Grundskolenämnden Datum Diarienummer
Barn- och utbildningsförvaltningen 2021-02-02 GSN/2020:704
Förvaltningsledningen Handlingsnummer
Ranald MacDonald 016-710 42 30 2021:436
1 (1)
Grundskolenämnden
Yttrande över remiss - Riktlinje för informationssäkerhet
Förslag till beslut
Yttrandet antas och överlämnas till kommunstyrelsen.
Ärendebeskrivning
Kommunledningskontoret har genomfört en översyn över kommunens informationssäkerhet. Det har lett fram till riktlinjer för kommunens
informationssäkerhet. Riktlinjerna anger Eskilstuna kommuns inriktning och
övergripande principer för informationssäkerhet, liksom roller och definitioner inom området. Alla kommunens verksamheter omfattas av riktlinjen.
Yttrande
Nämnden anser att riktlinjen är bra och väl genomarbetad..
_____
Beslutet skickas till:
Kommunstyrelsen
BARN- OCH UTBILDNINGSFÖRVALTNINGEN
Ingrid Sköldmo Ranald Mac Donald
Förvaltningschef Digitaliseringsstrateg
Program
Ett program är ett styrande dokument som ska visa en färdriktning genom att innehålla vad som ska uppnås inom ett visst område. Det tar inte ställning till utförande,
prioriteringar och metoder. Program ska vara långsiktiga, ej tidsbegränsade och beslutas av kommunfullmäktige.
Plan
En plan är ett styrande dokument som ska visa en färdriktning genom att innehålla konkreta mål och riktlinjer. Den ska vara tidsbegränsad och beslutas av
kommunfullmäktige.
Policy
En policy är ett styrande dokument som ska visa ett övergripande förhållningssätt och som ska tjäna som vägledning inom ett område, med angivande av övergripande mål och värden som ska eftersträvas. Policys ska vara långsiktiga, ej tidsbegränsade och beslutas av kommunfullmäktige.
Riktlinje
En riktlinje är ett styrande dokument som ska säkerställa ett korrekt agerande och god kvalitet i handläggning och utförande. Riktlinjer ska vara långsiktiga, ej tidsbegränsade och beslutas av kommunfullmäktige.
UTKAST
STYRDOKUMENT
riktlinje för Informationssäkerhet
Beslutad när
Beslutad av Kommunfullmäktige Diarienummer KSKF/2020:360
Ersätter Informationssäkerhetsplan KSKF/2014:112 Gäller för Samtliga nämnder och följande bolag Gäller fr o m
Gäller t o m Tillsvidare
Dokumentansvarig Kommundirektör, Tommy Malm Uppföljning Årlig rapport KS
Eskilstuna kommun 2 (5)
Ämnesområde och bakgrund
Denna riktlinje anger Eskilstuna kommuns inriktning och övergripande principer för informationssäkerhet, liksom roller och definitioner inom området. Alla kommunens verksamheter omfattas av riktlinjen.
Denna riktlinje och tillhörande anvisningar och rutinbeskrivningar ersätter tidigare informationssäkerhetsplan (KSKF 2014:112) och tillhörande användarinstruktioner.
Om informationssäkerhet
Information finns i alla kommunens verksamheter och handlar om allt det vi gör, därav är informationen en av Eskilstuna kommuns viktigaste tillgångar.
Informationssäkerhet omfattar information i alla dess former och oavsett hur information lagras, bearbetas och kommuniceras. Information kan t.ex.
vara i form av text, ljud, bilder och film och kan hanteras med stöd av IT, papper eller direkt av oss människor i form av tal.
Grundförutsättningen för att kommunen ska kunna utföra sitt uppdrag gentemot invånare, brukare och anställda är att all informationshantering ska hanteras utifrån principen: rätt information, vid rätt tillfälle, till rätt person Information som kommer obehöriga till del, är felaktig, manipulerad eller som inte är tillgänglig när den behövs, kan orsaka skada för den enskilde, ökade kostnader samt påverka samhällets förtroende för kommunen. Arbete med informationssäkerhet ska alltid vara riskbaserat, med medvetenhet om vilken skada som kan åsamkas Eskilstuna kommuns invånare, brukare, anställda och verksamhet.
För att nå ovanstående princip ska informationen vara:
tillgänglig för behöriga (konfidentialitet)
korrekt och inte förändras felaktigt av misstag eller avsiktligt (riktighet)
åtkomlig och kan nyttjas inom önskad tid (tillgänglighet)
De skydd vi har att tillgå för att skydda informationen är av karaktär:
Digitala/Tekniska skydd: skydd via IT-komponenter, tex behörighetssystem, brandväggar, antivirusprogram, flerfaktors autentisering, kryptering
Fysiska skydd: t.ex. skal- och brandskydd i lokaler, låsbara skåp, larm, kameror
Mänskliga skydd: kunskap hos individen om hur informationen får hanteras och kommuniceras, kan t.ex. förmedlas via utbildning, information samt processer och metoder.
En kombination av flera olika skydd är vanligt förekommande och det som ska eftersträvas.
Mål med informationssäkerhet
Informationssäkerhet har inget egenvärde. Arbetet ska bidra till att Eskilstuna kommun når sina övergripande visioner, strategier och mål. Eskilstuna kommun ska uppnå och upprätthålla en informationssäkerhet som
innebär en robust, säker och tillförlitlig informationshantering
möjliggör ett aktivt medverkande i det digitala samhället
bidrar till att uppsatta mål nås gällande exempelvis kvalitet, effektivitet och personlig integritet
motsvarar medborgares och externa verksamheters behov och förväntningar
uttrycks i aktuella styrdokument som riktlinje och anvisningar
efterlever krav i lagar, förordningar, föreskrifter och avtal
Principer och arbetssätt
Eskilstuna kommun ska arbeta med informationssäkerhet så att ovanstående mål uppfylls. Styrande dokument avseende informationssäkerhet ska
gentemot kommunens verksamheter vara normerande och stödjande, beskriva arbetssätt för efterlevnad, kontroll och uppföljning. Viktiga förmågor i det arbetet är att kunna identifiera hot, sårbarheter och risker rörande Eskilstuna kommuns informationstillgångar samt att kunna utforma och införa säkerhetsåtgärder som reducerar dessa risker till en acceptabel nivå.
Arbetet med informationssäkerhet inom Eskilstuna kommun ska
bygga på en helhetssyn som utgår från information, men som också innefattar processer, människor och teknik
vara systematisk och bygga på den etablerade standardserien SS- ISO/IEC 270001.
löpande ses över och förbättras, eftersom Eskilstuna kommun och dess omvärld, inklusive hotbild, är under ständig förändring
vara förebyggande och proaktivt, men också ha en god förmåga att kunna hantera incidenter, allvarliga störningar och kriser som ändå kan inträffa
bygga på Eskilstuna kommuns värderingar och ta hänsyn till verksamheters behov, externa krav samt rådande hotbild
vara väl kommunicerat till verksamheten. All personal ska
fortlöpande få information och utbildning för att nå och upprätthålla ett högt säkerhetsmedvetande och för att kunna leva upp till denna riktlinje och underliggande anvisningar för informationssäkerhet
ske i aktiv samverkan med kommunkoncernen och externa
intressenter, såsom myndigheter, företag och nätverk, särskilt sådana
1 Enligt tidigare fattat beslut är certifiering inget krav inom kommunen.
Eskilstuna kommun 4 (5)
som är normgivande inom informationssäkerhet som t.ex. SKR (Sveriges kommuner och regioner), MSB (Myndigheten för
samhällsskydd och beredskap) och SIS (Swedish Standards Institute).
Roller och ansvar
Kommunfullmäktige fastställer koncernövergripande policys, riktlinjer och planer.
Kommundirektör beslutar i frågor som har betydande påverkan på kommunen och/eller bolagskoncernens verksamhet och ekonomi, efter förankring i koncernledningsgruppen. Fastställer kommungemensamma anvisningar.
Nämnd/styrelse fattar beslut i frågor som är avgränsade till den egna förvaltningen/bolaget och är ytterst ansvarig för att riktlinjen tillämpas i den egna verksamheten, inklusive att definiera ansvar och roller.
Verksamhetsansvariga (chefer) är ansvariga för att riktlinje och
anvisningar för informationssäkerhet tillämpas inom respektive verksamhet bland annat att medarbetare har förutsättningar att hantera kommunens information på ett säkert sätt enligt gällande regler, att informations- säkerhetsincidenter rapporteras och att anskaffning sker enligt rådande beslut.
Processägare och Objektägare kontrollerar att riktlinje och anvisningar inom område informationssäkerhet efterlevs inom respektive process och objektet. Process- och objektägare ska regelbundet rapportera aktuell status för området till verksamhetsansvarig.
Medarbetare är skyldiga att behandla kommunens information enligt gällande riktlinje och anvisningar.
Kommunledningskontoret, Kommunstrateg informationssäkerhet är ansvarig att förvalta styrande dokument inom området informationssäkerhet.
I detta ingår att förvalta, revidera och följa upp efterlevnad av de styrande dokumenten på en övergripande nivå.
Serviceförvaltningen ansvarar för implementation av delar som berör IT- enheternas ansvar samt bevakar efterlevnad av riktlinje och anvisningar i den löpande driften. Avsteg från efterlevnad följs upp för åtgärd.
Uppföljning och rapportering
Efterlevnaden av informationssäkerhetsriktlinjen och anvisningar för informationssäkerhet ska följas upp regelbundet.
Kommunstrateg informationssäkerhet ska årligen rapportera läge och status gällande informationssäkerhet till kommundirektören och kommunstyrelsen.
Särskilda skäl som till exempel allvarliga incidenter, brister eller behov, kan motivera ytterligare rapporteringar.
Förhållande till redan fattade politiska beslut och lagstiftning
Riktlinje för informationssäkerhet kompletteras med Anvisningar för informationssäkerhet. Dessutom relaterar riktlinjen till IT-policy dnr, IT- plan dnr och riktlinjer inom IT-området.
Lagar och förordningar ställer krav på kommuners informationssäkerhet.
Följande lagar och förordningar ställer direkt eller indirekt krav på
informationssäkerheten (med reservation för att andra lagar och förordningar också kan ha påverkan på informationshanteringen):
Dataskyddsförordningen (Europaparlamentets och rådets förordning 2016/679)
Dataskyddslagen (Lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning)
Tryckfrihetsförordningen (1949:105)
Offentlighets- och sekretesslagen (2009:400)
Säkerhetsskyddslagen (2018:585)
Arkivlagen (1990:782)
Lag om behandling av personuppgifter inom socialtjänsten (2001:454)
Förvaltningslagen (2017:900)
Patientdatalagen (2008:355)
Kommunallagen (2017:725)
Lag om offentlig upphandling (2016:1145)
Lag om informationssäkerhet för samhällsviktiga och digitala tjänster (2018:1174, sk NIS-direktivet
Kommunstyrelsen Protokollsutdrag
Sammanträdesdatum
2020-11-10
Sida
1(2)
Justerandes sign Utdragsbestyrkande
§ 198
Riktlinje för informationssäkerhet (KSKF/2020:360)
Beslut
1. Förslag till reviderade Riktlinjer för informationssäkerhet remitteras till samtliga nämnder och Kommunala bolag för yttrande.
2. Remissvar ska vara kommunstyrelsen tillhanda senast 31 mars 2020.
Ärendebeskrivning
Arbete pågår att ta fram nya styrande dokument för informationssäkerhet. De nu gällande styrande dokumenten är föråldrade och möter inte de behov som vi idag efterfrågar. De nya styrande dokumenten är tänkta att utgöras av en riktlinje, fyra anvisningar och en plan.
Riktlinjen och planen ska enligt kommunens regler fastställas av Kommunfullmäktige.
Anvisningarna är tänkta att fastställas på tjänstemannanivå. I detta ärende rörande nämndremiss ingår endast riktlinjen som ett första steg. Planen är tänkt att remissas i början av 2021.
Riktlinjens innehåll
Riktlinjen är ett övergripande dokument som tydliggöra mål och principer för informationssäkerhetsarbetet, roller, ansvar samt uppföljning och rapportering.
Riktlinjens innehåll ska tydliggöra att informationssäkerhetsarbetet inkluderar:
helhetssyn avseende information, processer, människor och teknik
kommunens värderingar
hänsyn till verksamheters behov, externa krav och rådande hotbild
förebyggande och proaktivt arbete
uppföljning och rapportering
robust, säker och tillförlitlig informationshantering Arbetssätt och involvering
Arbetet med framtagningen av styrande dokument för informationssäkerhet har letts av kommunstrateg för informationssäkerhet. Arbetet har ursprungligen skett i en mindre gruppering och har därefter utökats till att involvera ca 30 person i organisationen. Presentation av de styrande dokumenten har skett på Kommunledningskontorets ledningsgrupp i september 2020.
Justerandes sign Utdragsbestyrkande
Finansiering
Förslaget medför inga direkta kostnader. Eftersom de styrande dokumenten innehåller strävansmål, dock kommer kostnader uppkomma i samband med införande av
anvisningar. Dessa hanteras inom ramen för ordinarie budgetprocess.
Konsekvenser för hållbar utveckling och en effektiv organisation Informationssäkerhetsarbetet lägger en grund och skapar förutsättningar för kommunen att utföra sitt uppdrag gentemot invånare, brukare och anställda.
Framtagandet av nya styrande dokument för informationssäkerhet kommer också att vara en viktig komponent för det framtida i digitaliseringsarbetet, liksom för
nuvarande IT-lösningar.
Yrkanden
Jimmy Jansson (S) och Maria Chergui (V) yrkar bifall till kommunledningskontorets förslag.
_____
Beslutet skickas till:
Alla nämnder och kommunala bolag
Kommunstyrelsen Datum Diarienummer
Kommunledningskontoret 2020-11-20 KSKF/2020:360
Handlingsnummer
2020:4012
1 (1)
Remiss från kommunstyrelsen
Riktlinje för informationssäkerhet
Ärendet remitteras till er för yttrande. Yttrandet ska ha kommit in till kommunstyrelsen via LEX och på papper senast den 31 mars 2021.
Remissinstanser Samtliga nämnder Samtliga bolag
Ansvarig direktör på kommunledningskontoret Lena Lundberg, administrativ direktör