• No results found

Informationssäkerhetspolicy Hultsfreds kommun

N/A
N/A
Info
Download
Protected

Academic year: 2022

Share "Informationssäkerhetspolicy Hultsfreds kommun"

Copied!
7
0
0

Loading.... (view fulltext now)

Download now ( 7 Page )

Full text

(1)

Informationssäkerhetspolicy

Hultsfreds kommun

(2)

Innehåll

Innehåll ... 2

1. Ledningens syn på informationssäkerhet ... 3

2. Bakgrund ... 4

3. Omfattning ... 4

4. Grundläggande mål för informationssäkerhets-arbetet ... 4

5. Styrning av informationssäkerheten ... 5

6. Organisation, roller och ansvar ... 5

7. Uppföljning ... 7

(3)

1. Ledningens syn på informationssäkerhet

Informationssäkerhetspolicyn redovisar ledningens viljeinriktning och stöd för informationssäkerhetsarbetet och syftar till att klarlägga

• mål för arbetet

• organisation, ansvar och roller

• hur informationssäkerhetsarbetet bör följas upp

Informationssäkerhetsarbetet stödjer kommunens strategiska inriktning samt ingår som en del i kommunens process för ledning och styrning.

Information är en av kommunens mest strategiska resurser. Alla verksamheter är beroende av tillförlitlig information. Avbrott i tillgänglighet till informat-ion kan vara kritiska och felaktig information kan ge allvarliga konsekvenser för kommunens verksamhet eller tredje part.

Ledning och styrning av informationssäkerheten konkretiseras i denna in- formationssäkerhetspolicy och underliggande styrdokument.

Kraven på informationssäkerheten utgår från kommunledningens och verk-samhetens krav på funktion och tillämplighet liksom legala krav, förordning-ar, föreskrifter och avtal. Med rätt informationssäkerhet uppnås hög kvalitet och god effektivitet i det dagliga arbetet.

Risken för störning ska minimeras samtidigt som skydd och åtgärd kontinuerligt balanseras mot kostnader. Insatser utgår från verksamhetens behov och är en del av kommunens totala riskhantering.

Kommunstyrelsen fastställer vilka verksamhetsprocesser som är samhällsvik-tiga. Den information och de IT-system som stöder dessa processer skall då också anses som samhällsviktiga och ges en informationsklassning och ett skydd som motsvarar vikten av information och system.

Oavsett i vilken form informationen hanteras och av vem, så är det alltid den som äger informationen som har ansvaret för att informationen behandlas på ett ändamålsenligt och säkert sätt.

Hultsfreds kommun ska, när så är möjligt, följa etablerade standarder och vägledningar baserade på Svensk Standard för Informationssäkerhet enligt ISO/IEC 27000-serien.

Policyn ska vara känd och tillgänglig i aktuell version på kommunens intranät och på kommunens hemsida.

Avtal och överenskommelser får inte skrivas som åsidosätter kraven i denna policy.

Informationssäkerhetspolicyn ska fastställas av kommunfullmäktige.

(4)

2. Bakgrund

Kommunens alla verksamheter är beroende av att nödvändig information är tillgänglig för rätt person vid rätt tidpunkt samt att den är korrekt och riktig.

Det finns många hot mot våra informationstillgångar. För att säkerställa att

informationen är skyddad finns det särskilda informationssäkerhetskrav som behöver uppfyllas.

Med informationssäkerhet avses skydd av informationstillgångar i syfte att upprätthålla nödvändig nivå på sekretess, riktighet, tillgänglighet och spårbarhet.

Konfidentialitet information skyddas för obehörig insyn

Riktighet information är oförstörd, d.v.s. ej förändrad på ett oönskat sätt

Tillgänglighet information är nåbar vid rätt tillfälle

Spårbarhet specifika aktiviteter som rör information loggas

3. Omfattning

Denna informationssäkerhetspolicy gäller för all verksamhet inom Hultsfreds kommunkoncern, inklusive bolag.

Samtliga anställda, politiker som aktivt arbetar i verksamheten och extern personal omfattas av policyn och dess tillhörande riktlinjer och instruktioner.

Med informationstillgång avses all information oavsett om den behandlas i ett IT- system, förkommer på ett utskrivet papper, i ett anteckningsblock, som ett samtal i korridoren eller i telefonen. Även film, ljud och bild omfattas av in-

formationssäkerhetsbegreppet.

Informationssäkerhet omfattar alla kommunens informationstillgångar.

4. Grundläggande mål för informationssäkerhets- arbetet

Hultsfreds kommuns informationssäkerhetsarbete syftar till att uppfylla följande mål.

Mål

Det övergripande målet är enkelt uttryckt att rätt information ska vara tillgänglig för rätt person vid rätt tid.

(5)

Målet är att användning, administration, förvaltning och utveckling ska ske på ett sätt så att nödvändig nivå på sekretess, riktighet, tillgänglighet och spår-barhet uppnås.

5. Styrning av informationssäkerheten

Informationssäkerhetspolicyn är det övergripande dokumentet som styr

kommunens informationssäkerhet. Policyn anger informationssäkerhetens betydelse för kommunen och motsvarar den översta delen i pyramiden. Ett exempel är att ledningen uttrycker att information ska vara tillgänglig och återläsningsbar.

Riktlinjerna beskriver vad som behöver göras för att efterleva informationssäkerhetspolicyn. Riktlinjerna motsvarar den mellersta nivån i pyramiden.

Ett exempel på riktlinjer är t.ex. att säkerhetskopiering ska genomföras.

Baserat på riktlinjerna utformas instruktioner, rutiner och anvisningar som anger hur rutiner och säkerhetslösningar ska utformas och tillämpas. Detta motsvarar pyramidens lägsta nivå.

6. Organisation, roller och ansvar

Organisation, roller och fördelning av ansvar ska säkerställa att IT-system och tjänster kan administreras och hanteras på ett sådant sätt att de under hela sin livstid bidrar till att stödja avsedd verksamhet och uppfylla informationssäker-hetspolicyns mål.

All information ska klassificeras utifrån dess krav på konfidentialitet (sekretess), riktighet och tillgänglighet. All information som är personuppgifter eller relaterade till personuppgifter ska även klassas utifrån kraven på spårbarhet.

Det ska förtecknas vilken klassificering en informationsmängd har. All hantering, bearbetning och lagring av information skall motsvara kraven i dess klassning.

Organisation av informationssäkerhetsarbetet

• Kommunfullmäktige uttrycker sin viljeinriktning i denna policy.

• Kommunstyrelsen har det yttersta ansvaret för kommunens informations- säkerhetsarbete.

• Kommunchef ansvarar att tillse att kvalitets- och informationssäkerhetsarbetet bedrivs så effektivt som möjligt, genom att visa ett tydligt stöd och fördela

(6)

resurser. Kommunchefen (eller förvaltningschef) ansvarar för att sytemägare utses.

• Varje chef ansvarar för att det finns rutiner som säkerställer att underställda kan efterleva kommunens regelverk för informationssäkerhet.

• Informationssäkerhetssamordnaren har det övergripande och strategiska ansvaret att leda, utveckla och samordna informationssäkerhetsarbetet.

• Informationsägarna har ansvaret för informationen. Informationsägaren avgör vilken information som får hanteras, hur den hanteras och av vem.

All information ska ha en informationsägare. Följande uppställning ger exempel på vem som räknas som informationsansvarig om inget annat beslutats.

Kategori Ägare (om inget annat anges)

Fastställda dokument Den som fastställt dokumentet Data i informationssystem Systemägaren

All annan information Utfärdaren

• Systemägarna har ansvar för respektive system och dess användning. System ska uppfylla informationssäkerhetskraven i förhållande till verksamhetens behov, legala krav och säkerhetskrav. Systemen ska stödja informationens klassificering.

• Alla som hanterar informationstillgångar har ett ansvar för att informations- säkerheten upprätthålls.

• Dataskyddsombud (tidigare personuppgiftsombud) I kommunen är styrelser, nämnder och förbund personuppgiftsansvariga. Enligt Dataskyddsför-ordningen ska de personuppgiftsansvariga utse dataskyddombud med sak-kunskap om lagstiftning och praxis om dataskydd. Rollen ska vara självständig, rådgivande och övervakande så att reglerna i Dataskyddsförordningen följs.

Avtal och ansvarsfördelning

För att tydliggöra ansvar bör avtal upprättas som beskriver formell ansvars- fördelning.

• Servicenivåavtal (”service level agreement” SLA) mellan systemägare och intern eller extern tjänsteleverantör. Här skall behov av skydd och

tillgänglighet beskrivas utifrån verksamhetens behov och den

informationsklassning som gäller. I avtalen skall också metoder för mätning och uppföljning besk-rivas.

• Personuppgiftsbiträdesavtal erfordras om någon part utanför den personupp- giftansvariges egen organisation hanterar personuppgifter som ligger under dennes ansvar.

(7)

7. Uppföljning

Kommunstyrelsen ska minst en gång per år informera sig om hur arbetet med informationssäkerhet går.

Uppföljningen ska baseras på underlag med rekommendationer som tas fram av informationssäkerhetssamordnaren.

Underlaget ska innefatta information om:

- Förändringar utanför kommunen som kan påverka informationssäkerheten - Utbildning (status och behov)

- Inträffade incidenter med större påverkan på verksamheten.

- Resultat från genomförda granskningar och revisioner - Genomförda riskanalyser

- Aktuella och planerade säkerhetsåtgärder - Rekommendationer till förbättringar

Resultatet från denna uppföljning ska innefatta beslut om åtgärder för att för-bättra informationssäkerheten samt tilldelning av resurser.

References

Download now ( PDF - 7 Page - 249.93 KB )

Related documents

Makro-TSH – ett ovanligt in vitro-fenomen som kan ge felaktig diagnos

Vi vill med denna artikel belysa ett kliniskt exempel på makro-TSH och ge förslag på utredning av patienter med för- höjt TSH med normala nivåer av fT4 och fT3 utan kliniska

Ledning och styrning av hjälpmedelsverksamheten

Revisionen menar att den omorganisation som genomfördes i Landstinget Halland 1/1 2007, då bland annat Närsjukvårdsstyrelsen infördes, också omgående borde ha fått konsekvenser

Lunds kommun Granskning av kommunens arbete med bemötande och tillgänglighet

Vi har inte tagit del av några uppgifter som tyder på att det finns en kommunövergripande samordning kring kompetensutveckling inom områdena för tillgänglighet

Ägarroll, styrning och ledning inom offentlig verksamhet

Tjänstemännens valmöjligheterna är alltför stora, eftersom de inte kan ställas till svars för sina handlingar om det inte finns klara regler eller mål som 'styr deras val..

Styrning och ledning av hemtjänstverk-

Antalet äldre personer i Stockholmsregionen ökar, och därmed ökar behoven av särskilt boende. Närmare 400 personer sökte 2015 plats på särskilt boende med heldygnsomsorg från

Informationssäkerhetspolicy i Strängnäs kommun

Informationssäkerhetspolicy i Strängnäs kommun Denna policy är framtagen för att ge en övergripande riktning för Strängnäs kommuns arbete med

Ledning och styrning 2012

Granskningen visar att förvaltningen och nämnderna i stor omfattning anser att de visioner, målsättningar och medel som fastställdes 2001 är inaktuella och att de inte utgör

informationssäkerhetspolicy för Katrineholms kommun

Kunskapen ligger till grund för att förebygga våld i nära relationer och särskilt uppmärksamma kvinnor som utsätts för våld och barn som upplevt våld samt säkerställa att