Halsnæs Kommune INFORMATIONS- SIKKERHEDSPOLITIK Vedtaget af Halsnæs Byråd 202. 25-09-207
FORSIDE Halsnæs Kommune Informationssikkerhedspolitik 202 INDLEDNING Denne informationssikkerhedspolitik udgør den overordnede ramme for beskyt telse af information i Halsnæs Kommune. De retningslinjer samt sikkerheds- og kontrolforanstaltninger, der gælder i Halsnæs Kommune, samles i en sikkerhedshåndbog. Udmøntning af reglerne sker i form af procedurer, vejledninger, kontrolforanstaltninger, mv. baseret på Informationssikkerhedsstandarden ISO 27000. FORMÅL Formålet med informationssikkerhedspolitikken er at sætte de overordnede ram mer for de sikringsforanstaltninger, der skal beskytte data, information og informationssystemer med udgangspunkt i tre centrale begreber:. Fortrolighed - information kommer ikke uvedkommende til kendskab.. Integritet - information forbliver pålidelig, korrekt og intakt.. Tilgængelighed - Side af 7
relevant information kan tilgås og anvendes, når relevante personer har behov for det. Sikringsforanstaltningerne skal rettes imod alle former for trusler, der kan komme intern såvel som ekstern fra: Bevidst skadevoldende handlinger og misbrug. Hændelige fejl og uheld. Det skal sikres, at konsekvenserne af et sikkerhedsbrud reduceres til et accepta belt niveau: Halsnæs Kommune skal sikre, at borgerne og virksomheder til stadighed kan føle sig trygge ved at overlade deres data og informationer til kommunen. Halsnæs Kommune skal sikre medarbejderne mod mistænkeliggørelse og derved sikre medarbejdernes tryghed. Informationssikkerheden skal altid leve op til følgende krav:. Sikkerhedsmæssige krav, der Side 2 af 7
udspringer af lovgivningen. Her har specielt persondataloven betydning.. Beredskabsplaner skal efter et nedbrud, der ikke kan håndteres inden for de normale rammer for daglig driftsafvikling, muliggøre genoptagelse af drift inden for de aftalte tidsfrister. OMFANG Politikken omfatter Halsnæs Kommunes data og informationer, som er: Enhver information, der tilhører kommunen. Informationer, som ikke tilhører kommunen, men som kommunen kan gøres ansvarlig for. Alle informationer, uanset hvilket medie informationen opbevares eller formidles på. Politikken er gældende for: Byrådsmedlemmer. Side 3 af 7
Alle ansatte. Samarbejdspartnere, der har adgang til den kommunale it-infrastruktur. netværk. Øvrige brugere af Halsnæs Kommunes I det omfang Halsnæs Kommunes data og informationer hostes hos eller behandles af eksterne serviceleverandører, skal det i samarbejdet med servicele verandøren sikres, at kommunens sikkerhedsniveau fastholdes. D.v.s. at serviceleverandøren, dennes faciliteter og medarbejdere, som har adgang til kommunens informationer, som minimum lever op til kommunens informationssikkerhedsniveau. HOLDNINGER OG PRINCIPPER Informationssikkerhed i Halsnæs Kommune fastlægges dels ud fra ønsket om høj sikkerhed og dels ud fra hensynet til brugervenlig it-anvendelse. Informationssikkerheden implementeres i overensstemmelse med følgende over ordnede holdninger og principper: Kommunens troværdighed på informationssikkerhedsområdet overfor omverdenen, herunder borgere, virksomheder og samarbejds-partnere, må ikke kunne drages i tvivl. Side 4 af 7
Sikkerhedsforanstaltninger skal søges tilrettelagt, så de opleves som en naturlig del af medarbejdernes daglige arbejde og ikke som en barriere. Sikkerheden søges styret i overensstemmelse med almindelig aner kendte metoder og procedurer for informationssikkerhed. Såfremt borgere eller virksomheder berøres af sikkerhedshændelser hos Halsnæs Kommune, vil kommunen kommunikere målrettet og arbejde for at genoprette normal drift hurtigst muligt. SIKKERHEDSBEVIDSTHED, ORGANISATION OG ANSVAR Kommunens medarbejdere, byrådsmedlemmer og samarbejdspartnere har alle et medansvar for at kommunes informationer og informationssystemer beskyt tes. For at sikre, at der til stadighed er et tilstrækkeligt bevidsthedsniveau, skal alle løbende uddannes i emner vedrørende informationssikkerheden. Uddannelse i forhold til informationssikkerheden skal tilrettelægges målrettet, således at de forskellige medarbejdergrupper får netop den viden, der er rele vant for deres arbejdsområde. Halsnæs Kommunes byråd har det overordnede ansvar for informations-sikkerheden i kommunen. Der etableres en informationssikkerhedsorganisation, der tildeles ansvaret for beskrivelse og udmøntning af nærværende informationssikkerhedspolitik, løbende risikovurdering og kommunikation til alle medarbejdere, samarbejdspartnere og byrådsmedlemmer i Halsnæs Kommune. Side 5 af 7
Byrådet har det overordnede ansvar for informationssikkerheden og fastlægger overordnede principper og politik for informationssikkerheden. Direktionen fastlægger sikkerhedsorganisationen, sikkerhedsretningslinier, kontrolforanstaltninger og øvrige forhold der udmønter byrådets beslutninger på informationssikkerhedsområdet. ÅRSHJUL FOR INFORMATIONSSIKKERHED Efter godkendelse af Kommunens informationssikkerhedspolitik, skal denne vedligeholdes og holdes levende. Dette sikres blandt andet gennem de opgaver der udføres i organisationen, gennem de roller og ansvar der er beskrevet ovenfor. Det kan illustreres via årshjul for hver af de overordnede roller. Byrådet skal en gang årligt have: - Forelagt status på informationssikkerheden, herunder rapportering af vigtige sikkerhedshændelser. - Tage stilling til overordnede ændringer til eller implementering af politikken Direktionen skal: - Side 6 af 7
Levere årlig status til byrådet BRUD PÅ INFORMATIONSSIKKERHEDEN Såfremt en medarbejder opdager trusler mod informationssikkerheden eller brud på denne, skal dette straks meddeles til den ansvarlige systemejer. Medarbejdere, som bryder informationssikkerhedspolitikken eller deraf afledte retningslinjer, vil blive udsat for disciplinære forholdsregler i overensstemmelse med Halsnæs kommunes gældende regler og personalepolitik. UDMØNTNING Politikken skal omsættes til operative sikkerhedsbestemmelser og procedurer. Der skal ske opfølgning på efterlevelse i organisationen. De retningslinjer samt sikkerheds- og kontrolforanstaltninger, der gælder i Halsnæs Kommune, samles i en sikkerhedshåndbog. Udmøntning af reglerne sker i form af procedurer, vejledninger, kontrolforanstaltninger, mv. OFFENTLIGGØRELSE Denne politik offentliggøres på Halsnæs Kommunes intranet og kan udleveres til relevante samarbejdspartnere. Øverste daglige leder af informationssikkerheden sikrer implementering og udmøntning af informationssikkerhedspolitikken. Side 7 af 7