Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Transkript

1 Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar Hvad der er markeret med grøn skrift er udeladelser fra den vedtagne politik af 24. februar Der er herudover sket præcisering i henhold til lovgivning og foretaget ændringer af sproglig karakter. 1

2 Overordnede bestemmelser 1. Indledning Kommunalbestyrelsen i Vordingborg Kommune har fastlagt disse bestemmelser om IT- sikkerheden som den overordnede ramme for den generelle IT- sikkerhed overalt i organisationen. IT- anvendelsen i Vordingborg Kommune skal understøtte en effektiv og digital organisation, hvor digitalisering ses som et væsentligt parameter i forhold til organisationens fortsatte udvikling. Udviklingen i lovgivningen og samfundet generelt vil medføre, at Vordingborg Kommune på flere områder og i større omfang benytter IT for at kunne servicere virksomheder og borgere. 2. Formål Sikkerheden i informationer og informationssystemer er af største betydning for den daglige drift af Vordingborg Kommunes IT- leverance. Vordingborg Kommune skal overholde lovmæssige krav samt implementere ITsikkerhedsforanstaltninger, der tilgodeser alle, der har relationer til organisationen, det være sig borgere, leverandører, samarbejdspartnere, medarbejdere og andre. Målet for IT- sikkerhedsbestemmelerne er at beskytte informationer og informationssystemer uafhængigt af, hvor disse måtte findes. Vordingborg Kommune skal i overensstemmelse med god offentlig forvaltningsskik sikre data og informationers fortrolighed, pålidelighed og tilgængelighed. Målet for IT- sikkerhedsbestemmelserne er endvidere at tilkendegive klart over for alle med en relation til organisationen, at der er udstukket regler og procedurer til regulering af brugernes adfærd ved anvendelsen af informationer og informationssystemer. Sikkerhed for høj driftsstabilitet i forhold til tilgængelighed og funktionalitet er endvidere et væsentligt mål for IT- sikkerhedsbestemmelserne. Enhver der kommer i berøring med kommunens informationer og informationssystemer har et medansvar for at opretholde den generelle informationssikkerhed. Med henblik på at opretholde IT- sikkerhedsbestemmelserne fastlægger Kommunaldirektøren nogle konkrete og anvendelige regler for informationssikkerheden. Disse regler udbygges med instrukser og retningslinjer på områder, hvor der er behov for det. De overordnede bestemmelser og disse regler samt instrukser og retningslinjer danner derefter grundlaget for IT- sikkerheden i hele organisationen. 3. Sikkerhedsbestemmelser Kommunalbestyrelsens mål med IT- sikkerhedsbestemmelserne er at sikre, at IT- anvendelsen overholder gældende lovgivning således, at Vordingborg Kommune altid fremstår som en respekteret og betroet myndighed. IT- sikkerhedsbestemmelserne fastsætter hovedprincipperne for IT- sikkerheden, herunder placeringen af ansvaret for varetagelse af IT- sikkerheden og organiseringen af arbejdet med ITsikkerheden. IT- sikkerhedsbestemmelserne skal samtidig danne grundlag for, at digitaliseringsstrategien og de konkrete handlingsplaner kan effektueres. IT sikkerhedsbestemmelserne skal videre sikre, at IT- sikkerheden indarbejdes i alle eksisterende og nye forretningsgange. 2

3 Det er desuden Kommunalbestyrelsens mål: At opretholde et stabilt, let tilgængeligt og funktionelt IT- serviceniveau overfor samtlige brugere. At forebygge, forhindre og begrænse tab af data og andre IT- værdier mod tyveri, hærværk samt anden tilsigtet/utilsigtet ødelæggelse. At forebygge hhv. begrænse skader til en for organisationen kendt og accepteret størrelse. At sikre organisationens fortsatte driftsevne efter følgerne af en eventuel skadevoldende hændelse inden for en accepteret tidshorisont. At beskytte organisationens informationer og informationssystemer mod uvedkommendes adgang, manipulation, indsigt eller forsøg herpå. At sikre, at enhver sikkerhedsmæssig følsom IT- aktivitet kan henføres til den person, som har udført aktiviteten, samt at sikre gennemførelsen af fornødne sikkerhedsforanstaltninger til opdagelse af misbrug og forsøg herpå. At sikre, at organisationens udvikling og implementering af nye IT- aktiviteter, såvel internt som i forhold til borger- eller virksomhedsrettede services, udføres under iagttagelse af betryggende sikkerhedsforanstaltninger. At sikre ledelsesmæssig opfølgning på IT- udvikling, sikkerhed og drift. At anvende såvel danske som internationale standarder som reference og grundlag for ITsikkerhedsarbejdet i organisationen. At Vordingborg Kommune skal anvende sikker kryptering til al korrespondance, der indeholder personfølsomme oplysninger. At Vordingborg Kommune som offentlig myndighed praktiserer digital forvaltning på sikker vis. 4. Dækningsområde IT- sikkerhedsbestemmelserne gælder for alle organisatoriske enheder og alle brugere af organisationens IT- systemer samt for IT- aktiviteter, der under Vordingborg Kommunes ansvar udføres for eller af andre, f.eks. samarbejdspartnere - leverandører og andre. IT- sikkerhedsbestemmelserne omfatter herved alle organisationens IT- baserede forretningsgange, herunder kontorprogrammer og fagsystemer, og inkluderer også netværk og IT- infrastruktur. 5. Sikkerhedsniveau På baggrund af en konkret risiko- og konsekvensanalyse fastlægger Vordingborg Kommune et sikkerhedsniveau, der svarer til betydningen af den pågældende IT- anvendelse. Vordingborg Kommune vil ikke ved alle anvendelser lægge sig på det højst tænkelige sikkerhedsniveau, men vurdere risici i forhold til konsekvenser. IT- sikkerhedsbestemmelserne er udarbejdet med udgangspunkt i ISO 27001, der er en del af ISO serien en serie af internationale standarder for informationssikkerhed. Samtidig vil Vordingborg Kommune sikre et tilfredsstillende sikkerhedsniveau i forhold til de anbefalinger, som kommunernes IT- revision kan forlange. 3

4 6. Organisation og ansvar Ansvars- og kompetencefordeling vedrørende IT- sikkerhed fastsættes i henhold til følgende: Kommunalbestyrelsen har ansvar for godkendelse og vedligeholdelse af de overordnede ITsikkerhedsbestemmelser. Ved godkendelsen af disse overordnede IT- sikkerhedsbestemmelser delegeres ansvaret for at behandle alle tvivlsspørgsmål om informationssikkerhed og alle overordnede spørgsmål om dataindsigt samt videregivelse af oplysninger til udvalget for Økonomi, Planlægning og Udvikling. Kommunaldirektøren er organisationens øverste sikkerhedsansvarlige og har ansvaret for godkendelse og vedligeholdelse af regler for informationssikkerheden, hvori det organisatoriske ansvar til sikring af informationsaktiverne konkret fastlægges. Kommunaldirektøren behandler konkrete sager vedrørende væsentlige IT- sikkerhedsforhold og sørger for, at der bliver udarbejdet kvartalsrapport for IT- sikkerhedshændelser. Disse rapporter vil blive forelagt for Kommunalbestyrelsen, hvis de giver anledning til bemærkninger eller indeholder væsentlige oplysninger, som Kommunaldirektøren vurderer bør forelægges for Kommunalbestyrelsen. Kommunaldirektøren har også ansvaret for, at der bliver udarbejdet, implementeret og vedligeholdt overordnede bestemmelser og regler for informationssikkerhed samt nødvendige retningslinjer og sikkerhedsinstrukser. Kommunaldirektøren har endvidere ansvaret for, at der bliver udarbejdet og vedligeholdt en samlet IT- beredskabsplan og at der bliver fulgt op på overholdelse af informationspolitikker, regler og retningslinjer gennem udførelse af kontroller. Herudover har kommunaldirektøren ansvaret for, at der er præventive og konsekvente foranstaltninger, som giver medarbejderne information og instruktion om den enkeltes medansvar for overholdelsen af sikkerhedsforanstaltningerne. Kommunaldirektøren har tillige ansvaret for de løbende IT- sikkerhedsmæssige opgaver samt udarbejdelse af retningslinjer i henhold til IT- sikkerhedsbestemmelserne. Herunder retningslinjer for dispensationer fra IT- sikkerhedsbestemmelserne og disses behandling. Kommunaldirektøren kan helt eller delvist delegere sine IT- sikkerhedsopgaver til en eller flere af Kommunaldirektøren udpegede IT- sikkerhedsansvarlige. Lederne af de organisatoriske enheder er ansvarlige for at IT- sikkerheden overholdes i deres respektive enheder. Lederne udpeger IT- systemansvarlige/it- sikkerhedsansvarlige i deres enheder og fører tilsyn med at overordnede bestemmelser, regler og procedurer, herunder instrukser særligt tilpasset den enkelte enhed overholdes. Det er ligeledes ledernes ansvar at sikre medarbejdernes kendskab til gældende overordnede bestemmelser, regler og procedurer. Medarbejderne har generelt ansvaret for at overholde sikkerheden omkring IT- anvendelse ved overholdelse af de overordnede bestemmelser, og de regler, retningslinjer og instrukser, som knytter sig hertil. 7. Opfølgning Vordingborg Kommune vil med udgangspunkt i ISO og gældende lovgivning, løbende ajourføre og præcisere IT- sikkerhedsbestemmelserne. Hændelser inden for IT- sikkerhedsområdet bliver registreret løbende og der bliver løbende fulgt op på relevante hændelser i form af kvartalsrapporter for IT- sikkerhedshændelser. Der gennemføres mindst en gang om året eller ved større tekniske eller større organisatoriske ændringer en risikovurdering således, at Vordingborg Kommunes ledelse kan holdes orienteret om 4

5 det aktuelle risikobillede. 5

6 8. Dispensationer Dispensationer fra disse bestemmelser behandles i henhold til særlige retningslinjer for dispensationer. 9. Overtrædelser Overtrædelser af regler, retningslinjer, instrukser og procedurer, der er udarbejdet i henhold til nærværende overordnede bestemmelser, behandles i henhold til Vordingborg Kommunes personalepolitik og øvrig gældende lovgivning. 10. Ikrafttrædelse Disse overordnede bestemmelser om IT- informationssikkerhed træder i kraft, når den er godkendt af Kommunalbestyrelsen. Nærværende overordnede bestemmelser er godkendt af Kommunalbestyrelsen den xx.xx. 2015, og erstatter tidligere IT- sikkerhedspolitik godkendt i Byrådet, februar