Incidenthantering, riktlinje

Riktlinje för incidenthantering.

Antaget av Kommunstyrelsen den 11 juni 2024, § 118.

1. Inledning

Denna strategi gäller för hela Arvika kommun med dess bolag; alla anställda, förtroendevalda och andra som har behörighet att använda kommunernas resurser för IT-kommunikation.

I enlighet med Arvika kommunkoncerns policy för informationssäkerhet och i arbetet med vårt ledningssystem för informationssäkerhet ska Arvika kommunkoncern arbeta systematiskt och riskorienterat med informationssäkerhet. En viktig del av det riskorienterade arbetet är att hantera incidenter.

Vi ska i enlighet med Dataskyddsförordningen anmäla personuppgiftsincidenter.

2. Syfte och mål

2.1. Syfte med riktlinjen

Riktlinjen har till syfte att beskriva hur incidenter ska hanteras och hur rapportering av incidenter ska ske i Arvika kommunkoncern. Riktlinjen har också till syfte att fastställa roller och ansvar i och med incidenthantering.

2.2. Mål

Att arbeta efter en kommungemensam modell när det gäller att förebygga, upptäcka och hantera incidenter.

3. Övriga styrdokument, lagar och förordningar av relevans för riktlinjen

  • Policy för informationssäkerhet
  • Dataskyddsförordningen
  • Dataskyddslagen
  • ISO 27000-serien
  • Säkerhetsskyddslagen (2018:585)
  • Lag (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster (NIS- direktivet)

4. Ansvar och organisation

4.1. Organisation

Kommunfullmäktige fastställer den riktlinje för incidenthantering som ska gälla för Arvika kommun. Kommunstyrelsen ansvarar för att kommunens riktlinje för incidenthantering samt att program och planer för denna riktlinje utarbetas och hålls aktuella.

Varje nämnd och bolagsstyrelse är, utifrån denna riktlinje och kommunstyrelsens program och planer, ansvarig för incidenthantering inom sitt verksamhetsområde. Ansvaret för incidenthantering följer verksamhetsansvaret. Alla medarbetare har ett ansvar för att följa uppställda styrdokument. Det samma gäller när tillfällig personal eller extern aktör/ uppdragstagare anlitas.

4.2. Funktion och ansvar

Tabell Funktion och ansvar.

Funktion

Ansvarar för

Samordningsgrupp för dataskydd och informationssäkerhet

Riktlinjer och rutiner gällande incidenthantering

Dataskyddsombud Samordningsgrupp för dataskydd och informationssäkerhet

Ta emot och bedöma personuppgiftsincidenter

Personuppgiftsansvarig

Anmäla till Integritetsskyddsmyndigheten (IMY)

Dataskydd- och informationssäkerhetssamordnare

Registrera och utreda personuppgiftsincident och koppla till informationstillgång och behandling, skriva fram förslag till åtgärder på kort och lång sikt samt följa upp åtgärder

Ansvarig chef

Beslutar om åtgärder på kort och lång sikt i samråd med Dataskydd- och informationssäkerhetssamordnare

IT-chef

Ta emot och bedöma IT-incidenter, eventuellt anmäla vidare till Myndigheten för samhällsskydd och beredskap (MSB) Skriva fram åtgärdsrapport

IT-chef
Styrgrupp för dataskydd och informationssäkerhet

Ta emot och bedöma informationssäkerhetsincidenter, eventuellt anmäla vidare till tillsynsmyndighet
Skriva fram åtgärdsrapport

5. Riktlinje för incidenthanteringen

5.1. Anmälan av incidenter

  • Samtliga medarbetare har ett ansvar att anmäla incidenter. En medarbetare ska:
    • ha kännedom om vad en incident är
    • veta hur incidenten ska anmälas
  • Att anmäla en incident ska vara lätt och det ska tydligt framgå att det alltid är själva incidenten som anmäls och inte den som anmäler.
  • En incident ska alltid anmälas. För att tidigt kunna påbörja riskminimering och hantera incidenten ska anmälan påbörjas även om all information inte finns att tillgå. Komplettering av anmälan ska ske allt eftersom ny information finns tillgänglig.
  • Det ska finnas tydliga ingångar på Arvika kommunkoncerns intranät för anmälan med instruktioner hur anmälan görs och vad som händer efter att anmälan är gjord.

5.2. Dokumentation av inträffade incidenter

  • Incidenter ska dokumenteras. Syftet med att dokumentera incidenter är att:
    • skapa förutsättningar för att vidta rätt skyddsåtgärder
    • utveckla förmågan att förebygga, upptäcka och hantera incidenter

5.3. Uppföljning och anmälningsplikt

  • Incidenter och åtgärder ska följas upp och fungera som ett lärtillfälle för ett mer proaktivt
  • Incidenter som omfattas av anmälningsplikt enligt gällande lagar, förordningar eller föreskrifter ska anmälas till tillsynsmyndighet.

5.4. Rutinbeskrivningar

  • Det ska finnas upprättade rutinbeskrivningar med tydlig ansvarsfördelning och rollbeskrivning för respektive incidentkategori.

6. Begreppsindikationer

Samlingsbegreppet incident inbegriper IT-incidenter, informationssäkerhetsincidenter, IT- säkerhetsincidenter och personuppgiftsincidenter, vilka kommer att redogöras för nedan. Incidenter kan vara IT-incident, informationssäkerhetsincident, IT-säkerhetsincident, en personuppgiftsincident eller en kombination av dessa.

6.1. IT-incidenter

En IT-incident är en oönskad och oplanerad störning i mjuk- eller hårdvara som kan få eller har fått negativa konsekvenser för verksamheten, enskild individ eller tredje part. En IT-incident kan antingen bero på ett medvetet eller omedvetet agerande, men till skillnad från en IT-säkerhetsincident beror en IT-incident aldrig på ett antagonistiskt angrepp. Exempel på IT-incidenter är störningar i driftsmiljön, dataförlust eller dataläckage.

6.2. Informationssäkerhetsincidenter

Informationssäkerhetsincidenter är händelser som påverkar, eller kan komma att påverka, säkerheten negativt för Arvika kommunkoncerns informationstillgångar. Den gemensamma nämnaren är att informationssäkerheten hotas genom till exempel obehörig åtkomst till information, obehörig hantering av information, felaktig information eller brist på tillgång till information.

Exempel på informationssäkerhetsincidenter kan vara att obehörig tar del av ett samtal i offentlig miljö, att fysiska dokument lämnas utan uppsikt eller obehörig åtkomst till digital information.

6.3. IT-säkerhetsincident

En IT-säkerhetsincident är ett avsiktligt angrepp som påverkar säkerheten negativt för våra informationstillgångar. Exempel på IT-säkerhetsincidenter kan vara kapad inloggning, dataintrång, angrepp med skadlig kod (virus på dator), bedrägeriförsök via e-post.

6.4. Personuppgiftsincident

En personuppgiftsincident är en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring av personuppgifter. Den kan också leda till ett obehörigt röjande av eller obehörig åtkomst till personuppgifter. Det spelar ingen roll om det har skett oavsiktligt eller med avsikt. Exempel på personuppgiftsincidenter är felaktigt utskick av personuppgifter eller att uppgifter i våra verksamhetssystem inte finns tillgängliga.

7. Uppföljning och revidering

Riktlinje för incidenthantering ska revideras vart annat år eller vid behov. I samband med revideringen ska tillhörande program, planer och andra tillämpningsanvisningar revideras på motsvarande sätt.

Hjälpte informationen på sidan dig?