Strategisk plan for informasjonstryggleik

Transkript

1 Strategisk plan for informasjonstryggleik Versjon febr. 2018

2 Innhaldsliste 1. Forord Side 3 2. Bakgrunn Side 4 3. Mål Side 5 4. Strategi Side 5 5. Ansvarsfordeling Side 6 6. Risikovurdering, avviksbehandling og rapportering Side Beredskapsplanlegging Side Partnerar og leverandørar Side Fysisk tryggleik Side Kontroll og oppfølging Side 14 Vedlegg til planen. 11. Vedleggsoversikt 11.1 Rammeverk for Risikoanalyse versj. febr Mal for Risikovurdering versj. febr Informasjonstryggleik retningsliner for alle tilsette i VK versj. febr Informasjonstryggleik retningsliner for alle tilsette i VK Kortversjon versj.febr Avtaleskisse Databehandleravtale versj. febr Rutine for tryggleikskopiering Backup versj. febr Rutine for fysisk tryggleik versj. febr 2018 Vedlegga er byrjing på det arbeidet som må gjerast i i organisasjonen for å få rutiner på plass. Eit administrativt utval Utval for Informasjonstryggleik (ITU) får ansvar for å følgje opp, men heile organisasjonen må i stor grad involverast i utarbeiding av rutiner. Alle foto : Vindafjord kommune 2

3 1.Forord Vindafjord kommune forvaltar stadig aukande mengde informasjon om personar. organisasjonar og næringsliv. Skriftleg og elektronisk informasjon er ein viktig ressurs for kommunen. Me har eit stort og viktig ansvar i å forvalte denne ressursen på ein god måte. Eit grundig arbeid med informasjonstryggleik er difor sentralt i all vår verksemd og vil vera avgjerande for å nytta informasjonen effektivt i tenestene og for å minimalisere risiko for at sensitiv informasjon kjem på avvege. Me er inne i ei tid med auka satsing på digitalisering av tenestene, på mange område. For å kunne utvikla ein god og framtidsretta digitaliseringsstrategi er det viktig at «grunnmuren» er på plass. Strategisk plan for informasjonstryggleik er ein viktig del av denne grunnmuren. Dette dokumentet er styrande for kommunen sin tryggleikstrategi, internkontroll og rutinar knytt til behandling av personopplysningar og annan dokumentasjon som er unnateke offentleg innsyn. Det er og styrande for kvar einskild medarbeidar sitt arbeid med sensitiv informasjon. Dette krev at planen blir meir enn ein plan som skal rullerast etter eit fast mønster, men like mykje ein permisseverandør til eit levande saksområde som må utviklast vidare i samspel med dei tilsette i dei utfordringane me møter i kvardagen. Ølen 14/ Kristian Birkeland Rådmann 3

4 2.Bakgrunn 1.Bakgunn Planen er utarbeidd av ei arbeidsgruppe oppnemnt av rådmannen. Gruppa har fått følgjande mandat: «Gruppa skal sjå på alle sider av informasjonstryggleik. (Alt frå bruk av informasjons og kommunikasjonsteknologi til handtering av fysiske dokumenter, opne kontor mm) Med bakgrunn i strategien skal og gruppa peike på konkrete tiltak for å betre informasjonstryggleiken i heile organisasjonen. Gruppa utarbeider sjølv disposisjon for arbeidet. Gruppa tar sjølv initiativ overfor rådmannen for å avklare spørsmål knytt til mandatet. Mandatet kan justerast undervegs ved behov». I samsvar med mandatet tek planen for seg overordna IT-trygging i Vindafjord kommune. I tillegg omfattar planen behandling og oppbevaring av sensitive dokument i papirform og manuelle register som inneheld personopplysningar og reglar for fysisk sikring og tilgang til bygg. Overordna føring i lovverk Personopplysningsforskriften 2-3.Sikkerhetsledelse «Den som har den daglige ledelsen av virksomheten som den behandlingsansvarlige driver, har ansvar for at bestemmelsene i dette kapittelet følges. Formålet med behandling av personopplysninger og overordnede føringer for bruk av informasjonsteknologi, skal beskrives i sikkerhetsmål. Valg og prioriteringer i sikkerhetsarbeidet skal beskrives i en sikkerhetsstrategi. Bruk av informasjonssystemet skal jevnlig gjennomgås for å klarlegge om den er hensiktsmessig i forhold til virksomhetens behov, og om sikkerhetsstrategien gir tilfredsstillende informasjonssikkerhet som resultat. Resultatet fra gjennomgangen skal dokumenteres og benyttes som grunnlag for eventuell endring av sikkerhetsmål og strategi» 2.Mål 4

5 3.Mål Vindafjord kommune sitt mål for informasjonstryggleik, er: Å forvalte all informasjon rett, både informasjon som går ut av kommunen og som kjem inn. All informasjon må sikrast både for bruk og vern. Å gje innbyggarane i Vindafjord eit trygt og godt tenestetilbod kjenneteikna med at vi handsamar alle opplysningar vi får, og særleg personopplysningar, sensitive personopplysningar og annan sensitiv informasjon, i samsvar med krav i relevante lover og forskrifter. at opplysningar ikkje kjem uvedkomande i hende å sikre tilgjenge til opplysningane slik at dei med tenesteheimel kan bruke opplysningane når dei treng dei Informasjonstryggleik skal stø opp om og sikre Vindafjord kommune si drift, ålmen tillit og omdømme, ved å forebygge og begrense konsekvensane av uønska hendingar. 4.Strategi For å oppnå måla vil kommunen Arbeide med informasjonstryggleik etter ei tydeleg organisering med ansvarsfordeling. Gjennomføre risiko og sårbarbarheitsanalysar som sikrar ei trygg handsaming av personopplysingar. Utarbeide rutinar og gjennomføre eit opplæringsløp der også haldningsskapande arbeid er vesentleg. Utarbeide beredskapsplanar med mål om kortaste moglege brot på tekniske system. Utarbeide fysiske tryggleikstiltak som skal hindre at uvedkomande får tilgang til informasjonsog kommunikasjonsressursar, tekniske og fysiske installasjonar og sensitive personopplysningar. Opprette eit tryggleiksutval som skal ha ansvar for oppfølging av planen og opprette eit personvernombud for å sikre god førebygging og forsvarleg handsaming av personopplysningar. Rammer og tiltak for å sikre gjennomføringa av strategiane kjem fram i kap

6 5.Ansvarsfordeling Alle tilsette skal ha kjennskap til kven som er ansvarleg for tryggleiken i det systemet dei nyttar, kva rutinar som er fastsett, og korleis avvik eller forslag til forbetring skal rapporterast. Leiarar er ansvarlege for at dei han/ho har personalansvar for har naudsynt kompetanse og rammevilkår for å kunna ivareta informasjonstryggleik i tenesta. Leiarar kan delegera mynde til dagleg ivaretaking av ansvar, men ikkje sjølve ansvaret. Leiarar kan delegera til funksjonsnivå, t.d. kan ein leiar som er systemeigar delegere mynde til ein systemadministrator for å sikra at krav i lover og forskrifter vert etterlevd i praksis. Rådmannen har overordna ansvar for kommunen sin informasjonstryggleik. Ansvarsoppfølging vert delegert til kommunalsjefar og leiarar. Alle tilsette har ansvar for at informasjonstryggleiken i kommunen blir ivaretatt på ein god nok måte. Den formelle ansvarsorganiseringa følgjer tenesteveg frå rådmann til den einskilde tilsette. Ansvar er og organisert ut frå funksjonsroller. 6

7 Rådmannen sitt formelle ansvar Rådmannen sitt overordna ansvar omfattar; juridisk ansvar informasjonstryggleik sakshandsaming datahandsaming teieplikt. Rådmannen sitt ansvar knytt til denne planen: å utarbeida mandat til «Utval for informasjonstryggleik» (ITU) i kommunen å kunne dokumentere kommunen sin informasjonstryggleik for eventuelle tilsyn. at «Plan for informasjonstryggleik» vert rullert i samband med økonomiplanarbeidet. at leiarane sin kompetanse om informasjonstryggleik i kommunen er oppdatert at naudsynt delegering vert gjort. Kommunalsjefen sitt formelle ansvar Kommunalsjefane rapporterer til Rådmannen i tryggleikssaker. Kommunalsjefane er ansvarleg for : at informasjonstryggleiken vert ivaretatt og følgd opp innan forvaltningsområdet. at einingsleiar har rett kompetanse å setja i verk kontroll om at tryggleiken vert følgd opp i forvaltningsområdet og gjennomføra prosessar for forbetring. at ansvarsområda til einingsleiar er beskrive i leiaravtalen. Einingsleiar sitt formelle ansvar Einingsleiarar rapporterer til kommunalsjef i tryggleikssaker. Einingsleiar er ansvarleg for at informasjonstryggleiken vert ivaretatt og følgd opp i eininga. At dei tilsette får opplæring om informasjonstryggleik. Jfr Vedlegg 11.3 og 11.4 til denne planen at tilsette har rett kompetanse til å utføra sine oppgåver at dei tilsette har autorisasjon til å bruka informasjonssystema i samsvar med gjeldande systemrutinar. å halde seg ajour med endringar i regelverk, utarbeida retningsliner, etablera og vedlikehalda rutinar, setja i verk eigenkontroll og gjennomføra prosessar for forbetring. å gjennomføra rutinar for teieplikt (omfang og konsekvens) og arkivera signerte dokument Einingsleiar skal melda behov for autorisasjonar for nytilsette til systemeigar. Meldingar om autorisasjonar skal arkiverast. 7

8 Den einskilde sitt formelle ansvar Alle tilsette i Vindafjord kommune har eit sjølvstendig ansvar for å ivareta informasjonstryggleiken i sitt daglege arbeid. Den einskilde skal; følgja gjeldande rutinar for informasjonshandsaming både elektronisk og fysisk (nedlåsing, sikring osb) rapportere eventuelle avvik frå gjeldande rutinar, og/eller foreslå forbetringar rapportera til leiar i tryggleikssaker Ansvar som er knytt til funksjonsroller «Utval for Informasjonstryggleik» (ITU) førebur årleg gjennomgang av «Strategisk Plan for informasjonstryggleik» førebur tryggleiksrelaterte saker som skal til Rådmannen for informasjon eller avgjerd. følgjer opp og tar avgjerd i saker der utvalet er delegert avgjerdsmynde. handterar kritisk avviksrapportering som gjeld informasjonstryggleiken. følgjer opp nasjonale og lokale føringar for å betra informasjonstryggleiken i kommunen «IT-sjef» har delegert mynde til å ivareta rådmannen sitt overordna ansvar for planlegging,tryggleik, organisering, koordinering og styring av kommunen sin datatekniske infrastruktur. skal fastsetje minimumskrav til systemteknisk tryggleik på samtlege IKT- system som nyttar kommunen sitt datanett, og kontrollera at systemeigarar etterlever dette i praksis. skal gje råd til kommunen sine systemeigarar om systemteknisk tryggleik, tilrå løysingar i forhold til tryggleiksbehov og tar stilling til om det trengs melding eller søknad til Datatilsynet for å kunna bruka systemet. skal konsulterast før nye system skal kjøpast inn og kontrollera at naudsynt tryggleik er ivaretatt før innkjøp. IT-sjef skal kontrollera at formalitetar mellom Vindafjord kommune og leverandørar er dokumentert i formelle kontrakter, og inkluderer relevante tryggleikskrav. Vindafjord kommune v/it-sjef skal alltid ha rett til innsyn og måling av om leverandøren etterlever avtalte tryggleikskrav. skal kunna dokumentera kommunen sine IKT- system, og kunna presentere dette for eventuelle tilsyn. skal utarbeida rutine for oppretting, endring og avslutning av autorisasjonar. skal varsla om installasjonar og oppgraderingar, og i så stor grad som mogeleg leggja slikt arbeid til tider som gir med minst mogeleg ulempe for brukarane. 8

9 «Arkivleiar» har delegert mynde til å ivareta rådmannen sitt overordna ansvar for planlegging av kommunal dokumenttryggleik knytt til arkivfunksjonar. Planlegginga skal omfatta arkivplanlegging, sikring, bevaring og lagring av dokumentasjon, både fysiske dokument og elektronisk materiale. skal gje råd om tryggleik og krav utifrå arkivlovgjevinga, og tilrå løysingar for å ivareta krava skal føre tilsyn med arkivlokale og arkivrom og sikre at desse er i forskiftsmessig stand både i høve til fysisk tryggleik og tilgangsrettar. «Systemeigar» Er den leiar som eig eit system eller ein applikasjon. Vanlegvis er denne rolla tillagt ein einingsleiar eller kommunalsjef Systemeigar har ansvar for; å konsultera IT-sjef og arkivleiar ved planlegging av innkjøp av nye system eller endringar i desse. å avklara at systemet tilfredstiller overordna krav til informasjonstryggleik og bevaringstryggleik. at det er utarbeid rutiner for bruk, drift og vedlikehald av systemet. Ved rutineavvik er systemeigar ansvarleg for avvikshandtering og rapportering til utval for informasjonstryggleik at systema blir brukt i samsvar med fastlagde rutinar at system som handsamar personopplysninger, sensitive personopplysninger, eller annan sensitiv informasjon har tilfredstillande brukeradministrasjon og tilgangsstyring. Tryggleikskrava skal vera i samsvar med det tryggleiksnivå informasjonen krev. å sjå til at system som samkommuniserar har tilstrekkeleg tryggleik. å gjennomføra ei risikoanlyse ved alle større endringar/tilpasningar jfr Vedlegg pkt 11.1 /11.2 å halda systemadministratorar og IKT godt orienterte om planlagte endringar/ nyetableringar som vil koma. Å handtera ikkje-kritiske avvik. «Systemadministrator» Er systemeigaren sin næraste medarbeider i drift og vedlikehald av system eller applikasjon. Systemadministrator har ansvar for at systemet vert sett opp med tilfredsstillande informasjonstryggleik, og syta for at lov og forskrifter vert følgd opp i systemet. å styra tilgangar og rettar etter rammer gitt av systemeigar, og rapporterar avvik og forbetringsforslag til systemeigar 9

10 6.Risiskovurdering,avvikshandtering og rapportering Risikovurdering Kommunen skal gjennomføra risikoanalyse: før behandling av personopplysningar blir sett i gang. Resultat av risikovurderinga skal dokumenterast og arkiverast. før innføring av nye informasjonssystem før endringar av betydning for informasjonstryggleik vert iverksett Gjennomføring av risikovurderingar Det er systemeigar som er ansvarleg for at det blir gjennomført risikovurderingar. I si enklaste form kan dette gjerast ved at ein set opp potensielle hendingar. Deretter vurderer ein: risiko for at kvar hending kan inntreffe (sannsyn) konsekvensar dersom hendinga skulle inntreffe Rammeverk for Risikovurdering og Mal for Risikovurdering går fram av vedlegg 11.1 og 11.2 Kommunen skal: nytte kommunen sitt kvalitetssystem som system for avvikshandtering følgja opp avvik, og ved alvorlege avvik skal det rapporterast til leiar for ITU og vidare til rådmannen Avvik Avvikshandtering Alle tilsette har ansvar for å avdekka og rapportera brot på tryggleiksrutinar. Avvik blir rapportert i kvalitetssystemet. Avvik knytt til infotryggleik melder leiar vidare til systemeigar, men hovudregelen er at alt avvik skal meldast tenesteveg til leiar først. Dokumentasjon frå risikovurdering og avviksbehandling vert handtert og lagra i kommunen sitt kvalitetssystem. Dersom det blir oppdaga alvorlege avvik eller ein risikofaktor som kan få kritiske/katastrofale følgjer og blir vurdert som sannsynleg, skal dette rapporterast direkte til leiar for informasjonstryggleiksutvalet og melding skal sendast vidare til Datatilsynet innan 72 timar 10

11 Det skal skrivast ein avviksrapport når: tilsette brukar informasjonssystem(a) utan autorisasjon og/eller fastsett opplæring utilsikta utlevering av personopplysningar har funne stad informasjonssystem(a) blir utsett for innbrot eller forsøk på innbrot informasjonssystem(a ) blir infisert av virus utilsikta endring i personopplysningane har skjedd feil i utstyr og/eller program verkar inn på sikring og bruk av informasjonssystem(a) (Denne lista er ikkje uttømmande.) Figur: Prinsippskisse for kommunikasjonsliner ved avvikshandtering Utarbeiding av nye rutiner.(oppfølgingsansvar ITU) Det skal utarbeidast rutiner/retningsliner for : Avviksmelding og handtering knytt til informasjonstryggleik 11

12 7.Beredskapsplanlegging Kommunen skal : I aukande grad blir informasjon lagra elektronisk og verksemda er avhengig av at informasjonen er tilgjengeleg til ei kvar tid. Difor vert beredskapsplanlegging for å møta uventa driftsavbrot stadig viktigare. Backuprutiner. ha beredskapsplanar for å opprette normal tilstand når det oppstår brot I drifta (IKT) integrera beredskapsplanlegging for informasjonssystema som del av kommunene sitt rullerande arbeid med beredskaps-og kriseplanar. Backup vert i dag utført i bygning som er skilt frå servarmiljøet. Dette gir betre tryggleik og reduserer risisko i høve til at driftsmiljø og backupmiljø er samlokalisert. Rutine for reservekopiering ligg som vedlegg nr til planen Utarbeiding av nye rutiner. (Oppfølgingsansvar ITU) Det skal utarbeidast detaljerte rutiner/retningsliner for : Praksis ved utilsikta stans i informasjonssystema. Backuprutinar skal gjennomgåast og kvalitetssikrast (IKT) jfr vedlegg Rutinar for varsling av driftsavvik frå organisasjonen til IKT. 8.Partnarar og leverandørar Kommunen skal : sikre at kommunen sine krav knytt til informasjonstryggleik, skal vera formulert i formelle kontraktar inngå Databehandlaravtale med alle leverandørar kommunen har kontrakt med. Gjennomføring I kontraktforhandlingar med leverandørar skal det spesielt leggjast vekt på: at leverandøren sitt personell er informert om den teieplikta som gjeld og at slikt personell skal underteikne teieplikterklæring at leverandøren har ei oversikt over eige personell som skal ha tilgang til informasjonssystemet eller tilgang til område eller utstyr korleis kommunen sin kontroll av tryggleik hos leverandør skal utførast at tredjepartsavtalar skal godkjennast av kommunen 12

13 9.Fysisk tryggleik Kommunen skal : sikre teknisk utstyr mot at uvedkomande får tilgang. sikre at uvedkomande ikkje får tilgang til fysiske lokale der ein kan henta ut sensitivt materiale sikre mot uventa ytre påverknad ( vatn, eld, innbrot, straumbrot) Gjennomføring Fysiske tryggleikstiltak vert sett inn for å hindre at uvedkomande får tilgang til område som av ulike grunnar treng skjerming. I denne planen er det primært fysisk tryggleik knytt til sikring av informasjonsog kommunikasjonsressursar som er behandla Det skal sikrast at slik tilgang vert avgrensa til tilsette og partnarar med tenestleg behov for: Alt elektronisk utstyr (informasjonsog kommunikasjonsressursar) Tekniske installasjonar og infrastruktur All dokumentasjon (fysisk og elektronisk) som verksemda er pålagt å ta vare på Tele/datarom Berre autorisert personale har tilgang skal alltid vere låst for uautorisert personell skal overvåkast for røyk, temperatur og fukt IT-utstyr skal koplast til batteri-backup og evt. Nødstraumkursar Plasseringskrav Tenarmaskiner, hovudsvitsj for nettverk sikringsbarriere og ruter mot eksterne nett skal vere plassert på serverrom Kantsvitsjar skal vere plassert i lag med andre tekniske installasjonar på etasjenivå i avlåste rom/skap Utarbeiding av nye rutiner. (Oppfølgingsansvar ITU) Det skal utarbeidast detaljerte rutiner/retningsliner for : Bruk av teknisk utstyr. Sikring av teknisk utstyr og infrastruktur. Sikring av soner,kontor, fysisk dokumentasjon,arkiv jfr. Vedlegg 11.7 Autorisering for adgang til serverrom - Destruering og sletting av dokumentasjon og media. 13

14 10.Kontroll og oppfølging Kommunen skal : opprette eit utval for informasjonstryggleik som både har kontroll og oppfølgingsfunksjon oppnemna personvernombod ha kontrollaktivitetar som skal sikre at tryggleikssystema fungerer, og blir etterlevd. ha dokumentasjon for gjennomføring og kontroll Utval for informasjonstryggleik (ITU) For å styrke arbeidet rundt informasjonstryggleik, skal det opprettast eit eige administrativt utval med 5 medlemer. Utvalet skal ha brei fagleg kompetanse frå kommunal drift. Utvalet har ansvar for førebuing av årleg gjennomgang av «Plan for informasjonstryggleik» Vidare skal utvalet førebu tryggleiksrelaterte saker som skal til rådmannen for informasjon eller avgjerd og ta avgjerd i saker der utvalet er delegert avgjerdsmynde. ITU handterar også kritisk avviksrapportering som gjeld informasjonstryggleik Rådmannen avgjer korleis utvalet skal setjast saman. Utvalet vert tillagt ansvar for å følgje opp at rutineutarbeiding som er nemnt i denne planen vert følgt opp, og for gjennomføringa av planen. Utvalet har 4 møte i året. Personvernombod Kommunen skal oppnemna personvernombod i samsvar med nye personvernreglar som trer i kraft frå mai Personvernombodet er kommunen sin ressurs eller rådgjevar i personvernspørsmål. Dei nye reglane krev at personvernombodet skal takast med på råd i alle saker som handlar om handsaming av personopplysningar. I tillegg skal personvernombodet vera kontaktpunkt for dei registrerte. Det betyr at alle registrerte som har spørsmål eller krav knytt til handsaminga av eigne personopplysningar skal kunne ta kontakt direkte med personvernombodet Kommunen kan oppretta eige ombod, gå saman med andre kommunar om felles ombod eller kjøpe tenester hjå profesjonell tredjepart Oppfølging av ny personvernforordning (GDPR) Oppfølging vert lagt til ITU Oppfølging av NORMEN (ehelse) Oppfølging vert lagt til kommunalsjef for helse Kontrollsystem Kontrollsystemet består av : Strategisk plan for Informasjonstryggleik dette dokumentet med vedlegg. Gjennomføring til dømes rutinar og instruksar Kontroll sjekklister, eigenkontroll og rapportar (til dømes risikoanalyse) for å sikre at eventuelle avvik blir oppdaga og blir lukka Målet er å sjekke ut at tiltaka som er sett i verk for å hindre avvik,blir følgde. 14

15 Utarbeiding av nye rutinar. (Oppfølgingsansvar ITU) Det skal utarbeidast detaljerte rutiner/retningsliner for : - Systemeigarar og systemadministratorar. - Bruk av teknisk utstyr. - Sikring av teknisk utstyr og infrastruktur. - Sikring av fysisk dokumentasjon,arkiv - Opplæring for tilsette - Tildeling av autorisasjonar Kontroll Kontroll skal gjennomførast i samsvar med årshjulet nedanfor ITU skal i samarbeid med leiinga stå for årleg kontroll for å stadfeste om arbeidet med verksemda sine informasjonssystem på kvar kontrollstad er i samsvar med administrative og tekniske rutinar. Kontrollen og årleg revisjon skal vera møte 4 som er sett opp i årshjulet Det skal kvartalsvis takast ut oversyn over alle avvik som er registrert om informasjonstryggleik i kommunen sitt kvalitetssystem Det skal utarbeidast sjekklister. Årshjul for arbeidet til informasjonstryggleiksutvalet. I figuren er blå boksar økonomirapporteringar som einingsleiar har ansvaret for. Grøne boksar er fordeling av møter for utval for informasjonstryggleik. 15

16 VITAL OG SENTRAL Vindafjord kommune Telefon : Rådhusplassen Ølen E-post: postmottak@vindafjord.kommune.no Heimeside: