It-sikkerhedspolitik. for. Jammerbugt Kommune

Relaterede dokumenter
Ny IT sikkerhedspolitik. for. Jammerbugt Kommune

Greve Kommune. It-sikkerhedspolitik. Center for Byråd & Økonomi 2013

Greve Kommune. It-sikkerhedspolitik. 6. Udkast november 2010

IT-sikkerhedspolitik. for. Gladsaxe Kommune

fortrolighed: omfatter en sikring af, at information kun er tilgængelig for personer, som er berettigede

It-sikkerhedspolitik

IT-SIKKERHEDSPOLITIK UDKAST

IT-sikkerhedspolitik S i d e 1 9

Bilag 1 Databehandlerinstruks

Overordnet organisering af personoplysninger

Databeskyttelsespolitik for DSI Midgård

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner.

SOPHIAGÅRD ELMEHØJEN

Overordnet organisering af personoplysninger

Procedure for tilsyn af databehandleraftale

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring

Ledelsen har sikret, at der er etableret en hensigtsmæssig itsikkerhedsorganisation

IT-sikkerhedspolitik for

Databeskyttelsespolitik

Overordnet it-sikkerhedspolitik for Rødovre Kommune

Ballerup Kommune Politik for databeskyttelse

Dragør Kommune. Operationelle bilag til IT-sikkerhedspolitikken. Bilag 7. Retningslinjer for IT-medarbejdere

Bilag 5 Aarhus Kommune. Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0. Opbevaring/sletning af informationer

Politik for informationssikkerheddatabeskyttelse

DATABESKYTTELSESPOLITIK

Databeskyttelsespolitik for Netværket Smedegade, en social institution, der primært hoster data og programmer hos databehandlere

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

INFORMATIONS- SIKKERHEDS- POLITIK

IT-centeret. It-sikkerhedshåndbog. Næstved Kommune Sagsbehandler: JJ Tlf Sagsnr: Doknr: april 2009

Version: 1.0 Maj Informationssikkerhedspolitik for Struer Statsgymnasium

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser

Informationssikkerhedspolitik for <organisation>

Hovmosegaard - Skovmosen

IT-sikkerhedspolitik. for Social- og Sundhedsskolen Esbjerg

Faaborg-Midtfyn Kommunes it-sikkerhedspolitik Udkast pr. 26. maj 2009

Informationssikkerhedspolitik

INFORMATIONSSIKKERHEDSPOLITIK. Informationssikkerhedspolitik

Bekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.

IT Sikkerhedspolitik. for. Tønder kommune

Hillerød Kommune. IT-sikkerhedspolitik Bilag 2. Opfølgning på lovbestemte krav

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

Instrukser for brug af it

denne folder finder du de mest grundlæggende retningslinjer for brugen af it i Jammerbugt Kommune. Læs mere på 7913.jammerbugt.dk, hvor du også kan

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Organisering og styring af informationssikkerhed. I Odder Kommune

Overordnet Informationssikkerhedsstrategi. for Odder Kommune

It-revision af Sundhedsdatanettet januar 2016

Overordnet It-sikkerhedspolitik

Hjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

MedComs informationssikkerhedspolitik. Version 2.2

Databehandlerinstruks

NOTAT. Køge Kommune It-sikkerhed Overordnede retningslinjer ITafdelingen. Fællesforvaltningen. Dato Sagsnummer Dokumentnummer

Ver. 1.0 GENTOFTE KOMMUNES INFORMATIONSSIKKERHEDSPOLITIK

IT- og informationssikkerheds- politik (GDPR) For. Kontrapunkt Group

Datasikkerhedspolitik

IT-sikkerhedspolitik for Lyngby Tandplejecenter

AFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484

It-sikkerhedstekst ST8

Underbilag Databehandlerinstruks

Databehandleraftale. (den Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under et Parterne )

Sikkerhedsinstruks for IT-brugere hos Randers Kommune. Bilag 1

Hillerød Kommune. It-sikkerhedspolitik Bilag 8. Kontrol og adgang til systemer, data og netværk

Tilladelsen gives på følgende vilkår:

Service Level Agreement (SLA)

Bilag X Databehandleraftale

BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen

1 Informationssikkerhedspolitik

Informationssikkerhedspolitik

IT-Sikkerhed i Billund Kommune

Informationssikkerhedspolitik for Horsens Kommune

Retningsgivende databehandlervejledning:

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik

Rapport. Anbefaling. Sikkerhedstjekket 2016 Rådet for Digital Sikkerhed

Fredericia Kommunes Informationssikkerhedspolitik 1 FREDERICIA KOMMUNE AFDELING TITEL PÅ POWERPOINT

Halsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune.

Et koncentrat af retningslinjerne i søjle B, herunder retningslinjer for it-brugere, bliver også distribueret i kommunens it-sikkerhedsfolder:

RETNINGSLINJER FOR TV-OVERVÅGNING I BOLIGFORENINGEN VIBO

Dragør Kommune. Operationelle bilag til IT-sikkerhedspolitikken. Bilag 3. Retningslinjer for IT-brugere

IT-politik i Trafikselskabet Movia. Version 1.0

Assens Kommune Sikkerhedspolitik for it, data og information

DATABEHANDLERAFTALE PARTER: Virksomhed: CVR: Adresse: Postnummer: (i det følgende benævnt KUNDEN)

Udkast til svar på Rigsrevisionens rapport om it-sikkerheden på SDN [Godkendt af MedComs styregruppe den 12. februar 2016]

Overordnet informationssikkerhedsstrategi

It-sikkerhed i Dansk Supermarked

Databehandleraftale. (De Dataansvarlige og Databehandleren i det følgende hver for sig benævnt Part og under ét Parterne )

Instrukser for brug af dataudstyr ved OUH

NOTAT. ITafdelingen. IT og sikkerhedsmæssige udbudskrav ved indkøb af fagsystemer

Rammeaftalebilag 5 - Databehandleraftale

Forfatter: Carsten Stenstrøm Mail: Telefon: IT Amerika Plads København Ø

Databehandleraftale. om [Indsæt navn på aftale]

MELLEM København S. (herefter SKI )

Politik for It-brugeradfærd For Aalborg Kommune

BILAG 5 DATABEHANDLERAFTALE

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

Netic A/S. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Netic A/S serviceydelser.

DATABEHANDLERAFTALE MELLEM ODENSE KOMMUNE. Flakhaven 2, 5000 Odense C [INDSÆT NAVN. CVR xxxxxxxx. Adresse ]

Transkript:

It-sikkerhedspolitik for Jammerbugt Kommune

Versionsstyring Version nr. Dato for version Ændring Årsag Ansvar 01.06 07.07.2015 Rettelser i version 01.05 Redaktionelle ændringer 01.07 29.11.2015 Rettelser Redaktionelle ændringer 01.08 11.01.2015 Rettelser efter behandling på direktionsmøde Rettelser efter behandling på direktionsmøde Leif Mortensen Karen Melchior Jensen Karen Melchior Jensen Indholdsfortegnelse 1. Om Jammerbugt Kommunes it-sikkerhedspolitik...5 Baggrund...5 Formål...5 Gyldighed og omfang...6 2. Organisation og ansvar...6...6 Kommunalbestyrelsen og direktionen...6 Digitalisering og IT...6 IT-lederen...7 Fagchefer...7 Systemejere...7 3. Medarbejdersikkerhed...8...8 Ansættelse af nye medarbejdere...9 Under ansættelse...9 Fratrædelse...10 4. Logisk adgangsstyring...10 It-sikkerhedspolitik, Jammerbugt Kommune Side 2 af 22

...10 Brugeradministration...10 5. Styring af It-aktiver...12...12 Registrering af it-aktiver...12 Klassifikation af data og andre it-aktiver...13 Sikkerhedskrav til registreringen af følsomme og fortrolige data...13 Vedligeholdelse af it-aktiver...14 Kassation af it-aktiver...14 6. Risikovurdering og håndtering...14...14 Risikovurdering...14 Risikohåndtering...14 7. Fysisk sikkerhed...14...14 Zoner...15 8. Brug af it-udstyr...16...16 Filbehandling...16 Adgangskodepolitik...16 Logning af adgang til Jammerbugt Kommunes it-ressourcer...17 9. Driftsafviklingsprocedurer...18...18 Backup og genetablering...18 Logning i forbindelse med it-ressourcer...19 10. Netværket (vedr. både trådet og trådløst netværk)...19...19 Segmentering...19 11. Support...19...19 Standardændringer...20 Implementeringer på netværk...20 Varsling...20 12. Beskyttelse mod ondsindet programmel...20...20 It-sikkerhedspolitik, Jammerbugt Kommune Side 3 af 22

Antivirus og antispam...20 13. Anskaffelse og vedligeholdelse af fagsystemer...21...21 Fagsystemer...21 14. Nødprocedurer...22...22 15. Brug af videoovervågning og brug af digitale billeder...22...22 It-sikkerhedspolitik, Jammerbugt Kommune Side 4 af 22

1. Om Jammerbugt Kommunes it-sikkerhedspolitik Baggrund og formål It-sikkerhedspolitikken fastsætter hovedprincipperne for it-sikkerheden, herunder placering af ansvaret for varetagelse af it-sikkerheden. It-sikkerhedspolitikken er baseret på ISO 27001- standarden, og tilstræber at gøre sikkerheden omkring it-anvendelsen realistisk, operationel, logisk, acceptabel og kontrollerbar. It-anvendelsen i kommunen skal iagttage en til enhver tid gældende god it-skik, herunder gældende standarder for området samt have et sikkerhedsniveau, der er i overensstemmelse med lovgivningskrav og myndighedsforventninger samt muliggør en bred it-systemanvendelse. It-sikkerhedspolitikken gælder for alle, der har adgang til kommunens interne netværkstjenester, eller som har adgang til it-systemer, der anvendes i den daglige produktion i kommunen. Det gælder: - Ansatte i Jammerbugt Kommune - Politikere i Jammerbugt Kommune - Samarbejdspartnere Disse grupper vil i den resterende it-sikkerhedspolitik blive beskrevet som Medarbejdere. Formålet med it-sikkerhedspolitikken er: At Jammerbugt Kommune i overensstemmelse med god offentlig forvaltningsskik sikrer data og informationers fortrolighed, pålidelighed, integritet og tilgængelighed. Derved opnås Jammerbugt Kommunes primære målsætning; at servicere kommunens borgere, virksomheder og medarbejdere effektivt og på den bedst mulige måde. At it-sikkerhedsniveauet i Jammerbugt Kommune til enhver tid er i overensstemmelse med gældende lovgivning, kontraktlige krav og god it-skik. Kommunen har over for personer og virksomheder i henhold til lovgivningen et særligt ansvar for at beskytte oplysninger om personer mod uautoriseret anvendelse og mod fejl i oplysningerne. At Jammerbugt Kommunes it-sikkerhed er tilpasset de informationer, som skal beskyttes, set i forhold til de trusler, som kan forårsage tab af fortrolighed, pålidelighed, integritet og tilgængelighed. It-sikkerheden fastholdes igennem såvel løbende kontroller som uddannelse og information på tværs af organisationen. At Jammerbugt Kommune tilsigter, at anvendelsen af funktionaliteten i kommunens it-systemer ikke forringes som følge af it-sikkerhedsniveauet. It-sikkerhedspolitik, Jammerbugt Kommune Side 5 af 22

At Jammerbugt Kommunes it-sikkerhed understøtter kommunens vision og de generelle værdier, som kommunen har som arbejdsplads og servicefunktion over for kommunens borgere og virksomheder. At Jammerbugt Kommune fastholder it-sikkerhedsniveauet gennem krav til adfærd samt målretter formidling af viden omkring it-sikkerhed til medarbejderne. Gyldighed og omfang It-sikkerhedspolitikken bliver løbende opdateret, og bliver gennemgået en gang årligt. Den øverste it-sikkerhedsansvarlige vurderer, hvornår der er behov for politisk behandling og underretter MED-systemet, hvis der ændres i personalerelaterede forhold. Redaktionelle ændringer kan uden videre foretages. Alle brugere, samarbejdspartnere, institutioner o.l. samt leverandører med fysisk eller logisk adgang til kommunens systemer skal være bekendt med it-sikkerhedspolitikken og er forpligtede til at overholde reglerne. It-sikkerhedspolitikken omfatter kommunens it-baserede forretningsgange, herunder kontorprogrammer, fagsystemer og data, og inkluderer også netværk og it-infrastruktur. Der foretages løbende opfølgning på den praktiske efterlevelse af de udstukne rammer og regler, og materialet vurderes i forhold til gældende god skik og standarder for området samt holdes op mod en konkret vurdering af væsentlighed og risiko. Håndhævelse af it-sikkerhed skal finde sted med deltagelse fra alle it-brugere. Alle medarbejdere har et ansvar for at bidrage til en sikker it-anvendelse. En effektiv formidling af itsikkerhedsmaterialet skal skærpe og udvikle brugernes opmærksomhed på it-sikkerheden. Overtrædelse af it-sikkerhedspolitikken Alle medarbejdere har ansvar for at efterleve it-sikkerhedspolitikken. Overtrædelse af itsikkerhedspolitikken samt relaterede bilag kan medføre sanktioner. Hvis der konstateres trusler mod kommunens it-ressourcer eller it-bårne data, eller der konstateres overtrædelser af elementer i it-sikkerhedspolitikken, skal dette hurtigst muligt meddeles den it-sikkerhedsansvarlige, it-lederen eller nærmeste leder. 2. Organisation og ansvar Rollerne og det medfølgende ansvar, som nævnes i it-sikkerhedspolitikken, er alene beskrevet i forhold til it-sikkerheden i Jammerbugt kommune. Det betyder, at yderligere ansvar tildelt disse roller, er beskrevet andetsteds. It-sikkerhedspolitik, Jammerbugt Kommune Side 6 af 22

Kommunalbestyrelsen Kommunalbestyrelsen har det overordnede ansvar for etablering og vedligeholdelse af en itsikkerhed, der er tilpasset Jammerbugt Kommunes behov og opfylder kravene i lovgivningen og til god forvaltningsskik. Kommunalbestyrelsen udpeger den øverste it-sikkerhedsansvarlige i Jammerbugt Kommune. Direktionen IT-sikkerhedspolitikken godkendes i Direktionen forud for den politiske godkendelse. IT-sikkerhedsansvarlig Økonomi- og stabschefen er den øverste it-sikkerhedsansvarlige, som har ansvaret for den daglige ledelse og kontrol af it-sikkerheden. Den øverste it-sikkerhedsansvarlige skal i samarbejde med itlederen præcisere it-sikkerhedsniveauet og sikre overholdelse af it-sikkerhedsreglerne i kommunen. It-lederen er stedfortræder for den øverste it-sikkerhedsansvarlige i forhold til dette ansvar. IT-lederen IT-lederen er ansvarlig for at opstille procedurer, som sikrer varetagelsen af det daglige itsikkerhedsarbejde på en sådan måde, at it-sikkerheden implementeres effektivt i hele Jammerbugt Kommunes organisation. IT-lederen er ansvarlig for at vurdere de sikkerhedsmæssige og evt. kommunikative aspekter i forbindelse med it-investeringer, ændringer i den anvendte teknologi eller andre forhold, som har indflydelse på it-sikkerheden i kommunen. De konkrete og operationelle opgaver med den daglige styring af it-sikkerhedsarbejdet, er placeret i Digitalisering og IT og varetages her af it-lederen. Opgaverne omfatter blandt andet: Oprettelse og nedlæggelse af brugerprofiler Den tekniske it-sikkerhed, herunder netværkssikkerhed, virusbeskyttelse, driftsstabilitet mv. Den administrative sikkerhed - herunder brugeradministration, dataklassifikation, systemejerskab mv. Den fysiske sikkerhed i alle bygninger, kommunen råder over, når det berører it-området At netværket er korrekt dokumenteret samt at driften og udviklingen af det enkelte netværk sker i overensstemmelse med de vedtagne procedurer, sikkerhedsforskrifter og kontroller. It-lederen er desuden ansvarlig for at rapportere fejl og afvigelser til den øverste it-sikkerhedsansvarlige. Systemejere Rollen som systemejer sikrer et entydigt ansvar for kommunens it-systemer. Systemejer har det samlede ansvar for et system. Herved forstås: Det økonomiske ansvar Det juridiske ansvar Ansvar for at systemet ikke indeholder fejl It-sikkerhedspolitik, Jammerbugt Kommune Side 7 af 22

Ansvar for at systemet drives på en effektiv og sikkerhedsforsvarlig måde Ansvar for at systemet understøtter organisation og arbejdsgange, herunder at systemet udfases, når nytteværdien ikke står mål med omkostningerne ved at drive systemet Systemejernes ansvar og opgaver understøttes af den centrale stab (herunder Digitalisering og IT) og forvaltningsservice. En udtømmende rolledefinition findes i dokumentet Systemorganisering i Jammerbugt Kommune (administrativt notat under udarbejdelse). I relation til it-sikkerhed er det systemejers ansvar: At sikre anmeldelse til Datatilsynet, hvis systemet håndterer følsomme data At sikre, at it-systemet overholder persondataloven, EU s persondataforordning og at kommunen efterlever Datatilsynets regler og krav. At sikre, at Jammerbugt Kommune har de fornødne licenser/tilladelser til at anvende det pågældende system, og at brugerne gøres bekendt med, hvordan systemerne efter disse tilladelser må anvendes. At sikre, at logningsniveauet er i overensstemmelse med lovgivningen, at rapportere fejl og afvigelser til den øverste it-sikkerhedsansvarlige. At sikre, at der to gange årligt, med vilkårlige mellemrum, foretages stikprøver af loggen for at sikre datasikkerheden. At kontrollere brugernes adgange til systemerne, halvårligt. At sikre medarbejdernes kendskab til gældende regler og instrukser samt at føre tilsyn med at disse overholdes. Rollen som systemejer fastlægges i forbindelse med indkøb og implementering af ethvert itsystem. Rollen bør besættes af en leder i det fagområde, som har flest brugere af systemet, eller som ejer den opgave, der it-understøttes. Generelle og tværgående systemer ejes i udgangspunktet af den it-sikkerhedsansvarlige eller it-lederen. Systemejeren kan uddelegere opgaverne, men ikke ansvaret, til en systemforvalter, som varetager den daglige vedligeholdelse af systemet. Denne rolle er også uddybet i dokumentet Systemorganisering i Jammerbugt Kommune. 3. Medarbejdersikkerhed Medarbejderne har en vigtig rolle for it-sikkerheden, idet det er medarbejdernes korrekte håndtering af data og udstyr, der skal sikre at kommunens it-ressourcer ikke udsættes for risici i forbindelse med brugen af disse. It-sikkerhedspolitik, Jammerbugt Kommune Side 8 af 22

Ansættelse af nye medarbejdere Nye medarbejdere i Jammerbugt Kommune bliver i forbindelse med ansættelsen oprettet som brugere på Jammerbugt Kommunes it-systemer på foranledning af den ansættende leder i den afdeling, medarbejderen skal starte i. Nye medarbejdere skal tildeles adgang med de nødvendige autorisationer og rettigheder til de systemer, som de har brug for adgang til for at løse deres arbejdsopgaver. Nærmeste leder har pligt til at orientere om gældende it-sikkerhedspolitik, og der henvises til TRYK, hvor den nyansatte kan orientere sig i it-sikkerhedsmaterialet. Under ansættelse Det er kommunens politik, at eventuelle overtrædelser af gældende it-sikkerhedspolitik håndteres af nærmeste leder, som undersøger årsagen til overtrædelsen og vurderer overtrædelsens karakter. Der kan være tale om en utilsigtet overtrædelse, hvor den pågældende medarbejders opmærksomhed henledes på, at it-sikkerhedspolitikken ikke er overholdt. Som bruger på Jammerbugt Kommunes it-netværk skal du derfor være specielt opmærksom på følgende: Brugernavn og adgangskoder til kommunens it-systemer er personlige, og må ikke deles med andre. Forlader du pc en, skal du låse skærmen, så uvedkommende ikke kan få adgang til dine data. Det samme gør sig gældende ved hjemmearbejde. Vær opmærksom på, hvem der har adgang/udsyn til skærmen, når du behandler personfølsomme data. Vær også opmærksom på, at udskrifter med personfølsomme data ikke må ligge offentligt tilgængeligt. Når du er logget på Jammerbugt Kommunes netværk, skal du være opmærksom på, hvad du foretager sig, da du repræsenterer Jammerbugt Kommune og dennes værdier. Opstår der tvivl om, hvorvidt en handling er tilladt eller udgør en sikkerhedsrisiko, skal du henvende dig til HelpDesk eller nærmeste leder. Husk altid at logge af systemet ved arbejdsdags afslutning. Endelig forventes det, at den enkelte medarbejder reagerer aktivt på eventuelle itsikkerhedsmæssige problemer eller fejl, og at medarbejderen i givet fald videregiver sine observationer til HelpDesk. Fratrædelse Ved fratrædelse skal medarbejderens adgang til systemer vurderes i hvert enkelt tilfælde. Adgangen kan være åben indtil endelig fratrædelse finder sted eller lukkes straks. Nærmeste leder orienterer Digitalisering og IT, når en medarbejder fratræder, med henblik på at aftale, hvornår der skal lukkes for adgange og brugerprofilen slettes. It-sikkerhedspolitik, Jammerbugt Kommune Side 9 af 22

I tilfælde af at man har brug for adgang til en tidligere medarbejders e-mailkonto, kan dette ske i op til 60 dage efter sletning af brugerprofilen. Dette må dog kun finde sted efter, at der er indhentet en autorisation fra enten direktøren for fagområdet, den øverste itsikkerhedsansvarlige eller dennes stedfortræder. Det samme gør sig gældende i forbindelse med en fratrådt medarbejders netværksdrev. I begge tilfælde skal det undlades at mapper og e-mails benævnt privat undersøges uden samtykke fra medarbejderen, medmindre der er tale om tilfælde med mistanke om kriminelle forhold. Medarbejderens it-udstyr tilbageleveres til Digitalisering og IT. 4. Logisk adgangsstyring Den logiske adgang til Jammerbugt Kommunes data og it-ressourcer kan kun ske via Jammerbugt Kommunes administrative it-netværk. Dette netværk er logisk adskilt fra de øvrige netværk, der anvendes i kommunen, herunder den offentligt tilgængelige del af skolenetværket, biblioteksnetværket og andre eksterne net, som f.eks. Internettet. Logisk adgangsstyring i Jammerbugt Kommune er organiseret således, at ansvaret for tildeling af rettigheder og adgange ligger hos den enkelte leder. Digitalisering og IT er udførende og koordinerende i forbindelse med adgangsstyring, ansvarlig for daglige retningslinjer og vejledning i brug af de logiske it-ressourcer. Målet med logisk adgangsstyring er at mindske risikoen for tab af fortrolighed, pålidelighed, integritet og tilgængelighed i Jammerbugt Kommune. Brugeradministration Standard brugeradministration Digitalisering og IT opretter, ændrer og sletter brugerprofiler på foranledning af nærmeste leder. I forbindelse med oprettelse, ændring eller sletning af en brugerprofil, sender den pågældende medarbejders leder et brugerskema til HelpDesk, som forestår den konkrete brugeradministration. Brugerskemaet findes på TRYK. Brugeradministration varetages som udgangspunkt af Digitalisering og IT. For nogle fagsystemer er det dog systemforvalteren, der foretager brugeradministration. Administratorbrugere Medarbejderne i Digitalisering og IT er autoriseret til at have administratorrettigheder til de centrale, tværgående it-systemer og netværk. Derudover er udvalgte medarbejdere autoriseret til at have administratorrettigheder til udvalgte systemer. Det gælder typisk for systemforvaltere. It-sikkerhedspolitik, Jammerbugt Kommune Side 10 af 22

Derudover kan enkelte eksterne samarbejdspartnere opnå administratorrettigheder, hvis det kræves som en del af deres opgaver. Digitalisering og IT dokumenterer og overvåger eksterne med administratorrettigheder. Fællesbrugerprofiler Fællesbrugerprofiler er en brugerprofil på it-netværket, som kan oprettes i funktioner, hvor flere medarbejdere har behov for at tilgå en pc-arbejdsplads uden rettigheder til andet end at logge på. Det vil typisk foregå i tilfælde, hvor flere medarbejdere tilgår det samme fagsystem på pcarbejdspladsen, men først har behov for at blive identificeret, når de tilgår fagsystemet. Fællesbrugerprofiler skal altid vurderes og autoriseres af Digitalisering og IT, for at sikre at itsikkerheden ikke kompromitteres. Fællesbrugerprofiler oprettes kun, hvis det er den eneste praktisk mulige måde at tildele brugeradgang på. Brugen af fællesbrugerprofiler tilstræbes at holdes på et minimum. TRYK Alle medarbejdere kan tilgå Jammerbugt Kommunes intranet, TRYK. Første gang en medarbejder logger på TRYK inden for Jammerbugt Kommunes netværk, anvendes medarbejderens private NemID. Herefter genkender systemet medarbejderen. 5. Styring af It-aktiver Digitalisering og IT står for den løbende vedligeholdelse og udskiftning af it-aktiver i Jammerbugt Kommune. Al anskaffelse af it-udstyr finansieret af Jammerbugt Kommune skal ske gennem Digitalisering og IT. Privat udstyr kan anvendes på nogle af Jammerbugt Kommunes systemer jf. afsnittet Anvendelse af mobilt udstyr under kapitel 8. Logiske it-aktiver (alle data som behandles på Jammerbugt Kommunes it-netværk) styres i forhold til retningslinjerne i persondataloven og sikkerhedsbekendtgørelsen. Det er den enkelte afdelings ansvar at klassificere de data, der behandles i afdelingen og sikre, at de er forsvarligt beskyttet. Digitalisering og IT bistår efter behov i klassificeringen. Registrering af it-udstyr Digitalisering og IT registrerer og tyverisikrer alt it-udstyr. Alle pc-arbejdspladser skal markeres med tyverisikring. En del af tyverisikringen omfatter fjernsletning af smartphones, tablets mm. herefter benævnt mobil enhed. Proceduren til sikring ved tyveri, overdragelse eller forsøg på omgåelse af sikkerhedssystemet er todelt: It-sikkerhedspolitik, Jammerbugt Kommune Side 11 af 22

Den mobile enhed ejes af Jammerbugt kommune: Enheden slettes for indhold Den mobile enhed er privat med SIM-kort fra Jammerbugt Kommune: Enheden slettes delvist, dvs. data, applikationer samt andre indstillinger, som vedrører Jammerbugt kommune, slettes fra enheden For begge situationer gælder: Ved tyveri skal medarbejderen give besked til HelpDesk hurtigst muligt. Det er vigtigt, at der er en entydig identifikation af al it-udstyr i tilfælde af tyveri eller tab af enheder, da det skal bruges i forbindelse med forsikringskrav. Digitalisering og IT vedligeholder en liste over it-udstyr. Dataene, der registreres for hvert it-aktiv, skal indeholde informationer på et niveau, der gør det muligt at genetablere fra en katastrofe - f.eks. lokalitet, ejer, backup, licenser, garanti, klassificering og service level agreements (SLA). Klassifikation af data og andre it-aktiver Klassifikationen af data stiller forskellige krav til håndteringen og opbevaringen af data. Systemejeren skal ved introduktion af et nyt system og tilhørende hardware sikre, at sikkerheden i systemet er i stand til at beskytte de data, som systemet anvender i overensstemmelse med datas sikkerhedsklassifikation. Dataklassificeringsniveauer Dataklassifikationen er opdelt i følgende kategorier: Offentlige data data, som kan offentliggøres til befolkningen på f.eks. kommunens hjemmeside, og som den enkelte borger uden videre kan begære indsigt i Ikke offentligt tilgængelige data data, som er af en sådan beskaffenhed, at den enkelte borger ikke kan få indsigt i disse data. Eksempler på sådanne data er informationer om opbygningen af sikkerhed i kommunens administration, kontrakter, interne notater mv. Disse oplysninger kan være fortrolige efter andre regler end Persondataloven, fx Offentlighedsloven. Fortrolige oplysninger, der er omfattet af persondatalovens 6, 7 og 8. Sikkerhedskrav til registreringen af følsomme og fortrolige data Følgende er en oversigt over sikkerhedskrav til registreringen af data som indeholder fortrolige og følsomme oplysninger: Autorisation Systemejer skal autorisere brugeres adgang til data samt deres rettigheder til at læse, opdatere og/eller slette data. Systemejeren kan uddelegere opgaven til en systemforvalter. Adgangsforhold Systemet skal adgangsbegrænses med to-faktor brugervalidering ved internt login og tre-faktor brugervalidering ved eksternt login. It-sikkerhedspolitik, Jammerbugt Kommune Side 12 af 22

Datakommunikation Kommunikation af fortrolige og følsomme oplysninger over offentlige net skal krypteres. Logning af adgang Mislykkede adgangsforsøg logges og registreringerne herom gennemgås periodisk. Gentagne mislykkede forsøg skal medføre lukning af adgang. Logning af anvendelse Alle anvendelser af data vedrørende enkeltpersoner logges og gemmes i ½ år og ved særlige behov op til 5 år (gælder ikke dokumenter under udarbejdelse). Loggen skal indeholde tidspunkt, bruger, anvendelse og personen, som anvendelsen vedrører. Opbevaring Dataene skal opbevares, således at kun autoriserede brugere har adgang til dem. Brugergenererede data skal være omfattet af en backup-strategi. Anmeldelse Behandling af personoplysninger skal anmeldes til Datatilsynet. Sletning Data skal efter arkivering slettes fra de datamedier, de tidligere har ligget på. Er der tale om en kassation af de tidligere datamedier, skal datamedierne afleveres hos Digitalisering og IT, som sørger for en standardiseret og sikker sletning af indholdet. Vedligeholdelse af it-aktiver Alle fysiske it-aktiver er underlagt løbende vedligeholdelse i form af softwareopdateringer og eventuelle fysiske reparationer for at sikre driftssikkerheden på it-netværket og integriteten i dataene. Kassation af it-aktiver Kassation foretages på en it-sikkerhedsmæssig forsvarlig måde. 6. Risikovurdering og håndtering Risikovurdering og -håndtering sikrer, at alle it-systemer og it-arbejdsgange i Jammerbugt Kommune risikovurderes og håndteres, således at it-brug altid foregår på den mest sikre og hensigtsmæssige måde og med forretningen Jammerbugt Kommune i fokus. Digitalisering og IT kan bistå afdelingerne i at risikovurdere de it-processer/-arbejdsgange, der finder sted, og hjælpe med at sikre, at identificerede risici dækkes af de rette kontroller. Risikovurdering Digitalisering og IT identificerer, vurderer og dokumenterer risici på baggrund af inputs fra organisationen, andre eksterne faktorer såsom lovkrav m.m. og har ansvar for en årlig it-revision. It-sikkerhedspolitik, Jammerbugt Kommune Side 13 af 22

Risikohåndtering Digitalisering og IT håndterer risici på en måde, der sikrer, at årsagen til risiciene blotlægges, fjernes eller som minimum mindskes til et acceptabelt niveau. Udarbejdelse af kontroller og analyser af risiciene med henblik på løbende forbedring af it-sikkerheden sikrer proaktivt, at det acceptable niveau opnås, dvs. der hvor sikkerhedsforanstaltningerne står mål med risikoen. 7. Fysisk sikkerhed Fysisk sikkerhed fokuserer på sikkerheden omkring de fysiske it-zoner og beskyttelse af it-aktiver i Jammerbugt Kommune. Dette område varetages af Digitalisering og IT. Zoner Zone 1 (omfatter serverrummene på rådhuset) Den fysiske adgang til it-ressourcer i zone 1 er sikret med et elektronisk låsesystem, således at kun autoriserede personer kan få adgang til zonen. Adgang til zonen uden behørig autorisation må kun ske sammen med ledsager med en sådan autorisation. Grundlæggende må kun specifikke medarbejdere have adgang til denne zone. Navngivne teknikere og håndværkere, der har et godkendt behov, kan inden for normal arbejdstid eller i forbindelse med krisesituationer få uledsaget fysisk adgang til serverrummene. Øvrige personer må kun få adgang med autoriseret ledsager. Lister over udstedte nøglekort gennemgås årligt med henblik på at revurdere, hvilke medarbejdere, navngivne teknikere og håndværkere, der har adgang til zonen. Serverne er hævet 20 cm. over gulvhøjde for at modgå eventuelle oversvømmelser af gulvet. Serverrummene indeholder ligeledes køling og ekstra brandsluknings/alarmeringsudstyr samt UPS i tilfælde af strømafbrydelser. Serverrummenes overvågnings- og beskyttelsesudstyr gennemses og testes årligt af autoriserede teknikere. Lokaler under zone 1 er endvidere sikret, og overvåges i relation til uautoriseret indtrængen. Alarmer viderestilles til Digitalisering og IT s medarbejdere, rådhusbetjentene eller Falck afhængig af den aktuelle alarm. Zone 2 (omfatter it-lager og it-værksted) Den fysiske adgang til denne zone er sikret med et elektronisk låsesystem, således at kun autoriserede personer har adgang til zonen. Grundlæggende er det kun medarbejdere fra Digitalisering og IT, der har adgang til denne zone. Teknikere og håndværkere fra firmaer, der har et godkendt behov, kan inden for normal arbejdstid eller i forbindelse med krisesituationer få uledsaget fysisk adgang til it-lager og -værksted. Lokaler under zone 2 er endvidere sikret, og overvåges i relation til uautoriseret indtrængen. It-sikkerhedspolitik, Jammerbugt Kommune Side 14 af 22

Lister over udstedte nøgler, nøglekort, adgangskoder mv. til zone 2 gennemgås årligt af Digitalisering og IT med henblik på at revurdere, hvilke medarbejdere i Jammerbugt Kommune, der har adgang til zonen. Zone 3 (Krydsfelter og it server/teknikrum på eksterne lokaliteter mv.) Den fysiske adgang til denne zone er sikret med specifikke låse, som kun autoriserede personer har nøgler til. På rådhuset vil det være medarbejdere fra Digitalisering og IT, rådhusbetjente og navngivne teknikere og håndværkere fra firmaer med et godkendt behov, der har adgang til denne zone. På andre lokaliteter vil adgangen være baseret på autorisation fra den lokale leder i samråd med Digitalisering og IT. 8. Brug af it-udstyr Brug af it-udstyr fokuserer på den bruger- og filsikkerhed, som er forbundet med brugen af itudstyr på Jammerbugt Kommunes it-netværk, hvad enten der er tale om mobilt, privat eller itudstyr leveret af Jammerbugt Kommune. Filbehandling Jammerbugt Kommune forbeholder sig ret til, med samtykke fra fagchef eller direktør, at foretage gennemgang af alle systemer og personlige/private områder, netværksdrev, mobiltelefoner, i e- post og andre områder og enheder, som måtte indeholde data fra Jammerbugt Kommune, såfremt der forefindes berettigede interesser for dette jf. afsnittet Standard brugeradministration. Disse interesser er af hensyn til Jammerbugt Kommunes drift, sikkerhed, genetablering og dokumentation samt hensynet til kontrol af medarbejderes brug. Alle gennemgange foretages under fuld fortrolighed og med den enkelte medarbejders vidende, medmindre det skønnes, at medarbejderens vidende kan kompromittere evt. bevismateriale f.eks. i forbindelse med gennemgange foretaget med baggrund i en mistanke om kriminelle forhold. Eksterne enheder Ved brug af eksterne enheder, som smartphones eller tablets mv., har Digitalisering og IT adgang til at slette data. Enten ved fuld sletning eller delvis sletning. Anvendes en privat enhed, slettes kun de kommunale data. Elektronisk udveksling af data Det er ikke tilladt at anvende uautoriserede og usikre datamedier f.eks. Dropbox, OneDrive og andre cloud-baserede datamedier - til udveksling eller arkivering af fortrolige og/eller personfølsomme data. Data med fortrolige og personfølsomme oplysninger Kommunikation af data med fortrolige eller personfølsomme oplysninger over offentlige netværk mellem Jammerbugt Kommune og driftsleverandører, hjemmearbejdspladser, borgere, It-sikkerhedspolitik, Jammerbugt Kommune Side 15 af 22

virksomheder mv. skal krypteres i henhold til data-klassifikationen. Digital Post og sikker mail skal anvendes af alle medarbejdere til kommunikation af fortrolige og/eller personfølsomme data uden for Jammerbugt Kommunes it-netværk. Adgangskodepolitik Brug af adgangskoder Alle nye medarbejdere skal ændre adgangskode ved første logon, og adgangskodepolitikken i Jammerbugt Kommune kræver, at en adgangskode: Minimum består af 8 karakterer Består af 3 af følgende 4 tegnmuligheder: store bogstaver, små bogstaver, tal og specialtegn Ikke indeholder dit navn eller brugernavn Bliver ændret hver 3. måned Ikke er en af de 5 sidst benyttede adgangskoder Husk at hvis du benytter en telefon, tablet eller lignende til at synkronisere din mail, skal du også ændre password på disse enheder, så snart du har ændret det på pc en. Dit ansvar som bruger Som bruger på Jammerbugt Kommunes it-netværk skal du være opmærksom på følgende: Din adgangskode er personlig og må derfor ikke deles med andre eller skrives ned således, at den risikerer at blive offentliggjort Du skal skifte din adgangskode, hvis du er det mindste i tvivl, om den er blevet kompromitteret Din adgangskode bliver spærret, hvis du taster den forkert 5 gange. HelpDesk kan låse op, så du kan forsøge den samme adgangskode igen, men har du glemt din adgangskode og skal have den nulstillet, skal du henvende dig til HelpDesk. Brug af mobilt udstyr Der må ikke behandles eller opbevares personhenførbare eller fortrolige informationer på udstyr, der ikke tilhører Jammerbugt Kommune. Private enheder må tilsluttes det trådløse netværk, der tilbyder adgang til internettet. Herfra kan der oprettes forbindelse til citrix, hvor alle fagsystemer er til rådighed. Adgang fra private pc er uden for Jammerbugt kommune skal godkendes og bestilles af nærmeste leder. Enheder som pc'er, telefoner, bærbare harddiske, USB-sticks, MP3-afspillere mv. må ikke tilkobles det kablede netværk, og de må ikke tilknyttes pc er på kommunens administrative netværk. Logning af adgang til Jammerbugt Kommunes it-ressourcer I Jammerbugt Kommune logges det hver gang en medarbejder har været inde i et system. Det logges også, hvilke sager/filer den enkelte medarbejder har været inde på, hvis det er systemer eller filer indeholdende personoplysninger. It-sikkerhedspolitik, Jammerbugt Kommune Side 16 af 22

Alle mislykkede adgangsforsøg, anvendelser af data som indeholder fortrolige eller personfølsomme data samt medarbejdernes brug af hjemmesider via internettet og e-mail registreres via loggen. Jammerbugt Kommune forbeholder sig ret til med fagchef eller direktørs samtykke, ved begrundet mistanke til enhver tid at gennemgå disse registreringer under samme forudsætninger som beskrevet i afsnittene Standard brugeradministration og Filbehandling omkring adgang til medarbejderes e-mailpostkasser og personlige netværksdrev. Stikprøver Der vil to gange årligt, med vilkårlige intervaller, blive foretaget stikprøver af loggen for at sikre datasikkerheden. Stikprøverne vil have fokus på, Om der er uautoriserede logins eller forsøg på dette i systemet Om der er medarbejdere, der uden gyldig grund har været inde i filer med personoplysninger Stikprøver vil i praksis foregå ved, at logningsfiler fra en udvalgt periode bliver gennemgået. 9. Driftsafviklingsprocedurer Jammerbugt Kommune har outsourcet dele af driftsansvaret for kommunens serverpark til eksterne leverandører. Digitalisering og IT samarbejder med leverandøren om, at driftsafviklingen foretages på en stabil, kvalificeret og sikker måde, således at fortroligheden, pålideligheden, integriteten og tilgængeligheden af it-ressourcerne og data sikres. Det indebærer kontroller af de medarbejdere, som leverandøren benytter på Jammerbugt Kommunes ressourcer. Ligesom det indebærer, at it-ressourcerne i udgangspunktet er tilgængelige for medarbejderne, borgerne og virksomhederne døgnet rundt, dog vil eventuelle driftsnedbrud primært blive udbedret inden for normal arbejdstid. Længerevarende nedlukninger af it-ressourcer skal så vidt muligt ske uden for normal arbejdstid. Ved kritiske systemnedbrud træder nødprocedurerne i kraft. Alle kritiske systemer er implementeret med tilstrækkelig redundans med henblik på at imødegå kritiske systemnedbrud. De interne systemer i Jammerbugt Kommune er omfattet af en dobbelt driftscenterstrategi. Designet af denne tager højde for, at minimum 65% af alle systemer kan fungere, hvis blot det ene driftscenter er aktivt. Der henvises til it-beredskabsplanen for en liste over systemer omfattet af dobbelt driftscenterstrategi samt prioritering af systemer ved nedbrud. Backup og genetablering Der foretages dagligt backup af alle netværksdrev i kommunen. It-sikkerhedspolitik, Jammerbugt Kommune Side 17 af 22

For at sikre at data kan genindlæses ved nedbrud, foretager Digitalisering og IT verifikation af sikkerhedskopier ved hjælp af løbende genetableringstests. Hele Jammerbugt Kommunes data backup opbevares sikkert, således at disse altid kan fremfindes ved igangsættelse af nødplaner eller i forbindelse med andet behov. For at backupfunktionen ikke kompromitterer sikkerheden af de data, der tages backup af, er der opsat adgangskontrol således, at uautoriserede personer ikke kan få adgang til oplysninger via arkiverede filer. Digitalisering og IT er autoriseret til at reetablere filer. Reetablering foregår således, at det, ved genindlæsning af filer, sikres, at der ikke ændres på ejer- og adgangsrettigheder. I forbindelse med backup og reetablering udarbejdes en log, som registreres i HelpDesk. Loggen dokumenterer, hvilke filer der er blevet arkiveret og reetableret. Loggen gennemgås og gemmes som dokumentation for arkiveringen og reetableringen. Logning i forbindelse med it-ressourcer Digitalisering og IT sikrer, at der foretages overvågning af it-services og andet it-udstyr, herunder den fysiske sikring af zone 1 - serverrummene. Dette bliver foretaget via en automatisk overvågning, hvor der følges op på eventuelle fejl, problemer eller sikkerhedsmæssige hændelser, der måtte kræve nærmere undersøgelse eller opfølgning. Hændelserne registreres automatisk. Al overvågning af eksterne servere foretages af den eksterne leverandør i henhold til indgået kontrakt om outsourcing. Alle ure i it-netværket er synkroniseret med en præcis tidsangivelseskilde for at sikre, at tidsangivelser i loggen stemmer overens på tværs af systemer. 10. Netværket (vedr. både trådet og trådløst netværk) Jammerbugt Kommunes it-netværk er segmenteret med henblik på at sikre de transmitterede data og den underliggende infrastruktur. Digitalisering og IT står for driften af netværket. Segmentering Kommunikationsadskillelsen mellem netværk sker med udgangspunkt i, at intet er tilladt, medmindre der specifikt foreligger en begrundet godkendelse af den specifikke kommunikationssammenkobling. Digitalisering og IT har det sikkerhedsmæssige ansvar herfor, og IT-lederen foretager godkendelse heraf. It-sikkerhedspolitik, Jammerbugt Kommune Side 18 af 22

11. Support Alle henvendelser vedrørende it-support skal ske via HelpDesk. Det kan ske på tre måder: Send en e-mail til 7913@jammerbugt.dk Ring 7913 i åbningstiden (se TRYK for aktuelle åbningstider) Opret selv en sag på helpdesk.jammerbugt.dk HelpDesk vurderer sagerne, og prioriterer og løser dem ud fra det, der er aftalt i serviceaftalen med forretningen. Standardændringer Standardændringer er bl.a. tilføjelse af allerede godkendte pc er på it-netværket, automatisk opdatering af antivirus på pc-arbejdspladserne og brugeradministration. Alle konfigurationsændringer planlægges, kvalitetssikres og godkendes af Digitalisering og IT inden implementering. Derved sikres det, at ændringer i konfigurationen af hardware og software skaber færrest mulige negative konsekvenser for sikkerheden på it-netværket. Implementeringer på netværk Digitalisering og IT vurderer risici i forbindelse med implementering af servere, pc er, netværkskomponenter, printere eller andet it-udstyr på netværket. Ansvaret for ændringer i konfigurationen af netværk, servere, platforme, operativsystemer, database-systemer mv. påhviler Digitalisering og IT. Dette gælder alt fra centrale servere og netværks-udstyr til medarbejdernes pc er, telefoner og hjemme-pc er konfigureret med Jammerbugt Kommunes standard-image. Varsling Digitalisering og IT skal sørge for, at alle berørte brugere varsles i god tid inden implementering af større eller væsentlige konfigurationsændringer, som kan påvirke brugernes anvendelse af it. Samtidig informeres afdelingslederne om eventuelle konsekvenser ved ændringen. 12. Beskyttelse mod ondsindet programmel Ondsindet programmel udgør en stor trussel mod tilgængelighed af systemer samt fortrolighed og integritet af data. Digitalisering og IT har derfor etableret en veldefineret og effektiv beskyttelse mod ondsindede programmer. Antivirus og antispam Samtlige servere i Jammerbugt Kommune og pc-arbejdspladser med adgang til Jammerbugt Kommunes administrative netværk er beskyttet mod ondsindet programmel, som eksempelvis It-sikkerhedspolitik, Jammerbugt Kommune Side 19 af 22

virus, orme, phishing mv. Herudover bliver al ind- og udgående e-mails skannet for ondsindet software før videresendelse til den interne eller den eksterne modtager. På pc-arbejdspladserne er beskyttelsen etableret, således at potentielt kritiske filer scannes i forbindelse med åbningen på pc en. Denne beskyttelse kan ikke deaktiveres eller afinstalleres af medarbejderne. Opdateringen af beskyttelsesværktøjet i relation til virusmønstre mv. sker via central server. Servere og pc-arbejdspladser opdateres automatisk af den eksterne leverandør/outsourcingpartner, når det er påkrævet. Beskyttelsesværktøjet er konfigureret således, at Digitalisering og IT informeres i tilfælde af, at der er identificeret en virus eller lignende på en af Jammerbugt Kommunes servere eller pcarbejdspladser. Potentielt usikre filer og e-mails, der identificeres som indeholdende vira mv., isoleres med henblik på en manuel verifikation, der kun må foretages af medarbejdere fra Digitalisering og IT. Alle medarbejdere opfordres til at kontakte HelpDesk ved enhver mistanke om e-mails, der kunne indeholde virus eller forsøg på phishing. 13. Anskaffelse og vedligeholdelse af fagsystemer Jammerbugt Kommune har valgt ikke at påtage sig udvikling af eget programmel i nævneværdigt omfang og anvender primært standardprogrammel. Fagsystemer indgår som et væsentligt element i det daglige arbejde. Det er derfor vigtigt, at nyanskaffelser og opdateringer af fagsystemer lever op til kommunens kvalitets- og sikkerhedsstandarder, herunder krav til systemdokumentation. Fagsystemer Anskaffelse af fagsystem Fagchefen har ansvar og initiativret til anskaffelser af nye fagsystemer. Digitalisering og IT bør involveres i enhver anskaffelse af nye fagsystemer, således at tekniske krav og forudsætninger indgår i dialogen med leverandøren, og med hensyn til sparring på, hvilken forretningsmæssig værdi, systemet forventes at give. Digitalisering og IT skal ved indkøb af et nyt fagsystem foretage en teknisk gennemgang af installationen for at sikre, at denne lever op til det ønskede sikkerhedsniveau i kommunen, og at det ikke kompromitterer andre systemers sikkerhed. Dette omfatter en gennemgang af den tekniske platform og integration med øvrige systemer. It-sikkerhedspolitik, Jammerbugt Kommune Side 20 af 22

Chefen for det fagområde, som har flest brugere på fagsystemet, skal sørge for, at der udpeges en systemansvarlig leder eller chef. Den systemansvarlige kan uddelegere de konkrete systemforvaltningsopgaver til en medarbejder, der bliver systemforvalter for systemet (se dokumentet Systemorganisering i Jammerbugt Kommune for nærmere specifikation af roller og ansvar i forbindelse med systemforvaltning). Vedligeholdelse af kritiske fagsystemer Systemejer har ansvaret for opgraderinger af fagsystemerne (se afsnit 2 Organisation og ansvar ). Opgaven kan naturligvis uddelegeres til systemforvalter. Alle ændringer til fagsystemerne foretages så vidt muligt af leverandøren. Systemejer eller systemforvalter varsler ændringer til Digitalisering og IT i god tid, og Digitalisering og IT vil bistå og overvåge implementeringen af ændringerne. Systemforvaltere eller superbrugere tester opdateringer, inden de rulles ud. Hvis der er tale om væsentlige ændringer, som medfører ændringer i det eksisterende sikkerhedsniveau eller krav til dette, eller som påkræver ændringer i operativsystem, databasesystem mv., skal dette godkendes af Digitalisering og IT, som hvis der var tale om et nyt system. Alle ændringer skal foregå i de planlagte servicevinduer, med mindre der er akut brug for ændringer. Inden der gives logisk adgang til servere og systemer, skal Digitalisering og IT have godkendt den pågældende leverandør og sørget for, at der foreligger en underskrevet tro og love-erklæring fra leverandøren. Derudover skal konsulenternes brugerprofiler disables, når de ikke bruges. 14. Nødprocedurer Digitalisering og IT har udarbejdet nødprocedurer, som sikrer, at Jammerbugt Kommune i tilfælde af større driftsnedbrud eller egentlige katastrofer er i stand til at genoptage kritiske aktiviteter i de enkelte afdelinger og institutioner inden for en acceptabel tidshorisont. De større driftsnedbrud eller katastrofer betyder tab af tilgængelighed til kritiske systemer, udstyr og/eller faciliteter, hvorfor reetablering af tilgængeligheden af disse er et centralt område i nødprocedurerne. Yderlige informationer såsom test, vedligeholdelse og organisering er beskrevet i itberedskabsplanen. 15. Brug af videoovervågning og brug af digitale billeder Videoovervågning i Jammerbugt Kommune sker efter reglerne i Bekendtgørelse af lov om tvovervågning. It-sikkerhedspolitik, Jammerbugt Kommune Side 21 af 22

Brug af digitale billeder i Jammerbugt Kommune er omfattet af Persondatalovens 5 om god databehandlingsskik og 6 om offentliggørelse ud fra interesseafvejning. It-sikkerhedspolitik, Jammerbugt Kommune Side 22 af 22

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback