Informationssikkerhedspolitik for Horsens Kommune Senest opdateret januar 2016
Indholdsfortegnelse 1. FORMÅL... 3 2. OMFANG OG SIKKERHEDSNIVEAU... 3 3. HOVEDMÅLSÆTNINGER... 4 4. ORGANISERING OG ANSVAR... 4 4.1 INTERNE ORGANISATORISKE FORHOLD... 4 4.2 DIREKTIONEN... 5 4.3 INFORMATIONSSIKKERHEDSUDVALGET... 5 4.4 INFORMATIONSSIKKERHEDSKOORDINATOREN... 6 4.5 GRUPPEN AF INFORMATIONSSIKKERHEDS AKTØRER (GIA)... 6 4.6 EKSTERNE SAMARBEJDSPARTNERE... 7 5. OVERTRÆDELSE AF INFORMATIONSSIKKERHEDSPOLITIKKEN... 7 6. AFVIGELSER... 7 7. UDARBEJDELSE OG IKRAFTTRÆDELSE... 7 BILAG 1: ISMS OVERSIGT... 8 2
1. Formål Horsens Kommunes informationssikkerhedspolitik er udarbejdet for at imødegå de informationssikkerhedstrusler, som Horsens Kommune kan blive udsat for. Nedenfor er de potentielle trusler samt deres eventuelle konsekvenser illustreret. Informationssikkerhedspolitik fungerer herved som en rammebeskrivelse af, hvad kommunen gør for at imødegå truslerne ved henholdsvis forebyggelse og udbedring. Endvidere ser Horsens Kommune et højt sikkerhedsniveau som en nødvendighed for at kunne fastholde godt omdømme og fortsat tillid fra omverdenen. Derfor skal politikken være med til at sikre, at data og informationer behandles i overensstemmelse med de krav, der stilles til organisationer med stor samfundsmæssig betydning. 2. Omfang og sikkerhedsniveau Med informationssikkerhed forstår vi grundlæggende den nødvendige beskyttelse af samtlige ressourcer, der indgår i, eller bidrager til, Horsens Kommunes behandling og kommunikation af enhver form for data herunder også teknologi og organisatoriske processer. Informationssikkerheden i Horsens Kommune skal være på et niveau, der tilgodeser lov- og myndighedskrav, kontraktlige forpligtelser samt forpligtelser overfor de aktører der er forpligtet til at anvende Horsens Kommune. Det er samtidig ambitionen, at sikkerhedsniveauet har et afbalanceret omfang, således at der samtidig med høj sikkerhed også fastholdes en forretningsmæssig fleksibilitet og dynamik. Horsens Kommune ønsker dermed ikke at sikre sig for enhver pris, men ønsker at være bevidst om enhver risiko, og forholde sig tilfredsstillende til disse, hvormed et tilstrækkeligt sikkerhedsniveau etableres. 3
Informationssikkerhedspolitikken angiver de generelle beslutninger, som ledelsen i Horsens Kommune har truffet med henblik på nærmere at fastlægge det tilstrækkelige sikkerhedsniveau. Derfor fastlægges omfanget af informationssikkerhedspolitikken således: Informationssikkerhedspolitikken gælder for alle ansatte i Horsens Kommune uanset ansættelsesform, herunder også eksterne konsulenter og servicemedarbejdere. Det forventes, at informationssikkerhedspolitikken overholdes. Informationssikkerhedspolitikken gælder for alle systemer og alle data i Horsens Kommunes besiddelse samt systemer, der leveres af, og data der opbevares ved underleverandører. Leverandører og samarbejdspartnere som har adgang til organisationens systemer og data, skal ligeledes have kendskab til og følge informationssikkerhedspolitikken. Politikken dækker alle tekniske og administrative forhold, der har direkte eller indirekte indflydelse på drift og brug af Horsens Kommunes IT-systemer og papirarkiver. Politikken redegør for den overordnede ramme for håndtering af informationssikkerhed i Horsens Kommune, men er kun ét, blandt flere, delelement i ift. dette arbejde. Der er en række andre delelementer, der bl.a. omfatter konkrete retningslinjer, informationssikkerhedshåndbogen og beredskabsstrategien. Den samlede løsning benævnes Horsens Kommunes Information Security Management System (ISMS), og omfatter samlet de elementer, der er beskrevet i Bilag 1: ISMS oversigt. 3. Hovedmålsætninger Målsætningerne med Informationssikkerhedspolitikken er at sikre: En bevidsthed om informationssikkerhed i organisationen. Høj driftssikkerhed og minimeret risiko for store nedbrud og tab af data. Korrekt funktion af IT-systemerne med minimeret risiko for manipulation af data og systemer samt fejl i disse. Mulighed for fortrolig behandling, transmission og opbevaring af data. Dvs. at faciliteter hertil skal være til stede og benyttes efter konkret behov. En imødegåelse af forsøg på tilsidesættelse af sikkerhedsforanstaltninger. En prioritet ledelsesforankret styring af informationssikkerhedsrelaterede risici. 4. Organisering og ansvar Der er etableret en organisering af informationssikkerhedsarbejdet, der skal sikre at arbejdet operationaliseres via dedikerede processer, procedurer og ansvarsallokeringer. 4.1 Interne organisatoriske forhold Nedenstående fremgår kommunens samlede Informations Sikkerheds Organisation (ISO). 4
1 4.2 Direktionen Det strategiske niveau udgøres af Horsens Kommunes direktion, der er den overordnede ansvarlig og besluttende myndighed vedrørende sikkerheden for informationsaktiver ved Horsens Kommune. Direktionen evaluerer og godkender årligt informationssikkerhedspolitikken med udgangspunkt i oplæg fra Informationssikkerhedsudvalget. Direktionen skal endvidere sikre, at det besluttede sikkerhedsniveau udmøntes i budgetter, og indgår i relevante handlingsplaner. Direktionen skal årlig modtage og evaluere en rapport fra Informationssikkerhedsudvalget om status for kommunes informationssikkerhed. Direktionen tager herudover ad hoc stilling til spørgsmål angående informationssikkerheden, når disse bringes til deres opmærksomhed via Informationssikkerhedsudvalget. 4.3 InformationsSikkerhedsUdvalget Informationssikkerhedsudvalget udgør det taktiske niveau for arbejdet med informationssikkerheden i kommunen, og refererer til direktionen via udvalgets formand. Informationssikkerhedsudvalget varetager den overordnede koordinering og kontrol af Horsens Kommunes informationssikkerhed. Det sker ved: * Rollen som Data Protection Officer (DPO) forventes at blive et krav i forbindelse med den kommende EU persondataforordning. Rollens ansvar og opgaver afventer vedtagelse af forordningen. 5
at bidrage med input til direktionen ved nødvendige justeringer af informationssikkerhedspolitikken. at vedligeholde, realisere og sikre efterlevelse af: o Retningslinjerne for informationssikkerhed o Informationssikkerhedshåndbogen (retningslinjer for medarbejderne) en løbende vurdering og prioritering af kommunens informationssikkerhedsrelaterede risici samt en planlægning af det fremadrettede informationssikkerhedsarbejde en årlig afrapportering til direktionen med af status for informationssikkerhed samt ved alvorlige ad hoc sikkerhedshændelser. Informationssikkerhedsudvalget udgøres i praksis af udvalgte ledere, der samlet repræsenterer alle kommunens direktørområder. Deltagerne skal hermed varetage Horsens Kommunes sikkerhed med udgangspunkt i den overordnede sikkerhedspolitik, og arbejdet kræver, at den enkelte deltager er i stand til at sætte sig ud over lokale interesser og sætte opgaver i et overordnet sikkerhedsmæssigt perspektiv. Informationssikkerhedsudvalget har møder en gang per kvartal samt ved ad hoc behov. 4.4 Informationssikkerhedskoordinatoren Informationssikkerhedskoordinatoren, der er under ledelse af IT- og digitaliseringschefen, udgør sammen med de resterende dele af ISO, den operationelle del af arbejdet med informationssikkerheden i Horsens Kommune. Koordinatoren er sekretær for Informationssikkerhedsudvalget, og varetager den overordnede praktiske styring af kommunens samlede informationssikkerhedsindsats. Koordinatoren har til opgave at tilvejebringe et grundlag for Informationssikkerhedsudvalget ift. deres arbejde med overvågning og prioritering af informationssikkerhedsrelaterede risici, samt til deres planlægning af det fremadrettede informationssikkerhedsarbejde. Endvidere skal koordinatoren sikre et overblik over de igangværende og planlagte initiativer indenfor området. Informationssikkerhedskoordinatoren har endvidere en rådgivende og koordinerende funktion for hele kommunen i forhold til informationssikkerhedsopgaver. 4.5 Gruppen af Informationssikkerheds Aktører (GIA) Gruppen af Informationssikkerheds Aktører (GIA) udgøres af en række forskellige aktører, der alle via deres givne rolle, har et særligt ansvar ift. informationssikkerhed. GIA erne er ansvarlig for, at politikken efterleves under deres individuelle ansvarsområder, men er også ansvarlig for varetagelsen af deres opgaver ift. deres specifikke rolle. Ved et systemnedbrud er det som eksempel den enkelte systemejer, der har det overordnede ansvar for en genetablering af systemdriften. GIA erne er forpligtet til at rapportere til Informationssikkerhedsudvalget i forbindelse med alle opgaver og hændelser, der har relevans for kommunens informationssikkerhed. 6
4.6 Eksterne samarbejdspartnere Der skal indgås skriftlige aftaler med eksterne samarbejdspartnere, og de sikkerhedskrav der stilles, skal defineres ud fra persondataloven samt ISO 27001. Kravene skal fremgå af de skriftlige aftaler. Eksterne samarbejdspartnere der har adgang til data, skal efterleve samme retningslinjer som gælder internt i organisationen. 5. Overtrædelse af informationssikkerhedspolitikken Alle medarbejdere i Horsens Kommune er forpligtet til at efterleve den, til enhver tid gældende, informationssikkerhedspolitik med tilhørende retningslinjer, forretningsgange og relaterede bilag. Hvis der konstateres en overtrædelse er det et ledelsesansvar at håndtere dette. Hvis en medarbejder er vidende om, at Horsens Kommunes informationssikkerhed overtrædes, skal det meddeles til nærmeste leder hurtigst muligt. 6. Afvigelser Hvis der opstår situationer, hvor kravene i politikken ikke kan efterleves, skal der skriftligt anmodes om dispensation i Informationssikkerhedsudvalget. Eventuelle afvigelser fra kravene skal dokumenteres, og der skal indføres alternative sikringsforanstaltninger. 7. Udarbejdelse og ikrafttrædelse Håndtering af ændringer i sikkerhedsdokumentationen foretages på følgende måde: Informationssikkerhedspolitikken godkendes af direktionen. Retningslinjer for informationssikkerhed og Informationssikkerhedshåndbogen godkendes af informationssikkerhedsudvalget. Alle andre elementer af ISMS et foretages af de ansvarlige medarbejdere. Informationssikkerhedspolitikken er godkendt af kommunaldirektør i Horsens Kommune. Underskrift: Kommunaldirektør Niels Aalund, Horsens d. 20. januar 2016 7
Bilag 1: ISMS oversigt Nedenstående giver en oversigt for de elementer, der indgår i Horsens Kommunes Information Security Management System (ISMS). Informationssikkerhedspolitikken. Nærværende dokument. Dokumentet ejes af direktionen. Retningslinjer for informationssikkerhed. Retningslinjer omkring informationssikkerhed i Horsens Kommune. Dokumentet ejes af informationssikkerhedsudvalget. Informationssikkerhedshåndbog. Håndbog til medarbejderne om regler og vejledning for brugen af it. Dokumentet ejes af informationssikkerhedsudvalget. SoA-dokumentet. Indeholder de kontroller, der er omdrejningspunktet for sikkerhedsarbejdet. Dokumentet ejes af informationssikkerhedsudvalget. Risikovurderingsrapport. Struktureret risikovurderingsrapport der en gang årligt fremlægges for direktionen. Dokumentet ejes af informationssikkerhedsudvalget. Informationssikkerhedsintroduktion. E-learning baseret introduktion om informationssikkerhed, der udsendes til alle relevante medarbejdere ved ansættelsen og med dokumentation for gennemførelse. Dokumentet ejes af informationssikkerhedsudvalget. IT-beredskabsstrategi. Redegør for den overordnede strategi for IT-beredskabet. Dokumentet ejes af informationssikkerhedsudvalget. Oversigt for Kritiske forretningsprocesser. Oversigt der viser alle Horsens Kommunes kritiske forretningsprocesser indeholdende procesnavn, forretningsansvarlig samt reference til processens specifikke service- og beredskabsplan. Dokumentet ejes af informationssikkerhedsudvalget. IT-forretningsnødplaner: Plan der ved kritiske forretningsprocesser der redegør for hvordan den enkelte forreningssproces opretholdes ved nedbrud af den bagvedliggende IT-service. Dokumentet ejes af den konkrete ejer af den kritiske forretningsproces. Service- og beredskabsplaner. Aftaler indgået mellem IT-driften og det enkelte forretningsområde for kritiske forretningsprocesser. Dokumentet ejes af IT-driftschefen. IT-beredskabsplaner. Plan for hvert enkelt IT-system, der redegør for den tekniske genetablering af systemet og tilhørende data. Dokumentet ejes af systemejeren. Systemlandskabsoversigt. Oversigt der viser alle Horsens Kommunes systemer med tilhørende klassifikation. Der er for hvert system en reference til systems specifikke ITberedskabsplan. Dokumentet ejes af IT- og Digitaliseringschefen. Dataoversigt. Oversigt der viser alle Horsens Kommunes data med dataklassifikation. Dokumentet ejes af IT- og Digitaliseringschefen. Der er herudover en række områder, der har relation til og som skal efterleve informationssikkerhedspolitikken f.eks. ansættelsesbreve og leverandørkontrakter. 8