Overordnet Informationssikkerhedsstrategi. for Odder Kommune

Relaterede dokumenter
Overordnet informationssikkerhedsstrategi

Hjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune

IT-sikkerhedspolitik S i d e 1 9

Organisering og styring af informationssikkerhed. I Odder Kommune

Informationssikkerhedspolitik

Assens Kommune Sikkerhedspolitik for it, data og information

Politik for informationssikkerheddatabeskyttelse

Indholdsfortegnelse Indledning Formål Omfang Holdninger og principper... 4

Ballerup Kommune Politik for databeskyttelse

IT-sikkerhedspolitik for

INFORMATIONS- SIKKERHEDSPOLITIK

Organisering og styring af Informationssikkerhed

Faxe Kommune. informationssikkerhedspolitik

Forfatter: Carsten Stenstrøm Mail: Telefon: IT Amerika Plads København Ø

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner.

IT-SIKKERHEDSPOLITIK UDKAST

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Overordnet Informationssikkerhedspolitik

Fredericia Kommunes Informationssikkerhedspolitik 1 FREDERICIA KOMMUNE AFDELING TITEL PÅ POWERPOINT

Informationssikkerhedspolitik Frederiksberg Kommune

Informationssikkerhedspolitik. Frederiksberg Kommune

Overordnet It-sikkerhedspolitik

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

Assens Kommune Politik for databeskyttelse og informationssikkerhed

Informationssikkerhed

Informationssikkerhedspolitik for Region Midtjylland

Informationssikkerhedspolitik for <organisation>

Halsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune.

Informationssikkerhedspolitik. for Aalborg Kommune

Overordnet it-sikkerhedspolitik for Rødovre Kommune

OVERORDNET IT-SIKKERHEDSPOLITIK

Politik for Datasikkerhed

INFORMATIONS- SIKKERHEDS- POLITIK

MedComs informationssikkerhedspolitik. Version 2.2

Informationssikkerhedspolitik for Horsens Kommune

Politik for informationssikkerhed 1.2

Aabenraa Kommune. Informationspolitik. Udkast. Udkast:

Fællesregional Informationssikkerhedspolitik

Informationssikkerhedspolitik for Sønderborg Kommune

Informationssikkerhedspolitik For Aalborg Kommune

Ver. 1.0 GENTOFTE KOMMUNES INFORMATIONSSIKKERHEDSPOLITIK

Koncessionskontrakt vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Kultur- og Fritidsforvaltningen.

PSYKIATRIFONDENS Informationssikkerhedspolitik

Politik <dato> <J.nr.>

Fællesregional Informationssikkerhedspolitik

BILAG 5 DATABEHANDLERAFTALE

IT- og informationssikkerheds- politik (GDPR) For. Kontrapunkt Group

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet "informationer"? 2

Kommunens nuværende politik stammer fra 2008 og bygger på en gammel dansk standard, DS484.

DATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig )

Databeskyttelsespolitik for DSI Midgård

Informationssikkerhedspolitik for Vejen Kommune

Kontraktbilag 7: Databehandleraftale

Overordnet organisering af personoplysninger

Region Hovedstadens Ramme for Informationssikkerhed

Overordnet organisering af personoplysninger

IT-sikkerhedspolitik. for. Gladsaxe Kommune

SOPHIAGÅRD ELMEHØJEN

Databeskyttelsespolitik

Databeskyttelsespolitik for Netværket Smedegade, en social institution, der primært hoster data og programmer hos databehandlere

Staben IT-afdelingen Dato: Sagsnr: 12/24869 Dokumentnr: 3 Sagsbehandler: Steen Meyer Larsen. Organisering af informationssikkerhed

DATABESKYTTELSESPOLITIK

Ikast-Brande Kommune. Informationssikkerhedspolitik (efterfølgende benævnt I-Sikkerhedspolitik) Maj 2016 Sag nr. 2015/06550

Sikkerhedspolitik. Informationssikkerhedspolitik for DIFO og DK Hostmaster. DK Hostmaster. Godkendt Version / ID 11.1.

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og leverandørnavn indsættes

fortrolighed: omfatter en sikring af, at information kun er tilgængelig for personer, som er berettigede

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

It-sikkerhedspolitik for Københavns Kommune

POLITIK FOR INFORMATIONSSIKKERHED

Hovmosegaard - Skovmosen

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes]

Skanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017

It-revision af Sundhedsdatanettet januar 2016

Hillerød Kommune. It-sikkerhedspolitik Bilag 8. Kontrol og adgang til systemer, data og netværk

DATABEHANDLERAFTALE. Mellem. Svendborg Kommune Ramsherred Svendborg CVR. nr.: (herefter Kommunen ) XXXXXX xxxxxx xxxx

Tønder Kommune BILAG 10

(hver for sig kaldet en "Part" og samlet "Parterne")

Driftskontrakt. Databehandleraftale. Bilag 14

Ledelsen har sikret, at der er etableret en hensigtsmæssig itsikkerhedsorganisation

Version: 1.2 Side 1 af 5

IT-SIKKERHEDSPOLITIK

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

Informationssikkerhedspolitik

Databehandleraftale. mellem. [Virksomhed] [Adresse] [Postnr.] [By] [CVR nr.] (herefter kaldet Databehandler)

IT sikkerhedspolitik for Business Institute A/S

DATABEHANDLERAFTALE. Mellem. Furesø Kommune Stiager Værløse CVR. nr.: (herefter Kommunen )

Databehandleraftale e-studio.dk Side 1 af 6

Retningsgivende databehandlervejledning:

Vejledning i informationssikkerhedspolitik. Februar 2015

IT-sikkerhedspolitik for Lyngby Tandplejecenter

OPTION TIL RM OG RN BILAG 14 TIL KONTRAKT OM EPJ/PAS IT-SIKKERHED OG DATABEHANDLERAFTALE

KOMBIT sikkerhedspolitik

Underbilag Databehandlerinstruks

Rapport. Anbefaling. Sikkerhedstjekket 2016 Rådet for Digital Sikkerhed

Programbeskrivelse. 7.2 Øget sikkerhed og implementering af EU's databeskyttelsesforordning. 1. Formål og baggrund. August 2016

Digitaliseringsstrategi i Vejle Kommune

Agenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)

Bilag 1 Databehandlerinstruks

Transkript:

Overordnet Informationssikkerhedsstrategi for Odder Kommune

Indhold Indledning...3 Mål for sikkerhedsniveau...3 Holdninger og principper...4 Gyldighed og omfang...5 Organisering, ansvar og godkendelse...5 Sikkerhedsbevidsthed...5 Overtrædelse...6 Godkendelse...6

Indledning Det er et krav, at Odder Kommune som dataansvarlig myndighed sikrer beskyttelse af personoplysninger. Byrådet har det endelige politiske ansvar for, at kommunen håndterer borgeres, virksomheders og øvrige offentlige myndigheders informationer på betryggende vis. I forhold til kommunens egen lokale digitaliseringsstrategi har vi længe selv valgt at digitalisere opgaveløsningen i form af selvbetjeningsløsninger til borgerne og til effektivisering af de interne arbejdsgange. Ydermere er kommunerne i de seneste år, fra centralt hold, blevet på pålagt at indføre obligatorisk digital selvbetjening og digital kommunikation med borgere, virksomheder og samarbejdsparter. Digitalisering er således et vilkår og ikke blot et muligt tilvalg. Dette stiller store krav til vores informationssikkerhed og er dermed en afgørende faktor for kommunens digitaliseringsindsats. Dette dokument beskriver Odder Kommunes overordnede informationssikkerhedsstrategi. Denne strategi sætter rammerne for operationel organisering og styring af informationssikkerhed, der udmøntes i etableringen af fastsatte regler og procedurer for Odder kommunes informationssikkerhedshåndtering. Hermed etableres grundlaget for det daglige arbejde med informationssikkerhed inden for kommunens virke. Den samlede informationssikkerhedsbeskrivelse består af 3 dokumenter: 1.) Den overordnede informationssikkerhedsstrategi, som godkendes af Byrådet. 2.) Organisering og styring af informationssikkerhed, der fastlægger ansvar og styring. Denne godkendes af direktionen og tager udgangspunkt i ISO27001 standarden, som KL anbefaler at kommunerne anvender. 3.) De konkrete regler, som vi alle skal overholde i det daglige arbejde. Her har vi valgt at arbejde efter ISO27002 standarden for informationssikkerhed. Disse regler godkendes af kommunens øverste sikkerhedsansvarlige. Både organisering og styring af informationssikkerhed og konkrete regler revideres ved behov inden for rammerne af den overordnede informationssikkerhedsstrategi. Odder Kommune har tidligere anvendt standarden DS484 som ramme for informationssikkerhed. Den nye informationssikkerhedsbeskrivelse tager som angivet udgangspunkt i ISO27001/27002, som giver mulighed for løbende udvidelser til håndtering af nye sikkerhedsmæssige problemstillinger. Mål for sikkerhedsniveau Odder Kommune fastlægger på baggrund af konkrete risikovurderinger et sikkerhedsniveau, som svarer til betydningen af de pågældende informationer og systemer. Sikkerhedsniveauet og anvendelsen skal til en hver tid være i overensstemmelse med gældende lovgivning. Ved fastlæggelse af sikkerhedsniveauet tages der udgangspunkt i 3 begreber: Fortrolighed, Integritet og Tilgængelighed. Disse begreber anvendes til afdækning af risici i samarbejde med afdelingernes system- og dataansvarlige. Fortrolighed Borgerne skal til enhver tid kunne stole på, at de trygt kan overlade deres fortrolige data til Odder Kommune. Informationssikkerhed skal sikre fortrolig behandling, transmission og opbevaring af data, hvor kun autoriserede brugere har adgang. [3]

Integritet Informationssikkerhed skal sikre pålidelig og korrekt brug af løsningerne og minimere risiko for ukorrekt datagrundlag, f.eks. som følge af menneskelige og systemmæssige fejl eller udefra kommende hændelser. Tilgængelighed Informationssikkerhed skal være medvirkende til, at vi opnår høj tilgængelighed og minimere risiko for nedbrud på vore systemer. Odder Kommune skal dermed træffe fornødne foranstaltninger til, at beskytte oplysninger mod uautoriseret anvendelse, fejl i de registrerede eller behandlede oplysninger og til at sikre den højst mulige oppetid for vores løsninger. Holdninger og principper Troværdigheden på informationssikkerhedsområdet over for omverdenen herunder borgere, virksomheder og samarbejdspartnere må ikke berettiget kunne drages i tvivl. Herigennem kan kommunen opnå og bibeholde et godt omdømme over for borgere og virksomheder. Odder Kommune vil fastlægge informationssikkerhedsforanstaltninger som en afvejning mellem de ofte modstridende hensyn, ønsket om høj sikkerhed, hensynet til brugervenlig it-anvendelse og omkostningerne ved investering i sikkerhed. Sikkerhedsforanstaltninger kan til tider opleves som en barriere for medarbejdernes daglige anvendelse af IT og kan give anledning til besværlige arbejdsgange. Her vil Odder Kommune sikre medarbejdernes forståelse for nødvendigheden af disse foranstaltninger, således at sikkerhed bliver en naturlig del af arbejdet i kommunen. Odder Kommune vil løbende arbejde med at informere medarbejderne, så de får de nødvendige kompetencer, til at sikre at informationssikkerheden kan overholdes samtidig med, at arbejdet kan udføres så effektivt som muligt. Følgende 3 målsætninger konkretiserer ovennævnte principper: 1. Fortrolighed i forvaltningen Vi vil i vores IT-anvendelse sikre, at behandling af data og informationer sker med fortrolighed og i overensstemmelse med god forvaltningsskik. Informationssikkerhed skal derfor sikre, at informationer om borgerne holdes fortroligt for uvedkommende. 2. Sikre kommunens medarbejdere, borgere og virksomheder adgang til en stabil og korrekt kommunal service. Odder Kommune understøtter alle forretningsområder, borgere og virksomheder med digitale løsninger for at sikre en effektiv administration, der medfører hurtig og korrekt service. Informationssikkerhedsforanstaltninger skal sikre borgere og virksomheder tilgængelighed og pålidelighed i adgang til de eksterne systemer på www.odder.dk og selvbetjeningsløsninger. For de interne systemer skal der sikres stabil drift, således at It-anvendelsen understøtter korrekt service til tiden. 3. Forebyggende sikkerhed [4]

Informationssikkerheden skal implementeres gennem forebyggende tekniske tiltag og informationsaktiviteter, der øger medarbejdernes kompetencer og viden omkring informationssikkerhed. Tekniske kontroller er væsentlige, men den menneskelige faktor i form af brugeradfærd ses som den største risiko-faktor. Den menneskelige faktor kan ikke kontrolleres og er derfor afhængig af medarbejdernes kompetencer og forståelse for deres rolle i forbindelse med informationssikkerhed. Gyldighed og omfang Overholdelse af kommunens informationssikkerhed er gældende for alle ansatte, byrådspolitikere og eksterne samarbejdspartnere. Kommunens informationssikkerhed gælder for alle lokaliteter hvor der sker en anvendelse og bearbejdning af kommunens informationer Rådhus, institutioner, hjemmearbejdspladser, eksterne adgange, adgang via mobil mv. For leverandører, som har adgang til kommunens systemer, gælder det, at de skal have implementeret et sikkerhedsniveau, der mindst svarer til kommunens niveau. Dette sikres ved indgåelse af databehandleraftaler og Odder Kommune skal have mulighed for at sikre sig, at leverandører reelt lever op til det påkrævede sikkerhedsniveau. Ansatte, byrådsmedlemmer og samarbejdspartnere med fysisk eller logisk adgang til kommunens systemer skal være bekendt med sikkerhedsreglerne og skal forpligte sig til at overholde reglerne. Organisering, ansvar og godkendelse Informationssikkerhedsstrategien godkendes af Byrådet og varetages af kommunaldirektøren, der er den øverste sikkerhedsansvarlige. Det daglige arbejde udføres i samarbejde med kommunens Informationssikkerhedsorganisation. Informationssikkerhedsorganisationen består af den øverste sikkerhedsansvarlige, en informationssikkerhedsgruppe og herunder direktører og stabs- og virksomhedsledere Chefen for It- og Indkøb er formand for Informationssikkerhedsgruppen, der mødes ad hoc og straks i forbindelse med alvorlige informationssikkerhedshændelser. Informationssikkerhedsgruppen sikrer i samarbejde med den øverste sikkerhedsansvarlige vedligeholdelse af den samlede informationssikkerhedsbeskrivelse: strategi, organisering og styring, samt de konkrete regler. Ligeledes sikrer de den løbende risikovurdering, samt information til ledelsen omkring informationssikkerhed. Direktører og de enkelte stabs- og virksomhedsledere er ansvarlige for udbredelse af informationssikkerhedsregler til egne medarbejdere og for overholdelse af informationssikkerheden i de fagspecifikke områder og systemer inden for deres ansvarsområde. Sikkerhedsbevidsthed Medarbejdere med adgang til kommunens systemer skal som nævnt i holdninger og principper overholde informationssikkerhedsregler, der er relevante for deres arbejde. Her er det ledelsens ansvar, at sikre at medarbejderne får de fornødne kompetencer, at informationssikkerhed bliver en del af kulturen og indarbejdes i arbejdets tilrettelæggelse. [5]

Informationssikkerhedsgruppen arbejder kontinuerligt med information i form af video, tests mv. der kan understøtte ledelsen arbejde med udvikling af medarbejdernes kompetencer omkring informationssikkerhed. Det skal til en hver tid være muligt for medarbejderne at få adgang til den overordnede informationssikkerhedsstrategi, informationssikkerhedsregler og de underliggende procedurer via kommunens intranet. Overtrædelse Bevidst eller ubevidst overtrædelse af kommunens informationssikkerhed kan medføre, at borgernes oplysninger kompromitteres, at kommunens brugere, samarbejdspartnere, borgere mv. oplever ustabilitet, uregelmæssigheder og uhensigtsmæssigheder i anvendelse og bearbejdning af kommunens informationer. Dette kan medføre økonomisk tab og forringelse af den kommunale service og kommunens omdømme. Overtrædelse af informationssikkerheden skal rapporteres til Informationssikkerhedsgruppen og er den daglige leders ansvar. I alvorlige tilfælde behandles overtrædelsen af kommunaldirektøren og kan få ansættelsesmæssige konsekvenser. Godkendelse Den overordnede informationssikkerhedsstrategi er godkendt af Byrådet den 22. maj 2017. [6]

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback