Informationssäkerhetspolicy
Ansvarig för dokumentet: Säkerhetsavdelningen
Omfattar: Alla verksamheter inom Oskarshamns kommun samt alla kommunala bolag
Informationsklass: Intern
Publicering: Författningssamling
Beslutsinstans: Kommunfullmäktige
Fastställd: 2024-03-11
Gäller från och med: 2024-03-11
Giltighetstid: Tillsvidare
Ersätter: Informationssäkerhetspolicy (KS 2020/000153-5)
Diarienummer: KS 2023/000944
Ledningens syn på informationssäkerhet
Informationssäkerhetspolicyn redovisar kommunledningens viljeinriktning och stöd för informationssäkerhetsarbetet och syftar till att klarlägga:
- mål
- organisation, ansvar och roller
- riktlinjer för områden av särskild betydelse
Informationssäkerhetsarbetet stödjer kommunens strategiska inriktning samt ingår som en del i kommunens process för ledning och styrning.
Information är en av kommunens mest strategiska resurser. Alla verksamheter är beroende av tillförlitlig information. Avbrott i tillgänglighet till information kan vara kritiskt, och felaktig information kan ge allvarliga konsekvenser för kommunens verksamhet eller tredje part.
Ledning och styrning av informationssäkerheten konkretiseras i denna informationssäkerhetspolicy och underliggande styrdokument.
Kraven på informationssäkerhet utgår från kommunledningens och verksamhetens krav på funktion och tillämplighet, samt legala krav, förordningar, föreskrifter, avtal och säkerhetskrav.
Med rätt informationssäkerhet uppnås hög kvalitet och god effektivitet i det dagliga arbetet. Risken för störningar ska minimeras, samtidigt som skydd och åtgärder kontinuerligt balanseras mot kostnader. Insatser utgår från verksamhetens behov och är en del av kommunens totala riskhantering.
Kommunfullmäktige fastställer vilka verksamhetsprocesser som är samhällsviktiga. Den information och de IT-system som stöder dessa processer skall då också anses som samhällsviktiga, och ges en informationsklassning och ett skydd som motsvarar vikten av information och system.
Oavsett i vilken form information hanteras och av vem, så är det alltid den som äger informationen som har ansvaret för att den behandlas på ett ändamålsenligt och säkert sätt.
Kommunen ska, när så är möjligt, följa etablerade standarder och vägledningar baserade på Svensk Standard för Informationssäkerhet enligt ISO/IEC 27000-serien.
Policyn ska, av chef eller motsvarande, kommuniceras till samtliga anställda vid nyanställning samt när policyn är ny eller reviderad. Policyn ska vara känd och tillgänglig i aktuell version på kommunens intranät och på kommunens hemsida.
Avtal och överenskommelser får inte skrivas som åsidosätter kraven i denna policy.
Bakgrund
Kommunens alla verksamheter är beroende av att information är tillgänglig för rätt person vid rätt tidpunkt samt att den är korrekt och riktig, samt utgör ett bra verksamhetsstöd.
Det finns många hot mot våra informationstillgångar. För att säkerställa att informationen är skyddad finns det särskilda informationssäkerhetskrav som behöver uppfyllas.
Med informationssäkerhet avses skydd av informationstillgångar i syfte att upprätthålla nödvändig nivå på sekretess, riktighet, tillgänglighet och spårbarhet.
- Sekretess – att information skyddas för obehörig insyn
- Riktighet – att information är tillförlitlig, korrekt och fullständig
- Tillgänglighet – att information är nåbar vid rätt tillfälle
En del är våra medarbetares kunskap och vår organisations kultur kring informationssäkerhet. Den delen innefattar utbildningar, övningar och verktyg för vår verksamhet med mera.
Den administrativa säkerheten består av styrning, organisation, roller och ansvar, liksom regelverk, processer och systematik. En viktig del är också revision och uppföljning.
Den tekniska säkerheten är den delen som generellt beskrivs som IT-säkerhet. Här återfinns nätverk, servrar, arbetsstationer, hård- och mjukvara samt serverrum och utrymme för reservkraft, säkerhetskopior med mera.
Den sista delen är fysisk säkerhet som till stor del hör ihop med den tekniska säkerheten, och syftar till hur vi skyddar vår organisations materiel, system och personal rent fysiskt.
Omfattning
Denna informationssäkerhetspolicy gäller för all verksamhet inom Oskarshamns kommun, inklusive helägda bolag, och omfattar alla informationstillgångar som kommunen hanterar.
Samtliga anställda, förtroendevalda, elever, och inhyrd personal omfattas av policyn och dess tillhörande instruktioner - det vill säga: den gäller för alla som brukar kommunens informationstillgångar på ett sådant sätt att de kan påverka informationens sekretess, riktighet, och/eller tillgänglighet.
Med informationstillgång avses all information, oavsett om den behandlas i ett IT-system, förkommer på ett utskrivet papper, i ett anteckningsblock, som ett samtal i korridoren eller i telefonen. Även film, ljud och bild omfattas av informationssäkerhetsbegreppet.
Grundläggande mål för informationssäkerhetsarbetet
Det övergripande målet är enkelt uttryckt att rätt information ska vara tillgänglig för rätt person i rätt tid.
Mera detaljerat kan målet beskrivas som att användning, administration, förvaltning och utveckling av information ska ske så att:
- offentlighet, sekretess och integritet säkerställs
- information skyddas i paritet med dess värde
- krav på åtkomst, tillförlitlighet och tillgänglighet uppfylls
- lagar och föreskrifter följs
- informationssäkerhet är en naturlig och integrerad del i verksamheten
- kunskap om informationssäkerhet och dess innebörd finns hos alla medarbetare
- alla informationstillgångar klassificeras
- hotbilden mot känsliga informationstillgångar fortlöpande analyseras och följs upp
- hotbild mot samhällsviktiga system fortlöpande analyseras och följs upp
- händelser som kan leda till negativa konsekvenser förebyggs
- krishanteringsförmågan fortlöpande analyseras och upprätthålls
- investeringar i form av information och utrustning skyddas
- risken för störningar i kommunens verksamhet som beror på felaktigheter eller felaktig användning minimeras
- en säker, sammanhållen och väl definierad infrastruktur upprätthålls
- det finns en samlad dokumentation av informationssystem
- behandlingen av personuppgifter sker enligt Dataskyddsförordningens grundläggande principer
Styrning av informationssäkerheten
Informationssäkerhetspolicyn är det övergripande dokumentet som styr kommunens informationssäkerhet. Policyn anger informationssäkerhetens betydelse för kommunen. Ett exempel är att ledningen uttrycker att information ska vara tillgänglig och återläsningsbar.
Riktlinjerna beskriver vad som behöver göras för att efterleva informationssäkerhetspolicyn. Ett exempel på riktlinjer är till exempel att säkerhetskopiering ska genomföras.
Med riktlinjerna som bas utformas instruktioner, rutiner och anvisningar som anger hur säkerhetslösningar ska utformas och tillämpas.
Ledningssystem för informationssäkerhet (LIS)
Den samlade dokumentationen ihop med de processer som ingår i ett systematiskt informationssäkerhetsarbete, utgör ett ledningssystem för informationssäkerhet (LIS). Ledningssystemet bygger på standarden för ledningssystem för informationssäkerhet ISO/IEC 27001. I LIS ingår också löpande mätning och uppföljning.
Organisation, roller och ansvar
Organisation, roller och fördelning av ansvar ska säkerställa att information och tjänster kan administreras och hanteras på ett sådant sätt att de under hela sin livstid bidrar till att stödja avsedd verksamhet och uppfylla informationssäkerhetspolicyns mål.
All information ska klassificeras utifrån verksamhetens krav på konfidentialitet, riktighet och tillgänglighet. All information som omfattas av sekretess enligt lag, är personuppgifter eller är relaterade till personuppgifter ska även klassas utifrån krav på spårbarhet. Det ska förtecknas vilken klassificering en informationsmängd har. All hantering, bearbetning och lagring av information skall motsvara kraven i dess klassning.
Organisation av informationssäkerhetsarbetet
- Kommunfullmäktige uttrycker sin viljeinriktning i denna policy.
- Kommunstyrelsen har det yttersta ansvaret för kommunens informationssäkerhetsarbete.
- Kommundirektören eller förvaltningschefen utser systemägare och informationsägare.
- Närmsta chef ansvarar för att det finns rutiner som säkerställer en god efterlevnad av kommunens regelverk för informationssäkerhet.
- Informationssäkerhetssamordnaren har det övergripande och strategiska ansvaret att leda, utveckla och samordna informationssäkerhetsarbetet, samt presentera de metoder som skall använda för riskanalys och informationsklassning.
- Informationsägaren har det övergripande och yttersta ansvaret för informationen. Informationsägarna avgör vilken information som får hanteras, hur den hanteras och av vem.
- Objektägaren har övergripande ansvar för ett flertal system och dess användning. Systemen ska uppfylla informationssäkerhetskraven i förhållande till verksamhetens behov, legala krav och säkerhetskrav. Systemens informationsmängder ska klassificeras.
- Objektförvaltaren har helhetsansvaret och ser till att objektets funktionalitet upprätthålls samt att planerade och beslutade aktiviteter genomförs i det dagliga arbetet.
- Alla som hanterar informationstillgångar har ett ansvar för att informationssäkerheten upprätthålls.
- Dataskyddsombud enligt Dataskyddsförordningen. Varje personuppgiftsansvarig har skyldighet att tillsätta ett Dataskyddsombud med sakkunskap om lagstiftning och praxis om dataskydd. Rollen skall vara självständig, rådgivande och övervakande i att kommunen följer reglerna i Dataskyddsförordningen. Nämnderna i Oskarshamns kommun är personuppgiftsansvariga för sina respektive behandlingar av personuppgifter. Kommunen har anlitat Sydarkivera som Dataskyddsombud på en kommunövergripande nivå.
Uppföljning
Kommunstyrelsen och verksamhetsledningen ska minst en gång per år informera sig om arbetet med informationssäkerhet. Denna uppföljning ska baseras på underlag med rekommendationer som tas fram av informationssäkerhetssamordnaren. Underlaget ska innefatta information om:
- Förändringar utanför kommunen som kan påverka informationssäkerheten
- Utbildning (status och behov)
- Inträffade incidenter
- Resultat från genomförda granskningar
- Aktuella och planerade säkerhetsåtgärder
- Rekommendationer till förbättringar
- Genomförda riskanalyser
Resultatet från denna uppföljning ska innefatta beslut om åtgärder för att förbättra informationssäkerheten samt tilldelning av resurser.
Uppföljning ska årligen genomföras för att kontrollera att tekniken fungerar utifrån de säkerhetskrav som finns, samt att regler efterlevs. Ansvarig för uppföljningen är kommunens informationssäkerhetssamordnare. Genomförandet kan delegeras.
Ifall misstanke om oegentlighet uppstår ska detta utan fördröjning anmälas till närmsta chef. I de fall regler inte följs kan följden bli disciplinära åtgärder. Om man kan förmoda att brott mot lag har begåtts lämnas information till brottsutredande myndighet.