Assens Kommune Sikkerhedspolitik for it, data og information
Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Holdninger og principper... 4 4. Omfang... 4 5. Sikkerhedsbevidsthed, organisering og ansvar... 5 6. Opfølgning... 6 7. Offentliggørelse... 6 8. Godkendelse... 7 Sikkerhedspolitik for it, data og information Side 2 af 7
1. Indledning Denne Sikkerhedspolitik for it, data og information udgør den overordnede ramme for beskyttelse af information i Assens Kommune. På baggrund af det øgede fokus på digitalisering afledt af den fællesoffentlige og fælleskommunale digitaliseringsstrategi vil Assens Kommune også have afledte konsekvenser i forhold til håndteringen af sikkerhed, løsningerne og de tilhørende processer. Informationssikkerhed tilstræbes tænkt tidligt ind i nye digitaliseringsprojekter, så sikkerhedsaspektet prioriteres og håndteres. Assens Kommune behandler fortrolige oplysninger, som eksempelvis personhenførbare data om borgere og virksomheder. Disse informationer kræver en særlig beskyttelse. Endvidere har kommunen en mængde information og informationssystemer, som er afgørende eller vigtige for varetagelsen af kommunens opgaver og pligter. Derfor er beskyttelse af information og informationssystemer et vigtigt fokusområde, som håndteres gennem kommunens informationssikkerheds indsats. Indsatsen består primært af en mængde sikringsforanstaltninger, der etableres med henblik på at beskytte information og informationssystemer, som har betydning for kommunens virksomhed. Uanset fysiske og tekniske sikringsforanstaltninger er den menneskelige faktor afgørende for at skabe og opretholde den nødvendige sikkerhed. Den måde ledelse, medarbejdere og samarbejdspartnere handler på, er tilsammen afgørende for det sikkerhedsniveau, der kan opnås. Det er derfor vigtigt, at der i kommunes informationssikkerhedsindsats i høj grad også er fokus på de ledelsesmæssige, organisatoriske og menneskelige dimensioner. De retningslinjer samt sikkerheds- og kontrolforanstaltninger, der gælder i Assens Kommune, samles i en sikkerhedshåndbog. Udmøntning af reglerne sker i form af procedurer, vejledninger, kontrolforanstaltninger, mv. baseret på Informationssikkerhedsstandarden ISO27001. 2. Formål Formålet med Sikkerhedspolitikken for it, data og information er at sætte de overordnede rammer for de sikringsforanstaltninger, der skal beskytte data, information og informationssystemer med udgangspunkt i tre centrale begreber: Fortrolighed - information kommer ikke uvedkommende til kendskab. Integritet - information forbliver pålidelig, korrekt og intakt. Tilgængelighed - relevant information kan tilgås og anvendes, når der er behov for det. Sikkerhedspolitik for it, data og information Side 3 af 7
Sikringsforanstaltningerne skal rettes imod alle former for trusler: Eksterne og interne bevidst skadevoldende handlinger og misbrug (eksempelvis forsøg på hacking eller misbrug af rettigheder). Hændelige fejl og uheld. Det skal sikres, at konsekvenserne af et sikkerhedsbrud reduceres til et acceptabelt niveau: Assens Kommune skal sikre, at borgerne til stadighed kan føle sig trygge ved at overlade deres data og informationer til kommunen. Assens Kommune skal i videst muligt omfang sikre medarbejderne mod mistænkeliggørelse og derved sikre medarbejdernes tryghed. 3. Holdninger og principper Sikkerhedspolitikken for it, data og information skal fastlægges som en afvejning af de ofte modstridende hensyn, på den ene side til ønsket om høj sikkerhed og på den anden side hensynet til brugervenlig it-anvendelse. Informationssikkerheden implementeres i overensstemmelse med følgende overordnede holdninger og principper: Kommunens troværdighed på informationssikkerhedsområdet overfor omverdenen, herunder borgere og samarbejdspartnere, må ikke kunne drages i tvivl Sikkerhedsforanstaltninger skal søges tilrettelagt, så de opleves som en naturlig del af medarbejdernes daglige arbejde og ikke som en barriere. Sikkerheden søges styret i overensstemmelse med almindelig anerkendte metoder og procedurer for informationssikkerhed. Såfremt borgere eller virksomheder berøres af sikkerhedshændelser hos Assens Kommune, vil kommunen kommunikere målrettet og arbejde for at genoprette normal drift hurtigst muligt. 4. Omfang Politikken omfatter Assens Kommunes data og informationer, som er: Enhver information, der tilhører kommunen, herudover også informationer, som ikke tilhører kommunen, men som kommunen kan gøres ansvarlig for, uanset hvilket medie informationen opbevares eller formidles på. Sikkerhedspolitik for it, data og information Side 4 af 7
Politikken er gældende for: Alle, der omgås og anvender Assens kommunes informationsaktiver (alle informationer uanset medie papir, it-data eller mundtlig information). I det omfang Assens Kommunes data og informationer hostes hos eller behandles af eksterne serviceleverandører, skal det sikres i samarbejdet med serviceleverandøren, at kommunens sikkerhedsniveau fastholdes. D.v.s. at serviceleverandøren, dennes faciliteter og medarbejdere, som har adgang til kommunens informationer, som minimum lever op til kommunens informationssikkerhedsniveau. 5. Sikkerhedsbevidsthed, organisering og ansvar Alle, der omgås og anvender Assens kommunes informationsaktiver har et medansvar for, at kommunes informationer og informationssystemer beskyttes. For at sikre, at der til stadighed er et tilstrækkeligt bevidsthedsniveau, skal alle løbende uddannes i emner vedrørende Sikkerhedspolitik for it, data og informationen. Uddannelse i forhold til informationssikkerhed skal tilrettelægges målrettet, således at de forskellige medarbejdergrupper får netop den viden, der er relevant for deres arbejdsområde. Assens Kommunes byråd har det overordnede ansvar for informations-sikkerheden i kommunen. Der etableres en sikkerhedsorganisation for it, data og information, der tildeles ansvaret for beskrivelse og udmøntning af nærværende sikkerhedspolitik for it, data og information, løbende risikovurdering og kommunikation til alle medarbejdere, samarbejdspartnere og byrådsmedlemmer i Assens Kommune. Byrådet fastlægger overordnede principper og politik for informationssikkerheden og godkender Sikkerhedspolitik for it, data og information. Direktionen godkender kommunens sikkerhedsregler for it, data og information og fastlægger overordnede principper for risikostyring og beredskab Direktionen udpeger den øverst ansvarlige for den administrative styring af informationssikkerhedsindsatsen og skal sikre overordnet prioritering og ressourcetildeling.. Den øverst ansvarlige skal sikre den fornødne kontrol med efterlevelse af sikkerhedspolitikken for it, data og information. Direktionen skal udpege en chef for it, data og information med ansvar for den operationelle, daglige ledelse og styring af sikkerheds-indsatsen. Sikkerhedskoordinator for it, data og information sikrer udarbejdelse og vedligeholdelse af en evt. sikkerhedsstrategi, sikkerhedshåndbogen og beredskabsplaner, der er omfattet af denne sikkerhedspolitik for it, data og information. Desuden arbejdes med implementering og kommunikation af sikkerhed, risikovurderinger, samt kontrol af overholdelse af politik og regler. Sikkerhedspolitik for it, data og information Side 5 af 7
Udvalget for it, data og information er et tværorganisatorisk forum, der bl.a. skal hjælpe sikkerhedschefen for it, data og information med at vurdere, hvorvidt der er behov for ændringer i den gældende Sikkerhedspolitik for it, data og information og dennes operative udmøntning. Fag- og stabschefer har ansvaret for overholdelse af kommunens informationssikkerhedspolitik og -håndbog. Det er således fag- og stabscheferne, der har ansvaret for, at Sikkerhedspolitikken for it, data og information krav og udmøntningen heraf i form af sikkerhedsbestemmelser og, procedurer m.v. overholdes og forvaltes korrekt. Fag- og stabscheferne fungerer som Systemejere og har dermed ansvaret for de systemer, der ligger inden for de respektive fagområder. Alle medarbejdere i Assens Kommune har et personligt ansvar for, at sikkerhedspolitikken følges i forbindelse med vedkommendes aktuelle ansvarsområde og arbejdsopgaver. 6. Opfølgning Udvalget for it, data og information sikrer, at systemejerne hvert tredje år eller i forbindelse med større ændringer i organisationen, forretningsprocesserne eller in-formationsaktiverne gennemfører en risikovurdering. Udvalget for it, data og information foretager regelmæssigt en vurdering af det aktuelle, tværgående risiko-billede og igangsætter eventuelle nødvendige ændringer eller forbedringer af in-formationssikkerheden. Chefen for it, data og information revurderer løbende sikkerhedspolitikken for it, data og information på grundlag af overvågning, kontrol og rapportering og indstiller hvert tredje år eller i forbindelse med større ændringer i organisationen, forretningsprocesserne eller informationsaktiverne Sikkerhedspolitikken for it, data og information til fornyet godkendelse i Byrådet 7. Offentliggørelse Denne politik offentliggøres på Assens Kommunes intranet og kan udleveres til relevante samarbejdspartnere. Sikkerhedschefen for it, data og information sikrer implementering og udmøntning af sikkerhedspolitikken for it, data og information. Sikkerhedspolitik for it, data og information Side 6 af 7
8. Godkendelse Denne Sikkerhedspolitik for it, data og information er godkendt af Assens Kommunes byråd d. 23. september 2015 Søren Steen Andersen Borgmester Finn G. Johansen Kommunaldirektør Sikkerhedspolitik for it, data og information Side 7 af 7