Faxe Kommune. informationssikkerhedspolitik

Transkript

1 Faxe Kommune informationssikkerhedspolitik

2 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en løbende risikovurdering, grundlaget for beskyttelse af information i Faxe Kommune. Formål Formålet med informationssikkerhedspolitikken er at fastlægge det overordnede sikkerhedsniveau og de nødvendige organisatoriske rammer samt de overordnede retningslinjer for udformning af kontroller, procedurer og sikringsforanstaltninger. Faxe Kommunes informationssikkerhedspolitik skal sikre, at de følsomme og fortrolige oplysninger, som kommunen behandler for og om borgere og virksomheder beskyttes. Endvidere skal informationssystemer og informationer af betydning for kommunen beskyttes. Informationssikkerheden skal leve op til gældende lovkrav og regler, som minimum på niveau med sammenlignelige virksomheders sikkerhed. Hensigten med informationssikkerhedspolitikken er desuden at tilkendegive over for ansatte, borgere, virksomheder, samarbejdspartnere og andre med en relation til kommunen, at kommunens anvendelse og behandling af informationer er underlagt regler og standarder, der sikrer kommunens information. Målene for informationssikkerheden er at sikre følgende: Fortrolighed: Sikre fortrolig behandling, transmission og opbevaring af data hvor kun autoriserede brugere har adgang. Det gælder i særlig grad beskyttelse af personfølsomme oplysninger og informationer af væsentlig betydning for kommunen. Forretningssikkerhed og tilgængelighed: Sikre at alle generelle grundlæggende forretningskritiske systemer fungerer og understøtter kommunens drift. Opnå høj tilgængelighed med høje oppetider på systemer og minimeret risiko for nedbrud. Integritet: Opnå en pålidelig og korrekt funktion af informationssystemerne med minimeret risiko for ukorrekt datagrundlag, for eksempel som følge af menneskelige og systemmæssige fejl eller udefrakommende hændelser. Indsatsområder Informationssikkerhedspolitikken udmøntes i en række nærmere fastsatte regler og procedurer for den konkrete anvendelse af it og håndtering af informationer i Faxe Kommune. Dermed etableres et grundlag for det daglige arbejde med informationssikkerhed inden for Faxe Kommunes virke. Følgende indsatsområder er centrale: Al følsom og fortrolig information skal sikres forsvarligt og lovligt, uanset om den forefindes digitalt eller i papirform fx i form af printede dokumenter. Lokationer, der indeholder informationsaktiver, skal sikres forsvarligt mod vand, brand og indbrud. 2

3 Det skal sikres, at der løbende foretages risikoanalyse og risikovurdering. Der skal fortages beredskabsstyring på særligt kritiske arbejdsprocesser og systemer, med det formål at imødegå og begrænse konsekvenser af sikkerhedsbrud mest muligt, herunder sikre hurtig genetablering af kommunens sagsbehandling efter forekomst af kritiske hændelser som fx oversvømmelse, brand eller it-nedbrud, herunder hackerangreb og virus. Kommunens mål er at opretholde et sikkerhedsniveau der er udtryk for bedste praksis og i overensstemmelse med den anerkendte standard BS7799-2:2002 på alle relevante områder. Det skal sikres, at informationssikkerheden kommunikeres, således at modtageren har indgående kendskab til relevante sikkerhedsinstrukser og procedurer. Risici skal forebygges gennem klar funktionsadskillelse, herunder af autorisation, udførelse og kontrol. Rammer og sikkerhedsniveau Informationssikkerhedspolitikken for Faxe Kommune er baseret på: Efterlevelse af gældende lovgivning, herunder persondatalovgivningen. Efterlevelse af den anerkendte standard BS7799-2:2002. En risikovurdering af informationssikkerheden ifm. anvendelse af it og håndtering af informationer Almindeligt accepterede metoder og procedurer for informationssikkerhed. Sikkerhedsniveauet fastlægges i det enkelte tilfælde under hensyntagen til arbejdets gennemførelse og økonomiske ressourcer. Målsætningen om et højt sikkerhedsniveau afvejes med ønsket om en hensigtsmæssig og brugervenlig anvendelse af it. Informationssikkerhedsniveau skal altid efterleve den til enhver tid gældende lovgivning og leve op til gældende sikkerhedspraksis i den kommunale sektor. Sikkerhedsbevidsthed Informationssikkerhedspolitikken skal kommunikeres til alle relevante interessenter, herunder alle medarbejdere ansat i Faxe Kommune, byrådsmedlemmer og samarbejdspartnere. Kommunens ansatte skal være bevidste om deres betydning for it-sikkerheden i kommunen. Der skal være udfærdiget sikkerhedsmæssige regler og procedurer for personalet, der tager sigte på dels at beskytte kommunen mod skader forvoldt af personalet, dels at beskytte personalet mod ubegrundet mistanke om sikkerhedsbrud. For it-driftspersonale og andet personale med udvidede rettigheder på systemer kan der være skærpede regler og sikkerhedsinstrukser. Omfang og afgrænsning Informationssikkerhedspolitikken er med mindre andet er besluttet i medfør af denne politik og tilhørende retningslinjer - gældende for enhver information, som behandles af kommunen, uanset på hvilket medie informationen er lagret fysisk papir eller elektronisk, herunder for al anvendelse af Faxe Kommunes informationsrelaterede aktiver, herunder arkiver, databaser, informationssystemer, hardware etc. Dette gælder primært oplysninger om borgere, virksomheder, kommunens finansielle og økonomiske forhold samt andre informationer, som kræver beskyttelse eller har væsentlig 3

4 betydning for kommunen. Informationssikkerhedspolitikken gælder for alle medarbejdere i kommunen samt byrådsmedlemmer og samarbejdspartnere, herunder virksomheder, private og selvejende institutioner, som udfører opgaver for kommunen. Organisering og ansvar Ansvaret for Informationssikkerheden i kommunen ligger hos den sikkerhedsansvarlige direktør. Arbejdet med sikkerhedspolitikkens vedligeholdelse og implementering/efterlevelse er forankret hos Center for Økonomi og HR hos informationssikkerhedskoordinatoren. Herudover har en række andre centrale aktører forskellige ansvar i forhold til de enkelte områder inden for informationssikkerhedspolitikken. Disse er nærmere defineret i de underliggende regler og procedurer. De væsentligste aktører og deres overordnede ansvarsområder er følgende: Ansvarlig Byrådet Den sikkerhedsansvarlige direktør Informationssikkerhedskoordinator (Forankret i Center for Økonomi og HR) Center for IT & Digitalisering Centerchefer Systemejere Ledere Medarbejdere, byrådsmedlemmer og samarbejdspartnere Ansvarsområder Overordnet ansvarlig for en hensigtsmæssig og betryggende informationssikkerhed. Ansvarlig for informationssikkerheden i Faxe Kommune Refererer til den sikkerhedsansvarlige direktør og varetager den overordnede styring af informationssikkerheden i praksis. Ansvarlig for udarbejdelse og vedligeholdelse af informationssikkerhedspolitikken og de i medfør heraf udarbejdede regler og procedurer med bidrag fra relevante centre. Følger op på politikkens efterlevelse, og har initiativpligten i forhold til at sikre at der foretages de nødvendige risikovurderinger og kontroller i samarbejde med Center for IT og Digitalisering og andre relevante centre. Ansvarlig for at sikrer den tekniske implementering af informationssikkerhedspolitikken i de systemer som centeret har ansvaret for. Center for IT & Digitalisering har ansvaret for at udarbejde og vedligeholde procedurebeskrivelser, beredskabsplaner og dokumenter for de systemer, hvor centeret er systemejer. Center for IT & Digitalisering bistår med rådgivning omkring IT-forhold i Informationssikkerhedspolitikken. Centeret bistår med opfølgningen på politikkens efterlevelse. Ansvar for at informationssikkerhedspolitikken og de i medfør heraf udarbejdede regler og procedurer implementeres og forvaltes korrekt indenfor chefområdet. Ansvar for sikkerheden omkring enkelte systemer, herunder for at udarbejde og vedligeholde procedurebeskrivelser for bl.a. adgangsstyring samt beredskabsplaner for det pågældende system. Ansvar for at medarbejdere er bekendt med og efterlever sikkerhedspolitikken samt regler og procedurer i medfør heraf. Ansvar for at følge informationssikkerhedsregler og -procedurer og udvise sikker adfærd ift. informationssikkerhed i sammenhæng med de konkrete ansvarsområder og arbejdsopgaver, herunder 4

5 ved brug af informationssystemer og hardware. Digitaliseringsrådet Forum for koordination af sikkerhedsspørgsmål. Opfølgning og kontrol Der føres løbende kontrol med informationssikkerheden, herunder af om retningslinjer og procedurer følges og om iværksatte sikringstiltag virker. Mindst en gang årligt gennemføres systematisk kontrol af informationssikkerheden. Resultatet forelægges Byrådet. Sikkerhedsbrud Der etableres en procedure for håndtering på brud på informationssikkerheden, som sikrer, at den sikkerhedsansvarlige direktør, Center for It og digitalisering samt sikkerhedskoordinatoren informeres umiddelbart, så de nødvendige forholdsregler for at bringe problemet til ophør kan iværksættes. Endvidere skal det sikres, at sikkerhedsbruddet via sikkerhedskoordinatoren rapporteres til relevante myndigheder og evt. berørte borgere og virksomheder, og at der samles systematisk op på årsagerne til sikkerhedsbruddet. Vedligeholdelse og godkendelse Den sikkerhedsansvarlige direktør sikrer via sikkerhedskoordinatoren, at sikkerhedspolitikken løbende opdateres og vedligeholdes. Denne politik er vedtaget af Faxe Kommunes byråd den [12. december 2013]. 5