Ny IT sikkerhedspolitik for Jammerbugt Kommune Udkast november 2104 IT Sikkerhedspolitik, Jammerbugt Kommune Side 1 af 22
Versionsstyring Version nr. Dato for version Ændring Årsag Ansvar 01.02 26.11.2014 Ny politik - rettelser Noël Mignon Indholdsfortegnelse 1. Om Jammerbugt Kommunes it-sikkerhedspolitik 5 Baggrund 5 Formål 5 Gyldighed og omfang 6 2. Organisation og ansvar 6 6 Kommunalbestyrelsen og direktionen 6 It-afdelingen 6 It-chefen 7 Fagchefer 7 Systemejere 7 3. Medarbejdersikkerhed 8 8 Ansættelse af nye medarbejdere 8 Under ansættelse 8 Fratrædelse 9 4. Logisk adgangsstyring 9 9 Brugeradministration 10 5. Styring af It-aktiver 11 11 Registrering af it-aktiver 11 Klassifikation af data og andre it-aktiver 12 Sikkerhedskrav til registreringen af følsomme og fortrolige data 12 Vedligeholdelse af it-aktiver 13 IT Sikkerhedspolitik, Jammerbugt Kommune Side 2 af 22
Kassation af it-aktiver 13 6. Risikovurdering og håndtering 13 13 Risikovurdering 13 Risikohåndtering 13 7. Fysisk sikkerhed 14 14 Zoner 14 8. Brug af it-udstyr 15 15 Filbehandling 15 Adgangskode politik 16 Logning af adgang til Jammerbugt Kommunes it-ressourcer 16 9. Driftsafviklingsprocedurer 17 17 Backup og genetablering 17 Logning i forbindelse med it-ressourcer 18 10. Netværket 18 18 Segmentering 18 Trådløse netværk Fejl! Bogmærke er ikke defineret. 11. Support 18 18 Standard ændringer 19 Implementeringer på netværk 19 Varsling 19 12. Beskyttelse mod ondsindet programmel 19 19 Antivirus og antispam 19 13. Anskaffelse og vedligeholdelse af fagsystemer 20 20 Fagsystemer 20 14. Samarbejdspartnere og leverandører 21 21 IT Sikkerhedspolitik, Jammerbugt Kommune Side 3 af 22
Før samarbejde 21 Under samarbejde 21 Afslutning af samarbejde 21 15. Beredskabsplanlægning 22 22 16. TV-overvågning og brug af digitale billeder 22 22 17. Brug af sociale medier 22 22 Arbejdsmæssig brug af sociale medier 22 Privat brug af sociale medier 22 IT Sikkerhedspolitik, Jammerbugt Kommune Side 4 af 22
1. Om Jammerbugt Kommunes it-sikkerhedspolitik Baggrund Anvendelse af it i Jammerbugt Kommune forandres til stadighed imod en stigende kompleksitet, som bl.a. skyldes, at den kommunale administration mødes, af en øget digitalisering af administrationen. Den øgede digitalisering er et middel til, at imødekomme kravene fra såvel borgerne, som den lovgivende myndighed og samfundet generelt om effektiv administration og hurtig og korrekt service. Med denne it-sikkerhedspolitik, vil Jammerbugt Kommune samle, opdatere og præcisere de eksisterende it-sikkerhedsmæssige retningslinjer, som er gældende for alle it-brugere i hele den kommunale organisation. It-sikkerhedspolitikkens hovedhjørnesten er ISO 27001 standarden. Formål Formålet med it-sikkerhedspolitikken er, at sikre kommunens borgere, virksomheder og medarbejdere adgang til tilgængelig, pålidelig og fortrolig kommunal service. Det opnås ved: At Jammerbugt Kommune i overensstemmelse med god offentlig forvaltningsskik, sikrer data og informationers fortrolighed, pålidelighed, integritet og tilgængelighed. Derved opnås Jammerbugt Kommunes primære målsætning; at servicere kommunens borgere, virksomheder og medarbejdere effektivt og på den bedst mulige måde. At it-sikkerhedsniveauet i Jammerbugt Kommune til enhver tid er i overensstemmelse med gældende lovgivning, kontraktlige krav og god it-skik. Kommunen har over for personer og virksomheder i henhold til lovgivningen et særligt ansvar for at beskytte oplysninger om personer mod uautoriseret anvendelse og mod fejl i oplysningerne. At Jammerbugt Kommunes it-sikkerhed er tilpasset de informationer, som skal beskyttes, set i forhold til de trusler, som kan forårsage tab af fortrolighed, pålidelighed, integritet og tilgængelighed. It-sikkerheden fastholdes igennem såvel løbende kontroller, som uddannelse og information på tværs af organisationen, hvor det måtte være påkrævet. At Jammerbugt Kommune tilsigter, at anvendelsen af funktionaliteten i kommunens it-systemer ikke forringes som følge af it-sikkerhedsniveauet. It-sikkerheden indgår i stedet som en integreret og ikke begrænsende del af arbejdsprocesserne i kommunen, så it-sikkerhedsrelaterede procedurer og kontroller er en normal del af arbejdsprocesserne. At Jammerbugt Kommunes it-sikkerhed understøtter kommunens strategiplan samt de generelle værdier kommunen har som arbejdsplads og servicefunktion over for kommunens borgere og virksomheder. IT Sikkerhedspolitik, Jammerbugt Kommune Side 5 af 22
At Jammerbugt Kommune fastholder it-sikkerhedsniveauet gennem krav til adfærd samt målretter formidling af viden omkring it-sikkerhed til de medarbejdere og eksterne parter, der måtte have kontakt med de kommunale it-ressourcer. Gyldighed og omfang It-sikkerhedspolitikken bliver løbende opdateret, og bliver gennemgået en gang årligt. Udviklingschefen vurderer, hvornår der er behov for politisk behandling og underretter MEDsystemet, hvis der ændres i personalerelaterede forhold. Redaktionelle ændringer kan uden videre foretages. Alle brugere, samarbejdspartnere, institutioner o.l. samt leverandører med fysisk eller logisk adgang til kommunens systemer skal være bekendt med it-sikkerhedspolitikken og er forpligtede til at overholde reglerne. 2. Organisation og ansvar Rollerne og det medfølgende ansvar, som nævnes i it-sikkerhedspolitikken, er alene beskrevet i forhold til it-sikkerheden i Jammerbugt kommune. Det betyder, at yderligere ansvar tildelt disse roller, er beskrevet andetsteds. Kommunalbestyrelsen og direktionen Kommunalbestyrelsen har det overordnede ansvar for etablering og vedligeholdelse af en itsikkerhed, der er tilpasset Jammerbugt Kommunes behov og opfylder kravene i lovgivningen og god forvaltningsskik. Kommunalbestyrelsen har delegeret ansvaret for den daglige ledelse og kontrol af it-sikkerheden og rollen som it-sikkerhedschef til Udviklingschefen. Udviklingschefen skal i samarbejde med itchefen præcisere it-sikkerhedsniveauet og sikre overholdelse af it-sikkerhedsreglerne i kommunen. It-chefen er Udviklingschefens stedfortræder med hensyn til dette ansvar. Udviklingschefen har endvidere ansvaret for formulering og tilpasning af Jammerbugt Kommunes it-sikkerhedspolitik. Den enkelte chef har ansvaret for overholdelse af persondataloven i forhold til det enkelte fagsystem og skal sikre, at kommunen efterlever Datatilsynets regler og krav. It-afdelingen It-afdelingen opstiller strategier, som sikrer varetagelsen af det daglige it-sikkerhedsarbejde på en sådan måde, at it-sikkerheden implementeres effektivt i hele Jammerbugt Kommunes organisation. IT Sikkerhedspolitik, Jammerbugt Kommune Side 6 af 22
It-afdelingen er med til at vurdere de sikkerhedsmæssige og evt. kommunikative aspekter i forbindelse med it-investeringer, ændringer i den anvendte teknologi eller andre forhold, som har indflydelse på it-sikkerheden i kommunen. It-chefen It-chefen har ansvaret for: Oprettelse og nedlæggelse af brugerprofiler Den tekniske it-sikkerhed, herunder netværkssikkerhed, virusbeskyttelse, driftsstabilitet mv. Den administrative sikkerhed - herunder brugeradministration, dataklassifikation, systemejerskab mv. It-chefen har ansvaret for fysisk sikkerhed i alle bygninger, kommunen råder over, når det berører it-områder At netværket er korrekt dokumenteret samt at driften og udviklingen af det enkelte netværk sker i overensstemmelse med de vedtagne procedurer, sikkerhedsforskrifter og kontroller. It-chefen er desuden ansvarlig for at rapportere fejl og afvigelser til Udviklingschefen Fagchefer Fagcheferne er ansvarlige for at: Systemejerskabet løftes for de systemer, som fagchefen er systemejer for Ansvar for at søge godkendelse hos Datatilsynet ligger hos den relevante fagchef. Kommunens jurist vejleder og rådgiver systemejere om aspekter vedrørende lovgivning og anmeldelser af databehandlinger på baggrund af it-registre til datatilsynet og sikrer samtidig, at eventuelle ændringer i relevante love videreformidles til systemejerne. opgaverne i forvaltninger og institutioner udføres efter de gældende regler og instrukser i henhold til it-sikkerhedspolitikken medvirke til dokumentation af behovet for it-sikkerhed inden for egen del af organisationen sikre medarbejdernes kendskab til gældende regler og instrukser samt føre tilsyn med at regler og instrukser overholdes samarbejde med Udviklingschefen, it-chefen og it-afdelingen om it-sikkerhed og implementering af nye it-systemer Systemejere Fagcheferne er systemejere og har systemejerskabet for it-systemerne i deres fagområde og derved det nævnte ansvar for dokumentation og vedligeholdelse samt for opgaver, som relaterer sig til det enkelte system. Systemejeren kan uddelegere ansvar for udvalgte opgaver til en fagsystem superbruger. Systemejeren er desuden ansvarlig for: at udpege fagsystem superbrugere, når det er nødvendigt. It-afdelingen skal orienteres om hvilke medarbejdere, der udpeges til fagsystem superbrugere at data i systemet er korrekt klassificerede, og at systemet overholder kravene til denne klassifikation (jf. afsnit 5), IT Sikkerhedspolitik, Jammerbugt Kommune Side 7 af 22
at brugerne har det nødvendige kendskab til systemets funktionsmåde om nødvendigt at anmelde til Datatilsynet, hvis systemet håndterer følsomme data med jævne mellemrum at revurdere systemet og eventuelt stille forslag til udvikling og forbedringer udarbejdelse af forslag til en hensigtsmæssig og økonomisk forsvarlig benyttelse af systemet udarbejdelse af forslag til hensigtsmæssig organisering af brugerprofiler og tildeling af rettigheder med udgangspunkt i en klassifikation af data, at Jammerbugt Kommune har de fornødne licenser/tilladelser til at anvende det pågældende system, og at brugerne gøres bekendt med, hvordan systemerne efter disse tilladelser må anvendes, at sikre at logningsniveauet er i overensstemmelse med lovgivningen, at rapportere fejl og afvigelser til Udviklingschefen. at oversigter med kontaktpersoner på de enkelte it-systemer udarbejdes og vedligeholdes. at kvalificere brugeres adgange til systemerne, halvårligt at kontrollere brugernes adgange til systemerne, halvårligt 3. Medarbejdersikkerhed Medarbejdersikkerheden sikrer, at Jammerbugt Kommunes it-ressourcer ikke udsættes for risici i forbindelse med brugen af disse, ligesom medarbejdere sikrer sig, at deres færden logisk (på pcarbejdspladserne) såvel som fysisk (fysiske behandling af it-udstyret) er i overensstemmelse med retningslinjerne, som er udstukket af It-afdelingen. Ansættelse af nye medarbejdere Nye medarbejdere i Jammerbugt Kommune bliver i forbindelse med ansættelsen oprettet som brugere på Jammerbugt Kommunes it-systemer på foranledning af den ansættende afdelingsleder i den afdeling, medarbejderen skal starte i. Afdelingen har herefter ansvar for at udlevere pixiudgaven af Jammerbugt Kommunes itsikkerhedspolitik samt at informere den nye medarbejder om, hvor it-sikkerhedspolitikken kan findes i sin fulde længde, så vedkommende fra samarbejdets start er bekendt med denne. Nye medarbejdere skal tildeles adgang med de nødvendige autorisationer og rettigheder til de systemer, som de har brug for adgang til for at løse deres opgaveportefølje. (Se mere i bilag 4 om retningslinjer for autorisation). Under ansættelse Det er kommunens politik, at eventuelle overtrædelser af gældende it-sikkerhedspolitik håndteres af den daglige leder, som undersøger årsagen til overtrædelsen og vurderer overtrædelsens karakter. Der kan være tale om en utilsigtet overtrædelse, hvor den pågældende medarbejders opmærksomhed henledes på, at it-sikkerhedspolitikken ikke er overholdt. IT Sikkerhedspolitik, Jammerbugt Kommune Side 8 af 22
Som bruger på Jammerbugt Kommunes it-netværk skal du derfor være specielt opmærksom på følgende: Det skal understreges, at dit brugernavn og din kode er personlig, og derfor ikke må deles med andre Forlader du pc en, skal du huske at låse den (tryk + L eller Ctrl, Alt, Del og Enter for at låse), så uvedkommende ikke kan få adgang til dine data. Det samme gør sig gældende ved hjemmearbejde Man skal være opmærksom på hvem der har adgang/udsyn til skærmen når man behandler personfølsomme data, ligesom man også skal være opmærksom på, at udskrifter med personfølsomme data ikke bør ligge offentligt tilgængeligt Pc en er et arbejdsredskab, og skal derfor primært bruges til fagligt relevante ting Når man er logget på Jammerbugt Kommunes netværk, skal man være opmærksom på, hvad man foretager sig, da man repræsenterer Jammerbugt Kommune og dennes værdier Opstår der tvivl om, hvorvidt en handling er tilladt eller udgør en sikkerhedsrisiko, skal man henvende sig til HelpDesk eller It-afdelingen for vejledning Husk altid at logge af systemet ved arbejdsdags afslutning Endelig forventes det, at den enkelte medarbejder reagerer aktivt på eventuelle itsikkerhedsmæssige problemer eller fejl, og at medarbejderen i givet fald videregiver sine observationer til It-afdelingen ved at oprette en sag. Fratrædelse Ved afskedigelse skal medarbejderens adgang til systemer og netressourcer vurderes i hvert enkelt tilfælde. Adgangen kan være åben indtil endelig fratrædelse finder sted eller lukkes straks ved afskedigelsen. For at sikre gennemførelse af forretningsgangen, skal Løn- og Personaleafdelingen altid orientere it-afdelingen, når en opsigelse fra en medarbejder er modtaget eller en afskedigelse er effektueret. Ydermere skal den fratrådte medarbejders afdeling sørge for, at få tilbageleveret alt it-udstyr den pågældende medarbejder har haft til rådighed under ansættelsen. 4. Logisk adgangsstyring Den logiske adgang til Jammerbugt Kommunes data og it-ressourcer kan kun ske via Jammerbugt Kommunes administrative it-netværk. Dette netværk er logisk adskilt fra de øvrige netværk, der anvendes i kommunen, herunder den offentligt tilgængelige del af skolenetværket, biblioteksnetværket og andre eksterne net, som f.eks. Internettet. Logisk adgangsstyring i Jammerbugt Kommune er organiseret således, at ansvaret for tildeling af rettigheder og adgange ligger hos den enkelte afdelingsleder. It-afdelingen er udførende og IT Sikkerhedspolitik, Jammerbugt Kommune Side 9 af 22
koordinerende faktor i forbindelse med adgangsstyring, ansvarlig for daglige retningslinjer og vejledning i brug af de logiske it ressourcer. Målet med logisk adgangsstyring er at mindske risikoen for tab af fortrolighed, pålidelighed, integritet og tilgængelighed i Jammerbugt Kommune. Brugeradministration Standard brugeradministration It-afdelingen sørger for oprettelser, ændringer og sletninger af brugerprofiler på foranledning af afdelingslederne. I forbindelse med oprettelse, ændring eller sletning af en brugerprofil, sender den pågældende medarbejders leder et brugerskema til it-afdelingen, som forestår den konkrete brugeradministration. Brugerskemaet findes på TRYK i 3 versioner brugerskema til oprettelse af bruger brugerskema til ændringer af brugerrettigheder brugerskema til sletning af bruger Skemaet udfyldes online og oprettes som en sag til HelpDesk. På baggrund heraf effektuerer itafdelingen de(n) ønskede handling(er). For såvel e-postbokse som øvrig data gælder det, at brugeradgangen frakobles automatisk i 2 måneder. I tilfælde af at man skal have adgang til en tidligere medarbejders e-postboks, kan dette ske i op til 60 dage efter sletning af brugerprofilen. Dette må dog kun finde sted efter, at der er indhentet en autorisation fra Udviklingschefen eller dennes stedfortræder. Særlige omstændigheder kan medføre behov for, at dataopretholdelse skal forlænges. Det samme gør sig gældende i forbindelse med en fratrådt medarbejders netværksdrev. I begge tilfælde skal det undlades at mapper benævnt private undersøges uden samtykke fra medarbejderen medmindre der er tale om tilfælde med mistanke om kriminelle forhold. Administrator brugere It-afdelingens medarbejdere er autoriseret til at have administratorrettigheder. Derudover er udvalgte brugere/medarbejdere autoriseret til at have administratorrettigheder til udvalgte systemer. Disse medarbejdere er dokumenteret og autoriseret af it-afdelingen. Udvalgte personer hos Jammerbugt Kommunes outsourcingpartner på det it-driftsmæssige område vil også være autoriseret til at have administrator rettigheder. De personer og deres funktionsbeskrivelser vil ligeledes være dokumenteret af den person, som opretter brugerprofilerne. Brugeradministration for fagsystemer Adgang til fagsystemerne kræver særskilt autorisation på foranledning af den pågældende brugers nærmeste leder, og oprettelserne foretages af it-afdelingen. IT Sikkerhedspolitik, Jammerbugt Kommune Side 10 af 22
Fællesbrugerprofiler Fællesbrugerprofiler er en brugerprofil på it-netværket, som kan oprettes i funktioner hvor flere medarbejdere har behov for at tilgå en pc-arbejdsplads uden rettigheder til andet end at logge på. Det vil typisk foregå i tilfælde, hvor flere medarbejdere tilgår det samme fagsystem på pcarbejdspladsen, men først har behov at blive identificeret, når de tilgår fagsystemet. Fællesbrugerprofiler skal altid vurderes og autoriseres af it-afdelingen, for at sikre at itsikkerheden ikke kompromitteres. Fællesbrugerprofiler oprettes kun, hvis det er den eneste praktisk mulige måde at tildele brugeradgang på. Brugen af fællesbrugerprofiler holdes på et absolut minimum. TRYK bruger Alle medarbejdere kan tilgå Jammerbugt Kommunes intranet, TRYK. Første gang en medarbejder logger på TRYK inden for Jammerbugt Kommunes netværk, anvendes NemID via adressen www.tryk.jammerbugt.dk. Herefter genkender systemet medarbejderen. Hvis man vil logge på TRYK uden for kommunens netværk, f.eks. hjemmefra, anvendes NemID som login hver gang. NemID genkender de ansatte i Jammerbugt Kommune ved hjælp af en CVS fil, således at andre borgere i Danmark ikke kan anvende NemID til at logge på TRYK. Medarbejdere, der ikke er oprettet på Jammerbugt kommunes it-netværk, har også mulighed for at tilgå TRYK. Er der behov for at logge på TRYK, selvom man ikke er ansat i Jammerbugt Kommune, f.eks. hvis man er en del af et kommunalt netværk, er det muligt at blive oprettet som bruger at TRYK. 5. Styring af It-aktiver It-afdelingen står for den løbende vedligeholdelse og udskiftning af it-aktiver i Jammerbugt Kommune. Udskiftning sker kun i forbindelse med enheder, som ifølge It-afdelingens planlægning står til udskiftning. Al it-anskaffelse finansieret af Jammerbugt Kommune skal ske gennem It-afdelingen i en sag til HelpDesk. Privat udstyr kan anvendes på nogle af Jammerbugt Kommunes systemer jf. afsnittet Anvendelse af mobilt udstyr under kapitel 7. Logiske it-aktiver (alle data som behandles på Jammerbugt Kommunes it-netværk) styres i forhold til retningslinjerne i persondataloven og sikkerhedsbekendtgørelsen, og det er den enkelte afdelings ansvar at klassificere de data, der behandles i afdelingen og sikre, at de er forsvarligt beskyttet. It-afdelingen bistår efter behov i klassificeringen. Registrering af it-aktiver It-afdelingen registrerer og tyverisikrer alle produkter. Alle pc-arbejdspladser skal markeres med tyverisikring. IT Sikkerhedspolitik, Jammerbugt Kommune Side 11 af 22
Afdelingerne og de eksterne institutioner har selv ansvaret for at registrere og tyverisikre andre enheder såsom f.eks. mobiltelefoner, tablets osv. Det er vigtigt at alle enheders unikke IMEI nummer eller lignende er registreret i tilfælde af tyveri eller tab af enheder, da det skal bruges i forbindelse med forsikringskrav. Dataene, der registreres for hvert it-aktiv, skal indeholde relationer og informationer således, at det er muligt af genetablere fra en katastrofe f.eks. lokation, ejer, backup, licenser, garanti, klassificering og service level agreements. Klassifikation af data og andre it-aktiver Klassifikationen af data stiller forskellige krav til håndteringen og opbevaringen af data. Fagchefen/systemejeren skal ved introduktion af et nyt system og tilhørende hardware sikre, at sikkerheden i systemet er i stand til at beskytte de data, som systemet anvender i overensstemmelse med datas sikkerhedsklassifikation. Dataklassificeringsniveauer Dataklassifikationen er opdelt i følgende kategorier: Offentlige data data, som kan offentliggøres til befolkningen på f.eks. kommunens hjemmeside, og som den enkelte borger uden videre kan begære indsigt i Ikke offentligt tilgængelige data data, som er af en sådan beskaffenhed, at den enkelte borger ikke kan få indsigt i disse data. Eksempler på sådanne data er informationer om opbygningen af sikkerhed i kommunens administration, kontrakter, interne notater mv. Disse oplysninger kan være fortrolige efter andre regler end Persondataloven, fx Offentlighedsloven. Fortrolige oplysninger, der er omfattet af persondatalovens 6, 7 og 8. Sikkerhedskrav til registreringen af følsomme og fortrolige data Følgende er en oversigt over sikkerhedskrav til registreringen af data som indeholder fortrolige og følsomme oplysninger: Autorisation Systemejer skal autorisere brugeres adgang til data samt deres rettigheder til at læse, opdatere og slette data. Adgangsforhold Systemet skal adgangsbegrænses med to-faktor brugervalidering ved internt login og tre-faktor brugervalidering ved eksternt login. Datakommunikation Kommunikation af fortrolige og følsomme oplysninger over offentlige net skal krypteres ved Send sikkert -funktionen i Outlook. Logning af adgang Mislykkede adgangsforsøg logges og registreringerne herom gennemgås periodisk. Gentagne mislykkede forsøg skal medføre lukning af adgang. IT Sikkerhedspolitik, Jammerbugt Kommune Side 12 af 22
Logning af anvendelse Alle anvendelser af data vedrørende enkeltpersoner logges og gemmes i ½ år og ved særlige behov op til 5 år (gælder ikke dokumenter under udarbejdelse). Loggen skal indeholde tidspunkt, bruger, anvendelse og personen, som anvendelsen vedrører. Opbevaring Dataene skal opbevares således at kun autoriserede brugere har adgang til dem. Alle data, genereret i fagsystemerne, skal være omfattet af backup. Anmeldelse Behandling af personoplysninger skal anmeldes til Datatilsynet. Sletning Data skal efter arkivering slettes fra de datamedier, de tidligere har ligget på. Er der tale om en kassation af de tidligere datamedier, skal datamedierne afleveres hos It, som sørger for en standardiseret og sikker sletning af indholdet. Vedligeholdelse af it-aktiver Alle fysiske it-aktiver er underlagt løbende vedligeholdelse i form af softwareopdateringer og eventuelle fysiske reparationer for at sikre driftsikkerheden på it-netværket og integriteten i dataene. Kassation af it-aktiver 6. Risikovurdering og håndtering Risikovurdering og -håndtering sikrer, at alle it-systemer og it-arbejdsgange i Jammerbugt Kommune risikovurderes og håndteres, således at it-brug altid foregår på den mest sikre og hensigtsmæssige måde og med forretningen Jammerbugt Kommune i fokus. It-afdelingen kan bistå afdelingerne i at risikovurdere de it-processer/-arbejdsgange, der finder sted, og hjælpe med at sikre, at identificerede risici dækkes af de rette kontroller. Risikovurdering It-afdelingen identificerer, vurderer og dokumenterer risici på baggrund af inputs fra organisationen, andre eksterne faktorer såsom lovkrav m.m. og har ansvar for en årlig it-revision. Risikohåndtering It-afdelingen håndterer risici på en måde, der sikrer, at årsagen til risiciene blotlægges, fjernes eller som minimum mindskes til et acceptabelt niveau. Udarbejdelse af kontroller og analyser af IT Sikkerhedspolitik, Jammerbugt Kommune Side 13 af 22
risiciene med henblik på løbende forbedring af it-sikkerheden sikrer proaktivt, at det acceptable niveau opnås, dvs. der hvor sikkerhedsforanstaltningerne står mål med risikoen. 7. Fysisk sikkerhed Fysisk sikkerhed fokuserer på sikkerheden omkring de fysiske it-zoner og beskyttelse af it-aktiver i Jammerbugt Kommune. Dette område varetages af it-afdelingen. Zoner Zone 1 (omfatter serverrummet på rådhuset) Den fysiske adgang til it-ressourcer i zone 1 er sikret med et elektronisk låsesystem, således at kun autoriserede personer kan få adgang til zonen. Adgang til zonen uden behørig autorisation må kun ske sammen med ledsager med en sådan autorisation. Grundlæggende må kun specifikke medarbejdere have adgang til denne zone. Navngivne teknikere og håndværkere der har et godkendt behov, kan inden for normal arbejdstid eller i forbindelse med krisesituationer få uledsaget fysisk adgang til serverrummet. Øvrige personer må kun få adgang med autoriseret ledsager. Lister over udstedte nøglekort gennemgås årligt med henblik på at revurdere, hvilke medarbejdere, navngivne teknikere og håndværkere, der har adgang til zonen. Serverne er hævet 20 cm. over gulvhøjde for at modgå eventuelle oversvømmelser af gulvet. Serverrummet indeholder ligeledes køling og ekstra brandslukning/ -alarmeringsudstyr samt UPS i tilfælde af strømafbrydelser. Serverrummets overvågnings- og beskyttelsesudstyr gennemses og testes årligt af autoriserede teknikere. Lokaler under zone 1 er endvidere sikret og overvåges i relation til uautoriseret indtrængen. Alarmer viderestilles til it-afdelingens medarbejdere, rådhusbetjentene eller Falck afhængig af den aktuelle alarm. Zone 2 (omfatter it-lager og it-værksted) Den fysiske adgang til denne zone er sikret med et elektronisk låsesystem, således at kun autoriserede personer har adgang til zonen. Grundlæggende er det kun medarbejdere fra itafdelingen, der har adgang til denne zone. Teknikere og håndværkere fra firmaer, der har et godkendt behov, kan inden for normal arbejdstid eller i forbindelse med krisesituationer få uledsaget fysisk adgang til it-lager og -værksted. Lokaler under zone 2 er endvidere sikret og overvåges i relation til uautoriseret indtrængen. IT Sikkerhedspolitik, Jammerbugt Kommune Side 14 af 22
Lister over udstedte nøgler, nøglekort, adgangskoder mv. til zone 2 gennemgås årligt af itafdelingen med henblik på at revurdere, hvilke medarbejdere i Jammerbugt Kommune, der har adgang til zonen. Zone 3 (Kontorer i it-afdelingen, krydsfelter, serverrum på eksterne lokationer mv.) Den fysiske adgang til denne zone er sikret med specifikke låse, som kun autoriserede personer har nøgler til. På rådhuset vil det være medarbejdere fra it-afdelingen, rådhusbetjente og navngivne teknikere og håndværkere fra firmaer med et godkendt behov, der har adgang til denne zone. På andre lokaliteter vil adgangen være baseret på autorisation fra den lokale leder i samråd med it-afdelingen. 8. Brug af it-udstyr Brug af it-udstyr fokuserer på den bruger- og filsikkerhed, som er forbundet med brugen af itudstyr på Jammerbugt Kommunes it-netværk hvad enten der er tale om mobilt, privat eller itudstyr leveret af Jammerbugt Kommune. Filbehandling Jammerbugt Kommune forbeholder sig ret til, med samtykke fra fagchef eller direktør at foretage gennemgang af alle systemer og personlige/private områder netværksdrev, mobiltelefoner, i e- post og andre områder og enheder som måtte indeholde data fra Jammerbugt Kommune, såfremt der forefindes berettigede interesser for dette jf. afsnittet Standard brugeradministration. Disse interesser er af hensyn til Jammerbugt Kommunes drift, sikkerhed, genetablering og dokumentation samt hensynet til kontrol af medarbejderes brug. Alle gennemgange foretages under fuld fortrolighed og med den enkelte medarbejders vidende, medmindre det skønnes at medarbejderens vidende kan kompromittere evt. bevismateriale f.eks. i forbindelse med gennemgange foretaget med baggrund i en mistanke om kriminelle forhold. Eksterne devices Ved brug af eksterne devices, som smartphones eller tablets mv., har it-afdelingen adgang til at slette data. Enten ved fuld sletning eller delvis sletning. Anvendes en privat device, slettes kun de kommunale data. Elektronisk udveksling af data Det er ikke tilladt at anvende uautoriserede og usikre datamedier f.eks. Dropbox, diverse cloud drives m.m. - til udveksling eller arkivering af fortrolige data. Data med fortrolige og følsomme oplysninger Kommunikation af data med fortrolige eller følsomme oplysninger over offentlige netværk mellem Jammerbugt Kommune og driftsleverandører, hjemmearbejdspladser mv. skal krypteres i henhold til data-klassifikationen. Som bruger skal man derfor altid sende data via Send sikkert - funktionen i Outlook, hvis dataene skal sendes uden for Jammerbugt Kommunes it-netværk. IT Sikkerhedspolitik, Jammerbugt Kommune Side 15 af 22
Adgangskode politik Brug af adgangskoder Alle nye medarbejdere skal ændre adgangskode ved første logon, og adgangskodepolitikken i Jammerbugt Kommune kræver, at en adgangskode: Minimum består af 8 karakterer Består af 3 af følgende 4 tegnmuligheder: store bogstaver, små bogstaver, tal og specialtegn Ikke indeholder dit navn eller brugernavn Bliver ændret hver 3. måned Ikke er en af de 5 sidst benyttede adgangskoder Husk at hvis du benytter en telefon, tablet computer eller lignende til at synkronisere din mail, skal du også ændre password på disse enheder, så snart du har ændret det på pc en. Dit ansvar som bruger Som bruger på Jammerbugt Kommunes it-netværk skal du være opmærksom på følgende: Din adgangskode er personlig og må derfor ikke deles med andre eller skrives ned således, at den risikerer at blive offentliggjort Du skal skifte din adgangskode, hvis du er det mindste i tvivl, om den er blevet kompromitteret Din adgangskode bliver spærret, hvis du taster den forkert 5 gange. HelpDesk kan låse op, så du kan forsøge den samme adgangskode igen, men har du glemt din adgangskode og skal have den nulstillet, skal du henvende dig til din brugerinstruktør, som kan nulstille adgangskoden eller oprette en sag til HelpDesk via TRYK. Anvendelse af mobilt udstyr Mobilt udstyr i Jammerbugt Kommune omfatter bærbare pc ere, mobiltelefoner, tablet computere og lignende. Mobiltelefoner, tablet computere og lignende må som udgangspunkt kun tilgå it-netværket via sikrede kommunikationskanaler. Data skal være sikret helt ud på de enkelte enheder. Brug af privat it-udstyr I Jammerbugt Kommune er det tilladt at benytte eget it udstyr på trådløst netværk. Det er kun tilladt at tilgå Jammerbugt Kommunes data på enkeltenheder via eksternt hostede services samt Citrix og Webmail løsninger. Logning af adgang til Jammerbugt Kommunes it-ressourcer I Jammerbugt Kommune logges det hver gang en medarbejder har været inde i et system. Det logges også, hvilke sager/filer den enkelte medarbejder har været inde på, hvis det er systemer eller filer indeholdende personoplysninger. Alle mislykkede adgangsforsøg, anvendelser af data som indeholder fortrolige eller følsomme data samt medarbejdernes brug af hjemmesider via internettet og e-post registreres via loggen. IT Sikkerhedspolitik, Jammerbugt Kommune Side 16 af 22
Jammerbugt Kommune forbeholder sig ret til med fagchef eller direktørs samtykke, ved begrundet mistanke til enhver tid at gennemgå disse registreringer under samme forudsætninger som beskrevet i afsnittene Standard brugeradministration og Filbehandling omkring adgang til medarbejderes e-postkasser og personlige netværksdrev. Stikprøver Der vil jævnligt, med vilkårlige intervaller, blive foretaget stikprøver af loggen for at sikre datasikkerheden. Stikprøverne vil have fokus på, Om der er uautoriserede logins eller forsøg på dette i systemet Om der er medarbejdere, der uden gyldig grund har været inde i filer med personoplysninger Stikprøver vil i praksis foregå ved, at logningsfiler fra en udvalgt periode bliver gennemgået. 9. Driftsafviklingsprocedurer Jammerbugt Kommune har outsourcet dele af driftsansvaret for kommunens serverpark til en ekstern leverandør. It-afdelingen samarbejder løbende med leverandøren om, at driftsafviklingen foretages på en stabil, kvalificeret og sikker måde således, at fortroligheden, pålideligheden, integriteten og tilgængeligheden af it-ressourcerne og deres data sikres. Det indebærer kontroller af de medarbejdere, som leverandøren benytter på Jammerbugt Kommunes ressourcer. Ligesom det indebærer, at it-ressourcerne, som udgangspunkt, er tilgængelige for medarbejderne, borgerne og virksomhederne døgnet rundt, dog vil eventuelle driftsnedbrud primært blive udbedret inden for normal arbejdstid. Længerevarende nedlukninger af it-ressourcer skal så vidt muligt ske uden for normal arbejdstid. Ved kritiske systemnedbrud træder it-beredskabsplanen i kraft. Backup og genetablering For, til enhver tid, at kunne fremfinde informationer i forbindelse med kommunens aktiviteter, har it-afdelingen ansvaret for, at der tages daglig backup. For at sikre, at data kan genindlæses ved nedbrud, foretager it-afdelingen verifikation af sikkerhedskopier ved hjælp af løbende genetableringstests. Hele Jammerbugt Kommunes data backup opbevares sikkert således, at disse altid kan fremfindes ved igangsættelse af nødplaner eller i forbindelse med andet behov. For at backupfunktionen ikke kompromitterer sikkerheden af de data, der tages backup af, er der opsat adgangskontrol således, at uautoriserede personer ikke kan få adgang til oplysninger via arkiverede filer. IT Sikkerhedspolitik, Jammerbugt Kommune Side 17 af 22
It-afdelingen er autoriseret til at reetablere filer. Reetablering foregår således, at det, ved genindlæsning af filer, sikres, at der ikke ændres på ejer og adgangsrettigheder. I forbindelse med backup og reetablering udarbejdes en log, der dokumenterer, hvilke filer der er blevet arkiveret og reetableret. Loggen gennemgås og gemmes som dokumentation for arkiveringen og reetableringen. Logning i forbindelse med it-ressourcer It-afdelingen sikrer, at der foretages overvågning af it-services og andet it-udstyr, herunder den fysiske sikring af zone 1 - serverrummet. Dette bliver foretaget via en automatisk overvågning, hvor det sikres, at der følges op på eventuelle fejl, problemer eller sikkerhedsmæssige hændelser, der måtte kræve nærmere undersøgelse eller opfølgning. Hændelserne registreres automatisk i itafdelingen. Al overvågning af eksterne servere foretages af den eksterne leverandør i henhold til indgåede kontrakt om outsourcing. Alle ure i it-netværket er synkroniseret med en præcis tidsangivelseskilde for at sikre tidsangivelser i loggen stemmer overens på tværs af systemer. 10. Netværket (vedr. både trådet og trådløst netværk) Jammerbugt Kommunes it-netværk er segmenteret med henblik på at sikre de transmitterede data og den underliggende infrastruktur. It-afdelingen står for driften af netværket. Segmentering Kommunikationsadskillelsen mellem netværk sker med udgangspunkt i, at intet er tilladt, medmindre der specifikt foreligger en begrundet godkendelse af den specifikke kommunikationssammenkobling. It-afdelingen har det sikkerhedsmæssige ansvar herfor, og itchefen foretager godkendelse heraf. I tvivlstilfælde er det it-sikkerhedsudvalget, som tager stilling til de sikkerhedsmæssige aspekter i netværksopsætningen. 11. Support Alle sager til it skal gå igennem HelpDesk, som vurderer og håndterer sagerne efter ITIL principperne. Sager til it oprettes på TRYK. Supports brug af ITIL-processerne sikrer: at it-problemer altid bliver vurderet ud fra væsentligheden, således at problem og eventuelle dybere liggende årsager samt eventuelle sikkerhedsbrister korrigeres IT Sikkerhedspolitik, Jammerbugt Kommune Side 18 af 22
at medarbejdere deltager aktivt i rettelse af fejl, løsning af problemer og forbedring af itsikkerheden at den netværksansvarlige foranlediger, at der føres log over alvorlige hændelser med henblik på at opretholde dokumentation af hændelsesforløb at sager eskaleres til teknisk support hos den eksterne leverandør om nødvendigt. Standard ændringer Standard ændringer er bl.a. tilføjelse af allerede godkendte pc er på it-netværket, automatisk opdatering af antivirus på pc-arbejdspladserne eller brugeradministration. Alle konfigurationsændringer planlægges, kvalitetssikres og godkendes inden implementering. Derved sikres det, at ændringer i konfigurationen af hardware og software skaber færrest mulige negative konsekvenser for sikkerheden på it-netværket. Implementeringer på netværk I forbindelse med implementering af servere, pc er, netværkskomponenter, printer eller andet itudstyr på netværket vurderer it-afdelingen risiciene i forbindelse hermed. Ansvaret for ændringer i konfigurationen af netværk, servere, platforme, operativsystemer, database-systemer mv. påhviler it-afdelingen. Dette gælder alt fra centrale servere og netværksudstyr til medarbejdernes pc er, smartphones og hjemme-pc er konfigureret med Jammerbugt Kommunes standard image. Varsling It-afdelingen skal sørge for, at alle berørte brugere varsles i god tid inden implementering af større eller væsentlige konfigurationsændringer, som kan påvirke brugernes anvendelse af it. Samtidig informeres afdelingslederne om eventuelle konsekvenser ved ændringen. 12. Beskyttelse mod ondsindet programmel Ondsindet programmel udgør en stor trussel mod tilgængelighed af systemer samt fortrolighed og integritet af data. IT-afdelingen har derfor etableret en veldefineret og effektiv beskyttelse mod ondsindede programmer. Antivirus og antispam Samtlige servere i Jammerbugt Kommune og pc-arbejdspladser med adgang til Jammerbugt Kommunes administrative netværk er beskyttet mod ondsindet programmel, som eksempelvis virus, orme, phishing mv. Herudover bliver al ind og udgående e-post skannet for ondsindet software før videresendelse til den interne eller den eksterne modtager. IT Sikkerhedspolitik, Jammerbugt Kommune Side 19 af 22
På pc-arbejdspladserne er beskyttelsen etableret, således at potentielt kritiske filer scannes i forbindelse med åbningen på pc en. Denne beskyttelse kan ikke deaktiveres eller afinstalleres af medarbejderne. Opdateringen af beskyttelsesværktøjet i relation til virusmønstre mv. sker via central server. Servere og pc-arbejdspladser opdateres automatisk af den eksterne leverandør/outsourcingpartner, når det er påkrævet. Beskyttelsesværktøjet er konfigureret således, at it-afdelingen informeres i tilfælde af, at der er identificeret en virus eller lignende på en af Jammerbugt Kommunes servere eller pcarbejdspladser. Potentielle filer og e-post, der identificeres som indeholdende vira mv., isoleres, med henblik på en nærmere manuel verifikation, der kun foretages af medarbejdere fra itafdelingen. 13. Anskaffelse og vedligeholdelse af fagsystemer Fagsystemerne indgår som et væsentligt element i det daglige arbejde i Jammerbugt Kommune. Det er derfor af vital betydning, at nyanskaffelser og opdateringer af disse lever fuldt op til den eksisterende kvalitets- og sikkerhedsstandard, herunder krav til systemdokumentation. Alle nye systemer bliver derfor og risikovurderet og håndteret derefter, inden eventuel implementering kommer på tale. Jammerbugt Kommune har samtidig valgt, ikke at påtage sig udvikling af eget programmel i nævneværdigt omfang og anvender udelukkende pålidelige og kompetente leverandører. Fagsystemer Anskaffelse af fagsystem It-afdelingen skal involveres i enhver anskaffelse af nye fagsystemer. Involveringen skal ske på et så tidligt tidspunkt, at it-afdelingens krav og råd kan inddrages i vurderingen og forhandlingen om det nye system. It-afdelingen sørger ved indkøb af et nyt fagsystem for, at foretage en teknisk gennemgang af installationen af fagsystemet for at sikre, at dette lever op til det ønskede sikkerhedsniveau i kommunen, og at det ikke kompromitterer andre systemers sikkerhed. Dette omfatter en gennemgang af den tekniske platform og integration med øvrige systemer. Når et nyt system indkøbes, bliver fagchefen i det enkelte fagområde systemejer. Fagchefen kan delegere de konkrete opgaver til en medarbejder, der bliver systemansvarlig for systemet. Selve installationen af serversoftware og klienter foretages af leverandøren i samarbejde med itafdelingen. It-afdelingen leverer den nødvendige platform bestående af pc-arbejdspladser, operativsystem og eventuelle databasesystemer, som leverandøren kan installere på. IT Sikkerhedspolitik, Jammerbugt Kommune Side 20 af 22