IT Sikkerhedspolitik. for. Tønder kommune

Transkript

1 Udkast IT Sikkerhedspolitik for Tønder kommune Side 1 af 13

2 Indhold Version Indledning... 4 Formålet med IT Sikkerhedspolitikken Hvem er omfattet af IT Sikkerhedspolitikken Ansvar og organisering Øverste IT Sikkerhedspolitikansvarlige IT Sikkerhedsansvarlige Ansvar i organisationen Ansvar hos samarbejdspartnere Ajourføring af IT Sikkerhedspolitikken Lovgivning Fysisk sikkerhed... 7 Datasikkerhed Tildeling og ændring af autorisation Registrering af dataanvendelse Udskrifter Sikkerhedskopiering Datakvalitet Virus Datakommunikation Administrativt netværk Trådløst Publikumsnet Hjemmearbejdspladser Nyt it-udstyr Internet og E-post Digital signatur NemID til borgere / nøglecenter Selvbetjeningsløsninger Anskaffelse af it-systemer Risikoanalyse Nødberedskab Styring af IT-aktiver Udmøntning af sikkerhedspolitikken Opfølgning og kontrol Side 2 af 13

3 Version. Versions- Nummer Dato for version Ændring Årsag Ansvar Side 3 af 13

4 Indledning Overordnet gælder, at IT-anvendelse i Tønder Kommune skal forbedre eksisterende arbejdsprocesser og sammenhæng mellem systemerne til sikring af effektiv ressourceudnyttelse og velfungerende processer i forhold til borgere og brugere. På samme tid skal det sikres, at kommunen overholder gældende sikkerhedslovgivning, ligesom der skal sikres et tilfredsstillende sikkerhedsniveau i forhold til anbefalinger fra kommunens revision. Det er Tønder Kommunes værdibaserede holdning, at medarbejdere har en bevidst holdning til begrebet IT sikkerhed med vægt på reel sikkerhed frem for formel sikkerhed, at kun gennem bevidstgørelsen af IT Sikkerhedspolitikken kan der opnås en reel sikkerhed. Tønder Kommunes IT Sikkerhedspolitik: Respekterer de krav, datalovgivningen til enhver tid måtte stille Fastsætter hovedprincipper for den overordnede IT sikkerhed i kommunen og placerer et entydigt ansvar for varetagelse af IT sikkerheden Sikrer ønsket om en reel IT sikkerhed ved implementering primært i form af IT Sikkerheds-håndbogen. Denne Sikkerhedspolitik er opbygget i to niveauer. Kommunens overordnede IT Sikkerhedspolitik, der beskriver principper og som godkendes af Kommunalbestyrelsen. Bilag der mere i dybden beskriver de enkelte IT sikkerhedsområder og som godkendes af Direktionen. Bilagene benævnes IT Sikkerhedshåndbog. Resten af dette dokument udgør Tønder Kommunes IT Sikkerhedspolitik. Formålet med IT Sikkerhedspolitikken. IT Sikkerhedspolitikken beskriver håndtering af IT sikkerhed i Tønder Kommune og fastlægger krav og forventninger til kommunens IT sikkerhedsniveau. IT Sikkerhedspolitikkens formål er, at Afspejle kommunens behov Afspejle myndighedskrav samt lovgivning Sikre drift og tilgængelighed af systemer og til data Sikre organisationen mod tab af data Sikre en entydig ansvarsplacering for IT sikkerhed Sikre compliance med gældende revisionspraksis Dokumentere det gældende IT sikkerhedsniveau i kommunen. Side 4 af 13

5 Hvem er omfattet af IT Sikkerhedspolitikken. IT Sikkerhedspolitikken gælder for alle personer, der har adgang til kommunens interne netværkstjenester eller som har adgang til systemer/programmer til brug for det daglige arbejde: Medarbejder i kommunen Politiker i kommunen Samarbejdspartner, som har fået tildelt adgang. Disse grupper vil i den resterende IT Sikkerhedspolitik med tilhørende bilag blive beskrevet som Medarbejdere. Ansvar og organisering. IT-sikkerhedsorganisationen følger linieorganisationen således, at ansvar og kompetencer omkring IT sikkerhed er forankret i afdelingerne og optræder som en integreret del af forretningsprocesserne og medarbejdernes hverdag. Øverste IT Sikkerhedspolitikansvarlige. Kommunalbestyrelsen har det overordnede ansvar og skal godkende IT Sikkerhedspolitikken. Direktionen er af Kommunalbestyrelsen udpeget som øverste IT Sikkerhedspolitikansvarlige og har det overordnede ansvar for, at IT Sikkerhedspolitikken til enhver tid er ajourført. Endvidere har Direktionen kompetence til at godkende IT Sikkerhedshåndbogen samt godkende ændringer i IT Sikkerhedspolitikken. Der er almindelig delegationsret i forbindelse med IT sikkerhedsspørgsmål. IT Sikkerhedsansvarlige. Det daglige IT sikkerhedsarbejde varetages af den IT Sikkerhedsansvarlige, som fungerer som øverste sikkerhedspolitikansvarliges stedfortræder i forbindelse med tilrettelæggelse af kommunens IT sikkerhed. I forbindelse med IT sikkerhedsopgaver refererer IT Sikkerhedsansvarlige direkte til Direktionen. IT Driftschefen er med mindre andet er vedtaget IT Sikkerhedsansvarlig. Side 5 af 13

6 Det er den IT Sikkerhedsansvarliges opgave at påse, at der til stadighed er etableret forretningsgange og procedurer, som understøtter overholdelsen af IT Sikkerhedspolitikken og IT Sikkerhedshåndbogen. Ansvar i organisationen. Ansvaret for overholdelse af IT Sikkerhedspolitikken følger kommunens linieorganisation. Linieorganisationen er ansvarlig for, at IT Sikkerhedsreglerne overholdes og udmøntes i betryggende håndtering og forretningsgange. Fagchefer, afdelingsledere, institutionsledere er dermed ansvarlige for IT sikkerheden indenfor deres ansvarsområde. Ligeledes følger af den organisatoriske opbygning, at øvrige ledere fx teamledere med personaleansvar har et ansvar for, at IT Sikkerhedspolitikken følges. Ansvar hos samarbejdspartnere. Ansvaret for overholdelse af IT Sikkerhedspolitikken i forbindelse med arbejde udført af samarbejdspartnere påhviler linieorganisationen. Ajourføring af IT Sikkerhedspolitikken. Den øverste IT Sikkerhedspolitikansvarlige sikrer vedligeholdelse og ajourføring af IT Sikkerhedspolitikken. Alle ændringer registreres i afsnittet Versionsstyring. IT Sikkerhedspolitikken med bilag vil èn gang årligt blive forelagt Direktionen, hvor eventuelle ændringer gennemgås. Direktionen vurderer, hvornår der er behov for politisk behandling og evt. inddragelse af MED-systemet. Lovgivning. Datalovgivningens overordnede krav om beskyttelse af informationer: Tilgængelighed af informationer Integritet/pålidelighed af informationer Fortrolighed. Sikring af følsomme data imod misbrug. Linieorganisationen har ansvaret for, at kravene i datalovgivningen overholdes. Dataejer sikrer - forinden iværksættelse af en behandling af oplysninger omfattet af Persondataloven at der foretages anmeldelse til Datatilsynet. Side 6 af 13

7 Udvalgte love: Persondataloven og Sikkerhedsbekendtgørelsen indeholder regler om behandling af personoplysninger og videregivelse af disse samt regler om udformning af kontroller og procedurer for it-anvendelse i forbindelse med behandling af personfølsomme data. Offentlighedsloven indeholder regler om retten til aktindsigt. Arkivloven indeholder regler om it-systemers parathed til aflevering, overførsel af data til systemuafhængige arkiveringsversioner samt beskrivelser af systemanvendelse m.v., der skal indsendes til Arkivet i forbindelse med en aflevering. Forvaltningsloven indeholder regler om tavshedspligt Ophavsretsloven indeholder regler for vigtigheden af lovlig anvendelse af itprogrammer i form af køb af programmel og licenser. Markedsføringsloven indeholder regler om, at sammenligningsoplysninger skal være korrekte og at publicerede dokumenter til offentligheden skal være opdaterede. Lov om offentlige signaturer indeholder bestemmelser om nøglecentres behandling af personoplysninger samt sikkerhed for opbevaring af nøglekort m.v. Fysisk sikkerhed. Den fysiske sikkerhed skal stå i et naturligt forhold til de værdier, som skal beskyttes. Kravene til sikring af centralt udstyr er således højere, end kravene til sikring af udstyr i kontormiljøer. Den fysiske sikkerhed skal i relevant omfang være dokumenteret således, at kommunens ledelse kan planlægge sikkerhedsprocedurer i forhold til den fysiske sikkerhed. Den fysiske sikkerhed skal afvejes i forhold til mulige driftsforstyrrelser og driftstab. I praksis betyder det, at kravene til den fysiske sikkerhed er opdelt i 3 sikkerhedsniveauer: Fysisk sikkerhedsniveau 1. Omfatter centralt udtyr, herunder udstyr i serverrum. Fysisk sikkerhedsniveau 2. Omfatter decentralt kommunikations- og netværksudstyr, herunder decentrale krydsfelter. Fysisk sikkerhedsniveau 3. Omfatter almindeligt it-udstyr i kommunens lokaler, herunder primært pc er, printere og tilsvarende periferiudstyr. Endvidere omfatter sikkerhedsniveau 3 de decentrale arbejdspladser og bærbare enheder som pc er, smartphones, tablet, usb-nøgler og lignende. Fastsættelse af det fysiske sikkerhedsniveau indebærer mindst retningslinjer for: Serverrum herunder placering, adgangskontrol, alarmsystemer samt andre tekniske løsninger som køleanlæg, nødstrømsanlæg og automatiske brandslukningssystemer. Kabling og krydsfelter, herunder placering og sikkerhed. PC-udstyr i kommunens lokaler, herunder hensigtsmæssig placering i forhold til både arbejdsmiljø og it-sikkerhed. Lokalerne skal være betryggende sikret enten døgnbemandet eller aflåst udenfor normal arbejdstid. PC-udstyr på andre lokationer end kommunens, herunder hensigtsmæssig placering i forhold til arbejdsmiljø og IT-sikkerhed. Kassation og destruktion af udstyr skal foretages miljømæssigt forsvarligt og finde sted efter regler for betryggende sletning af data. Side 7 af 13

8 Registrering af aktiver og forsikringer. Registrering af alle licensforhold samt af enheder, der repræsenterer en væsentlig værdi. Forsikring følger kommunens almindelige regler vedrørende forsikring af aktiver. Datasikkerhed. Data i kommunens it-systemer repræsenterer en væsentlig værdi, ligesom der kan være tale om fortrolige og/eller personfølsomme oplysninger. Disse værdier skal sikres mod uautoriseret adgang og mod tab og forvanskning. Systemejere fastsætter i fællesskab med IT afdelingen et sikkerhedsniveau, ud fra en konkret risikovurdering, der samtidig gør det muligt for brugerne at opnå en fornuftig anvendelse af systemerne. Data der er personhenførbare og som anvendes til sagsbehandling må ikke gemmes på medier, der kan fjernes fra kommunens lokationer eller på tjenester, hvor kommunen ikke har den fulde kontrol. Dataloven foreskriver endvidere, at personfølsomme data skal lagres i et it-system, hvorfra der kan foretages logning. Det betyder derfor også, at sådanne data ikke må lagres i bl.a. stifindersystemet. Tildeling og ændring af autorisation. Dataejer er ansvarlig for at definere, hvilke systemer eller informationer, medarbejderne skal have adgang til. Der skal være udarbejdet arbejdsgange/instrukser for brugeradministration. Registrering af dataanvendelse. Systemanvendelsen af systemer, der indeholder persondata skal registreres/logges. Der skal tages stilling til logningsniveauet for både overordnede systemer og de enkelte afdelingsspecifikke systemer. Logningen skal som minimum være i overensstemmelse med datalovgivningen og struktureres ud fra en vurdering af væsentlighed og risiko. Det følger også heraf, at brugerkonti er personlige og at personligt password aldrig må udleveres til andre. Udskrifter. De påhviler linieorganisationen at sikre, at udskrifter kun bliver anvendt i overensstemmelse med sikkerhedsbekendtgørelsen til beskyttelse af personoplysninger. Side 8 af 13

9 Linieorganisationen sikrer, at udskrifter - der indeholder personfølsomme data - bliver opbevaret betryggende, således at uvedkommende ikke kan få adgang til disse. Udskrifter der indeholder fortrolige og/eller personfølsomme data må godt fjernes fra kommunens lokation i arbejdsøjemed (møder el. andet). Medarbejderen har her ansvaret for, at oplysningerne ikke kommer uvedkommende i hænde. Kassation af ind- og uddatamateriale skal finde sted på en sådan måde, at uvedkommende ikke kan få adgang til fortrolige oplysninger. Sikkerhedskopiering. For at sikre, at alle relevante data bliver sikkerhedskopieret, skal alle medarbejdere placere arbejdsdokumenter på centrale servere. For hvert enkelt system skal systemejer i samarbejde med IT-afdelingen tage stilling til frekvensen i forbindelse med sikkerhedskopiering. Der skal for hvert system foretages en teknisk afprøvning af sikkerhedskopieringsrutinerne, herunder kontrol af genetableringsprocedurerne. Sikkerhedskopier skal opbevares, så de ikke kommer uvedkommende i hænde. Datakvalitet. Systemer må ikke ibrugtages, før der er foretaget test, hvor omfanget afhænger af væsentligheden og risiko. Efterfølgende ændringer i systemet skal tillige testes. Der kan være undtagelser vedr. systemer der driftes af eksterne leverandører. For hvert system skal systemejer udarbejde procedure for anvendelse af systemet samt tage stilling til, hvilke interne kontroller, der skal udføres i forbindelse med databehandlingen. Virus. IT afdelingen sikrer at alle relevante enheder, servere og PC-arbejdspladser i kommunen til enhver tid er opdateret med den nyeste version af det anvendte antivirusprogammel. Datakommunikation. IT afdelingen er ansvarlig for opbygning og vedligeholdelse af netværk og kommunikationsforbindelser, som giver medarbejderne sikker adgang til relevante systemer. IT afdelingen vedligeholder oversigter over kommunens netværk og kommunikationsforbindelser. Side 9 af 13

10 Administrativt netværk. Det er som udgangspunkt kun kommunens udstyr, der må kobles på det administrative netværk. Ikke kommunalt udstyr må kun kobles på det administrative netværk efter forudgående aftale med IT afdelingen. Serviceadgang for eksterne teknikere må ligeledes kun etableres efter forudgående skriftlig aftale mellem IT afdelingen og serviceleverandøren. Hvis kommunalt udstyr anvendes til private formål sker dette på brugerens ansvar. Det er ikke tilladt hverken i privat el. kommunalt øjemed at installere programmer på en kommunal PC uden forudgående aftale med IT afdelingen. IT afdelingen er ansvarlig for, at adgang til kommunens netværk via Internettet, er beskyttet med en Firewall. Trådløst Publikumsnet. Konsulenter og andre kan få adgang til kommunens trådløse publikumsnet. Der skal være beskrevet regler for adgangskoder m.v. vedr. det trådløse publikumsnet. Hjemmearbejdspladser. Tønder Kommune har besluttet, at adgang til kommunens netværk og programmer via en hjemmearbejdsplads kun må ske fra en kommunal PC. Nyt it-udstyr. Teknologien medfører fortsat nye typer af databærende og databehandlende udstyr, eksempelvis smartphones og tablets. Den overordnede ledelse i Tønder Kommune fastsætter niveauet for anvendelse af sådant udstyr. IT afdelingen er ansvarlig for, at der i relevant omfang udarbejdes og vedligeholdes særlige sikkerhedsregler for udstyr af denne type, som måtte blive taget i anvendelse. Internet og E-post. Der skal være udarbejdet retningslinier for anvendelse af internet og . Side 10 af 13

11 Digital signatur. Tønder Kommune anvender digitale signaturløsninger som en integreret del af kommunens værktøjer til både kommunikation (afsendelse og modtagelse af hvor sikkerhed for identitet, autenticitet og fortrolighed er krævet og ønsket) og til identifikation (medarbejdersignatur som adgangsnøgle til offentlige tjenester og internetportaler). IT-afdelingen forestår de praktiske foranstaltninger i forbindelse med anskaffelse og drift af faciliteter til signaturhåndtering, herunder administration og vedligeholdelse af udstedte certifikater og integration til it-systemer. NemID til borgere / nøglecenter. Tønder Kommune er nøglecenter for udstedelse af NemID til borgere. Funktionen er placeret i Borgerservice. Borgerservice sikrer, at lovkrav og krav fra Nets DanID udmøntes i betryggende arbejdsgange. Selvbetjeningsløsninger. I forbindelse med den voksende udbredelse af selvbetjeningsløsninger i kommunerne, er der behov for at have en ensartet strategi for implementering af disse. Systemerne bliver typisk udviklet af forskellige udbydere, og systemerne er uensartede i forhold til teknik, platform o.s.v. For at tilgodese dette behov og sikre, at systemerne lever op til de krav, der stilles i bl.a. Persondataloven, er det nødvendigt at systemejer foretager en grundig risikovurdering. Anskaffelse af it-systemer. IT afdelingen skal i samarbejde med systemejer sikre, at anskaffede systemer og driftsmiljøer etableres på en sådan måde, at retningslinjerne i IT Sikkerhedspolitikken og IT Sikkerhedshåndbogen kan tilgodeses. Systemejer har ansvaret for, at udviklede applikationer sikres i et tilfredsstillende omfang, dels via centralt opdaterede sikkerhedskopier dels ved fremskaffelse af præcis dokumentation for programmeringsgrundlaget. Af hensyn til kontraktlige forhold, test, drift, sammenhæng med øvrige it-løsninger med mere, skal IT afdelingen altid inddrages i processen, inden indkøb og installation af nyt software til kommunens netværk. Alle anskaffelser skal foretages under lovmæssige korrekte forhold. Der skal her henledes på forhold omkring udbudsbestemmelser. Side 11 af 13

12 Endvidere skal det ved anskaffelse af it-løsninger indeholdende personfølsomme data - og som dermed er afleveringspligtige til Arkivet sikres, at leverandøren er i stand til at varetage denne aflevering. Risikoanalyse. Systemejer er ansvarlig for udarbejdelse af risikoanalyse vedr. det enkelte system. På centrale systemer og elementer er IT afdelingen systemejer og ansvarlig. Nødberedskab. Tønder Kommune skal råde over et ajourført nødberedskab således, at kommunens forretningsgange ikke vil blive unødigt hæmmet i forbindelse med eventuelle nødsituationer i ITdriften. Nødberedskabet skal stå i naturligt forhold til vigtigheden af det driftsmiljø, som skal beskyttes. Den IT Sikkerhedsansvarlige har ansvaret for fastsættelse og ajourføring af det overordnede nødberedskab for it-anvendelsen. Systemejer har ansvaret for at udarbejde og vedligeholde nødberedskab for de enkelte systemer. Styring af IT-aktiver. Alle væsentlige it-aktiver i kommunen skal indgå i en fælles fortegnelse, hvor alle relevante karakteristika er angivet. Registreringen skal sikre en entydig identificering af de enkelte itaktiver, et betryggende overblik samt styring af opgradering og moderniseringsprojekter. Det er IT afdelingen der har ansvaret for registreringen, herunder løbende vedligeholdelse af positivlister for hardware og software vedrørende kommunens generelle it-anvendelse. Ansvaret for registrering af fagspecifikke systemer er placeret hos systemejer. IT afdelingen fører endvidere kontrol med softwarelicenser. Side 12 af 13

13 Udmøntning af sikkerhedspolitikken. Udmøntning af IT Sikkerhedspolitikken vil primært ske gennem IT Sikkerhedshåndbogen, som med udgangspunkt i ISO27000 serien (certificering af it-sikkerhed) i bilag beskriver de enkelte forhold mere uddybende. ISO-standarden stiller færre bindende krav, og sikkerhedsforanstaltningerne vil i højere grad afhænge af behovet. IT-sikkerheden forbliver høj, men den håndteres i et smidigere system, hvor der kun skal leves op til de krav, som er nødvendige i forhold til den konkrete risikovurdering. Opfølgning og kontrol. For at sikre en levende og ajourført IT Sikkerhedspolitik skal følgende elementer underkastes en årlig gennemgang. IT Sikkerhedspolitikken IT Sikkerhedshåndbogen Risikoanalyser Systemejer lister Brugeradministration. Side 13 af 13