Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2



Relaterede dokumenter
Region Hovedstadens Ramme for Informationssikkerhed

Fællesregional Informationssikkerhedspolitik

Informationssikkerhedspolitik for Region Midtjylland

Informationssikkerhedspolitik for <organisation>

Fællesregional Informationssikkerhedspolitik

Politik <dato> <J.nr.>

Indholdsfortegnelse Indledning Formål Omfang Holdninger og principper... 4

Assens Kommune Sikkerhedspolitik for it, data og information

Overordnet Informationssikkerhedspolitik

MedComs informationssikkerhedspolitik. Version 2.2

Informationssikkerhedspolitik

Informationssikkerhedspolitik. Frederiksberg Kommune

Faxe Kommune. informationssikkerhedspolitik

INFORMATIONS- SIKKERHEDSPOLITIK

Aabenraa Kommune. Informationspolitik. Udkast. Udkast:

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

PSYKIATRIFONDENS Informationssikkerhedspolitik

Vejledning i informationssikkerhedspolitik. Februar 2015

Fredericia Kommunes Informationssikkerhedspolitik 1 FREDERICIA KOMMUNE AFDELING TITEL PÅ POWERPOINT

Informationssikkerhedspolitik Frederiksberg Kommune

Kære medarbejder og leder

Overordnet It-sikkerhedspolitik

Informationssikkerhedspolitik. for Aalborg Kommune

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ikast-Brande Kommune. Informationssikkerhedspolitik (efterfølgende benævnt I-Sikkerhedspolitik) Maj 2016 Sag nr. 2015/06550

Informationssikkerhedspolitik For Aalborg Kommune

Hjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune

Overordnet it-sikkerhedspolitik for Rødovre Kommune

IT-sikkerhedspolitik S i d e 1 9

Ballerup Kommune Politik for databeskyttelse

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet "informationer"? 2

Overordnet Informationssikkerhedsstrategi. for Odder Kommune

KÆRE MEDARBEJDER OG LEDER

SOPHIAGÅRD ELMEHØJEN

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Databeskyttelsespolitik for DSI Midgård

Informationssikkerhedspolitik. DokumentID / Dokumentnr /

Koncessionskontrakt vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Kultur- og Fritidsforvaltningen.

IT-SIKKERHEDSPOLITIK UDKAST

IT-sikkerhedspolitik for

Halsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune.

Politik for informationssikkerheddatabeskyttelse

Overordnet organisering af personoplysninger

Overordnet informationssikkerhedsstrategi

Overordnet organisering af personoplysninger

Version: 1.0 Maj Informationssikkerhedspolitik for Struer Statsgymnasium

Ver. 1.0 GENTOFTE KOMMUNES INFORMATIONSSIKKERHEDSPOLITIK

Vejledning i etablering af forretningsoverblik. Januar 2018

IT-sikkerhedspolitik. for Social- og Sundhedsskolen Esbjerg

Informationssikkerhedspolitik for Horsens Kommune

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner.

Organisering og styring af informationssikkerhed. I Odder Kommune

Databeskyttelsespolitik for Netværket Smedegade, en social institution, der primært hoster data og programmer hos databehandlere

Informationssikkerhedspolitik for Vejen Kommune

It-sikkerhedspolitik for Københavns Kommune

Forfatter: Carsten Stenstrøm Mail: Telefon: IT Amerika Plads København Ø

Databeskyttelsespolitik

(hver for sig kaldet en "Part" og samlet "Parterne")

INFORMATIONS- SIKKERHEDS- POLITIK

Hovmosegaard - Skovmosen

Fællesregional Informationssikkerhedspolitik

1. Indledning... 3 Hvad er informationssikkerhed? Formål med informationssikkerhedspolitikken... 4 Ydre rammer for arbejdet med

Assens Kommune Politik for databeskyttelse og informationssikkerhed

1 Informationssikkerhedspolitik

Sikkerhedspolitik. Informationssikkerhedspolitik for DIFO og DK Hostmaster. DK Hostmaster. Godkendt Version / ID 11.1.

Informationssikkerhedspolitik for Sønderborg Kommune

DATABESKYTTELSESPOLITIK

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484

IT-sikkerhedspolitik for Lyngby Tandplejecenter

IT- og informationssikkerheds- politik (GDPR) For. Kontrapunkt Group

POLITIK FOR INFORMATIONSSIKKERHED

OPTION TIL RM OG RN BILAG 14 TIL KONTRAKT OM EPJ/PAS IT-SIKKERHED OG DATABEHANDLERAFTALE

It-sikkerhedspolitik for Farsø Varmeværk

Indholdsfortegnelse. Generelt 3. Formål 3. Omfang 4. Sammenhæng med IT- og forretningsstrategier 4

Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

OVERORDNET IT-SIKKERHEDSPOLITIK

LinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK

Aarhus Kommune. IT-sikkerhedspolitik. Politik

Politik for informationssikkerhed i Plandent IT

Bekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.

Regionernes politiske linje for informationssikkerhed

Informationssikkerhed

EU-udbud af Beskæftigelsessystem og ESDHsystem

Informationssikkerhed regler og råd

Rapport. Anbefaling. Sikkerhedstjekket 2016 Rådet for Digital Sikkerhed

Politik for Datasikkerhed

KOMBIT sikkerhedspolitik

NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER

Kontraktbilag 7: Databehandleraftale

BILAG 14 TIL KONTRAKT OM EPJ/PAS IT-SIKKERHED OG DATABEHANDLERAFTALE

Informationssikkerhedspolitik for Odder Gymnasium

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED

Politik for informationssikkerhed 1.2

BILAG 5 DATABEHANDLERAFTALE

IT sikkerhedspolitik for Business Institute A/S

Skanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017

Bilag 1 Databehandlerinstruks

REGIONERNES POLITISKE LINJE FOR INFORMATIONSSIKKERHED

Denne publika ion er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks København K Telefon digst@digst dk

Transkript:

Status for ændringer Version Dato Navn Bemærkning 1.0 24-04-2007 Vedtaget i Regionsrådet 1.1 13-02-2012 IMT-Informationssikkerhed Tilpasning af terminologi 1.2 15-10-2012 IMT-Informationssikkerhed Rettelse af telefonnummer og andre små rettelser 1 Formål... 3 2 Gyldighedsområde/omfang... 4 3 Målsætninger... 4 4 Informationsikkerhedsniveau... 4 5 Organisation... 5 6 Informationssikkerhedsbevidsthed... 6 7 Brud på informationssikkerheden... 6 8 Gennemførelse, opfølgning og revision... 7 9 Informationssikkerhedsretningslinjer... 7 2

Informationssikkerhedspolitikken skal til enhver tid understøtte Region Hovedstadens værdigrundlag, vision og de strategiske mål, der fastlægges i regionens strategier. Region Hovedstaden er med sine godt 40.000 medarbejdere en af Danmarks største arbejdspladser. Med bl.a. den elektroniske patientjournal og øget digitalisering af administrative procedurer, bliver det helt essentielt for kvalitet og service, at der er adgang til korrekte og tidstro informationer, når man skal løse opgaver. De informationer, som indgår i opgaveløsningen, er for en stor dels vedkommende kendetegnet ved, at der er krav om høj grad af fortrolighed (de personfølsomme data). De skal være tilgængelige døgnet rundt, og de må under ingen omstændigheder forvanskes eller mistes. Ovenstående stiller store krav til sikkerheden i udvikling, implementering og drift af it-løsninger og til medarbejdernes kendskab til og overholdelse af sikkerheds, vejledninger og - instrukser i forbindelse med informationsbehandlingen. 1 Formål Informationssikkerhedspolitikken for Region Hovedstaden fastlægger det overordnede ansvar, krav og rammer for at beskytte regionens informationer både papirbaserede og elektroniske. I særlig grad skal man sikre kritiske og følsomme informationer, så de bevarer deres fortrolighed, integritet og tilgængelighed. Informationsbehandling med anvendelse af manuelle og it-baserede informationssystemer er nødvendig, for at Region Hovedstaden kan leve op til sine forpligtelser som offentlig myndighed og fremstå som en effektiv, pålidelig og troværdig organisation. Borgere, virksomheder, samarbejdsparter og andre interessenter har krav på, at der er etableret procedurer i forbindelse med informationsbehandling, som sikrer, at den nødvendige grad af fortrolighed, tilgængelighed og integritet bevares. Informationssikkerhed skal derfor være en integreret del af den ydelse, Region Hovedstaden leverer til borgere, virksomheder, samarbejdsparter m.fl., lige som det skal være en integreret del af det daglige arbejde for medarbejderne og andre brugere. Informationssikkerhedspolitikken er rammen for udarbejdelse af retningslinjer, vejledninger og instrukser vedrørende informationssikkerhed. Det skal sikres, at der i regionen etableres de nødvendige indbyggede vedligeholdelses- og kontrolfunktioner, så informationsbehandlingen kan ske sikkert og i overensstemmelse med den vedtagne politik og de tilhørende retningslinjer samt gældende lovgivning. Formålet hermed er at forebygge informationssikkerhedsproblemer, at begrænse eventuelle skader og at sikre at informationer kan retableres i fald de fortabes. 3

2 Gyldighedsområde/omfang Informationssikkerhedspolitikken gælder alle steder i og udenfor regionen, hvor informationer opbevares, anvendes eller behandles, uanset i hvilken form de anvendes eller formidles. Informationssikkerhedspolitikken omfatter alle brugere - medarbejdere, forskere, konsulenter, regionsrådsmedlemmer, elever, studerende og andre, der midlertidigt eller for en længere periode har adgang til regionens informationer Alle personer, der får adgang til informationer, som regionen har ansvar for, skal overholde informationssikkerhedspolitikken og de tilknyttede bestemmelser, retningslinjer, vejledninger og instrukser. Endvidere gælder informationssikkerhedspolitikken for og hos samarbejdspartnere, der opbevarer, anvender eller behandler papirbaserede eller elektroniske informationer efter aftale med regionen. 3 Målsætninger Regionens sikkerhedsforanstaltninger skal fastlægges ud fra en konkret vurdering, idet der skal være et rimeligt forhold mellem nødvendigheden af foranstaltningen, dens effektivitet og omkostning, herunder at foranstaltningerne skal gennemføres med mindst mulig ulempe for det daglige arbejde. Målet for informationssikkerheden i Region Hovedstaden er at: regionen fremstår som en organisation med en pålidelig it-service og med en troværdig beskyttelse af sine informationer der er størst mulig åbenhed om mål og midler i informationssikkerhedsarbejdet, så alle kender deres egen rolle i sikringen af regionens informationer regionen på de informationssikkerhedsmæssige områder lever op til lovgivning og nationale standarder ingen uvedkommende kan få adgang til informationer eller informationssystemer, der kan anvendes til skade for borgere, patienter, regionens ansatte, eller regionen selv informationssikkerheden er lokalt forankret og indgår som en naturlig del i det daglige arbejde begrænse konsekvenserne af eventuelle skader til en for regionen kendt og accepteret størrelse samt sikre, at en videreførelse af databehandlingen efter skade kan ske indenfor en accepteret økonomisk ramme og tidshorisont omgåelse eller forsøg på omgåelse af informationssikkerhedsreglerne opdages og kan tilbageføres til den eller de ansvarlige personer 4 Informationssikkerhedsniveau Beskyttelsen af regionens informationer, skal afstemmes efter risiko, væsentlighed og økonomi samt overholde lovkrav og indgående aftaler. Som udgangspunkt skal informationssikkerhedsniveauet svare til de basale sikringsforanstaltninger i DS484:2005 Standard for Informationssikkerhed. Hvis sikkerhedsniveauet afviger herfra, skal der foreligge en begrundelse herfor. 4

Informationssikkerhedsretningslinjerne er således også baseret på DS484:2005 og omfatter følgende hovedområder: 1. Organisering af informationssikkerhed 2. Styring af informationsrelaterede aktiver 3. Medarbejdersikkerhed 4. Fysisk sikkerhed 5. Styring af netværk og drift 6. Adgangsstyring 7. Anskaffelse, udvikling og vedligeholdelse af informationsbehandlingssystemer 8. Styring af sikkerhedshændelser 9. Beredskabsstyring 10. Overensstemmelse med lovbestemte og kontraktlige krav Der gennemføres regelmæssigt en risikovurdering, så ledelsen kan holde sig informeret om det aktuelle risikobillede. Der foretages ligeledes en risikovurdering ved større forandringer. Risikovurderingen er således ledelsens beslutningsgrundlag i forbindelse med implementering af nødvendige sikringsforanstaltninger. Sårbarheden overfor hændelser, der kan påvirke informationer og informationssystemer må ikke være højere, end at der kan opretholdes en forsvarlig driftssituation, der understøtter regionens opgaveløsning. Samtidig skal sikkerhedsniveauet være tilpasset de informationer, der skal beskyttes og de situationer, hvor informationerne anvendes, så sikringsforanstaltninger indpasses bedst muligt i det daglige arbejde. For særligt følsomme data, f.eks. følsomme personoplysninger eller fortrolige informationer om en leverandøraftale, skal der være etableret ekstra sikkerhed, som f.eks. adgangskontrol, kryptering o.l. ((jf. dataklassifikation). Regelmæssigt eller ved væsentlige ændringer i informationsbehandlingen, foretages der en uafhængig vurdering af, om den daglige praksis afspejler politikken, strategien, retningslinjerne, vejledningerne og instrukserne og om disse overholdes. Koncerndirektionen har ansvaret for, at der foreligger en it-beredskabsplan for håndtering af større informationssikkerhedsmæssige hændelser og tekniske uheld, og at alle involverede personer i informationssikkerhedsorganisationen og linjeorganisationen er bekendt med deres pligter og opgaver i forbindelse med sådanne hændelser. Beredskabsplanen skal sikre, at skaden begrænses mest muligt og at driften i videst muligt omfang opretholdes og genoprettes. For forretningskritiske systemer skal der tages stilling til, hvor hurtigt, der skal etableres nøddrift. Der skal foreligge forretningsmæssige nødprocedurer for alle kritiske forretningsområder. 5 Organisation Inden for denne informationssikkerhedspolitik er det koncerndirektionen, der har ansvaret for at udvikle en informationssikkerhedsstrategi, der indeholder sikkerhedsmålsætning og overordnede handlingsplaner på området. Direktionen forelægger politikken til godkendelse i Regionsrådet. 5

Koncerndirektionen har ansvaret for udarbejdelse af overordnede informationssikkerhedsretningslinjer/ vejledninger. Det formelle ansvar for implementering og kontrol med overholdelse af informationssikkerhedspolitikken er placeret i linjeorganisationen. Til støtte for koncerndirektionen er der i It, Medico og Telefoni (IMT) etableret en informationssikkerhedsfunktion, der skal støtte en harmoniseret implementering og administration af informationssikkerhedspolitikken i hele regionen. Roller og ansvar i relation til informationssikkerhed, herunder styringen af informationssikkerhedsarbejdet, fastlægges i Informationssikkerhedsretningslinjerne i kapitlet vedr. informationssikkerhedsorganisation. 6 Informationssikkerhedsbevidsthed Som brugere af regionens informationer skal alle medarbejdere følge informationssikkerhedspolitikken og de retningslinjer, vejledninger og instrukser, der er afledt heraf. Medarbejdere må kun anvende informationer, som regionen har ansvaret for, i overensstemmelse med de arbejdsopgaver de udfører, og informationerne skal beskyttes i overensstemmelse med deres følsomhed og væsentlighed. Bevidstheden om sikker anvendelse af regionens informationer gælder også alle andre brugere som forskere, konsulenter, regionsrådsmedlemmer, elever, studerende og andre, der får adgang til regionens informationer. Det er direktionens ansvar at sikre, at alle brugere er bekendt med de retningslinjer, der er gældende for informationer inden for de enkelte forretningsprocesser. Det er ledelsens opgave at uddanne medarbejderne i informationssikkerhed, samt at oplyse medarbejderne om ansvarlighed i relation til regionens informationer og informationssystemer. 7 Brud på informationssikkerheden Hvis en medarbejder opdager brud eller mulige brud på informationssikkerheden, skal det meddeles til den nærmeste leder, der videreformidler dette til informationssikkerhedsorganisationen Medarbejdere som overtræder informationssikkerhedspolitikken eller deraf afledte retningslinjer og vejledninger er underlagt de sædvanlige personaleretlige disciplinære sanktioner. Lovovertrædelser meldes til politiet. 6

8 Gennemførelse, opfølgning og revision På baggrund af den overordnede politik udarbejdes der uddybende retningslinjer, vejledninger og instrukser for håndtering af informationssikkerhed. Hvis der er forhold, der gør, at det ikke er muligt at implementere retningslinjerne, vejledninger og instrukser fuldt ud, kan virksomheds- og stabsdirektører give dispensation fra retningslinjerne efter rådgivning fra Informationssikkerhedsfunktionen. Dispensationer indberettes årligt til koncerndirektionen. Koncerndirektionen er forpligtet til årligt at vurdere, om der skal foretages ændringer i informationssikkerhedspolitikken. Vurderingen indgår i regnskabsaflæggelsen. 9 Informationssikkerhedsretningslinjer Informationssikkerhedspolitikken uddybes i regionens informationssikkerhedsretningslinjer, som udbygges og revideres løbende. Retningslinjerne vil bl.a. indeholde kapitler, som omhandler Regionens vejledninger og procedurer og mere detaljerede organisering af informationssikkerhedsarbejdet: Informationssikkerhedspolitik og -strategi Informationssikkerhedsorganisation Informationssikkerhedsfunktionens opgaver Styring af informationssikkerhed Retningslinjer for informationssikkerhed (sikkerhedsregler inden for) Risikovurdering og -håndtering Organisering af informationssikkerhed Styring af informationsrelaterede aktiver Medarbejdersikkerhed Fysisk sikkerhed Styring af netværk og drift Adgangsstyring Anskaffelse, udvikling og vedligeholdelse af informationsbehandlingssystemer Styring af sikkerhedshændelser Beredskabsstyring Overensstemmelse med lovbestemte og kontraktlige krav 7

For yderligere information kontakt: IMT Informationssikkerhedsfunktionen E-mail: informationssikkerhed@regionh.dk Telefon: 38649090 Intranet: http://regi-intranet.regionh.dk/menu/it/informationssikkerhed/ IMT Informationssikkerhedsfunktionen Borgervænget 7 2100 København Ø 8

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback