IT-säkerhetspolicy

IT-säkerhetspolicy.

Antaget av Kommunstyrelsen den 15 mars 2010, § 51.

Informationssäkerhet är en del i organisationens lednings- och kvalitetsprocess som ska
bidra till att hantering av information sker på avsett sätt och med avsedd säkerhet.

1. Syfte

Med information avses all information oavsett om den behandlas manuellt eller
automatiserat och oberoende av i vilken form eller miljö den förekommer.
Utgångspunkter i vårt arbete med informationssäkerhet är:

  • Verksamhetens krav
  • Lagar, förordningar och föreskrifter

Syftet med denna policy är förebygga, förbereda, förhindra, upptäcka, hantera och
ingripa så att vår information inte hanteras felaktigt i det dagliga arbetet och vid
störningar av olika slag.

Informationssäkerhet är en integrerad del av verksamheten. Alla som hanterar
information har ett ansvar att hålla sig själva informerade om och bidra till att
upprätthålla informationssäkerheten. Det är också ett ansvar för chefer på alla nivåer
att aktivt verka för en positiv attityd till informationssäkerhet. Alla medarbetare ska
vara uppmärksamma på och rapportera händelser som kan påverka säkerheten för
vår information.

Alla delar inom vår organisation är bunden till denna policy vilket medför att det inte
finns utrymme att besluta om lokala policies eller regler som avviker.

2. Mål

Långsiktiga mål

För informationssäkerhetsarbetet ska gälla att:

  • det ska säkerställa att rätt information är tillgänglig för rätt person i rätt tid och på ett
    spårbart sätt
  • det stöder utvecklingsarbetet
  • krishanteringsförmågan säkerställs
  • det säkrar en effektiv och balanserad informationsförsörjning som bidrar till ökat skydd och
    stöd för medarbetare, samverkande partners och tredje man
  • all personal har kunskap om gällande informationssäkerhetsregler
  • det finns tillgång till en gemensam, säker och väl definierad teknisk infrastruktur och för
    extern och intern datakommunikation
  • hotbilden för varje enskilt informationssystem som är av vikt för vår verksamhet ska
    analyseras regelbundet
  • systemsäkerhetsanalyser av viktiga informationssystem ska prioriteras
  • ingångna avtal är kända och följs

Årliga mål

Informationssäkerhetsarbetet ska bedrivas som en integrerad del av organisationens normala
verksamhet. Årliga mål för det ska därför beslutas och framgå av verksamhetsplaneringen.
Av de årliga målen bör framgå:

  • vad ska göras under året och varför
  • tidplan (när och hur, sluttidpunkt)
  • behov av resurser för arbetet (personella och ekonomiska)
  • när och hur uppföljning, utvärdering och avrapportering ska ske
  • när och hur medarbetare ska informeras och utbildas

3. Organisation, roller och ansvar

Organisation, roller och fördelning av ansvar ska bidra till att informationen kan administreras och hanteras på ett riktigt sätt. Detta innebär att ett informationssystem med alla dess delar är en resurs i en verksamhet på samma sätt som personal, lokaler, kontorsmaterial mm.
Biträdande kommundirektör har det övergripande ansvaret för informationssäkerheten.
Beskrivning av ansvar och roller enligt bild nedan framgår av Informationssäkerhetsinstruktion Förvaltning (InfoSäkI SF)

4. Generella krav

Samtliga informationssystem ska vara identifierade och förtecknade och biträdande kommundirektör utser systemägare för dessa. Informationssystemen ska klara den basnivå för informationssäkerhet som KBM:s rekommendationer beskriver.

Vissa informationssystem är en förutsättning för oss att kunna bedriva vår verksamhet. Som underlag för beslut om vilka dessa är ska en verksamhetsanalys vara genomförd. För prioriterade system ska en systemsäkerhetsanalys genomföras/upprättas. Den ska utgöra underlag för utsedd systemägares beslut om driftgodkännande.

Vissa områden inom området informationssäkerhet är av särskild betydelse för vår
verksamhet. Dessa områden är utbildning, informationsklassning, distansarbete, användning av Internet och e-post samt kontinuitetsplanering. För dessa områden ska särskilda regler finnas och framgå av informationssäkerhetsinstruktionerna.

Den som använder våra informationstillgångar på ett sätt som strider mot denna policy kan bli föremål för åtgärder från vår sida.

5. Revidering och uppföljning

Uppföljning är en viktig del i informationssäkerhetsarbetet och ska bevaka:
att beslutade åtgärder är genomförda, att årliga mål är uppfyllda, att regler följs och att
systemsäkerhetsanalyser och policydokument vid behov revideras.

Verksamhetsanalys, policy, informationssäkerhetsinstruktioner och systemsäkerhetsanalyser ska årligen följas upp och vid behov revideras.

Hjälpte informationen på sidan dig?