• No results found

Yttrande över remiss - Riktlinje för informationssäkerhet

N/A
N/A
Protected

Academic year: 2022

Share "Yttrande över remiss - Riktlinje för informationssäkerhet"

Copied!
9
0
0

Loading.... (view fulltext now)

Full text

(1)

Grundskolenämnden Datum Diarienummer

Barn- och utbildningsförvaltningen 2021-02-02 GSN/2020:704

Förvaltningsledningen Handlingsnummer

Ranald MacDonald 016-710 42 30 2021:436

1 (1)

Grundskolenämnden

Yttrande över remiss - Riktlinje för informationssäkerhet

Förslag till beslut

Yttrandet antas och överlämnas till kommunstyrelsen.

Ärendebeskrivning

Kommunledningskontoret har genomfört en översyn över kommunens informationssäkerhet. Det har lett fram till riktlinjer för kommunens

informationssäkerhet. Riktlinjerna anger Eskilstuna kommuns inriktning och

övergripande principer för informationssäkerhet, liksom roller och definitioner inom området. Alla kommunens verksamheter omfattas av riktlinjen.

Yttrande

Nämnden anser att riktlinjen är bra och väl genomarbetad..

_____

Beslutet skickas till:

Kommunstyrelsen

BARN- OCH UTBILDNINGSFÖRVALTNINGEN

Ingrid Sköldmo Ranald Mac Donald

Förvaltningschef Digitaliseringsstrateg

(2)

Program

Ett program är ett styrande dokument som ska visa en färdriktning genom att innehålla vad som ska uppnås inom ett visst område. Det tar inte ställning till utförande,

prioriteringar och metoder. Program ska vara långsiktiga, ej tidsbegränsade och beslutas av kommunfullmäktige.

Plan

En plan är ett styrande dokument som ska visa en färdriktning genom att innehålla konkreta mål och riktlinjer. Den ska vara tidsbegränsad och beslutas av

kommunfullmäktige.

Policy

En policy är ett styrande dokument som ska visa ett övergripande förhållningssätt och som ska tjäna som vägledning inom ett område, med angivande av övergripande mål och värden som ska eftersträvas. Policys ska vara långsiktiga, ej tidsbegränsade och beslutas av kommunfullmäktige.

Riktlinje

En riktlinje är ett styrande dokument som ska säkerställa ett korrekt agerande och god kvalitet i handläggning och utförande. Riktlinjer ska vara långsiktiga, ej tidsbegränsade och beslutas av kommunfullmäktige.

UTKAST

STYRDOKUMENT

riktlinje för Informationssäkerhet

Beslutad när

Beslutad av Kommunfullmäktige Diarienummer KSKF/2020:360

Ersätter Informationssäkerhetsplan KSKF/2014:112 Gäller för Samtliga nämnder och följande bolag Gäller fr o m

Gäller t o m Tillsvidare

Dokumentansvarig Kommundirektör, Tommy Malm Uppföljning Årlig rapport KS

(3)

Eskilstuna kommun 2 (5)

Ämnesområde och bakgrund

Denna riktlinje anger Eskilstuna kommuns inriktning och övergripande principer för informationssäkerhet, liksom roller och definitioner inom området. Alla kommunens verksamheter omfattas av riktlinjen.

Denna riktlinje och tillhörande anvisningar och rutinbeskrivningar ersätter tidigare informationssäkerhetsplan (KSKF 2014:112) och tillhörande användarinstruktioner.

Om informationssäkerhet

Information finns i alla kommunens verksamheter och handlar om allt det vi gör, därav är informationen en av Eskilstuna kommuns viktigaste tillgångar.

Informationssäkerhet omfattar information i alla dess former och oavsett hur information lagras, bearbetas och kommuniceras. Information kan t.ex.

vara i form av text, ljud, bilder och film och kan hanteras med stöd av IT, papper eller direkt av oss människor i form av tal.

Grundförutsättningen för att kommunen ska kunna utföra sitt uppdrag gentemot invånare, brukare och anställda är att all informationshantering ska hanteras utifrån principen: rätt information, vid rätt tillfälle, till rätt person Information som kommer obehöriga till del, är felaktig, manipulerad eller som inte är tillgänglig när den behövs, kan orsaka skada för den enskilde, ökade kostnader samt påverka samhällets förtroende för kommunen. Arbete med informationssäkerhet ska alltid vara riskbaserat, med medvetenhet om vilken skada som kan åsamkas Eskilstuna kommuns invånare, brukare, anställda och verksamhet.

För att nå ovanstående princip ska informationen vara:

 tillgänglig för behöriga (konfidentialitet)

 korrekt och inte förändras felaktigt av misstag eller avsiktligt (riktighet)

 åtkomlig och kan nyttjas inom önskad tid (tillgänglighet)

De skydd vi har att tillgå för att skydda informationen är av karaktär:

 Digitala/Tekniska skydd: skydd via IT-komponenter, tex behörighetssystem, brandväggar, antivirusprogram, flerfaktors autentisering, kryptering

 Fysiska skydd: t.ex. skal- och brandskydd i lokaler, låsbara skåp, larm, kameror

 Mänskliga skydd: kunskap hos individen om hur informationen får hanteras och kommuniceras, kan t.ex. förmedlas via utbildning, information samt processer och metoder.

(4)

En kombination av flera olika skydd är vanligt förekommande och det som ska eftersträvas.

Mål med informationssäkerhet

Informationssäkerhet har inget egenvärde. Arbetet ska bidra till att Eskilstuna kommun når sina övergripande visioner, strategier och mål. Eskilstuna kommun ska uppnå och upprätthålla en informationssäkerhet som

 innebär en robust, säker och tillförlitlig informationshantering

 möjliggör ett aktivt medverkande i det digitala samhället

 bidrar till att uppsatta mål nås gällande exempelvis kvalitet, effektivitet och personlig integritet

 motsvarar medborgares och externa verksamheters behov och förväntningar

 uttrycks i aktuella styrdokument som riktlinje och anvisningar

 efterlever krav i lagar, förordningar, föreskrifter och avtal

Principer och arbetssätt

Eskilstuna kommun ska arbeta med informationssäkerhet så att ovanstående mål uppfylls. Styrande dokument avseende informationssäkerhet ska

gentemot kommunens verksamheter vara normerande och stödjande, beskriva arbetssätt för efterlevnad, kontroll och uppföljning. Viktiga förmågor i det arbetet är att kunna identifiera hot, sårbarheter och risker rörande Eskilstuna kommuns informationstillgångar samt att kunna utforma och införa säkerhetsåtgärder som reducerar dessa risker till en acceptabel nivå.

Arbetet med informationssäkerhet inom Eskilstuna kommun ska

 bygga på en helhetssyn som utgår från information, men som också innefattar processer, människor och teknik

 vara systematisk och bygga på den etablerade standardserien SS- ISO/IEC 270001.

 löpande ses över och förbättras, eftersom Eskilstuna kommun och dess omvärld, inklusive hotbild, är under ständig förändring

 vara förebyggande och proaktivt, men också ha en god förmåga att kunna hantera incidenter, allvarliga störningar och kriser som ändå kan inträffa

 bygga på Eskilstuna kommuns värderingar och ta hänsyn till verksamheters behov, externa krav samt rådande hotbild

 vara väl kommunicerat till verksamheten. All personal ska

fortlöpande få information och utbildning för att nå och upprätthålla ett högt säkerhetsmedvetande och för att kunna leva upp till denna riktlinje och underliggande anvisningar för informationssäkerhet

 ske i aktiv samverkan med kommunkoncernen och externa

intressenter, såsom myndigheter, företag och nätverk, särskilt sådana

1 Enligt tidigare fattat beslut är certifiering inget krav inom kommunen.

(5)

Eskilstuna kommun 4 (5)

som är normgivande inom informationssäkerhet som t.ex. SKR (Sveriges kommuner och regioner), MSB (Myndigheten för

samhällsskydd och beredskap) och SIS (Swedish Standards Institute).

Roller och ansvar

Kommunfullmäktige fastställer koncernövergripande policys, riktlinjer och planer.

Kommundirektör beslutar i frågor som har betydande påverkan på kommunen och/eller bolagskoncernens verksamhet och ekonomi, efter förankring i koncernledningsgruppen. Fastställer kommungemensamma anvisningar.

Nämnd/styrelse fattar beslut i frågor som är avgränsade till den egna förvaltningen/bolaget och är ytterst ansvarig för att riktlinjen tillämpas i den egna verksamheten, inklusive att definiera ansvar och roller.

Verksamhetsansvariga (chefer) är ansvariga för att riktlinje och

anvisningar för informationssäkerhet tillämpas inom respektive verksamhet bland annat att medarbetare har förutsättningar att hantera kommunens information på ett säkert sätt enligt gällande regler, att informations- säkerhetsincidenter rapporteras och att anskaffning sker enligt rådande beslut.

Processägare och Objektägare kontrollerar att riktlinje och anvisningar inom område informationssäkerhet efterlevs inom respektive process och objektet. Process- och objektägare ska regelbundet rapportera aktuell status för området till verksamhetsansvarig.

Medarbetare är skyldiga att behandla kommunens information enligt gällande riktlinje och anvisningar.

Kommunledningskontoret, Kommunstrateg informationssäkerhet är ansvarig att förvalta styrande dokument inom området informationssäkerhet.

I detta ingår att förvalta, revidera och följa upp efterlevnad av de styrande dokumenten på en övergripande nivå.

Serviceförvaltningen ansvarar för implementation av delar som berör IT- enheternas ansvar samt bevakar efterlevnad av riktlinje och anvisningar i den löpande driften. Avsteg från efterlevnad följs upp för åtgärd.

Uppföljning och rapportering

Efterlevnaden av informationssäkerhetsriktlinjen och anvisningar för informationssäkerhet ska följas upp regelbundet.

(6)

Kommunstrateg informationssäkerhet ska årligen rapportera läge och status gällande informationssäkerhet till kommundirektören och kommunstyrelsen.

Särskilda skäl som till exempel allvarliga incidenter, brister eller behov, kan motivera ytterligare rapporteringar.

Förhållande till redan fattade politiska beslut och lagstiftning

Riktlinje för informationssäkerhet kompletteras med Anvisningar för informationssäkerhet. Dessutom relaterar riktlinjen till IT-policy dnr, IT- plan dnr och riktlinjer inom IT-området.

Lagar och förordningar ställer krav på kommuners informationssäkerhet.

Följande lagar och förordningar ställer direkt eller indirekt krav på

informationssäkerheten (med reservation för att andra lagar och förordningar också kan ha påverkan på informationshanteringen):

Dataskyddsförordningen (Europaparlamentets och rådets förordning 2016/679)

Dataskyddslagen (Lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning)

Tryckfrihetsförordningen (1949:105)

Offentlighets- och sekretesslagen (2009:400)

Säkerhetsskyddslagen (2018:585)

Arkivlagen (1990:782)

Lag om behandling av personuppgifter inom socialtjänsten (2001:454)

Förvaltningslagen (2017:900)

Patientdatalagen (2008:355)

Kommunallagen (2017:725)

Lag om offentlig upphandling (2016:1145)

Lag om informationssäkerhet för samhällsviktiga och digitala tjänster (2018:1174, sk NIS-direktivet

(7)

Kommunstyrelsen Protokollsutdrag

Sammanträdesdatum

2020-11-10

Sida

1(2)

Justerandes sign Utdragsbestyrkande

§ 198

Riktlinje för informationssäkerhet (KSKF/2020:360)

Beslut

1. Förslag till reviderade Riktlinjer för informationssäkerhet remitteras till samtliga nämnder och Kommunala bolag för yttrande.

2. Remissvar ska vara kommunstyrelsen tillhanda senast 31 mars 2020.

Ärendebeskrivning

Arbete pågår att ta fram nya styrande dokument för informationssäkerhet. De nu gällande styrande dokumenten är föråldrade och möter inte de behov som vi idag efterfrågar. De nya styrande dokumenten är tänkta att utgöras av en riktlinje, fyra anvisningar och en plan.

Riktlinjen och planen ska enligt kommunens regler fastställas av Kommunfullmäktige.

Anvisningarna är tänkta att fastställas på tjänstemannanivå. I detta ärende rörande nämndremiss ingår endast riktlinjen som ett första steg. Planen är tänkt att remissas i början av 2021.

Riktlinjens innehåll

Riktlinjen är ett övergripande dokument som tydliggöra mål och principer för informationssäkerhetsarbetet, roller, ansvar samt uppföljning och rapportering.

Riktlinjens innehåll ska tydliggöra att informationssäkerhetsarbetet inkluderar:

 helhetssyn avseende information, processer, människor och teknik

 kommunens värderingar

 hänsyn till verksamheters behov, externa krav och rådande hotbild

 förebyggande och proaktivt arbete

 uppföljning och rapportering

 robust, säker och tillförlitlig informationshantering Arbetssätt och involvering

Arbetet med framtagningen av styrande dokument för informationssäkerhet har letts av kommunstrateg för informationssäkerhet. Arbetet har ursprungligen skett i en mindre gruppering och har därefter utökats till att involvera ca 30 person i organisationen. Presentation av de styrande dokumenten har skett på Kommunledningskontorets ledningsgrupp i september 2020.

(8)

Justerandes sign Utdragsbestyrkande

Finansiering

Förslaget medför inga direkta kostnader. Eftersom de styrande dokumenten innehåller strävansmål, dock kommer kostnader uppkomma i samband med införande av

anvisningar. Dessa hanteras inom ramen för ordinarie budgetprocess.

Konsekvenser för hållbar utveckling och en effektiv organisation Informationssäkerhetsarbetet lägger en grund och skapar förutsättningar för kommunen att utföra sitt uppdrag gentemot invånare, brukare och anställda.

Framtagandet av nya styrande dokument för informationssäkerhet kommer också att vara en viktig komponent för det framtida i digitaliseringsarbetet, liksom för

nuvarande IT-lösningar.

Yrkanden

Jimmy Jansson (S) och Maria Chergui (V) yrkar bifall till kommunledningskontorets förslag.

_____

Beslutet skickas till:

Alla nämnder och kommunala bolag

(9)

Kommunstyrelsen Datum Diarienummer

Kommunledningskontoret 2020-11-20 KSKF/2020:360

Handlingsnummer

2020:4012

1 (1)

Remiss från kommunstyrelsen

Riktlinje för informationssäkerhet

Ärendet remitteras till er för yttrande. Yttrandet ska ha kommit in till kommunstyrelsen via LEX och på papper senast den 31 mars 2021.

Remissinstanser Samtliga nämnder Samtliga bolag

Ansvarig direktör på kommunledningskontoret Lena Lundberg, administrativ direktör

References

Related documents

• ansvarar för att följa kommunens gällande policy och riktlinjer för informationssäkerhet och för respektive informationstillgång... 3 Hantering

Denna riktlinje beskriver den grundsäkerhetsnivå som gäller för all informationshantering i Göteborgs Stad som blivit klassad i nivå 1 för ett eller flera av

Universitetets LIS är baserat på svensk standard SS-ISO/IEC 27001:2017 för att därmed kunna uppfylla kraven i myndighetens för samhällsskydd och beredskap (MSB) föreskrifter

Informationssäkerhet är det samlade arbetet som görs för att hålla kommunens information säker med avseende på konfidentialitet, riktighet, tillgänglighet och

Riktlinjen syftar till att vara ett hjälpmedel i bedömningen för rätten till bistånd avseende anskaffning av bostad för enskilda individer som är bosatta i Eskilstuna kommun..

Information som behövs för att planera patientens vård och omsorg ska finnas tillgänglig och kunna överföras mellan vårdgivare i samband med att patienten flyttar från en

Rekommendationerna som denna granskning resulterat i kan alla inkluderas i det övergripande arbetet med införandet av ett ledningssystem för informationssäkerhet som för

Lantmäteriet har i regleringsbrevet för 2019 fått i uppdrag att redovisa de övergripande åtgärder som myndigheten vidtagit för att bedriva ett systematiskt arbete