Staben IT-afdelingen Dato: Sagsnr: 12/24869 Dokumentnr: 3 Sagsbehandler: Steen Meyer Larsen. Organisering af informationssikkerhed

Relaterede dokumenter
Politik for informationssikkerhed 1.2

Assens Kommune Sikkerhedspolitik for it, data og information

IT-SIKKERHEDSPOLITIK

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

IT-sikkerhedspolitik for

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Aabenraa Kommune. Informationspolitik. Udkast. Udkast:

Faxe Kommune. informationssikkerhedspolitik

Politik for Datasikkerhed

Informationssikkerhedspolitik

Overordnet Informationssikkerhedspolitik

Overordnet informationssikkerhedsstrategi

Overordnet Informationssikkerhedsstrategi. for Odder Kommune

Informationssikkerhedspolitik. for Aalborg Kommune

Informationssikkerhedspolitik for Horsens Kommune

Organisering og styring af informationssikkerhed. I Odder Kommune

Kommunens nuværende politik stammer fra 2008 og bygger på en gammel dansk standard, DS484.

Indholdsfortegnelse Indledning Formål Omfang Holdninger og principper... 4

Informationssikkerhedspolitik For Aalborg Kommune

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED

INFORMATIONS- SIKKERHEDSPOLITIK

Ikast-Brande Kommune. Informationssikkerhedspolitik (efterfølgende benævnt I-Sikkerhedspolitik) Maj 2016 Sag nr. 2015/06550

Fredericia Kommunes Informationssikkerhedspolitik 1 FREDERICIA KOMMUNE AFDELING TITEL PÅ POWERPOINT

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Ver. 1.0 GENTOFTE KOMMUNES INFORMATIONSSIKKERHEDSPOLITIK

Informationssikkerhedspolitik for Region Midtjylland

Hjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune

Overordnet it-sikkerhedspolitik for Rødovre Kommune

INFORMATIONSSIKKERHEDS -POLITIK

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner.

Halsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune.

Assens Kommune Politik for databeskyttelse og informationssikkerhed

IT- og informationssikkerheds- politik (GDPR) For. Kontrapunkt Group

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

Informationssikkerhedspolitik Frederiksberg Kommune

Informationssikkerhedspolitik for Vejen Kommune

Forfatter: Carsten Stenstrøm Mail: Telefon: IT Amerika Plads København Ø

Informationssikkerhedspolitik. Frederiksberg Kommune

Informationssikkerhedspolitik for Sønderborg Kommune

Politik for informationssikkerheddatabeskyttelse

Politik til sikring af UCN s digitale og papirbaserede informationsaktiver (it-sikkerhedspolitik)

Koncessionskontrakt vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Kultur- og Fritidsforvaltningen.

Politik <dato> <J.nr.>

Ballerup Kommune Politik for databeskyttelse

Region Hovedstadens Ramme for Informationssikkerhed

REGULATIV FOR IT-SIKKERHED

PSYKIATRIFONDENS Informationssikkerhedspolitik

IT-SIKKERHEDSPOLITIK UDKAST

MedComs informationssikkerhedspolitik. Version 2.2

INFORMATIONS- SIKKERHEDS- POLITIK

Overordnet It-sikkerhedspolitik

Aarhus Kommune. IT-sikkerhedspolitik. Politik

Politik til sikring af UCN s digitale og papirbaserede informationsaktiver (itsikkerhedspolitik) Dokumentdato: 13. april 2010

Sikkerhedsregler for Kalundborg Kommune

OVERORDNET IT-SIKKERHEDSPOLITIK

Holbæk Kommunes I-SIKKERHEDSHÅNDBOG

IT-sikkerhedspolitik S i d e 1 9

12. Godkendelse af it sikkerhedspolitik og itsikkerhedsregulativ

Indholdsfortegnelse. Generelt 3. Formål 3. Omfang 4. Sammenhæng med IT- og forretningsstrategier 4

Organisering og styring af Informationssikkerhed

It-sikkerhedspolitik for Københavns Kommune

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november

Overordnet organisering af personoplysninger

Fællesregional Informationssikkerhedspolitik

Ledelsen har sikret, at der er etableret en hensigtsmæssig itsikkerhedsorganisation

Koncernledelsen, bestående af direktionen, afdelings- og stabschefer, medvirker til at skabe tværgående sammenhæng i organisationen.

Jesper Andersen / Lone Forsberg Databeskyttelsesrådgiveren September 2018

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet "informationer"? 2

Overordnet organisering af personoplysninger

IT-sikkerhedspolitik. for Social- og Sundhedsskolen Esbjerg

Informationssikkerhed

Skanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017

Sikkerhedsledelsen SIKKERHEDSSPOLITIK FOR DSB. April Version 1.0

KOMBIT sikkerhedspolitik

Kasse- og regnskabsregulativ

BILAG 5 DATABEHANDLERAFTALE

Bekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.

Sikkerhedspolitik. Informationssikkerhedspolitik for DIFO og DK Hostmaster. DK Hostmaster. Godkendt Version / ID 11.1.

Informationssikkerhedskoordinator i Naturstyrelsen

IT sikkerhedspolitik for Business Institute A/S

1. Introduktion til SoA Indhold og krav til SoA 4

Fællesregional Informationssikkerhedspolitik

Regulativ for it-sikkerhed i Københavns Kommune

It-revision af Sundhedsdatanettet januar 2016

TVovervågning. Struer Kommune Retningslinjer for anvendelse og indkøb af. TV-overvågning

INFORMATIONSSIKKERHEDSREGULATIV

Version: 1.0 Maj Informationssikkerhedspolitik for Struer Statsgymnasium

Databeskyttelsespolitik for DSI Midgård

Informationssikkerhedskoordinator i Naturstyrelsen

De første 350 dage med den nye databeskyttelsesforordning

(hver for sig kaldet en "Part" og samlet "Parterne")

It-sikkerhedspolitik for Farsø Varmeværk

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484

Mittarfeqarfiit. Organisation. struktur & ansvarsforhold

Næstved Kommune. Informationssikkerhedspolitik ISO 27001

Informationssikkerhedspolitik for <organisation>

NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER

Kontraktbilag 7: Databehandleraftale

Hillerød Kommune. It-sikkerhedspolitik Bilag 8. Kontrol og adgang til systemer, data og netværk

SOPHIAGÅRD ELMEHØJEN

Transkript:

Staben IT-afdelingen Dato: 27-05-2014 Sagsnr: 12/24869 Dokumentnr: 3 Sagsbehandler: Steen Meyer Larsen Organisering af informationssikkerhed 1

Indholdsfortegnelse: 1.0 Indledning... 3 1.1 Baggrund... 3 1.2 Driftsstabilitet og beskyttelse af informationer... 3 2.0 Principper for sikkerhedsindretningen... 3 2.1 ISO 27001 Standard for Informationssikkerhed... 3 2.2 Styring af organisationens sikkerhedsprocesser... 3 2.3 Funktionsadskillelse ved systemadministration... 4 2.4 Ledernes roller... 4 2.5 Sikkerhedsansvarlig... 4 2.6 Dataejer... 5 2.7 Systemejer... 5 2.8 Ejer af fysisk sikkerhedsrelateret aktiv... 5 3.0 Organisering af sikkerheden... 5 3.1 Byrådet... 5 3.2 Øverste sikkerhedsansvarlige... 6 Stabsdirektøren... 6 3.3 Direktionen... 6 3.4 Informationssikkerhedsudvalget / DDS... 6 Besluttende, igangsættende og styrende... 6 Sammensætning... 6 Udvalgets opgaver... 6 3.5 IT- og digitaliseringschefen Informationssikkerhedsleder... 7 Operationelt ansvar for daglig styring... 7 Leder af IT-afdelingen... 7 Superbruger gruppen... 7 3.6 Direktører... 7 Overordnet sikkerhedsansvarlige... 7 Overordnet dataejer og systemejer... 7 Overordnet ejer af fysiske sikkerhedsrelaterede aktiver... 7 3.7 Afdelingschefer... 8 Praktisk ansvar - Sikkerhedsansvarlige... 8 Praktisk ansvar Dataejere og Systemejere... 8 Praktisk ansvar Ejere af fysiske sikkerhedsrelaterede aktiver... 8 3.8 Gruppeledere i administrationen samt Institutionsledere... 8 Lokale sikkerhedsansvarlige... 8 Lokale data- og systemejere... 8 Lokale ejere af fysiske aktiver... 8 3.9 Overordnet systemadministration - IT-afdelingen... 8 3.10 Lokal systemadministration... 9 3.11 Superbrugere... 9 Fag-superbrugere Afdelings- og lokale systemadministratorer.... 9 IT-superbrugere - Praktisk udførende... 9 3.12 Medarbejderne... 9 Medarbejderens ansvar... 9 Bilag...10 2

1.0 Indledning 1.1 Baggrund Her beskrives den overordnede placering af ansvar og pligter omkring informationssikkerhed i Aabenraa Kommune. 1.2 Driftsstabilitet og beskyttelse af informationer De lovmæssige rammer for beskyttelse af informationer er primært at finde i lov om behandling af personoplysninger med tilhørende bekendtgørelser og vejledninger. Loven gælder for behandling af alle personoplysninger, som helt eller delvis foretages ved hjælp af elektronisk databehandling og for ikke elektronisk behandling af persondata i manuelle registre. Persondata udgør en væsentlig del af de informationer, der opbevares og behandles i kommunen, og persondatalovens skærpede krav til informationsbeskyttelse danner sammen med de forretningsmæssige krav om driftsstabilitet og effektivitet grundlag for organisering af informationssikkerheden. Organisering af informationssikkerheden følger generelt kommunens organisationsstruktur. Ansvaret for opbevaring og behandling af informationer følger ansvaret for løsningen af opgaverne og den almindelige delegering i organisationsstrukturen. Organiseringen af informationssikkerheden er illustreret i bilag 1. 2.0 Principper for sikkerhedsindretningen 2.1 ISO 27001 Standard for Informationssikkerhed Principperne i sikkerhedsorganiseringen er afstemt med retningslinjerne i informationssikkerhedsstandarden ISO 27001. Standarden anviser bl.a. en organisering af sikkerhedsindretningen, så der kontinuerligt foretages kontroller, vurderinger og opfølgning på sikkerheden Ejerskab og risikovurdering Data- og systemejerskab, samt ejerskab for fysiske aktiver, der har sammenhæng til informationssikkerheden, skal fastlægges med henblik på ansvarsplacering samt udarbejdelse af risikovurderinger. Hændelses- og beredskabstyring Forretningsgange for rapportering og eskalering skal indrettes, så sikkerhedshændelser og svagheder i informationsbehandlingssystemerne rapporteres og korrigeres rettidigt. Der skal implementeres beredsskabsstyring. Beredskabsplaner udarbejdes og implementeres for at sikre, at driften som følge af tab af informationsaktiver ved katastrofer og sikkerhedsbrister, kan reetableres inden for en fastsat tidsfrist. (bilag for IT-beredskabsplan) 2.2 Styring af organisationens sikkerhedsprocesser Ledelsen har nedsat et Informationssikkerhedsudvalg/Den Digitale Styregruppe (DDS), der fungerer som besluttende, igangsættende og styrende element for de sikkerhedsmæssige processer, der etableres i organisationen. Informationssikkerhedsudvalgets/(DDS) opgaver er beskrevet neden for. 3

2.3 Funktionsadskillelse ved systemadministration Det skal i alle sammenhæng sikres, at der er gennemført den nødvendige funktionsadskillelse ved administration af informationsaktiver (It-platform og det enkelte informationsbehandlingssystem), illustreret i bilag 2. Sammenfald af roller på økonomibærende systemer eller informationskritiske systemer, hvor både systemadministratorrollen og brugerrollen varetages af samme person, må ikke forekomme. Der er via AdHoc IT sikret funktionsadskillelse på alle øvrige informationsbehandlingssystemer. Hvor det ikke er praktisk eller økonomisk hensigtsmæssigt, at foretage funktionsadskillelse, skal kompenserende kontroller indføres. 2.4 Ledernes roller I sikkerhedsorganiseringen indgår fire sikkerhedsmæssige roller, som er tillagt lederne i organisationen: 1. Sikkerhedsansvarlig 2. Dataejer 3. Systemejer 4. Ejer af fysiske aktiver. Rollerne og deres specifikke ansvar og pligter er beskrevet herunder. Direktørerne har det overordnede ledelsesansvar og har på samme måde overordnet ansvar og pligter forbundet med de fire roller. Afdelingscheferne har en central rolle i sikkerhedsorganisationen. De har driftsansvar og herunder det praktiske ansvar og medhørende pligter forbundet med de fire roller. Gruppelederne og institutionslederne delegeres ansvar og pligter lokalt i afdelingen eller institutionen. 2.5 Sikkerhedsansvarlig En sikkerhedsansvarlig har ansvar for: - at sikkerhedspolitikker og de regler, der er relevante for vedkommendes ansvarsområde, er kendte og efterleves. - at medarbejderne gennem uddannelse og udvikling opnår sikkerhedsbevidsthed om nødvendigheden af at overholde de sikkerhedsmæssige retningslinjer. - at der efter behov, udarbejdes yderligere dokumentation vedr. sikkerhed for forvaltningens område, såfremt eksisterende regler og procedurer ikke er fyldestgørende. - at deltage i opklaringsarbejdet ved konstateret eller begrundet mistanke om sikkerhedsbrud, og rapportere til Sikkerhedslederen - at retningslinjerne for ansættelse, introduktion, løbende vurdering, funktionsskifte og afvikling af medarbejdere overholdes. - at der foreligger afprøvede og tilpassede beredskabsplaner for den sikkerhedsansvarliges ansvarsområde, og at vedkommende indgår i arbejdet med dannelse af disse. 4

2.6 Dataejer En dataejer har ansvar for: - at deltage i udarbejdelsen af risikovurderinger for systemtilknyttede data. - at der for data i informationssystemerne foreligger konkrete regler og procedurer for regulering og administration af adgangsforholdene, og at disse er i overensstemmelse med de grundliggende krav her til. - at autorisere adgangen til data i h.t. retningslinjerne herfor. - at foretage opfølgning og rapportering af sikkerhedsbrud til sikkerhedslederen. - at indgå i arbejdet med udarbejdelse af afprøvede og tilpassede beredskabsplaner. 2.7 Systemejer En systemejer har ansvar for: - at deltage i udarbejdelsen af risikovurderinger for informationssystemet. - at der ved drift af eksisterende og idriftsætning af nye systemer foreligger konkrete regler og procedurer for regulering og administration af adgangsforholdene, og at disse er i overensstemmelse med de principielle krav her til. - at autorisere adgangen til systemet i h.t. retningslinjerne herfor. - at foretage opfølgning og rapportering af sikkerhedsbrud til sikkerhedslederen - at indgå i arbejdet med udarbejdelse af afprøvede og tilpassede beredskabsplaner. 2.8 Ejer af fysisk sikkerhedsrelateret aktiv En ejer af et fysisk aktiv har ansvar for: - at der udarbejdes en kravspecifikation ved placering, indretning, forandring m.v. som tager eksplicit hensyn til sikkerhedsmæssige forhold. - at der udarbejdes en risikovurdering i h.t. kravene hertil. - at der ved ibrugtagning af lokaler/udstyr foreligger konkrete regler og procedurer for regulering og administration af adgangsforholdene og at disse er i overensstemmelse med de principielle krav hertil. - at autorisere adgangen til lokaler/udstyret i h.t. retningslinierne herfor. - at foretage opfølgning og rapportering af sikkerhedsbrud til sikkerhedslederen. - at indgå i arbejdet med udarbejdelse af afprøvede og tilpassede beredskabsplaner. 3.0 Organisering af sikkerheden 3.1 Byrådet Byrådet er kommunens øverste besluttende og ansvarlige organ og fastlægger informations sikkerhedsorganisationen for Aabenraa Kommune. Byrådet fungerer jfr. persondataloven som dataansvarlig og er pålagt forpligtelser til sikring af, at borgernes retsstilling og integritet ikke krænkes. Opgaven delegeres efter de almindelige kommunalretlige retningslinier for delegation. 5

3.2 Øverste sikkerhedsansvarlige Stabsdirektøren Stabsdirektøren er den øverste sikkerhedsansvarlige og har det overordnede ansvar for sikkerhedsindsatsen i hele kommunen. Direktøren har adgang til sædvanlig delegation. IT- og digitaliseringschefen er stedfortræder. Informationssikkerhedsopgaven varetages af stedfortræderen under direktørens fravær. 3.3 Direktionen Direktionen fastlægger kommunens strategier omkring informationssikkerhed. 3.4 Informationssikkerhedsudvalget / DDS Besluttende, igangsættende og styrende Direktionen har nedsat et informationssikkerhedsudvalg/dds, der fungerer som besluttende, igangsættende og styrende element for de sikkerhedsmæssige tiltag / projekter, der etableres i organisationen. Sammensætning - Den Digitale Styregruppe består af repræsentanter for alle forvaltninger, som er udpeget af direktionen. Oversigt over udvalgsmedlemmer (Bilag 2) Udvalgets opgaver - Formulere og vedligeholde sikkerhedspolitikken og indstille den til godkendelse i Byrådet. - Beslutte og vedligeholde retningslinjer for sikkerhedsarbejdet, som konkretiserer politikken, og træffe afgørelse om fortolkning eller ændring af retningslinjerne. - Sikre, at der for data og systemer er udpeget data- og systemejere, samt at fysiske aktiver ligeledes har ejerskab. Udvalget skal sikre, at der foreligger retningslinjer for ejernes ansvar. - Påse, at der foreligger vedligeholdt dokumentation for informationssystemernes indretning. - Påse, at de data- og systemansvarlige samt ejerne af fysiske aktiver udarbejder de nødvendige detailregler. - Vurdere og sikre gennemførelse af den overordnede uddannelse og information vedrørende informationssikkerheden. - Påse, at adfærdskodeks (eksempelvis som beskrevet i 9 gode råd) indeholder information om relevante retningslinjer og procedurer. - Prioriterer aktiviteter og igangsætte indsatsområder på grundlag af indstilling fra sikkerhedslederen. 6

3.5 IT- og digitaliseringschefen Informationssikkerhedsleder Operationelt ansvar for daglig styring IT- og digitaliseringschefen har, som informationssikkerhedsleder, det operationelle ansvar for den daglige styring af informationssikkerhedsindsatsen, som beskrevet i kommunens Informations-sikkerhedspolitik. IT- og digitaliseringschefen sikrer, at de aktiviteter, standarder, retningslinjer, kontroller og foranstaltninger, der er beskrevet i sikkerhedsregler, gennemføres og efterleves. Leder af IT-afdelingen IT- og digitaliseringschefen er leder af IT-afdelingen, der varetager drift og vedligeholdelse af IT-platformen, samt udføre den overordnede systemadministration af IT-platformen og udpegede tværgående systemer. I sammenhæng med driftsansvaret er IT- og digitaliseringschefen: Sikkerhedsvarlig, Data- og systemejer samt ejer af fysiske aktiver for systemer og fysiske aktiver, der anvendes til varetagelse af eller i tilknyttet til opgaven. Superbruger gruppen IT- og digitaliseringschefen har ansvar for at kredsen af superbrugere Superbruger gruppen holdes ajour omkring særlige tekniske og sikkerhedsmæssige forhold, der har betydning for superbrugernes supervision af medarbejderne. 3.6 Direktører Overordnet sikkerhedsansvarlige Direktørerne er overordnet sikkerhedsansvarlige for egen forvaltning / stabsfunktion. Overordnet dataejer og systemejer Direktørerne er overordnede dataejere, med ansvar for data der produceres eller primært knytter sig til opgaveløsningen i egen forvaltning / stabsfunktion. De er også overordnede systemejere for de informationsbehandlingssystemer, sædvanlig vis fagsystemer, der knytter sig til opgaveløsningen i egen forvaltning / stabsfunktion. Systemejeren er ansvarlig for sikkerhedsindretningen af egne systemer, samt for koordinering med andre berørte systemejere, hvis ikke alene systemejer selv. Overordnet ejer af fysiske sikkerhedsrelaterede aktiver Direktørerne er overordnede ejere af de sikkerhedsrelaterede fysiske aktiver, der kan knyttes til egen forvaltning / stabsområde. Ejerskabet omfatter fysiske aktiver, der specifikt anvendes i eller adgangssikrer forvaltningen / stabsfunktionen. Rollen omfatter også nødvendig koordinering ved fysiske aktiver, der ejes fælles med andre ejere. Ejerskabet for større fælles sikkerhedsrelaterede aktiver som f.eks. alarmanlæg ved Rådhus bygninger kan placeres ved særligt udpegede medarbejdere. 7

3.7 Afdelingschefer Praktisk ansvar - Sikkerhedsansvarlige Afdelingscheferne er praktisk sikkerhedsansvarlige inden for egen afdeling og tilknyttede institutioner. Opgaver og pligter er delegeret fra overordnet direktør. Praktisk ansvar Dataejere og Systemejere Afdelingscheferne fungerer som dataejere for informationer, der produceres og opbevares inden for afdelingschefens ansvarsområde. Opgaver og pligter er delegeret fra overordnet direktør Cheferne er også systemejere af fagsystemer, som anvendes inden for afdelingschefens ansvarsområde. Opgaven omfatter også koordinering med andre berørte systemejere. Opgaver og pligter er delegeret fra overordnet direktør. Praktisk ansvar Ejere af fysiske sikkerhedsrelaterede aktiver Afdelingschefer har det praktiske ansvar for de fysiske aktiver, der kan knyttes til afdelingschefens ansvarsområde. Opgaven omfatter ejerskab og koordinering. Opgaver og pligter er delegeret fra overordnet direktør. 3.8 Gruppeledere i administrationen samt Institutionsledere Lokale sikkerhedsansvarlige Gruppeledere i administrationen og Institutionsledere på kommunalt ejede og selvejende institutioner er lokale sikkerhedsansvarlige inden for eget område. Ansvaret dækker også lokale ledere ved samarbejdspartnere der med baggrund i lejeaftaler eller samarbejdsaftaler anvender kommunens bygninger eller IT-systemer. Opgaver og pligter delegeres fra overordnet direktør eller afdelingschef. Lokale data- og systemejere Lederne vil på afdelingschefernes foranledning fungere som lokale data og systemejere for data og systemer, der isoleret anvendes i den aktuelle gruppe eller på den aktuelle institution. Opgaver og pligter delegeres fra overordnet direktør eller afdelingschef. Lokale ejere af fysiske aktiver Lederne vil på afdelingschefens foranledning fungere som lokale ejere af fysiske aktiver der anvendes i lederens afdeling / institution. 3.9 Overordnet systemadministration - IT-afdelingen IT-afdelingen fungerer som overordnede systemadministratorer på ITplatformen og på udpegede tværgående systemer. IT-afdelingen opretter, ændrer og sletter brugere og deres systemrettigheder i overensstemmelse med sikkerhedsreglerne efter anmodning fra dataejer eller andre hertil bemyndiget. 8

3.10 Lokal systemadministration Afdelingscheferne udpeger i nødvendigt omfang lokale systemadministratorer på afdelingsspecifikke- og lokale fagsystemer indenfor den enkelte forvaltning. Udpegelse af lokaladministratorer skal ske under hensyn til reglerne for funktionsadskillelse. 3.11 Superbrugere Superbrugere udpeges og virker i henhold til reglerne her for. Foruden superbrugernes rolle med supervision af medarbejderne, indgår Fag- og ITsuperbrugerne som et aktivt led i systemadministrationen: Fag-superbrugere Afdelings- og lokale systemadministratorer. Afdelings og lokale systemadministratorer skal så vidt muligt være udpegede som fag-superbrugere. Disse indgår i superbrugergruppen, som består af superbrugere, sikkerhedslederen samt repræsentanter fra IT-afdelingen. IT-superbrugere - Praktisk udførende IT-Superbrugerne er praktisk udførende ved fremsendelse af anmodninger om autorisationer der skal gennemføres af IT-afdelingen IT-superbrugerne fungere i den forbindelse i samarbejde med og på afdelingschefernes kompetence og udgør et bindeled / kvalitetssikring af anmodningerne om autorisation til IT-platformen og udpegede tværgående systemer. 3.12 Medarbejderne Medarbejderens ansvar Den enkelte medarbejder har ansvar for: - at overholde Informationssikkerhedspolitikken og de sikkerhedsregler, der er relevante for den enkeltes arbejdsopgaver. - at rapportere om eventuelle sikkerhedsbrud eller mistanke herom til nærmeste chef eller sikkerhedslederen. 9

Bilag Bilag 1 Organisering af informationssikkerhed Roller Ø verste sikkerhedsansvarlige Stabsdirektør Byrå d Kommunaldirektør Direktør Informationssikkerhedsudvalg (DDS) Styring af sikkerheds processer / projekter Sikkerhedsleder Operationelt ansvar og daglig ledelse af sikkerhedsindsatsen. Direktører Overordnede sikkerhedsansvarlige for egen forvaltning / stab Overordnede data - og systemejere Overordnede ejere af fysiske sikkerheds - relaterede aktiver IT- - og digitaliseringschefen Leder af IT-afdelingen (Overordnet IT-system administration) Dataejer på IT-driftsmæssige data. Systemejer for IT -platform og udpegede tv ærgående systemer. IT- og digitaliseringschef Informationssikkerheds - udvalg (DDS) Sikkerhedsleder Direktør Organisationsudsnit Direktør Afdelingschefer Afdelings sikkerhedsansvarlige Afdelings data - og systemejere Afdelingsejere af fysiske sikkerh.relat.aktiver Afd.Chef Afd.Chef Afd.Chef Afd.Chef Afd.Chef Gruppeledere og institutionsledere Lokale sikkerhedsansvarlige for gruppe/institut. Lokale data- og systemejere Lokale ejere af fysiske sikkerh.relat. aktiver Gruppeledere og institutionsledere 10

Bilag 2 Informationssikkerheds udvalgets (DDS s) medlemmer: Formand Eva Minke Andersen IT Lars Hende Svenson Børn- og Skole Esben Krabbe Christiansen Borgerservice og Jobcenter Lars Harding Hansen Social og Sundhed Morten Skovmand Fogh KME Charlotte Bay Greisen IT/ Digitalisering Erik Borum Staben Daglig projektledelse: Informationssikkerhedsleder Eva Minke Andersen IT- og digitaliseringschef Sekretær Hans Henrik Lerbæk Schneider IT- digitalisering 11

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback