• No results found

07.1. Regler för informationssäkerhet

N/A
N/A
Info
Download
Protected

Academic year: 2022

Share "07.1. Regler för informationssäkerhet"

Copied!
5
0
0

Loading.... (view fulltext now)

Download now ( 5 Page )

Full text

(1)

Besök Postadress Telefon växel Fax reception Internet

Turebergshuset 191 86 08-579 210 00 08-35 02 90 www.sollentuna.se Turebergs torg Sollentuna

Dnr 2014/0041 KS-1 Diariekod: 063

Kommunstyrelsen

Regler för informationssäkerhet

Förslag till beslut

Kommunstyrelsens arbetsutskott föreslår att kommunstyrelsen beslutar följande:

• Kommunstyrelsen antar Regler för informationssäkerhet i enlighet med bilaga 1 till tjänsteutlåtande 2014-01-21.

Sammanfattning

Kommunfullmäktige antog 2011-12-14 Policy för informationssäkerhet för Sollentuna kommun. I policyn anges att kommunstyrelsen ska fastställa regler för kommunens informationssäkerhet.

I ärendet har ett förslag på Regler för informationssäkerhet tagits fram.

Syftet med informationssäkerhet är att förhindra att kommunens information förvanskas eller förstörs samt att informationen ska vara tillgänglig och riktig när den behövs.

Bakgrund

Kommunfullmäktige antog 2011-12-14 Policy för informationssäkerhet för Sollentuna kommun. Policyn tydliggör kommunens förhållningssätt, ställningstagande och ansvar när det gäller informationssäkerhet i Sollentuna kommun.

I policyn anges att kommunstyrelsen ska fastställa regler för kommunens informationssäkerhet. Till reglerna ska kommunledningskontoret fastställa anvisningar som detaljerat reglerar informationssäkerhetsarbetet.

Information är en viktig tillgång som måste behandlas och skyddas på ett tillfredsställande sätt samtidigt som tillgången till informationen och öppenheten inom kommunens verksamheter ska vara så stor som möjligt.

Myndigheten för samhällsskydd och beredskap (MSB) har i uppgift att samordna arbetet med samhällets informationssäkerhet. Datainspektionen är tillsynsmyndighet enligt Personuppgiftslagen (PUL) med ansvar för skydd av personlig integritet vid behandling av personuppgifter.

(2)

Informationssäkerhet

Definitioner

Information

Med information avses all information som hanteras inom hela den kommunala verksamheten oavsett om den behandlas manuellt eller med IT-baserade system och oberoende av i vilken form eller miljö den förekommer.

Informationssäkerhet

Med informationssäkerhet avses säkerställande av kommunens

informationstillgångar det vill säga de åtgärder som vidtas för att hindra att information förvanskas eller förstörs samt de åtgärder som vidtas för att informationen ska vara tillgänglig när den behövs.

Informationssäkerhet är en del av kommunens lednings- och

kvalitetsprocess som ska bidra till att informationen kan användas på avsett sätt och med avsedd funktion.

Begreppet informationssäkerhet används ibland synonymt med i IT- säkerhet. Informationssäkerhet omfattar dock ett större område till för att skydda information utifrån samtliga kategorierna tekniskt, fysiskt,

administrativt och organisatoriskt skydd. IT-säkerhet utgör en viktig del av informationssäkerhet.

Arbetet med informationssäkerhet

Syftet med kommunens informationssäkerhetsarbete är att säkerställa

• konfidentialitet/sekretess

• tillgänglighet

• riktighet

• spårbarhet

Informationssäkerhet ska omfatta tekniska och organisatoriska

skyddsåtgärder. Klassificering av system och information kommer att användas som en metod att säkerställa att informationssäkerhetsarbetet ligger på rätt nivå.

Lagstiftning och styrdokument

Lagstiftning

Det finns en rad lagar som reglerar skyddet för olika typer av information.

Först och främst är det tryckfrihetsförordningen och offentlighets- och sekretesslagen (2009:400) som tillsammans reglerar hanteringen av allmänna handlingar.

(3)

Annan viktig lagstiftning när det gäller skydd av en viss typ av information är personuppgiftslagen (1998:204), patientdatalagen (2008:355) och de s.k.

registerlagarna. I dessa lagar finns bestämmelser om hur personuppgifter ska hanteras och skyddas.

I personuppgiftslagen regleras att den som är personuppgiftsansvarig (varje myndighet dvs. nämnd) ska vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifterna. Till tekniska åtgärder räknas t.ex. brandväggar, krypteringsfunktioner och anti-virus, medan organisatoriska åtgärder handlar om säkerhetsarbetets organisation och rutiner, instruktioner och policyer.

Regler om skydd av viss typ av information finns också i

säkerhetsskyddslagen (1996:627) och säkerhetsskyddsförordning (1996:633) samt i brottsbalken.

Kommunala styrdokument

Kommunen har antagit ”Policy för informationssäkerhet”. Bestämmelser om hantering av information (handlingar) finns också i bland annat ”Regler för dokumenthantering i Sollentuna kommun” och ”Regler för användning av sociala medier” antagna av kommunstyrelsen samt i ”Arkivreglementet för Sollentuna kommun” antaget av fullmäktige. IT-relaterade regler om information finns också i viss mån i IT-policyn, antagen av fullmäktige.

Kommunledningskontorets beredning

Behov av regler

Den traditionella pappershanteringen av information har sedan länge omgärdats av lagregler, rutiner och kontroller som ur en säkerhetsaspekt fungerat väl. Risk för obehörig åtkomst, spridning och förvanskning av information har varit liten när det gäller t.ex. handlingar som förvarats på ett kontor eller i akter som förvaras i låsta arkivlokaler.

Det har visat sig att övergången från traditionell pappershantering till digital informationshantering i flera fall resulterat i att arbetet med

informationssäkerhet blivit eftersatt.

Dagens informationshantering utförs i hög grad med stöd av it. Den ökande digitala hanteringen innebär stora möjligheter för myndigheter och enskilda men den innebär också ökade risker. Incidenter såsom dataintrång,

bedrägerier och spridning av skadlig kod ökar i samhället idag enligt myndigheten för samhällsskydd och beredskap (MSB).

Enligt kommunledningskontorets förstudierapport ”Gemensamma principer för dokument- och ärendehantering samt e-arkiv” (KS 2013/1899) hanterar 75 olika IT-stöd i kommunen digital information av olika slag

(administrativa handlingar, betyg, medicinska journaler etc). Därutöver förvaras drygt en miljon filer (c:a 8 000 Gb) på I:\-disken.

I kommunens slutarkiv finns c:a 2 km handlingar i slutarkivet.

(4)

Samtlig information ska hanteras enligt kommunens regelverk för informationssäkerhet.

Kommunen har en av fullmäktige antagen policy för informationssäkerhet men saknar regler och anvisningar för informationssäkerhet. I detta ärende föreligger förslag till ”Regler för informationssäkerhet”. När det gäller informationssäkerhet finns det en relativt omfattande lagstiftning men genom antagande av regler och utarbetande av detaljerade anvisningar förstärks och förtydligas kommunens arbete med informationssäkerhet.

GAP-analys av informationssäkerhetsläget i Sollentuna kommun

Våren 2010 genomfördes en så kallad GAP-analys (GAP-analys är en allmän benämning för att identifiera, precisera och åtgärda gapet mellan en befintlig och en önskad situation) av informationssäkerhetsläget i Sollentuna kommun.

Utifrån denna analys har arbete med att införa ledningssystem för informationssäkerhet bedrivits sedan 2011. Arbete på förvaltningarna innebär bland annat informationsklassning, framtagande av riskaanalyser och kontinuitetsplaner samt medarbetarutbildning.

Förslaget - Regler för informationssäkerhet

Kommunledningskontoret föreslår att kommunstyrelsen antar regler för informationssäkerhet. Reglerna baseras på den policy som antagits av fullmäktige.

De förslagna reglerna fyller en viktigt funktion dels genom att fastställa åtgärder för informationssäkerhet där lagstiftning saknas dels genom att förtydliga viktiga regler i lagstiftningen.

Några viktiga områden som regleras i förslaget är följande:

- Organisation och process för informationssäkerhetsarbetet i kommunen.

- Hanteringen av informationssäkerhet gentemot externa parter, t.ex.

vid anlitande av konsulter.

- Krav på att kartlägga information och genomföra

gallringsutredningar vilket ska säkerställa offentlighetsprincipens tillämpning.

- Krav på att genomföra riskanalyser och hantering av incidenter.

- Lagkravet på att upprätta personuppgiftsbiträdesavtal förtydligas, vilket ska säkerställa skydd för personuppgifter vid extern drift.

- Klassning av information utifrån informationens skyddsvärde ska göras.

- Möjlighet till övervakning och loggning regleras samt krav på åtkomsträttigheter och behörigheter införs.

(5)

I reglerna bemyndigas kommunledningskontoret att fastställa anvisningar inom informationssäkerhetsområdet för de verksamheter där det är aktuellt.

För att informationssäkerhetsarbetet ska fungera väl inom varje specifik verksamhet och i takt med teknikutvecklingen föreslås att anvisningar till reglerna ska fastställas på tjänstemannanivå.

Ekonomiska konsekvenser

Kontorets bedömning är att reglerna inte medför några direkta ekonomiska konsekvenser för kommunen. Arbetet med informationssäkerhet ska beaktas i varje verksamhets dagliga arbete.

Avsaknad av och dålig kunskap om informationssäkerhet kan däremot få långtgående ekonomiska konsekvenser och bristande informationssäkerhet kan resultera i att kommunens verksamheter inte kan bedrivas på ett ändamålsenligt och effektivt sätt.

Katarina Kämpe Richard Buske

Kommundirektör

References

Download now ( PDF - 5 Page - 100.06 KB )

Related documents

14.1. Regler för medborgardialog i Sollentuna kommun

Den ger även stöd till nämnderna och förvaltningarna hur och när man ska arrangera medborgardialog samt höjer kunskapen om vad medborgardialog är. Därför föreslås att

14.2. Bilaga - Regler för medborgardialog i Sollentuna kommun

fungerande dialog som kan vara ett underlag för de förtroendevalda inför beslut behöver dialogen ske mellan politiker, invånare och tjänstemän?. För att resultatet av en dialog

19.1 Reviderade regler för bisysslor i Sollentuna kommun

• Kommunstyrelsen antar reviderade regler för bisysslor i Sollentuna kommun i enlighet med bilaga till tjänsteutlåtande

07. Svar på remiss av förslag till regler för visselblåsning i Sollentuna kommun

Kultur- och fritidsnämnden ställer sig positiv till förslaget till regler för hantering av visselblåsning i Sollentuna kommun med kommentarer i enlighet med bifogat yttrande.

11.3 Regler för representation i Sollentuna kommun

Dessa regler gäller för förtroendevalda och anställda i Sollentuna kommun när de utövar extern eller intern representation för kommunen.. Med representation avses när

11.5 Regler för flaggning i Sollentuna kommun

Vid flaggning från flera stänger i rad med enbart nordiska flaggor, placeras flaggorna i svensk alfabetisk ordning från vänster till höger när man står med ryggen mot den plats

22.1. Regler för lokalresursplanering i Sollentuna kommun

Kommunledningskontoret föreslår kommunstyrelsen besluta följande : Införa regler som behandlar kommunens lokalresursplanering samt att en lokalresursplan årligen skall

13.1 Nya regler för upphandling i Sollentuna kommun samt regler för miljökrav vid upphandling och inköp i Sollentuna kommun

• Kommunstyrelsen antar reviderade regler för miljökrav och inköp i Sollentuna kommun i enlighet med bilaga 2 till KLK tjänsteutlåtande