It-sikkerhedspolitik Bilag 10 November 2004
Indholdsfortegnelse 1 Formål...3 2 Ansvar og roller...3 2.1 Byrådet...3 2.2 Kommunaldirektøren/ Direktionen...3 2.3 Ledere, fagchefer mv...3 2.4 It gruppen, It og sekretariat...3 2.5 Medarbejdere...3 2.6 Samarbejdspartnere og leverandører...3 3 regler og rammer for it området...4 3.1 Beredskabsplaner...4 3.2 Sikkerhedskopiering...4 3.3 Retablering på ny lokation...5 4 Definitioner og forkortelser...5 5 Referencer...5 Side 2 af 5
1 Formål Hillerød Kommune er afhængig af it systemer til at løse både administrative som mere praktisk orienterede opgaver. Hillerød Kommune vil derfor med dette bilag til it sikkerhedspolitikken sikre at, der for it området er nødplaner der kan træde i kraft ved beredskabssituationer af forskelligt omfang. 2 Ansvar og roller Nedenfor er roller og ansvar beskrevet. 2.1 Byrådet Byrådet er ansvarlig for godkendelse af hoveddokumentet til it sikkerhedspolitikken, som dette dokument er et bilag til. Bilaget bliver ikke behandlet af byrådet. 2.2 Kommunaldirektøren/ Direktionen Kommunaldirektøren er ansvarlig for udformningen og implementering af de nødvendige forretningsgange, der understøtter dette bilag. 2.3 Ledere, fagchefer mv. Som leder mv. er du ansvarlig for, at retningslinjerne i dette bilag til it sikkerhedspolitikken bliver fulgt af medarbejderne på dit eget område. 2.4 It gruppen, It og sekretariat Som medlem af it gruppen er du i samarbejde med It og sekretariat ansvarlig for at sikre at sikkerhedsniveauet kontrolleres gennem løbende revisioner. Som medlem af it gruppen er du ansvarlig for at it sikkerhedspolitikken efterleves på eget direktørområde. It og sekretariat har ansvaret for at sikre at dette bilag til it sikkerhedspolitikken bliver opdateret. 2.5 Medarbejdere Som medarbejder er du ansvarlig for at kende dette bilag til it sikkerhedspolitikken og for at følge det. Enhver afvigelse fra dette bilag skal du som medarbejder rapportere til it og sekretariat også, hvis det sker hos dine kollegaer, leverandører mv. 2.6 Samarbejdspartnere og leverandører Som samarbejdspartner, leverandør mv. er du forpligtet til at følge retningslinierne dette bilag. Fremtidige eller nuværende systemejere har ansvaret for at videregive informationer om Hillerød Kommunes it sikkerhedspolitik. Side 3 af 5
3 regler og rammer for it området Risikostyring og katastrofeplanlægning er nødvendige for, at sikre virksomheden mod uforudsete hændelser. Beredskabsplaner skal være med til at opretholde driften for Hillerød Kommune således at skaderne for kommunen minimeres. 3.1 Beredskabsplaner 3.1.1 Beredskabsplaner kritiske og forretningskritiske systemer Beredskabsplaner skal foreligge for alle kritiske systemer. Der skal ikke foreligge beredskabsplaner for systemer mv. der kun er forretningskritiske. Et kritisk system defineres som et system det er nødvendigt at opretholde funktionen af for kommunen i en beredskabssituation. It og sekretariat skal: - sikre at der foreligge beredskabsplaner for følgende systemer mv.: o internet o e-mail til og fra en eller flere af kommunens adresser o kommunikation til KMD o serverrum o netværk o edb strøm (periodevis eller permanent) i serverrummet, og på centrale dele af netværket o telefoncentraler /nødtelefoner - sikre at det er klart defineret, hvem der har ansvaret for aktivering af beredskabsplaner. - sikre at medarbejdere, der udgør en del af beredskabsplaner, skal være informeret om deres ansvar. Forretningskritiske systemer defineres som systemer kommunen er stærkt afhængig af ved udførelsen af de daglige driftsrutiner, og som i tilfælde af svigt enten vil betyde, at arbejdsopgaverne kun kan udføres med stort besvær og anvendelse af nødrutiner eller evt. slet ikke. Som eksempler på forretningskritiske systemer er økonomisystemet, sag- og journalsystemet mv. 3.2 Sikkerhedskopiering 3.2.1 Opbevaring af sikkerhedskopier på ekstern lokation Datamedier til reetablering af forretningskritiske systemer skal opbevares på et eksternt opbevaringsted. Side 4 af 5
3.3 Retablering på ny lokation 3.3.1 Retablering af kritiske systemer på ny lokation For alle forretningskritiske systemer skal, der forefindes en plan for retablering på ny lokation. 4 Definitioner og forkortelser E-mail: Internet: World Wide Web: Kryptering: Uopfordret: Tilgængelighed: Integritet Fortrolighed: Kort for elektronisk post, transmissionen af beskeder over kommunikationsnetværk. Et globalt elektronisk netværk der forbinder computere. Repræsenterer et system af internet servere der supporterer dokumenter der har et specielt format kaldet HTML (HyperText Markup Language). Dette sprog supporterer links til andre dokumenter såvel som grafik, audio og video filer. Kryptering af data medfører at indholdet præsenteres i et uigenkendeligt format modsat klartekst. Kryptering bruges til opbevaring og transmittering af data, og dekryptering sker typisk ved angivelse af adgangskode. Enhver henvendelse, modtageren ikke på forhånd har anmodet om. Sikkerhed for at brugere kan tilgå information. Forebyggelse af uautoriseret ændring af information. Forebyggelse af uautoriseret afsløring af information. 5 Referencer Dansk standard for edb-sikkerhed, DS 484-1 British Standard for information security, BS 7799 Hillerød Kommune, IT-sikkerhedspolitik, marts 2003 Side 5 af 5