Informationssikkerhedspolitik

Relaterede dokumenter
Informationssikkerhedspolitik Frederiksberg Kommune

Informationssikkerhedspolitik. Frederiksberg Kommune

Assens Kommune Sikkerhedspolitik for it, data og information

Indholdsfortegnelse Indledning Formål Omfang Holdninger og principper... 4

INFORMATIONS- SIKKERHEDSPOLITIK

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik

Overordnet Informationssikkerhedsstrategi. for Odder Kommune

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner.

Overordnet informationssikkerhedsstrategi

IT-sikkerhedspolitik S i d e 1 9

Assens Kommune Politik for databeskyttelse og informationssikkerhed

Hjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune

Overordnet Informationssikkerhedspolitik

IT-SIKKERHEDSPOLITIK UDKAST

Politik for Datasikkerhed

Fredericia Kommunes Informationssikkerhedspolitik 1 FREDERICIA KOMMUNE AFDELING TITEL PÅ POWERPOINT

Politik <dato> <J.nr.>

Aabenraa Kommune. Informationspolitik. Udkast. Udkast:

Informationssikkerhedspolitik for Region Midtjylland

Halsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune.

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

Informationssikkerhedspolitik. for Aalborg Kommune

MedComs informationssikkerhedspolitik. Version 2.2

Informationssikkerhedspolitik For Aalborg Kommune

Region Hovedstadens Ramme for Informationssikkerhed

PSYKIATRIFONDENS Informationssikkerhedspolitik

Ikast-Brande Kommune. Informationssikkerhedspolitik (efterfølgende benævnt I-Sikkerhedspolitik) Maj 2016 Sag nr. 2015/06550

Politik for informationssikkerheddatabeskyttelse

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Informationssikkerhedspolitik for Sønderborg Kommune

Ballerup Kommune Politik for databeskyttelse

Informationssikkerhedspolitik for Horsens Kommune

Fællesregional Informationssikkerhedspolitik

Overordnet It-sikkerhedspolitik

Organisering og styring af informationssikkerhed. I Odder Kommune

Forfatter: Carsten Stenstrøm Mail: Telefon: IT Amerika Plads København Ø

Overordnet it-sikkerhedspolitik for Rødovre Kommune

IT- og informationssikkerheds- politik (GDPR) For. Kontrapunkt Group

OVERORDNET IT-SIKKERHEDSPOLITIK

Informationssikkerhedspolitik for <organisation>

Informationssikkerhedspolitik for Vejen Kommune

Politik for informationssikkerhed 1.2

Ver. 1.0 GENTOFTE KOMMUNES INFORMATIONSSIKKERHEDSPOLITIK

Koncessionskontrakt vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Kultur- og Fritidsforvaltningen.

IT-sikkerhedspolitik for

Skanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017

Fællesregional Informationssikkerhedspolitik

INFORMATIONS- SIKKERHEDS- POLITIK

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet "informationer"? 2

Bekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.

Databeskyttelsespolitik for DSI Midgård

It-sikkerhedspolitik for Københavns Kommune

Kommunens nuværende politik stammer fra 2008 og bygger på en gammel dansk standard, DS484.

SOPHIAGÅRD ELMEHØJEN

Overordnet organisering af personoplysninger

POLITIK FOR INFORMATIONSSIKKERHED

Overordnet organisering af personoplysninger

Vejledning i informationssikkerhedspolitik. Februar 2015

Informationssikkerhedspolitik. DokumentID / Dokumentnr /

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED

DATABESKYTTELSESPOLITIK

Databeskyttelsespolitik

Staben IT-afdelingen Dato: Sagsnr: 12/24869 Dokumentnr: 3 Sagsbehandler: Steen Meyer Larsen. Organisering af informationssikkerhed

(hver for sig kaldet en "Part" og samlet "Parterne")

Aarhus Kommune. IT-sikkerhedspolitik. Politik

Næstved Kommune. Informationssikkerhedspolitik ISO 27001

Databeskyttelsespolitik for Netværket Smedegade, en social institution, der primært hoster data og programmer hos databehandlere

POLITIK FOR INFORMATIONSSIKKERHED

Organisering og styring af Informationssikkerhed

Bilag 1 Databehandlerinstruks

1. Introduktion til SoA Indhold og krav til SoA 4

Jyske Bank Politik for It sikkerhed

Hovmosegaard - Skovmosen

IT sikkerhedspolitik for Business Institute A/S

IT-sikkerhedspolitik. for Social- og Sundhedsskolen Esbjerg

Regionernes politiske linje for informationssikkerhed

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november

INFORMATIONSSIKKERHEDS -POLITIK

Version: 1.0 Maj Informationssikkerhedspolitik for Struer Statsgymnasium

It-beredskabsstrategi for Horsens Kommune

Programbeskrivelse. 7.2 Øget sikkerhed og implementering af EU's databeskyttelsesforordning. 1. Formål og baggrund. August 2016

REGIONERNES POLITISKE LINJE FOR INFORMATIONSSIKKERHED

Programbeskrivelse - øget sikkerhed og implementering af sikkerhedsreglerne i EU's databeskyttelsesforordning

REGULATIV FOR IT-SIKKERHED

Kontraktbilag 8. It-sikkerhed og compliance

IT-sikkerhedspolitik for Lyngby Tandplejecenter

NOTAT. Køge Kommune It-sikkerhed Overordnede retningslinjer ITafdelingen. Fællesforvaltningen. Dato Sagsnummer Dokumentnummer

1 Informationssikkerhedspolitik

KOMBIT sikkerhedspolitik

DATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig )

Sikkerhedspolitik. Informationssikkerhedspolitik for DIFO og DK Hostmaster. DK Hostmaster. Godkendt Version / ID 11.1.

Informationssikkerhed

Vejledning i informationssikkerhedsstyring. Februar 2015

Version: 1.2 Side 1 af 5

Kontraktbilag 7: Databehandleraftale

Holbæk Kommunes I-SIKKERHEDSHÅNDBOG

REGIONERNES POLITISKE LINJE FOR INFORMATIONSSIKKERHED

Fællesregional Informationssikkerhedspolitik

Transkript:

Holbæk Kommunes Informationssikkerhedspolitik 2013

Informationssikkerhedspolitik Indhold 1. Indledning 3 2. Formål 3 3. Holdning og principper 4 4. Omfang 4 5. Informationssikkerhedsniveau 5 6. Organisering og ansvar 5 7. Informationssikkerhedsbevidsthed 5 8. Overtrædelse af informationssikkerhedspolitikken 6 9. Udmøntning 6 10. Opfølgning 6 11. Udarbejdelse og ikrafttrædelse 6 2

1 Indledning Informationssikkerhedspolitikken er den overordnede ramme for beskyttelse af informationer i Holbæk Kommune. Holbæk Kommune betragtes som en myndighed, som betyder at informationer og data ejes af kommunen og skal behandles som sådan. Kommunen behandler oplysninger om borgere og virksomheder, som ofte er af sensitiv karakter og kræver særlig beskyttelse. Endvidere har kommunen en mængde informationer og informationssystemer, som er afgørende eller vigtige for varetagelse af kommunens opgaver og pligter. Beskyttelsen af informationer og informationssystemer er derfor et vigtigt fokusområde, som håndteres gennem kommunens informationssikkerhedsindsats. Indsatsen består overordnet i en mængde sikringsforanstaltninger, som etableres med henblik på at beskytte informationer og informationssystemer, som har betydning for kommunens virksomhed. Målsætningen med informationssikkerhedsindsatsen er mere specifikt at beskytte informationer og informationssystemer mod uautoriseret eller utilsigtet adgang, anvendelse, videregivelse, driftsforstyrrelse, ændring eller ødelæggelse. Uanset fysiske og tekniske sikringsforanstaltninger spiller den menneskelige faktor, dvs. den måde ledelse, medarbejdere og samarbejdspartnere handler og agerer på, en afgørende rolle i forhold informationssikkerheden. Det er derfor vigtigt, at der i kommunens informationssikkerhedsindsats i høj grad er fokus på de ledelsesmæssige, organisatoriske og menneskelige dimensioner. Den overordnede informationssikkerhedspolitik uddybes i en informationssikkerhedshåndbog samt en række bilag. Bilagene er opdelt i 4 områder: Retningslinjer for it-medarbejdere (A-bilagene) Retningslinjer for it-brugere (B-bilagene) Retningslinjer for systemejere (C-bilagene) Retningslinjer for eksterne samarbejdspartnere.(d-bilagene) Som supplement til informationssikkerhedspolitikken er der med det formål, at skabe en effektiv formidling af budskabet udarbejdet en brugerfolder Informationssikkerhed er også dit ansvar. Informationssikkerhedspolitik, informationssikkerhedshåndbog og relevante bilag, er tilgængelige på HolBækken (kommunens intranet) under værktøjer/informationssikkerhed. Af sikkerhedsmæssige årsager, er en række it-organisatoriske og systemtekniske bilag ikke tilgængelige for alle. 2 Formål Formålet med informationssikkerhedspolitikken er at definere og fastlægge de overordnede principper for kommunens informationssikkerhed. Politikken skal udmøntes gennem implementering af relevante sikringsforanstaltninger, som skal beskytte informationer og informationssystemer med udgangspunkt i tre centrale begreber: Fortrolighed, at informationer ikke kommer til uvedkommendes kendskab. Integritet, at informationer forbliver pålidelige, korrekte og intakte. Tilgængelighed, at relevante informationer kan tilgås og anvendes, når der er behov for det. Sikringsforanstaltningerne skal rettes mod alle former for trusler, interne og eksterne, hændelige fejl og uheld, samt bevidst skadevoldende handlinger og misbrug. Det skal sikres, at it-driftssikkerheden og effektiviteten kan opretholdes, samt at konsekvenser af sikkerhedsbrud reduceres til et acceptabelt niveau. 3

I den forbindelse er især følgende indsatsområder centrale: Kommunens it-infrastruktur skal til stadighed være effektivt beskyttet mod eksterne trusler og angreb på it-systemer, som f.eks. hacker- og virusangreb. De oplysninger om borgere og virksomheder som kommunen er ansvarlig for, skal til enhver tid beskyttes mod uberettiget videregivelse som følge af tekniske og menneskelige fejl eller forsætlige handlinger. God sikkerhedsskik, principper og normer for adfærd i anvendelsen af kommunens informationssystemer skal være klart formuleret og formidlet til medarbejderne, så uberettiget og retsstridig anvendelse kan forebygges og undgås. 3 Holdning og principper Informationssikkerhedsniveauet i Holbæk Kommune skal fastlægges som en afvejning af ofte modstridende hensyn, nemlig ønsket om høj sikkerhed og hensynet til enkle og smidige arbejdsgange. Tiltag til forbedring af informationssikkerheden implementeres i overensstemmelse med følgende overordnede holdninger og principper: Kommunens troværdighed på informationssikkerhedsområdet må ikke kunne drages i tvivl. Sikringsforanstaltninger skal søges tilrettelagt, så de opleves som en naturlig del af medarbejdernes daglige arbejde og ikke som en barriere. Informationssikkerheden søges styret i overensstemmelse med anerkendte standarder og best practice for informationssikkerhed. Informationssikkerhedsniveauet skal fastsættes ud fra lovgivningsmæssige krav og på grundlag af en afvejning mellem risiko og udgifter til sikringsforanstaltninger Såfremt borgere eller samarbejdspartnere berøres af sikkerhedshændelser hos Holbæk Kommune, vil kommunen så hurtigt, konkret og præcist, som det er muligt, informere de berørte parter. Kommunen vil gøre, hvad der står i dens magt for at begrænse eventuelle skader mest muligt Der foretages løbende opfølgning på, hvorvidt reglerne i informationssikkerhedspolitikken samt bilagene i praksis efterleves. Informationssikkerheden kontrolleres og revideres ud fra en konkret vurdering af væsentlighed og risiko. Styregruppen for informationssikkerhed har ansvaret for, at denne opfølgning foretages mindst en gang om året eller ved større tekniske eller organisatoriske ændringer. Opfølgningen kan eventuelt ske med ekstern bistand. 4 Omfang Politikken omfatter principielt enhver information, som ejes, opbevares eller behandles af kommunen, uanset hvilket medie informationen er lagret på - elektronisk, papirbaseret eller i anden form. Det primære fokusområde er oplysninger om borgere, virksomheder, kommunens finansielle og økonomiske forhold, dokumentation af arbejdsgange, informationssystemer, samt andre typer informationer, som kræver særlig beskyttelse eller har væsentlig betydning for kommunens virksomhed. Politikken er gældende for alle, der udfører opgaver eller hverv for kommunen, herunder: Medarbejdere fast og midlertidigt ansatte Medlemmer af byrådet Eksterne samarbejdspartnere efter konkret vurdering og nærmere aftale, herunder: Institutioner med driftsoverenskomst. Personer og virksomheder der udfører opgaver for kommunen. 4

5 Informationssikkerhedsniveau Det er kommunens politik at beskytte informationer og udelukkende tillade brug, adgang til og offentliggørelse af information i overensstemmelse med kommunens sikkerhedsregler og ud fra den enhver tid gældende lovgivning. Politikken tager udgangspunkt i ISO 27001 Standard for informationssikkerhed, Standarden har særlig fokus på ledelsesforankring, dokumentation af ledelsens involvering samt en risikobaseret stillingtagen til i-sikkerhed. ISO 27001 betragtes som en referenceramme, der anvendes som rettesnor og redskab for tilrettelæggelse og styring af informationssikkerheden i kommunen. Kommunen skal til enhver tid leve op til: Sikkerhedsmæssige krav, der følger af lovgivningen. Da kommunen har omfattende opgaver med behandling af personoplysninger, er især persondataloven, sikkerhedsbekendtgørelsen og arkivloven væsentlige. De sikkerhedsmæssige krav, som er fastsat i forbindelse med aftaler med andre myndigheder. At kommunen gennem risikostyring skal sikre, at konsekvenserne af alvorlige sikkerhedsmæssige hændelser kan imødegås og begrænses bedst muligt. At risikostyringen omfatter vedligeholdelse af formelle beredskabsplaner og den organisatoriske tilrettelæggelse af krisehåndtering i forbindelse med kritiske sikkerhedshændelser. Eksempler på kritiske sikkerhedshændelser kan være omfattende nedbrud i it-systemer og andre sikkerhedshændelser, som har alvorlige konsekvenser for kommunens virksomhed og som ikke kan håndteres inden for de normale rammer for daglig driftsafvikling. Der skal tages beslutning om, hvilke konkrete sikkerhedshændelser, der skal udarbejdes beredskabsplaner for, på grundlag af en systematisk risikovurdering og afklaringsproces. 6 Organisering og ansvar Byrådet har det overordnede ansvar for, at kommunens informationssikkerhed styres hensigtsmæssigt og på betryggende vis. Kommunaldirektøren er den øverste ansvarlige for den administrative styring af informationssikkerhedsindsatsen og skal sikre den fornødne kontrol med efterlevelsen af informationssikkerhedspolitikken. Styregruppen for informationssikkerhed skal i samarbejde med i-sikkerhedskoordinatoren vurdere, hvorvidt der er behov for ændringer i den gældende informationssikkerhedspolitik og udmøntningen af politikken. I-sikkerhedskoordinatoren refererer til styregruppen og varetager den overordnede styring af informationssikkerhedsindsatsen i praksis. I-sikkerhedskoordinatoren har ansvaret for udarbejdelse og vedligeholdelse af informationssikkerhedspolitikken, sikkerhedsregler, handlingsplaner, risikovurderinger og beredskabsplaner, der er omfattet af informations-sikkerhedspolitikken. Cheferne har ansvaret for, at informationssikkerhedspolitikkens krav og udmøntningen heraf, i form af sikkerhedsregler og -procedurer m.v., implementeres og forvaltes korrekt. Byrådspolitikere og medarbejdere har ansvaret for at følge informationssikkerhedspolitikken. 7 Informationssikkerhedsbevidsthed Kommunens medarbejdere, byrådsmedlemmer og samarbejdspartnere har alle et medansvar for, at kommunens informationer og informationssystemer beskyttes. For at sikre, at der til stadighed er et tilstrækkeligt bevidsthedsniveau, skal medarbejderne løbende informeres i emner vedrørende informationssikkerheden. 5

8 Overtrædelse af informationssikkerhedspolitikken Såfremt en trussel mod informationssikkerheden eller brud på denne konstateres, skal dette straks meddeles til kommunens i-sikkerhedskoordinator, som i nødvendigt omfang rapporterer sikkerhedsbrud til relevante parter. Hvis medarbejdere overtræder politikken, sikkerhedsregler og procedurer, kan det medføre ansættelsesretslige konsekvenser. For samarbejdspartnere vil overtrædelse af politikken, sikkerhedsregler og procedurer blive betragtet som aftalebrud og kan have konsekvenser derefter. Såfremt der foreligger mistanke om strafbare forhold, f.eks. overtrædelse af tavshedspligt, vil der blive indgivet politianmeldelse. 9 Udmøntning Principperne i politikken skal omsættes til sikkerhedsregler, som omfatter administrative, fysiske og tekniske sikringsforanstaltninger. Reglerne skal godkendes af Direktionen. Udmøntning af reglerne sker i form af retningslinjer, procedurer, vejledninger, kontrolforanstaltninger, mv. 10 Opfølgning Som et led i den overordnede sikkerhedsstyring skal informationssikkerhedsreglerne revurderes en gang årligt. I-sikkerhedskoordinatoren sikrer, at revurderingen gennemføres. Kommunen fastlægger på baggrund af risikovurderinger et sikkerhedsniveau, som svarer til betydningen af de pågældende informationer og informationsrelaterede aktiver. Risikovurderingerne gennemføres under hensyntagen til ressourcer og de økonomiske forhold. Risikovurderinger udføres som udgangspunkt en gang årligt, eller ved større organisationsændringer, ændringer i informationssystemer, eller hvis andre forhold nødvendiggør det. Der skal regelmæssigt følges op på overholdelsen af politikken, sikkerhedsregler og -procedurer. Opfølgningen skal som udgangspunkt foretages en gang årligt og kan udføres af i- sikkerhedskoordinatoren eller kommunens revision. Resultatet af opfølgningen rapporteres til Styregruppen for informationssikkerhed og Direktionen. 11 Udarbejdelse og ikrafttrædelse Ændringer i informationssikkerhedspolitikken besluttes af Byrådet, mens ændringer i informationssikkerhedshåndbogen samt bilag og retningslinjer, kan godkendes af Styregruppen for i- sikkerhed. Ændringer i operationelle procedurer, kan foretages af de ansvarlige chefer. Såfremt ændringer medfører konsekvenser i andre chefområder, skal disse forelægges Styregruppen for digitalisering og velfærdsteknologi. Denne informationssikkerhedspolitik afløser It-sikkerhedspolitikken, der blev vedtaget i Byrådet den 29. oktober 2008. Informationssikkerhedspolitikken er vedtaget i Byrådet den 23.10.2013 6

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback