Hillerød Kommune. It-sikkerhedspolitik Overordnet politik

Transkript

1 Hillerød Kmmune It-sikkerhedsplitik Overrdnet plitik

2

3 Plitik Frrd Dette er Hillerød Kmmunes it-sikkerhedsplitik, sm er udarbejdet af Administratinen, med udgangspunkt i DS g ISO Frmål It-sikkerhedsplitikken i Hillerød Kmmune har til frmål, at sikre brgernes retssikkerhed g kmmunens værdier ved at minimere risiken fr at plysninger m brgere g værdier falder i frkerte hænder eller misbruges. It-sikkerhedsplitikken skal sikre, at it-sikkerheden til stadighed har høj priritet på alle mråder i kmmunen g at sikkerhedsaspektet er en naturlig del af det daglige arbejde fr alle ansatte. Indledning It-sikkerhedsplitikken fastsætter hvedprincipper g ansvar fr it-sikkerheden. It-sikkerhedsplitikken skal sikre, at Hillerød Kmmune kan efterlever de krav til it-sikkerhed, sm fremgår af lvgivningen g denne plitik. På baggrund af it-sikkerhedsplitikken, skabes rammerne fr den peratinelle it-sikkerhed, i det plitikken udmøntes i etableringen af egentlige It-sikkerhedsbestemmelser indehldende fastsatte regler, retningslinjer g prcedurer fr Hillerød Kmmunes interne håndtering af it-sikkerhed. It-sikkerhedsplitikken er således det verrdnede grundlag g it-sikkerhedsbestemmelserne det peratinelle grundlag fr det daglige arbejde med it-sikkerhed indenfr Hillerød Kmmunes virke. Regler, retningslinjer, prcedurer g instrukser vedr. den interne it-sikkerhed (servere, netværk mv.), er emner der reguleres under it-sikkerhedsplitikken. Særlige retningslinjer, prcedurer g instrukser der beskriver den tekniske side af den interne it-sikkerhed vil være frtrlige. It-sikkerhedsbestemmelserne pdateres g ændres løbende (fx ved ny trusler, lvændringer mv.). Målsætning fr it-sikkerheden i Hillerød Kmmune Hillerød Kmmune har til hensigt at fremstå med et højt sikkerhedsniveau, hvr niveauet af sikkerhed står i et rimeligt frhld til værdier g de infrmatiner der beskyttes. Målet er derfr: frtsat at sikre mulighed fr frtrlig behandling, transmissin g pbevaring af data på et højt sikkerhedsniveau. at pnå høj driftssikkerhed med høje ppetidsprcenter g minimere risiken fr større nedbrud g datatab. at ansvaret fr de enkelte elementer i it-sikkerheden er entydigt placeret. at sikre, at it-sikkerheden står i et rimeligt frhld til de værdier g infrmatiner, sm skal beskyttes. at it-sikkerheden indarbejdes g tilgdeses i de naturlige frretningsgange i afdelinger g institutiner. at it-anvendelsen finder sted på et effektivt g højt ensartet niveau, så risiken fr alvrlige fejl begrænses. at lvgivning sm er relevant fr it-sikkerhed verhldes på en effektiv måde. at prethlde et it-sikkerhedsniveau, der sm minimum er på samme niveau sm sammenlignelige kmmuner. at tilkendegive ver fr brgere, virksmheder g andre ffentlige myndigheder, at behandling af data sker på baggrund af besluttede prcedurer g retningslinjer.

4 Vres hldninger g principper It-sikkerhed i Hillerød Kmmune implementeres efter følgende verrdnede hldninger: Hillerød Kmmunes virke afhænger af håndteringen af persnfølsmme infrmatiner i elektrnisk frm, g derfr behandles it-sikkerhed med respekt fr brgernes retssikkerhed g integritet. Hillerød Kmmunes trværdighed verfr mverdenen, herunder samarbejdspartnere g brgere vurderes sm yderst vigtig. Hillerød Kmmune pririterer implementeringen af velafprøvede it løsninger ver frsøgsvis anvendelse af nyeste teknlgi. Hillerød Kmmune vedligehlder, understøtter g fasthlder vidensniveauet hs alle medarbejderne fr at understøtte sikker behandling af infrmatiner i Hillerød Kmmunes it-systemer. Såfremt eksterne parter berøres af sikkerhedshændelser hs Hillerød Kmmune, vil Hillerød Kmmune kmmunikere ærligt g trværdigt verfr berørte parter. Rammer g gyldighed It-sikkerhedsplitikken gælder fr alle ansatte, samt fr al anvendelse af it-systemer i Hillerød Kmmune, herunder gså fr kmmunens leverandører g samarbejdspartnere, sm får adgang til hele eller dele af kmmunens IT. En ffentlig it-rganisatin sm Hillerød Kmmune, er mgivet af en række retningslinjer g regelsæt, sm skal sikre en høj g ensartet kvalitet i frbindelse med it-anvendelse. It-sikkerhedsplitikken mfatter i denne plitik sikkerhed mkring såvel infrmatins- sm kmmunikatinsteknlgi. It-sikkerhedsplitikken fr Hillerød Kmmune er derfr baseret på: efterlevelse af den anerkendte standard i DS484:2005 hhv. ISO27001 indenfr de mråder, der vurderes sm værende relevante fr Hillerød Kmmune, herunder mråder såsm: risikvurdering g -håndtering rganisering af it-sikkerhedsarbejdet styring af Infrmatinsrelaterede aktiver medarbejdersikkerhed fysisk sikkerhed styring af netværk g drift adgangsstyring anskaffelse, udvikling g vedligehldelse styring af sikkerhedshændelser beredskabsstyring alle relevante regler, lvkrav, retningslinjer, vejledninger indenfr Hillerød Kmmunes frretningsmråde, herunder bl.a. Persndatalven, Frvaltningslven, Offentlighedslven, Arkivlven, Multiemedielven, Ophavsretslven samt anden relevant datalvgivning, fx relevante regler i Telelvgivningen. almindeligt accepterede metder (best practice). Sikkerhedsrganisatin - ansvar, delegering g samarbejde It-sikkerhed er byrådets ansvar g it-sikkerhedsplitikken vedtages af byrådet. Byrådet delegerer ansvaret fr at administrere g implementere it-sikkerheden til kmmunaldirektøren. Kmmunaldirektøren, kan delegere den daglige administratin af lven til de dele af kmmunens administratin, hvr pgaven bedst kan løses. Kmmunaldirektøren er ansvarlig fr det nødvendige verblik g skal sikre, at der til stadighed er etableret ejerskab fr data g systemer, samt frretningsgange g prcedurer, sm støtter verhldelsen af it-sikkerhedsplitikken. Kmmunaldirektøren kan evt. delegere pgaven til en anden i rganisatinen. Den endelige ansvar fr it-sikkerhed ligger ved kmmunaldirektøren g kan ikke delegeres. Ansvaret fr it-sikkerheden følger det linjemæssige ansvar. Fagcheferne er ansvarlige fr at: Respektive fagsystemer, pfylder betingelserne fr at behandle g pbevare data. Systemerne anvendes i henhld til Hillerød Kmmunes It-sikkerhedsplitik.

5 Sikkerhedsniveauet skal kntrlleres/revideres, hvr det verhvedet er muligt. Revisinen fretages af Digitalisering g IKT i samarbejde med et It-sikkerhedsudvalg sammensat med repræsentanter fra hver af stabsfunktinerne g hvert af direktørmråderne. Den knkrete delegering g prcedure vedr. anmeldelser til Datatilsynet er beskrevet i et separat bilag. Samarbejde med andre kmmuner g eksterne samarbejdspartnere I et vist mfang løses kmmunens pgaver i fællesskab med andre kmmuner eller med eksterne samarbejdspartnere, mens den frmelle kmpetence/myndighedsudøvelse frtsat er hs Hillerød Kmmune. I sådanne tilfælde skal der udarbejdes specifikke regler fr samarbejdet. I relevant mfang kan data/persnplysninger verlades andre kmmuner eller eksterne samarbejdspartnere i samarbejdet. Hillerød Kmmune har dg frtsat dataansvaret. Navnene på de medarbejdere fra andre kmmuner eller eksterne samarbejdspartnere der evt. skal have adgang til Hillerød Kmmunes plysninger, skal være Hillerød Kmmune bekendt. Opfølgning Enhver medarbejder g leder i Hillerød Kmmune har meldepligt mht. knstaterede brud på Itsikkerhedsbestemmelserne eller på manglende efterlevelse af It-sikkerhedsplitikken. It-sikkerhedsniveauet skal kntrlleres/revideres, hvr det verhvedet er muligt. Revisinen fretages løbende af Administratinen g knstateringer der kræver ændringer m.v. til it-sikkerhedsplitikken, indarbejdes af It-sikkerhedsudvalget. Kmmunaldirektøren fastsætter nærmere prcedurer herfr. Kmmunaldirektøren fremsender årlig statusrapprt ver Kmmunens It-sikkerhed til Byrådet. Gdkendelse It-sikkerhedsplitikken er vedtaget af Hillerød Kmmunes Byråd. Den