Informationssikkerhedspolitik for Horsens Kommune

Relaterede dokumenter
Informationssikkerhedspolitik for <organisation>

Fredericia Kommunes Informationssikkerhedspolitik 1 FREDERICIA KOMMUNE AFDELING TITEL PÅ POWERPOINT

Hjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune

It-beredskabsstrategi for Horsens Kommune

Assens Kommune Sikkerhedspolitik for it, data og information

Informationssikkerhedspolitik

IT-sikkerhedspolitik for

Overordnet Informationssikkerhedspolitik

POLITIK FOR INFORMATIONSSIKKERHED

Faxe Kommune. informationssikkerhedspolitik

MedComs informationssikkerhedspolitik. Version 2.2

Overordnet it-sikkerhedspolitik for Rødovre Kommune

Ikast-Brande Kommune. Informationssikkerhedspolitik (efterfølgende benævnt I-Sikkerhedspolitik) Maj 2016 Sag nr. 2015/06550

Politik for informationssikkerheddatabeskyttelse

Vejledning i informationssikkerhedspolitik. Februar 2015

IT-sikkerhedspolitik S i d e 1 9

Aabenraa Kommune. Informationspolitik. Udkast. Udkast:

Informationssikkerhedspolitik Frederiksberg Kommune

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ballerup Kommune Politik for databeskyttelse

Indholdsfortegnelse Indledning Formål Omfang Holdninger og principper... 4

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED

PSYKIATRIFONDENS Informationssikkerhedspolitik

Fællesregional Informationssikkerhedspolitik

Informationssikkerhedspolitik. for Aalborg Kommune

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner.

Danmarks Statistiks informationssikkerhedspolitik

Politik <dato> <J.nr.>

Overordnet It-sikkerhedspolitik

Overordnet informationssikkerhedsstrategi

IT- og informationssikkerheds- politik (GDPR) For. Kontrapunkt Group

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

INFORMATIONS- SIKKERHEDSPOLITIK

Forfatter: Carsten Stenstrøm Mail: Telefon: IT Amerika Plads København Ø

Organisering og styring af informationssikkerhed. I Odder Kommune

Region Hovedstadens Ramme for Informationssikkerhed

Informationssikkerhedspolitik for Sønderborg Kommune

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

IT-sikkerhedspolitik for Lyngby Tandplejecenter

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

Overordnet Informationssikkerhedsstrategi. for Odder Kommune

Informationssikkerhedspolitik. Frederiksberg Kommune

Fællesregional Informationssikkerhedspolitik

It-sikkerhedspolitik for Farsø Varmeværk

Halsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune.

Informationssikkerhedspolitik For Aalborg Kommune

Informationssikkerhedspolitik for Region Midtjylland

Skanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017

IT-SIKKERHEDSPOLITIK UDKAST

Databeskyttelsespolitik for DSI Midgård

SOPHIAGÅRD ELMEHØJEN

Politik for informationssikkerhed 1.2

Vejledning i informationssikkerhedsstyring. Februar 2015

Systemforvaltning for SDN Temadag om SDN og VDX den 9. november Peder Illum, konsulent,

Ver. 1.0 GENTOFTE KOMMUNES INFORMATIONSSIKKERHEDSPOLITIK

POLITIK FOR INFORMATIONSSIKKERHED

Koncessionskontrakt vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Kultur- og Fritidsforvaltningen.

Årshjul. Kort sagt beskrives og planlægges mange af de opgaver, der efterfølgende kontrolleres/følges op på i årshjulet, i årsplanen.

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet "informationer"? 2

Indholdsfortegnelse. Generelt 3. Formål 3. Omfang 4. Sammenhæng med IT- og forretningsstrategier 4

Overordnet organisering af personoplysninger

Hillerød Kommune. It-sikkerhedspolitik Bilag 10. Beredskabsplanlægning

KOMBIT sikkerhedspolitik

OVERORDNET IT-SIKKERHEDSPOLITIK

Hillerød Kommune. It-sikkerhedspolitik Bilag 8. Kontrol og adgang til systemer, data og netværk

Bekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.

Assens Kommune Politik for databeskyttelse og informationssikkerhed

Overordnet organisering af personoplysninger

Næstved Kommune. Informationssikkerhedspolitik ISO 27001

IT-sikkerhedspolitik. for Social- og Sundhedsskolen Esbjerg

Kommunens nuværende politik stammer fra 2008 og bygger på en gammel dansk standard, DS484.

Retningslinjer for informationssikkerhed i Horsens Kommune

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør

1. Introduktion til SoA Indhold og krav til SoA 4

Sikkerhedspolitik. Informationssikkerhedspolitik for DIFO og DK Hostmaster. DK Hostmaster. Godkendt Version / ID 11.1.

DATABESKYTTELSESPOLITIK

Databeskyttelsespolitik

IT sikkerhedspolitik for Business Institute A/S

Informationssikkerhedspolitik. DokumentID / Dokumentnr /

INFORMATIONSSIKKERHEDS -POLITIK

Informationssikkerhedspolitik for Vejen Kommune

Politik for Datasikkerhed

Hillerød Kommune. IT-sikkerhedspolitik Bilag 2. Opfølgning på lovbestemte krav

Jyske Bank Politik for It sikkerhed

Staben IT-afdelingen Dato: Sagsnr: 12/24869 Dokumentnr: 3 Sagsbehandler: Steen Meyer Larsen. Organisering af informationssikkerhed

(hver for sig kaldet en "Part" og samlet "Parterne")

Databeskyttelsespolitik for Netværket Smedegade, en social institution, der primært hoster data og programmer hos databehandlere

Guide til SoA-dokumentet - Statement of Applicability. August 2014

Hovmosegaard - Skovmosen

INFORMATIONS- SIKKERHEDS- POLITIK

Ledelsen har sikret, at der er etableret en hensigtsmæssig itsikkerhedsorganisation

Sikkerhedsledelsen SIKKERHEDSSPOLITIK FOR DSB. April Version 1.0

Kontraktbilag 7: Databehandleraftale

Denne publika ion er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks København K Telefon dk

BILAG 5 DATABEHANDLERAFTALE

Persondatapolitik for behandling af personoplysninger i Børnecancerfonden Vedtaget af Børnecancerfonden den

Beredskabspolitik for Dahmlos Security [OFF] Gyldig fra d INDLEDNING TILTAG FOR AT OPFYLDE POLITIKKENS FORMÅL...

Politik til sikring af UCN s digitale og papirbaserede informationsaktiver (it-sikkerhedspolitik)

DATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig )

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november

Transkript:

Informationssikkerhedspolitik for Horsens Kommune Senest opdateret januar 2016

Indholdsfortegnelse 1. FORMÅL... 3 2. OMFANG OG SIKKERHEDSNIVEAU... 3 3. HOVEDMÅLSÆTNINGER... 4 4. ORGANISERING OG ANSVAR... 4 4.1 INTERNE ORGANISATORISKE FORHOLD... 4 4.2 DIREKTIONEN... 5 4.3 INFORMATIONSSIKKERHEDSUDVALGET... 5 4.4 INFORMATIONSSIKKERHEDSKOORDINATOREN... 6 4.5 GRUPPEN AF INFORMATIONSSIKKERHEDS AKTØRER (GIA)... 6 4.6 EKSTERNE SAMARBEJDSPARTNERE... 7 5. OVERTRÆDELSE AF INFORMATIONSSIKKERHEDSPOLITIKKEN... 7 6. AFVIGELSER... 7 7. UDARBEJDELSE OG IKRAFTTRÆDELSE... 7 BILAG 1: ISMS OVERSIGT... 8 2

1. Formål Horsens Kommunes informationssikkerhedspolitik er udarbejdet for at imødegå de informationssikkerhedstrusler, som Horsens Kommune kan blive udsat for. Nedenfor er de potentielle trusler samt deres eventuelle konsekvenser illustreret. Informationssikkerhedspolitik fungerer herved som en rammebeskrivelse af, hvad kommunen gør for at imødegå truslerne ved henholdsvis forebyggelse og udbedring. Endvidere ser Horsens Kommune et højt sikkerhedsniveau som en nødvendighed for at kunne fastholde godt omdømme og fortsat tillid fra omverdenen. Derfor skal politikken være med til at sikre, at data og informationer behandles i overensstemmelse med de krav, der stilles til organisationer med stor samfundsmæssig betydning. 2. Omfang og sikkerhedsniveau Med informationssikkerhed forstår vi grundlæggende den nødvendige beskyttelse af samtlige ressourcer, der indgår i, eller bidrager til, Horsens Kommunes behandling og kommunikation af enhver form for data herunder også teknologi og organisatoriske processer. Informationssikkerheden i Horsens Kommune skal være på et niveau, der tilgodeser lov- og myndighedskrav, kontraktlige forpligtelser samt forpligtelser overfor de aktører der er forpligtet til at anvende Horsens Kommune. Det er samtidig ambitionen, at sikkerhedsniveauet har et afbalanceret omfang, således at der samtidig med høj sikkerhed også fastholdes en forretningsmæssig fleksibilitet og dynamik. Horsens Kommune ønsker dermed ikke at sikre sig for enhver pris, men ønsker at være bevidst om enhver risiko, og forholde sig tilfredsstillende til disse, hvormed et tilstrækkeligt sikkerhedsniveau etableres. 3

Informationssikkerhedspolitikken angiver de generelle beslutninger, som ledelsen i Horsens Kommune har truffet med henblik på nærmere at fastlægge det tilstrækkelige sikkerhedsniveau. Derfor fastlægges omfanget af informationssikkerhedspolitikken således: Informationssikkerhedspolitikken gælder for alle ansatte i Horsens Kommune uanset ansættelsesform, herunder også eksterne konsulenter og servicemedarbejdere. Det forventes, at informationssikkerhedspolitikken overholdes. Informationssikkerhedspolitikken gælder for alle systemer og alle data i Horsens Kommunes besiddelse samt systemer, der leveres af, og data der opbevares ved underleverandører. Leverandører og samarbejdspartnere som har adgang til organisationens systemer og data, skal ligeledes have kendskab til og følge informationssikkerhedspolitikken. Politikken dækker alle tekniske og administrative forhold, der har direkte eller indirekte indflydelse på drift og brug af Horsens Kommunes IT-systemer og papirarkiver. Politikken redegør for den overordnede ramme for håndtering af informationssikkerhed i Horsens Kommune, men er kun ét, blandt flere, delelement i ift. dette arbejde. Der er en række andre delelementer, der bl.a. omfatter konkrete retningslinjer, informationssikkerhedshåndbogen og beredskabsstrategien. Den samlede løsning benævnes Horsens Kommunes Information Security Management System (ISMS), og omfatter samlet de elementer, der er beskrevet i Bilag 1: ISMS oversigt. 3. Hovedmålsætninger Målsætningerne med Informationssikkerhedspolitikken er at sikre: En bevidsthed om informationssikkerhed i organisationen. Høj driftssikkerhed og minimeret risiko for store nedbrud og tab af data. Korrekt funktion af IT-systemerne med minimeret risiko for manipulation af data og systemer samt fejl i disse. Mulighed for fortrolig behandling, transmission og opbevaring af data. Dvs. at faciliteter hertil skal være til stede og benyttes efter konkret behov. En imødegåelse af forsøg på tilsidesættelse af sikkerhedsforanstaltninger. En prioritet ledelsesforankret styring af informationssikkerhedsrelaterede risici. 4. Organisering og ansvar Der er etableret en organisering af informationssikkerhedsarbejdet, der skal sikre at arbejdet operationaliseres via dedikerede processer, procedurer og ansvarsallokeringer. 4.1 Interne organisatoriske forhold Nedenstående fremgår kommunens samlede Informations Sikkerheds Organisation (ISO). 4

1 4.2 Direktionen Det strategiske niveau udgøres af Horsens Kommunes direktion, der er den overordnede ansvarlig og besluttende myndighed vedrørende sikkerheden for informationsaktiver ved Horsens Kommune. Direktionen evaluerer og godkender årligt informationssikkerhedspolitikken med udgangspunkt i oplæg fra Informationssikkerhedsudvalget. Direktionen skal endvidere sikre, at det besluttede sikkerhedsniveau udmøntes i budgetter, og indgår i relevante handlingsplaner. Direktionen skal årlig modtage og evaluere en rapport fra Informationssikkerhedsudvalget om status for kommunes informationssikkerhed. Direktionen tager herudover ad hoc stilling til spørgsmål angående informationssikkerheden, når disse bringes til deres opmærksomhed via Informationssikkerhedsudvalget. 4.3 InformationsSikkerhedsUdvalget Informationssikkerhedsudvalget udgør det taktiske niveau for arbejdet med informationssikkerheden i kommunen, og refererer til direktionen via udvalgets formand. Informationssikkerhedsudvalget varetager den overordnede koordinering og kontrol af Horsens Kommunes informationssikkerhed. Det sker ved: * Rollen som Data Protection Officer (DPO) forventes at blive et krav i forbindelse med den kommende EU persondataforordning. Rollens ansvar og opgaver afventer vedtagelse af forordningen. 5

at bidrage med input til direktionen ved nødvendige justeringer af informationssikkerhedspolitikken. at vedligeholde, realisere og sikre efterlevelse af: o Retningslinjerne for informationssikkerhed o Informationssikkerhedshåndbogen (retningslinjer for medarbejderne) en løbende vurdering og prioritering af kommunens informationssikkerhedsrelaterede risici samt en planlægning af det fremadrettede informationssikkerhedsarbejde en årlig afrapportering til direktionen med af status for informationssikkerhed samt ved alvorlige ad hoc sikkerhedshændelser. Informationssikkerhedsudvalget udgøres i praksis af udvalgte ledere, der samlet repræsenterer alle kommunens direktørområder. Deltagerne skal hermed varetage Horsens Kommunes sikkerhed med udgangspunkt i den overordnede sikkerhedspolitik, og arbejdet kræver, at den enkelte deltager er i stand til at sætte sig ud over lokale interesser og sætte opgaver i et overordnet sikkerhedsmæssigt perspektiv. Informationssikkerhedsudvalget har møder en gang per kvartal samt ved ad hoc behov. 4.4 Informationssikkerhedskoordinatoren Informationssikkerhedskoordinatoren, der er under ledelse af IT- og digitaliseringschefen, udgør sammen med de resterende dele af ISO, den operationelle del af arbejdet med informationssikkerheden i Horsens Kommune. Koordinatoren er sekretær for Informationssikkerhedsudvalget, og varetager den overordnede praktiske styring af kommunens samlede informationssikkerhedsindsats. Koordinatoren har til opgave at tilvejebringe et grundlag for Informationssikkerhedsudvalget ift. deres arbejde med overvågning og prioritering af informationssikkerhedsrelaterede risici, samt til deres planlægning af det fremadrettede informationssikkerhedsarbejde. Endvidere skal koordinatoren sikre et overblik over de igangværende og planlagte initiativer indenfor området. Informationssikkerhedskoordinatoren har endvidere en rådgivende og koordinerende funktion for hele kommunen i forhold til informationssikkerhedsopgaver. 4.5 Gruppen af Informationssikkerheds Aktører (GIA) Gruppen af Informationssikkerheds Aktører (GIA) udgøres af en række forskellige aktører, der alle via deres givne rolle, har et særligt ansvar ift. informationssikkerhed. GIA erne er ansvarlig for, at politikken efterleves under deres individuelle ansvarsområder, men er også ansvarlig for varetagelsen af deres opgaver ift. deres specifikke rolle. Ved et systemnedbrud er det som eksempel den enkelte systemejer, der har det overordnede ansvar for en genetablering af systemdriften. GIA erne er forpligtet til at rapportere til Informationssikkerhedsudvalget i forbindelse med alle opgaver og hændelser, der har relevans for kommunens informationssikkerhed. 6

4.6 Eksterne samarbejdspartnere Der skal indgås skriftlige aftaler med eksterne samarbejdspartnere, og de sikkerhedskrav der stilles, skal defineres ud fra persondataloven samt ISO 27001. Kravene skal fremgå af de skriftlige aftaler. Eksterne samarbejdspartnere der har adgang til data, skal efterleve samme retningslinjer som gælder internt i organisationen. 5. Overtrædelse af informationssikkerhedspolitikken Alle medarbejdere i Horsens Kommune er forpligtet til at efterleve den, til enhver tid gældende, informationssikkerhedspolitik med tilhørende retningslinjer, forretningsgange og relaterede bilag. Hvis der konstateres en overtrædelse er det et ledelsesansvar at håndtere dette. Hvis en medarbejder er vidende om, at Horsens Kommunes informationssikkerhed overtrædes, skal det meddeles til nærmeste leder hurtigst muligt. 6. Afvigelser Hvis der opstår situationer, hvor kravene i politikken ikke kan efterleves, skal der skriftligt anmodes om dispensation i Informationssikkerhedsudvalget. Eventuelle afvigelser fra kravene skal dokumenteres, og der skal indføres alternative sikringsforanstaltninger. 7. Udarbejdelse og ikrafttrædelse Håndtering af ændringer i sikkerhedsdokumentationen foretages på følgende måde: Informationssikkerhedspolitikken godkendes af direktionen. Retningslinjer for informationssikkerhed og Informationssikkerhedshåndbogen godkendes af informationssikkerhedsudvalget. Alle andre elementer af ISMS et foretages af de ansvarlige medarbejdere. Informationssikkerhedspolitikken er godkendt af kommunaldirektør i Horsens Kommune. Underskrift: Kommunaldirektør Niels Aalund, Horsens d. 20. januar 2016 7

Bilag 1: ISMS oversigt Nedenstående giver en oversigt for de elementer, der indgår i Horsens Kommunes Information Security Management System (ISMS). Informationssikkerhedspolitikken. Nærværende dokument. Dokumentet ejes af direktionen. Retningslinjer for informationssikkerhed. Retningslinjer omkring informationssikkerhed i Horsens Kommune. Dokumentet ejes af informationssikkerhedsudvalget. Informationssikkerhedshåndbog. Håndbog til medarbejderne om regler og vejledning for brugen af it. Dokumentet ejes af informationssikkerhedsudvalget. SoA-dokumentet. Indeholder de kontroller, der er omdrejningspunktet for sikkerhedsarbejdet. Dokumentet ejes af informationssikkerhedsudvalget. Risikovurderingsrapport. Struktureret risikovurderingsrapport der en gang årligt fremlægges for direktionen. Dokumentet ejes af informationssikkerhedsudvalget. Informationssikkerhedsintroduktion. E-learning baseret introduktion om informationssikkerhed, der udsendes til alle relevante medarbejdere ved ansættelsen og med dokumentation for gennemførelse. Dokumentet ejes af informationssikkerhedsudvalget. IT-beredskabsstrategi. Redegør for den overordnede strategi for IT-beredskabet. Dokumentet ejes af informationssikkerhedsudvalget. Oversigt for Kritiske forretningsprocesser. Oversigt der viser alle Horsens Kommunes kritiske forretningsprocesser indeholdende procesnavn, forretningsansvarlig samt reference til processens specifikke service- og beredskabsplan. Dokumentet ejes af informationssikkerhedsudvalget. IT-forretningsnødplaner: Plan der ved kritiske forretningsprocesser der redegør for hvordan den enkelte forreningssproces opretholdes ved nedbrud af den bagvedliggende IT-service. Dokumentet ejes af den konkrete ejer af den kritiske forretningsproces. Service- og beredskabsplaner. Aftaler indgået mellem IT-driften og det enkelte forretningsområde for kritiske forretningsprocesser. Dokumentet ejes af IT-driftschefen. IT-beredskabsplaner. Plan for hvert enkelt IT-system, der redegør for den tekniske genetablering af systemet og tilhørende data. Dokumentet ejes af systemejeren. Systemlandskabsoversigt. Oversigt der viser alle Horsens Kommunes systemer med tilhørende klassifikation. Der er for hvert system en reference til systems specifikke ITberedskabsplan. Dokumentet ejes af IT- og Digitaliseringschefen. Dataoversigt. Oversigt der viser alle Horsens Kommunes data med dataklassifikation. Dokumentet ejes af IT- og Digitaliseringschefen. Der er herudover en række områder, der har relation til og som skal efterleve informationssikkerhedspolitikken f.eks. ansættelsesbreve og leverandørkontrakter. 8

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback