SID 1/ 4 FASTSTÄLLD AV KOMMUNFULLMÄKTIGE
SID 1/ 4 FASTSTÄLLD AV KOMMUNFULLMÄKTIGE
2019-09-09 § 112
1.1.6.1
Informationssäkerhetspolicy
Inledning
Informationssäkerhetspolicyn är den del av Vallentuna kommuns lednings- och kvalitetsprocess som avser hantering av kommunens information.
Informationssäkerhetspolicyn är ett övergripande styrdokument och styr tillsammans med särskilda informationssäkerhetsrutiner kommunens informationssäkerhets- arbete.
Informationssäkerhets- rutin användare
Målgrupp: samtliga medarbetare
Informationssäkerhets- rutin kontinuitet och drift
Målgrupp: IT- driftansvariga
Informationssäkerhets- rutin förvaltning
Målgrupp: ledning, systemägare och samordningsansvarig
Informationssäkerhetspolicy
Policyns roll i informationssäkerhetsarbetet Informationssäkerhetspolicyn redovisar kommunens viljeinriktning och mål för informationssäkerhetsarbetet. Policyn konkretiseras i informationssäkerhetsrutiner enligt nedan.
Allmänt om informationssäkerhet
Informationssäkerheten omfattar kommunens informationstillgångar utan undantag. Med informationstillgångar avses all information oavsett om den behandlas manuellt eller automatiserat och oberoende av i vilken form eller miljö den förekommer. Med informationssäkerhet avses att säkerställa följande:
• att rätt information är tillgänglig för rätt person när den behövs och på ett spårbart sätt
• att informationen är och förblir riktig
Informationssäkerheten är en integrerad del av kommunens verksamhet. Alla som hanterar informationstillgångar har ett ansvar att upprätthålla informations- säkerheten. Chefer på alla nivåer har ett ansvar att aktivt verka för en positiv attityd till säkerhetsarbetet.
Var och en ska vara uppmärksam på och rapportera händelser som kan påverka säkerheten för kommunens informationstillgångar.
Den som använder kommunens informationstillgångar på ett sätt som strider mot denna policy kan bli föremål för disciplinära åtgärder.
Mål
För kommunens informationssäkerhetsarbete ska gälla att:
• all personal har kunskap om gällande informationssäkerhetsregler
• att informationsförsörjningen är säker, effektiv och bidrar till ökat skydd och stöd för medarbetare, samverkande partners och tredje man
• ingångna avtal är kända och följs
• krishanteringsförmågan upprätthålls
• alla investeringar både i form av information och teknisk utrustning har skydd i tillräcklig grad
• det finns tillgång till en gemensam, säker och väl definierad infrastruktur för extern och intern datakommunikation
• hotbilden för varje enskilt informationssystem som är av vikt för verksamheten analyseras fortlöpande
• händelser i informationssystemen som kan leda till negativa konsekvenser förebyggs
• årliga mål för arbetet beslutas i och framgår av verksamhetsplaneringen. För de årliga målen anges:
o vad som ska göras under året och hur
o tidplan
o behov av personella och ekonomiska resurser
o när och hur uppföljning, utvärdering och avrapportering ska ske
o när och hur våra medarbetare ska informeras och utbildas
Roller och ansvar
Kommundirektör: Har det övergripande ansvaret för säkerhetsarbetet inklusive informationssäkerheten och utser systemägare för respektive verksamhetssystem på kommunledningskontoret.
Förvaltningschefer: Har på sin förvaltning det övergripande ansvaret för säkerhetsarbetet inklusive informationssäkerheten. Förvaltningschefen utser systemägare för respektive verksamhetssystem samt dataskyddssamordnare på sin förvaltning.
Säkerhetssamordnare: Har det övergripande samordningen för säkerhetsarbetet inklusive uppföljning- och utvecklingsuppgifter inom området säkerhet. Säkerhets- samordnaren är också säkerhetsskyddschef i säkerhetsskyddslagens mening.
Informationssäkerhetssamordnare: Ansvarar för omvärldsbevakning inom informationssäkerhet och ledningssystem för informationssäkerhet (LIS) omfattande:
• policy, riktlinjer och styrdokument
• metoder för informationsklassning, risk- och sårbarhetsanalys
• process för hantering och uppföljning av inträffade incidenter
Systemägare: Har det övergripande ansvaret för den verksamhet som aktuellt verksamhetssystem stödjer. Ser till att systemförvaltare genomför arbetet i ledningssystemet för informationssäkerhet (LIS).
Systemförvaltare: Utses av respektive systemägare och ansvarar för den dagliga användningen av verksamhetssystemet. Arbetet genomförs i samverkan med IT- avdelningen för den dagliga driften och förvaltningen av aktuellt verksamhetssystem. Bistår IT-säkerhetstekniker och dataskyddssamordnare vid risk- och sårbarhetsanalyser (RSA).
Systemtekniker: Tillhör IT-avdelningen, innehar den tekniska kompetensen och ansvarar tillsammans med systemägare och systemförvaltare för att den dagliga driften upprätthålls enligt överenskommelse mellan systemägaren och IT- chefen.
IT-säkerhetstekniker och dataskyddssamordnare: Varje beslut om driftsform ska föregås av en informationsklassning av det aktuella systemet i form av en risk- och sårbarhetsanalys (RSA) som görs tillsammans med systemförvaltare.
Analysen görs av IT-säkerhetstekniker och dataskyddssamordnare. Rutiner och frågor om GDPR hanteras av dataskyddssamordnaren.
Arkivarie: Har tillsynsansvar för att övrig dokumenthantering sköts i enlighet med tryckfrihetsförordningen, offentlighets- och sekretesslagen och arkivlagen.
Kommunens informationssystem
Samtliga informationssystem ska vara identifierade och förtecknade (görs i systemet KLASSA). Av förteckningen ska framgå vem som är systemägare. Alla informationssystem ska minst klara den basnivå för informationssäkerhet som kommunen rekommenderar.
Vissa informationssystem är en förutsättning för att kommunens verksamhet ska kunna bedrivas. För dessa ska en riskanalys upprättas och denna ska sedan utgöra underlag för driftgodkännande.
Informationssäkerhetsutbildning
All personal ska regelbundet få den utbildning som behövs för att informations- säkerheten ska upprätthållas.
Informationsklassning
Information som hanteras på kommunen ska klassificeras med avseende på sekretess, riktighet och tillgänglighet enligt kommunens klassningsmodell.
Distansarbete
För att personalen ska kunna arbeta effektivt ska möjlighet finnas att arbeta mobilt eller stationärt på distans. Förutsättningar och restriktioner för detta regleras mellan medarbetare och chef.
Användning av Internet
Vid användning av Internet exponeras kommunens namn. Bland annat av detta skäl är det därför av vikt att lägga restriktioner på vilka hemsidor som får besökas.
Hemsidor med exempelvis rasistiskt, våldsinriktat eller sexuellt innehåll får inte besökas. Undantag från detta kan beviljas av chef om informationen på sådana sidor kan ha relevans för arbetsuppgifterna.
Elektronisk post
Sekretessbelagd information får inte skickas via e-post som inte är krypterad.
Kontinuitetsplanering
Kontinuitetsplaneringen är av central betydelse för att bedriva verksamheten på en acceptabel nivå under såväl normala förhållanden som vid extraordinära händelser. En kontinuitetsplan ska finnas för driften av IT-verksamheten baserad på de olika informationssystemens samlade krav.
Revidering och uppföljning
Uppföljning är en viktig del i informationssäkerhetsarbetet för att bevaka att:
• beslutade åtgärder är genomförda
• årliga mål är uppfyllda
• regler följs
• att policy, säkerhetsinstruktioner och riskanalyser vid behov revideras