Click here to enter text. Infor mationssi kkerhedspoliti k 2011 «ed ocaddressci vilcode» Informationssikkerhedspolitik For Aalborg Kommune
Indhold Formål... 3 Gyldighedsområde... 3 Målsætning... 3 Sikkerhedsniveau... 4 Organisation og ansvarsfordeling... 4 Kontrol... 5 Sikkerhedsbrud og sanktionering... 5 Løbende vedligeholdelse... 5 Kolofon: It-sikkerhedsgruppen /IT- og Personalekontoret Marts 2011 2011-11553/ 2011-94465 Vedtaget af Aalborg Byråd maj 2011 Ikrafttrædelsesdato: 1. sept 2011 2/5
Formål Informationssikkerhed i Aalborg Kommune, handler primært om at beskytte de følsomme og fortrolige oplysninger som kommunen behandler for og om borgere og virksomheder. Informationssikkerhedspolitikken fastlægger det overordnede sikkerhedsniveau og de nødvendige organisatoriske rammer samt de overordnede retningslinjer for udformning af kontroller, procedurer og sikringsforanstaltninger. Informationssikkerhedspolitikken danner ramme for kommunens sikkerhedskoncept, der skal sikre risikostyring og rettidig omhu i forhold til gældende lovgivning, og at kommunen overholder sine serviceforpligtelser overfor borgeren. Hensigten med informationssikkerhedspolitikken er desuden at tilkendegive over for ansatte, borgere, virksomheder, samarbejdspartnere og andre med en relation til Aalborg Kommune, at kommunens anvendelse og behandling af informationer er underlagt regler og standarder der sikrer kommunens information. Gyldighedsområde Informationssikkerhedspolitikken er gældende for al anvendelse af Aalborg Kommunes informationsaktiver, herunder arkiver, databaser, informationssystemer etc. - og for alle Aalborg Kommunes informationsrelaterede aktiviteter, uanset om disse udføres af ansatte i Aalborg Kommune eller af samarbejdspartnere. Målsætning Der skal opretholdes et effektivt værn mod såvel naturgivne som tekniske og menneskeskabte trusler og sårbarheder, således borgernes og medarbejdernes tryghed og arbejdsvilkår og Aalborg Kommunes image sikres bedst muligt. Al følsom og fortrolig information skal sikres optimalt, uanset om den forefindes digitalt eller i papirform. Lokationer der indeholder informationsaktiver, skal sikres mod vand, brand og indbrud. En særlig målsætning omkring den elektroniske databehandling er at: Tilgængelighed sikrer høj driftsikkerhed med høje oppetidsprocenter og minimeret risiko for større nedbrud og datatab Integritet sikrer korrekt funktion af systemerne med minimeret risiko for manipulation af og fejl i såvel data som systemer Fortrolighed sikrer fortrolig behandling, transmission og opbevaring af data. Ovenstående mål skal være konkretiseret i aftaler og kontrakter. Det skal sikres at der såvel periodisk som løbende ved forandringer, foretages risikoanalyse og risikovurdering ved rette ledelse. Der skal fortages beredskabsstyring på særligt kritiske arbejdsprocesser og systemer, med det formål at sikre hurtig gentablering af kommunens sagsbehandling efter forekomst af kritiske hændelser som oversvømmelse, brand eller it-nedbrud. Kommunen skal tilstræbe at opretholde et sikkerhedsniveau der er udtryk for bedste praksis, med udgangspunkt i Dansk Standard for Informationssikkerhed, DS484. 3/5
Informationssikkerhedspolitikken skal kommunikeres til alle relevante interessenter, herunder alle medarbejdere ansat i Aalborg Kommune. Kommunens ansatte skal være bevidste om deres betydning for it-sikkerheden i kommunen. Der skal være udfærdiget sikkerhedsmæssige regler og procedurer for personalet, der tager sigte på dels at beskytte kommunen mod skader forvoldt af personalet, dels at beskytte personalet mod ubegrundet mistanke om sikkerhedsbrud. For it-driftspersonale og andet personale med udvidede rettigheder på systemer kan der være skærpede regler og sikkerhedsinstrukser. Kommunen baserer sig på værdibaseret ledelse og reglerne skal begrænses til de nødvendige. Det skal sikres at personalet har indgående kendskab til relevante sikkerhedsinstrukser og procedurer. Der skal foretages systematiseret kontrol af personalets overholdelse af informationssikkerhedspolitikken og kontrol af de sikringsforanstaltninger kommunen iværksætter. Sikkerhedsniveau Aalborg Kommunes informationssikkerhedsniveau skal efterleve den til enhver tid gældende lovgivning og leve op til gældende sikkerhedspraksis i den kommunale sektor. Kommunen skal anvende en fælles metode for risikoanalyse, risikovurdering, registrering, måling, vurdering og opfølgning på informationssikkerheden og løbende gennemføre revisioner og evalueringer af sikkerheden. Der skal forebygges mod risici ved manglende funktionsadskillelse (autorisation / attestation og udøvelse / kontrol). I situationer, hvor der ikke er funktionsadskillelse skal der kompenseres med andre sikkerhedsforanstaltninger, som udmøntes konkret i procedurer for informations- og systemadministrationen. Med udgangspunkt i linieorganisationens risikovurderinger, skal direktørerne prioritere og fastlægge de nødvendige sikringsforanstaltninger til opretholdelse af kommunens ønskede informationssikkerhedsniveau. DS484 standarden skal anvendes som et vejledende udgangspunkt for de grundlæggende sikringsforanstaltninger som kommunen indfører. Standarden skal anvendes som reference i vurderinger af sikkerheden på områder hvor kommunen ikke har formuleret og vedtaget egne regler. Fravigelse fra DS484-standardens sikringsforanstaltninger skal begrundes og underkastes risikovurdering før de kan godkendes. Når kommunen har vedtaget egne sikkerhedsregler skal der søges dispensation ved fravigelse, hos den ledelse, der har vedtaget reglerne. Organisation og ansvarsfordeling Byrådet vedtager Aalborg kommunes informationssikkerhedspolitik og it-sikkerhedsregulativ og har det overordnede ansvar for kommunens sikkerhed. Magistraten varetager det overordnede tilsyn med kommunens informationssikkerhed. Den.løbende risikostyring foregår ved linieorganisationen - byråd, direktører, forvaltningsledere, stabs- og kontorchefer, institutionsledere og øvrige ansatte i kommunen, og alle har medansvar for informationssikkerheden. Ledere på alle niveauer skal gennem instrukser og procedurer sikre at deres personale kan efterleve ansvaret med at beskytte følsomme og fortrolige oplysninger. Forvaltningsledelsen har ansvaret for at der foretages risikovurdering og for fastlæggelse af udvidede sikringsforanstaltninger gældende for egen forvaltning, når dette er nødvendigt. 4/5
Ansvars- og opgavefordelingen skal konkretiseres ved roller der specificeres i et it-sikkerhedsregulativ. Kontrol Byrådet og magistraten skal som øverste ansvarlige for kommunens informationssikkerhed sikre, at der føres et passende og uafhængigt tilsyn med kommunens administration. Tilsynet skal medvirke til at sikre at informationssikkerhedspolitik og informationssikkerhedsregulativ overholdes i alle kommunens forvaltningsled og institutioner. Der skal foretages løbende ekstern revision af informationssikkerheden og stikprøvekontrol. Sikkerhedsbrud og sanktionering Brud på informationssikkerhedspolitik og -regulativ skal rapporteres til nærmeste it-sikkerhedsleder Der skal være sanktioner mod ansatte der bevidst bryder regler og retningslinjer Løbende vedligeholdelse Informationssikkerhedspolitikken er forankret i Direktørgruppen, som er ansvarlig for udarbejdelse, vedligeholdelse og revurdering af politikken. Politikken skal suppleres ved et it-sikkerhedsregulativ, der uddyber sikkerhedspolitikken samt en itsikkerhedshåndbog der indeholder politikker, regler, procedurer og vejledninger af overordnet sikkerhedsmæssig karakter, som udgør et opslagsværk for kommunens ansatte. Informationssikkerhedspolitikken og det tilhørende it-sikkerhedsregulativ skal revideres af gruppen mindst hver andet år og forelægges til fornyet godkendelse i byrådet ved ændringer. 5/5