Overordnet It-sikkerhedspolitik Denne politik er godkendt af byrådet d. x. måned 2014 Ved udskrivning af politikken skal du være opmærksom på, at du anvender senest godkendte version. Acadre sags nr. 14-8285 Telefon 76 16 16 16 Telefax 76 16 16 17 f-f@esbjergkommune.dk www.esbjergkommune.dk
1. Indledning Byrådet har fastlagt denne it-sikkerhedspolitik som den overordnede ramme for opretholdelse af informationssikkerhed i Esbjerg Kommune. It-sikkerhedspolitikken skal sikre, at kommunens informationssikkerhed til stadighed overholder alle lovmæssige krav og opfylder såvel egne, som eksterne interessenters krav. Sikkerheden omkring informationsaktiverne er afgørende for kommunens daglige drift og målsætninger. Effektiviseringer og kvalitetsforbedringer baseres i stadig højere grad på digitale løsninger. Det gælder både velværd, administrative processer og borgerservice. Dermed er risikobilledet i konstant forandring og det stiller krav om, at kommunen kontinuerligt tilpasser informationssikkerheden. Hvis informationssikkerheden er utilstrækkelig, kan det skade kommunens omdømme og medføre at effektiviseringer og kvalitetsforbedringer må opgives. I nogle tilfælde kan brud på informationssikkerhed også få menneskelige konsekvenser. Informationssikkerhed har således i mere end en forstand vital betydning for kommunen. It-sikkerhedspolitikken er bygget op i tre niveauer: En overordnet it-sikkerhedspolitik (denne politik), der beskriver rammer, mål og overordnet organisering af it-sikkerhedsindsatsen. En operationel it-sikkerhedspolitik, hvor organisering, ansvar og roller, samt itsikkerhedsstrategien er præciseret. Retningslinjer, som beskriver risikohåndtering på udvalgte områder, med udgangspunkt i arbejdsprocesser, medarbejderpolitikker og tekniske og fysiske forhold. 2. Formål Formålet med it-sikkerhedspolitikken i Esbjerg Kommune er at beskytte informationer og systemer uafhængigt af hvor disse findes, oparbejdes og drives, så kommunen fremstår som en betroet og kompetent samarbejdspartner. Indsatsen skal tilgodese følgende behov: at informationer og it-services er tilgængelige, når autoriserede brugere har behov for det, at informationer er korrekte og fuldstændige, at anvendte it-services fungerer korrekt, og at følsomme og fortrolige informationer beskyttes, så de forbliver hemmelige for alle personer, der ikke har ret til at kende dem. 3. It-sikkerhedspolitik Den internationale standard ISO 27001 anvendes som reference og grundlag for itsikkerhedsarbejdet. Det indebærer, at standardens minimumskrav til styring og vedligeholdelse af informationssikkerhed skal være opfyldt og dokumenteret. It-sikkerhedsindsatsen skal opfylde nedenstående mål: Overholdelse af lovgivning og eksterne krav. Informationsanvendelsen skal overholde gældende lovgivning og eksterne krav. - 2 -
Sikker drift. Der skal sikres et driftsmæssigt stabilt, sikkert, let tilgængeligt og funktionelt it-serviceniveau, hvor data er tilgængelige og beskyttet efter følsomhed og betydning for kommunen. Kritiske it-driftsprocesser skal være formaliseret og systematisk overvåget. Fysisk sikkerhed. Der hvor informationer, systemer, infrastruktur og data anvendes og opbevares, skal der etableres en passende fysisk sikkerhed mod eksempelvis brand, vandskade, tyveri, hærværk, skader forårsaget af menneskelige fejl mv. Driftsmiljøet og vigtige arbejdsgange skal kunne videreføres inden for en af ledelsen besluttet tidshorisont. Adgang og rettigheder til data og systemer. Følsomme og kritiske informationsaktiver skal beskyttes mod uautoriseret adgang og ændring. Både kommunens egne og andres. Projekter. Anskaffelse, udvikling og vedligeholdelse af it-systemer må ikke bryde sikkerhedsniveauet. Projekt- og ændringsstyring skal være formaliseret og kritiske projekter kræver en ledelsesgodkendt risikovurdering. Håndtering af hændelser. Der skal etableres en parathed og et beredskab, så skaden ved kritiske hændelser holdes på et minimum. Beredskabsstyring. Der skal etableres et grundlag for videreførelse af kommunens kritiske opgaver i en undtagelsestilstand. Sporbarhed. Adgang til og ændring af følsomme eller kritiske informationsaktiver skal kunne spores til personen, der har foretaget handlingen. Evaluering. It-sikkerhedsindsatsen skal evalueres mindst en gang årligt og ved væsentlige organisatoriske, tekniske eller fysiske ændringer. It-sikkerhedspolitikken, retningslinjer og instrukser skal være tilgængelige for alle medarbejdere og skal være indarbejdet i relevante publikationer, herunder medarbejderpolitikker, håndbøger, stillingsbeskrivelser mv. Sikkerhedsniveauet fastlægges på baggrund af en risikovurdering og under hensyn til lovbestemte krav. Ved etablering af sikringsforanstaltninger, skal effektivitets- og fleksibilitetspåvirkninger medtænkes. Esbjerg Kommunes politikker, retningslinjer, instrukser og indsats skal være tilpasset det aktuelle risikobillede. 4. Dækningsområde It-sikkerhedspolitikken gælder for alle direktørområder, institutioner og selvejende institutioner ved Esbjerg Kommune, samt for eksterne brugere, politikere, samarbejdspartnere og leverandører. It-sikkerhedspolitikken regulerer den indsats, der er nødvendig for at beskytte væsentlige informationsaktiver i bredest mulig forstand, herunder: Fagsystemer, der gør arbejdsgange mere effektive, øger kvaliteten/korrektheden af en myndighedsopgave eller giver en bedre service til borgere og erhvervsliv. Informative systemer, som danner, opsamler og organiserer information til forskellige formål, herunder ledelsesbeslutninger, implementerer styringsprincipper i - 3 -
henhold til Esbjerg Kommunes organisationshåndbog, styrker kommunikationen internt og eksternt, og sikrer dokumentation for efterlevelse af lovgivning mv. Strategisk vigtige it-investeringer, der er med til også fremadrettet at fastholde Esbjerg Kommunes omdømme som en troværdig organisation og til at realisere kommunens mål. Infrastrukturen, der er fundamentet for digitaliseringen af kommunen. Papirbaserede arkiver og dokumenter, som har stor værdi og rummer fortrolige og følsomme oplysninger. Digitale velfærdsteknologier, herunder sensorer, robotter, telemedicineringsudstyr og talegenkendelse 5. Organisation og ansvar Alle kommunens ansatte har et medansvar for opretholdelse af den generelle informationssikkerhed. Ansvaret for informationssikkerheden i Esbjerg Kommune skal være præcist og entydigt beskrevet med udgangspunkt i nedenstående overordnede organisering: Byrådet godkender og vedligeholder den overordnede it-sikkerhedspolitik efter indstilling fra direktionen. Kommunaldirektøren godkender i samråd med direktionen den operationelle itsikkerhedspolitik. Direktører og afdelingschefer har inden for eget område ansvar for implementering og opfølgning på efterlevelse af it-sikkerhedspolitikken. Digitaliserings og It-chefen leder og organiserer, med reference til kommunaldirektøren, it-sikkerhedsindsatsen i henhold til it-sikkerhedsårsplanen, som aftales med It-strategigruppen og godkendes af kommunaldirektøren. Krav til brug af værktøjer aftales med kommunaldirektøren. Digitaliserings- og It-chefen godkender nyanskaffelser, digitale samarbejder, dispensationer og behandler sager om itsikkerhedsbrud. Er de væsentlige, skal kommunaldirektøren og It-strategigruppen informeres. It-strategigruppen har det overordnede ansvar for, at it-sikkerhedspolitikken er kendt på alle ledelsesniveauer og gennemføres hensigtsmæssigt og effektivt, samt at politikken svarer til det aktuelle behov. For alle væsentlige informationsaktiver identificeres en ejer med ansvar for sikkerheden omkring aktivet. 6. Evaluering Digitaliserings- & It-chefen rapporterer en gang årligt status til kommunaldirektøren. Kommunaldirektøren beslutter i samråd med Digitaliserings- & It-chefen og direktionen på hvilken måde it-sikkerhed skal indarbejdes i direktionens og andre relevante årsplaner, og hvordan it-sikkerhedsindsatsen konkret skal evalueres. Ved væsentlige brud på sikkerheden, informerer Digitaliserings- og It-chefen kommunaldirektøren, som herefter behandler sagen. - 4 -
It-sikkerhedspolitikken revideres hvert fjerde år og godkendes af det nye byråd. Politikken skal desuden godkendes af byrådet, hvis der sker væsentlige organisatoriske forandringer. Overtrædelser Overtrædelser af kommunens it-sikkerhedspolitik eller andre bestemmelser som er udmøntet heraf, vil blive behandlet af ledelsen afhængig af karakteren af overtrædelsen. - 5 -