IT-säkerhet är en del i organisationens lednings- och kvalitetsprocess som ska bidra till att ett ITsystem kan användas på avsett sätt och med avsedd funktionalitet. Antagen av kommunfullmäktige 2006
KBM:s rekommendationer om basnivå för IT-säkerhet (BITS) ska gälla som ramverk för IT-säkerhetsarbetet.
IT-säkerhetspolicy är en del av organisationens IT-verksamhet och redovisar ledningens
viljeinriktning och stöd för IT-säkerhetsarbetet och syftar till att klarlägga:
Policyn konkretiseras i IT-säkerhetsinstruktionerna, Förvaltning, Drift och Användare samt i
Systemsäkerhetsplaner.
IT-säkerhetsinstruktionerna fastställs enligt bestämmelserna i organisationens arbetsordning.
2.1 Långsiktiga mål
För organisationens IT-säkerhetsarbete ska gälla att:
De långsiktiga målen ska säkerställa att organisationen kan tillhandahålla relevant information som:
2.2 Årliga mål
IT-säkerhetsarbetet ska bedrivas som en integrerad del av organisationens normala verksamhet. Årliga mål för arbetet ska därför beslutas och framgå av verksamhetsplaneringen.
För de årliga målen bör anges:
3.1 Övergripande ansvar
Det övergripande ansvaret för säkerheten i organisationens IT-verksamhet vilar på kommunchefen.
3.2 Roller och ansvar
Organisation, roller och fördelning av ansvar ska säkerställa att ett IT-system kan administreras och hanteras på ett sådant sätt att det under hela sin livstid bidrar till att stödja avsedd verksamhet och uppfylla IT-säkerhetspolicyns mål. Detta innebär att ett IT-system med alla dess delar är en resurs i en verksamhet på samma sätt som personal, lokaler, kontorsmaterial mm.
Samtliga IT-system ska vara identifierade och förtecknade och kommunchefen utser systemägare för dessa. Organisationens IT-system ska klara den basnivå för IT-säkerhet som KBM:s rekommendationer beskriver. För de samhällsviktiga IT-systemen ska en systemsäkerhetsplan vara upprättad i enlighet med KBM:s IT-säkerhetsguide. Planen ska utgöra underlag för utsedd systemägares beslut om driftgodkännande.
Den interna organisationen för IT-säkerhetsarbetet, roller, fördelning av ansvar och arbetssätt framgår av IT-säkerhetsinstruktion: Förvaltning.
Vissa områden inom området IT-säkerhet är av särskild betydelse för organisationens verksamhet.
Av IT-säkerhetsinstruktionerna ska nedanstående områden och de särskilda riktlinjer, regler och rutiner som gäller för dessa framgå enligt följande:
Uppföljning är en viktig del i IT-säkerhetsarbetet.
Uppföljningen ska bevaka:
Policy, Säkerhetsinstruktioner och Systemsäkerhetsplaner ska löpande följas upp och vid behov revideras.
Informationsägare:
Sidan uppdaterad: 2020-01-13