IT-säkerhetspolicy
IT-säkerhet är en del i organisationens lednings- och kvalitetsprocess som ska bidra till att ett ITsystem kan användas på avsett sätt och med avsedd funktionalitet. Antagen av kommunfullmäktige 2006
1. Inledning
KBM:s rekommendationer om basnivå för IT-säkerhet (BITS) ska gälla som ramverk för IT-säkerhetsarbetet.
IT-säkerhetspolicy är en del av organisationens IT-verksamhet och redovisar ledningens
viljeinriktning och stöd för IT-säkerhetsarbetet och syftar till att klarlägga:
- mål för IT-säkerhetsarbetet
- organisation, ansvar och roller inom IT-säkerhetsområdet
- eventuella riktlinjer för områden av särskild betydelse
Policyn konkretiseras i IT-säkerhetsinstruktionerna, Förvaltning, Drift och Användare samt i
Systemsäkerhetsplaner.
IT-säkerhetsinstruktionerna fastställs enligt bestämmelserna i organisationens arbetsordning.
2. Mål för IT-säkerhetsarbetet
2.1 Långsiktiga mål
För organisationens IT-säkerhetsarbete ska gälla att:
- lagar och föreskrifter följs
- det stöder utvecklingsarbetet
- krishanteringsförmågan säkerställs
- det förebygger oväntade händelser i IT-systemen som kan leda till negativa konsekvenser
- det säkrar en effektiv informationsförsörjning som bidrar till ökat skydd och stöd för
medarbetare, samverkande partners och tredje man - alla investeringar både i form av information (data) och teknisk utrustning skyddas i
tillräcklig grad - informationen ses som en tillgång och skyddas i paritet med dess värde
- all personal ges kunskap om gällande IT-säkerhetsregler
- det finns tillgång till en gemensam, säker och väl definierad infrastruktur för extern och
intern datakommunikation - hotbilden för varje enskilt samhällsviktig IT-system analyseras fortlöpande
De långsiktiga målen ska säkerställa att organisationen kan tillhandahålla relevant information som:
- endast delges behöriga personer och kan levereras vid rätt tidpunkt och till skäliga kostnader
- är riktig, komplett och aktuell
- efterfrågas och som organisationen har ett ansvar att tillhandahålla
2.2 Årliga mål
IT-säkerhetsarbetet ska bedrivas som en integrerad del av organisationens normala verksamhet. Årliga mål för arbetet ska därför beslutas och framgå av verksamhetsplaneringen.
För de årliga målen bör anges:
- vad ska göras under året
- tidplan (när och hur, sluttidpunkt)
- resurser för arbetet (personella och ekonomiska)
- när och hur uppföljning, utvärdering och avrapportering ska ske
- när och hur organisationens medarbetare ska informeras och utbildas.
3. Organisationens roll och ansvar
3.1 Övergripande ansvar
Det övergripande ansvaret för säkerheten i organisationens IT-verksamhet vilar på kommunchefen.
3.2 Roller och ansvar
Organisation, roller och fördelning av ansvar ska säkerställa att ett IT-system kan administreras och hanteras på ett sådant sätt att det under hela sin livstid bidrar till att stödja avsedd verksamhet och uppfylla IT-säkerhetspolicyns mål. Detta innebär att ett IT-system med alla dess delar är en resurs i en verksamhet på samma sätt som personal, lokaler, kontorsmaterial mm.
Samtliga IT-system ska vara identifierade och förtecknade och kommunchefen utser systemägare för dessa. Organisationens IT-system ska klara den basnivå för IT-säkerhet som KBM:s rekommendationer beskriver. För de samhällsviktiga IT-systemen ska en systemsäkerhetsplan vara upprättad i enlighet med KBM:s IT-säkerhetsguide. Planen ska utgöra underlag för utsedd systemägares beslut om driftgodkännande.
Den interna organisationen för IT-säkerhetsarbetet, roller, fördelning av ansvar och arbetssätt framgår av IT-säkerhetsinstruktion: Förvaltning.
4. Säkerhetsrutiner
Vissa områden inom området IT-säkerhet är av särskild betydelse för organisationens verksamhet.
Av IT-säkerhetsinstruktionerna ska nedanstående områden och de särskilda riktlinjer, regler och rutiner som gäller för dessa framgå enligt följande:
- IT-säkerhetsinstruktion Förvaltning: Områdena Behörighetsadministration, behörighetskontroll, loggning och sårbarhet, distansarbete, drift- och förvaltning, tillträdesskydd, säkerhetskopiering och lagring, Avveckling av datamedia och datakommunikation.
- IT-säkerhetsinstruktion Användare; Områdena Informationsklassning, distansarbete, IT-incidenthantering, säkerhetskopiering och lagring, e-post och användning av Internet.
- IT-säkerhetsinstruktion Drift: Områdena system- och driftdokumentationer, förvaring av datamedia, bemanning, tillträdes- och brandskydd, elförsörjning, regler för säkerhetskopiering och förvaring av datamedia.
5. Revidering och uppföljning
Uppföljning är en viktig del i IT-säkerhetsarbetet.
Uppföljningen ska bevaka:
- att beslutade åtgärder är genomförda
- årliga mål är uppfyllda
- att riktlinjer följs
- att systemsäkerhetsplaner och policydokument vid behov revideras
Policy, Säkerhetsinstruktioner och Systemsäkerhetsplaner ska löpande följas upp och vid behov revideras.
Informationsägare:
Sidan uppdaterad: