Gå til hovedindhold

Informationssikkerhedspolitik

Syddjurs Kommunes informationssikkerhedspolitik er godkendt af Byrådet den 22. november 2023

Indhold

    Indledning

    Syddjurs Kommunes Byråd fastlægger med denne politik kravene til informationssikkerhed i Syddjurs Kommune. Politikken omfatter behandlinger af informationer i såvel digital
    som fysisk form.

    Politikken har sit afsæt i ISO27001, som er en international standard for styring af
    informationssikkerhed. ISO27001 udgør grundstenen for arbejdet med informationssikkerhed og er fundamentet til implementering af andre standarder og lovkrav inden for
    informationssikkerhed, som eksempelvis National Standard for Identiteters
    Sikringsniveauer (NSIS), tekniske minimumsstandarder i kommuner, samt Databeskyttelsesforordningen (GDPR).

    1.1 Formål og målsætning

    Formålet med politikken er at beskrive principperne for styring af informationssikkerhed i
    Syddjurs Kommune og på overordnet niveau, de fysiske, tekniske og administrative
    processer, for dermed at beskytte fortrolighed, integritet og tilgængelighed af informationer.
    For en række processer og aktiver udarbejdes underliggende retningslinjer, som beskriver
    håndtering af konkrete risici.
    Lovgivningen stiller en række specifikke krav til beskyttelse af personoplysninger og
    borgernes mulighed for at få indsigt i, hvad egne data anvendes til. Det betyder blandt
    andet, at Syddjurs kommune skal beskrive uddybende bestemmelser for
    informationssikkerhed. Informationssikkerhedspolitikken balancerer desuden hensynet til
    driftssikkerhed på den ene side og muligheden for fortsat at udnytte digitaliseringsmulighederne til gavn for borgerne på den anden side.

    1.2 Gyldighedsområde

    Politikken er gældende for hele Syddjurs Kommune. Alle informationer og informationsaktiver, herunder systemer, netværk og it-udstyr, som er i Syddjurs Kommunes varetægt,
    og som anvendes af Syddjurs Kommune, er omfattet.

    1.3 Godkendelse

    Politikken er en del af Syddjurs Kommunes styringsgrundlag og godkendes af Byrådet.

    1.4 Syddjurs Kommunes politik, regler og procedurer

    Illustration af ISMS, hierakisk ansvarsfordeling som en pyramide. I bunden er procedurer, som udarbejdes i fagområderne. I midten er regler, som udarbejdes af Informationssikkerhedsudvalget, og øverst er politikken, som godkendes af Byrådet..

    Syddjurs Kommune arbejder med informationssikkerhed på flere niveauer, som illustreret her.

    Informationssikkerhedspolitik (dette dokument)

    Beskriver rammer, mål, processer og
    overordnet organisering af informationssikkerhedsindsatsen og godkendes i Byrådet.

    Regler for informationssikkerhed (Håndbog for informationssikkerhed)

    Beskriver hvordan indholdet af informationssikkerhedspolitikken organiseres og konkretiseres i
    forhold til drift, ansvar og roller. Disse godkendes af Informationssikkerhedsudvalget.
    Reglerne tager afsæt i ISO27002, og beskriver hvordan det enkelte krav efterleves.

    Procedurer

    Omfatter både de centrale og afdelingsspecifikke processer og
    foranstaltninger. Her udarbejdes som hovedregel ikke særskilte sikkerhedsbeskrivelser af
    processer, men hvor der findes beskrivelser af processer og foranstaltninger indarbejdes
    sikkerhedskravene. Deciderede sikkerhedsprocesser og sikkerhedsforanstaltninger samt
    kontrolforanstaltninger dokumenteres.

    Politik

    2.1 Generelle krav

    Der skal etableres en systematisk styring og koordinering af sikkerhed samt for
    identifikation og håndtering af risici og trusler, som opfylder følgende krav:

    • Kontinuerlig identifikation af risici, trusler og sårbarheder.
    • Kontinuerlig vurdering af sikkerhedshændelser, alarmer og identificerede risici,
      trusler og sårbarheder i forhold til deres betydning for borgerne, opgavevaretagelsen og overholdelse af lovkrav.
    • Identifikation og implementering af foranstaltninger, som minimerer sandsynlighed
      og konsekvens ved sikkerhedsbrud og som eliminerer uacceptable risici.
    • Klassifikation af informationsaktiver og it-services skal tage udgangspunkt i
      konsekvenser ved brud af fortrolighed, integritet og tilgængelighed.
    • Kontinuerlig overvågning af kritiske informationsservices (systemer, netværk,
      opbevaring af data).
    • Kontinuerlige kontroller til sikring af, at kritiske services og foranstaltninger virker
      som forudsat. Hyppigheden af kontroller skal tilpasses risikoen.

    2.2 Roller og ansvar

    Informationssikkerhed er en integreret del af ledelsesansvaret og følger den decentrale
    model på alle ledelsesniveauer, svarende til den pågældende leders organisatoriske
    placering og ledelsesansvar.
    Arbejdet med informationssikkerhed understøttes af Syddjurs Kommunes organisering og
    rolle- og ansvarsfordeling på området:

    • Byrådet har det politiske ansvar.
    • Kommunaldirektøren har det øverste sikkerhedsansvar.
    • Informationssikkerhedsudvalget fastlægger organisationens styringsmodel og
      behandler spørgsmål af principiel karakter.
    • Informationssikkerhedsgruppen koordinerer indsatser og sikrer vidensdeling
      vedrørende informationssikkerhed på tværs af fagområderne.
    • Cheferne og lederne har ansvaret for at reglerne for informationssikkerhed
      overholdes og udmøntes i de procedurebeskrivelser og foranstaltninger, som skal
      sikre en betryggende håndtering af Syddjurs Kommunes informationer og
      informationssystemer.
    • Medarbejderne har ansvar for at holde sig orienteret om informationssikkerhedspolitikkens regler og procedurer og på baggrund heraf udvise omhu i
      den daglige anvendelse af informationer og informationssystemer.
    • Databeskyttelsesrådgiveren (DPO) står til rådighed med rådgivning og vejledning
      om de databeskyttelsesretlige regler.
    • Lokale informationssikkerhedskoordinatorer, som er medlem af
      informationssikkerhedsgruppen, er sparringspartnere for fagområderne og
      bindeled til informationssikkerhedsgruppen.

    For alle systemer udpeges en systemejer med ansvar for sikkerheden omkring systemet.

    2.3 Sikkerhedskultur og -bevidsthed

    Den enkelte medarbejder skal forholde sig til informationssikkerhed uanset niveau og
    opgave og føle medansvar for, at der træffes de nødvendige forholdsregler. Både ledere
    og medarbejdere skal være opdaterede i forhold til de risici, som de kan påvirke i deres
    rolle og opgaver. Ledere på alle niveauer skal have et overblik over risikoen i deres område
    og har ansvaret for den løbende dialog med medarbejdere om risici og nødvendige
    forholdsregler for at håndtere dem.

    2.3.1 Awareness

    Syddjurs Kommune anvender det internationale begreb ”awareness” i sit fortsatte arbejde
    med at sikre informationssikkerhed – hvor awareness skal forstås som en vedvarende
    opmærksomhed på informationssikkerhed blandt kommunens medarbejdere.

    Der er etableret et awareness-program, som løbende arbejder med at udbrede kendskabet
    til Syddjurs Kommunes informationssikkerhedspolitik og de retlige krav i databeskyttelsesforordningen og databeskyttelsesloven. Programmet udvides løbende i forhold til det lokale
    og nationale trusselsbillede. Effekten af de gennemførte awareness-aktiviteter måles og
    indgår ligeledes i den løbende udvikling af programmet.

    2.4 Adgang og rettigheder til data og systemer

    Systemer og data skal beskyttes mod uautoriseret adgang og ændring uanset, hvor de
    befinder sig. Adgang til og ændring af følsomme eller kritiske systemer eller data skal let
    kunne spores til personen.
    Adgange til data skal minimeres og skal afspejle et aktuelt arbejdsbetinget behov. Kun en
    leder (eller en stedfortræder) kan anmode om ændrede rettigheder til sin medarbejder.

    2.5 Projekter og anskaffelse af fagsystemer og it-løsninger

    Digitaliseringsprojekter, herunder anskaffelse, udvikling og vedligeholdelse af it-systemer
    skal udformes, så de sikrer det fornødne sikkerhedsniveau og forbedrer Syddjurs
    Kommunes opfyldelse af lovkrav i forhold til borgernes og medarbejdernes rettigheder.
    En sikkerhedsmæssig vurdering skal være en integreret del af projekt- og programstyringen, samt af anskaffelsesprocessen.

    2.6 Fysisk beskyttelse af data og systemer

    De fysiske omgivelser for informationer og informationsudstyr, der anvendes af Syddjurs
    Kommune, og som Syddjurs Kommune har ansvaret for, skal beskyttes effektivt mod
    fysiske hændelser, eksempelvis brand, vandskade, tyveri, hærværk, samt skader
    forårsaget af menneskelige fejl.
    På steder, hvor der opbevares og anvendes informationer og informationsudstyr, skal der
    etableres et risikotilpasset niveau af fysisk sikkerhed. Den fysiske sikkerhed på lokationer
    med vitale installationer og informationer skal løbende efterprøves.

    2.7 Eksterne parter

    Det skal sikres, at samarbejdet med eksterne parter ikke kompromitterer Syddjurs
    Kommunes målsætninger for informationssikkerhedspolitikken. Kravene til eksterne parter
    skal fastlægges ud fra politikken.

    2.8 Håndtering af sikkerhedshændelser

    Der skal opretholdes et beredskab, så sikkerhedshændelser kan håndteres effektivt. Ved
    alvorlige hændelser skal der foretages en efterfølgende evaluering af hændelsen.
    Sikkerhedsniveauet omkring de enkelte systemer og data fastlægges på baggrund af en
    risikovurdering og under hensyn til lovbestemte og kontraktlige krav.

    Ikrafttrædelse og ændringer

    Informationssikkerhedspolitikken skal godkendes af Byrådet i hver byrådsperiode.

    Kontakt

    Ledelsessekretariatet

    Lundbergsvej 2
    8400 Ebeltoft

    Telefon: 87 53 50 00

    E-mail: ledelsessekretariat@syddjurs.dk