Overordnet It-sikkerhedspolitik

Relaterede dokumenter
Overordnet Informationssikkerhedspolitik

Overordnet it-sikkerhedspolitik for Rødovre Kommune

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

IT-SIKKERHEDSPOLITIK UDKAST

OVERORDNET IT-SIKKERHEDSPOLITIK

Informationssikkerhedspolitik for Sønderborg Kommune

Ver. 1.0 GENTOFTE KOMMUNES INFORMATIONSSIKKERHEDSPOLITIK

Informationssikkerhedspolitik

Informationssikkerhedspolitik for Vejen Kommune

IT-sikkerhedspolitik for

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

Politik <dato> <J.nr.>

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner.

Overordnet Informationssikkerhedsstrategi. for Odder Kommune

Informationssikkerhedspolitik. for Aalborg Kommune

Faxe Kommune. informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Aabenraa Kommune. Informationspolitik. Udkast. Udkast:

Region Hovedstadens Ramme for Informationssikkerhed

PSYKIATRIFONDENS Informationssikkerhedspolitik

Informationssikkerhedspolitik For Aalborg Kommune

Overordnet informationssikkerhedsstrategi

IT- og informationssikkerheds- politik (GDPR) For. Kontrapunkt Group

Halsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune.

Assens Kommune Sikkerhedspolitik for it, data og information

Informationssikkerhedspolitik. Frederiksberg Kommune

Informationssikkerhedspolitik for Horsens Kommune

Fællesregional Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Organisering og styring af informationssikkerhed. I Odder Kommune

Politik for informationssikkerheddatabeskyttelse

Hjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune

Forfatter: Carsten Stenstrøm Mail: Telefon: IT Amerika Plads København Ø

Informationssikkerhedspolitik for <organisation>

Informationssikkerhedspolitik for Region Midtjylland

Informationssikkerhedspolitik Frederiksberg Kommune

Ballerup Kommune Politik for databeskyttelse

IT-sikkerhedspolitik S i d e 1 9

MedComs informationssikkerhedspolitik. Version 2.2

POLITIK FOR INFORMATIONSSIKKERHED

Fællesregional Informationssikkerhedspolitik

Velfærd gennem digitalisering

Fredericia Kommunes Informationssikkerhedspolitik 1 FREDERICIA KOMMUNE AFDELING TITEL PÅ POWERPOINT

Vejledning i informationssikkerhedspolitik. Februar 2015

Indholdsfortegnelse Indledning Formål Omfang Holdninger og principper... 4

Balancen mellem de interne nødvendigheder og de eksterne påvirkninger reguleres i kommunens it-strategi som præsenteres herunder.

NOTAT. Køge Kommune It-sikkerhed Overordnede retningslinjer ITafdelingen. Fællesforvaltningen. Dato Sagsnummer Dokumentnummer

Databeskyttelsespolitik for DSI Midgård

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet "informationer"? 2

Aarhus Kommune. IT-sikkerhedspolitik. Politik

INFORMATIONS- SIKKERHEDSPOLITIK

INFORMATIONS- SIKKERHEDS- POLITIK

Ikast-Brande Kommune. Informationssikkerhedspolitik (efterfølgende benævnt I-Sikkerhedspolitik) Maj 2016 Sag nr. 2015/06550

SOPHIAGÅRD ELMEHØJEN

Overordnet organisering af personoplysninger

Denne publika ion er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks København K Telefon digst@digst dk

Overordnet organisering af personoplysninger

Assens Kommune Politik for databeskyttelse og informationssikkerhed

Programbeskrivelse. 7.2 Øget sikkerhed og implementering af EU's databeskyttelsesforordning. 1. Formål og baggrund. August 2016

IT-sikkerhedspolitik for Lyngby Tandplejecenter

Programbeskrivelse - øget sikkerhed og implementering af sikkerhedsreglerne i EU's databeskyttelsesforordning

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november

Hillerød Kommune. IT-sikkerhedspolitik Bilag 2. Opfølgning på lovbestemte krav

It-sikkerhed - ledelsens ansvar

Informationssikkerhed

Guide til SoA-dokumentet - Statement of Applicability. August 2014

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

POLITIK FOR INFORMATIONSSIKKERHED

It-sikkerhedspolitik for Københavns Kommune

NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER

Databeskyttelsespolitik

IT-sikkerhedspolitik. for Social- og Sundhedsskolen Esbjerg

Kulturministeriets vejledning til retningslinjer for køb af konsulenter September 2015 KØB AF KONSULENTOPGAVER I KULTURMINISTIET 1

Skanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017

LEDELSESGRUNDLAG DEL 1 DECEMBER 2016

Hovmosegaard - Skovmosen

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED

Bilag 5. Leverandør erklæring om tavshedspligt ITsikkerhedsregler

Roller og ansvar Grundlaget for ledelse i en ny organisationsstruktur

Regulativ for it-sikkerhed i Københavns Kommune

Hillerød Kommune. It-sikkerhedspolitik Overordnet politik

Politik for informationssikkerhed 1.2

Databeskyttelsespolitik for Netværket Smedegade, en social institution, der primært hoster data og programmer hos databehandlere

Varde Kommune. Beredskabspolitik. for Varde Kommune

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484

Digitaliseringsstrategi Sprogcenter

2. Fødevareministeriet er en koncern

It- og digitaliseringsstrategi. Sønderborg Kommune

LEDELSESGRUNDLAG JUNI UDKAST - DEL 1

Roller og ansvar Grundlaget for god ledelse i Ringsted Kommune (juni 2016)

KANAL- OG DIGITALISERINGSSTRATEGI Januar 2011

Djøfs mission er at optimere arbejdslivet for dem, der optimerer vilkårene for resten af Danmark.

Partneraftale. Formålet med partnerskabsaftalen vil derfor være at skabe en it-governancemodel der kan:

Svendborg Kommunes Ejerstrategi 2010 for alle selskaberne:

Operationel It-sikkerhedspolitik

DATABESKYTTELSESPOLITIK

Digitaliseringsstrategi

KOMBIT sikkerhedspolitik

Allerød Kommune Job- og personprofil for it-chef

Kommunens nuværende politik stammer fra 2008 og bygger på en gammel dansk standard, DS484.

Transkript:

Overordnet It-sikkerhedspolitik Denne politik er godkendt af byrådet d. x. måned 2014 Ved udskrivning af politikken skal du være opmærksom på, at du anvender senest godkendte version. Acadre sags nr. 14-8285 Telefon 76 16 16 16 Telefax 76 16 16 17 f-f@esbjergkommune.dk www.esbjergkommune.dk

1. Indledning Byrådet har fastlagt denne it-sikkerhedspolitik som den overordnede ramme for opretholdelse af informationssikkerhed i Esbjerg Kommune. It-sikkerhedspolitikken skal sikre, at kommunens informationssikkerhed til stadighed overholder alle lovmæssige krav og opfylder såvel egne, som eksterne interessenters krav. Sikkerheden omkring informationsaktiverne er afgørende for kommunens daglige drift og målsætninger. Effektiviseringer og kvalitetsforbedringer baseres i stadig højere grad på digitale løsninger. Det gælder både velværd, administrative processer og borgerservice. Dermed er risikobilledet i konstant forandring og det stiller krav om, at kommunen kontinuerligt tilpasser informationssikkerheden. Hvis informationssikkerheden er utilstrækkelig, kan det skade kommunens omdømme og medføre at effektiviseringer og kvalitetsforbedringer må opgives. I nogle tilfælde kan brud på informationssikkerhed også få menneskelige konsekvenser. Informationssikkerhed har således i mere end en forstand vital betydning for kommunen. It-sikkerhedspolitikken er bygget op i tre niveauer: En overordnet it-sikkerhedspolitik (denne politik), der beskriver rammer, mål og overordnet organisering af it-sikkerhedsindsatsen. En operationel it-sikkerhedspolitik, hvor organisering, ansvar og roller, samt itsikkerhedsstrategien er præciseret. Retningslinjer, som beskriver risikohåndtering på udvalgte områder, med udgangspunkt i arbejdsprocesser, medarbejderpolitikker og tekniske og fysiske forhold. 2. Formål Formålet med it-sikkerhedspolitikken i Esbjerg Kommune er at beskytte informationer og systemer uafhængigt af hvor disse findes, oparbejdes og drives, så kommunen fremstår som en betroet og kompetent samarbejdspartner. Indsatsen skal tilgodese følgende behov: at informationer og it-services er tilgængelige, når autoriserede brugere har behov for det, at informationer er korrekte og fuldstændige, at anvendte it-services fungerer korrekt, og at følsomme og fortrolige informationer beskyttes, så de forbliver hemmelige for alle personer, der ikke har ret til at kende dem. 3. It-sikkerhedspolitik Den internationale standard ISO 27001 anvendes som reference og grundlag for itsikkerhedsarbejdet. Det indebærer, at standardens minimumskrav til styring og vedligeholdelse af informationssikkerhed skal være opfyldt og dokumenteret. It-sikkerhedsindsatsen skal opfylde nedenstående mål: Overholdelse af lovgivning og eksterne krav. Informationsanvendelsen skal overholde gældende lovgivning og eksterne krav. - 2 -

Sikker drift. Der skal sikres et driftsmæssigt stabilt, sikkert, let tilgængeligt og funktionelt it-serviceniveau, hvor data er tilgængelige og beskyttet efter følsomhed og betydning for kommunen. Kritiske it-driftsprocesser skal være formaliseret og systematisk overvåget. Fysisk sikkerhed. Der hvor informationer, systemer, infrastruktur og data anvendes og opbevares, skal der etableres en passende fysisk sikkerhed mod eksempelvis brand, vandskade, tyveri, hærværk, skader forårsaget af menneskelige fejl mv. Driftsmiljøet og vigtige arbejdsgange skal kunne videreføres inden for en af ledelsen besluttet tidshorisont. Adgang og rettigheder til data og systemer. Følsomme og kritiske informationsaktiver skal beskyttes mod uautoriseret adgang og ændring. Både kommunens egne og andres. Projekter. Anskaffelse, udvikling og vedligeholdelse af it-systemer må ikke bryde sikkerhedsniveauet. Projekt- og ændringsstyring skal være formaliseret og kritiske projekter kræver en ledelsesgodkendt risikovurdering. Håndtering af hændelser. Der skal etableres en parathed og et beredskab, så skaden ved kritiske hændelser holdes på et minimum. Beredskabsstyring. Der skal etableres et grundlag for videreførelse af kommunens kritiske opgaver i en undtagelsestilstand. Sporbarhed. Adgang til og ændring af følsomme eller kritiske informationsaktiver skal kunne spores til personen, der har foretaget handlingen. Evaluering. It-sikkerhedsindsatsen skal evalueres mindst en gang årligt og ved væsentlige organisatoriske, tekniske eller fysiske ændringer. It-sikkerhedspolitikken, retningslinjer og instrukser skal være tilgængelige for alle medarbejdere og skal være indarbejdet i relevante publikationer, herunder medarbejderpolitikker, håndbøger, stillingsbeskrivelser mv. Sikkerhedsniveauet fastlægges på baggrund af en risikovurdering og under hensyn til lovbestemte krav. Ved etablering af sikringsforanstaltninger, skal effektivitets- og fleksibilitetspåvirkninger medtænkes. Esbjerg Kommunes politikker, retningslinjer, instrukser og indsats skal være tilpasset det aktuelle risikobillede. 4. Dækningsområde It-sikkerhedspolitikken gælder for alle direktørområder, institutioner og selvejende institutioner ved Esbjerg Kommune, samt for eksterne brugere, politikere, samarbejdspartnere og leverandører. It-sikkerhedspolitikken regulerer den indsats, der er nødvendig for at beskytte væsentlige informationsaktiver i bredest mulig forstand, herunder: Fagsystemer, der gør arbejdsgange mere effektive, øger kvaliteten/korrektheden af en myndighedsopgave eller giver en bedre service til borgere og erhvervsliv. Informative systemer, som danner, opsamler og organiserer information til forskellige formål, herunder ledelsesbeslutninger, implementerer styringsprincipper i - 3 -

henhold til Esbjerg Kommunes organisationshåndbog, styrker kommunikationen internt og eksternt, og sikrer dokumentation for efterlevelse af lovgivning mv. Strategisk vigtige it-investeringer, der er med til også fremadrettet at fastholde Esbjerg Kommunes omdømme som en troværdig organisation og til at realisere kommunens mål. Infrastrukturen, der er fundamentet for digitaliseringen af kommunen. Papirbaserede arkiver og dokumenter, som har stor værdi og rummer fortrolige og følsomme oplysninger. Digitale velfærdsteknologier, herunder sensorer, robotter, telemedicineringsudstyr og talegenkendelse 5. Organisation og ansvar Alle kommunens ansatte har et medansvar for opretholdelse af den generelle informationssikkerhed. Ansvaret for informationssikkerheden i Esbjerg Kommune skal være præcist og entydigt beskrevet med udgangspunkt i nedenstående overordnede organisering: Byrådet godkender og vedligeholder den overordnede it-sikkerhedspolitik efter indstilling fra direktionen. Kommunaldirektøren godkender i samråd med direktionen den operationelle itsikkerhedspolitik. Direktører og afdelingschefer har inden for eget område ansvar for implementering og opfølgning på efterlevelse af it-sikkerhedspolitikken. Digitaliserings og It-chefen leder og organiserer, med reference til kommunaldirektøren, it-sikkerhedsindsatsen i henhold til it-sikkerhedsårsplanen, som aftales med It-strategigruppen og godkendes af kommunaldirektøren. Krav til brug af værktøjer aftales med kommunaldirektøren. Digitaliserings- og It-chefen godkender nyanskaffelser, digitale samarbejder, dispensationer og behandler sager om itsikkerhedsbrud. Er de væsentlige, skal kommunaldirektøren og It-strategigruppen informeres. It-strategigruppen har det overordnede ansvar for, at it-sikkerhedspolitikken er kendt på alle ledelsesniveauer og gennemføres hensigtsmæssigt og effektivt, samt at politikken svarer til det aktuelle behov. For alle væsentlige informationsaktiver identificeres en ejer med ansvar for sikkerheden omkring aktivet. 6. Evaluering Digitaliserings- & It-chefen rapporterer en gang årligt status til kommunaldirektøren. Kommunaldirektøren beslutter i samråd med Digitaliserings- & It-chefen og direktionen på hvilken måde it-sikkerhed skal indarbejdes i direktionens og andre relevante årsplaner, og hvordan it-sikkerhedsindsatsen konkret skal evalueres. Ved væsentlige brud på sikkerheden, informerer Digitaliserings- og It-chefen kommunaldirektøren, som herefter behandler sagen. - 4 -

It-sikkerhedspolitikken revideres hvert fjerde år og godkendes af det nye byråd. Politikken skal desuden godkendes af byrådet, hvis der sker væsentlige organisatoriske forandringer. Overtrædelser Overtrædelser af kommunens it-sikkerhedspolitik eller andre bestemmelser som er udmøntet heraf, vil blive behandlet af ledelsen afhængig af karakteren af overtrædelsen. - 5 -

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback