Informationssikkerhedspolitik
Indledning
Kommunalbestyrelsen har fastlagt denne Informationssikkerhedspolitik som den overordnede ramme for opretholdelse af informationssikkerheden i kommunen.
Politikken skal sikre, at kommunens informationssikkerhed til stadighed er i overensstemmelse med lovmæssige krav og egne behov.
Formål
Formålet med politikken er at beskytte informationer og systemer, uanset hvor disse findes og behandles, så borgernes tillid og retssikkerhed på området bevares, og så kommunens egen forvaltning kan basere sig på fungerende systemer og valide informationer.
Mål
Kommunens regler for informationssikkerhed skal generelt bygges op omkring til den internationale standard ISO 27001, som også er normsættende for den offentlige forvaltning i Danmark.
Sikkerhedsindsatsen skal opfylde nedenstående mål:
- Overensstemmelse med lovgivning og eksterne krav
- Datasikkerhedsforordningen med tilhørende dansk lovgivning.
- Anden relevant lovgivning.
- Sikker drift
- Der skal sikres et driftsmæssigt stabilt niveau, hvor data er beskyttet i forhold til en konkret risikovurdering og i overensstemmelse med lovgivningen.
- Der skal sikres et driftsmæssigt stabilt niveau, hvor data er beskyttet i forhold til en konkret risikovurdering og i overensstemmelse med lovgivningen.
- Fysisk sikkerhed
- For lokationer, som er vitale for sikker drift, skal der etableres tilstrækkelige fysisk sikkerhed mod eksempelvis brand, vandskade, tyveri, hærværk.
- Sikkerhedsforanstaltningerne etableres på baggrund af en konkret risikovurdering.
- Adgang og rettigheder til data og systemer
- Data og systemer skal beskyttes mod uautoriseret adgang jf. en konkret risikovurdering.
- Adgangen til systemer og data skal overvåges, og såvel anvendelsen som de givne autorisationer skal stikprøvevis kontrolleres.
- Anskaffelse af systemer
- Før anskaffelse af systemer skal der foretages en konkret vurdering af behovet for informationssikkerhed i forbindelse med systemet og dets anvendelse i kommunen.
- Før anskaffelse af systemer skal der foretages en konkret vurdering af behovet for informationssikkerhed i forbindelse med systemet og dets anvendelse i kommunen.
- Håndtering af sikkerhedshændelser
- Sikkerhedshændelser skal løbende registreres og behandles.
- Såfremt der er tale om personoplysninger, skal I-sikkerhedsudvalget og databeskyttelsesmedarbejderen omgående inddrages, så den vedtagne procedure for sådanne hændelser kan blive fulgt.
- Beredskabsstyring
- Der skal på baggrund af en konkret risikovurdering etableres et tilstrækkeligt nødberedskab, så kommunens kritiske opgaver hurtigst muligt kan videreføres efter et nedbrud.
- Der skal på baggrund af en konkret risikovurdering etableres et tilstrækkeligt nødberedskab, så kommunens kritiske opgaver hurtigst muligt kan videreføres efter et nedbrud.
- Sporbarhed
- Der skal sikres den nødvendige registrering af adgang til og ændring af følsomme eller kritiske systemer, så det kan spores, hvem der har foretaget handlingen.
- Der skal sikres den nødvendige registrering af adgang til og ændring af følsomme eller kritiske systemer, så det kan spores, hvem der har foretaget handlingen.
- Evaluering
- Der foretages hvert år en samlet vurdering af tilstrækkeligheden af regler og procedurer for kommunens informationssikkerhed.
Informationssikkerhedspolitikken uddybes nærmere i en Informationssikkerhedshåndbog.
Dækningsområde
Informationssikkerhedspolitikken dækker alle områder af kommunens forvaltning. Efter konkret aftale og i et nærmere defineret omfang kan den også omfatte eksterne parter (selvejende virksomheder m.m.), som kommunen måtte udføre services for.
Politikken dækker informationsaktiver i bredest mulig forstand, dvs:
- It-infrastrukturen
- Bl.a. netværk, kommunikationsudstyr, servere, personlige computere af forskellig slags.
- Bl.a. netværk, kommunikationsudstyr, servere, personlige computere af forskellig slags.
- Fagsystemer, informationssystemer
- De forskellige systemer, som understøtter kommunens forvaltning af diverse opgaver.
- De systemer, som danner, opsamler og organiserer information til forskellige formål, herunder kommunens hjemmesider og sider på sociale netværk.
- Digitale teknologier i øvrigt
- Diverse teknologier, som opsamler og behandler informationer, herunder elektronisk overvågning, velfærdsteknologier, Internet of Things (dvs. enheder på internettet, der ikke er traditionelle computere, men som indeholder CPU, software, sensorer, elektronik og internetforbindelse).
- Diverse teknologier, som opsamler og behandler informationer, herunder elektronisk overvågning, velfærdsteknologier, Internet of Things (dvs. enheder på internettet, der ikke er traditionelle computere, men som indeholder CPU, software, sensorer, elektronik og internetforbindelse).
- Papirbaserede arkiver og dokumenter,
- som også kan have stor værdi, og som også kan rumme fortrolige og
- følsomme oplysninger, herunder personoplysninger.
Politikken dækker i sagens natur for alle kommunens forvaltninger og medarbejdere, men den dækker i relevant omfang også for eksterne brugere, samarbejdspartnere og leverandører.
Alle målgrupper skal derfor modtage relevant information om de dele af politikken, som regulerer det pågældende område.
Organisation og ansvar
Kommunen har valgt at organisere arbejdet med informationssikkerheden ud fra nedenstående roller:
- Kommunalbestyrelsen
- Godkender Informationssikkerhedspolitikken.
- Behandler årligt statusrapport fra I-sikkerhedsudvalget og databeskyttelsesmedarbejderen.
- Direktionen
- Behandler og indstiller Informationssikkerhedspolitikken til kommunalbestyrelsens godkendelse.
- Udpeger medlemmerne af i I-sikkerhedsudvalget. Kommunaldirektøren er født formand for udvalget.
- I-sikkerhedsudvalget
- Koordinerer kommunens arbejde med informationssikkerhed, mødes fast 4 gange årligt.
- Godkender ændringer til Informationssikkerhedshåndbogen.
- Håndterer brud på persondatabeskyttelsen.
- Databeskyttelsesmedarbejderen
- Rådgivende og kontrollerende opgaver, som nærmere er reguleret af
- Databeskyttelsesforordningen.
- Udarbejder årligt en rapport til Kommunalbestyrelsen over det foregående års arbejde med informationssikkerheden.
- Deltager i I-sikkerhedsudvalget, men kan ikke deltage i beslutninger, hvor rollen som Databeskyttelsesmedarbejder kræver uafhængighed.
- It-chefen
- Ansvarlig for de dele af kommunens infrastruktur og systemer, som ikke er outsourcet til andre.
- Er medlem af I-sikkerhedsudvalget.
- Systemansvarlige
- Ansvarlige for styring af kontrakter med systemleverandører og driftsleverandører, herunder indgåelse og kontrol af databehandleraftaler.
- Ansvarlig for design og implementering af effektive arbejdsgange for det område, systemet understøtter.
- Lederforums medlemmer
- Lederne har inden for eget ledelsesområde ansvaret for det ledelsesmæssige tilsyn med, at lovgivningen og informationssikkerhedsbestemmelserne efterleves i det daglige.
- Lederne har inden for eget ledelsesområde ansvaret for det ledelsesmæssige tilsyn med, at lovgivningen og informationssikkerhedsbestemmelserne efterleves i det daglige.
- Kommunens medarbejdere
- Medarbejderne efterlever i det daglige de krav og forventninger omkring informationssikkerheden, som er defineret i kommunens regler og procedurer, eller som kendetegner ”god og sikker adfærd” på området.
Evaluering
Et bærende princip for kommunens informationssikkerhed er, at de ansvarlige løbende udfører risiko- og konsekvensvurderinger, og derefter tilpasser sikkerhedsniveauet i overensstemmelse hermed.
Et andet bærende princip er, at der på relevante områder udføres interne kontroller til sikring af, at regler og procedurer også efterleves i det daglige.
Hvert år foretager I-sikkerhedsudvalget en samlet vurdering af tilstrækkeligheden af regler og procedurer for kommunens informationssikkerhed. I forbindelse hermed vurderes det, hvorvidt der er behov for at foretage ændringer i Informationssikkerhedspolitikken.
Politikken er godkendt af kommunalbestyrelsen d. 27.06.2018, og træder i kraft med virkning fra denne dato.
Ole Wej Petersen - BorgmesterAllan Krogh FIltenborg - Kommunaldirektør