Informationssikkerhedspolitik
Formål
Egedal Kommunes Informationssikkerhedspolitik fastlægger ambitionsniveauet for informationssikkerheden i kommunen og den organisatoriske og ledelsesmæssige forankring. Egedal kommune lægger vægt på, at informationssikkerhed skal
- Være et kvalitetselement i kommunens service til borgerne, samarbejdspartnere og medarbejdere.
- Bidrage til at overholde lov- og myndighedskrav
Egedal Kommune forstår informationssikkerhed som to lige væsentlige dele 1) en teknisk, ITsikkerhedsmæssig del og 2) sikker og fortrolig behandling af og omgang med information/data, med særlig vægt på beskyttelse af personoplysninger.
Informationssikkerhedspolitikken indeholder de overordnede sikkerhedsmålsætninger og er grundlag for Egedal Kommunes informationssikkerhedshåndbog, som omfatter underliggende politikker, regler, procedurer og vejledninger samt beredskabsplaner.
Politikken lægger et fælles ambitionsniveau for informationssikkerhed i Egedal Kommunes organisation og borgerrettede opgaver. Politikker, regler og procedurer skal understøtte informationssikkerhedspolitikkens hovedmålssætninger og skal sikre, at det bliver nemmere for alle medarbejdere at forholde sig til og indtænke informationssikkerhed i deres daglige
arbejde.
Dækning
Informationssikkerhedspolitikken gælder for alle medarbejdere i kommunen og politikere (der dog på nogle områder er undtaget). Alle leverandører, konsulenter og samarbejdspartnere, som har fysisk eller logisk adgang til Egedal Kommunes systemer, data og informationer, enten direkte eller via driftsselskabs (IT-Forsyningen) IT-infrastruktur skal gøres bekendt med politikken og følge den.
Informationssikkerhedspolitikken dækker de fleste tekniske og administrative forhold, der har direkte eller indirekte indflydelse på drift og brug af Egedal Kommunes (IT-Forsyningens) udstyr og IT-systemer.
Sikkerhedsniveau
Kommunen ønsker at have et passende og tilstrækkeligt højt informationssikkerhedsniveau:
- Der afspejler lovgivningens krav til sikkerhed og databehandling.
- Der er i overensstemmelse med den gængse praksis for kommuner og offentlige
myndigheder i Danmark. - Der afspejler det aktuelle trusselsbillede og risikovurdering.
Sikkerhedsniveauet udmøntes og beskrives mere detaljeret i de underliggende regler, procedurer og vejledninger i informationssikkerhedshåndbogen. Et passende og tilstrækkeligt højt informationssikkerhedsniveau opnås igennem egne,
leverandørers og driftsselskab IT-Forsyningens tekniske og organisatoriske foranstaltninger for
sikring af:
- Fortrolighed, integritet, og tilgængelighed af Egedal Kommunes systemer og data.
- Beskyttelse af Egedal Kommunes IT-aktiver og af informationer/data i kommunens varetægt, med særlig vægt på beskyttelse af borgernes personoplysninger og i forhold til anlagte risikovurderinger.
- Medarbejdernes kompetencer og bevidsthed om informationssikkerhed.
- Kommunens anseelse og troværdighed blandt borgerne og i offentligheden som sådan.
- Tilgængelighed betyder, at det skal være muligt at tilgå systemer og data for autoriserede
personer, når dette er nødvendigt. - Integritet betyder, at data er pålidelige, når de er komplette, korrekte og opdaterede.
- Fortrolighed betyder, at kun autoriserede personer tildeles ret til at tilgå informationerne
baseret på arbejdsbetingede behov, det vil sige adgang til data skal være rollebaseret,
styret af funktion og opfyldelse af nødvendige arbejdsopgaver.
For at fastholde sikkerhedsniveauet i kommunen skal det sikres, at:
- Der forefindes politikker og procedurer, som sikrer, at god informationssikkerhed er en integreret del af Egedal Kommunes drift og daglige arbejde.
- Kommunen igennem struktureret kontrakt- og leverandørstyring sikrer, at brugen af eksterne konsulenter, samarbejdspartnere og leverandører ikke udhuler Egedal Kommunes informationssikkerhedsniveau.
- Kommunen følger op på informationssikkerheden på ledelsesniveau
Organisation, forankring og ansvar
Øverste ansvar for informationssikkerhed i kommunen ligger formelt hos kommunaldirektøren, der har uddelegeret ansvaret for det praktiske arbejde hermed til formand for Sikker Myndighedsdrift.
Egedal kommunes sikkerhedsorganisation er opbygget, så den lever op til alle krav og god skik for organisering af informationssikkerhedsarbejdet, med en særlig vægt på at supplere den formelle organisering med en effektiv organisation til implementering og opfølgning.
Det er målet med denne organisering, at der skal blive kort vej fra plan til implementering, fra regel til hverdagsadfærd, der bidrager til borgerens retssikkerhed, gode sagsgange og god administrativ praksis. Det betyder, at der er en tæt sammenhæng mellem informationssikkerhed og adfærd og derfor organiserer Egedal informationssikkerhedsarbejdet sammen med implementering af andre administrative opgaver. Dette sætter arbejdet med informationssikkerhed i den rigtige hverdagskontekst og sammenhæng. Hovedvægten lægges på prioriteret sikker adfærd frem for administrative procedurer.
Organiseringen vægter, at understøttelsen dels retter sig mod at sørge for, at Egedal kommune lever op til formelle krav, lovgivning og forordninger og dels mod at hjælpe organisationen med implementering af regler og retningslinjer på en måde, som giver mest effekt og opleves som så lille en administrativ byrde for frontmedarbejdere som muligt.
Informationssikkerhedskoordinatoren er ansvarlig for udarbejdelse af informationssikkerhedspolitik og informationssikkerhedshåndbog og for opfølgning på informationssikkerhedshændelser.
Risikovurderinger og konsekvensanalyser
Kommunen kan ikke sikre sig for enhver pris mod alt tænkeligt, men ønsker at være bevidst om enhver væsentlig risiko, og forholde sig proaktivt til disse med etablering af et passende og tilstrækkeligt højt sikkerhedsniveau, der tilgodeser både lov- og myndighedskrav og kommunens forpligtigelse til at tage godt vare på data og personoplysninger i vores varetægt.
Ledelsen deltager aktivt i risikovurderingen og er ansvarlig for at vurdere trusler, konsekvenser og risici af IT-systemer og andre relevante områder. Risici vurderes kvartalsvis af informationssikkerhedskoordinator, samt ved behov på
ledergruppens faste møder, den samlede risikovurdering opdateres én gang årligt for ledergruppes indspil og kvalificering, evaluering og godkendelse, samt ved eventuelle større ændringer i trusselsbillede, i opgaver, leverandører, IT-systemer eller anvendelsen deraf.
Der skal foretages IT-tekniske og systemmæssige vurderinger af risici, herunder i forhold til registreredes rettigheder (risikovurderinger), og vurderinger af konsekvens for de registrerede (konsekvensanalyser eller ”DPIA” – Data Protection Impact Assessment), hvis risikovurderingerne giver anledning til det, i henhold til databeskyttelsesforordningens
bestemmelser om registreredes rettigheder.
Der skal ikke udarbejdes konsekvensanalyser for databehandlingsaktiviteter påbegyndt før databeskyttelsesforordningens ikrafttræden i maj 2018. Derimod SKAL der udarbejdes konsekvensanalyser efter maj 2018 i tilfælde, hvor behandling involverer et eller flere elementer:
- Nye teknologier
- Behandling i stort omfang af følsomme personoplysninger (artikel 9-oplysninger)
- Store mængder personoplysninger på regionalt, nationalt eller overnationalt plan
- Systematisk og omfattende vurdering af forhold vedrørende fysiske personer, baseret på automatisk behandling, herunder profilering som grundlag, og som er grundlag for afgørelser, der har retsvirkning eller betydelige konsekvenser for den enkelte [registrerede]
- Systematisk overvågning af et offentligt tilgængeligt område i stort omfang
- Oplysninger om sårbare registrerede (særligt børn)
Der skal tages dokumenteret stilling til, hvorvidt der skal udarbejdes risikovurdering og konsekvensanalyser ved alle anskaffelser af nye systemer og disse skal udarbejdes obligatorisk når nyanskaffelser opfylder et eller flere af kriterierne ovenfor og/eller har en høj iboende risiko, med udgangspunkt i dokumentet Datatilsynets liste over de typer af
behandlingsaktiviteter, der er underlagt kravet om en konsekvensanalyse vedrørende databeskyttelse, tilgængeligt fra Datatilsynets hjemmeside.
Prioritering
For at sikre, at kommunens systemer og data har det rigtige sikkerhedsniveau, prioriteres disse på baggrund af krav til tilgængelighed, integritet (pålidelighed) og fortrolighed. Systemer prioriteres indbyrdes i følgende kategorier:
- Liv og død – Risiko for liv og førlighed for borgere ved serviceudfald på kritiske tidspunkter. Lovpligtigt at have høj oppetid på digital service.
- Meget kritiske systemer - Alvorlige konsekvenser for kommunens serviceydelser efter kort tids udfald, der negativt vil påvirke kritisk borgervendt service.
- Kritiske systemer - Kan ikke udføre lovpligtige ydelser efter en kortere periodes udfald.
- Ikke-kritiske systemer - Systemer og støttesystemer til kommunens sagsgange, der kan undværes i en længere periode uden større konsekvenser for kommunens ydelser.
Risikovurderinger af systemerne og risikoreducerende tiltag skal derfor foretages af de enkelte systemansvarlige i kommunen i samarbejde med informationssikkerhedskoordinator, som dokumenterer dem i porteføljestyringssystem.
Kriterier for vurdering af systemers kritikalitet er:
- Kritikalitet i forhold til borgeres liv, helbred og velbefindende
- Kvalitet af borgerrettet service (systemers tilgængelighed og integritet)
- Særligt følsomme personoplysninger indeholdt i systemer
- I arbejdet med informationssikkerhed prioriteres:
▪ Netværk
▪ vurdering af nyanskaffelser
▪ De systemer som kommunen har kategoriseret som kritiske og meget kritiske.
Baseret på vurderingen af data og systemer samt risikovurderingen etableres mulige og relevante tekniske og organisatoriske sikkerhedsforanstaltninger
Afvigelser
Alle informationssikkerhedshændelser der kommer til medarbejderes, driftsselskabs, konsulenters eller leverandørers kendskab, skal meldes til informationssikkerhedskoordinator. Informationssikkerhedskoordinatoren fører en log over informationssikkerhedshændelser og mulige afhjælpende foranstaltninger implementeres på baggrund heraf. Eventuelle informationssikkerhedsbrud af generel karakter, f.eks. utilgængelighed af netværk, håndteres i henhold til beredskabsplan herfor.
Eventuelle systemspecifikke informationssikkerhedsbrud håndteres i henhold til lokale beredskabsplaner herfor.
Eventuelle brud på persondatasikkerheden i større skala (af systemisk karakter) håndteres i henhold til separat beredskabsplan herfor.
Overtrædelse af informationssikkerhedspolitikken
Alle medarbejdere i Egedal Kommune, leverandører og samarbejdspartnere, er forpligtet til at efterleve den til enhver tid gældende informationssikkerhedspolitik med tilhørende regler, procedurer og vejledninger med relaterede bilag i informationssikkerhedshåndbog. En overtrædelse heraf kan, efter omstændighederne, medføre sanktioner, fastlagt af leder af HR.
Ændringer
Ændringer i dokumentation vedrørende informationssikkerhed foretages på følgende måde:
- Informationssikkerhedspolitikken (forrige): Godkendt af byrådet med forudgående
godkendelse af økonomiudvalget. - Informationssikkerhedspolitikken (efterfølgende): Godkendes af styregruppen i Sikker Myndighedsdrift, med mindre væsentlige ændringer tilsiger byrådsgodkendelse.
- Informationssikkerhedshåndbogen: Godkendes af styregruppen i Sikker Myndighedsdrift
Godkendelse
Informationssikkerhedspolitikken blev godkendt af Byrådet den 27.01 2021. Nuværende udgave ultimo 2023 er let revideret i forhold til 2021-udgaven, i henhold til Byrådets samtidige beslutning af 27.1. 2021 om fremadrettet at uddelegere informationssikkerhedspolitikkens godkendelse til administrationen. Informationssikkerhedspolitikken v. 1.1 er godkendt af Sikker Myndighedsdrift 21.11. 2023 og træder i kraft umiddelbart.