Politik for informationssikkerhed

Indledning

Formålet med politikken for informationssikkerhed er at sikre, at anvendelsen af informationer sker efter gældende lovgivning, anerkendte standarder og fastlagte regler. 

Informationssikkerhed er en bred betegnelse for de samlede foranstaltninger, som skal sikre informationer i forhold til fortrolighed, integritet og tilgængelighed. 

Informationer i såvel digital som fysisk format er omfattet af politikken. 

Politikken har sit afsæt i ISO27001, som er en international standard for styring af informationssikkerhed. ISO27001 udgør grundstenen for arbejdet med informationssikkerhed og er fundamentet til implementering af andre standarder og lovkrav inden for informationssikkerhed, som eksempelvis National Standard for Identiteters Sikringsniveauer (NSIS), tekniske minimumsstandarder i kommuner, samt Databeskyttelsesforordningen (GDPR)

Omfang

Politikken for informationssikkerhed omfatter den samlede anvendelse af informationer i Favrskov Kommune.
 
Politikken gælder for alle ansatte i Favrskov Kommune, samt for politikere og eksterne samarbejdspartnere med adgang til Favrskov Kommunes informationsaktiver.

Målsætninger

Favrskov Kommune vil opretholde et effektivt værn mod informationssikkerhedsmæssige trusler, således at borgernes retssikkerhed, de ansattes trygheds- og arbejdsvilkår og Favrskov Kommunes omdømme sikres bedst muligt. Beskyttelsen skal omfatte såvel naturgivne som tekniske og menneskeskabte trusler af bevidst eller tilfældig art. De sikkerhedsmæssige tiltag skal beskytte Favrskov Kommunes informationer og være med til at understøtte:

  • Fortrolighed - kvalificeret behandling, transmission og opbevaring af informationer og minimering af risikoen for lækage
  • Integritet - korrekt funktion og brug af informationsaktiver med minimeret risiko for manipulation af og fejl i såvel informationer som systemer
  • Tilgængelighed - driftssikkerhed med høj oppetid og minimeret risiko for større nedbrud og tab af informationer.

Endvidere skal der udarbejdes regler og procedurer, som understøtter informationssikkerhed. Disse skal indgå som en integreret del af driften under hensyntagen til medarbejdernes sikkerhed og rettigheder.
 
For at fastholde informationssikkerheden i Favrskov Kommune skal følgende overholdes:

  • Brugen af eksterne samarbejdspartnere og leverandører skal via kontrakt- og leverandørstyring sikre, at eksterne parter lever op til Favrskov Kommunes niveau for informationssikkerhed.
  • Der skal løbende arbejdes med evaluering og forbedringer af regler og procedurer via informationssikkerhedsudvalget. Målet er at sikre en struktureret og kontinuerlig forbedringsproces, så informationssikkerheden løbende tilpasses Favrskov Kommunes risikovillighed, det reelle trusselsbillede, teknologi, lovgivning og ”best practice” for området.
  • Medarbejderne skal løbende uddannes i informationssikkerhed, så de har et vidensniveau om informationssikkerhed, der er passende for deres arbejdsområde.
  • Politikken for informationssikkerhed og de tilhørende regler skal være tilgængelig og kendt af ledelse og medarbejdere i Favrskov Kommune.

Organisering og udmøntning

Politikken for informationssikkerhed godkendes af Favrskov Kommunes Byråd.
 
Det overordnede ansvar for informationssikkerheden er placeret hos Direktionen, som udpeger et informationssikkerhedsudvalg, der varetager de daglige opgaver i arbejdet med informationssikkerhed. Informationssikkerhedsudvalget refererer til Direktionen.
 
Politikken for informationssikkerhed udmøntes i Reglerne for informationssikkerhed, som udarbejdes efter principperne i ISO27001. Reglerne beskriver det ønskede niveau for informationssikkerheden i Favrskov Kommune og udarbejdes af informationssikkerhedsudvalget.
 
Ud fra Reglerne for informationssikkerhed skal fagchefer, system- og dataejere udarbejde relevante procedurebeskrivelser, så det daglige arbejde med kommunens informationer sker i overensstemmelse med det ønskede sikkerhedsniveau.
 
Informationssikkerhedsudvalget udarbejder i samarbejde med relevante fagchefer, system- og dataejere løbende risikovurderinger af de væsentligste informationsaktiver. Risikovurderingerne udgør kommunens risikobillede.
 
Hvor det er relevant, udarbejder fagchefer, system- og dataejere beredskabsplaner, som træder i kraft, hvis vigtige informationsaktiver bliver utilgængelige, kompromitteres eller lækkes.
 
I henhold til EU databeskyttelsesforordningen udpeges der endvidere en databeskyttelsesrådgiver. Databeskyttelsesrådgiveren underretter og rådgiver den dataansvarlige eller databehandleren og de ansatte, der behandler persondata, om deres forpligtelser efter forordningen, og som fører tilsyn med, om virksomheden overholder reglerne.

Risikovurderinger

Favrskov Kommune forholder sig aktivt til trusler mod informationssikkerheden og iværksætter realistiske og tilstrækkelige handlinger for at sikre et tilstrækkeligt sikkerhedsniveau.
 
Væsentlige informationsaktiver skal risikovurderes mindst én gang årligt. Risikovurderingen skal fastlægge det ønskede sikkerhedsniveau for de væsentligste informationsaktiver med udgangspunkt i aktivernes betydning i forhold til tilgængelighed, fortrolighed og integritet.
 
Ledelsen deltager aktivt i risikovurderingen og er ansvarlig for at vurdere trusler, konsekvenser og risici mod informationsaktiverne.
 
Med udgangspunkt i risikovurderingen prioriterer ledelsen de nødvendige foranstaltninger for at sikre, at Favrskov Kommune fastholder det ønskede niveau for informationssikkerhed.
 
Hvis der indtræffer en alvorlig informationssikkerhedshændelse er det informationssikkerhedsudvalgets ansvar, at der foretages en vurdering af årsagen til hændelsen. Informationssikkerhedsudvalget vurderer, om dette giver anledning til at iværksætte sikkerhedsmæssige tiltag.
 
Risikovurderingen opdateres mindst én gang årligt samt ved eventuelle større ændringer i opgaver, leverandører, it-systemer og fysiske forhold.

Overholdelse af politikken for informationssikkerhed

Alle medarbejdere og politikere i Favrskov Kommune er forpligtet til at efterleve politikken for informationssikkerhed med tilhørende regler og procedurebeskrivelser.
 
Hvis en medarbejder eller politiker opdager trusler eller brud, der kan kompromittere informationssikkerheden, skal de straks kontakte nærmeste leder eller kommunens databeskyttelsesrådgiver, som så vurderer, hvordan hændelsen skal håndteres.

Godkendt af Byrådet i Favrskov Kommune 24. april 2018 og er revideret 4. marts 2024.