Lyssna på sidan Lyssna

Policy för informationssäkerhet

Fastställd av Kommunfullmäktige den 25 juni 2018, § 126.

 

1. Inledning

I Arvika kommun skapar vi förutsättningar för ett gott och tryggt liv för de som lever och verkar här genom att vi för en öppen och aktiv dialog, ger möjligheter att vara med och påverka, hög tillgänglighet samt är tydliga med vad vi kan erbjuda och skapar förutsättningar för medarbetarnas delaktighet och ansvarstagande. Vi förvaltar våra resurser så att vi skapar en långsiktigt hållbar utveckling, där såväl sociala, ekologiska som ekonomiska perspektiv utgör ledstjärnor.

Det är viktigt att både anställda, förtroendevalda, brukare och allmänheten har förtroende för kommunens hantering av information. Information behöver hanteras på ett säkert sätt som gör att var och en som lämnar eller samlar in information ska kunna förlita sig på att den är riktig, konfidentiell, tillgänglig och spårbar med respekt för individen och den personliga integriteten.

Arbetet med informationssäkerhet omfattar alla delar av kommunens verksamheter och bolag, då alla är beroende av tillförlitlig information. Informationssäkerhetsarbetet i Arvika kommun gäller alla de informationstillgångar som kommunen äger och hanterar.

Den starka utvecklingen inom informationsteknologi gör att vi går mot ett samhälle vars informationstillgångar i allt högre grad är digitala. Informationshantering i IT-system innebär förbättringar och ökad effektivitet i många avseenden. Samtidigt innebär beroendet av informationssystem ett ökat behov av säkerhetsåtgärder för att minska sårbarheten hos kommunens informationstillgångar. Arvika kommun ska arbeta aktivt, systematisk och långsiktigt med informationssäkerhet för att säkerhetsställa att informationstillgångarna finns tillgängliga, är korrekta samt att obehöriga inte för åtkomst till dem. På så sätt upprätthålls ett skydd som är anpassat efter verksamhets förutsättningar och behov. Informationssäkerhetsarbete syftar även till att stödja och säkerhetsställa kommunens verksamhet. Alla medarbetare deltar i detta arbete.

Policyn innefattar de övergripande principerna som gäller för informationssäkerhetsarbetet i Arvika kommun.

1.1 Mål

Målet med Arvika kommuns informationssäkerhetsarbete är att skydda informationen inom verksamheten. Skyddet ska vara anpassat till skyddsvärde, risk och lagkrav och därigenom möjliggöra för kommunens verksamheter att uppnå sina mål.

En god informationssäkerhet inom kommunen främjar verksamheternas funktionalitet, kvalitet och effektivitet, medborgares personliga integritet, kommunens förmåga att förebygga och hantera störningar och kriser, samt förtroendet hos medborgare, företag och andra myndigheter och organisationer för kommunens informationshantering och IT-system.

Informationssäkerhetsarbetet skall utgå från LIS (Ledningssystem för Information Säkerhet, ISO/IEC 27002).
 

1.2 Omfattning

Informationssäkerhetspolicyn gäller för hantering av information i alla dess former i hela koncernen Arvika kommun, inklusive de majoritetsägda bolagen och ANC. Policyn gäller även externa parter som arbetar på uppdrag av kommunen och regleras då genom avtal.

Informationssäkerhetsarbetet rör all information oavsett om den behandlas manuellt eller automatiserat och oberoende av dess form eller miljön den förekommer i, exempelvis information i datorer, i telefonsamtal eller i skrift på papper med mera. I och med att information till stora delar skapas, bearbetas, lagras och transporteras i elektronisk form omfattar informationssäkerhetsarbetet även tekniska aspekter såsom exempelvis IT-utrustning, programvaror och nätverk.

1.3 Innebörd

Informationssäkerhetsarbete innebär att värdera all information efter sin känslighet och med hjälp av administrativa och tekniska skyddsåtgärder säkerställa att den finns tillgänglig när den behövs, att den är korrekt samt att obehöriga inte kan få tillgång till den. Utöver dessa säkerhetsaspekter måste behov av spårbarhet uppfyllas, det vill säga att i efterhand kunna avgöra vem som tagit del av informationen, vilka förändringar som har skett och vem som har utfört dessa förändringar.

1.4 Termer och definitioner

Autentisering
Verifiering av att en användare eller IT-resurs är den som den utger sig för att vara.

Behörighet
Tilldelade rättigheter att använda information eller en IT-resurs på ett specificerat sätt.

Data
Representation av fakta i form av t.ex. tecken eller signaler som är lämpad för överföring, tolkning eller bearbetning av människor eller av automatiska hjälpmedel.

Information
Innebörd i data, d.v.s. data tolkad av människor.

Informationsklassning
Att genom konsekvensanalys identifiera skyddsbehovet för en viss informationsmängd.

Informationssäkerhet
Den säkerhet som omfattar våra informationstillgångar och förmågan att upprätthålla önskad konfidentialitet, riktighet och tillgänglighet.

Informationssäkerhetspolicy
Organisationens viljeinriktning med informationssäkerhet uttryckt av dess ledning.

Informationstillgångar
Information som är av värde för organisationen, och även de resurser som hanterar den, exempelvis människor, papper, mjukvara, hårdvara och immateriella tillgångar.

Verksamhetssystem
I vissa fall även kallat informationssystem, är de system som insamlar, lagrar, bearbetar eller distribuerar och presenterar information.

IT-resurs
IT-baserad komponent som hanterar information, t.ex. system, verktyg, tjänster och infrastruktur i form av mjuk- och/eller hårdvara.

IT-säkerhet
Säkerhet i IT-resurser för att uppnå och upprätthålla informationssäkerhet.

Konfidentialitet
Information får inte göras tillgänglig eller avslöjas för någon obehörig på så sätt att den personliga integriteten eller sekretessen hotas. Detta kan handla om innehållet i en informationstillgång men även att tillgångens existens är hemlig.

Ledningssystem för informationssäkerhet (LIS)
Ett administrativt ledningssystem som syftar till att upprätta, införa, driva, övervaka, granska, underhålla och förbättra organisationens informationssäkerhet.

Riktighet
Att information är korrekt, aktuell och fullständig. Informationen får
inte obehörigen förändras eller gå förlorad av misstag eller på grund av tekniskt fel.

Sekretess
Information som inte ska lämnas ut och bli allmänt tillgänglig. Sekretessbelagd uppgift innebär tystnadsplikt för den som har eller har fått befattning om uppgiften.

Spårbarhet
Aktiviteter ska kunna härledas i efterhand så som vem som utfört aktiviteten, vad som har skett samt var aktiviteten har utförts. I möjlig mån ska det även kunna spåras hur aktiviteten har utförts.

Tillgänglighet
Att information är åtkomlig och användbar av behörig. Information ska kunna användas i förväntat utsträckning, inom önskad tid och på rätt plats.

2. Skyddsåtgärder

  • Kommunens verksamheter ska arbeta med att identifiera informationstillgångar och dess flöden. Informationstillgångarna ska klassificeras utifrån följande skyddsaspekter konfidentialitet, riktighet, tillgänglighet och spårbarhet.
  • Alla informationstillgångar ska ha en ägare som ansvarar för att klassificera informationen samt ställer de säkerhetskrav som behövs för att uppnå önskad säkerhet.
  • Alla verksamhetssystem ska ha en systemägare som ansvarar för att säkerhetskraven på systemet uppfylls.
  • Kommunen ska omvärldsbevaka och utifrån återkommande risk- och sårbarhetsanalyser och inträffade incidenter vidta nödvändiga åtgärder för att se till att vår information har rätt skydd.
  • Vid införandet av nya verksamhetssystem och förändringar ska verksamheterna genomföra omvärldsbevakning och risk- och sårbarhetsanalyser.
  • Kommunen ska vid upphandling, utveckling, användning och avveckling av verksamhetssystem ställa krav på informationssäkerhet och kraven som ställs ska följas upp. Relevanta säkerhetskrav ska gälla vid såväl intern som extern drift av informationssystem.
  • Kommunens verksamheter ska arbeta med kontinuitetsplanering samt ha beredskap för avbrott. Detta gäller även när externa aktörer anlitas för informationshantering. Samhällsviktiga verksamheter ska kunna upprätthållas på acceptabel nivå vid olika typer av störning och krissituationer.
  • Det är viktigt att alla har ett har ett högt säkerhetsmedvetande och kritiskt ifrågasätter händelser som kan påverka informationssäkerheten. Alla medarbetare ska veta vad det egna ansvaret omfattar och ha god kunskap om vilka säkerhetsregler som gäller. Detta gäller även när tillfällig person eller extern aktör/uppdragstagare anlitas.
  • Skyddsåtgärder ska vara kostnadseffektiva och stå i proportion till värdet av informationen och de negativa konsekvenser en otillräcklig säkerhet kan medföra.
  • Kommunen ska följa upp att beslutande åtgärder är genomförda, att uppsatta mål är uppfyllda, att regler och riktlinjer följs samt att styrdokument vid behov revideras.

3. Ansvar och organisation

Kommunfullmäktige fastställer den informationssäkerhetspolicy som ska gälla för Arvika kommun.

Kommunstyrelsen ansvarar för att kommunens informationssäkerhetspolicy och att riktlinjer för denna policy utarbetas och hålls aktuella.

Varje nämnd och styrelse är, utifrån denna policy och kommunstyrelsens riktlinjer, ansvarig för informationssäkerheten inom sitt verksamhetsområde. Nämnder och styrelser ska löpande planera och följa upp informationssäkerhetsarbetet och vidta de åtgärder som krävs för att uppnå och upprätthålla tillräcklig intern kontroll. Ansvaret för informationssäkerheten är kopplat till det delegerade verksamhetsansvaret.

Varje medarbetare och förtroendevald ansvarar för att uppställda säkerhetsregler följs samt att störningar och fel i informationssystem, utrustningar och informationsinnehåll rapporteras enligt fastställda rutiner. Det samma gäller när tillfällig personal eller extern aktör/uppdragstagare anlitas.

4. Uppföljning och revidering

Policy för informationssäkerhet ska årligen följas upp och vid behov revideras. I samband med revideringen ska tillhörande riktlinjer och tillämpningsanvisningar revideras på motsvarande sätt.

Sidansvarig:

Sidan uppdaterad: 2018-08-07
Kontakta oss
  • 8. IT-funktionen
  • 671 81 Arvika
  • Besöksadress Östra Esplanaden 5

  • Göran Andersson
  • IT-chef
  • Tfn 0570-816 32