Informationssikkerhedspolitik

Syddjurs Kommunes Byråd fastlægger med denne politik kravene til informationssikkerhed i Syddjurs Kommune. Politikken omfatter behandlinger af informationer i såvel digital
som fysisk form.

Politikken har sit afsæt i ISO27001, som er en international standard for styring af
informationssikkerhed. ISO27001 udgør grundstenen for arbejdet med informationssikkerhed og er fundamentet til implementering af andre standarder og lovkrav inden for
informationssikkerhed, som eksempelvis National Standard for Identiteters
Sikringsniveauer (NSIS), tekniske minimumsstandarder i kommuner, samt Databeskyttelsesforordningen (GDPR).

1.1 Formål og målsætning

Formålet med politikken er at beskrive principperne for styring af informationssikkerhed i
Syddjurs Kommune og på overordnet niveau, de fysiske, tekniske og administrative
processer, for dermed at beskytte fortrolighed, integritet og tilgængelighed af informationer.
For en række processer og aktiver udarbejdes underliggende retningslinjer, som beskriver
håndtering af konkrete risici.
Lovgivningen stiller en række specifikke krav til beskyttelse af personoplysninger og
borgernes mulighed for at få indsigt i, hvad egne data anvendes til. Det betyder blandt
andet, at Syddjurs kommune skal beskrive uddybende bestemmelser for
informationssikkerhed. Informationssikkerhedspolitikken balancerer desuden hensynet til
driftssikkerhed på den ene side og muligheden for fortsat at udnytte digitaliseringsmulighederne til gavn for borgerne på den anden side.

1.2 Gyldighedsområde

Politikken er gældende for hele Syddjurs Kommune. Alle informationer og informationsaktiver, herunder systemer, netværk og it-udstyr, som er i Syddjurs Kommunes varetægt,
og som anvendes af Syddjurs Kommune, er omfattet.

1.3 Godkendelse

Politikken er en del af Syddjurs Kommunes styringsgrundlag og godkendes af Byrådet.

1.4 Syddjurs Kommunes politik, regler og procedurer

Informationssikkerhedspolitik (dette dokument)

Beskriver rammer, mål, processer og
overordnet organisering af informationssikkerhedsindsatsen og godkendes i Byrådet.

Regler for informationssikkerhed (Håndbog for informationssikkerhed)

Beskriver hvordan indholdet af informationssikkerhedspolitikken organiseres og konkretiseres i
forhold til drift, ansvar og roller. Disse godkendes af Informationssikkerhedsudvalget.
Reglerne tager afsæt i ISO27002, og beskriver hvordan det enkelte krav efterleves.

Procedurer

Omfatter både de centrale og afdelingsspecifikke processer og
foranstaltninger. Her udarbejdes som hovedregel ikke særskilte sikkerhedsbeskrivelser af
processer, men hvor der findes beskrivelser af processer og foranstaltninger indarbejdes
sikkerhedskravene. Deciderede sikkerhedsprocesser og sikkerhedsforanstaltninger samt
kontrolforanstaltninger dokumenteres.

2.1 Generelle krav

Der skal etableres en systematisk styring og koordinering af sikkerhed samt for
identifikation og håndtering af risici og trusler, som opfylder følgende krav:

• Kontinuerlig identifikation af risici, trusler og sårbarheder.
• Kontinuerlig vurdering af sikkerhedshændelser, alarmer og identificerede risici,
  trusler og sårbarheder i forhold til deres betydning for borgerne, opgavevaretagelsen og overholdelse af lovkrav.
• Identifikation og implementering af foranstaltninger, som minimerer sandsynlighed
  og konsekvens ved sikkerhedsbrud og som eliminerer uacceptable risici.
• Klassifikation af informationsaktiver og it-services skal tage udgangspunkt i
  konsekvenser ved brud af fortrolighed, integritet og tilgængelighed.
• Kontinuerlig overvågning af kritiske informationsservices (systemer, netværk,
  opbevaring af data).
• Kontinuerlige kontroller til sikring af, at kritiske services og foranstaltninger virker
  som forudsat. Hyppigheden af kontroller skal tilpasses risikoen.

2.2 Roller og ansvar

Informationssikkerhed er en integreret del af ledelsesansvaret og følger den decentrale
model på alle ledelsesniveauer, svarende til den pågældende leders organisatoriske
placering og ledelsesansvar.
Arbejdet med informationssikkerhed understøttes af Syddjurs Kommunes organisering og
rolle- og ansvarsfordeling på området:

• Byrådet har det politiske ansvar.
• Kommunaldirektøren har det øverste sikkerhedsansvar.
• Informationssikkerhedsudvalget fastlægger organisationens styringsmodel og
  behandler spørgsmål af principiel karakter.
• Informationssikkerhedsgruppen koordinerer indsatser og sikrer vidensdeling
  vedrørende informationssikkerhed på tværs af fagområderne.
• Cheferne og lederne har ansvaret for at reglerne for informationssikkerhed
  overholdes og udmøntes i de procedurebeskrivelser og foranstaltninger, som skal
  sikre en betryggende håndtering af Syddjurs Kommunes informationer og
  informationssystemer.
• Medarbejderne har ansvar for at holde sig orienteret om informationssikkerhedspolitikkens regler og procedurer og på baggrund heraf udvise omhu i
  den daglige anvendelse af informationer og informationssystemer.
• Databeskyttelsesrådgiveren (DPO) står til rådighed med rådgivning og vejledning
  om de databeskyttelsesretlige regler.
• Lokale informationssikkerhedskoordinatorer, som er medlem af
  informationssikkerhedsgruppen, er sparringspartnere for fagområderne og
  bindeled til informationssikkerhedsgruppen.

For alle systemer udpeges en systemejer med ansvar for sikkerheden omkring systemet.

2.3 Sikkerhedskultur og -bevidsthed

Den enkelte medarbejder skal forholde sig til informationssikkerhed uanset niveau og
opgave og føle medansvar for, at der træffes de nødvendige forholdsregler. Både ledere
og medarbejdere skal være opdaterede i forhold til de risici, som de kan påvirke i deres
rolle og opgaver. Ledere på alle niveauer skal have et overblik over risikoen i deres område
og har ansvaret for den løbende dialog med medarbejdere om risici og nødvendige
forholdsregler for at håndtere dem.

2.3.1 Awareness

Syddjurs Kommune anvender det internationale begreb ”awareness” i sit fortsatte arbejde
med at sikre informationssikkerhed – hvor awareness skal forstås som en vedvarende
opmærksomhed på informationssikkerhed blandt kommunens medarbejdere.

Der er etableret et awareness-program, som løbende arbejder med at udbrede kendskabet
til Syddjurs Kommunes informationssikkerhedspolitik og de retlige krav i databeskyttelsesforordningen og databeskyttelsesloven. Programmet udvides løbende i forhold til det lokale
og nationale trusselsbillede. Effekten af de gennemførte awareness-aktiviteter måles og
indgår ligeledes i den løbende udvikling af programmet.

2.4 Adgang og rettigheder til data og systemer

Systemer og data skal beskyttes mod uautoriseret adgang og ændring uanset, hvor de
befinder sig. Adgang til og ændring af følsomme eller kritiske systemer eller data skal let
kunne spores til personen.
Adgange til data skal minimeres og skal afspejle et aktuelt arbejdsbetinget behov. Kun en
leder (eller en stedfortræder) kan anmode om ændrede rettigheder til sin medarbejder.

2.5 Projekter og anskaffelse af fagsystemer og it-løsninger

Digitaliseringsprojekter, herunder anskaffelse, udvikling og vedligeholdelse af it-systemer
skal udformes, så de sikrer det fornødne sikkerhedsniveau og forbedrer Syddjurs
Kommunes opfyldelse af lovkrav i forhold til borgernes og medarbejdernes rettigheder.
En sikkerhedsmæssig vurdering skal være en integreret del af projekt- og programstyringen, samt af anskaffelsesprocessen.

2.6 Fysisk beskyttelse af data og systemer

De fysiske omgivelser for informationer og informationsudstyr, der anvendes af Syddjurs
Kommune, og som Syddjurs Kommune har ansvaret for, skal beskyttes effektivt mod
fysiske hændelser, eksempelvis brand, vandskade, tyveri, hærværk, samt skader
forårsaget af menneskelige fejl.
På steder, hvor der opbevares og anvendes informationer og informationsudstyr, skal der
etableres et risikotilpasset niveau af fysisk sikkerhed. Den fysiske sikkerhed på lokationer
med vitale installationer og informationer skal løbende efterprøves.

2.7 Eksterne parter

Det skal sikres, at samarbejdet med eksterne parter ikke kompromitterer Syddjurs
Kommunes målsætninger for informationssikkerhedspolitikken. Kravene til eksterne parter
skal fastlægges ud fra politikken.

2.8 Håndtering af sikkerhedshændelser

Der skal opretholdes et beredskab, så sikkerhedshændelser kan håndteres effektivt. Ved
alvorlige hændelser skal der foretages en efterfølgende evaluering af hændelsen.
Sikkerhedsniveauet omkring de enkelte systemer og data fastlægges på baggrund af en
risikovurdering og under hensyn til lovbestemte og kontraktlige krav.

Informationssikkerhedspolitikken skal godkendes af Byrådet i hver byrådsperiode.