Informationssikkerhedspolitik for Aalborg Kommune
Indhold Formål... 2 Gyldighedsområde... 2 Målsætning... 2 Sikkerhedsniveau... 3 Organisation og ansvarsfordeling... 3 Kontrol... 4 Sikkerhedsbrud og sanktionering... 4 Løbende vedligeholdelse... 4 Kolofon: IT-sikkerhedsgruppen /IT & Digitalisering August 2018 Ikrafttrædelsesdato d. 2018 1
Formål Informationssikkerhed i Aalborg Kommune handler primært om at beskytte de fortrolige oplysninger, personoplysninger og kritiske data, som kommunen behandler for og om borgere og virksomheder. Informationssikkerhedspolitikken fastlægger det overordnede sikkerhedsniveau og de nødvendige organisatoriske rammer samt de overordnede retningslinjer for udformning af kontroller, procedurer og sikringsforanstaltninger. Informationssikkerhedspolitikken danner ramme for kommunens sikkerhedskoncept, der skal sikre risikostyring og rettidig omhu i forhold til gældende lovgivning, samt at kommunen overholder sine serviceforpligtelser overfor borgeren. Hensigten med informationssikkerhedspolitikken er desuden at tilkendegive over for ansatte, borgere, virksomheder, samarbejdspartnere og andre med en relation til Aalborg Kommune, at kommunens anvendelse og behandling af informationer er underlagt regler og standarder, der sikrer kommunens information. Gyldighedsområde Informationssikkerhedspolitikken er gældende for al anvendelse af Aalborg Kommunes informationsaktiver, herunder arkiver, databaser, informationssystemer etc. - og for alle Aalborg Kommunes informationsrelaterede aktiviteter, uanset om disse udføres af ansatte i Aalborg Kommune eller af samarbejdspartnere. Målsætning Der skal opretholdes et effektivt værn mod såvel naturgivne som tekniske og menneskeskabte trusler og sårbarheder, således at borgernes og medarbejdernes tryghed og arbejdsvilkår og Aalborg Kommunes image sikres bedst muligt. Personoplysninger, fortrolige oplysninger og kritiske data skal sikres optimalt, uanset om de forefindes digitalt eller i papirform. Lokationer der indeholder informationsaktiver, skal sikres mod vand, brand og indbrud. Den elektroniske databehandling skal sikres: Tilgængelighed i form af høj driftsikkerhed med høje oppetidsprocenter og minimeret risiko for større nedbrud og datatab Integritet i form af korrekt funktion af systemerne med minimeret risiko for manipulation af og fejl i såvel data som systemer Fortrolighed i form af fortrolig behandling, transmission og opbevaring af data Ovenstående mål skal være konkretiseret i aftaler og kontrakter. Det skal sikres, at der såvel periodisk som løbende, ved forandringer, foretages risikoanalyse og risikovurdering ved rette ledelse. Der skal fortages beredskabsstyring på særligt kritiske arbejdsprocesser og systemer, med det formål at sikre hurtig genetablering af kommunens sagsbehandling efter forekomst af kritiske hændelser som oversvømmelse, brand eller IT-nedbrud. Kommunen skal tilstræbe at opretholde et sikkerhedsniveau, der er udtryk for bedste praksis, med udgangspunkt i ISO 27001/2 standarderne for informationssikkerhed. 2
Informationssikkerhedspolitikken skal kommunikeres til alle relevante interessenter. Kommunens ansatte skal være bevidste om deres betydning for informationssikkerheden i kommunen. Der skal være udfærdiget sikkerhedsmæssige regler og procedurer for personalet, der tager sigte på dels at beskytte kommunen mod skader forvoldt af personalet, dels at beskytte personalet mod ubegrundet mistanke om sikkerhedsbrud. Kommunen baserer sig på værdibaseret ledelse og reglerne skal begrænses til de nødvendige. For IT-driftspersonale og andet personale med udvidede rettigheder på systemer kan der være skærpede regler og sikkerhedsinstrukser. Det skal sikres at personalet har indgående kendskab til relevante sikkerhedsinstrukser og procedurer. Der skal foretages kontrol af personalets overholdelse af regler vedrørende informationssikkerhed og af de sikringsforanstaltninger kommunen iværksætter. Sikkerhedsniveau Aalborg Kommunes informationssikkerhedsniveau skal efterleve den til enhver tid gældende lovgivning og leve op til gældende sikkerhedspraksis i den kommunale sektor. Kommunen skal anvende en fælles metode for risikoanalyse, risikovurdering, registrering, måling, vurdering og opfølgning på informationssikkerheden og løbende gennemføre revisioner og evalueringer af sikkerheden. Der skal forebygges mod risici ved manglende funktionsadskillelse (autorisation /attestation og udøvelse/kontrol). I situationer, hvor der ikke er funktionsadskillelse skal der kompenseres med andre sikkerhedsforanstaltninger, som udmøntes konkret i procedurer for informations- og systemadministrationen. Med udgangspunkt i risikovurderinger, skal direktørerne prioritere og fastlægge de nødvendige sikringsforanstaltninger til opretholdelse af kommunens ønskede informationssikkerhedsniveau. ISO27001/2 standarden skal anvendes som et vejledende udgangspunkt for de grundlæggende sikringsforanstaltninger, som kommunen indfører. Standarden skal anvendes som reference i vurderinger af sikkerheden på områder, hvor kommunen ikke har formuleret og vedtaget egne regler. Når kommunen har vedtaget egne sikkerhedsregler, skal der søges dispensation ved fravigelse, hos den ledelse, der har vedtaget reglerne. Organisation og ansvarsfordeling Byrådet vedtager Aalborg Kommunes informationssikkerhedspolitik og har det overordnede ansvar for kommunens Informationssikkerhed. Magistraten har det overordnede ansvar for tilsynet med kommunens informationssikkerhed. Den løbende risikostyring foregår ved linjeorganisationen. Ansvars- og opgavefordelingen skal konkretiseres ved roller specificeret i Regulativ for informations-sikkerhed i Aalborg Kommune. Ledere på alle niveauer skal gennem instrukser og procedurer sikre, at deres personale efterlever ansvaret med at beskytte alle typer af personoplysninger, fortrolige oplysninger samt kritiske data. Direktørerne har ansvaret for at der foretages risikovurdering og for fastlæggelse af udvidede sikringsforanstaltninger gældende for egen forvaltning, når dette er nødvendigt. 3
Kontrol Byrådet og Magistraten skal som øverste ansvarlige for kommunens informationssikkerhed sikre, at der føres et passende og uafhængigt tilsyn med kommunens administration. Tilsynet skal medvirke til at sikre at informationssikkerhedspolitik og informationssikkerhedsregulativ overholdes i alle kommunens forvaltningsled og institutioner. Der skal foretages løbende ekstern revision af informationssikkerheden og stikprøvekontrol. Sikkerhedsbrud og sanktionering Der skal være sanktioner mod ansatte, der bevidst bryder regler og retningslinjer. Løbende vedligeholdelse Informationssikkerhedspolitikken er forankret i Direktørgruppen, som er ansvarlig for udarbejdelse, vedligeholdelse og årlig revurdering af politikken. Informationssikkerhedspolitikken, skal godkendes af Byrådet på indstilling fra fra Direktørgruppen. Direktørgruppen sikrer, at der sker årlig revurdering af informationssikkerhedspolitikken og godkendelse i Byrådet om nødvendigt. 4