Informationssikkerhedspolitik

Transkript

1 Faxe Kommune Informationssikkerhedspolitik Regler

2 Indholdsfortegnelse Regler 2 1 Overordnede retningslinjer Informationssikkerhedspolitik Formulering af informationssikkerhedspolitik Løbende vedligeholdelse 2 2 Organisering af informationssikkerhed Interne organisatoriske forhold Eksterne samarbejdspartnere Outsourcing 3 3 Styring af informationsrelaterede aktiver Identifikation af og ansvar for informationsrelaterede aktiver Fortegnelse over informationsaktiver Ejere af systemer og data Adfærdsregler Adfærdsregler for brug af internet Adfærdsregler for brug af Adfærdsregler for trådløse netværk Klassifikation af informationer og data Klassifikation 7 4 Medarbejdersikkerhed Sikkerhedsprocedure før ansættelse Ansættelsesforholdet Ansættelsens ophør 8 5 Fysisk sikkerhed Sikre områder Beskyttelse af udstyr 9 6 Styring af netværk og drift Operationelle procedurer og ansvarsområder Driftsafvikling Styring af ændringer Funktionsadskillelse Adskillelse mellem udvikling, test og drift Ekstern serviceleverandør Styring af driftsmiljøet Skadevoldende programmer og mobil kode Sikkerhedskopiering Netværkssikkerhed Kablede netværk og netværk i almindelighed Trådløse netværk Forbindelser med andre netværk Databærende medier Informationsudveksling Logning og overvågning 17 7 Adgangsstyring De forvaltningsmæssige krav til adgangsstyring Administration af brugeradgang Brugerens ansvar Styring af netværksadgang Styring af systemadgang Styring af adgang til brugersystemer og informationer Mobilt udstyr og fjernarbejdspladser 22 8 Anskaffelse, udvikling og vedligeholdelse af 22 informationsbehandlingssystemer 8.1 Sikkerhedskrav til informationsbehandlingssystemer Kryptografi Styring af driftsmiljøet 24

3 8.5 Sikkerhed i udviklings- og hjælpeprocesser Sårbarhedsstyring 24 9 Risikovurdering og håndtering Styring af sikkerhedshændelser Rapportering af sikkerhedshændelser og svagheder Håndtering af sikkerhedsbrud og forbedringer Beredskabsstyring Beredskabstyring og informationssikkerhed Overensstemmelse med lovbestemte og kontraktlige krav Overensstemmelse med lovbestemte krav Lov-identifikation Ophavsret Sikring af kommunens forretningskritiske data Overholdelse af lov om personoplysninger Beskyttelse mod misbrug Overensstemmelse med informationssikkerhedspolitik og -retningslinier Beskyttelsesforanstaltninger ved revision af informationsbehandlingssystemer 30

4 Regler 1 Overordnede retningslinjer 1.1 Informationssikkerhedspolitik Formulering af informationssikkerhedspolitik Offentliggørelse af informationssikkerhedspolitik Center for Økonomi & HR, sikrer at den overordnede informationssikkerhedspolitik offentliggøres på kommunens hjemmeside og på intranettet. Regler og procedurer kommunikeres til alle relevante interessenter, herunder alle medarbejdere via intranettet. Godkendelse af informationssikkerhedspolitikken Den sikkerhedsansvarlige direktør sikrer, at den overordnede informationssikkerhedspolitik forelægges for byrådet til godkendelse. De nærmere regler og procedurer forelægges for og fastsættes af direktionen. Omfang af informationssikkerhedspolitik Informationssikkerhed defineres som de samlede foranstaltninger til at sikre fortrolighed, tilgængelighed og integritet. Foranstaltninger inkluderer tekniske og proceduremæssige kontroller samt kontrol af regler- og lovkrav Løbende vedligeholdelse Revision af informationssikkerhedspolitikken Den sikkerhedsansvarlige direktør sikrer via Center for Økonomi & HR, at der sker en generel revision af informationssikkerhedspolitikken minimum hvert andet år. Vedligeholdelse af informationssikkerhedspolitikken Center for Økonomi & HR, er ansvarlig for vedligeholdelsen af informationssikkerhedspolitikken. Vedligeholdelse, intern revision og afrapportering 2 Organisering af informationssikkerhed En klar placering af ansvar er vigtigt for at sikre Faxe Kommunes informationssikkerhed. Det gælder både i forhold til kommunens egen organisation og i forhold til eksterne samarbejdspartnere. Kontrakter med eksterne partnere og andre aftaler har således også betydning for informationssikkerheden. Side 2 af 30

5 2.1 Interne organisatoriske forhold Ledelsens rolle Direktionen skal støtte kommunens informationssikkerhed ved at udlægge klare retningslinjer, udvise synligt engagement samt sikre en præcis placering af ansvar. Koordination af informationssikkerheden Ansvaret for koordination af informationssikkerheden på tværs i organisationen varetages af Digitaliseringsrådet Informationssikkerhedsorganisation Center for Økonomi & HR, har ansvaret for at sikre at informationssikkerhedspolitikken med tilhørende regler og procedurer er synlig, koordineret og i overensstemmelse med kommunens mål. Tavshedserklæring ved ansættelse Center for Økonomi & HR, sikrer at der foreligger en forretningsgang for afgivelse af tavshedserklæring, som afspejler kommunens krav til behandling af fortrolige data og personoplysninger. Tavshedserklæring Kontakt med relevante myndigheder Center for Erhverv & Udvikling sikrer at der ved brud på sikkerheden, er etableret en procedure for håndtering af bevismateriale og eventuelt kontakt med relevante myndigheder. Utilsigtet offentliggørelse 2.2 Eksterne samarbejdspartnere Information til eksterne partnere Systemejer sikrer at relevante interessenter skal informeres om krav til efterlevelse af informationssikkerhedspolitikken i kommunen. Fortrolighedserklæring for tredjepart Systemejer skal sikre, at tredjepart, der kan få adgang til kommunens data, er omfattet af en fortrolighedserklæring. Aftaler om informationsudveksling Center for IT & Digitalisering sikrer at der ved udveksling af information og software imellem kommunen og evt. tredje part foreligger en aftale herom. Sikkerhed i forhold til kunder Center for IT & Digitalisering sikrer at borgers adgang til kommunens informationsbehandlingssystemer, er begrænset til relevante data og at alle sikkerhedsforhold er afklaret. 2.3 Outsourcing Side 3 af 30

6 Outsourcing Center for IT & Digitaliseering sikrer, at der ved outsourcing af ITsystemer og inden indgåelse af kontrakt, indhentes information om outsourcingpartnerens sikkerhedsniveau, herunder dennes informationssikkerhedspolitik. Brug af outsorcing må ikke forhøje risikoniveauet for kommunen. 3 Styring af informationsrelaterede aktiver Ved informationsrelaterede aktiver forstås - de aktiver, der har tilknytning til og er nødvendige for kommunens informationsbehandling. Informationsrelaterede aktiver skal beskyttes, uanset om det er fysiske aktiver som dokumenter der er udskrevet, produktionsudstyr eller IT-systemer. Det er derfor nødvendigt at identificere, klassificere og placere ejerskab for alle aktiver. 3.1 Identifikation af og ansvar for informationsrelaterede aktiver Fortegnelse over informationsaktiver Registrering af IT-udstyr Det er Center for IT & Digitaliserings ansvar, at alt IT-udstyr er registreret med ejer, bruger, serienummer og placering. Registrering af IT-udstyr 3.2 Ejere af systemer og data Ejerskab Center for IT & Digitalisering, sikrer at alle informationsrelaterede aktiver har udpeget en ejer. Der skal til hvert system defineres en systemeejer, der har det overordnede ansvar for sikkerheden i systemet. Systemejer vil også være dataejer i egen organisatorisk enhed. Systemejeren bør være en chef/leder på niveau 2 eller 3. Ansvar for sikkerheden på IT-platforme Lederen af Center for IT & Digitalisering er ansvarlig for sikkerheden på de anvendte servere. Ændringer skal fastlægges og implementeres i samråd med system- og dataejere. Ændring på og af systemer Ejere af data på mobile enheder Brugere af kommunens bærbare PC'ere og andre mobile enheder er ansvarlige for at beskytte de data, der behandles på disse, samt enhederne selv. Ansvar for adgangsrettigheder System- og dataejer har ansvaret for at fastlægge og løbende revurdere adgangsrettigheder. Side 4 af 30

7 Administration af internet-domænenavne Ansvaret for registrering af domænenavne ligger hos Center for Erhverv & Udvikling. Tilknytning af domænenavne til IP-adresser og registrering af sammehæng mellem IP-adresse og Domænenavn på DNS-servere, foretages af Center for IT & Digitalisering. 3.3 Adfærdsregler Adfærdsregler for brug af internet Anvendelse af internettet I Faxe Kommune anvendes internetadgangen i arbejdsmæssig sammenhæng. Det er dog også tilladt at anvende denne adgang privat i begrænset omfang og til lovlige og legale formål og således at det ikke indebærer en overtrædelse af gældende lovgivning eller belaster nettet uforholdsmæssigt meget. Almindelig god etik og moral skal efterleves. Dette gælder alle arbejdspladser med adgang til kommunens administrative net og skolernes net herunder hjemmearbejdspladser. Center for IT & Digitalisering har indbygget en spærring i adgangen til internetsider, der er identificeret som højrisikoområder ( indeholdende virus o.l.). Afvikling af programmer i forbindelse med Internetsurfing Det er tilladt at afvikle browserbaserede programmer, f.eks. netbankprogrammer, forudsat at sikkerhedspolitikken i øvrigt overholdes. Brug af messenger-programmer Center for IT & Digitalisering kan give tilladelse til visse messengerprogrammer. Disse vil være tilgængelige i Capa Installers softwarekatalog, der findes på alle PC'ere. Installering af software på standard-pc Download af programmer fra internettet Det er ikke tilladt at hente programmer fra internettet, medmindre det er relateret til løsning af arbejdsopgaver og godkendt af Center for IT & Digitalisering. Installering af software på standard-pc Adfærdsregler for brug af Ejerskab Kommunen betragter alle s som kommunens ejendom. Side 5 af 30

8 Medarbejderes private brug af kommunens e- mailsystem I Faxe Kommune anvendes kommunens system i arbejdsmæssig sammenhæng. Det er dog også tilladt at anvende dette privat i begrænset omfang og til lovlige og legale formål og således at det ikke indebærer en overtrædelse af gældende lovgivning eller belaster nettet uforholdsmæssigt meget. Almindelig god etik og moral skal efterleves. Dette gælder alle arbejdspladser med adgang til kommunens administrative net herunder hjemmearbejdspladser. Medarbejdere skal markere private s med teksten 'privat' i emnefeltet, eller alternativt gemme private mails i en folder hvor teksten 'privat' indgår i folderens navn. Faxe Kommune har ret til at skaffe sig adgang til alle data herunder s, hvis dette sker af drifts- eller sikkerhedshensyn. Faxe Kommune vil så vidt muligt forsøge at undgå at åbne eventuel privat korrespondance. Kommunen tillader ikke, at medarbejdere anvender kryptering og Faxe Kommunes digitale signatur til at sende privat . Faxe Kommune har ret til at skaffe sig adgang til alle data herunder e- mails, hvis dette sker af drifts- eller sikkerhedshensyn. Faxe Kommune vil så vidt muligt forsøge at undgå at åbne eventuel privat korrespondance. Kommunen tillader ikke, at medarbejdere anvender kryptering og Faxe Kommunes digitale signatur til at sende privat . Mails indeholdende personoplysninger og fortrolige data. , indeholdende personoplysninger og/eller fortrolige data, der sendes "ud af huset" skal sendes "sikkert", dvs krypteres og forsynes med digital signatur. Ved "ud af huset" forstås til andre modtagere Elektronisk udveksling af post og dokumenter - bevisværdi. s som af bevismæssige årsager kræver underskrift skal afsendes/modtages med digital signatur. Sikker Opbevaring og sletning af , der indeholder personhenførbare oplysninger, skal behandles i overensstemmelse med persondatalovens bestemmelser omkring sletning og arkivering. der indeholder personhenførbare oplysninger, skal gemmes i Faxe Kommunes ESDH-system. Phishing og bedrageri Medarbejderne skal være opmærksomme på "phishing" og "social engineering", der f.eks. kan betyde, at de tilsyneladende modtager oprigtige s, der forsøger at franarre personlige eller fortrolige oplysninger eller forsøger at få medarbejderne til at foretage uønskede handlinger. Vær især opmærksom på mails som indeholder links til hjemmesider, hvor du f.eks. skal afgive bruger-id og password. Side 6 af 30

9 3.3.3 Adfærdsregler for trådløse netværk Installation af trådløst netværksudstyr Medarbejdere må ikke installere eller tage udstyr i brug, der giver trådløs netadgang. Evt. etablering af trådløse adgang, kan alene ske via Center for IT & Digitalisering. 3.4 Klassifikation af informationer og data Klassifikation Klassifikation af systemer Center for Økonomi & HR har ansvaret for, at der foreligger en klassifikation af informationer som ramme for at identificere særligt følsomme oplysninger. Center for Økonomi & HR kan sammen med Center for IT & Digitalisering fastlægge særlige retningslinjer for beskyttelse af sådanne informationer ud over retningslinjerne i denne politik, hvis behovet tilsiger det. 4 Medarbejdersikkerhed Informationssikkerheden i Faxe Kommune afhænger i høj grad af medarbejderne. Det er nødvendigt at sikre Faxe Kommune gennem ansættelse af de rigtige medarbejdere. Medarbejdere skal introduceres til informationssikkerhed i relation til deres jobfunktion, og modtage nødvendige informationer. Endvidere er det nødvendigt med regler der beskriver sikkerhedsforhold når et ansættelsesforhold slutter. 4.1 Sikkerhedsprocedure før ansættelse Tavshedserklæring ved ansættelse Center for Økonomi & HR, sikrer at der foreligger en forretningsgang for afgivelse af tavshedserklæring, som afspejler kommunens krav til behandling af fortrolige data og personoplysninger. Tavshedserklæring Baggrundscheck af ansatte Chefen for Center for IT & Digitalisering skal tilse, at der foretages et forsvarligt baggrundscheck af it-medarbejdere. 4.2 Ansættelsesforholdet Instruktion af medarbejdere Lederen har ansvar for, at alle nye medarbejdere på første arbejdsdag får adgang til kommunens informationssikkerhedspolitik. Uddannelse i informationssikkerhedspolitikken Center for Økonomi & HR og Center for IT & Digitalisering sikrer, at alle medarbejdere tilbydes de nødvendige informationer og har mulighed for løbende at få opdateret viden om informationssikkerheden. Det sker bl.a. via Intranettet og SecureAwares Informations sikkerhedsportal. Side 7 af 30

10 4.3 Ansættelsens ophør Returnering af aktiver ved fratrædelse Lederen skal sikre, at medarbejderen afleverer alle de af kommunen udleverede aktiver til lederen ved samarbejdets ophør. Center for IT & Digitalisering registrerer, i "personalemappen" i Faxe Kommunes lønsystem, de udleverede aktiver til den enkelte medarbejder, samt aflevering heraf. Inddragelse af adgange ved fratrædelse I forbindelse med en medarbejders fratrædelse skal, nærmeste leder sikre at vedkommendes adgang til data inddrages. I forbindelse med tjenestefritagelse skal den ansvarlige leder foretage en konkret vurdering af om adgangen til data skal inddrages. I tilfælde, hvor det skønnes nødvendigt, skal indragelsen ske øjeblikkeligt. I forbindelse med en medarbejders fratrædelse slettes i dennes inbox og data på netværksdrev, efter 3 måneder, med mindre andet aftales med pågældende medarbejders nærmeste leder/chef. 5 Fysisk sikkerhed Fysisk sikkerhed og adgangsregler for gæster er naturlige elementer i kommunens informationssikkerhedspolitik. Fysisk sikkerhed omfatter blandt andet døre, vinduer, alarmer - samt tyverisikring af kommunens fysiske aktiver, eksempelvis it-udstyr. Systemer til adgangskontrol er ligeledes et element af fysisk sikkerhed, der sikrer at kun personer med legalt ærinde får adgang til kommunens område. 5.1 Sikre områder Adgang til serverrum og hovedkrydsfelter Chefen for Center for IT & Digitalisering er ansvarlig for godkendelse af personale med adgang til serverrum. Aflåsning af hovedkrydsfelter og lignende teknikrum Alle krydsfelter og andre teknikrum skal være aflåste. Indbrudsalarmer Center for Ejendomme sikrer at der anvendes tilstrækkelige alarmsystemer i lokaler, der kan indeholde fortrolige data og personoplysninger. Alarmer i lokaler med fortrolige oplysninger Oplysninger om sikre områder Oplysninger om rum med servere og/eller krydsfelter og deres funktion skal alene gives ud fra et arbejdsbetinget behov. Miljømæssig sikring af serverrum Chefen for Center for IT & Digitalisering tilser at Serverrum, krydsfelter og tilsvarende områder, på forsvarlig vis sikres mod miljømæssige hændelser som brand, vand, eksplosion og tilsvarende påvirkninger. Side 8 af 30

11 Aflåsning af lokaler og bygninger Medarbejderen skal sikre sig at alle vinduer og døre er låst forsvarligt, når lokationen forlades. Ansvar for den fysiske adgangskontrol De enkelte ledere i de organisatoriske enheder har ansvaret for administration af den fysiske adgangskontrol i egne bygninger, f.eks. nøgleadministration til kontorer og it-områder. Center for Ejendomme, har ansvaret for den fysiske adgangskontrol i de centrale administrationsbygninger. Center for Ejendomme skal via procedurer sikre kontrollen med ud- og aflevering af nøgler, alarmbrikker og lign. adgangskontrolsystemer. Nøgler og nøglebrikker 5.2 Beskyttelse af udstyr Placering af udstyr Medarbejderen skal sikre sig at udstyr placeres eller beskyttes, så risikoen for skader og uautoriseret adgang minimeres. Medarbejderen skal sikre sig at udstyr, der benyttes til at behandle fortrolige og personhenførbare informationer, placeres så informationerne ikke kan ses af uvedkommende. Sikkerhed omkring fysiske print Den enkelte medarbejder har ansvaret for at sikre, at der ikke efterlades fortrolige eller personfølsomme oplysninger på offentligt tilgængelige steder, herunder i printerrum mv. Dette præciseres i bl.a. printerstrategien. Udskrivning af følsomme dokumenter Adgang til mobile enheder Brugere af mobile enheder, skal sikre at disse er beskyttet med adgangskode. Center for IT & Digitalisering sikrer, at BIOS-konfiguration på mobile enheder, der er udleveret af centeret, er beskyttet med adgangskode. Mobile enheder skal anvende kryptering. Forsikringsdækning for mobile enheder Center for Økonomi & HR skal sikre, at der er etableret passende forsikringsdækning i forbindelse med opbevaring og anvendelse af ITudstyr uden for arbejdspladsen. Center for IT & Digitalisering og de organisatoriske enheder skal oplyse forsikringsenheden om ændringer i bestanden af IT-udstyr.Center for IT & Digitalisering er ansvarlig for at registrere følgende enheder: Ipads/tablets, mobiltelefoner, bærbare/stationære computere samt skærme. De er også ansvarlige for at afmelde ikke anvendt udstyr. Opsyn med mobile enheder Medarbejderen skal sikre sig at mobile enheder opbevares forsvarligt under tilstrækkeligt opsyn. Side 9 af 30

12 Fysisk sikring af netværk Center for IT & Digitalisering sikrer at krydsfelter og kabeltermineringer er sikret mod uautoriseret adgang. Center for IT & Digitalisering skal regelmæssigt kontrollere, om uautoriseret udstyr er blevet tilkoblet. Forsyningssikkerhed Chefen for Center for IT & Digitalisering har ansvaret for, at alle forsyninger som elektricitet, ventilation og køling har den fornødne kapacitet i rum med servere og krydsfelter, og løbende inspiceres for at forebygge uheld, der kan have indflydelse på informationsaktiverne. Chefen for Center for IT & Digitalisering har ansvaret for, at alle Data-og telekommunikationsforbindelser etableres via minimum to adgangsveje for forretningskritiske systemer. Tyverimærkning af it-udstyr Center for Økonomi & HR sikrer at der forefindes mærkningsudstyr til tyverisikring. Center for IT & Digitalisering sikrer at udstyr er tydeligt mærket, for at minimere risikoen for tyveri. Vedligeholdelse af udstyr og anlæg Center for IT & Digitalisering er ansvarlig for, at kun godkendte serviceleverandører udføre reparationer og vedligeholdelse. Center for IT & Digitalisering er ansvarlig for, at fortrolige data og personoplysninger slettes fra udstyr, der repareres eller vedligeholdes uden for kommunen. Det samme gælder ved salg af udstyr. Center for IT & Digitalisering er ansvarlig for, at der føres log over alle fejl og mangler samt reparationer og forbyggende vedligeholdelse. Center for IT & Digitalisering er ansvarlig for, at brugerkonti, der giver fjernadgang til vedligeholdelse, slettes eller deaktiveres, så snart de ikke længere er nødvendige. Brandsikring Chefen for Center for IT & Digitalisering er ansvarlig for, at serverrum sikres med veldimensioneret brandslukningsudstyr. Chefen for Center for IT & Digitalisering er ansvarlig for, at serverrum ikke benyttes som lager for brændbare materialer. Nødstrømsanlæg Chefen for Center for IT & Digitalisering er ansvarlig for, at alle serversystemer beskyttes med nødstrømsanlæg til at sikre hurtig og korrekt systemnedlukning i tilfælde af strømudfald. 6 Styring af netværk og drift Vedligeholdelse og opdatering af it-systemer er nødvendigt for at opretholde et passende sikkerhedsniveau for Faxe Kommune. Drift af it-systemer inkluderer elementer af overvågning af systemernes helbredstilstand, opdatering og sikkerhedskopiering af data. De fleste it-systemer i dag er afhængige af netværk, og derfor er administration, opbygning, sikring og vedligehold af netværk vitalt for Faxe Kommune. Den trussel som uautoriseret adgang indebærer, gør det nødvendigt med klare regler for brugen af Faxe Kommunes netværk, samt overvågning af infrastrukturen. Side 10 af 30

13 6.1 Operationelle procedurer og ansvarsområder Driftsafvikling Driftsafviklingsprocedurer Driftsafviklingsprocedurer for forretningskritiske systemer skal være dokumenterede, ajourførte og tilgængelige for driftsmedarbejderne i Center for IT & Digitalisering og andre med et arbejdsbetinget behov. Driftsafviklingsprocedurerne skal være i overensstemmelse med gældende regulering og lovgivning. Det påhviler systemejere, at sikre sig, at Center for IT & Digitalisering er i besiddelse af nødvendig dokumentation, til at sikre stabil systemdrift. Driftsansvar Center for IT & Digitalisering er ansvarlig for drift og administration af fælles it-systemer, samt fagspecifikke systemer, når dette er aftalt med systemejeren. Center for IT & Digitalisering er ansvarlig for disses sikkerhed, hvilket inkluderer efterlevelse af informationssikkerhedspolitikken inkl. regler og procedurer. Dokumentation Center for IT & Digitalisering, skal i samarbejde med systemejerne løbende vurdere dokumentationsbehov for alle væsentlige systemer og it-relaterede forretningsgange. Indkaldelse af medarbejdere i vagtordning og ekstra personale Chefen for Center for IT & Digitalisering, skal sikre, at der i tilfælde af behov for ekstraordinær drift, ved driftsforstyrrelser, sikkerhedshændelser og lignende, forefindes retningslinjer for tilkald af ekstra personale. Deaktivering af beskyttelsesmekanismer Det er under ingen omstændigheder tilladt at deaktivere eller omgå kommunens beskyttelsesmekanismer, herunder anti-virus produkter Styring af ændringer Retningslinier for ændringer Ændringer skal kun gennemføres, når de er forretningsmæssigt velbegrundede. Systemejeren har ansvaret for, at der foregår en entydig identifikation og registrering af væsentlige ændringer. Center for IT & Digitalisering er i forbindelse med generelle og grundlæggende systemer systemejer. Information omkring udførte ændringer skal formidles til interessenter. Center for IT & Digitalisering og systemejeren har ansvaret for, at der findes en nødprocedure til at mindske effekten af fejlslagne ændringer. Ændring på og af systemer Installation af programmer på arbejdsstationer Medarbejdere må installere programmer på kommunens arbejdsstationer forudsat at Center for IT & Digitalisering har godkendt programmet og leverandøren. Operativsystemer må kun installeres og ændres af Center for IT & Digitalisering. Side 11 af 30

14 Planlægning, test og godkendelse af ændringer Ændringer skal planlægges og afprøves inden de sættes i drift. Ændringernes konsekvenser skal vurderes inden drift. Krav til indstillinger af internet-browser Internetbrowseren skal opsættes ifølge informationssikkerhedspolitikken. Medarbejderne må ikke ændre denne opsætning. Ændringer i forretningskritiske systemer Center for IT & Digitalisering sikrer at alle ændringer i forretningsskritiske systemer udføres efter godkendt procedure. Alle procedurer skal indeholde en alternativ plan til retablering af det forretningsskritiske system. Vilkårene for aktivering af den alternative plan skal ligeledes fremgå af proceduren. Ændring på og af systemer Sikring af serversystemer Center for IT & Digitalisering sikrer at alle sikkerhedsparametre i samtlige serversystemer, konfigureres optimalt for at forhindre misbrug. Forbudte og tilladte programmer Center for IT & Digitalisering skal vedligeholde en liste over tilladte programmer. Listen fremgår af Capa Installer's Softwarekatalog. Softwareopdateringer generelt Center for IT & Digitalisering skal forestå installation af alle større programrettelser i basisprogrammel og i generelle programmer, når det vurderes, at disse har positiv indflydelse på den samlede sikkerhed. Programrettelser til fagspecifikke systemer initieres af systemejer og godkendes af Center for IT & Digitalisering Funktionsadskillelse Adgang til produktionsdata Chefen for Center for IT & Digitalisering sikrer at systemadministratorers adgang til fortrolige data og personoplysninger begrænses og registreres. Chefen for Center for IT & Digitalisering sikrer at systemadministratorers adgang til fortrolige oplysninger begrænses. Sikring af forretningskritiske systemer Autorisation af en medarbejder til systemer kan kun ske ved en dokumenteret anmodning af dennes leder og følger gældende brugeroprettelsesprocedure. Brugeradministration Brugeradministration for systemadministratorer Adskillelse mellem udvikling, test og drift Adskillelse af udvikling, test og drift Chefen for Center for IT & Digitalisering sikrer at der er en funktionsadskillelse mellem udviklings-, test- og driftsmiljøet. Side 12 af 30

15 6.2 Ekstern serviceleverandør Overvågning af serviceleverandøren Center for IT & Digitalisering skal regelmæssigt overvåge serviceleverandørerne, gennemgå de aftalte rapporter og logninger samt udføre egentlige revisioner for at sikre, at aftalen overholdes, og at sikkerhedshændelser og -problemer håndteres på betryggende vis. Driftovervågning Netværksleverandøren skal kunne levere: De nødvendige teknologiske muligheder for autentifikation, kryptering og overvågning. De nødvendige tekniske opsætninger til at sikre opkoblinger i overensstemmelse med samarbejdsaftalen. Adgangskontrol, der sikrer mod uvedkommendes adgang. 6.3 Styring af driftsmiljøet Sikkerhed i systemplanlægning Informationssikkerhedspolitikken skal tages i betragtning ved design, aftestning, implementering og opgradering af nye it-systemer samt ved systemændringer. Kapacitetsplanlægning Driftsafdelingen i Center for IT & Digitalisering skal have procedurer, der minimerer risikoen for driftsstop som følge af manglende kapacitet. It-systemernes dimensionering skal afpasses efter kapacitetskrav. Belastning skal overvåges således at opgradering og tilpasning kan finde sted løbende. Dette gælder især for forretningskritiske systemer. Integration af informationssystemer Hvis integration af informationssystemer resulterer i en forøget risiko, skal denne vurderes og godkendes af chefen for Center for IT & Digitalisering inden ibrugtagning. 6.4 Skadevoldende programmer og mobil kode Antivirus-produkter på arbejdsstationer Center for IT & Digitalisering sikrer at der anvendes minimum to antivirusprodukter fra forskellige leverandører. Ét på mail-indgangene til kommunen og et andet på samtlige computere i kommunen. Opdatering skal ske minimum ugentligt. Kontrol af antivirus på arbejdsstationer Medarbejdere kan antage, at antivirus fungerer. Det er alene Center for IT & Digitaliserings ansvar at kontrollere korrekt funktion. Spyware Center for IT & Digitalisering skal sikre, at der regelmæssigt scannes for spyware på alle arbejdsstationer. Adware Center for IT & Digitalisering skal sikre, at der regelmæssigt scannes for adware på alle arbejdsstationer. Side 13 af 30

16 Antivirus-produkter på servere Der skal være installeret antivirus-beskyttelse på alle serversystemer, hvor dette er muligt. Styring af antivirus Center for IT & Digitalisering skal kunne styre antivirus på alle systemer centralt. Med styring menes overvågning af, om alle antivirusprogrammer er aktivt kørende, tvungen opdatering, scanning, oprydning og generering af opfølgningslog. 6.5 Sikkerhedskopiering Sikkerhedskopiering af data på serversystemer Center for IT & Digitalisering er ansvarlig for opbevaring og sikkerhedskopiering af data på alle serversystemer. Sikkerhedskopiering af data på andre systemer Såfremt forretningskritiske data ikke opbevares på Faxe Kommunes serversystemer, er systemejer ansvarlig for etablering af relevant sikkerhedskopiering. Opbevaring af sikkerhedskopier på ekstern lokation Data til reetablering af forretningskritiske systemer skal opbevares i separate brandzoner. 6.6 Netværkssikkerhed Kablede netværk og netværk i almindelighed Sikring af netværk Center for IT & Digitalisering har det overordnede ansvar for at beskytte kommunens netværk. Adgang til aktive netværksstik Adgang til aktive netværksstik skal styres af Center for IT & Digitalisering. Installation af netværksudstyr Det er kun Center for IT & Digitalisering, der må installere netværksudstyr. Tilslutning af udstyr til netværk Medarbejdere må koble godkendt udstyr på det interne netværk uden yderligere aftale. Fjernstyring og administration Værktøjer til fjernadministration tillades for Center for IT & Digitalisering. Fjernadgang til brug for leverandører og support etableres og godkendes af Center for IT & Digitalisering. Værktøjer til fjernadministration tillades, hvis adgangen er krypteret ved hjælp af teknologier såsom SSH, VPN, eller SSL/TLS. Opdeling af netværk Center for IT & Digitalisering skal segmentere netværk for at etablere en passende adskillelse imellem forskellige tjenester, brugergrupper eller systemer. Mindste krav til netværkssegmentering er at Center for IT & Digitalisering etablerer en "demilitariseret zone" (DMZ) hvor offentligt tilgængelige servere placeres adskilt fra internt tilgængelige servere. Side 14 af 30

17 Kryptering af administrative netværksforbindelser Forbindelser, der benyttes til it-administration, skal krypteres, hvis de benytter offentlige eller usikre netværk, f.eks. internettet. Firewall-funktioner på servere Alle servere skal være beskyttet af firewall til at sikre, at der kun gives adgang til nødvendige services. Personlige firewalls Der skal benyttes firewalls på alle pc-arbejdspladser, som har adgang til Faxe Kommunes netværk Trådløse netværk Brug af trådløse lokalnetværk Det er tilladt at koble sig op på trådløse netværk, på hoteller mv. men ikke selv at installere udstyr som skaber et trådløst netværk. Adgang til trådløse netværk Medarbejdere skal autentificeres ved hjælp af et certifikat, før der gives adgang til kommunens trådløse netværk,f.eks. ved hjælp af IEEE 802.1x. Trådløse netværk for gæster Kommunen kan tilbyde trådløs netværkstjeneste som gæsteadgang. Adgang til trådløse netværk for gæster Gæster, hvis identitet er kendt, må få udleveret adgangskode til gæstenettet. Gæster, hvis identitet er kendt, må tilslutte eget udstyr til gæstenettet, forudsat at udstyret ikke generer andre systemer. Center for IT & Digitalisering skal skifte gæstenettets adgangskode hvert kvartal. Gæsters brug af kommunens trådløse netværk Netværket kan og må kun anvendes til internetadgang, og ikke til direkte adgang til interne systemer. Gæster får adgang til gæstenettet ved hjælp af en delt adgangskode Forbindelser med andre netværk Ansvar for internetforbindelser Det overordnede ansvar for internetforbindelserne ligger hos Center for IT & Digitalisering Adgang fra distancearbejdsplads Adgang gives kun for medarbejdere, der er autentificerede med brugernavn og adgangskode. 6.7 Databærende medier Side 15 af 30

18 Afskaffelse og genbrug af medier Center for IT & Digitalisering er ansvarlig for, at datamedier, som f.eks. harddiske, disketter, cd'er, dvd'er, bånd og hukommelsesenheder der indleveres til Servicedesk, sikkerhedsslettes eller destrueres inden bortskaffelse. Hvis enheder ikke indleveres til Servicedesk, påhviler det medarbejderen, at sikre sig, at enhederne er sikkerhedsslettet inden bortskaffelse. Sletning skal foregå i overensstemmelse med proceduren for sikkerhedssletning. Hvis en ekstern leverandør benyttes til destruktion af virksomhedens datamedier, skal det sikres at leverandøren efterlever de aftalte sikkerhedskrav. Databærende medier Beskyttelse af følsomme og fortrolige data på datamedier Center for IT & Digitalisering skal etablere procedurer, der sikrer datamediers indhold mod uautoriseret adgang og misbrug af mediernes indhold. Krypteret USB-stick Krypteret mappe på pc'ens skrivebord Opbevaring og registrering af datamedier Systemejer skal sikre, at brugere er instrueret i at opbevare mediet i henhold til gældende procedurer. Databærende medier Beskyttelse af systemdokumentation Systemejer skal opbevare systemdokumentation i Faxe Kommunes ESDH-system. Afskaffelse eller genbrug af udstyr Når udstyr bortskaffes eller genbruges skal fortrolige data, personoplysninger og licensbelagte systemer overskrives. 6.8 Informationsudveksling Aftaler om informationsudveksling Center for IT & Digitalisering sikrer at der ved udveksling af information og software imellem kommunen og evt. tredje part foreligger en aftale herom. Spam-mail beskyttelse Center for IT & Digitalisering sørger for at s der opfylder Faxe Kommunes kriterier for spam-mails bortfiltreres. Medarbejderne skal udvise forsigtighed med deres brugeridentitet i forbindelse med videregivelse af eksempelvis mailadresser, samt i forbindelse med modtagelsen af uønskede s. Side 16 af 30

19 Brug af kryptering i forbindelse med dataudveksling Adgangskoder skal sendes krypteret. Det kræves, at og data, der indeholder fortrolige informationer og personoplysninger, altid er krypteret under transmission. Det kræves, at der benyttes kryptering, når personhenførbare oplysninger transmitteres. Brug af kryptering i forbindelse med opbevaring af data Fortrolige data og personoplysninger skal altid være krypterede, når de opbevares på transportabelt udstyr, f.eks. på bærbare og håndholdte computere. 6.9 Logning og overvågning Kapacitetsovervågning Center for IT & Digitalisering sikrer sig at alle serversystemer overvåges i almindelig arbejdstid for tilstrækkelig kapacitet, for at sikre pålidelig drift og tilgængelighed. Større afvigelser fra normalkapacitet skal registreres og håndteres som en hændelse. Driftovervågning Registrering af driftsstatus Center for IT & Digitalisering skal registrere væsentlige forstyrrelser og uregelmæssigheder i driften af Kommunens systemer samt årsager hertil. Medarbejdere, der påvirkes af disse skal informeres om det og om hvornår man forventer, at driften er stabil igen. Overvågning af netværk Center for IT & Digitalisering skal have den nødvendige viden og redskaber til overvågning af Faxe Kommunes netværk, for eksempel til fejlretning samt detektering og sporing af sikkerhedshændelser. Center for IT & Digitalisering er ansvarlig for at overvåge brugen og sikkerheden af virksomhedens netværksinfrastruktur. Center for IT & Digitalisering er ligeledes ansvarlig for identificering, diagnosticering, løsning og rapportering af hændelser, samt for samarbejde med andre interessenter. Overvågning af internet-brug Center for IT & Digitalisering har mulighed for at logge den enkelte medarbejders anvendelse af internettet. Center for IT & Digitalisering har mulighed for at filtrere og begrænse internetadgang. Overvågning af tilgængelighed Center for IT & Digitalisering skal løbende overvåge alle forretningskritiske it-systemer og regelmæssigt dokumentere systemernes tilgængelighed. Driftovervågning Side 17 af 30

20 Opfølgningslogning Center for IT & Digitalisering skal logge sikkerhedshændelser på Faxe Kommuns væsentlige systemer. Center for IT & Digitalisering skal logge fejlhændelser på Faxe Kommunes væsentlige systemer. Administratorlog Aktiviteter udført af systemadministratorer- og operatører samt andre med særlige rettigheder skal logges, dette gælder også i forbindelse med systemkomponenter. Fejllog Fejl skal logges og analyseres, og nødvendige udbedringer og modforholdsregler skal gennemføres. Beskyttelse af log-oplysninger Kun personer, hvis arbejde kræver dette, må tillades adgang til logs. Sikkerhedslogning Alle produktionssystemer skal logge information om adgang, forsøg på adgang og alle anvendelser af personoplysninger, for at kunne spore uautoriseret aktivitet, herunder uberettiget anvendelse af personoplysninger. Loggen indeholder information om tidspunkt, bruger, type af anvendelse og angivelse af den person, de anvendte oplysninger vedrørte, eller det anvendte søgekriterium. Loggen opbevares som udgangspunkt i 6 måneder, hvorpå den slettes, medmindre særlige forhold taler for at opbevare loggen i op til 5 år. Logfiler skal regelmæssigt gennemgås af relevante ledere. 7 Adgangsstyring Adgangen til at udføre handlinger på Faxe Kommunes it-systemer beskyttes af autorisationssystemer. Systemerne har til formål at sikre mod uautoriserede ændringer, ordrer, fejl og svindel. Faxe Kommunes medarbejdere er medvirkende til beskyttelse af informationsaktiverne gennem korrekt brug af autorisationssystemerne. 7.1 De forvaltningsmæssige krav til adgangsstyring Sikker log-on Center for IT & Digitalisering sikrer, at systemadgang beskyttes af en sikker log-on-procedure. Retningslinjer for adgangsstyring Center for IT & Digitalisering sikrer, at der foretages registrering af alle afviste adgangsforsøg. Hvis der inden for en fastsat periode er registreret tre på hinanden følgende afviste adgangsforsøg fra samme arbejdsstation eller med samme brugeridentifikation, skal der blokeres for yderligere forsøg i 30 min. Ved adgangs blokering kontakter Center for IT & Digitalisering brugeren med henblik på at identificere om hvorvidt der alene er tale om en fejl fra brugerens side eller om der reelt er tale om forsøg på uautoriseret adgang til pågældende system. Side 18 af 30

21 Registrering af brugere Medarbejderne skal have unikt brugernavn og bruger-id. Der tillades ikke fælleslogin.systemejer skal autorisere brugeradgang.serviceleverandører skal anvende tilsvarende eller samme autorisationsprocedure som kommunens.systemejer har ansvaret for, at der vedligeholdes en brugerfortegnelse for systemet.center for Økonomi & HR tilser, at der findes procedure for at brugere eller brugeres rettigheder fjernes eller ændres ved ophør eller ændring af brugeres jobfunktion. Autorisation Brugerprofiler for konsulenter og deltidsansatte Deltidsansatte, vikarer, timelønnede eller eksterne konsulenter, herunder ifm. revisions-, drifts- og systemkritiske opgaver, må oprettes som brugere. Autorisation af brugeradgang følger proceduren for autorisation. Ophører ansættelses- og aftaleforholdet inddrages autorisationer og systemadgange lukkes øjeblikkeligt ligesom brugerprofilen nedlægges. Identifikation af brugerprofiler for eksterne brugere Bruger-ID skal udarbejdes efter en standard-navnekonvention. Dette gælder også for gæster, konsulenter og lignende således, at disse let kan identificeres. Standard kodeord og standard bruger-id'er må ikke anvendes på kommunens systemer. Disse skal ændres eller slettes. Medarbejderes omplacering Ved omplacering af medarbejdere skal alle rettigheder for pågældende bruger revurderes. Fratrædelse Når ansættelse eller midlertidige kontrakter ophæves, skal alle tilknyttede rettigheder trækkes tilbage. ID-kort og lignende skal afleveres, og ITudstyr skal inddrages inden sidste løn udbetales. Indenfor 2 uger efter fratrædelse skal systemejer meddele Center for IT & Digitalisering om kontoen kan lukkes. Autorisation Gennemgang af brugerprofiler Alle brugerprofiler og tilknyttede autorisationer skal gennemgås af systemejeren mindst en gang halvårligt for at identificere inaktive profiler eller tilsvarende, der skal fjernes eller ændres. Autorisation 7.2 Administration af brugeradgang Side 19 af 30

22 Retningslinjer for adgangskoder Ved brugeroprettelse eller nulstilling af adgangskode skal brugere tildeles en sikker, midlertidig adgangskode, som skal ændres umiddelbart efter første anvendelse. Center for IT & Digitalisering skal etablere og vedligeholde en procedure for, hvordan en brugers identitet fastlægges, før en ny midlertidig adgangskode må udleveres. Midlertidige adgangskoder skal være unikke, må ikke genbruges og skal opfylde de almindelige krav til adgangskoder. En bruger må som minimum ikke kunne vælge en adgangskode, der er identisk med én af de 24 senest benyttede adgangskoder. Krav til skift af adgangskode Adgangskoder skal skiftes efter højst 90 dage. Krav til indhold af adgangskode Adgangskoder skal indeholde kombinationer fra mindst tre af følgende kategorier: store bogstaver, små bogstaver, tal og specialtegn. Der må ikke benyttes brugernavn, navn eller datoer som en del af adgangskoden. Krav til længde af adgangskode Adgangskoder skal indeholde mindst 8 tegn. 7.3 Brugerens ansvar Adgangskoder er strengt personlige Adgangskoder er strengt personlige og må ikke deles med andre. Overdragelse af adgangskode Som udgangspunkt er det ikke tilladt at overdrage kodeord. Servicedesk må dog i forbindelse med nulstilling af kodeord overdrage det midlertidige kodeord telefonisk (som ændres ved første log-in). Brug af autologin funktioner Automatisk login eller systemer, hvor adgangskoder gemmes i genveje eller på funktionstaster, må ikke benyttes. På eksterne websites må browserens indbyggede funktion anvendes, såfremt denne er beskyttet med adgangskode. Valg af sikre adgangskoder Det er medarbejderens ansvar at vælge tilstrækkeligt sikre adgangskoder i adgangskontrolsystemerne. Brug af adgangskodebeskyttet pauseskærm Medarbejdere skal aktivere adgangskodebeskyttet skærmlås, når arbejdsstationen forlades og den er uden for synsvidde. Adgangskodebeskyttet skærmlås skal aktiveres på pc-arbejdspladser efter 10 minutters inaktivitet. Genbrug af adgangskode Det er ikke tilladt at benytte den samme adgangskode på interne og eksterne systemer. Side 20 af 30

23 7.4 Styring af netværksadgang Autentificering ved adgang til netværket Center for IT & Digitalisering sikrer, at fjernadgang til det interne netværk, beskyttes ved hjælp af VPN med individuelle certifikater. 7.5 Styring af systemadgang Begrænset netværkstid Center for IT & Digitalisering sikrer, at brugersystemer med særlig høj risiko, skal kræve fornyet autentifikation med fastlagte intervaller. Udvidede adgangsrettigheder Center for IT & Digitalisering sikrer, at udvidede adgangsrettigheder kun tildeles i begrænset omfang og alene ud fra et arbejdsbetinget behov. Center for IT & Digitalisering sikrer, at udvidede adgangsrettigheder registreres. Center for IT & Digitalisering sikrer, at udvidede adgangsrettigheder ikke sættes i kraft, før den fornødne autorisation er indhentet. Autorisation Skift af administratoradgangskode ved fratrædelse Chefen for Center for IT & Digitalisering sikrer at, hvis en person med kendskab til administrative adgangskoder fratræder, ændres disse adgangskoder med det samme. Ændring af administrative adgangskoder Chefen for Center for IT & Digitalisering sikrer, at administrative adgangskoder følger samme minimumsregler som øvrige adgangskoder. Chefen for Center for IT & Digitalisering sikrer, at administrative adgangskoder ændres hvis udenforstående får kendskab til disse. Administration af arbejdsstationer Medarbejdere må ikke have administratorrettigheder på de arbejdsstationer, de benytter. Dispensation gives kun af chef for Center for IT & Digitalisering. 7.6 Styring af adgang til brugersystemer og informationer Adgangsbegrænsning til informationer Systemejere er ansvarlige for at applikationssystemer har adgangskontrol implementeret, for at hindre uautoriseret adgang til data og funktionalitet jvf. politik defineret af systemejere. Detailopsætning og specificering, afhænger af form og indhold af data. Begrænset adgang til informationer Systemejer sikrer sig at brugere og medarbejdere med supportfunktioner kun får adgang til systemfunktioner og informationer, hvis dette er forretningsmæssigt begrundet. Side 21 af 30

24 7.7 Mobilt udstyr og fjernarbejdspladser Fortrolige data på mobile enheder Den sikkerhedsansvarlige direktør kan tillade, at der må opbevares fortrolige data og personoplyninger på mobile enheder, under forudsætning af, at informationssikkerhedspolitikken forskrifter overholdes. Hjemmearbejdspladser Den sikkerhedsansvarlige direktør kan tillade, at der gives adgang til kommunens interne netværk, fra hjemmearbejds- eller fjernarbejdspladser, når informationssikkerhedspolitikken i øvrigt overholdes. Adgang til data på kommunens netværk Medarbejdere er ansvarlige for, at der ved fjernadgang til data på Faxe Kommunes netværk, kun gemmes data på lokale harddiske eller andre eksterne medier, hvis data er beskyttet efter informationssikkerhedspolitikken. Adgang til applikationer på kommunens netværk Der gives kun adgang til systemer på internt netværk, som er sikkerhedsgodkendt. Opbevaring af fortrolige data og personoplysninger på privat pc m.v. Medarbejdere er ansvarlige for, at der ikke behandles eller opbevares fortrolige data og/eller personoplysninger på andet udstyr end udstyr tilhørende Faxe Kommune. Medarbejdere er ansvarlige for at der på personligt ejet it-udstyr som pc, PDA, bærbare harddiske, memorysticks, MP3-afspillere, minidisks, cdeller dvd-brændere ikke anvendes til kopiering eller opbevaring af fortrolige data. Brug af bærbare medier til fortrolige data Brugerne er ansvarlige for at fortrolige data og personoplysninger krypteres når de opbevares eller transporteres på bærbare medier, f.eks. USB-hukommelse, PDA'er, cd'er, dvd'er eller disketter. Center for IT & Digitalisering stiller krypteringsmekanismer til rådighed. Sikkerhedskontroller for fjernopkoblet udstyr Center for IT & Digitalisering sikrer, at mobile enheder sikres med antivirus, firewall og adgangskontrolsystemer. Center for IT & Digitalisering sikrer, at disse foranstaltninger opdateres løbende. 8 Anskaffelse, udvikling og vedligeholdelse af informationsbehandlingssystemer Indkøb, udvikling og implementering af nye systemer i Faxe Kommune skal foregå kontrolleret for at undgå en unødvendig forøgelse af risiko for informationssikkerheden. Når løsninger implementeres bør informationssikkerhedsovervejelser altid indgå som en integreret del af processen. 8.1 Sikkerhedskrav til informationsbehandlingssystemer Side 22 af 30

25 Anskaffelsesprocedurer Det påhviler rekvirenten at sikre, at nyanskaffelser ikke giver anledning til konflikt med eksisterende krav i informationssikkerhedspolitikken. Nyanskaffelser skal godkendes af Center for IT & Digitalisering inden ibrugtagning. Anskaffelser må ikke give anledning til forøget risiko for sikkerhedshændelser, medmindre chefen for Center for IT & Digitalisering accepterer dette. Anskaffelse og installation af nyt informationsbehandlingsudstyr- og systemer skal godkendes af chefen for Center for IT & Digitalisering. Anskaffelse af IT-udstyr Anskaffelser Center for IT & Digitalisering skal tilse, at kun kendt og sikkert udstyr eller software, med et defineret formål, anskaffes og sættes i drift. Udstyr og programmel må kun indkøbes via Center for IT & Digitalisering eller efter Center for IT & Digitaliserings godkendelse. Installering af software på standard-pc Anskaffelse af IT-udstyr Specifikation af sikkerhedskrav Såfremt en overordnet risikovurdering retfærdiggør aktiviteten, skal sikkerhedskrav dokumenteres i forbindelse med enhver systemanskaffelse eller systemopgradering. Dette gælder både for kundetilpassede systemer og standardsystemer. Center for IT & Digitalisering inddrages i arbejdet, der udføres i fællesskab med systemejer. 8.3 Kryptografi Kryptering af harddiske Indholdet af harddiske på bærbare computere skal krypteres såfremt der er mulighed for at de indeholder personfølsomme data jfr. persondataloven. Godkendelse af krypteringsprodukter Der må kun anvendes krypteringsværktøjer og algoritmer, der er godkendt af Center for IT & Digitalisering, til beskyttelse af hemmelige og klassificerede data. Nøglehåndtering I Center for IT & Digitalisering skal der være etableret et nøglehåndteringssystem, som understøtter kommunens anvendelse af kryptografi. I Center for IT & Digitalisering er der udnævnt en LRA som er ansvarlig for den digitale signatur i kommunen. Side 23 af 30

26 8.4 Styring af driftsmiljøet Sikring af testdata Center for IT & Digitalisering sikrer, at data til test udvælges, kontrolleres og beskyttes omhyggeligt. Chefen for Center for IT & Digitalisering godkender at data fra driftsmiljøet kopieres til et testmiljø. Chefen for Center for IT & Digitalisering sikrer, at kopiering og brug af data fra driftsmiljøet til test, logges for at sikre kontrolsporet. 8.5 Sikkerhed i udviklings- og hjælpeprocesser Center for IT & Digitalisering er ansvarlig for samtlige punkter i afsnit 8.5, med mindre andet er angivet i underpunkt. Ændringer i standardsystemer Ændringer i eksternt leverede systemer skal begrænses til nødvendige, og aftalte ændringer. Ændringsstyring Systemdokumentation skal opdateres ved hver ændring. Driftsdokumentation og arbejdsgange for brugerne skal holdes opdateret, således at de stadig er gældende efter ændringen. Implementeringen af ændringen skal foretages på et aftalt tidspunkt, så den ikke forstyrrer de involverede centres ydelser. Sikring af systemudviklingsmiljøerne Udviklingsmiljøer skal sikres mod trusler som uautoriseret adgang, ændringer og tab. Adgangskontrol for kildetekst Kildetekst til applikationer under udvikling skal beskyttes med adgangskontrolsystemer for at sikre integriteten. Sikkerhed i systemudvikling Softwareudvikling skal baseres på best practice og indbefatte informationssikkerhed gennem hele softwareudviklingens livscyklus. Sikring af udviklingsmiljøer Udviklingsmiljøer skal specielt sikre integritet i udviklingsprocessen, herunder sikring mod tab af data. Gennemgang af systemer efter ændringer Når driftsmiljøerne ændres skal forretningskritiske systemer gennemgås og testes for at sikre, at det ikke har utilsigtede afledte virkninger på Faxe Kommunes daglige drift. 8.6 Sårbarhedsstyring Side 24 af 30

27 Godkendelse af nye eller ændrede systemer Center for IT & Digitalisering skal etablere en godkendelsesprocedure for nye systemer, for nye versioner og for opdateringer af eksisterende systemer samt de afprøvninger, der skal foretages, inden de kan godkendes og sættes i drift. Anskaffelse af IT-udstyr Rettelser til operativsystemer Center for IT & Digitalisering skal vurdere tilgængelige sikkerhedsrettelser, f.eks. patches eller hot-fixes til anvendte operativsystemer. Udrulning/installation skal foretages efter behov. Rettelser til applikations-programpakker Center for IT & Digitalisering skal mindst hver uge vurdere tilgængelige sikkerhedsrettelser f.eks. patches eller hot-fixes. Udrulning/installation skal foretages efter behov. Større operativsystemopdatinger, f.eks. "service packs". Når større opdateringer, f.eks. "service packs", er gjort tilgængelige fra leverandører skal Center for IT & Digitalisering vurdere om disse skal installeres. 9 Risikovurdering og håndtering Center for IT og Digitalisering er ansvarlig for samtlige punkter i afsnit 9, med mindre andet er angivet i underpunkt. Overordnet risikovurdering Der skal være udført en overordnet risikovurdering, der indeholder konsekvensvurdering og sårbarhedsvurdering. Risikovurderingen skal fortages minimum én gang om året. Risikovurderingen skal som minimum omfatte alle forvaltningskritiske ITsystemer. Konsekvensvurdering Konsekvensvurdering skal som minimum foretages én gang om året. Risikoanalyse Der skal udføres detaljeret risikoanalyse for organisationen for de områder, hvor den overordnede risikovurdering begrunder det. 10 Styring af sikkerhedshændelser 10.1 Rapportering af sikkerhedshændelser og svagheder Ansvar og forretningsgange for sikkerhedshændelser Den IT-sikkerhedsansvarlige direktør er ansvarlig for, med hjælp fra Juridisk Hotline i Center for Erhverv & Udvikling, at der foreligger en forretningsgang for håndtering af sikkerhedsbrud via Center for IT & Digitalisering. Side 25 af 30

28 Rapportering af formodede sikkerhedshændelser Ved konstatering af brud eller formodede brud på itsikringsforanstaltninger skal rapportering straks ske til Servicedesk. Øvrige sikkerhedshændelser rapporteres til nærmeste leder og til den informationssikkerhedsansvarlige. Utilsigtet offentliggørelse Rapportering af programfejl Medarbejdere, der observerer programfejl, som de ikke har oplevet før, skal rapportere dette til systemejeren. Servicedesk orienteres ligeledes om programfejl. Rapportering af virusangreb Hvis der observeres virus eller mistanke om virus, skal det omgående rapporteres til Servicedesk Håndtering af sikkerhedsbrud og forbedringer Proces for reaktion på hændelser Chefen for Center for IT & Digitalisering har ansvar for at definere og koordinere en struktureret ledelsesproces der sikrer en passende reaktion på sikkerhedshændelser. Kontrol og opfølgning på sikkerhedsbrud Brud på sikkerheden, uautoriseret adgang og forsøg på uautoriseret adgang til systemer, informationer og data skal registreres af Center for IT & Digitalisering. Systemejer og nærmeste leder orienteres efter nærmere vurdering. Indsamling af beviser Hvis et sikkerhedsbrud afstedkommer et retsligt efterspil, uanset om sikkerhedsbruddet er foretaget af en person eller en virksomhed, skal der kunne indsamles, opbevares og præsenteres et fyldestgørende bevismateriale. Center for IT & Digitalisering er behjælpelig hermed. At lære af sikkerhedsnedbrud Center for IT & Digitalisering skal etablere et system, der kan kvantificere og overvåge typer, omfang ved håndteringen af sikkerhedsbrud. Information om sikkerhedshændelser Kommunen skal på faktuel vis informere berørte parter internt og eksternt om eventuelle sikkerhedshændelser. Opfølgning på rapporterede sikkerhedshændelser Center for IT & Digitalisering er ansvarlige for at indsamle statistik for rapporterede sikkerhedshændelser. Vurdering af tidligere hændelser Center for Økonomi & HR skal efter en konkret hændelse vurdere, hvorvidt informationssikkerhedsprocedurerne kan forbedres eller præciseres. Fx forslag om opdaterede regler eller procedurer eller opdateret risikovurdering. Side 26 af 30

29 11 Beredskabsstyring Risikostyring og beredskabsplanlægning er nødvendige for at sikre Faxe Kommune mod uforudsete hændelser. Nødplanerne skal være med til at opretholde driften således at skaderne for Faxe Kommune minimeres Beredskabstyring og informationssikkerhed Ramme for beredskabsplan Chefen for Center for IT & Digitalisering, skal fastlægge en ensartet ramme for de elementer der indgår m.h.t. informationsbehandling i Faxe Kommunes samlede beredskabsplan. Dette for at sikre, at disse elementer er sammenhængende og tilgodeser alle sikkerhedskrav, samt at de fastlægger prioriteringen af afprøvning og vedligeholdelse. Beredskabsplan for forretningskritiske funktioner Systemejerne er ansvarlige for, at passende beredskabsplaner udarbejdes og vedligeholdes for de enkelte systemer med det formål at minimere nedbrud og udgifter som følge af sikkerhedshændelser. Nødprocedurer for kritiske processer Der skal, for alle forretningskritiske processer, eksistere en opdateret nødprocedure, der kan sættes i drift. Identifikation af kritiske processer Center for IT & Digitalisering sikrer at alle forretningskritiske funktioner og disses relaterede processer, systemer og ejere skal være identificerede og dokumenterede. Opdatering af beredskabsplan Center for IT & Digitalisering gennemgår mindst en gang om året beredskabsplanen med henblik på opdatering. Retablering af forretningsskritiske systemer på ny lokation For alle forretningskritiske systemer skal der forefindes en plan for retablering på ny lokation. Beredskabsstyringsproces Som led i beredskabsplanen har chefen for Center for IT & Digitalisering, ansvaret for at udarbejde og vedligeholde en organisationsplan med funktionsbeskrivelser, indeholdende de krav til informationssikkerhed, der er nødvendige for kommunens fortsatte drift. Aktivering af beredskabsplanen Det skal være klart defineret, hvem der har ansvaret for aktivering af beredskabsplaner. Medarbejdere, der udgør en del af beredskabsplanen, skal være informeret om dette ansvar. Alle medarbejdere skal være informeret om beredskabsplanernes eksistens. Uddannelse i beredskabsplan Systemejerne har ansvaret for, at der foregår tilstrækkelig uddannelse af medarbejdere i de aftalte beredskabsprocedurer, inklusive krisehåndtering. Side 27 af 30

30 12 Overensstemmelse med lovbestemte og kontraktlige krav Mange aspekter af kommunens virke er omfattet af lovgivning eller påvirket af kontrakter eller eksterne parters rettigheder Overensstemmelse med lovbestemte krav Lov-identifikation Identifikation af relevant lovgivning Center for Økonomi & HR er ansvarlig for, at følge væsentlige ændringer i persondataloven og tilhørende bekendtgørelser med betydning for itsikkerheden. Ændringernes konsekvenser indarbejdes i informationssikkerhedspolitikken med tilhørende regler og procedurer. Centercheferne er ansvarlige for at meddele Center for Økonomi & HR, oplysninger om ændringer i øvrig lovgivning, som har indflydelse for informationssikkerhedspolitikken med tilhørende regler og procedurer Ophavsret Retningslinjer for ophavsrettigheder Direktionen har det overordnede ansvar for at Faxe Kommune fastholder en passende opmærksomhed på ikke at krænke tredjeparts ophavsrettigheder. Center for IT & Digitalisering skal vedligeholde dokumentation for ejendomsretten til licenser. Center for IT & Digitalisering skal løbende kontrollere, at softwarelicensaftaler overholdes, f.eks. at eventuelle begrænsninger i antal brugere, servere eller kopier overholdes. Center for IT & Digitalisering skal løbende kontrollere at der kun er installeret autoriserede systemer med autoriserede licenser i Faxe Kommune. Administration af programmellicenser Registrering af programmellicenser sker gennem Center for IT & Digitalisering. Det er chefen for Center for IT & Digitaliserings ansvar, at der er et tilstrækkeligt antal licenser Sikring af kommunens forretningskritiske data Lovregulerede data Center for IT & Digitalisering skal beskytte lovregulerede data mod ændring, sletning, samt uautoriseret adgang Overholdelse af lov om personoplysninger Sporbarhed Behandling af personoplysninger skal logges automatisk, således at det er muligt for en revisor at kontrollere hvem, der har arbejdet med hvilke informationer på hvilke tidspunkter. Side 28 af 30

31 Kontrol med overholdelse af informationssikkerhedspolitikkens regler og procedurer Center for Økonomi & HR skal kontrollere overholdelse af informationssikkerhedspolitikkens regler og procedurer i organisationen. Centerchefen/systemejeren er ansvarlig for at persondataloven bliver overholdt i den pågældende organisatoriske enhed. Vedligeholdelse, intern revision og afrapportering Opbevaring og behandling af personoplysninger Der må ikke behandles personoplysninger af fortrolig karakter på en privat pc. Lov om behandling af personoplysninger gælder ved enhver opbevaring og behandling af persondata. Personoplysninger af fortrolig karakter må ikke opbevares eller behandles på bærbar pc, medmindre kryptering anvendes og bekendtgørelse nr. 528 om personoplysninger overholdes. Indsigtsret Center for Erhverv & Udvikling udarbejder i forbindelse med retten til indsigt i henhold til persondataloven, en procedure for indsamling af oplysninger Beskyttelse mod misbrug Misbrugsbeskyttelse af it-udstyr Center for Økonomi & HR skal sikre at medarbejdere informeres om overvågningsmuligheder som kommunen tager i brug. Orientering vil ske på Intranettet Overensstemmelse med informationssikkerhedspolitik og -retningslinier Dispensation for krav i informationssikkerhedspolitikken Kommunaldirektøren kan give dispensation for krav i informationssikkerhedspolitikken. Dispensationer skal rapporteres til byrådet. Dispensationen skal revurderes mindst hvert andet år. Opfølgning på implementering af informationssikkerhedspolitikken Mindst en gang årligt, skal der udføres systematisk opfølgning på overholdelse af informationssikkerheds-politikken i hele organisationen. Center for Økonomi & HR og Center for IT & Digitalisering forestår opfølgningen. Resultatet af opfølgningen, skal rapporteres til byrådet årligt. Hver enkelt leder skal løbende sikre at informationssikkerhedspolitikken bliver overholdt inden for eget ansvarsområde. Forskeradgang og dataudveksling ifm. analyser Det påhviler systemejeren at sikkerhed ifm. forskeradgang og udveksling af persondata som led i analyser overholder bestemmelserne i Informationssikkerhedspolitikken Gennemgang af informationssikkerhedspolitik Kommunens eksterne revision påser, at informationssikkerhedspolitik overholdes - stikprøvevis Side 29 af 30

32 Overtrædelse af informationssikkerhedspolitikken Det er ikke tilladt at forsøge at omgå sikkerhedsmekanismer. Det er ikke tilladt at foretage uautoriseret afprøvning af sikkerheden. Bevidste eller gentagne overtrædelser vil medføre disciplinære sanktioner. Hændelser, hvor medarbejdere er involverede, bliver håndteret konsekvent i overensstemmelse med gældende personalepolitik. Det er ledelsens ansvar at sanktioner for brud på kommunens politikker, regler eller retningslinier håndhæves konsekvent og i overensstemmelse med gældende lovgivning Beskyttelsesforanstaltninger ved revision af informationsbehandlingssystemer Sikkerhed i forbindelse med revision Revisionskrav og revisionshandlinger i forbindelse med systemer i drift skal planlægges omhyggeligt og aftales med de involverede for at minimere risikoen for forstyrrelser af kommunens centre. De medarbejdere, der udfører revisionen, skal være uafhængige af det reviderede område. Side 30 af 30