INFORMATIONSSIKKERHEDSPOLITIK. Informationssikkerhedspolitik

Transkript

1 Informationssikkerhedspolitik

2 Er informationssikkerhed aktuel?

3 Hvorfor arbejder vi med informationssikkerhedspolitik? EU direktiv 95/46/EF Persondataloven Sikkerhedsbekendtgørelsen Datatilsynet

4 Hvorfor arbejder vi med informationssikkerhedspolitik? Persondataloven 1, stk. 1 Loven gælder for behandling af personoplysninger, som helt eller delvist foretages ved hjælp af elektronisk databehandling, og for ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.

5 Hvorfor arbejder vi med informationssikkerhedspolitik? Definitioner Personoplysninger Enhver form for information om en identitet eller identificerbar fysisk person. Behandling Enhver operation eller række af informationer med eller uden brug af elektronisk databehandling, som oplysninger gøres til genstand for. Register Enhver struktureret samling af personoplysninger, der er tilgængelige efter bestemte kriterier, hvad enten denne samling er placeret centralt, decentralt eller er fordelt på et funktionsbestemt eller geografisk grundlag.

6 Hvorfor arbejder vi med informationssikkerhedspolitik? Persondataloven 5 God databehandlingsskik Formålsbestemthed Proportionalitet Datakvalitet Sletning

7 Hvorfor arbejder vi med informationssikkerhedspolitik? Persondataloven 41 Instruks forud for databehandling Den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.

8 Hvem gælder ISP for? Byrådsmedlemmer Alle ansatte

9 Hvem har ansvar ifølge ISP? Byråd Direktionen Digitaliseringsrådet Chefer Ledere Systemejer Systemadministrator Medarbejdere

10 Hvordan arbejder vi aktivt med ISP i hverdagen? Implementering Involvering af ansvarlige personer Undervisning Deltage i personalemøder SecureAware Politik Regler Procedurer Video + skriftlige vejledning Intern revision

11 Lederens opgaver Sikre at ISP overholdes Køb af nyt system Brugerrettigheder Logning Registrering af udstyr Introducere medarbejderne til ISP Disciplinære konsekvenser ved overtrædelse af ISP Opgaver ved start/stop af ansættelse

12 Overholdelse af ISP Sikre ISP overholdes Vedligeholdelse af ISP

13 Lederens opgaver Køb af nyt system Vurdering af udbudspligt, herunder optioner Godkendelse af kontrakt (samarbejde med CØHR+CID) Dialog med CID om tids- og implementeringsplan Sikre ikke i konflikt med krav i ISP Databehandleraftale Digitaliseringsrådet Underskrift af kontrakt Anmeldelse til datatilsynet Change Management

14 Lederens opgaver Brugerrettigheder Fastlægge og vurdere brugerrettigheder Sikre vedligeholdelse af brugerfortegnelse Sikre medarbejdere fratages rettigheder ved ansættelsesstop og/eller skift af afdeling Sikre der er dokumenteret anmodning fra leder førend medarbejder får autorisation Brugerprofiler gennemgås

15 Lederens opgave Logning CID overvåger forretningskritiske systemer CID sørger for sikkerhedslogning Systemejer skal lave aftale om logning ved hosted løsning Alle produktionssystemer skal logge information om forsøg på systemadgang Logfiler skal regelmæssigt gennemgås af relevante ledere

16 Lederens opgaver Registrering af udstyr Nøglebrikker IT-udstyr Telefoner Tyverisikring Forsikring Mærkning

17 Lederens opgaver Introducere medarbejdere til ISP Adgang til og introduktion til ISP Adgang til og indretning af arbejdsplads Adfærdsregler ved brug af internet Adfærdsregler ved brug af Installering af software Adgangskoder Opbevaring og behandling af persondata Privat udstyr Brug af mobile medier Antivirus Krisehåndtering

18 Lederens opgave Adgang til ISP SecureAware Medarbejderportalen Foldere

19 Lederens opgaver Adgang til arbejdsplads Nøgler Nøglebrikker Alarmer Døre og vinduer Skabe og skuffer

20 Lederens opgaver Indretning af arbejdsplads Printere Skærme Affald

21 Lederens opgaver medarbejderens ansvar Adfærdsregler ved brug af s betragtes som kommunens ejendom Kommunen kan og har ret til at tjekke mails Anvendelse til privat formål Tilladt i begrænset omfang Til lovlige og legale formål Efterleve almindelig god etik og moral Private mails skal markeres med titlen privat Må ikke anvende kryptering eller digital signatur

22 Lederens opgaver medarbejdernes ansvar Adfærdsregler ved brug af med personoplysninger / fortrolige data Skal sendes sikkert krypteret/digital signatur Opbevares, slettes og arkiveres efter PDLs regler. Skal Journaliseres i SBSYS s som af bevismæssige årsager kræver underskrift skal afsendes/modtages med digital signatur

23 Lederens opgaver medarbejderens ansvar Adfærdsregler ved brug af internet Anvendelse til privat formål Tilladt i begrænset omfang må ikke belaste nettet Til lovlige og legale formål Efterleve almindelig god etik og moral CID har indbygget spærring til internetsider identificeret som højrisikoområder CID kan logge den enkelte medarbejders anvendelse af internettet

24 Lederens opgaver medarbejderens ansvar Adfærdsregler ved brug af programmer OK at afvikle browserbaserede programmer OK at benytte messenger-programmer, hvis CID giver tilladelse der ligger liste i CapaInstaller Det er IKKE tilladt at hente program fra internettet, medmindre det er relateret til løsning af arbejdsopgave og godkendt af CID. Det er IKKE tilladt at installere programmer på Faxe Kommunes udstyr.

25 Lederens opgaver medarbejderens ansvar Adgangskoder Skal bestå af kombination af mindst 3 af følgende: Store bogstaver, små bogstaver, tal, specialtegn Skal bestå af mindst 8 tegn Må ikke benytte brugernavn, navn eller dato Må ikke være identisk med seneste 24 koder Skal skiftes efter højest 90 dage Er strengt personlige og må ikke deles med andre

26 Lederens opgaver medarbejderens ansvar Adgangskoder Det er medarbejderens ansvar at vælge tilstrækkeligt sikre adgangskoder Det er ikke tilladt at benytte samme adgangskode på interne og eksterne systemer Medarbejder skal aktivere adgangskodebeskyttet skærmlås når pc forlades Skærmlås aktiveres automatisk efter 10 min.

27 Lederens opgaver medarbejderens ansvar Automatiske log-in funktioner Automatisk log-in eller systemer, hvor adgangskoder gemmes i genveje eller på funktionstaster må ikke benyttes

28 Lederens opgaver medarbejderens ansvar Opbevaring og behandling af persondata Den enkelte medarbejder har ansvaret for at sikre, at der ikke efterlades fortrolige eller personfølsomme oplysninger på offentligt tilgængelige steder.

29 Lederens opgave medarbejderens ansvar Opbevaring og behandling af persondata Print må ikke efterlades i printerrum print som fortrolig print Sagsakter i papirform Aflåste skuffer og skabe Transport af sagsakter til og fra møde Papir Mobilt medie Affald

30 Lederens opgaver medarbejderens ansvar Privat udstyr Medarbejderen er ansvarlig for, at der ikke behandles eller opbevares fortrolige data og/eller personoplysninger på andet udstyr end udstyr tilhørende Faxe Kommune. Medarbejderen er ansvarlig for at personligt ejet ITudstyr som pc, PDA, bærbære harddiske, memorysticks, MP3-afspillere, minidisks, cd- eller DVD-brændere ikke anvendes til kopiering eller opbevaring af fortrolige data.

31 Lederens opgaver medarbejderens ansvar Brug af bærbare medier: USB, PDA, Telefon, Ipad, PC Anskaffelse Genbrug personlige data overskrives Sikre medarbejder er instrueret i at opbevare mediet Brug af adgangskoder Kryptering ved opbevaring og transport Krypteret USB Krypteret mappe på skrivebordet

32 Lederens opgave medarbejderens ansvar Hjemmearbejdspladser Sikkerhedsansvarlige direktør kan tillade, at der gives adgang til kommunen interne netværk fra hjemmearbejdsplads eller fjernarbejdspladser. Medarbejderen er ansvarlig for, at der ved fjernadgang til data på Faxe Kommunes netværk, kun gemmes data på lokale harddiske (krypteret mappe) eller andre eksterne medier (krypteret USB), hvis data er beskyttet efter ISP.

33 Lederens opgaver medarbejderens ansvar Brug af trådløst netværk Det er tilladt at koble sig på trådløse netværk Det er ikke tilladt at installere udstyr som skaber et trådløst netværk.

34 Lederens opgaver Krisehåndtering Procedurer ved læk af oplysninger Beredskabsplaner Informere om beredskabsplans eksistens Informere og uddanne relevante medarbejdere i beredskabsprocedurer

35 Lederens opgaver Konsekvenser ved overtrædelse af ISP Bevidste eller gentagne overtrædelser Hændelser hvor medarbejdere er involverede, bliver håndteret konsekvent i overensstemmelse med gældende personalepolitik. Det er ledelsens ansvar at sanktioner for brud på kommunens politikker, regler og retningslinjer håndhæves konsekvent og i overensstemmelse med den gældende lovgivning.

36 Lederens opgaver Opgaver ved ansættelse start/stop Start Tavshedserklæring Oprettelse af bruger og tildeling af rettigheder Registrering af udstyr Nøgler/nøglebrikker og alarmer Introduktion til ISP Introduktion til SBSYS mv. (opbevaring af oplysninger)

37 Lederens opgaver Opgaver ved ansættelse start/stop Stop Nedlæggelse af bruger-adgang til netværk skal lukkes ned Brugerrettigheder adgang til data skal inddrages Aflevering af det udstyr, der er registreret som udleveret Nøgler og nøglebrikker Databærende medier slettes / re-installeres Data i mail-boks og H-drev, overføres til SBSYS og centerdrev