IT-sikkerhedspolitik for

Transkript

1 Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune

2 Overordnet IT-sikkerhedspolitik 1.0 Politik Side 2 af 7

3 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs Kommunes overordnede IT-sikkerhedspolitik og skaber, sammen med en løbende risikovurdering, grundlaget for sikker anvendelse af informationsteknologi i Norddjurs Kommune. Målsætning IT-sikkerhedspolitikken skal til enhver tid understøtte de strategiske mål, der er fastsat i IT-strategien for Norddjurs Kommune. Hensigten med IT-sikkerhedspolitikken er også at tilkendegive over for alle, som har en relation til Norddjurs Kommune, at brug af information og IT-systemer er underkastet standarder og retningslinier. Norddjurs Kommune ønsker derfor at opretholde og løbende udbygge et IT-sikkerhedsniveau, der opfylder de basale krav i DS484, Dansk Standard for Informationssikkerhed. Kravene skærpes på veldefinerede områder, hvor der er specielle lovkrav, aftaleretslige forhold eller eventuel særlig risiko (afdækkes ved en risikovurdering). Norddjurs Kommune betragter IT-systemer som en kritisk ressource. Der lægges derfor vægt på systemernes driftssikkerhed, kvalitet, at de overholder krav i lovgivningen, og at de er brugervenlige. Der skal skabes effektiv beskyttelse mod IT-sikkerhedsmæssige risici, så Norddjurs Kommunes omdømme, og medarbejdernes tryghed og arbejdsvilkår sikres bedst muligt. Beskyttelsen skal gælde både naturgivne, tekniske og menneskeskabte risici. Sikkerhedsniveauet fastlægges i det enkelte tilfælde under hensyntagen til arbejdets gennemførelse og økonomiske ressourcer. Målsætningen om et højt sikkerhedsniveau afvejes med ønsket om en hensigtsmæssig og brugervenlig anvendelse af it. Målene er derfor: Tilgængelighed: At opnå en høj tilgængelighed med høje oppetider og minimeret risiko for nedbrud. Integritet: At opnå en pålidelig og korrekt funktion af IT-systemerne med minimeret risiko for ukorrekt datagrundlag, for eksempel som følge af menneskelige og systemmæssige fejl eller udefrakommende hændelser. Fortrolighed: At etablere mulighed for fortrolig behandling, transmission og opbevaring af data hvor kun autoriserede og autentificerede brugere har adgang. Side 3 af 7

4 Ovenstående mål skal konkretiseres i kontrakter overfor eksterne samarbejdspartnere med adgang til netværk og IT-systemer i Norddjurs Kommune. Regler og retningslinier fra IT-sikkerhedspolitikken skal løbende indarbejdes i de relevante regler på personalepolitikkens område. Omfang IT-sikkerheden omfatter følgende: IT-sikkerhedspolitikken, der godkendes af kommunalbestyrelsen efter indstilling fra direktionen Sikkerhedshåndbogen/-regelsættet, der uddyber IT-sikkerhedspolitikken og fastlægges af direktionen Instrukser og procedurer for IT-sikkerhedspolitikken, som udarbejdes af respektive ejere af systemer og aftaleholdere ud fra krav og retningslinier i IT-sikkerhedshåndbogen IT-styringssystem, baseret på en 12 trins implementeringsmodel anbefalet af IT og Telestyrelsen, jfr. bilag 2 Gyldighedsområde IT-sikkerhedspolitikken gælder for alle informationsrelaterede aktiviteter, uanset om disse udføres af medarbejderne, medlemmer af kommunalbestyrelsen eller eksterne samarbejdspartnere. IT-sikkerhedspolitikken gælder for alle medarbejdere og medlemmer af kommunalbestyrelsen samt eksterne samarbejdspartnere for al brug af informationsaktiver. Organisation og ansvar Kommunalbestyrelsen skal godkende IT-sikkerhedspolitikken og har det overordnede ansvar for, at IT-sikkerhedspolitikken vedligeholdes. Direktionen har ansvaret for at fastlægge et passende sikkerhedsniveau for informationsaktiverne, baseret på en overordnet risikovurdering. IT-chefen er Norddjurs Kommunes øverste IT-sikkerhedsansvarlige og har ansvaret for at udarbejde og føre tilsyn med IT-sikkerhedspolitikken. Herudover er der en række roller med ansvar og tilhørende myndighed, som er nærmere beskrevet i bilag 1 til denne politik. Side 4 af 7

5 Overtrædelse For medarbejdere, der overtræder gældende IT-sikkerhedsbestemmelser i Norddjurs Kommune, henvises til gældende bestemmelser. Beredskabsplanlægning Katastrofer søges undgået gennem en veltilrettelagt fysisk sikring af tekniske installationer og ITudstyr. Omfanget af disse forstaltninger besluttes ud fra en afvejning af risici i mod sikringsomkostninger. Norddjurs Kommunes beredskabsplan for ovennævnte indarbejdes i den overordnede beredskabsplan. I beredskabsplanen skal Norddjurs Kommunes og eksterne samarbejdspartneres ansvar for sikkerhedskopiering og nødplaner entydigt præciseres. Beredskabsplanerne skal omfatte: Skadesbegrænsende tiltag Etablering af midlertidige nødløsninger Genetablering af permanent løsning Beredskabsplanerne skal ajourføres og testes løbende - og minimum en gang om året. Ikrafttrædelse Denne IT-sikkerhedspolitik er gældende fra den og revurderes mindst en gang om året. Godkendt af sammenlægsningsudvalget dd.mm.åååå Bilag 1: Organisation og ansvar IT-sikkerhedsudvalget Udvalget har med reference til den sikkerhedsansvarlige ansvaret for at sikre, at målsætningen for ITsikkerhedspolitikken bliver opfyldt. IT-sikkerhedsudvalget består af kommunens øverste IT-sikkerhedsansvarlige samt en IT-ansvarlig fra hvert direktørområde, udpeget af direktørerne blandt områdets medarbejdere. Opgaverne er beskrevet i Forretningsorden for IT-sikkerhedsudvalget, der selv vedtager sin Forretningsorden. Udvalget er normgivende og fastsætter på grundlag af den godkendte IT-sikkerhedspolitik de principper/retningslinier, der sikrer at målene opfyldes. Side 5 af 7

6 Udvalget behandler alle spørgsmål om IT-sikkerhed af principiel karakter. Udvalget foretager en gang om året en vurdering af IT-sikkerhedspolitikken og den tilknyttede ITsikkerhedshåndbog og instrukser/retningslinier for IT-sikkerheden, herunder at disse lever op til forpligtelser i lovgivning og kontrakter/aftaler. Udvalget vurderer samtidigt, om der er behov for fornyet risikovurdering/konsekvensanalyse. Udvalget er ansvarlig for at inddrage medarbejdere med relevante kompetencer i arbejdet med udarbejdelse og revision af IT-sikkerhedspolitikken/-håndbogen. IT-koordinator IT-koordinatoren har det operationelle ansvar for den daglige styring af indsatsen for IT-sikkerheden. Det betyder, at funktionen sørger for planlægning, koordinering og opfølgning på aktiviteterne, som skal sikre, at retningslinier, kontroller og foranstaltninger, der er beskrevet i IT-sikkerhedshåndbogen, kan gennemføres og efterleves. Funktionen sørger også for, at IT-sikkerhed integreres i alle forretningsgange, driftsopgaver og projekter. IT-koordinatoren udpeges af IT-chefen. Aftaleholderen Den enkelte aftaleholder har ansvar for, at IT-sikkerhedspolitikken og reglerne i IT-sikkerhedshåndbogen, der er relevante for kommunens ansvarsområde, er kendte og efterleves, at medarbejdererne gennem information, uddannelse og udvikling opnår bevidsthed om nødvendigheden af at overholde procedurer/retningslinier for IT-sikkerheden, at der udarbejdes yderligere dokumentation vedrørende IT-sikkerhed for virksomhedens område, når behovet opstår, at der gennemføres en sikkerheds-/risikovurdering før et nyt IT-system tages i brug, at koordinere opklaringsarbejdet ved konstateret eller begrundet mistanke om brud på ITsikkerheden og rapportere resultatet til IT-sikkerhedsfunktionen, at retningslinierne i IT-sikkerheden ved ansættelse, funktionsskift og fratrædelse overholdes, og at uafhængighed af enkeltpersoner tilstræbes gennem etablering af personbackup for de medarbejdere, der er alene om at dække specialer eller systemer af væsentlig betydning for virksomheden. Medarbejderen Den enkelte medarbejder har ansvaret for, Side 6 af 7

7 at overholde IT-sikkerhedspolitikken og reglerne i IT-sikkerhedshåndbogen, der er relevante for medarbejderen og pågældendes arbejdsopgaver, at rapportere om eventuelle brud på IT-sikkerheden eller mistanke herom til nærmeste chef og til IT-afdelingen. Den eksterne samarbejdspartner Den enkelte samarbejdspartner har ansvar for at IT-sikkerhedspolitik for Norddjurs Kommune og de regler i IT-sikkerhedshåndbogen for Norddjurs Kommune, der er relevante for samarbejdets område, er kendte og efterleves. Det kan ske mest hensigtsmæssigt ved, at samarbejdspartnerens egne sikkerhedspolitikker og -regler til enhver tid afspejler kravene fra Norddjurs Kommune, at egne medarbejdere gennem information, uddannelse og udvikling opnår bevidsthed om nødvendigheden af at overholde de IT-sikkerhedsmæssige retningslinier, herunder tiltrædelseserklæringen i kontrakten, at der udarbejdes yderligere dokumentation vedrørende sikkerhed for samarbejdspartnerens område, når behovet opstår, at der ved installation af nye og ændring af eksisterende interne systemer og komponenter, der giver mulighed for påvirkning af informationsaktiver i Norddjurs Kommune, gennemføres en forudgående risiko-/sikkerhedsvurdering, og at koordinere opklaringsarbejdet ved konstateret eller begrundet mistanke om brud på ITsikkerheden. Hændelsen og resultatet rapporteres via samarbejdspartnerens sikkerhedsorganisation til IT-sikkerhedsfunktionen i Norddjurs Kommune. Bilag 2: 12 trins implementeringsmodel Modellen er nærmere beskrevet i vejledning om indførelse af standard DS484 for itsikkerhedsprocesser udgivet af IT og Telestyrelsen. Side 7 af 7

8

9

10 Bilag 2 12 trins implementeringsmodel Modellen er nærmere beskrevet i vejledning om indførelse af statslig standard for it-sikkerhedsprocesser udgivet af IT&Telestyrelsen.