Informationssikkerhedspolitik

1 Indledning

1.1 Formål

Med EU’s persondataforordning er der sat fokus på offentlige myndigheders behandling af persondata.

Det stiller krav til, hvordan ansatte i Lolland Kommune skal agere, når de i den daglige opgaveløsning behandler personfølsomme oplysninger. Det gælder både i forhold til indhentning af data (samtykke mv.), journalisering og opbevaring af data (elektronisk og fysisk) samt distribution, deling og bortskaffelse af data.

Lolland Kommunes informationssikkerhedspolitik er vores fælles forståelse af, hvordan vi som organisation vil understøtte sikkerhed i behandling af vores borgeres data. Med politikken har vi fastlagt vores ambitionsniveau og opstillet rammer for de sikkerhedstiltag, som alle kommunens medarbejdere skal følge, når vi som organisation skal leve op til EU’s Persondataforordning, dansk lovgivning (persondatalov mv.) og best practice på området. Politikken udgør således Lolland Kommunes dokumentation for, hvordan vi i praksis vil efterleve de skærpede krav til informationssikkerhed.

Lolland Kommune ser dog ikke kun et højt sikkerhedsniveau som en nødvendighed for at kunne overholde lov- og myndighedskrav. Der indgår også en vigtig signalværdi overfor vores omverden og et kvalitetselement i forhold til at kunne tilbyde en sikker og professionel service overfor vores borgere, andre myndigheder og samarbejdspartnere i det hele taget.

Med informationssikkerhed forstår vi den nødvendige beskyttelse af samtlige informationer, der indgår i Lolland Kommunes behandling og kommunikation af data elektronisk, i papirform mm. – herunder også teknologiske og organisatoriske processer.

1.2 Hovedmålsætninger

Informationssikkerhedspolitikken skal understøtte Lolland Kommune i at skabe stabilitet i tilgangen til data, fortrolighed i forhold til personfølsomme oplysninger samt pålidelighed i dataenes indhold.

Det sikres først og fremmest ved, at vi i den daglige drift lever op til de almindeligt anerkendte principper for informationssikkerhed. Med ”sund fornuft” er vi nået langt i forhold til at leve op til borgernes forventning om troværdighed og fortrolighed i behandling af data.

Lolland Kommunes informationssikkerhedsopgaver består bl.a. i:

• Samarbejde og information til andre myndigheder (kommuner, stat mv.)
• Borgerservice og borgerbetjening
• Administration
• Behandling af persondata (herunder følsomme data)

Informationssikkerhedspolitikken skal være med til at sikre, at de data og informationer, som kommunen formidler til borgere og andre myndigheder på den ene side er tilgængelige og lever op til den åbenhed i forvaltningen, som ligger indenfor rammerne af offentlighedsloven. Men samtidig at data forbliver fortrolige, når de er af fortrolig karakter og bliver behandlet efter de principper og retningslinjer, som følger af persondataforordningen.

Målet for informationssikkerhedspolitikken er, at:

• Understøtte bevidstheden om informationssikkerhed i organisationen (medarbejdere og ledere)
• Opnå høj driftssikkerhed og minimeret risiko for store nedbrud og tab af data
• Opnå korrekt funktion af it-systemerne med minimeret risiko for manipulation af data
• Tilvejebringe mulighed for fortrolig behandling, transmission og opbevaring af data. Dvs. at faciliteter hertil skal være til stede og benyttes efter konkret behov
• Sikre mod forsøg på tilsidesættelse af sikkerhedsforanstaltninger

1.3 Afbalanceret informationssikkerhed

Lolland Kommune er afhængig af et godt omdømme og borgernes tillid. Derfor skal informationssikkerhedspolitikken bidrage til at sikre, at data og informationer behandles i overensstemmelse med de krav og stramninger, der stilles i persondataforordningen.

Men sikkerhedsniveauet skal også balanceres, således at fleksibiliteten og dynamikken i vores dagligdag ikke mistes. Sikkerhedspolitikken bygger på en realistisk målsætning om, at data og systemer skal sikres ud fra en vurdering af, hvad der er nødvendigt at gøre. Krav til informationssikkerhed skal vurderes i forhold til deres relevans. Vi er kommet langt, hvis medarbejderen i sagsbehandlingen benytter sin sunde fornuft og lever op til de almindelige regler om god forvaltningsskik og adfærd (decorum) som ansat i det offentlige.

1.4 Omfang

Informationssikkerhedspolitikken udgør den ramme, som Direktionen, HovedMED og Byrådet har fastlagt for at kommunens datasikkerhedsniveau opretholdes.

Omfanget af informationssikkerhedspolitikken fastlægges således:

• Informationssikkerhedspolitikken gælder for alle ansatte i Lolland Kommune uanset ansættelsesform, herunder også løst tilknyttede medarbejdere, eksterne konsulenter og servicemedarbejdere der befinder sig på kommunens arbejdspladser. Det forventes, at informationssikkerhedspolitikken overholdes.
• Informationssikkerhedspolitikken gælder for alle systemer og alle data, som Lolland Kommune råder over.
• Leverandører og samarbejdspartnere, som har fysisk eller logisk adgang til organisationens systemer og data, skal ligeledes have kendskab til og følge informationssikkerhedspolitikken.
• Informationssikkerhedspolitikken dækker alle tekniske og administrative forhold, der har direkte eller indirekte indflydelse på drift og brug af kommunens it-systemer og papirarkiver.
• Informationssikkerhedspolitikken godkendes af Byrådet efter indstilling fra Direktionen, og revurderes en gang årligt for at sikre, at den er i overensstemmelse med de sikkerhedsmålsætninger og lovgivning, som kommunen arbejder efter.

2 Risikovurdering

Sikkerhedsniveauet er fastsat på baggrund af en vurdering af de forventede risici, som Lolland Kommune ønsker at imødegå.

Risici på IT-området er nærmere beskrevet i kommunens IT-sikkerhedshåndbog, som opdateres årligt og ved eventuelle større ændringer i IT-systemerne, ændringer i anvendelse af systemerne eller ved større organisatoriske ændringer.

Lolland Kommunes sikkerhedsniveau skal indfri de forventninger til troværdighed og stabilitet, der er til behandling personfølsomme data. Kommunen skal fremstå med et højt sikkerhedsniveau, der tilgodeser:

• EU’s persondataforordning og national lovgivning om persondata
• De anerkendte principper for informationssikkerhed i form af ISO 27001

2.1 Eksterne samarbejdspartnere

Eksterne samarbejdspartnere, der har adgang til data, skal efterleve de samme retningslinjer, som gælder internt i organisationen.

Det sikres ved, at der indgås skriftlige aftaler med eksterne samarbejdspartnere, og at de sikkerhedskrav, der stilles, bliver defineret ud fra persondataforordningen samt ISO 27001. Kravene skal fremgå af de skriftlige aftaler.

For at sikre klarhed over de sikkerhedskrav, der skal stilles overfor systemleverandøren, skal der ske en vurdering af risici i forbindelse med brug af eksterne leverandører.

3 Klassifikation af systemer og data

For at sikre at vores systemer og data har det optimale sikkerhedsniveau, skal de identificeres og klassificeres. Der udarbejdes en fortegnelse efter KL’s principper over alle væsentlige it-aktiver og systemer, hvor der behandles data.

Der skal angives ansvarlige systemejere samt dataansvarlige for alle kritiske it-aktiver.

Data og systemer skal klassificeres i forhold til tilgængelighed og til sikkerhed.

4 Brugeradfærd

Opretholdelse af sikkerhedsniveauet er afhængig af, at vi alle tager ansvar for informationssikkerheden. Alle ansatte skal derfor være bekendt med sikkerhedspolitikken og de tilknyttede retningslinjer.

Anvendelse af it og behandling af data er selvfølgelige redskaber i varetagelsen af de daglige arbejdsopgaver. Håndteringen af vore redskaber kræver ikke specielle forudsætninger, men bør ske med omtanke og almindelig sund fornuft. Dog er der stadig retningslinjer på informationssikkerhedsområdet, der skal følges, ligesom reglerne i forvaltningsloven skal følges.

5 Fysisk sikkerhed

Adgangen til alle kommunens lokaliteter skal være sikret mod uvedkommendes adgang.

Lokaler og skabe, hvor der opbevares fortrolige dokumenter eller medarbejderdata, skal være aflåst, når ingen er til stede.

IT-udstyr skal være placeret på en måde, så det er beskyttet mod ødelæggelse og skade, der følger af brand, vandskade, strømsvigt og andre hændelser i det omkringliggende miljø.

Kritisk IT-udstyr skal overvåges og vedligeholdes efter leverandørens anvisninger. Ved bortskaffelse, reparation eller genbrug af IT-udstyr sikres det, at udstyret er forsvarligt renset for alle data.

6 Styring af netværk og drift

Driftsforstyrrelser i kommunens systemer skal imødegås gennem:

• Forebyggende kontroller og løbende kvalitetssikring fra Lolland Kommune IT
• Akut problemhåndtering (IT-supporten), der sikrer skadeudbedring

Alle sikkerhedshændelser skal rapporteres til HR og IT, samt eventuelle forbedringstiltag.

Procedure for vurdering af leverandører anvendes, når eksterne leverandører leverer drift og udvikling til Lolland Kommune. Lolland Kommune IT overvåger, at eksterne serviceleverandører varetager kontroller, som sikrer at leverede IT-systemer lever op til minimumsbestemmelserne i kommunens sikkerhedspolitik.

6.1 Sikkerhedskopiering

For at vigtige informationer altid kan fremfindes, og for at undgå tabt arbejde, foretages der sikkerhedskopiering og backup med faste intervaller. Aftaler med eksterne leverandører skal indeholde krav til samme procedure, som gælder internt i organisationen.

6.2 Netværkssikkerhed

For at undgå uautoriseret adgang, skal vores netværk sikres. Sikring af vores netværk imod udefrakommende uautoriseret adgang styres af Lolland Kommune IT. Det sker bl.a. via adgangskontrol.

7 Adgangsstyring

7.1 Krav til adgangsstyring

Der skal løbende tages stilling til adgangsforhold til kommunens bygninger og IT-systemer.

Alle databærende medier og udstyr skal være beskyttet mod uautoriseret adgang i form af et personligt log in.

Til kommunens bygninger og lokaler anvendes elektroniske adgangskontrolsystemer. Disse skal ud over adgangskontrol i nødvendigt omfang kunne alarmere og via logning danne grundlag for efterfølgende kontrol.

7.2 Administration af brugeradgang

Tildeling, ændring og sletning af brugeradgang til systemer og data sker ud fra en konkret vurdering. Adgangsprocedurerne omfatter:

• Registrering af alle brugere/ansatte med en unik brugeridentitet
• Regler for, hvem der må disponere over hvilke IT-aktiver
• Regler for, hvordan og i hvilke tilfælde adgangstilladelse tildeles og inddrages
• Regler for sikkerhedsovervågning, logning, efterkontrol, ledelsesrapportering og opfølgning

7.3 Styring af systemadgang og adgang til brugersystemer

Der skal være en adgangskode til alle systemer, der indeholder personfølsomme oplysninger. Styringen af brugeradgange til netværk, systemer mm. sikrer, at alle brugere og alt netværksudstyr er identificeret. Og at der findes opdaterede fortegnelser herover.

8 Anskaffelse, udvikling og vedligeholdelse af it-systemer

Når kommunen indkøber systemer, hvor der indgår persondata, skal det sikres, at det enkelte system rummer sikringsforanstaltninger, som er tilstrækkelige. Lolland Kommune udvikler ikke selv systemer, men anvender pålidelige og kompetente leverandører.

For at understøtte Lolland Kommunes strategiske dagsorden vedrørende IT-anskaffelser er der etableret en IT-visitation, som fungerer som procesunderstøttende ved IT-anskaffelser gennem sparring, rådgivning og vejledning. IT-visitationen sikrer håndhævelse af principper og fælles IT-standarder i Lolland Kommune og skal derfor altid involveres i forbindelse med anskaffelse af IT-udstyr.

9 Styring af sikkerhedshændelser på it-området

9.1 Rapportering af sikkerhedshændelser og svagheder

En væsentlig faktor i informationssikkerhedsarbejdet består i at reagere på hændelser af sikkerhedsmæssig karakter.

Derfor skal sikkerhedsmæssige hændelser rapporteres, og der skal ske opfølgning herpå. Alle medarbejdere har pligt til at rapportere sikkerhedshændelser til systemejeren og nærmeste leder, samt til HR, IT og Digitaliseringschefen, så sikkerhedshændelserne kan imødegås, inden de udvikler sig. Direktionen orienteres om indtrufne hændelser.

9.2 Håndtering af sikkerhedsbrud og forbedringer

Hvis der sker uønskede sikkerhedshændelser på systemer med fortrolige eller interne data skal hændelserne logges og kunne spores tilbage til en enkeltperson.

Opståede problemer skal håndteres og korrigeres med udgangspunkt i, hvor alvorligt problemet vurderes.

Hvor der kan komme et retsligt efterspil, skal beviser indsamles, opbevares og præsenteres, så vi kan sikre, at de udgør et fyldestgørende og pålideligt bevismateriale.

Ved brud på datasikkerheden – eller hvis kommunen ved fejl lækker personoplysninger – skal reglerne i persondataforordningen følges.

9.3 It-beredskabsstyring

Lolland Kommune har en IT-beredskabsplan, som beskriver, hvordan kommunen begrænser konsekvenserne af tab af data og systemer forårsaget af katastrofer og sikkerhedsbrister.

It-beredskabet indgår i Lolland Kommunes overordnede kriseberedskab.

Beredskabsplanen skal løbende afprøves og opdateres for at sikre, at den er tidssvarende og effektiv.

Følgende forudsætninger skal være opfyldt:

• Beredskabsplanerne skal ajourføres og testes som skrivebordstest 1 gang årligt, og med fuld test en gang hvert 3. år
• Sikkerhedskopier og reserveudstyr skal opbevares i en anden bygning end den, hvor originalmaterialet og driftsudstyret befinder sig

Om politikken

Senest godkendt i informationssikkerhedsudvalget den 19. marts 2024.

Kontakt

Casper Schneidereit, Informationssikkerhedskonsulent i HR og IT

Telefon: 54 67 68 62 | Mail: cassc@lolland.dk

Advokatfirmaet Bang / Brorsen & Fogtdal

Telefon: 88 77 88 77 | Mail: info@bbgfadvokater.dk