12. Godkendelse af it sikkerhedspolitik og itsikkerhedsregulativ

Relaterede dokumenter
REGULATIV FOR IT-SIKKERHED

Koncessionskontrakt vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Kultur- og Fritidsforvaltningen.

Regulativ for it-sikkerhed i Københavns Kommune

It-sikkerhedspolitik for Københavns Kommune

Regulativ for it-sikkerhed i Københavns Kommune

EU-udbud af Beskæftigelsessystem og ESDHsystem

EU-udbud af Beskæftigelsessystem og ESDHsystem

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner.

Faxe Kommune. informationssikkerhedspolitik

Informationssikkerhedspolitik For Aalborg Kommune

Informationssikkerhedspolitik. for Aalborg Kommune

IT-sikkerhedspolitik for

Informationssikkerhedspolitik

Databehandleraftale Leverandør

Assens Kommune Sikkerhedspolitik for it, data og information

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Databehandleraftale Underleverandør

Informationssikkerhedspolitik Frederiksberg Kommune

Overordnet Informationssikkerhedspolitik

IT-SIKKERHEDSPOLITIK UDKAST

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

Region Hovedstadens Ramme for Informationssikkerhed

SIKRING AF BORGERNES PERSONOPLYSNINGER BILAG

IT-sikkerhedspolitik S i d e 1 9

Informationssikkerhedspolitik for Horsens Kommune

Hjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune

Overordnet it-sikkerhedspolitik for Rødovre Kommune

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484

INFORMATIONS- SIKKERHEDSPOLITIK

Informationssikkerhedspolitik. Frederiksberg Kommune

MedComs informationssikkerhedspolitik. Version 2.2

Bilag 1 Databehandlerinstruks

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Indholdsfortegnelse. Generelt 3. Formål 3. Omfang 4. Sammenhæng med IT- og forretningsstrategier 4

Forfatter: Carsten Stenstrøm Mail: Telefon: IT Amerika Plads København Ø

Indholdsfortegnelse Indledning Formål Omfang Holdninger og principper... 4

Politik for informationssikkerheddatabeskyttelse

Fredericia Kommunes Informationssikkerhedspolitik 1 FREDERICIA KOMMUNE AFDELING TITEL PÅ POWERPOINT

Overordnet It-sikkerhedspolitik

IT- og informationssikkerheds- politik (GDPR) For. Kontrapunkt Group

Til Økonomiudvalget 25. februar Sagsnr Bilag 5: Uddybende konklusioner på tilsyn med informationssikkerheden 2018

Politik for Datasikkerhed

Informationssikkerhedspolitik for Vejen Kommune

Aarhus Kommune. IT-sikkerhedspolitik. Politik

Overordnet Informationssikkerhedsstrategi. for Odder Kommune

Ballerup Kommune Politik for databeskyttelse

Halsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune.

IT-sikkerhedspolitik. for Social- og Sundhedsskolen Esbjerg

BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen

SIKRING AF BORGERNES PERSONOPLYSNINGER ENDELIG RAPPORT

Databehandlerinstruks

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Politik <dato> <J.nr.>

Overordnet informationssikkerhedsstrategi

Bekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.

Version: 1.0 Maj Informationssikkerhedspolitik for Struer Statsgymnasium

Fællesregional Informationssikkerhedspolitik

Ledelsen har sikret, at der er etableret en hensigtsmæssig itsikkerhedsorganisation

SOPHIAGÅRD ELMEHØJEN

Vejledning i informationssikkerhedspolitik. Februar 2015

Databeskyttelsespolitik for DSI Midgård

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

Staben IT-afdelingen Dato: Sagsnr: 12/24869 Dokumentnr: 3 Sagsbehandler: Steen Meyer Larsen. Organisering af informationssikkerhed

Bekendtgørelse om opgaver og ansvar for behandlingen af personoplysninger i det fælles datagrundlag for unges uddannelse og beskæftigelse

Hillerød Kommune. IT-sikkerhedspolitik Bilag 2. Opfølgning på lovbestemte krav

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

DATABEHANDLERAFTALE MELLEM ODENSE KOMMUNE. Flakhaven 2, 5000 Odense C [INDSÆT NAVN. CVR xxxxxxxx. Adresse ]

Ver. 1.0 GENTOFTE KOMMUNES INFORMATIONSSIKKERHEDSPOLITIK

Driftskontrakt. Databehandleraftale. Bilag 14

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Overordnet organisering af personoplysninger

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED

NOTAT. Køge Kommune It-sikkerhed Overordnede retningslinjer ITafdelingen. Fællesforvaltningen. Dato Sagsnummer Dokumentnummer

PSYKIATRIFONDENS Informationssikkerhedspolitik

It-sikkerhedspolitik for Farsø Varmeværk

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

Informationssikkerhedspolitik for <organisation>

Politik for informationssikkerhed 1.2

Procedure for tilsyn af databehandleraftale

Informationssikkerhed

DATABEHANDLERAFTALE. Mellem. Svendborg Kommune Ramsherred Svendborg CVR. nr.: (herefter Kommunen ) XXXXXX xxxxxx xxxx

It-beredskabsstrategi for Horsens Kommune

Databeskyttelsespolitik for Netværket Smedegade, en social institution, der primært hoster data og programmer hos databehandlere

Sikkerhedsregler for Kalundborg Kommune

Assens Kommune Politik for databeskyttelse og informationssikkerhed

It-revision af Sundhedsdatanettet januar 2016

Hovmosegaard - Skovmosen

Overordnet organisering af personoplysninger

Informationssikkerhedspolitik for Sønderborg Kommune

Skanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017

Aabenraa Kommune. Informationspolitik. Udkast. Udkast:

Organisering og styring af informationssikkerhed. I Odder Kommune

Retningsgivende databehandlervejledning:

Tønder Kommune BILAG 10

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )

Databeskyttelsespolitik

Bilag 7. Retningslinje om behandlingssikkerhed. Anvendelsesområde. Formål. Definitioner

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser

Transkript:

12. Godkendelse af it sikkerhedspolitik og itsikkerhedsregulativ 09 05 2016 Bestyrelsen skal godkende en it sikkerhedspolitik og et itsikkerhedsregulativ for Hovedstadens Beredskab, der beskriver det overordnede it sikkerhedsniveau og styringsgrundlag for informationssikkerhedsarbejdet. Indstilling Det indstilles: at bestyrelsen godkender vedlagte it sikkerhedspolitik og itsikkerhedsregulativ Sagsfremstilling Hovedstadens Beredskab behandler mange typer af data, der fordrer et højt informationssikkerhedsniveau. Typisk fordi der er krav om dette i lovgivningen (fx sikkerhedsbekendtgørelsen og persondataloven) eller fordi de er kritiske for opgaveløsningen. Der er derfor behov for nogle styringsredskaber, der kan sikre, at grundlæggende love og regler overholdes, og at sikkerhedsniveauet i øvrigt modsvarer ledelsens risikovillighed. Sagsnr. 2016 0222271 Dokumentnr. 2016 0222271 2 Strategi, Udvikling og Styring Bag Rådhuset 3 DK 1550 København V B76G@okf.kk.dk www.hbr.dk Den elektroniske og manuelle databehandling i Hovedstadens Beredskab foregår i vid udstrækning, som den gjorde i Københavns Brandvæsen (samme processer, it systemer m.v.), der indtil fusionen har været omfattet af Københavns Kommunes regler om it sikkerhed. Det er derfor oplagt på den korte bane at videreføre Københavns Kommunes styringsgrundlag med nogle mindre tilpasninger til Hovedstadens Beredskab. Der fremlægges derfor her en tilpasset version af Københavns Kommunes it sikkerhedspolitik og it sikkerhedsregulativ. De tilknyttede uddybende it sikkerhedsregler vil efterfølgende ligeledes blive revideret. Der lægges op til i regulativet, at de uddybende regler kan godkendes af

enten direktionen eller it sikkerhedsfunktionen afhængigt af reglernes karakter. Politik, regulativ og uddybende regelsæt tager afsæt i den internationale standard for informationssikkerhed, ISO 27001. Standarden er obligatorisk for statslige institutioner og anbefales af KL som styringsredskab i kommunerne. Bilag: BM02 pkt. 12 bilag 1 It sikkerhedspolitik BM02 pkt. 12 bilag 2 It sikkerhedsregulativ

BM02 bilag 1 pkt. 12 It-sikkerhedspolitik IT-SIKKERHEDSPOLITIK Anvendelsesområde It-sikkerhedspolitikken gælder for elektronisk databehandling af personoplysninger og værdioplysninger i beredskabet; det vil sige oplysninger, der har en væsentlig økonomisk eller forvaltningsmæssig betydning for beredskabet. Herudover gælder it-sikkerhedspolitikken for beredskabets manuelle behandlinger af personoplysninger i beredskabet, når oplysningerne indgår i eller senere skal indgå i et register. Minimumskrav It-sikkerhedsniveauet skal som minimum leve op til gældende lovgivning og andre relevante krav og være i overensstemmelse med den aktuelle praksis i Danmark for offentlige myndigheder inden for dette område. It-sikkerhedsarbejdet skal derfor baseres på ISO 27001-standarden eller tilsvarende. Mål for it-sikkerhedsniveauet Hovedstadens Beredskab har som mål at sikre: A. Fortrolighed Målet er at etablere en fortrolig databehandling, herunder transmission og opbevaring af person- og værdioplysninger, hvor kun autoriserede og autentificerede brugere har adgang, og hvor brugernes adgang er begrænset til det nødvendige. Hensyn til effektivitet og fleksibilitet i opgaveløsningen skal altid afvejes mod hensynet til borgernes personlige integritet og risici i øvrigt. B. Integritet Målet er at opnå en pålidelig og korrekt funktion i beredskabets it-systemer med minimeret risiko for ukorrekt datagrundlag og datatab, for eksempel som følge af menneskelige eller systemmæssige fejl, forsøg på svindel eller bedrageri samt udefrakommende hændelser. C. Tilgængelighed Målet er en høj tilgængelighed, således at beredskabets it-systemer er tilgængelige for brugerne, når de har behov for det. Det er endvidere målet at minimere risikoen for systemnedbrud. It-systemernes tilgængelighed og kapacitet skal afspejle beredskabets behov for adgang til de oplysninger, der er nødvendige for en effektiv opgaveløsning, som udføres til tiden. Risikovurderinger It-sikkerhedsarbejdet baseres på periodiske risikovurderinger samt risikovurderinger ved anskaffelser og ændringer af it-systemer eller ændringer i det it-miljø, systemerne opererer i. Det er beredskabets mål, at de periodiske risikovurderinger viser en stadig faldende tendens for så vidt angår områder med en tidligere påvist uacceptabel høj risiko.

BM02 bilag 1 pkt. 12 It-sikkerhedspolitik Dette skal bl.a. opnås gennem en løbende styrkelse af it-sikkerhedsledelsessystemet. Bevidsthed om it-sikkerhed En høj it-sikkerhedsbevidsthed og hensigtsmæssig adfærd hos medarbejderne er blandt de vigtigste sikkerhedsforanstaltninger. Det er således beredskabets mål, at der overalt er en høj bevidsthed om it- sikkerhed. Derfor skal it-sikkerhedspolitikken kommunikeres til alle relevante interessenter, herunder samtlige medarbejdere, der har adgang til beredskabets it-systemer. Medarbejderne skal endvidere ved ansættelse og i løbet af ansættelsesforholdet uddannes og bevidstgøres om forhold, der relaterer sig til fastholdelse af et passende og tilstrækkelig højt it-sikkerhedsniveau for beredskabet. It-beredskab Som understøttelse for målopfyldelsen skal it-systemer, der er vitale for beredskabets betjening af borgerne og virksomhederne, og som således er kritiske for beredskabets drift, identificeres, og der skal fastsættes maksimalt acceptable tider for utilgængelighed for så vidt angår disse it-systemer. Der skal endvidere udarbejdes, vedligeholdes og afprøves beredskabsplaner, der sikrer nøddrift, eskalering, retablering og genoptagelse af normal drift i tilfælde af større nedbrud, ulykker eller katastrofer i forhold til kritiske it-systemer. Ansvar og organisering It-sikkerhedspolitikken er forankret i it-sikkerhedsfunktionen, som er ansvarlig for vedligeholdelse af politikken. It-sikkerhedspolitikken godkendes af Bestyrelsen for Hovedstadens Beredskab. Vedligeholdelsen omfatter en vurdering af mulighederne for at tilpasse itsikkerheden og sikkerhedsstyringen ved ændringer af organisatorisk, lovgivningsmæssig, teknisk eller anden karakter. Ansvar og organisering i øvrigt er beskrevet i it-sikkerhedsregulativet med tilhørende uddybende regelsæt. Godkendt af Bestyrelsen for Hovedstadens Beredskab den XX 2016.

REGULATIV FOR IT-SIKKERHED Kapitel 1 - Anvendelsesområde og formål 1. Styringen af informationssikkerheden i Hovedstadens Beredskab er beskrevet i en it-sikkerhedshåndbog, som indeholder: It-sikkerhedspolitikken: It-sikkerhedspolitikken fastlægger det overordnede niveau for it-sikkerheden i Hovedstadens Beredskab. : et beskriver de organisatoriske rammer for Hovedstadens Beredskabs håndtering af it-sikkerhedsrisici. En række uddybende it-sikkerhedsregler: De uddybende it-sikkerhedsregler for Hovedstadens Beredskab er procedurer, instrukser og retningslinjer, der detailregulerer it-sikkerhedsforholdene. Indtil andet foreligger, er Københavns Kommunes uddybende it-sikkerhedsregler gældende i Hovedstadens Beredskab. Stk. 2. It-sikkerhedshåndbogen baseres på ISO-standarden for ledelsessystemer for informationssikkerhed (ISO 27001) og den best practice for ledelsessystemer, der er beskrevet i ISO 27002. Stk. 3. It-sikkerhedshåndbogen skal løbende tilpasses lovgivningen, den teknologiske udvikling samt internationale, statslige, fælleskommunale og regionale standarder. Stk. 4. It-sikkerhedshåndbogen gælder for alle relevante interessenter - herunder samtlige af beredskabets medarbejdere. Stk. 5. It-sikkerhedshåndbogen gælder for behandling af personoplysninger og værdioplysninger i Hovedstadens Beredskab, som helt eller delvis foretages ved hjælp af elektronisk databehandling, og for ikke-elektronisk databehandling af personoplysninger, der er eller vil blive indeholdt i et manuelt register. 2. et har til formål at beskrive den organisatoriske ramme for it-sikkerhedsarbejdet, så ansvaret for ledelsessystemets forskellige elementer er entydigt placeret. 3. De begreber, der er anvendt i Regulativ for it-sikkerhed, er defineret i Bilag 1 bagest i dette regulativ. Kapitel 2 Ansvar og organisation Bestyrelsen 4. Bestyrelsen vedtager Hovedstadens Beredskabs it-sikkerhedspolitik og itsikkerhedsregulativ efter indstilling fra direktionen. Stk. 2. It-sikkerhedspolitikken fastlægger det overordnede niveau og mål for itsikkerheden i Hovedstadens Beredskab. Stk. 3. et beskriver de organisatoriske rammer for

Hovedstadens Beredskabs håndtering af it-sikkerhedsrisici. Beredskabsdirektøren og direktionen 5. Beredskabsdirektøren skal sikre, at specifik lovgivning af betydning for itsikkerheden og eksterne It-sikkerhedskrav bliver identificeret, dokumenteret og overholdt. 6. Det daglige ansvar for overholdelsen af reglerne i persondataloven i forbindelse med behandling af personoplysninger påhviler beredskabsdirektøren. 7. Direktionen varetager den umiddelbare forvaltning af Hovedstadens Beredskabs overordnede og tværgående it-sikkerhedsforhold. Stk. 2. Direktionen er ansvarlig for at fastsætte de uddybende it-sikkerhedsregler for Hovedstadens Beredskab. Stk. 3. Ændringer i de uddybende it-sikkerhedsregler, der ikke har væsentlig indflydelse på It- sikkerhedsniveauet eller ikke har økonomiske konsekvenser, delegeres til it-sikkerhedsfunktionen. Stk. 4. It-sikkerhedsfunktionen orienterer mindst en gang i kvartalet direktionen om it-sikkerhedsbrud og status på it-sikkerhedsarbejdet i Hovedstadens Beredskab, samt afgivne dispensationer for og ændringer af de uddybende it- sikkerhedsregler. Stk. 5. Hovedstadens Beredskabs it-sikkerhedsfunktion og den driftsansvarlige skal sikre, at der fastsættes uddybende it-sikkerhedsregler for Hovedstadens Beredskab. Ændringer i de uddybende it-sikkerhedsregler for Hovedstadens Beredskab skal godkendes af direktionen. Dispensation fra de uddybende it- sikkerhedsregler kan kun ske på baggrund af en godkendelse fra direktionen. Direktionen har ansvar for fastlæggelse af it-sikkerhedsniveauet. Endvidere skal itsikkerhedsfunktionen og den driftsansvarlige fastsætte retningslinjer for integration og netværkskommunikation til eksternt driftede løsninger. It-sikkerhedsfunktionen 8. It-sikkerhedsfunktionen udpeges af direktionen, som ligeledes godkender ændringer/tilpasninger i organisationen. Stk. 2 It-sikkerhedsfunktionen fører det daglige tilsyn med overholdelsen af Hovedstadens Beredskabs It-sikkerhedsbestemmelser. Stk. 3. It-sikkerhedsfunktionen tilrettelægger information, uddannelsesaktiviteter og materiale for medarbejdere i Hovedstadens Beredskab. Stk. 4. It-sikkerhedsfunktionen rådgiver Hovedstadens Beredskab om itsikkerhedsmæssige forhold. Stk. 5. It-sikkerhedsfunktionen kan afkræve enhver medarbejder i Hovedstadens Beredskab oplysninger, som har betydning for varetagelsen af tilsynsfunktionen.

Stk. 6. It-sikkerhedsfunktionen skal sikre, at der sker kontrol af adgangsrettigheder og autorisationer, der er givet til medarbejderne. Stk. 7. It-sikkerhedsfunktionen kan komme med påbud til alle ansatte og enheder i Hovedstadens Beredskab, om hvorledes man skal forholde sig i relation til Itsikkerhed. Stk. 8. Som led i den almindelige revision af Hovedstadens Beredskab, skal der også foretages revision af It-sikkerheden. It-sikkerhedsfunktionen aftaler med revisor hvorledes It-sikkerhedsrevisionen skal udføres. Den driftsansvarlige 9. Den driftsansvarlige har ansvaret for, at de teknikunderstøttende applikationer som anvendes af eller driftes af Hovedstadens Beredskab, fx netværk og kommunikation, serverdrift, print, infrastruktur, pc-support, service- management m.m., er i overensstemmelse med de it-sikkerhedsmæssige krav og den til enhver tid gældende it-strategi. Stk. 2. Den driftsansvarlige skal i samarbejde med it-sikkerhedsfunktionen, udarbejde it-sikkerhedsforskrifter eller retningslinjer for it-installationer/driftsmiljø og de benyttede netværk. Stk. 3. Den driftsansvarlige har ansvaret for sikkerheden på it-platforme. Stk. 4. Den driftsansvarlige skal sikre, at der bliver taget backup af oplysninger på serverudstyr som driftes af Hovedstadens Beredskab - efter behov på en ekstern lokation. Stk. 5. Den driftsansvarlige kan dispensere, hvis ikke udviklings-, test- og uddannelsesmiljøer med person- eller værdidata, som driftes af Hovedstadens Beredskab, holdes adskilt fra produktionsmiljøet. Direktionsområderne 10. Vicedirektørerne skal inden for eget område iværksætte de foranstaltninger, der er nødvendige for at opnå en tilstrækkelig it-sikkerhed, indenfor de rammer, som er opstillet i it-sikkerhedshåndbogen. Stk. 2. Vicedirektørerne er inden for eget område ansvarlig for, at de medarbejdere, som arbejder med it-sikkerhedsopgaver, er i besiddelse af de nødvendige kompetencer. Stk. 3. Vicedirektørerne skal inden for eget område udpege systemejere for områdets it-systemer samt mindst én stedfortræder for hver systemejer. Hvor intet andet er besluttet, er det vicedirektøren der er stedfortræder. Systemejer 11. Systemejeren skal sikre, at systemets funktionalitet og anvendelse løbende

tilpasses, og bedst muligt understøtter it-sikkerhedskravene samt forretningens og brugernes behov. Generelt skal der gøres opmærksom på, at der er tale om en entydig ansvarsplacering. Udmøntningen af ansvar herunder udførelsen af opgaverne vil ske i tæt samarbejde med øvrige relevante parter. Der udarbejdes en tjekliste for systemejer, hvor de enkelte opgaver er nærmere beskrevet. Stk. 2. Før anskaffelse af nye systemer skal systemejeren have godkendt anskaffelsen af systemet. Dette sker i forbindelse med registreringen i Hovedstadens Beredskabs fortegnelse over it-systemer. I forbindelse med anskaffelsen af systemet skal der foreligge en kortfattet risikoanalyse. Systemejeren har mulighed for at få separat Itsikkerhedsgodkendelse af andet end nye systemer. Det kan eksempelvis være tillægsmoduler til eksisterende It-systemer. Stk. 3. Systemejerskabet skal varetages ud fra Hovedstadens Beredskabs forretningsmæssige behov. Systemejeren er ansvarlig for it-systemets funktionalitet, opbygning, anvendelse og sikkerhedsløsning. Det betyder, at systemejeren skal tilsikre disse elementer, og ikke nødvendigvis selv udføre dem. I praksis vil løsningen af denne opgave foregå i tæt samarbejde med den driftsansvarlige, itsikkerhedsfunktionen og eksterne leverandører. Der kan indgås aftale med leverandøren som beskriver niveauet for service. Stk. 4. Systemejer er ansvarlig for, at it-systemet kan anvendes mest muligt effektivt og at systemet løbende forbedres, så det bedst muligt understøtter arbejdsopgaverne og Hovedstadens Beredskabs forretningsmæssige behov, og lever op til kravene i It-sikkerhedshåndbogen. Der skal etableres processer, der sikre en stabil, effektiv og sikker drift af systemet. Stk. 5. Systemejer er ansvarlig for, at dokumentationen af systemer og processer er ajourført og tilgængelig for relevante medarbejdere. Endvidere har systemejer ansvar for, at der indgås aftale om it-beredskab efter kriterier og retningslinjer fastlagt i itsikkerhedshåndbogen, og systemejeren skal endvidere bidrage til Hovedstadens Beredskabs it-beredskabsplan. Stk. 6. Ved brug af eksterne samarbejdspartnere/leverandører er systemejer ansvarlig for, at der indgås en databehandler-/it-sikkerhedsaftale, hvor sikkerhedsforanstaltninger i forbindelse med samarbejdet/leverancerne er beskrevet. Nye aftaler baseres på den standard, der er fastlagt i itsikkerhedshåndbogen. Stk. 7. Systemejeren skal sikre, at it-systemet kan logge behandling af data, når det er krævet i de uddybende it-sikkerhedsregler og som følge af gældende lovgivning. Stk. 8. Hvis integration af it-systemer indebærer en øget it-sikkerhedsrisiko, skal denne risiko vurderes nærmere af systemejeren med inddragelse af den driftsansvarlige og it-sikkerhedsfunktionen Stk. 9. Hvis vicedirektøren endnu ikke har udpeget en systemejer, varetages systemejerskabet af lederen af det område, som anskaffer systemet eller af en af denne udpeget projektejer. For mindre vigtige systemer, som ikke indeholder

væsentlige økonomioplysninger eller følsomme personoplysninger, består systemejers rolle i at være systemkontaktperson. Systemkontaktpersonens rolle, og om der skal udpeges en systemejer for fælles-offentlige systemer, som anvendes af Hovedstadens Beredskab, er beskrevet i en vejledning til de uddybende itsikkerhedsregler for Hovedstadens Beredskab. Funktionsadskillelse 12. En medarbejder kan ikke samtidig varetage funktionen som it-sikkerhedsleder, systemejer eller driftsansvarlig. Autorisationsansvarlige 13. Den autorisationsansvarlige varetager de opgaver der er i forbindelse med bestilling af autorisationer og rettigheder til medarbejderne. Dvs. bestilling af oprettelser, flytning, ændringer og sletninger af medarbejdere; normalt hos brugeradministration. Den autorisationsansvarlige har ansvaret for, at der bestilles de rettigheder, som medarbejderne har behov for arbejdsmæssigt. Stk. 2 It-sikkerhedsfunktionen fører en liste over hvem, der er godkendt som autorisationsansvarlige. Den lokale leder er ofte den autorisationsansvarlige. Lederen har mulighed for at uddelegere bestillingsopgaven til en bemyndiget medarbejder, som herved bliver autorisationsansvarlig. Brugeradministration 14. Brugeradministrationen modtager bestillingen fra den autorisationsvarlige og udfører selve oprettelsen på baggrund af det bestilte. Når bestillingen er udført, gives en melding til den autorisationsansvarlige samt systemejeren(e). Ledere 15. Ledere på alle niveauer skal sikre, at det er muligt for medarbejderne at efterleve deres ansvar for at beskytte Hovedstadens Beredskabs person- og værdioplysninger. Den personaleansvarlige er ansvarlig for, at medarbejderen er informeret om sine opgaver og ansvar i forhold til it-sikkerheden, inden medarbejderen får adgang til Hovedstadens Beredskabs it-systemer og oplysninger. Stk.2. Medarbejderens personaleansvarlige sikrer, at medarbejderen senest ved ansættelsesforholdets ophør afleverer it-udstyr og lignende, som tilhører Hovedstadens Beredskab, og at der sker inddragelse af medarbejderes adgangsrettigheder i henhold til en procedure, der er fastlagt af itsikkerhedsfunktionen. Stk. 3. Medarbejderens personaleansvarlige skal orientere medarbejderen om tavshedspligtens indhold, og at tavshedspligten er gældende, også efter ansættelsesforholdets ophør.

Stk. 4. En leder, som er ansvarlig for en omstrukturering, skal - i god tid - sørge for at sikre, at der etableres de nødvendige elektroniske kommunikationstiltag. Eksempelvis skal kontorpostkasser, sikre postkasser m.m. nedlukkes, hvis en enhed lukkes. Stk.5. Den lokale ledelse har inden for eget område ansvaret for, at der etableres en tilstrækkelig fysisk sikring af lokaler m.v. Alle ansatte 16. Alle medarbejderne skal medvirke til at beskytte Hovedstadens Beredskabs person- og værdioplysninger og skal agere i henhold til dette it-sikkerhedsregulativ og de uddybende it-sikkerhedsregler som fastsættes af it- sikkerhedsfunktionen. Kapitel 3 Risikostyring 17. It-sikkerhed skal afvejes med hensynet til effektiviteten i opgaveløsningen i direktionsområderne. Stk.2. Risikovurderinger skal udarbejdes efter it-sikkerhedsfunktionen anvisninger. Itsikkerhedsfunktionen stiller it-værktøjer m.m. til rådighed for direktionsområderne, og rådgiver direktionsområderene om udarbejdelsen af risikovurderinger. Stk. 3. Risikovurderinger skal udarbejdes inden udgangen af hvert ulige år og ved væsentlige ændringer i risikobilledet. Stk. 4. It-sikkerhedsfunktionen udarbejder på baggrund af de respektive risikovurderinger en samlet risikovurdering for Hovedstadens Beredskab. Stk. 5. Den samlede risikovurdering skal udarbejdes inden udgangen af 1. kvartal i hvert ulige år. Stk. 6. På baggrund af den samlede risikovurdering træffer direktionen beslutning om fastlæggelse af Hovedstadens Beredskabs overordnede it-sikkerhedsniveau. Stk. 7. Som led i risikovurderingen skal It-sikkerhedsfunktionen sikre, at der til enhver tid findes en ajourført fortegnelse over alle væsentlige informationsaktiver. Stk. 8. Styring af it-sikkerhedshændelser: Ved konstatering af brud, eller formodning om brud på it- sikkerhedsbestemmelserne eller andre væsentlige itsikkerhedshændelser, skal den, der konstaterer disse sikre, at Itsikkerhedsfunktionen underrettes herom. Hvis it-sikkerhedshændelsen har relation til et bestemt system, skal systemejeren også underrettes. Stk. 9. It-beredskabsstyring: It-sikkerhedsfunktionen har ansvaret for, at der foreligger procedurer, som sikrer en tværorganisatorisk styring af It-beredskabet i tilfælde af større it-nedbrud mv. til uddybning af Hovedstadens Beredskabs beredskabsplan. Kapitel 4 - Ikrafttrædelse og ændringer

18. et træder i kraft ved godkendelsen i bestyrelsen for Hovedstadens Beredskab. Godkendt af bestyrelsen for Hovedstadens Beredskab den XX 2016

Bilag 1 - Definitioner I it-sikkerhedsregulativet anvendes definitionerne i persondatalovens 3. Herudover anvendes der følgende - primært organisatoriske - definitioner: Autorisationsansvarlig Leder eller bemyndiget medarbejder, som varetager opgaver i forbindelse med bestilling af autorisationer til medarbejderne. Beredskabet Hovedstadens Beredskab. Bestyrelsen Hovedstadens Beredskabs bestyrelse. Den driftsansvarlige Ledende medarbejder i, der har det It-sikkerhedsmæssige ansvar for opbygning og anvendelse af It-driftsmiljø og kommunikationsforbindelser samt for de fysiske sikringsforanstaltninger inden for eget område, og i forhold til Hovedstadens Beredskabs netværk, netværksudstyr og servere m.v., som ejes af Hovedstadens Beredskab. It-sikkerhedsfunktionen kan kontrollere dette samt fastsætte regler for dette. ISO 27001 og ISO 27002 Internationale standarder for It-sikkerhed. ISO 27001 beskriver kravene til ledelsessystemer for informationssikkerhed(isms), mens ISO 27002 handler om best practice inden for ledelsessystemer til informationssikkerhed. It-sikkerhedsfunktion Enhed som efter delegation fra Direktionen varetager Hovedstadens Beredskabs Itsikkerhedsopgaver. Uddybende It-sikkerhedsregler It-sikkerhedsregler fastsat af It-sikkerhedsfunktionen til supplering af Itsikkerhedsregulativet med samme gyldighed som et. It-sikkerhedsleder Medarbejder i It-sikkerhedsfunktionen, som udfører opgaver af It-sikkerhedsmæssig karakter samt fører tilsyn med, at i t-sikkerhedsarbejdet bliver udført i overensstemmelse med de til enhver tid gældende It-sikkerhedsbestemmelser. et

Regulativ for it-sikkerhed i Hovedstadens Beredskab. It-sikkerhedspolitik Bestyrelsens vedtagne politik for Hovedstadens Beredskabs It-sikkerhed. Medarbejdere Medarbejdere i Hovedstadens Beredskab og virksomheder, der er brugere af Hovedstadens Beredskabs It-systemer, medarbejdere i selvejende og private institutioner og virksomheder, hvor dette er aftalt. Medarbejdere i eksterne virksomheder, der er vikarer eller udfører It-opgaver for Hovedstadens Beredskab, og hvor adgangen til Hovedstadens Beredskabs It- systemer er aftalt. Persondataloven Lov nr. 429 af 31. maj 2000, med senere ændringer om behandling af personoplysninger. Projektejer En projektejer kan være udpeget til at varetage systemejerens funktion - så længe der ikke er udpeget en systemejer. Sikkerhedsbekendtgørelsen Bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning med senere ændringer. System Systemer som kræver, at direktionsområderne har udpeget en selvstændig systemejer: Administrative systemer er systemer, der understøtter administrative opgaver Operative systemer er systemer, der understøtter operative opgaver Fagsystemer er systemer, der understøtter direktionsoprådernes kerneopgaver Systemer hvor direktionsområderne - afhængig af systemets placering og vigtighed - kan vælge selv at udpege en systemejer: Desktop applikationer er lokal installeret software som understøtter forretningen, men ikke i sig selv indeholder data Infrastruktur elementsystemer er systemer, der understøtter kerne It-driften En systemplatform er en platform til at bygge andre løsninger på, men som i sig selv ikke har noget forretningsfunktionalitet Apps er små applikationer til mobile enheder som smartphones og tablets Job- eller batchkørsler er små systemer uden brugergrænseflade, der fx

trækker data ud om natten og laver beregninger og gemmer data igen En systemgrænseflade er et API som andre systemer kan kommunikere med via protokoller Et undermodul er en ekstra tilføjet komponent eller et delsystem af systemet En hjemmeside/website er en løsning der præsentere information via en browser Systemejer Medarbejder, der har ansvar for det pågældende It-systems sikkerhedsløsning, opbygning, anvendelse og for beskyttelse af de oplysninger, der indgår i systemet. System-kontaktperson Vidensperson der har en mindre systemejerrolle. Ansvar og opgaver er begrænset og afhænger af systemet. Værdioplysninger Oplysninger, der har en væsentlig økonomisk eller forvaltningsmæssig betydning for Hovedstadens Beredskab. Væsentlige informationsaktiver Aktiver, der indeholder fortrolige eller følsomme personoplysninger eller værdioplysninger.

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback