Policy för informationssäkerhet

Antagen av kommunstyrelsen 12 mars 2014. Dokumentansvarig: säkerhetssamordnare kommunledningskontoret.

Policy för informationssäkerhet, för utskrift (pdf)länk till annan webbplats

Allmänt om Informationssäkerhet

Informationssäkerhet är de åtgärder som vidtas för att hindra att information läcker ut, förvanskas eller förstörs och för att informationen ska vara tillgänglig och spårbar när den behövs. En robust informationssäkerhet kräver att Mjölby kommun identifierar och dokumenterar sina kritiska informationstillgångar, utformar ett väl balanserad skydd och implementerar dessa i verksamheten.

Säkerhetsarbetet ska baseras på vedertagna standarder inom informationssäkerhet, ISO/IEC 27001 och 27002.

Grundläggande krav på information i Mjölby kommun är

  • att den alltid finns när vi behöver den (tillgänglighet)
  • att vi kan lita på att den är korrekt och inte manipulerad eller förstörd (riktighet)
  • att endast behöriga personer får ta del av den (konfidentialitet) och
  • att det går att följa hur och när informationen har hanterats och kommunicerats (spårbarhet)

Begreppet informationssäkerhet omfattar både administrativ säkerhet och IT-säkerhet. Administrativ säkerhet avser säkerhet vid behandling och/eller lagring av information. IT-säkerhet avser skydd av data och IT-system samt säkerhet i samband med överföring av data.

Syfte

Policyn är ett övergripande, gemensamt dokument för Mjölby kommuns informationssäkerhet beslutat av kommunfullmäktige. Informationssäkerhet är en del i kommunens lednings- och kvalitetsprocess när det gäller hantering av verksamheternas information.

Informationssäkerhetspolicyn med underliggande riktlinjer, instruktioner och systemsäkerhetsplaner ska styraMjölby kommuns informationssäkerhetsarbete och syfta till att all information hanteras på ett för medborgareoch verksamhet väl avvägt och säkert sätt.

Information är en av Mjölby kommuns viktigaste tillgångar och är en förutsättning för att kunna bedriva verksamheten. Därför ska informationshanteringen skyddas från såväl avsiktliga som oavsiktliga störningar oavsett om risker finns internt eller externt.

Omfattning

Informationssäkerhetsarbetet styrs av lagar, förordningar, föreskrifter, avtal, interna regler samt ingångna avtal.

Informationssäkerhetspolicyn omfattar alla verksamheter, förvaltningar och helägda bolag, i tillämpliga delar, inom Mjölby kommun och gäller för all informationshantering i Mjölby kommun. Policyn gäller även för tillfälligt anställda, förtroendevalda och alla typer av samarbetspartner. Den som använder informationstillgångarpå ett sätt som strider mot denna policy kan bli föremål för disciplinära åtgärder.

Målsättning

Informationssäkerhetspolicyn redovisar kommunfullmäktiges målsättning för informationssäkerhetsarbetet. Den övergripande målsättningen för informationssäkerhetsarbetet är att upprätthålla en väl avvägd och rätt informationssäkerhet med hänsyn till kommunens verksamhet och medborgarnas behov. Rätt säkerhet innebär en balans mellan risk och kostnader för skyddsåtgärder.


Målsättning i övrigt med informationssäkerhetsarbetet i kommunen är att:

  • all personal har kunskap om gällande informationssäkerhetspolicy, riktlinjer och instruktioner
  • informationsförsörjningen är säker, effektiv och bidrar till ökat skydd
  • upprätthålla ett högt förtroende hos medborgarna
  • alla investeringar både i form av information och teknisk utrustning har skydd i tillräcklig grad
  • det finns tillgång till en gemensam, säker och väl definierad infrastruktur för extern och intern datakommunikation
  • hotbilden för varje enskilt samhällsviktig/verksamhetskritiskt informationssystem analyseras fortlöpande
  • krishanteringsförmågan upprätthålls så att kommunen kan utföra sina samhällsviktiga uppgifter vid extraordinära händelser och under höjd beredskap
  • händelser i informationssystemen som kan leda till negativa konsekvenser förebyggs.

Ansvar

Kommunstyrelsen har det övergripande ansvaret för informationssäkerheten. Ansvaret för samordningen av informationssäkerhetsarbetet ska tydligt beskrivas i underliggande styrdokument.

Ansvaret för informationssäkerhetsarbetet följer linje-, och det delegerade verksamhetsansvaret. Alla som hanterar informationstillgångar ansvarar för att upprätthålla informationssäkerheten.

Samtliga IT-system ska ha en dokumenterad systemägare och systemförvaltare. Systemägare ansvarar för att klassa sin information och ta fram systemsäkerhetsplaner för de system som identifierats som kritiska för verksamheten.

Revidering och uppföljning

Kommunstyrelsen har ett övergripande ansvar att följa upp och revidera denna policy, samt tillhörande riktlinjer och instruktioner. Policys ska revideras vid varje mandatperiod eller vid behov.

Policy för informationssäkerhet, för utskrift (pdf)PDF