Informationssäkerhetspolicy
Hultsfreds kommun
Innehåll
Innehåll ... 2
1. Ledningens syn på informationssäkerhet ... 3
2. Bakgrund ... 4
3. Omfattning ... 4
4. Grundläggande mål för informationssäkerhets-arbetet ... 4
5. Styrning av informationssäkerheten ... 5
6. Organisation, roller och ansvar ... 5
7. Uppföljning ... 7
1. Ledningens syn på informationssäkerhet
Informationssäkerhetspolicyn redovisar ledningens viljeinriktning och stöd för informationssäkerhetsarbetet och syftar till att klarlägga
• mål för arbetet
• organisation, ansvar och roller
• hur informationssäkerhetsarbetet bör följas upp
Informationssäkerhetsarbetet stödjer kommunens strategiska inriktning samt ingår som en del i kommunens process för ledning och styrning.
Information är en av kommunens mest strategiska resurser. Alla verksamheter är beroende av tillförlitlig information. Avbrott i tillgänglighet till informat-ion kan vara kritiska och felaktig information kan ge allvarliga konsekvenser för kommunens verksamhet eller tredje part.
Ledning och styrning av informationssäkerheten konkretiseras i denna in- formationssäkerhetspolicy och underliggande styrdokument.
Kraven på informationssäkerheten utgår från kommunledningens och verk-samhetens krav på funktion och tillämplighet liksom legala krav, förordning-ar, föreskrifter och avtal. Med rätt informationssäkerhet uppnås hög kvalitet och god effektivitet i det dagliga arbetet.
Risken för störning ska minimeras samtidigt som skydd och åtgärd kontinuerligt balanseras mot kostnader. Insatser utgår från verksamhetens behov och är en del av kommunens totala riskhantering.
Kommunstyrelsen fastställer vilka verksamhetsprocesser som är samhällsvik-tiga. Den information och de IT-system som stöder dessa processer skall då också anses som samhällsviktiga och ges en informationsklassning och ett skydd som motsvarar vikten av information och system.
Oavsett i vilken form informationen hanteras och av vem, så är det alltid den som äger informationen som har ansvaret för att informationen behandlas på ett ändamålsenligt och säkert sätt.
Hultsfreds kommun ska, när så är möjligt, följa etablerade standarder och vägledningar baserade på Svensk Standard för Informationssäkerhet enligt ISO/IEC 27000-serien.
Policyn ska vara känd och tillgänglig i aktuell version på kommunens intranät och på kommunens hemsida.
Avtal och överenskommelser får inte skrivas som åsidosätter kraven i denna policy.
Informationssäkerhetspolicyn ska fastställas av kommunfullmäktige.
2. Bakgrund
Kommunens alla verksamheter är beroende av att nödvändig information är tillgänglig för rätt person vid rätt tidpunkt samt att den är korrekt och riktig.
Det finns många hot mot våra informationstillgångar. För att säkerställa att
informationen är skyddad finns det särskilda informationssäkerhetskrav som behöver uppfyllas.
Med informationssäkerhet avses skydd av informationstillgångar i syfte att upprätthålla nödvändig nivå på sekretess, riktighet, tillgänglighet och spårbarhet.
Konfidentialitet information skyddas för obehörig insyn
Riktighet information är oförstörd, d.v.s. ej förändrad på ett oönskat sätt
Tillgänglighet information är nåbar vid rätt tillfälle
Spårbarhet specifika aktiviteter som rör information loggas
3. Omfattning
Denna informationssäkerhetspolicy gäller för all verksamhet inom Hultsfreds kommunkoncern, inklusive bolag.
Samtliga anställda, politiker som aktivt arbetar i verksamheten och extern personal omfattas av policyn och dess tillhörande riktlinjer och instruktioner.
Med informationstillgång avses all information oavsett om den behandlas i ett IT- system, förkommer på ett utskrivet papper, i ett anteckningsblock, som ett samtal i korridoren eller i telefonen. Även film, ljud och bild omfattas av in-
formationssäkerhetsbegreppet.
Informationssäkerhet omfattar alla kommunens informationstillgångar.
4. Grundläggande mål för informationssäkerhets- arbetet
Hultsfreds kommuns informationssäkerhetsarbete syftar till att uppfylla följande mål.
Mål
Det övergripande målet är enkelt uttryckt att rätt information ska vara tillgänglig för rätt person vid rätt tid.
Målet är att användning, administration, förvaltning och utveckling ska ske på ett sätt så att nödvändig nivå på sekretess, riktighet, tillgänglighet och spår-barhet uppnås.
5. Styrning av informationssäkerheten
Informationssäkerhetspolicyn är det övergripande dokumentet som styr
kommunens informationssäkerhet. Policyn anger informationssäkerhetens betydelse för kommunen och motsvarar den översta delen i pyramiden. Ett exempel är att ledningen uttrycker att information ska vara tillgänglig och återläsningsbar.
Riktlinjerna beskriver vad som behöver göras för att efterleva informationssäkerhetspolicyn. Riktlinjerna motsvarar den mellersta nivån i pyramiden.
Ett exempel på riktlinjer är t.ex. att säkerhetskopiering ska genomföras.
Baserat på riktlinjerna utformas instruktioner, rutiner och anvisningar som anger hur rutiner och säkerhetslösningar ska utformas och tillämpas. Detta motsvarar pyramidens lägsta nivå.
6. Organisation, roller och ansvar
Organisation, roller och fördelning av ansvar ska säkerställa att IT-system och tjänster kan administreras och hanteras på ett sådant sätt att de under hela sin livstid bidrar till att stödja avsedd verksamhet och uppfylla informationssäker-hetspolicyns mål.
All information ska klassificeras utifrån dess krav på konfidentialitet (sekretess), riktighet och tillgänglighet. All information som är personuppgifter eller relaterade till personuppgifter ska även klassas utifrån kraven på spårbarhet.
Det ska förtecknas vilken klassificering en informationsmängd har. All hantering, bearbetning och lagring av information skall motsvara kraven i dess klassning.
Organisation av informationssäkerhetsarbetet
• Kommunfullmäktige uttrycker sin viljeinriktning i denna policy.
• Kommunstyrelsen har det yttersta ansvaret för kommunens informations- säkerhetsarbete.
• Kommunchef ansvarar att tillse att kvalitets- och informationssäkerhetsarbetet bedrivs så effektivt som möjligt, genom att visa ett tydligt stöd och fördela
resurser. Kommunchefen (eller förvaltningschef) ansvarar för att sytemägare utses.
• Varje chef ansvarar för att det finns rutiner som säkerställer att underställda kan efterleva kommunens regelverk för informationssäkerhet.
• Informationssäkerhetssamordnaren har det övergripande och strategiska ansvaret att leda, utveckla och samordna informationssäkerhetsarbetet.
• Informationsägarna har ansvaret för informationen. Informationsägaren avgör vilken information som får hanteras, hur den hanteras och av vem.
All information ska ha en informationsägare. Följande uppställning ger exempel på vem som räknas som informationsansvarig om inget annat beslutats.
Kategori Ägare (om inget annat anges)
Fastställda dokument Den som fastställt dokumentet Data i informationssystem Systemägaren
All annan information Utfärdaren
• Systemägarna har ansvar för respektive system och dess användning. System ska uppfylla informationssäkerhetskraven i förhållande till verksamhetens behov, legala krav och säkerhetskrav. Systemen ska stödja informationens klassificering.
• Alla som hanterar informationstillgångar har ett ansvar för att informations- säkerheten upprätthålls.
• Dataskyddsombud (tidigare personuppgiftsombud) I kommunen är styrelser, nämnder och förbund personuppgiftsansvariga. Enligt Dataskyddsför-ordningen ska de personuppgiftsansvariga utse dataskyddombud med sak-kunskap om lagstiftning och praxis om dataskydd. Rollen ska vara självständig, rådgivande och övervakande så att reglerna i Dataskyddsförordningen följs.
Avtal och ansvarsfördelning
För att tydliggöra ansvar bör avtal upprättas som beskriver formell ansvars- fördelning.
• Servicenivåavtal (”service level agreement” SLA) mellan systemägare och intern eller extern tjänsteleverantör. Här skall behov av skydd och
tillgänglighet beskrivas utifrån verksamhetens behov och den
informationsklassning som gäller. I avtalen skall också metoder för mätning och uppföljning besk-rivas.
• Personuppgiftsbiträdesavtal erfordras om någon part utanför den personupp- giftansvariges egen organisation hanterar personuppgifter som ligger under dennes ansvar.
7. Uppföljning
Kommunstyrelsen ska minst en gång per år informera sig om hur arbetet med informationssäkerhet går.
Uppföljningen ska baseras på underlag med rekommendationer som tas fram av informationssäkerhetssamordnaren.
Underlaget ska innefatta information om:
- Förändringar utanför kommunen som kan påverka informationssäkerheten - Utbildning (status och behov)
- Inträffade incidenter med större påverkan på verksamheten.
- Resultat från genomförda granskningar och revisioner - Genomförda riskanalyser
- Aktuella och planerade säkerhetsåtgärder - Rekommendationer till förbättringar
Resultatet från denna uppföljning ska innefatta beslut om åtgärder för att för-bättra informationssäkerheten samt tilldelning av resurser.