Politik for informationssikkerhed

Indledning

Formålet med politikken for informationssikkerhed er at sikre en ramme for styring af cyber- og informationssikkerhed i forhold til kommunens behandlingsaktiviteter og anvendte net- og informationssystemer.

Dette gøres med fokus på forsyningskædesikkerhed og beskyttelse af de registreredes rettigheder ud fra en risikobaseret tilgang.

Politikken har sit afsæt i ISO27001, som er en international standard for styring af informationssikkerhed. ISO27001 udgør grundstenen for arbejdet med informationssikkerhed og er fundamentet til implementering af andre standarder og lovkrav inden for informationssikkerhed, som eksempelvis National Standard for Identiteters Sikringsniveauer (NSIS), tekniske minimumsstandarder i kommuner, Databeskyttelsesforordningen (GDPR) samt NIS 2-loven.

Omfang

Informationssikkerhed dækker beskyttelse af information, systemer og infrastruktur mod uautoriseret adgang, ændring og tab. Det omfatter både digitale og fysiske data samt de processer og mennesker, der håndterer dem. Formålet er at sikre fortrolighed, integritet og tilgængelighed af information.

Politikken gælder for alle ansatte i Favrskov Kommune, samt for politikere og eksterne samarbejdspartnere med adgang til Favrskov Kommunes informationsaktiver.

Målsætninger

Favrskov Kommune vil opretholde et effektivt værn mod informationssikkerhedsmæssige trusler.

Dette gøres ud fra en risikobaseret tilgang med fokus på at kunne opretholde driften af kommunens kritiske tjenester, overholde lovkrav og beskytte borgernes data og bevare tilliden til kommunen.

De sikkerhedsmæssige tiltag skal beskytte Favrskov Kommunes informationer og være med til at understøtte:

  • Fortrolighed; som er, at information kun er tilgængelig for de personer, enheder eller systemer, der har de rette autorisationer. Det handler om at beskytte information mod uautoriseret adgang.
  • Integritet; som er, at information er nøjagtig, komplet, pålidelig og uændret, medmindre det er godkendt af de rette personer. Det sikrer, at data ikke er blevet ændret, slettet eller manipuleret på en uautoriseret måde.
  • Tilgængelighed; som er, at information og systemer er tilgængelige og operationelle, når de er nødvendige. Det indebærer, at systemer og data skal være beskyttet mod forstyrrelser, og at de skal kunne genoprettes hurtigt i tilfælde af nedbrud. 

Endvidere skal der udarbejdes regler og procedurer, som understøtter informationssikkerhed. Disse skal indgå som en integreret del af driften under hensyntagen til medarbejdernes sikkerhed og rettigheder.

For at fastholde informationssikkerheden i Favrskov Kommune skal følgende overholdes:

  • Brugen af eksterne samarbejdspartnere og leverandører skal via kontrakt- og leverandørstyring sikre, at eksterne parter lever op til Favrskov Kommunes niveau for informationssikkerhed.
  • Der skal løbende arbejdes med evaluering og forbedringer af regler og procedurer via Informationssikkerhedsudvalget. Målet er at sikre en struktureret og kontinuerlig forbedringsproces, så informationssikkerheden løbende tilpasses Favrskov Kommunes risikovillighed, det reelle trusselsbillede, teknologi, lovgivning og ”best practice” for området.
  • Medarbejderne skal løbende uddannes i informationssikkerhed, så de har et vidensniveau om informationssikkerhed, der er passende for deres arbejdsområde.
  • Politikken for informationssikkerhed og de tilhørende regler skal være tilgængelig og kendt af ledelse og medarbejdere i Favrskov Kommune.
     

Organisering og udmøntning

Det overordnede ansvar for informationssikkerheden er placeret hos Direktionen, som udpeger et Informationssikkerhedsudvalg, der varetager de daglige opgaver i arbejdet med informationssikkerhed. Informationssikkerhedsudvalget refererer til Direktionen.

I henhold til Databeskyttelsesforordningen er der udpeget en Databeskyttelsesrådgiver. Databeskyttelsesrådgiveren underretter og rådgiver den dataansvarlige eller databehandleren og de ansatte, der behandler persondata, om deres forpligtelser efter forordningen samt fører tilsyn med, om virksomheden overholder reglerne.

Informationssikkerhedspolitik (denne politik)

Politikken for informationssikkerhed beskriver rammer, mål, processer og overordnet organisering af informationssikkerheden.

Politikken ajourføres årligt og ved væsentlige ændringer af kommunens forretningsmæssige mål og/eller trusselsbilledet.

Politikken for informationssikkerhed godkendes af Favrskov Kommunes Byråd.

Regler for informationssikkerhed (Informationssikkerhedshåndbogen)

Politikken for informationssikkerhed udmøntes i Reglerne for informationssikkerhed  (Informationssikkerhedshåndbogen), som udarbejdes efter principperne i ISO27001.
Reglerne beskriver, hvordan informationssikkerhedspolitikken organiseres og konkretiseres i forhold til drift, ansvar og roller for informationssikkerheden i Favrskov Kommune.
Reglerne for informationssikkerhed godkendes af Informationssikkerhedsudvalget.

Procedurer

Ud fra reglerne for informationssikkerhed skal fagchefer, system- og dataejere udarbejde relevante procedurebeskrivelser, så det daglige arbejde med kommunens informationer sker i
overensstemmelse med det ønskede sikkerhedsniveau.

Risikovurderinger

Direktionen er overordnet ansvarlig for risikostyring, fastsættelse af risikoaccept og prioritering af foranstaltninger.

Informationssikkerhedsudvalget udarbejder i samarbejde med relevante fagchefer, system- og dataejere samt IT løbende risikovurderinger af de væsentligste informationsaktiver og processer.

Risikovurderingerne samles i et overblik, som der ageres ud fra jf. den vedtagne risikoproces. Risikovurderingerne udgør kommunens risikobillede.

Ledelsen deltager aktivt i risikovurderingen og er ansvarlig for at vurdere trusler, konsekvenser og risici mod informationsaktiverne.

Med udgangspunkt i risikovurderingen prioriterer ledelsen de nødvendige foranstaltninger for at sikre, at Favrskov Kommune fastholder det ønskede niveau for informationssikkerhed.

Risikovurderingen og -processen opdateres mindst én gang årligt samt ved eventuelle større sikkerhedshændelser, ændringer i opgaver, leverandører, it-systemer og trusselsmæssige forhold.

It-beredskabsplaner

Hvor det er relevant, udarbejder fagchefer, system- og dataejere it-beredskabsplaner, som træder i kraft, hvis vigtige informationsaktiver bliver utilgængelige, kompromitteres eller lækkes.

Favrskov Kommune forholder sig aktivt til trusler mod informationssikkerheden og iværksætter realistiske og tilstrækkelige handlinger for at sikre et tilstrækkeligt sikkerhedsniveau.

Hvis der indtræffer en alvorlig informationssikkerhedshændelse, er det Informationssikkerhedsudvalgets ansvar, at der foretages en vurdering af årsagen til hændelsen.

Informationssikkerhedsudvalget vurderer, om dette giver anledning til at iværksætte sikkerhedsmæssige tiltag.

Overholdelse af politikken for informationssikkerhed

Alle medarbejdere og politikere i Favrskov Kommune er forpligtet til at efterleve politikken for informationssikkerhed med tilhørende regler og procedurebeskrivelser.

Hvis en medarbejder eller politiker opdager trusler eller brud, der kan kompromittere informationssikkerheden, skal de straks kontakte nærmeste leder eller kommunens databeskyttelsesrådgiver, som så vurderer, hvordan hændelsen skal håndteres.

Godkendt af Byrådet i Favrskov Kommune den 24. april 2018 og er senest revideret 26. maj 2026.