Informationssikkerhedspolitik. Frederiksberg Kommune



Relaterede dokumenter
Informationssikkerhedspolitik Frederiksberg Kommune

Informationssikkerhedspolitik

Assens Kommune Sikkerhedspolitik for it, data og information

Indholdsfortegnelse Indledning Formål Omfang Holdninger og principper... 4

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

INFORMATIONS- SIKKERHEDSPOLITIK

Informationssikkerhedspolitik for Region Midtjylland

Politik <dato> <J.nr.>

Faxe Kommune. informationssikkerhedspolitik

PSYKIATRIFONDENS Informationssikkerhedspolitik

Politik for Datasikkerhed

Aabenraa Kommune. Informationspolitik. Udkast. Udkast:

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

Ikast-Brande Kommune. Informationssikkerhedspolitik (efterfølgende benævnt I-Sikkerhedspolitik) Maj 2016 Sag nr. 2015/06550

Assens Kommune Politik for databeskyttelse og informationssikkerhed

IT-sikkerhedspolitik S i d e 1 9

IT-SIKKERHEDSPOLITIK UDKAST

Region Hovedstadens Ramme for Informationssikkerhed

Forfatter: Carsten Stenstrøm Mail: Telefon: IT Amerika Plads København Ø

MedComs informationssikkerhedspolitik. Version 2.2

Hjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner.

Informationssikkerhedspolitik. for Aalborg Kommune

Overordnet Informationssikkerhedsstrategi. for Odder Kommune

Fællesregional Informationssikkerhedspolitik

Informationssikkerhedspolitik For Aalborg Kommune

Overordnet informationssikkerhedsstrategi

Overordnet Informationssikkerhedspolitik

Informationssikkerhed

Fredericia Kommunes Informationssikkerhedspolitik 1 FREDERICIA KOMMUNE AFDELING TITEL PÅ POWERPOINT

EU-udbud af Beskæftigelsessystem og ESDHsystem

REGIONERNES POLITISKE LINJE FOR INFORMATIONSSIKKERHED

Overordnet It-sikkerhedspolitik

Politik for informationssikkerheddatabeskyttelse

Overordnet it-sikkerhedspolitik for Rødovre Kommune

Fællesregional Informationssikkerhedspolitik

Informationssikkerhedspolitik for Vejen Kommune

Koncessionskontrakt vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Kultur- og Fritidsforvaltningen.

IT-sikkerhedspolitik for

Informationssikkerhedspolitik for Horsens Kommune

Ballerup Kommune Politik for databeskyttelse

Organisering og styring af informationssikkerhed. I Odder Kommune

Aarhus Kommune. IT-sikkerhedspolitik. Politik

Fællesregional Informationssikkerhedspolitik

Version: 1.0 Maj Informationssikkerhedspolitik for Struer Statsgymnasium

INFORMATIONS- SIKKERHEDS- POLITIK

Halsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune.

POLITIK FOR INFORMATIONSSIKKERHED

IT- og informationssikkerheds- politik (GDPR) For. Kontrapunkt Group

Bilag 5 Aarhus Kommune. Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0. Opbevaring/sletning af informationer

It-sikkerhedspolitik for Københavns Kommune

Ballerup Kommune Beretning om tiltrædelse som revisor

Skanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017

Informationssikkerhedspolitik for <organisation>

Ver. 1.0 GENTOFTE KOMMUNES INFORMATIONSSIKKERHEDSPOLITIK

Informationssikkerhedspolitik for Sønderborg Kommune

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet "informationer"? 2

Kommunens nuværende politik stammer fra 2008 og bygger på en gammel dansk standard, DS484.

Vejledning i informationssikkerhedsstyring. Februar 2015

Denne publika ion er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks København K Telefon digst@digst dk

1 Informationssikkerhedspolitik

Politik for informationssikkerhed 1.2

Informationssikkerhedspolitik. DokumentID / Dokumentnr /

It-revision af Sundhedsdatanettet januar 2016

Version: 1.2 Side 1 af 5

OVERORDNET IT-SIKKERHEDSPOLITIK

Vejledning om den praktiske tilrettelæggelse af tilsynet med informationssikkerheden

Struktureret Compliance

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

UDKAST til Beredskabspolitik for Frederiksberg Kommune

Bekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.

Vejledning i informationssikkerhedspolitik. Februar 2015

Regionernes politiske linje for informationssikkerhed

LinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK

Kontraktbilag 8. It-sikkerhed og compliance

Bo Bertelsen Dorthe Noesgaard, ergoterapeut Pia Strandbygaard, sygeplejerske. 19. marts 2013

Databehandleraftale. mellem. [Virksomhed] [Adresse] [Postnr.] [By] [CVR nr.] (herefter kaldet Databehandler)

ISO27001 som ledelsesværktøj en pragmatisk tilgang. Lars Boye, Søborg, den 6. november 2014

(hver for sig kaldet en "Part" og samlet "Parterne")

I arkivloven, jf. lovbekendtgørelse nr af 21. august 2007, som ændret ved lov nr af 10. december 2008, foretages følgende ændringer:

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november

Resume Københavns Universitet efterlever nu ISO 27001, om end der udestår en del konsekvensrettelser i IS-håndbog, sikkerhedspolitik mv.

IT-sikkerhedspolitik. for Social- og Sundhedsskolen Esbjerg

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED

1. Introduktion til SoA Indhold og krav til SoA 4

Informationssikkerhedspolitik

Sikkerhedspolitik. Informationssikkerhedspolitik for DIFO og DK Hostmaster. DK Hostmaster. Godkendt Version / ID 11.1.

POLITIK FOR INFORMATIONSSIKKERHED

Privatlivspolitik for studerende

Informationssikkerhedspolitik for Odder Gymnasium

Programbeskrivelse - øget sikkerhed og implementering af sikkerhedsreglerne i EU's databeskyttelsesforordning

Overordnet organisering af personoplysninger

NOTAT. Køge Kommune It-sikkerhed Overordnede retningslinjer ITafdelingen. Fællesforvaltningen. Dato Sagsnummer Dokumentnummer

Moesgaard, Dorthe Noesgaard, ergoterapeut Joan Dahl Nørgaard, adm. Tilsynsførense. 11 juni 2013

REGIONERNES POLITISKE LINJE FOR INFORMATIONSSIKKERHED

Syddansk Universitet. Dataklassificering på. Version 1.8 Sidst revideret d. 29. november 2007 Side 1 af 13

Underretningsguide Hvis du bliver bekymret for et barn eller en ung

Dansk kvalitetsmodel på det sociale område. Fælles regionale retningslinjer for: Standard 1.2 Brugerinddragelse

Bilag 1 Databehandlerinstruks

Transkript:

Informationssikkerhedspolitik Frederiksberg Kommune

Indledning Informationssikkerhedspolitikken er den overordnede ramme for beskyttelse af information i Frederiksberg Kommune. Kommunen behandler oplysninger om borgere og virksomheder, som ofte er af sensitiv karakter og kræver særlig beskyttelse. Endvidere har kommunen en mængde information og informationssystemer, som er afgørende eller vigtige for varetagelse af kommunens opgaver og pligter. Derfor er beskyttelse af information og informationssystemer et vigtigt fokusområde, som håndteres gennem kommunens informationssikkerhedsindsats. Indsatsen består overordnet i en mængde sikringsforanstaltninger, som etableres med henblik på at beskytte information og informationssystemer, som har betydning for kommunens virksomhed. Målsætningen med informationssikkerhedsindsatsen er mere specifikt at beskytte information og informationssystemer mod uautoriseret eller utilsigtet adgang, anvendelse, videregivelse, driftsforstyrrelse, ændring eller ødelæggelse. Uanset fysiske og tekniske sikringsforanstaltninger spiller den menneskelige faktor, dvs. den måde ledelse, medarbejdere og samarbejdspartnere handler og agerer på, en afgørende rolle i forhold informationssikkerheden. Det er derfor vigtigt, at der i kommunens informationssikkerhedsindsats i høj grad er fokus på de ledelsesmæssige, organisatoriske og menneskelige dimensioner. Formål Formålet med informationssikkerhedspolitikken er at definere og fastlægge de overordnede principper for kommunens informationssikkerhed. Politikken skal udmøntes gennem implementering af relevante sikringsforanstaltninger, som skal beskytte information og informationssystemer med udgangspunkt i tre centrale begreber: Fortrolighed, at information ikke kommer til uvedkommendes kendskab. Integritet, at information forbliver pålidelig, korrekt og intakt. Tilgængelighed, at relevant information kan tilgås og anvendes, når der er behov for det. Sikringsforanstaltningerne skal rettes mod alle former for trusler, interne og eksterne, hændelige fejl og uheld, samt bevidst skadevoldende handlinger og misbrug. Det skal sikres, at itdriftssikkerheden og effektiviteten kan opretholdes, samt at konsekvenser af sikkerhedsbrud reduceres til et acceptabelt niveau. I den forbindelse er især følgende indsatsområder centrale: Kommunens it-infrastruktur skal til stadighed være effektivt beskyttet mod eksterne trusler og angreb på it-systemer, som f.eks. hacker- og virusangreb. De oplysninger om borgere og virksomheder som kommunen er ansvarlig for, skal til enhver tid beskyttes mod uberettiget videregivelse som følge af tekniske og menneskelige fejl eller forsætlige handlinger.

God sikkerhedsskik, principper og normer for adfærd i anvendelsen af kommunens informationssystemer skal være klart formuleret og formidlet til medarbejderne, så uberettiget og retsstridig anvendelse kan forebygges og undgås. Holdninger og principper Informationssikkerhedsniveauet i Frederiksberg Kommune skal fastlægges som en afvejning af ofte modstridende hensyn, nemlig ønsket om høj sikkerhed og hensynet til enkle og smidige arbejdsgange. Tiltag til forbedring af informationssikkerheden implementeres i overensstemmelse med følgende overordnede holdninger og principper: Kommunens troværdighed på informationssikkerhedsområdet må ikke kunne drages i tvivl. Sikringsforanstaltninger skal søges tilrettelagt, så de opleves som en naturlig del af medarbejdernes daglige arbejde og ikke som en barriere. Informationssikkerheden søges styret i overensstemmelse med anerkendte standarder og best practice for informationssikkerhed. Informationssikkerhedsniveauet skal fastsættes ud fra lovgivningsmæssige krav og på grundlag af en afvejning mellem risiko og udgifter til sikringsforanstaltninger Såfremt borgere eller samarbejdspartnere berøres af sikkerhedshændelser hos Frederiksberg Kommune, vil kommunen så hurtigt, konkret og præcist, som det er muligt, informere de berørte parter. Kommunen vil gøre, hvad der står i dens magt for at begrænse eventuelle skader mest muligt. Omfang og afgrænsning Politikken omfatter principielt enhver information, som ejes, opbevares eller behandles af kommunen, uanset hvilket medie informationen er lagret på elektronisk eller i anden form (herunder papirbaseret). Det primære fokusområde er oplysninger om borgere, virksomheder, kommunens finansielle og økonomiske forhold, dokumentation af arbejdsgange, informationssystemer, samt andre typer information, som kræver særlig beskyttelse eller har væsentlig betydning for kommunens virksomhed. Politikken er gældende for alle, der udfører opgaver eller hverv for kommunen, herunder: Medarbejdere fast og midlertidigt ansatte Medlemmer af kommunalbestyrelsen Eksterne samarbejdspartnere efter konkret vurdering og nærmere aftale, herunder: o Institutioner med driftsoverenskomst. o Personer og virksomheder der udfører opgaver for kommunen.

Sikkerhedsniveau Det er kommunens politik at beskytte information og udelukkende tillade brug, adgang til og offentliggørelse af information i overensstemmelse med kommunens sikkerhedsregler og ud fra den til enhver tid gældende lovgivning. Politikken tager udgangspunkt i ISO 27001 international standard for informationssikkerhed, der afløser den nu udgåede standard DS 484. ISO 27001 betragtes som en referenceramme, der anvendes som rettesnor og redskab for tilrettelæggelse og styring af informationssikkerheden i kommunen. Overgangen til ISO 27001vil være glidende og medfører på nuværende tidspunkt ikke yderligere ændringer i informationssikkerhedspolitikken. Kommunen skal til enhver tid leve op til: Sikkerhedsmæssige krav, der følger af lovgivningen. Da kommunen har omfattende opgaver med behandling af personoplysninger, er især persondataloven, sikkerhedsbekendtgørelsen og arkivloven væsentlige. De sikkerhedsmæssige krav, som er fastsat i forbindelse med aftaler med andre myndigheder. Kommunen skal gennem beredskabsstyring sikre, at konsekvenserne af alvorlige sikkerhedsmæssige hændelser kan imødegås og begrænses bedst muligt. Beredskabsstyringen omfatter vedligeholdelse af formelle beredskabsplaner og den organisatoriske tilrettelæggelse af krisehåndtering i forbindelse med kritiske sikkerhedshændelser. Eksempler på kritiske sikkerhedshændelser kan være omfattende nedbrud i it-systemer og andre sikkerhedshændelser, som har alvorlige konsekvenser for kommunens virksomhed og som ikke kan håndteres inden for de normale rammer for daglig driftsafvikling. Beslutning om hvilke konkrete sikkerhedshændelser, der skal udarbejdes beredskabsplaner for, skal ske på grundlag af en systematisk vurderings- og afklaringsproces. Sikkerhedsbevidsthed Kommunens medarbejdere, kommunalbestyrelsesmedlemmer og samarbejdspartnere har alle et medansvar for, at kommunens informationer og informationssystemer beskyttes. For at sikre at der til stadighed er et tilstrækkeligt bevidsthedsniveau, skal medarbejderne løbende uddannes i emner vedrørende informationssikkerheden. Uddannelse inden for informationssikkerhed skal tilrettelægges målrettet, således at de forskellige medarbejdergrupper får netop den viden, som er relevant for deres arbejdsområde. Organisering og ansvar Kommunalbestyrelsen har det overordnede ansvar for, at kommunens informationssikkerhed styres hensigtsmæssigt og på betryggende vis. Kommunaldirektøren er den øverste ansvarlige for den administrative styring af informationssikkerhedsindsatsen og skal sikre den fornødne kontrol med efterlevelsen af informationssikkerhedspolitikken.

Direktionen skal sikre, at der er etableret et tværorganisatorisk forum, der bl.a. skal hjælpe it-sikkerhedskoordinatoren med at vurdere, hvorvidt der er behov for ændringer i den gældende informationssikkerhedspolitik og udmøntningen af politikken. Det er itstyregruppen suppleret af it-koordinatorgruppen, som begge udgør kommunens tværorganisatoriske samarbejdsfora for it-drift. It-sikkerhedskoordinatoren refererer til kommunaldirektøren og varetager den overordnede styring af informationssikkerhedsindsatsen i praksis. It-sikkerhedskoordinatoren har ansvaret for udarbejdelse og vedligeholdelse af informationssikkerhedspolitikken, sikkerhedsregler, handlingsplaner, risikovurderinger og beredskabsplaner, der er omfattet af informationssikkerhedspolitikken. Områdedirektørerne har ansvaret for, at informationssikkerhedspolitikkens krav og udmøntningen heraf i form af sikkerhedsregler og -procedurer m.v. implementeres og forvaltes korrekt. Organisationens ledere har ansvaret for den daglige ledelse af informationssikkerhedsindsatsen i de enkelte afdelinger, institutioner og virksomheder. Medarbejdere og kommunalpolitikere har ansvar for at følge informationssikkerhedspolitikken i sammenhæng med de konkrete ansvarsområder og arbejdsopgaver. Systemejerne har ansvaret for varetagelsen af aktiver, som relaterer sig til og er væsentlige for kommunens informationsbehandlingen. Ansvarsopgaverne omfatter driftsafvikling, vedligeholdelse og udfasning af aktiverne. Brud på informationssikkerheden Såfremt en trussel mod informationssikkerheden eller brud på denne opdages, skal dette straks meddeles til kommunens it-sikkerhedskoordinator, som i nødvendig omfang rapporterer sikkerhedsbrud til relevante parter. Hvis medarbejdere overtræder politikken, sikkerhedsregler og procedurer, kan det medføre ansættelsesretslige konsekvenser. For samarbejdspartnere vil overtrædelse af politikken, sikkerhedsregler og procedurer blive betragtet som aftalebrud og kan have konsekvenser derefter. Såfremt der foreligger mistanke om strafbare forhold, f.eks. overtrædelse af tavshedspligt, vil der blive indgivet politianmeldelse. Udmøntning Principperne i politikken skal omsættes til sikkerhedsregler, som omfatter administrative, fysiske og tekniske sikringsforanstaltninger. Reglerne skal godkendes af Direktionen. Udmøntning af reglerne sker i form af procedurer, vejledninger, kontrolforanstaltninger samt uddybende itsikkerhedsregler. Opfølgning Som et led i den overordnede sikkerhedsstyring skal politikken revurderes en gang årligt. Itsikkerhedskoordinatoren skal sikre, at revurderingen gennemføres.

Kommunen fastlægger på baggrund af risikovurderinger et sikkerhedsniveau, som svarer til betydningen af de pågældende informationer og informationsrelaterede aktiver. Risikovurderingerne gennemføres under hensyntagen til ressourcer og de økonomiske forhold. Risikovurderinger udføres som udgangspunkt en gang årligt, eller ved større organisationsændringer, ændringer i informationssystemer, eller hvis andre forhold nødvendiggør det. Der skal løbende laves opfølgning på, om medarbejdere og kommunalbestyrelsesmedlemmer har tilstrækkeligt kendskab til politikken, sikkerhedsreglerne og gældende procedurer, vejledninger, mv. Der skal regelmæssigt følges op på overholdelsen af politikken, sikkerhedsregler og -procedurer. Opfølgningen skal som udgangspunkt foretages en gang årligt og kan udføres af itsikkerhedskoordinatoren eller kommunens revision. Resultatet af opfølgninger rapporteres til Direktionen. Offentliggørelse Politikken skal formidles til alle relevante interessenter, herunder samtlige medarbejdere i kommunen. Politikken offentliggøres på kommunens hjemmeside. Godkendelse Politikken er vedtaget af Magistraten d. 18. maj 2009 og træder i kraft per denne dato.

Versionshistorik Version Vedtaget af Ændring Dato 1.0 Magistraten Første udgave 18. maj 2009 1.1 Årlig revision tiltrådt af Faktuelle rettelser og indføjelse af fodnote vedr. overgang fra DS484 til 21.december 2010 1.1.1 Årlig revision tiltrådt af 1.2 Årlig revision tiltrådt af 1.3 Årlig revision tiltrådt af 1.4 Årlig revision tiltrådt af ISO27001. Gennemgang med henblik på ajourføring - ikke fundet behov for ændringer. Der er ikke fortaget ændringer. Der er ikke fortaget ændringer. Der er foretaget få ændringer i forbindelse med udfasning af DS 484. 5. marts 2013 7. januar 2014 2. december 2014 12. januar 2016

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback