Skanderborg Kommune ISMS-regler Informationssikkerhedsregler for hvert krav i ISO 27001:2017 02-04-2018
Indholdsfortegnelse 4 Organisationens kontekst 1 4.1 Forståelse af organisationen og dens kontekst 1 4.2 Forståelse af interessenters behov og forventninger 1 4.3 Bestemmelse af omfanget af ledelsessystemet for 1 informationssikkerhed 4.4 Ledelsessystem for informationssikkerhed 1 5 Lederskab 1 5.1 Lederskab og engagement 1 5.2 Politik 1 5.3 Roller, ansvar og beføjelser i organisationen 2 6 Planlægning 2 6.1 Handlinger til håndtering af risici og muligheder 2 6.1.1 Generelt 3 6.1.2 Vurdering af informationssikkerhedsrisici 3 6.1.3 Håndtering af informationssikkerhedsrisici 3 6.2 Informationssikkerhedsmålsætninger og planlægning for 4 opnåelse heraf 7 Support 4 7.1 Ressourcer 4 7.2 Kompetencer 4 7.3 Bevidsthed 4 7.4 Kommunikation 5 7.5 Dokumenteret information 5 7.5.1 Generelt 5 7.5.2 Udarbejdelse og opdatering af information 5 7.5.3 Styring af dokumenteret information 6 8 Drift 6 8.1 Driftplanlægning og styring 6 8.2 Vurdering af informationssikkerhedsrisici 6 8.3 Håndtering af informationssikkerhedsrisici 6 9 Evaluering 6 9.1 Overvågning, måling, analyse og evaluering 7 9.2 Intern audit 7 9.3 Ledelsens gennemgang 7.0
10 Forbedring 7 10.1 Afvigelser og korrigerende handlinger 7 10.2 Løbende forbedring 8.0
4 Organisationens kontekst 4.1 Forståelse af organisationen og dens kontekst Dokumentation af organisationen Organisationen skal dokumenteres ved hjælp af et organisationsdiagram Alle relevante eksterne interessenter bør identificeres og dokumenteres 4.2 Forståelse af interessenters behov og forventninger Dokumentation af interesserede parters behov og forventninger Alle sikkerhedskrav fra interne og eksterne parter skal dokumenteres Alle interne og eksterne parter, der er relevante for informationssikkerheden, skal identificeres Alle juridiske krav, der berører informationssikkerhed, skal identificeres Alle kontraktlige forpligtelser, der påvirker informationssikkerheden skal identificeres. 4.3 Bestemmelse af omfanget af ledelsessystemet for informationssikkerhed Omfang af informationssikkerhedspolitik Informationssikkerhed defineres som de samlede foranstaltninger til at sikre fortrolighed, tilgængelighed og integritet. Foranstaltninger inkluderer tekniske, proceduremæssige, regel- og lovmæssige kontroller. Dokumentation af anvendelsesområdet for ISMS Det organisatoriske anvendelsesområde for ISMS'et skal dokumenteres 4.4 Ledelsessystem for informationssikkerhed Informationssikkerhedsprocessen Der skal etableres en informationssikkerhedsproces Informationssikkerhedsprocessen skal revideres regelmæssigt Informationssikkerhedsprocesserne skal løbende forbedres baseret på regelmæssige reviews 5 Lederskab 5.1 Lederskab og engagement Ledelsens engagement Ledelsen skal aktivt lede og støtte de medarbejdere, der er ansvarlige for at vedligeholde informationssikkerheden Ledelsen skal aktivt fremme og støtte forbedringer af informationssikkerheden Ledelseskommunikation Ledelsen skal kommunikere betydningen af at overholde kravene til informationssikkerhed. Ledelsens rolle Ledelsen skal støtte virksomhedens informationssikkerhed ved at udlægge klare retningslinier, udvise synligt engagement samt sikre en præcis placering af ansvar. 5.2 Politik Side 1 af 8
Distribution af informationssikkerhedspolitikken Informationssikkerhedspolitikken skal være dokumenteret Informationssikkerhedspolitikken skal kommunikeres ud i organisationen Informationssikkerhedspolitikken skal være tilgængelig for alle relevante parter Revision af informationssikkerhedspolitikken Der skal ske revision af sikkerhedspolitikken mindst en gang om året. Informationssikkerhedspolitikken skal revideres når de forretningsmæssige behov eller virksomhedens mål ændres Etablering af informationssikkerhedspolitikken Ledelsen skal sikre, at sikkerhedsmålene er definerede som en del af informationssikkerhedspolitikken Ledelsen skal sikre, at informationssikkerhedspolitikken dækker alle gældende krav - interne såvel som eksterne Ledelsen skal sikre, at informationssikkerhedspolitikken fremmer den løbende forbedring af ISMS'et Publicering af sikkerhedspolitik Informationssikkerhedspolitikken skal offentliggøres og kommunikeres til alle relevante interessenter, herunder alle medarbejdere. Opfølgning på implementering af sikkerhedspolitikken Mindst en gang årligt skal der udføres systematisk opfølgning på overholdelse af sikkerhedspolitikken i hele organisationen. Resultatet skal rapporteres til øverste ledelse. Godkendelse af sikkerhedspolitik Sikkerhedspolitikken skal hvert år godkendes af ledelsen. Vedligeholdelse af sikkerhedspolitik Sikkerhedschefen har det overordnede ansvar for at oprette, vedligeholde og distribuere sikkerhedspolitikker, regler og procedurer. 5.3 Roller, ansvar og beføjelser i organisationen Sikkerhedsorganisation Skanderborg Kommune skal have et forum for informationssikkerhed, der har ansvar for at sikre, at strategien for informationssikkerhed er synlig, koordineret og i overensstemmelse med Skanderborg Kommunes mål. Der skal være en separat og veldefineret sikkerhedsfunktion, hvis primære arbejdsopgave er at sikre Skanderborg Kommune. Ansvar og bemyndigelse i forbindelse med informationssikkerhed Ledelsen skal uddelegere ansvar og bemyndigelse til at sikre, at kravene i ISO 27001-standarden er opfyldt Koordination af informationssikkerheden Ansvaret for koordination af sikkerheden på tværs i organisationen bæres af den sikkerhedsansvarlige. 6 Planlægning 6.1 Handlinger til håndtering af risici og muligheder Side 2 af 8
6.1.1 Generelt Plan for risikostyring Ledelsen skal sikre at risikostyring er implementeret og planlagt i organisationen. Risikostyringen skal planlægges således både risici og muligheder identificeres. Risikostyringsaktiviteter skal planlægges i et årshjul for Skanderborg Kommune. Konsekvensvurdering Konsekvenser af hændelser i forbindelse med it-systemerne skal løbende vurderes. Konsekvensvurdering skal opdateres hvert år. 6.1.2 Vurdering af informationssikkerhedsrisici Ejerskab Der skal udpeges en ejer for forretningskritiske systemer. Risikokriterier Organisationen skal udarbejde en risikometode, der definerer kriterierne for accept af risiko Organisationen skal udarbejde en risikometode, der definerer kriterierne for, hvornår der skal udføres risikovurderinger. Eksempelvis periodiske vurderinger samt vurderinger ved større it-ændringer. Dokumentation af risikovurderingen Resultaterne af risikovurderingen bør være systematisk og konsekvent dokumenteret Konsistens i risikovurderingerne Organisationen skal fastlægge fælles kriterier for risikovurdering Identifikation af risici Organisationen skal identificere risici forbundet med tab af fortrolighed, integritet og/eller tilgængelighed Identifikation af kritiske processer Alle forretningskritiske funktioner og disses relaterede processer, systemer og ejere skal være identificerede og dokumenterede. Risikostyring Vores risikostyringsprocedurer for informationssikkerhed er i overensstemmelse med ISO 27005 6.1.3 Håndtering af informationssikkerhedsrisici Forsikring mod hændelser Ledelsen skal vurdere, om forsikring kan medvirke til at minimere konsekvensen af tab. Især på områder, hvor sikringsforanstaltninger er vurderet som uhensigtsmæssige eller utilstrækkelige, skal dette overvejes. Risikohåndtering Der skal indføres passende sikringstiltag baseret på risikovurderingen Det valgte sikringstiltag bør sammenholdes med sikringstiltaget anført i standardens Annex A for at sikre, at ingen nødvendige kontroller udelades Der skal udarbejdes en SoA baseret på de valgte sikringstiltag Side 3 af 8
Statement of Applicability bør omfatte begrundelsen for at medtage eller fravælge kontrolforanstaltninger Vi behandler risici ved hjælp af de fire muligheder i ISO 27005: Accepter risici Reducer risici ved at implementere kontroller Del risici Undgå risici 6.2 Informationssikkerhedsmålsætninger og planlægning for opnåelse heraf Om at opnå informationssikkerhedsmål Der skal udarbejdes en plan for, hvordan målene for informationssikkerhed opnås. Planerne for at opnå målsætningerne for informationssikkerhed skal indeholde beskrivelser af: hvilke aktiviteter, der vil blive iværksat hvilke ressourcer, der vil være behov for hvem der skal udføre aktiviteterne hvornår planen vil blive udført hvordan det vurderes, om målene er opfyldt Informationssikkerhedsmål Målsætningerne for informationssikkerhed skal være: i overensstemmelse med informationssikkerhedspolitikken målbare (om muligt) kommunikerede regelmæssigt opdaterede Målsætningerne for informationssikkerhed skal tage hensyn til gældende sikkerhedskrav, internt såvel som eksternt Målsætningerne for informationssikkerhed skal være baseret på risikovurderinger og risikohåndteringsplaner Informationssikkerhedsmålene bør dokumenteres struktureret og ensartet 7 Support 7.1 Ressourcer Sikring af ressourcer til ISMS'et Ledelsen skal sikre, at der afsættes tilstrækkelige ressourcer til at holde ISMS'et kørende 7.2 Kompetencer Tilstrækkelige kompetencer til at drive ISMS et Organisationen skal sikre, at de personer, der er ansvarlige for ISMS'et har de nødvendige kompetencer Hvis ikke alle nødvendige kompetencer er til stede i organisationen, skal der tages initiativ til at tilegne sig disse kompetencer Organisationen skal kunne dokumentere, at de relevante kompetencer er til rådighed 7.3 Bevidsthed Uddannelse i sikkerhedspolitikken Det er en forudsætning for fortsat ansættelse at medarbejdere kvitterer for modtagelse af virksomhedens informationssikkerhedspolitik og for intention om at overholde denne. Side 4 af 8
Alle medarbejdere skal kvittere for, at de har læst og forstået Skanderborg Kommunes informationssikkerhedspolitik. Træning af medarbejderne i Skanderborg Kommunes informationssikkerhedspolitik skal foregå ved inddragelse af forskellige formidlingsmetoder, eksempelvis ved hjælp af e-mail, plakater, rundskrivelser, møder eller kampagner. Alle medarbejdere modtager løbende uddannelse for at sikre viden om og opmærksomhed på informationssikkerhed. Alle nye medarbejdere modtager, senest på første arbejdsdag, Skanderborg Kommunes informationssikkerhedspolitik. 7.4 Kommunikation Kommunikation om informationssikkerhed Organisationen skal fastlægge en kommunikationsplan for informationssikkerhed Kommunikationsplanen for informationssikkerhed skal beskrive: hvad der skal kommunikeres hvornår der skal kommunikeres modtagere hvem, der skal kommunikere hvordan kommunikationen skal foretages (medie/form) 7.5 Dokumenteret information 7.5.1 Generelt Dokumentation af informationssikkerhed Obligatoriske ISMS-dokumenter omfatter: ISMS'ets anvendelsesområde Informationssikkerhedspolitik og -målsætninger metoder for risikovurdering og -håndtering Statement of Applicability Risikovurderingsrapport Risikohåndteringsplan De registreringer, der er nødvendige for at dokumentere effektiviteten af ISMS'et omfatter: resultater af uddannelse, kompetencer, erfaring og kvalifikationer resultater af overvågning og måling intern audit-programmer resultater af intern audit resultater af ledelsesberetningen resultater af korrigerende handlinger 7.5.2 Udarbejdelse og opdatering af information Sprog for sikkerhedspolitik It-sikkerhedspolitikken skal udarbejdes på dansk. Vedligeholdelse af informationssikkerhedsdokumenter og -registreringer Informationssikkerhedsdokumenter og -registreringer skal være klart identificerede (beskrivelse, titel, dato, forfatter, nummer) Side 5 af 8
Informationssikkerhedsdokumenter og -registreringer skal foreligge i en form og på et medie, som er fundet passende Informationssikkerhedsdokumenter og -registreringer skal reviewes og godkendes inden offentliggørelse 7.5.3 Styring af dokumenteret information Håndtering af informationssikkerhedsdokumenter og -registreringer Adgang til informationssikkerhedsdokumenter og -registreringer skal begrænses til personer med et behov for dette Informationssikkerhedsdokumenter og -registreringer skal beskyttes på passende måde Informationssikkerhedsdokumenter og registreringer bør være underlagt versionsstyring 8 Drift 8.1 Driftplanlægning og styring Operationel planlægning af informationssikkerhed Organisationen skal lave planer for imødegåelse af identificerede risici og muligheder Organisationen skal planlægge, hvordan de aftalte informationssikkerhedsmål nås Outsourcede informationssikkerhedsprocesser skal styres på samme måde som de interne informationssikkerhedsprocesser 8.2 Vurdering af informationssikkerhedsrisici Risikoanalyse Der skal udføres detaljeret risikoanalyse for organisationen for de områder, hvor den overordnede risikovurdering begrunder det. Der skal udføres detaljeret risikoanalyse for organisationen. Der skal være udført en overordnet risikoanalyse for virksomheden. Der skal udarbejdes en detaljeret risikoanalyse for alle forretningskritiske systemer. Overordnet risikovurdering Risikovurderingen skal opdateres mindst en gang om året. Der skal gennemføres en bredt funderet risikovurdering med revurdering, der dækker hele organisationen. Målet er at sikre at sårbarheder, trusler og konsekvenser er kendte, og at deres sammenhæng afspejles i organisationens risikoprofil. Risikovurderingen skal som minimum indeholde en generel beskrivelse af de planlagte behandlinger samt en vurdering af risici i forbindelse med den registreredes rettigheder. Risikovurderingen skal desuden beskrive planlagte foranstaltninger i forbindelse med risici, sikkerhedsforanstaltninger og mekanismer til at sikre beskyttelse af persondata under hensyntagen til de registrerede og andre berørte personer rettigheder og legitime interesser. 8.3 Håndtering af informationssikkerhedsrisici Planer for risikohåndtering Risikohåndteringsplaner der adresserer relevante risici, skal implementeres. Definerede risikohåndteringsplaner skal prioriteres og dokumenteres. 9 Evaluering Side 6 af 8
9.1 Overvågning, måling, analyse og evaluering Overvågning af effektiviteten af ISMS et Organisationen skal overvåge effektiviteten af ISMS'et Metoder til overvågning af informationssikkerhedsprocesser og kontrolmål skal indbefatte: hvornår overvågningsaktiviteterne skal foregå, hvem der skal foretage dem, hvornår analysen af resultaterne skal finde sted, hvem der skal foretage analysen af resultaterne Resultaterne af overvågningen skal dokumenteres på en struktureret og sammenhængende måde 9.2 Intern audit Intern informationssikkerheds-audit Den interne revision skal vurdere, om organisationen overholder kravene til informationssikkerhed Den interne revision skal vurdere, om organisationen er i overensstemmelse med ISO 27001 Den interne revision skal vurdere, om ISMS'et fungerer effektivt Auditprogrammet skal dokumentere hvordan og hvornår de intern audit udføres, herunder hyppighed, metode, ansvar, rapportering og revisionskrav Revision af sikkerhedspolitik Den interne audit skal kontrollere, at sikkerhedspolitikken er velimplementeret i organisationen og overholdes. Denne audit skal foretages mindst en gang om året, og audit bør omfatte beskrivelse af årsagen til afvigelser, handlingsplaner, der er nødvendige for at håndtere afvigelserne (korrigerende handlinger) samt en efterfølgende vurdering af effektiviteten af de foranstaltninger, der gennemføres 9.3 Ledelsens gennemgang Ledelsens gennemgang af informationssikkerheden Ledelsen skal gennemgå ISMS'et for at kontrollere, at det er passende, fyldestgørende og effektivt Ledelsens gennemgang skal tage tidligere gennemgange i betragtning Ledelsens gennemgang skal indeholde eksterne og/eller interne ændringer, som kan påvirke informationssikkerheden Ledelsens gennemgang skal overveje håndtering af afvigelser, resultater fra overvågning af informationssikkerhed, resultaterne af interne audit af informationssikkerhed samt overholdelse af informationssikkerhedsmålene Ledelsens gennemgang skal overveje resultaterne af risikovurderinger, risikohåndtering samt muligheder for løbende forbedringer Resultaterne af ledelsens gennemgang skal dokumenteres på en struktureret og ensartet måde, og omfatte beslutninger truffet ved gennemgangen 10 Forbedring 10.1 Afvigelser og korrigerende handlinger Sikkerhedshændelser hos outsourcingleverandør Leverandøren registrerer sikkerhedshændelser, f.eks. brud på fortrolighed, tilgængelighed eller integritet, i eget system. Side 7 af 8
Virksomheden gennemgår eventuelle sikkerhedshændelser sammen med leverandøren med faste intervaller, eksempelvis på aftalte kontraktmøder. Tilgængelighedshændelser Hændelser, der har indflydelse på tilgængelighed, skal afklares i henhold til gældende driftsaftaler (SLA). Driftshændelser, der ikke kan afklares inden for aftalt tid, skal udløse procedurer for hændelseshåndtering. De ramte brugere og systemejere skal informeres. Afvigelser fra informationssikkerheden I tilfælde af afvigelser fra sikringstiltagene, skal organisationen træffe korrigerende foranstaltninger og håndtere potentielle konsekvenser af afvigelsen afvigelser, korrigerende handlinger og effekten af korrigerende handlinger skal dokumenteres Information om sikkerhedshændelser Skanderborg Kommune skal på faktuel vis informere berørte parter internt og eksternt om eventuelle sikkerhedshændelser. It-chefen skal godkende alle eksterne meddelelser. Opfølgning på rapporterede sikkerhedshændelser It-chefen er ansvarlig for at indsamle statistik for rapporterede sikkerhedshændelser. Overtrædelse af sikkerhedsretningslinierne Det er ledelsens ansvar, at sanktioner for brud på virksomhedens politikker, regler eller retningslinier håndhæves konsekvent og i overensstemmelse med gældende lovgivning. Ledelsen skal etablere en formel sanktionsprocedure for medarbejdere, der bryder virksomhedens politikker, regler eller retningslinier for informationssikkerhed Proces for reaktion på hændelser Der skal etableres en proces, som sikrer at hændelsesstyringsplanen løbende evalueres og tilpasses i overensstemmelse med indsamlet erfaring og den generelle udvikling inden for industrien. Virksomheden skal sikre, at personale med ansvar for at reagere på sikkerhedsbrister, uddannes i tilstækkeligt omfang. Den sikkerhedsansvarlige har ansvar for at definere og koordinere en struktureret ledelsesproces, der sikrer en passende reaktion på sikkerhedshændelser. 10.2 Løbende forbedring Løbende forbedringer af informationssikkerheden For at sikre, at ISMS'et til stadighed forbedres, skal organisationen iværksætte en proces, der gør det muligt at reagere på resultaterne fra overvågning af informationssikkerheden, intern audit og ledelsesgennemgang. Side 8 af 8