Informationssikkerhedspolitik

Relaterede dokumenter
Ballerup Kommune Politik for databeskyttelse

Politik for informationssikkerheddatabeskyttelse

Politik <dato> <J.nr.>

Aabenraa Kommune. Informationspolitik. Udkast. Udkast:

IT-sikkerhedspolitik S i d e 1 9

Informationssikkerhedspolitik for Region Midtjylland

PSYKIATRIFONDENS Informationssikkerhedspolitik

Fællesregional Informationssikkerhedspolitik

Ikast-Brande Kommune. Informationssikkerhedspolitik (efterfølgende benævnt I-Sikkerhedspolitik) Maj 2016 Sag nr. 2015/06550

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Informationssikkerhed

Handlingsplan for bedre behandling af fortrolige oplysninger om personer og virksomheder

Informationssikkerhedspolitik. Frederiksberg Kommune

Informationssikkerhedspolitik for Svendborg Kommune

Indholdsfortegnelse Indledning Formål Omfang Holdninger og principper... 4

fortrolighed: omfatter en sikring af, at information kun er tilgængelig for personer, som er berettigede

INFORMATIONS- SIKKERHEDSPOLITIK

Assens Kommune Sikkerhedspolitik for it, data og information

Overordnet Informationssikkerhedsstrategi. for Odder Kommune

Vejledning til ledelsestilsyn

Ledelsesgrundlag. Baggrund. Allerød Kommune

Kommissorium for Revisionsudvalget i Spar Nord Bank A/S

Hjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune

Region Nordjylland Informationssikkerhedspolitik November Informationssikkerhedspolitik. Side 1

Ringkjøbing Landbobank s Adfærdskodeks (Code of Conduct)

Overordnet informationssikkerhedsstrategi

Borgerrådgiverens hovedopgave er først og fremmest dialog med borgerne i konkrete sager en mediatorrolle, hvor det handler om at:

Procedure for ansættelse af nye medarbejdere

Forfatter: Carsten Stenstrøm Mail: Telefon: IT Amerika Plads København Ø

Fredericia Kommunes Informationssikkerhedspolitik 1 FREDERICIA KOMMUNE AFDELING TITEL PÅ POWERPOINT

Retningslinier for adgangsstyring til Banedanmarks informationsaktiver.

5. Persondataloven 5.1. Indsamling, behandling, behandlingssikkerhed, videregivelse og oplysningspligt Indsamling Behandling

Samarbejdsaftale mellem Finanstilsynet og Forbrugerombudsmanden vedrørende finansielle virksomheder

MedComs informationssikkerhedspolitik. Version 2.2

KONCERNPERSONALEPOLITIK MINISTERIET FOR SUNDHED OG FOREBYGGELSE

Strategi for it og digitalisering i Skole- og Kulturforvaltningen

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner.

Informationssikkerhedspolitik

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

INFORMATIONS- SIKKERHEDS- POLITIK

Fritidstilbud for unge under 18 år efter Dagtilbudsloven og Lov om social service.

Halsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune.

Forretningsorden for Haderslev Katedralskole s bestyrelse

Faxe Kommune. informationssikkerhedspolitik

Fællesregional Informationssikkerhedspolitik

SORØ KOMMUNE POLITIK FOR MØDET MED BORGEREN. Sorø Kommune Byrådet

Kanalstrategi en strategi for henvendelseskanaler til og fra kommunen [Udkast] Juni Natur og Udvikling

God adfærd i det offentlige - kort og godt. December 2007

Ved aktivt medborgerskab kan vi gøre Silkeborg Kommune til en attraktiv kommune med plads til alle. Silkeborg Kommunes Socialpolitik

Denne publika ion er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks København K Telefon digst@digst dk

REGIONERNES POLITISKE LINJE FOR INFORMATIONSSIKKERHED

LinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK

IT-sikkerhedspolitik for

FÆLLES UDBUD AF ØKONOMI- OG LØNSYSTEM VISIONSPAPIR

Notat til Statsrevisorerne om beretning om beslutningsgrundlaget for et eventuelt køb af nye kampfly. Juni 2009

Frivilligpolitik. Søndergien Kulturhuset& Hvad betyder det at være frivillig?

Kontrakt om Videreudvikling, Vedligeholdelse og Support af IMK2- systemet. Bilag 7 Informationssikkerhed

Ankestyrelsens principafgørelse om hjemmehjælp - kvalitetsstandard - indkøbsordning - rehabiliteringsforløb

V E D T Æ G T E R. for. Den Selvejende institution Vendsyssel Kunstmuseum. CVR.nr I henhold til. Lovbekendtgørelse nr. 358 af 8.

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

GOD KOMMUNIKATION I BUF: ALLE MEDARBEJDERE KOMMUNIKERER VI KOMMUNIKERER EFTER MODTAGERNES BEHOV VI KOMMUNIKERER ÅBENT OG TROVÆRDIGT

Til rette vedkommende. 11. april NOTAT - IC-Meter indeklimamålinger i relation til Persondataloven

Informationssikkerhedspolitik for <organisation>

Persondataloven hvad er nyt?

Ministertale ved åbent samråd om L 160 om offentlig digital post tirsdag den 15. maj 2012 kl

Revideret indstilling om forslag til modeller for ændring af Københavns Kommunes revisionsordning, herunder Intern Revision og Revisionsudvalget.

ALMENE BOLIGER GENERELLE BESTEMMELSER TILLÆG NR. 44 TIL KOMMUNEPLAN 2011

Handicappolitik Silkeborg Kommune

Lov om dag-, fritids- og klubtilbud m.v. til børn og unge (dagtilbudsloven)

Social- og Indenrigsudvalget SOU Alm.del endeligt svar på spørgsmål 53 Offentligt

Fællesregional Informationssikkerhedspolitik

Overordnet Informationssikkerhedspolitik

Kommissorium for Revisionsudvalget. Juni 2016

Gladsaxe en kommunikerende kommune

Forretningsorden for bestyrelsen for Fonden Settlementet på Vesterbro. Således vedtaget på bestyrelsesmødet den

Region Hovedstadens Ramme for Informationssikkerhed

Konstatering af overtrædelser

Vejledning til rapport om udbud af spil 1/5

Politik for Datasikkerhed

Indstilling. Kvalitetsstandarder 2007 for pleje, praktisk hjælp og madservice og træning. Til Århus Byråd via Magistraten.

Opdateret vejledning - kønsmæssige sammensætning af ledelsen og afrapportering herom

Koncessionskontrakt vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Kultur- og Fritidsforvaltningen.

Retsudvalget REU Alm.del endeligt svar på spørgsmål 104 Offentligt

Bekendtgørelse om udbringning af bekæmpelsesmidler fra luftfartøjer 1)

KOMMISSIONENS GENNEMFØRELSESDIREKTIV (EU)

Sygefraværsspolitik. C:\polweb\bilag2-1.doc 1/ 5

Dato: 13. november 2015 Rettet af: Anne Lund Version: 1 Sagsnr.: P Projekt: Revision af sammenhængende børne- og ungepolitik

Kommissorium for Ligestillingsudvalget

Job- og personprofil. Økonomichef Økonomi og IT Holstebro Kommune

Kommunikationsstrategi for Jobcenter Esbjergs virksomhedsrettede indsats

MED-aftale. Midtjysk Brand og Redning

Ledelsesregulativ for Rigshospitalet/Glostrup Hospital

Lederadfærdsanalyse II egen opfattelse af ledelsesstil

SUNDHEDSAFTALE

Skema for Lovpligtig redegørelse om god fondsledelse, jf. årsregnskabslovens 77 a for Den Danske Naturfond.

Håndtering af bunkning

Samarbejdsplan Politi og kommuner i Nordsjælland

UDVIKLINGSPLAN FOR GOLFBANEN. Hovedsponsor: - ET REDSKAB FOR GOLFKLUBBENS BESTYRELSE

Bofællesskaberne Edelsvej

Transkript:

1

for Denne informationssikkerhedspolitik er den overordnede ramme for informationssikkerheden i. Politikken skal sikre, at fortsat kan sikre kommunens høje troværdighed forebygge sikkerhedsbrist og tab af data og informationer. Behandlingen af data og informationer udgør Ballerup kommunes væsentligste kilder til værdiskabelse i mødet med borgerne. anvender på flere områder og i større omfang it for at leve op til de krav, som borgere, virksomheder, øvrige samarbejdspartnere og lovgivningen stiller til en effektiv administration og til en hurtig og korrekt service overfor kommunens borgere og virksomheder. ken udmøntes af linjeledelse og de eksisterende rolleindehavere i kommunens tværgående styringsstruktur for det digitale område. Egedal, Furesø og har sammen etableret it-driftsselskabet IT- Forsyningen I/S. IT-Forsyningen varetager en væsentlig del af s daglige drift og support. Da IT-Forsyningen ikke er en del af s organisation, bliver IT-Forsyningen, i forbindelse med informationssikkerhed, betragtet som en ekstern 3. part på lige fod med kommunens øvrige leverandører. Formål Informationer og informationssystemer er nødvendige og livsvigtige for offentlige virksomheder, og informationssikkerheden er derfor af vital betydning for Ballerup Kommunes troværdighed og funktionsdygtighed. Formålet med informationssikkerhedspolitikken er at definere rammer for beskyttelse af kommunens informationer og særligt sikre, at kritiske og følsomme informationer og informationssystemer bevarer deres fortrolighed, integritet og tilgængelighed. Derfor har ledelsen af besluttet et beskyttelsesniveau, der er afstemt efter risiko og væsentlighed samt overholder lovkrav og indgåede aftaler. Sikkerhedsarbejdet tilrettelægges i overensstemmelse med anbefalingerne i informationssikkerhedsstandarden ISO27001. Hensigten med sikkerhedspolitikken er endvidere at tilkendegive over for alle, som har relation til kommunen, at anvendelse af informationer og informationssystemer er underkastet standarder og retningslinjer. På den måde kan sikkerhedsproblemer forebygges, eventuelle skader kan begrænses og reetablering af information kan sikres. Sikre kommunens borgere og virksomheder adgang til en stabil og korrekt kommunal service har som målsætning at servicere kommunens borgere og virksomheder på bedst mulige måde. ken har som mål at sikre en tilgængelighed og pålidelighed i kommunens informations håndtering, så it-anvendelsen understøtter en korrekt borgerservice. Herigennem kan kommunen opnå og bibeholde troværdighed over for kommunens borgere, virksomheder og det offentlige som helhed. Fortrolighed i forvaltningen 2

Det er kommunens målsætning, at it-anvendelsen og forvaltningen som helhed skal sikre, at behandlingen af data og informationer sker med fortrolighed og i overensstemmelse med god offentlig forvaltningsskik. ken skal derfor medvirke til, at informationer om borgerne og virksomheder holdes fortroligt for uvedkommende. Gyldighed og omfang Kommunens informationssikkerhedspolitik er gældende for enhver information, der tilhører kommunen - herunder også informationer som ikke tilhører kommunen, men som kan gøres ansvarlig for. Dette omfatter alle kommunens afdelinger, enheder og institutioner, hvor der sker en indsamling, anvendelse og eventuel bearbejdning af data og informationer. Det inkluderer f.eks.: alle data om personale alle data om finansielle forhold alle data som bidrager til administration af kommunen alle data der omhandler virksomheder og borgerne, også når borgeren er en elev eller forælder. Politikken omfatter også anlægsdata samt informationer som er overladt kommunen af andre. Disse data kan være faktuelle oplysninger, optegnelser, registreringer, rapporter, forudsætninger for planlægning eller enhver anden information, som kun er til intern brug. Politikken omfatter kommunens informationer ligegyldigt i hvilken form de opbevares og formidles på. Denne politik gælder for alle ansatte uden undtagelse, både fastansatte, politikere og personer som midlertidigt arbejder for. Alle disse personer bliver her betegnet som medarbejdere. ken gælder tillige for eksterne parter, herunder medarbejdere ansat i virksomheder, som varetager den udliciterede it-drift, supplerende itarbejdspladser i hjemmet eller andre lokaliteter uden for kommunen, der ad elektronisk vej etablerer forbindelse til kommunens systemer og data. skal sammen med samarbejdspartnere af den udliciteret eller hostet it-drift sikre, at kommunens sikkerhedsniveau fastholdes. Dette gælder ligeledes, når samarbejdspartneren anvender eksterne konsulenter til løsning af it-opgaver. Sikkerhedsniveau skal træffe fornødne foranstaltninger til at beskytte oplysninger om personer mod uautoriseret anvendelse og mod fejl i de registrerede eller forarbejdede oplysninger. Sikkerhedsniveauet og it-anvendelsen i skal til hver en tid være i overensstemmelse med gældende lovgivning og skal sikre, at kommunen kan opfylde sine kontraktuelle forpligtelser. fastlægger på baggrund af konkret risikovurdering et sikkerhedsniveau, som svarer til betydningen af de pågældende informationer. gennemfører en balanceret risiko- og konsekvensvurdering. I al behandling af data sikrer korrekt sikkerhed og beskyttelse af data, samt at data er valide: 3

Alle data har en entydig autoritativ kilde dvs. data fødes og vedligeholdes, hvor viden om data er, og når data benyttes udenfor den autoritative kilde, skal disse altid være opdaterede og retvisende i forhold til den autoritative kilde Medarbejdere sikres adgang til alle nødvendige data for at træffe oplyste og korrekte beslutninger i en given sag i henhold til gældende lovgivning Den korrekte identitet bag en given adgang til systemerne er kendt og autoriseret. Afbalanceret og styret informationssikkerhed har som målsætning, at informationssikkerheden er differentieret i forhold til lovgivningen samt de værdier og informationer, som skal beskyttes, sammenholdt med et realistisk trusselsbillede. Sikkerhedsniveauet er derfor tilpasset disse faktorer og skal fastholdes igennem såvel tekniske som ikke-tekniske rammer. Dermed spiller såvel tekniske kontroller som organisationens og brugernes adfærd en væsentlig rolle i forhold til den samlede informationssikkerhed. Samtidig skal det sikres, at informationssikkerhedspolitikken implementeres på en måde, så de forretningsmæssige processer understøttes bedst muligt, inden for de givne juridiske rammer. Ansvar for/godkendelse af informationssikkerhedspolitikken Kommunalbestyrelsen har det overordnede ansvar for informationssikkerhedspolitikken og herunder fastlæggelse af de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger for overholdelse af lovgivning, sikkerhedsbestemmelser mm. I hver valgperiode godkender Kommunalbestyrelsen informationssikkerhedspolitikken og skal en gang i hver valgperiode have en redegørelse for sikkerhedsarbejdet i kommunen. Herudover skal Digitaliseringssekretariatet gennemgå politikken mindst en gang årligt med henblik på at sikre, at den er fyldestgørende og afspejler de faktiske forhold. Det operationelle ansvar for styring af informationssikkerheden er placeret hos chefen for Digitaliseringssekretariatet. Denne har ansvaret for, at de aktiviteter, standarder, retningslinjer, kontroller og foranstaltninger, der er beskrevet i sikkerhedsportalen, gennemførers og efterleves. Sekretariatschefen skal ligeledes sikre, at kommunens ledere integrerer informationssikkerheden i alle forretningsgange, driftsopgaver og projekter. Sikkerhedsdokumentation ken og de fastsatte retningslinjer er grundlaget for det daglige sikkerhedsarbejde, inkl. de sikkerhedsadministrative opgaver. Det er den enkelte leders ansvar, at enhver medarbejder i kommunen med adgang til administrative systemer og data har kendskab til informationssikkerhedspolitikken og de tilhørende retningsliner, som er relevante for deres arbejde i kommunen. Det skal til hver en tid være muligt for medarbejderne at få adgang til retningslinjer og underliggende procedurer, hvis der måtte være brug for dette. ken skal være tilgængelig på ns hjemmeside. 4

Nye medarbejdere skal ved ansættelsen introduceres til de gældende informationssikkerhedskrav, samt informeres om den forventede adfærd i relation til it-anvendelsen. Beredskabsplanlægning I samarbejde med leverandører af kommunens it-drift, skal der etableres et beredskab, som skal sikre, at i tilfælde af større driftsnedbrud eller egentlige katastrofer er i stand til at genoptage kritiske forretningsmæssige aktiviteter inden for en ledelsesgodkendt tidshorisont. Større driftsnedbrud eller katastrofer betyder tab af tilgængelighed af væsentlige systemer, udstyr og/eller faciliteter, hvorfor retablering af tilgængeligheden af disse er et centralt område i beredskabsplanlægningen. Der skal minimum én gang årligt foretages en gennemgang af den aktuelle beredskabsplan. Sikkerhedsbevidsthed Informationssikkerhed vedrører kommunens samlede informationsportefølje, og gennemførelse af en informationssikkerhedspolitik kan ikke foretages af ledelsen alene. Alle medarbejdere har et ansvar for at beskytte kommunens informationer mod uautoriseret adgang, ændringer og ødelæggelse samt tyveri. Alle medarbejdere skal derfor uddannes i informationssikkerhed i relevant omfang. Som brugere af s informationer skal alle medarbejdere følge informationssikkerhedspolitikken og de tilhørende retningslinjer. Medarbejderne må kun anvende kommunens informationer i overensstemmelse med det arbejde, de udfører i kommunen, og skal beskytte informationer på en måde, som er i overensstemmelse med informationernes følsomhed. Forebyggende sikkerhed Det er s målsætning, at informationssikkerheden skal implementeres gennem forebyggende tiltag og aktiviteter, så medarbejderne i kommunen kan fokusere på borgerservice i stedet for at rette op på sikkerhedsbrud. Informationssikkerhed via viden Det er s målsætning, at informationssikkerheden skal etableres og fastholdes gennem krav til brugeradfærd, samt en målrettet formidling af viden om informationssikkerhed til de medarbejdere og eksterne parter, der har kontakt med de kommunale it-ressourcer, herunder medarbejdere ansat i virksomheder, som varetager itdrift. Brud på informationssikkerheden Bevidst eller ubevidst overtrædelse af sikkerhedsbestemmelserne kan medføre, at kommunens brugere, samarbejdspartnere, borgere mv. oplever kompromittering af relevante data, ustabilitet, uregelmæssigheder og uhensigtsmæssigheder i anvendelse og bearbejdning af kommunens informationer. Dette kan dels medføre forringelse af den kommunale service og kommunens image og dels økonomisk tab. Overtrædelse af informationssikkerhedspolitikken og hertil knyttede retningslinjer er at betragte, som en tjenstlig forseelse, og skal, i samarbejde med Digitaliseringssekretariatet 5

behandles af den respektive ansvarlige leder som sådan og i overensstemmelse med gældende personalepolitiske bestemmelser herfor. Informationssikkerhedsorganisationen skal indrettes, så situationer med overtrædelse eller manglende overholdelse, samt forsøg på uautoriseret anvendelse, kan rapporteres til Digitaliseringssekretariatet via den respektive ansvarlige leder inkl. angivelse af hændelsesforløb og konsekvens til videre behandling. I situationer, hvor ikke alene kommunens informationssikkerhedspolitik bliver overtrådt, men også lovgivningsmæssige regler, kan gældende straffelov og andre strafbestemmelser få konsekvenser for de involverede medarbejdere. Organisation og ansvar Kommunalbestyrelsen har det overordnede ansvar for informationssikkerhedspolitikken og derunder indretningen af sikkerhedsopgaverne, så de er tilpasset kommunens behov og samtidig opfylder kravene i lovgivningen og god forvaltningsskik. Kommunaldirektøren uddelegerer det daglige ansvar for sikkerhedsarbejdet til chefen for Digitaliseringssekretariatet. Center-/sekretariatscheferne er systemejere, og hermed ansvarlige for overholdelse af informationssikkerheden i de fagspecifikke systemer i deres ansvarsområde. Vedligeholdelse af informationssikkerhedspolitikken De generelle uddybende informationssikkerhedsretningslinjer og procedurer struktureres i overensstemmelse med ISO27001 standarden. Retningslinjerne skal gennemgås mindst hvert år. Der udarbejdes et sæt af procedurer og et årshjul, der fastlægger og danner grundlag for efterlevelse af informationssikkerhedspolitikken og de detaljerede retningslinjer om informationssikkerhed. Godkendelse Denne informationssikkerhedspolitik er godkendt af s kommunalbestyrelse den 29.08.2016, og afløser tidligere godkendte informationssikkerhedspolitikker. 6

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback