It-sikkerhedspolitik Bilag 9 November 2004
Indholdsfortegnelse 1 Formål...3 2 Ansvar og roller...3 2.1 Byrådet...3 2.2 Kommunaldirektøren/ Direktionen...3 2.3 Ledere, fagchefer mv...3 2.4 It gruppen, It og sekretariat...3 2.5 Medarbejdere...3 2.6 Samarbejdspartnere og leverandører...3 3...4 3.1 Specifikation af sikkerhedskrav...4 4 Definitioner og forkortelser...5 5 Referencer...6 Side 2 af 6
1 Formål er afhængig af troværdig information og effektiv brug af informationssystemer. vil derfor med dette bilag til IT sikkerhedspolitikken rammer og regler for udvikling, anskaffelse og vedligeholdelse af it-systemer. 2 Ansvar og roller Nedenfor er roller og ansvar beskrevet. 2.1 Byrådet Byrådet er ansvarlig for godkendelse af hoveddokumentet til it sikkerhedspolitikken, som dette dokument er et bilag til. Bilaget bliver ikke behandlet af byrådet. 2.2 Kommunaldirektøren/ Direktionen Kommunaldirektøren er ansvarlig for udformningen og implementering af de nødvendige forretningsgange, der understøtter dette bilag. 2.3 Ledere, fagchefer mv. Som leder mv. er du ansvarlig for, at retningslinjerne i dette bilag til it sikkerhedspolitikken bliver fulgt af medarbejderne på dit eget område. 2.4 It gruppen, It og sekretariat Som medlem af it gruppen er du i samarbejde med It og sekretariat ansvarlig for at sikre at sikkerhedsniveauet kontrolleres gennem løbende revisioner. Som medlem af it gruppen er du ansvarlig for at it sikkerhedspolitikken efterleves på eget direktørområde. It og sekretariat har ansvaret for at sikre at dette bilag til it sikkerhedspolitikken bliver opdateret. 2.5 Medarbejdere Som medarbejder er du ansvarlig for at kende dette bilag til it sikkerhedspolitikken og for at følge det. Enhver afvigelse fra dette bilag skal du som medarbejder rapportere til it og sekretariat også, hvis det sker hos dine kollegaer, leverandører mv. 2.6 Samarbejdspartnere og leverandører Som samarbejdspartner, leverandør mv. er du forpligtet til at følge retningslinierne dette bilag. Fremtidige eller nuværende systemejere har ansvaret for at videregive informationer om Hillerød Kommunes it sikkerhedspolitik. Side 3 af 6
3 Indkøb, udvikling og implementering af nye systemer i kommune skal foregå kontrolleret for, at undgå en unødvendig forøgelse af risiko for it-sikkerheden. Når løsninger implementeres bør sikkerhedsovervejelser altid indgå som en integreret del af processen. 3.1 Specifikation af sikkerhedskrav 3.1.1 Anskaffelser It gruppen skal: behandle og evt. godkende alle nyanskaffelser (hardware og software) efter indstilling fra It og Sekretariat. Indstillingen fra It og Sekretariat til It gruppen skal indeholde en vurdering af det it tekniske såvel som det brugerorienterede. vurdere om de foreslåede nyanskaffelser lever op til kommunens sikkerhedsstandard. sikre at kun kendt og sikkert udstyr eller software med et defineret formål anskaffes og tages i drift. sikre at nyanskaffelser lever op til It gruppens tidligere beslutninger, om fx integration med sags- og journalsystemerne. 3.1.2 Procedure for godkendelse af it systemer. Som fremtidig eller nuværende systemejer skal du: inddrage It og Sekretariat så tidligt som muligt i din anskaffelsesproces ansøge It gruppen om tilladelse til at anskaffe ny hard- og software Du kan ansøge om nyanskaffelser, hvis det sker på vegne af din afdeling, sektion eller direktørområder. It og Sekretariat skal: udarbejde et skema ansøgere kan benytte i forbindelse med ansøgning om ny hardware og software En ansøgning om nyanskaffelser skal indeholde følgende elementer. kommunikations og integrationsmuligheder o med hvilke partnere og systemer kræves kommunikation, hvor findes systemerne og med hvilke protokoller (sprog der kommunikeres med mellem systemer) o kan systemet integreres i s nuværende systemportefølge og i kommunens sags- og dokument strategi fleksibilitet, tilpasningsevne og flytbarhed o komponentstørrelser, indre struktur og lagdeling o indre kvaliteter, mulig for ændring af systemets konfigurering af fx superbrugere Side 4 af 6
o levetid adgangssikkerhed og datasikkerhed o adgangskriterier og sikkerhedsniveau o hvordan lever systemet op til kommunens it sikkerhedspolitik o opdatering af brugerrettigheder o single sign on informations- og datakvalitet o brug af fælles begreber, ordbog, nøgleord, metadata og datamodel stabilitet og kapacitet overfor brugsprofil af såvel personer som andre komponenter o prognose for brugsprofil: Antal, samtidighed pr. tidsenhed, variation over døgn/måned. o åbningstid (brug af system) o oppetid, svartid ved formodede belastninger brugbarhed og tilgængelighed o grafisk design, brugerfladetest, hensyn til funktionshæmmede. hvad er gyldige klienter: Browserversioner, PC, Mac, mobil, Pda, smartphones mv. 4 Definitioner og forkortelser E-mail: Internet: World Wide Web: Kryptering: Uopfordret: Tilgængelighed: Kort for elektronisk post, transmissionen af beskeder over kommunikationsnetværk. Et globalt elektronisk netværk der forbinder computere. Repræsenterer et system af internet servere der supporterer dokumenter der har et specielt format kaldet HTML (HyperText Markup Language). Dette sprog supporterer links til andre dokumenter såvel som grafik, audio og video filer. Kryptering af data medfører at indholdet præsenteres i et uigenkendeligt format modsat klartekst. Kryptering bruges til opbevaring og transmittering af data, og dekryptering sker typisk ved angivelse af adgangskode. Enhver henvendelse, modtageren ikke på forhånd har anmodet om. Sikkerhed for at brugere kan tilgå information. Side 5 af 6
Integritet Fortrolighed: Forebyggelse af uautoriseret ændring af information. Forebyggelse af uautoriseret afsløring af information. 5 Referencer Dansk standard for edb-sikkerhed, DS 484-1 British Standard for information security, BS 7799, IT-sikkerhedspolitik, marts 2003 Side 6 af 6