEAU It-sikkerhedspolitikken har udgangspunkt i god it-skik, best-practice samt lovgivning indenfor it-sikkerhed. It-sikkerhedspolitikken er udarbejdet med DS 484; Standard for informationssikkerhed, version 1, 2005 som referenceramme. It-sikkerhedsniveauet er fastlagt på baggrund af en risikoanalyse således, at it-sikkerheden er afstemt efter betydningen af kommunens data og systemer. Som udgangspunkt må der ikke kunne skabes tvivl om kommunens it-sikkerhed er betryggende. Der gennemføres mindst en gang om året - eller ved større tekniske eller organisatoriske ændringer - en risikovurdering således, at kommunens ledelse kan holdes orienteret om det aktuelle risikobillede. Det konkrete og operationelle ansvar for den daglige styring af it-sikkerhedsarbejdet, er placeret hos Odsherred Kommunes it-sikkerhedskoordinator. Organisering af it-sikkerhedsarbejdet er uddybende beskrevet i it-sikkerhedshåndbogen, kapitel 2. 5 IT-SIKKERHEDSBEVIDSTHED Odsherred Kommunes it-sikkerhedspolitik vedrører den samlede administrative it-anvendelse, herunder it-systemanvendelsen og det samlede informationsflow. Gennemførelse af it-sikkerhedspolitikken 5

6 skal derfor finde sted med bistand fra it-brugere og it-medarbejdere i kommunen. Alle kommunens medarbejdere har et ansvar for at bidrage til en sikker og betryggende it-driftafvikling. En effektiv og konsekvent formidling af it-sikkerhedspolitikken skal skærpe it-brugernes opmærksomhed på sikkerhed i forbindelse med anvendelse af de forskellige systemer. Som brugere af Odsherred Kommunes systemer og data, skal alle administrative it-brugere følge itsikkerhedspolitikken, it-sikkerhedshåndbogen og relevante bilag. Systemer og data må udelukkende anvendes til udførelse af de relevante arbejdsopgaver og systemer og data skal beskyttes i overensstemmelse med deres indhold og følsomhed. 6 OVERTRÆDELSE AF IT-SIKKERHEDSPOLITIKKEN Ansvaret for at efterleve sikkerheden omkring it-anvendelsen i Odsherred Kommune, er placeret hos den enkelte medarbejder. Det skal derfor fremhæves, at overtrædelse af it-sikkerhedspolitikken samt relaterede bilag, betragtes som en tjenesteforseelse, som efter omstændighederne kan medføre sanktioner. Hvis en medarbejder opdager trusler i mod kommunens it-driftafvikling eller er bekendt med overtrædelser af it-sikkerhedsreglerne, skal dette meddeles it-sikkerhedskoordinatoren, it-chefen eller nærmeste leder, hurtigst muligt. 7 UDARBEJDELSE og IKRAFTTRÆDELSE It-sikkerhedspolitikken er udarbejdet i samarbejde med Kommunernes Revision A/S. Ændringer i it-sikkerhedspolitikken besluttes af Byrådet, mens ændringer i it-sikkerhedshåndbogen samt bilag og retningslinier, kan godkendes af Direktionen. Ændringer i operationelle procedurer kan foretages i de ansvarlige forvaltninger, stabe, afdelinger eller institutioner. It-sikkerhedspolitikken er vedtaget i Byrådet den 29. maj 2007 og træder i kraft samtidig. -ooooo- 6