Hopp til hovedinnhold (trykk enter)
Arkivplan.no
Opp ett nivå
Printer-ikon Utskriftsvennlig versjon

Sikkerhetsmål og strategi for informasjonssikkerhet Malvik kommune

Versjon 1.0, godkjent i rådmannens strategisk lederteam 30.10.2018

Sikkerhetsmål og –strategi for informasjonssikkerhet Malvik kommune

1. Innledning

Sikkerhetsmål og –strategi er Malvik kommunes overordnede styrende dokument for informasjonssikkerhet. Rådmannens lederteam har det overordnede ansvaret for all informasjonssikkerhet hos Malvik kommune.

2. Sikkerhetsmål

Det overordnede formålet med Malvik kommunes behandling av personopplysninger er å understøtte saksbehandlingen slik at vi kan levere gode tjenester, utøve forsvarlig myndighetsutøvelse og forvaltning og være en god demokratisk arena.

Internkontrollsystemet skal sikre tilstrekkelig konfidensialitet (at opplysninger ikke blir kjent for uvedkommende), integritet (ingen uautorisert eller utilsiktet endring av opplysninger) og tilgjengelighet (opplysningene er tilgjengelig når tilgang er nødvendig).

Følgende sikkerhetsmål er definert:

1. Malvik kommune skal sikre at informasjon behandles etter krav i relevante lover og forskrifter.

2. Nivå og oppmerksomhet på sikkerhet i kommunen skal ha forankring i ledelsen.

3. Sikkerheten skal ivaretas som en integrert del av hele kommunens organisasjon.

4. Den fysiske sikkerheten ved Malvik kommune skal hindre at uautoriserte får adgang til lokaler der beskyttelsesverdig informasjon og sensitive personopplysninger lagres og behandles.

5. Tilgang til systemer og informasjon gis kun til medarbeidere etter behov (Need to Know).

6. Tilgang til systemer og informasjon for uvedkommende skal forhindres.

7. Kommunen skal sikre at informasjonsbehandling er korrekt og at informasjon ikke forandres uten lovlig tilgang.

8. Kommunen skal sikre tilgjengelighet til systemer, tjenester og informasjon til rett tid for de personer som er autorisert.

9. Det skal være mulig å spore uønskede hendelser.

10. Det skal være tatt i bruk rutiner for å håndtere uønskede hendelser, inkludert virksomhetskritiske hendelser.

11. Det skal være tatt i bruk systematiske læreprosesser ved uønskede hendelser slik at sannsynlighet for tilsvarende eller gjentatte hendelser reduseres.

12. Det skal forhindres at personer eller systemer hos kommunen bevisst eller ubevisst er årsak til sikkerhetsmessig uønskede hendelser mot egen eller andre virksomheter eller privatpersoner.

13. Kommunen skal sikre at medarbeidere som bruker kommunens informasjonssystemer har tilstrekkelig kompetanse for å ivareta virksomhetens sikkerhetsbehov/krav.

Relevante lover og forskrifter: Personopplysningsloven og Personopplysningsforskriften

3. Sikkerhetsstrategi

3.1 Organisering av sikkerheten

Arbeidet med informasjonssikkerhet inngår som en integrert del av de oppgavene som de enkelte virksomheter og avdelinger i kommunen har.

Organisasjonssjef er delegert det overordnede operative sikkerhetsansvaret og fungerer som sikkerhetsansvarlig.

Overordnet operativt ansvar for drift av informasjonssystemene er tillagt IT-leder.

Se for øvrig vedlagte organisasjonskart.

Kontrakter

Alle formaliteter mellom Malvik kommune og leverandører skal være formulert i formelle kontrakter (SLA – Service Level Agreement) og skal inkludere relevante sikkerhetskrav. Malvik kommune skal alltid ha rett til innsyn og måling av hvorvidt sikkerhetskrav etterleves av en leverandør.

Egenkontroll

Egenkontroll/måling av sikkerhetsnivå i Malvik kommune skal utføres regelmessig iht. systematiserte rutiner.

3.2 Personell og sikkerhet

Generell taushetserklæring

Alle som får tilgang til beskyttelsesverdige opplysninger om Malvik kommune skal underskrive en taushetserklæring. Dette gjelder kommunens ansatte, leverandørers ansatte eller andre som måtte komme i kontakt med slik informasjon.

Kompetanse

Ledere med personalansvar skal sikre at ansatte gjennom opplæring og rutiner oppnår tilstrekkelig kunnskap til å forvalte informasjon og systemer på en sikker måte.

3.3 Fysisk sikkerhet og tilgang til informasjonssystemer

  • Adgang til kommunens lokaler for eksternt (og internt) personell skal godkjennes av aktuell linjeleder og følge retningslinjer for tildeling av adgang. Adgang skal begrenses til det minimum av lokaler som vedkommende har behov for.
  • Nærmeste linjeleder er ansvarlig for å klarlegge og autorisere en ansatts behov for tilgang til informasjonssystemer og formidle dette til IT-avdelingen ved ansettelse eller endringer i ansvar.
  • Nærmeste linjeleder er ansvarlig for å melde til IT-avdelingen at personell slutter slik at tilgangsrettigheter fjernes.
  • Det vises for øvrig til prosedyrer i kvalitetssystemet.

3.4 Konfigurasjonskontroll

Oversikt over gyldig sikkerhetsdokumentasjon, utstyr, programvare og systemkonfigurasjon skal utarbeides og vedlikeholdes av It-leder.

3.5 Endringskontroll og vurdering av personvernkonsekvenser

  • Ved endringer i Malvik kommunes informasjonssystemer skal alltid beskyttelsesbehov vurderes, og om endring kan ha konsekvenser for sikkerheten.
  • Endringer som kan ha konsekvenser for informasjonssikkerheten, skal godkjennes av sikkerhetsansvarlig.
  • For endringer som kan ha sikkerhetsmessig konsekvens, skal IT-avdelingen utarbeide en risikovurdering inkludert forslag til tiltak som oversendes sikkerhetsansvarlig. Personvernombudet skal delta i vurderingen av personvernkonsekvenser av endringer.
  • Personvernkonsekvenser skal vurderes ved alle behandlingsaktiviteter som «sannsynligvis medfører en høy risiko», jf. personvernforordningens artikkel 35.

3.6 Avvikshåndtering

  • Alvorlige hendelser av sikkerhetsmessig betydning skal alltid rapporteres til nærmeste leder, sikkerhetsansvarlig og personvernombud.
  • Ved alvorlige hendelser skal sikkerhetsansvarlig involveres i oppfølging og beslutning av korrigerende tiltak knyttet til hendelsen.

3.7 Systemteknisk sikkerhet

3.7.1 Nødvendig sikkerhetsnivå – høy, middels, lav

Avhengig av det aktuelle system og informasjonen som behandles, vil de ulike aspektene ved sikkerhet (tilgjengelighet, konfidensialitet og integritet) ha ulik betydning. Følgende kategorisering benyttes for beskyttelsesbehov:

  • Høy – gis bare system og informasjon med virksomhetskritisk beskyttelsesbehov.
  • Middels – gis system og informasjon med beskyttelsesbehov.
  • Lav, (lave krav til sikkerhet) kan gjelde alle system og informasjon med lite eller ingen beskyttelsesbehov.

Ulike delsystem kan ha ulike beskyttelsesbehov.

3.7.2 Krav til dokumentasjon av beskyttelsesbehov

  • Malvik kommune skal vedlikeholde en oversikt over personopplysninger og andre digitale verdier som informasjonssystem og eksterne kommunikasjonsgrensesnitt med faktisk beskyttelsesbehov.
  • Vurdering av beskyttelsesbehov skal inngå i alle system- eller infrastrukturendringer som kan påvirke informasjonssikkerheten.

3.7.3 Strategi for systemteknisk sikkerhet

  • Sikkerhetstiltak for Malvik kommunes nettverk og system skal aldri basere seg på at system, person eller virksomhet det kommuniseres med har en «sikker» infrastruktur. Kommunens lokale tiltak skal alltid settes i verk for å minimalisere risiko.
  • Sikkerhetsbehov skal alltid vurderes relatert til hvor virksomhetskritiske systemene er (se over «Nødvendig sikkerhetsnivå»).
  • Programvare- og maskinvareplattformer benyttet i Malvik kommunes informasjonssystem skal være standardisert. Det er ikke tillatt å installere egen programvare, all installasjon skal utføres av IT-avdelingen eller de som IT-avdelingen delegerer dette til.

Orgkart informasjonssikkerhet

Laster...