Staben IT-afdelingen Dato: 27-05-2014 Sagsnr: 12/24869 Dokumentnr: 3 Sagsbehandler: Steen Meyer Larsen Organisering af informationssikkerhed 1
Indholdsfortegnelse: 1.0 Indledning... 3 1.1 Baggrund... 3 1.2 Driftsstabilitet og beskyttelse af informationer... 3 2.0 Principper for sikkerhedsindretningen... 3 2.1 ISO 27001 Standard for Informationssikkerhed... 3 2.2 Styring af organisationens sikkerhedsprocesser... 3 2.3 Funktionsadskillelse ved systemadministration... 4 2.4 Ledernes roller... 4 2.5 Sikkerhedsansvarlig... 4 2.6 Dataejer... 5 2.7 Systemejer... 5 2.8 Ejer af fysisk sikkerhedsrelateret aktiv... 5 3.0 Organisering af sikkerheden... 5 3.1 Byrådet... 5 3.2 Øverste sikkerhedsansvarlige... 6 Stabsdirektøren... 6 3.3 Direktionen... 6 3.4 Informationssikkerhedsudvalget / DDS... 6 Besluttende, igangsættende og styrende... 6 Sammensætning... 6 Udvalgets opgaver... 6 3.5 IT- og digitaliseringschefen Informationssikkerhedsleder... 7 Operationelt ansvar for daglig styring... 7 Leder af IT-afdelingen... 7 Superbruger gruppen... 7 3.6 Direktører... 7 Overordnet sikkerhedsansvarlige... 7 Overordnet dataejer og systemejer... 7 Overordnet ejer af fysiske sikkerhedsrelaterede aktiver... 7 3.7 Afdelingschefer... 8 Praktisk ansvar - Sikkerhedsansvarlige... 8 Praktisk ansvar Dataejere og Systemejere... 8 Praktisk ansvar Ejere af fysiske sikkerhedsrelaterede aktiver... 8 3.8 Gruppeledere i administrationen samt Institutionsledere... 8 Lokale sikkerhedsansvarlige... 8 Lokale data- og systemejere... 8 Lokale ejere af fysiske aktiver... 8 3.9 Overordnet systemadministration - IT-afdelingen... 8 3.10 Lokal systemadministration... 9 3.11 Superbrugere... 9 Fag-superbrugere Afdelings- og lokale systemadministratorer.... 9 IT-superbrugere - Praktisk udførende... 9 3.12 Medarbejderne... 9 Medarbejderens ansvar... 9 Bilag...10 2
1.0 Indledning 1.1 Baggrund Her beskrives den overordnede placering af ansvar og pligter omkring informationssikkerhed i Aabenraa Kommune. 1.2 Driftsstabilitet og beskyttelse af informationer De lovmæssige rammer for beskyttelse af informationer er primært at finde i lov om behandling af personoplysninger med tilhørende bekendtgørelser og vejledninger. Loven gælder for behandling af alle personoplysninger, som helt eller delvis foretages ved hjælp af elektronisk databehandling og for ikke elektronisk behandling af persondata i manuelle registre. Persondata udgør en væsentlig del af de informationer, der opbevares og behandles i kommunen, og persondatalovens skærpede krav til informationsbeskyttelse danner sammen med de forretningsmæssige krav om driftsstabilitet og effektivitet grundlag for organisering af informationssikkerheden. Organisering af informationssikkerheden følger generelt kommunens organisationsstruktur. Ansvaret for opbevaring og behandling af informationer følger ansvaret for løsningen af opgaverne og den almindelige delegering i organisationsstrukturen. Organiseringen af informationssikkerheden er illustreret i bilag 1. 2.0 Principper for sikkerhedsindretningen 2.1 ISO 27001 Standard for Informationssikkerhed Principperne i sikkerhedsorganiseringen er afstemt med retningslinjerne i informationssikkerhedsstandarden ISO 27001. Standarden anviser bl.a. en organisering af sikkerhedsindretningen, så der kontinuerligt foretages kontroller, vurderinger og opfølgning på sikkerheden Ejerskab og risikovurdering Data- og systemejerskab, samt ejerskab for fysiske aktiver, der har sammenhæng til informationssikkerheden, skal fastlægges med henblik på ansvarsplacering samt udarbejdelse af risikovurderinger. Hændelses- og beredskabstyring Forretningsgange for rapportering og eskalering skal indrettes, så sikkerhedshændelser og svagheder i informationsbehandlingssystemerne rapporteres og korrigeres rettidigt. Der skal implementeres beredsskabsstyring. Beredskabsplaner udarbejdes og implementeres for at sikre, at driften som følge af tab af informationsaktiver ved katastrofer og sikkerhedsbrister, kan reetableres inden for en fastsat tidsfrist. (bilag for IT-beredskabsplan) 2.2 Styring af organisationens sikkerhedsprocesser Ledelsen har nedsat et Informationssikkerhedsudvalg/Den Digitale Styregruppe (DDS), der fungerer som besluttende, igangsættende og styrende element for de sikkerhedsmæssige processer, der etableres i organisationen. Informationssikkerhedsudvalgets/(DDS) opgaver er beskrevet neden for. 3
2.3 Funktionsadskillelse ved systemadministration Det skal i alle sammenhæng sikres, at der er gennemført den nødvendige funktionsadskillelse ved administration af informationsaktiver (It-platform og det enkelte informationsbehandlingssystem), illustreret i bilag 2. Sammenfald af roller på økonomibærende systemer eller informationskritiske systemer, hvor både systemadministratorrollen og brugerrollen varetages af samme person, må ikke forekomme. Der er via AdHoc IT sikret funktionsadskillelse på alle øvrige informationsbehandlingssystemer. Hvor det ikke er praktisk eller økonomisk hensigtsmæssigt, at foretage funktionsadskillelse, skal kompenserende kontroller indføres. 2.4 Ledernes roller I sikkerhedsorganiseringen indgår fire sikkerhedsmæssige roller, som er tillagt lederne i organisationen: 1. Sikkerhedsansvarlig 2. Dataejer 3. Systemejer 4. Ejer af fysiske aktiver. Rollerne og deres specifikke ansvar og pligter er beskrevet herunder. Direktørerne har det overordnede ledelsesansvar og har på samme måde overordnet ansvar og pligter forbundet med de fire roller. Afdelingscheferne har en central rolle i sikkerhedsorganisationen. De har driftsansvar og herunder det praktiske ansvar og medhørende pligter forbundet med de fire roller. Gruppelederne og institutionslederne delegeres ansvar og pligter lokalt i afdelingen eller institutionen. 2.5 Sikkerhedsansvarlig En sikkerhedsansvarlig har ansvar for: - at sikkerhedspolitikker og de regler, der er relevante for vedkommendes ansvarsområde, er kendte og efterleves. - at medarbejderne gennem uddannelse og udvikling opnår sikkerhedsbevidsthed om nødvendigheden af at overholde de sikkerhedsmæssige retningslinjer. - at der efter behov, udarbejdes yderligere dokumentation vedr. sikkerhed for forvaltningens område, såfremt eksisterende regler og procedurer ikke er fyldestgørende. - at deltage i opklaringsarbejdet ved konstateret eller begrundet mistanke om sikkerhedsbrud, og rapportere til Sikkerhedslederen - at retningslinjerne for ansættelse, introduktion, løbende vurdering, funktionsskifte og afvikling af medarbejdere overholdes. - at der foreligger afprøvede og tilpassede beredskabsplaner for den sikkerhedsansvarliges ansvarsområde, og at vedkommende indgår i arbejdet med dannelse af disse. 4
2.6 Dataejer En dataejer har ansvar for: - at deltage i udarbejdelsen af risikovurderinger for systemtilknyttede data. - at der for data i informationssystemerne foreligger konkrete regler og procedurer for regulering og administration af adgangsforholdene, og at disse er i overensstemmelse med de grundliggende krav her til. - at autorisere adgangen til data i h.t. retningslinjerne herfor. - at foretage opfølgning og rapportering af sikkerhedsbrud til sikkerhedslederen. - at indgå i arbejdet med udarbejdelse af afprøvede og tilpassede beredskabsplaner. 2.7 Systemejer En systemejer har ansvar for: - at deltage i udarbejdelsen af risikovurderinger for informationssystemet. - at der ved drift af eksisterende og idriftsætning af nye systemer foreligger konkrete regler og procedurer for regulering og administration af adgangsforholdene, og at disse er i overensstemmelse med de principielle krav her til. - at autorisere adgangen til systemet i h.t. retningslinjerne herfor. - at foretage opfølgning og rapportering af sikkerhedsbrud til sikkerhedslederen - at indgå i arbejdet med udarbejdelse af afprøvede og tilpassede beredskabsplaner. 2.8 Ejer af fysisk sikkerhedsrelateret aktiv En ejer af et fysisk aktiv har ansvar for: - at der udarbejdes en kravspecifikation ved placering, indretning, forandring m.v. som tager eksplicit hensyn til sikkerhedsmæssige forhold. - at der udarbejdes en risikovurdering i h.t. kravene hertil. - at der ved ibrugtagning af lokaler/udstyr foreligger konkrete regler og procedurer for regulering og administration af adgangsforholdene og at disse er i overensstemmelse med de principielle krav hertil. - at autorisere adgangen til lokaler/udstyret i h.t. retningslinierne herfor. - at foretage opfølgning og rapportering af sikkerhedsbrud til sikkerhedslederen. - at indgå i arbejdet med udarbejdelse af afprøvede og tilpassede beredskabsplaner. 3.0 Organisering af sikkerheden 3.1 Byrådet Byrådet er kommunens øverste besluttende og ansvarlige organ og fastlægger informations sikkerhedsorganisationen for Aabenraa Kommune. Byrådet fungerer jfr. persondataloven som dataansvarlig og er pålagt forpligtelser til sikring af, at borgernes retsstilling og integritet ikke krænkes. Opgaven delegeres efter de almindelige kommunalretlige retningslinier for delegation. 5
3.2 Øverste sikkerhedsansvarlige Stabsdirektøren Stabsdirektøren er den øverste sikkerhedsansvarlige og har det overordnede ansvar for sikkerhedsindsatsen i hele kommunen. Direktøren har adgang til sædvanlig delegation. IT- og digitaliseringschefen er stedfortræder. Informationssikkerhedsopgaven varetages af stedfortræderen under direktørens fravær. 3.3 Direktionen Direktionen fastlægger kommunens strategier omkring informationssikkerhed. 3.4 Informationssikkerhedsudvalget / DDS Besluttende, igangsættende og styrende Direktionen har nedsat et informationssikkerhedsudvalg/dds, der fungerer som besluttende, igangsættende og styrende element for de sikkerhedsmæssige tiltag / projekter, der etableres i organisationen. Sammensætning - Den Digitale Styregruppe består af repræsentanter for alle forvaltninger, som er udpeget af direktionen. Oversigt over udvalgsmedlemmer (Bilag 2) Udvalgets opgaver - Formulere og vedligeholde sikkerhedspolitikken og indstille den til godkendelse i Byrådet. - Beslutte og vedligeholde retningslinjer for sikkerhedsarbejdet, som konkretiserer politikken, og træffe afgørelse om fortolkning eller ændring af retningslinjerne. - Sikre, at der for data og systemer er udpeget data- og systemejere, samt at fysiske aktiver ligeledes har ejerskab. Udvalget skal sikre, at der foreligger retningslinjer for ejernes ansvar. - Påse, at der foreligger vedligeholdt dokumentation for informationssystemernes indretning. - Påse, at de data- og systemansvarlige samt ejerne af fysiske aktiver udarbejder de nødvendige detailregler. - Vurdere og sikre gennemførelse af den overordnede uddannelse og information vedrørende informationssikkerheden. - Påse, at adfærdskodeks (eksempelvis som beskrevet i 9 gode råd) indeholder information om relevante retningslinjer og procedurer. - Prioriterer aktiviteter og igangsætte indsatsområder på grundlag af indstilling fra sikkerhedslederen. 6
3.5 IT- og digitaliseringschefen Informationssikkerhedsleder Operationelt ansvar for daglig styring IT- og digitaliseringschefen har, som informationssikkerhedsleder, det operationelle ansvar for den daglige styring af informationssikkerhedsindsatsen, som beskrevet i kommunens Informations-sikkerhedspolitik. IT- og digitaliseringschefen sikrer, at de aktiviteter, standarder, retningslinjer, kontroller og foranstaltninger, der er beskrevet i sikkerhedsregler, gennemføres og efterleves. Leder af IT-afdelingen IT- og digitaliseringschefen er leder af IT-afdelingen, der varetager drift og vedligeholdelse af IT-platformen, samt udføre den overordnede systemadministration af IT-platformen og udpegede tværgående systemer. I sammenhæng med driftsansvaret er IT- og digitaliseringschefen: Sikkerhedsvarlig, Data- og systemejer samt ejer af fysiske aktiver for systemer og fysiske aktiver, der anvendes til varetagelse af eller i tilknyttet til opgaven. Superbruger gruppen IT- og digitaliseringschefen har ansvar for at kredsen af superbrugere Superbruger gruppen holdes ajour omkring særlige tekniske og sikkerhedsmæssige forhold, der har betydning for superbrugernes supervision af medarbejderne. 3.6 Direktører Overordnet sikkerhedsansvarlige Direktørerne er overordnet sikkerhedsansvarlige for egen forvaltning / stabsfunktion. Overordnet dataejer og systemejer Direktørerne er overordnede dataejere, med ansvar for data der produceres eller primært knytter sig til opgaveløsningen i egen forvaltning / stabsfunktion. De er også overordnede systemejere for de informationsbehandlingssystemer, sædvanlig vis fagsystemer, der knytter sig til opgaveløsningen i egen forvaltning / stabsfunktion. Systemejeren er ansvarlig for sikkerhedsindretningen af egne systemer, samt for koordinering med andre berørte systemejere, hvis ikke alene systemejer selv. Overordnet ejer af fysiske sikkerhedsrelaterede aktiver Direktørerne er overordnede ejere af de sikkerhedsrelaterede fysiske aktiver, der kan knyttes til egen forvaltning / stabsområde. Ejerskabet omfatter fysiske aktiver, der specifikt anvendes i eller adgangssikrer forvaltningen / stabsfunktionen. Rollen omfatter også nødvendig koordinering ved fysiske aktiver, der ejes fælles med andre ejere. Ejerskabet for større fælles sikkerhedsrelaterede aktiver som f.eks. alarmanlæg ved Rådhus bygninger kan placeres ved særligt udpegede medarbejdere. 7
3.7 Afdelingschefer Praktisk ansvar - Sikkerhedsansvarlige Afdelingscheferne er praktisk sikkerhedsansvarlige inden for egen afdeling og tilknyttede institutioner. Opgaver og pligter er delegeret fra overordnet direktør. Praktisk ansvar Dataejere og Systemejere Afdelingscheferne fungerer som dataejere for informationer, der produceres og opbevares inden for afdelingschefens ansvarsområde. Opgaver og pligter er delegeret fra overordnet direktør Cheferne er også systemejere af fagsystemer, som anvendes inden for afdelingschefens ansvarsområde. Opgaven omfatter også koordinering med andre berørte systemejere. Opgaver og pligter er delegeret fra overordnet direktør. Praktisk ansvar Ejere af fysiske sikkerhedsrelaterede aktiver Afdelingschefer har det praktiske ansvar for de fysiske aktiver, der kan knyttes til afdelingschefens ansvarsområde. Opgaven omfatter ejerskab og koordinering. Opgaver og pligter er delegeret fra overordnet direktør. 3.8 Gruppeledere i administrationen samt Institutionsledere Lokale sikkerhedsansvarlige Gruppeledere i administrationen og Institutionsledere på kommunalt ejede og selvejende institutioner er lokale sikkerhedsansvarlige inden for eget område. Ansvaret dækker også lokale ledere ved samarbejdspartnere der med baggrund i lejeaftaler eller samarbejdsaftaler anvender kommunens bygninger eller IT-systemer. Opgaver og pligter delegeres fra overordnet direktør eller afdelingschef. Lokale data- og systemejere Lederne vil på afdelingschefernes foranledning fungere som lokale data og systemejere for data og systemer, der isoleret anvendes i den aktuelle gruppe eller på den aktuelle institution. Opgaver og pligter delegeres fra overordnet direktør eller afdelingschef. Lokale ejere af fysiske aktiver Lederne vil på afdelingschefens foranledning fungere som lokale ejere af fysiske aktiver der anvendes i lederens afdeling / institution. 3.9 Overordnet systemadministration - IT-afdelingen IT-afdelingen fungerer som overordnede systemadministratorer på ITplatformen og på udpegede tværgående systemer. IT-afdelingen opretter, ændrer og sletter brugere og deres systemrettigheder i overensstemmelse med sikkerhedsreglerne efter anmodning fra dataejer eller andre hertil bemyndiget. 8
3.10 Lokal systemadministration Afdelingscheferne udpeger i nødvendigt omfang lokale systemadministratorer på afdelingsspecifikke- og lokale fagsystemer indenfor den enkelte forvaltning. Udpegelse af lokaladministratorer skal ske under hensyn til reglerne for funktionsadskillelse. 3.11 Superbrugere Superbrugere udpeges og virker i henhold til reglerne her for. Foruden superbrugernes rolle med supervision af medarbejderne, indgår Fag- og ITsuperbrugerne som et aktivt led i systemadministrationen: Fag-superbrugere Afdelings- og lokale systemadministratorer. Afdelings og lokale systemadministratorer skal så vidt muligt være udpegede som fag-superbrugere. Disse indgår i superbrugergruppen, som består af superbrugere, sikkerhedslederen samt repræsentanter fra IT-afdelingen. IT-superbrugere - Praktisk udførende IT-Superbrugerne er praktisk udførende ved fremsendelse af anmodninger om autorisationer der skal gennemføres af IT-afdelingen IT-superbrugerne fungere i den forbindelse i samarbejde med og på afdelingschefernes kompetence og udgør et bindeled / kvalitetssikring af anmodningerne om autorisation til IT-platformen og udpegede tværgående systemer. 3.12 Medarbejderne Medarbejderens ansvar Den enkelte medarbejder har ansvar for: - at overholde Informationssikkerhedspolitikken og de sikkerhedsregler, der er relevante for den enkeltes arbejdsopgaver. - at rapportere om eventuelle sikkerhedsbrud eller mistanke herom til nærmeste chef eller sikkerhedslederen. 9
Bilag Bilag 1 Organisering af informationssikkerhed Roller Ø verste sikkerhedsansvarlige Stabsdirektør Byrå d Kommunaldirektør Direktør Informationssikkerhedsudvalg (DDS) Styring af sikkerheds processer / projekter Sikkerhedsleder Operationelt ansvar og daglig ledelse af sikkerhedsindsatsen. Direktører Overordnede sikkerhedsansvarlige for egen forvaltning / stab Overordnede data - og systemejere Overordnede ejere af fysiske sikkerheds - relaterede aktiver IT- - og digitaliseringschefen Leder af IT-afdelingen (Overordnet IT-system administration) Dataejer på IT-driftsmæssige data. Systemejer for IT -platform og udpegede tv ærgående systemer. IT- og digitaliseringschef Informationssikkerheds - udvalg (DDS) Sikkerhedsleder Direktør Organisationsudsnit Direktør Afdelingschefer Afdelings sikkerhedsansvarlige Afdelings data - og systemejere Afdelingsejere af fysiske sikkerh.relat.aktiver Afd.Chef Afd.Chef Afd.Chef Afd.Chef Afd.Chef Gruppeledere og institutionsledere Lokale sikkerhedsansvarlige for gruppe/institut. Lokale data- og systemejere Lokale ejere af fysiske sikkerh.relat. aktiver Gruppeledere og institutionsledere 10
Bilag 2 Informationssikkerheds udvalgets (DDS s) medlemmer: Formand Eva Minke Andersen IT Lars Hende Svenson Børn- og Skole Esben Krabbe Christiansen Borgerservice og Jobcenter Lars Harding Hansen Social og Sundhed Morten Skovmand Fogh KME Charlotte Bay Greisen IT/ Digitalisering Erik Borum Staben Daglig projektledelse: Informationssikkerhedsleder Eva Minke Andersen IT- og digitaliseringschef Sekretær Hans Henrik Lerbæk Schneider IT- digitalisering 11