• No results found

IT-säkerhetspolicy i Ulricehamns kommun

N/A
N/A
Info
Download
Protected

Academic year: 2022

Share "IT-säkerhetspolicy i Ulricehamns kommun"

Copied!
5
0
0

Loading.... (view fulltext now)

Download now ( 5 Page )

Full text

(1)

IT-säkerhetspolicy

R1.00 060216

(2)

IT-säkerhetspolicy

Ulricehamns kommun med bolag

1 INLEDNING...3

2 MÅL FÖR IT-SÄKERHETSARBETET ...3

2.1 L

ÅNGSIKTIGA MÅL

...3

2.2 Å

RLIGA MÅL

...4

3 ORGANISATION, ROLLER OCH ANSVAR...4

3.1 Ö

VERGRIPANDE ANSVAR

...4

3.2 R

OLLER OCH ANSVAR

...4

4 SÄRSKILDA RUTINER ...4

5 REVIDERING OCH UPPFÖLJNING...4

(3)

1 Inledning

IT-säkerhet är en del i organisationens lednings- och kvalitetsprocess som ska bidra till att ett IT- system kan användas på avsett sätt och med avsedd funktionalitet. KBM:s rekommendationer om basnivå för IT-säkerhet (BITS) ska gälla som ramverk för IT-säkerhetsarbetet.

Denna IT-säkerhetspolicy är en del av Ulricehamns kommuns och dess bolags IT-verksamhet och redovisar ledningens viljeinriktning och stöd för IT-säkerhetsarbetet och syftar till att klarlägga:

• mål för IT-säkerhetsarbetet

• organisation, ansvar och roller inom IT-säkerhetsområdet

• eventuella riktlinjer för områden av särskild betydelse

Policyn konkretiseras i IT-säkerhetsinstruktionerna, Förvaltning, Drift och Användare samt i Systemsäkerhetsplaner. I dokumentet står det ”organisationen” vilket syftar på Ulricehamns kommun och dess bolag.

Bild 1 Styrande dokument

IT-säkerhetsinstruktionerna fastställs enligt bestämmelserna i organisationens arbetsordning.

2 Mål för IT-säkerhetsarbetet 2.1 Långsiktiga mål

För organisationens IT-säkerhetsarbete ska gälla att:

lagar och föreskrifter följs

det stöder utvecklingsarbetet

krishanteringsförmågan säkerställs

det förebygger oväntade händelser i IT-systemen som kan leda till negativa konsekvenser

det säkrar en effektiv informationsförsörjning som bidrar till ökat skydd och stöd för medarbetare, samverkande partners och tredje man

alla investeringar både i form av information (data) och teknisk utrustning skyddas i tillräcklig grad

informationen ses som en tillgång och skyddas i paritet med dess värde

all personal ges kunskap om gällande IT-säkerhetsregler

det finns tillgång till en gemensam, säker och väl definierad infrastruktur för extern och intern datakommunikation

hotbilden för varje enskilt samhällsviktig IT-system analyseras fortlöpande

De långsiktiga målen ska säkerställa att organisationen kan tillhandahålla relevant information som:

• endast delges behöriga personer och kan levereras vid rätt tidpunkt och till skäliga kostnader

• är riktig, komplett och aktuell

• efterfrågas och som organisationen har ett ansvar att tillhandahålla IT-säkerhetspolicy

IT-säkerhetsinstruktion Drift

IT-säkerhetsinstruktion Användare

IT-säkerhetsinstruktion Förvaltning

Systemsäkerhetsplan

(4)

2.2 Årliga mål

IT-säkerhetsarbetet ska bedrivas som en integrerad del av organisationens normala verksamhet.

Årliga mål för arbetet ska därför beslutas och framgå av verksamhetsplaneringen.

För de årliga målen bör anges:

• vad ska göras under året

• tidplan (när och hur, sluttidpunkt)

• resurser för arbetet (personella och ekonomiska)

• när och hur uppföljning, utvärdering och avrapportering ska ske

• när och hur organisationens medarbetare ska informeras och utbildas.

3 Organisation, roller och ansvar 3.1 Övergripande ansvar

Det övergripande ansvaret för säkerheten i organisationens IT-verksamhet vilar på kommunchefen.

3.2 Roller och ansvar

Organisation, roller och fördelning av ansvar ska säkerställa att ett IT-system kan administreras och hanteras på ett sådant sätt att det under hela sin livstid bidrar till att stödja avsedd

verksamhet och uppfylla IT-säkerhetspolicyns mål. Detta innebär att ett IT-system med alla dess delar är en resurs i en verksamhet på samma sätt som personal, lokaler, kontorsmaterial mm.

Samtliga IT-system ska vara identifierade och förtecknade och kommunchefen utser systemägare för dessa. Organisationens IT-system ska klara den basnivå för IT-säkerhet som KBM:s

rekommendationer beskriver. För de samhällsviktiga IT-systemen ska en systemsäkerhetsplan vara upprättad i enlighet med KBM:s IT-säkerhetsguide. Planen ska utgöra underlag för utsedd

systemägares beslut om driftgodkännande.

IT-säkerhetssamordnaren ansvarar för att samordna uppföljningen av kommunens och bolagens IT-säkerhetsarbete och rapportera till IT-styrgrupp och kommunchef.

Den interna organisationen för IT-säkerhetsarbetet, roller, fördelning av ansvar och arbetssätt framgår av IT-säkerhetsinstruktion: Förvaltning.

4 Särskilda rutiner

Vissa områden inom området IT-säkerhet är av särskild betydelse för organisationens verksamhet.

Av IT-säkerhetsinstruktionerna ska nedanstående områden och de särskilda riktlinjer, regler och rutiner som gäller för dessa framgå enligt följande:

- IT-säkerhetsinstruktion Förvaltning: Områdena Behörighetsadministration,

behörighetskontroll, loggning och sårbarhet, distansarbete, drift- och förvaltning, tillträdesskydd, säkerhetskopiering och lagring, Avveckling av datamedia och datakommunikation.

- IT-säkerhetsinstruktion Användare; Områdena Informationsklassning, distansarbete, IT- incidenthantering, säkerhetskopiering och lagring, e-post och användning av Internet.

- IT-säkerhetsinstruktion Drift: Områdena system- och driftdokumentationer, förvaring av datamedia, bemanning, tillträdes- och brandskydd, elförsörjning, regler för säkerhetskopiering och förvaring av datamedia.

5 Revidering och uppföljning

Uppföljning är en viktig del i IT-säkerhetsarbetet.

Uppföljningen ska bevaka

- att beslutade åtgärder är genomförda - årliga mål är uppfyllda

- att riktlinjer följs

- att systemsäkerhetsplaner och policydokument vid behov revideras

(5)

Policy, Säkerhetsinstruktioner och Systemsäkerhetsplaner ska löpande följas upp och vid behov revideras.

References

Download now ( PDF - 5 Page - 43.32 KB )

Related documents

IT UT

ibi enim, ob mutata jam Fatalia, Sentcntia quoque, quse, illis antea negle&is, lata fuit & in rem judica- tamtraniiit, tunc utique iimul immutata cenietur.ß) Si,

Följebrev till den Interna webbenkäten, på IT- enheten

7 projektarbetssättet inte tillräckligt strukturerat 8 inget verktyg, utformat för projekthantering 9 delade uppfattningar om när förstudier görs 10 delade uppfattningar

Konsultens roller i IT-baserad verksamhetsutveckling

Modellen ligger till grund för skapandet av vår modell och våra utredningsfrågor vilka syftar till att belysa konsultens roller i IT-baserad verksamhetsutveckling. Genom att

IT IT ikommunalvård ochomsorg

För att inte bara kunna visa vad som finns idag utan även att ge olika aktörer inom IT eller vårdsektorn friare tyglar och låta dem beskriva utvecklingstrender, förhoppningar

Was It Worth It?

Sweden is known to be a highly developed and transparent country (Carlberg, 2008). In addition, it is one of the countries that has the lowest limits of the criteria regarding the

alla IT för

När du lägger till en bild använder du någon av PowerPoints färdiga bildlayouter, som består av en eller fl era platshållare för rubrik och innehåll (texter, bilder med

Användbarhet i interna IT-system

En exakt utvärdering av konkreta användbarhetsproblem genom heuristiska utvärderingar samt utökat undersökning av användarna genom intervjuer och användartester/

Optimering av arbetssätt och processer inom ett IT-företag

Indirekta orsaker till timeouts kan således uttryckas vara brist på införskaffning och analys inom organisationen vilket även relaterar till organisationens