Byrådssak 1383 /15. Ny strategi for informasjonssikkerhet ESARK

Transkript

1 Byrådssak 1383 /15 Ny strategi for informasjonssikkerhet GOBR ESARK Hva saken gjelder: Byråden for finans, eiendom og eierskap legger i denne saken frem en ny strategi for informasjonssikkerhet. Bergen kommune håndterer store mengder informasjon som ligger til grunn for all tjenesteproduksjon i kommunen, informasjon som er helt nødvendig for at kommunen skal ha mulighet til å oppfylle sine forpliktelser og leve opp til innbyggernes forventninger. Denne informasjonen er først og fremst verdifull for de den omhandler, ansatte, elever, innbyggere og virksomheter, men kan være interessant også for uvedkommende, enten disse er eksterne eller interne. Strategi for informasjonssikkerhet er ment å fremme systematisk balanse mellom sikring og åpenhet i all behandling av informasjon. Byrådet behandlet Bergen kommunes første strategi for informasjonssikkerhet i 2011 (byrådssak 48/11). Da var det viktig å fokusere på å skape et grunnlag for organisering av arbeidet med informasjonssikkerhet, og på å få i gang en kulturbyggende bevisstgjøring. Mye har endret seg siden den gang. Tiltakene fra forrige strategi er enten gjennomført eller har avdekket mer spesifikke behov. For eksempel innen organisering av informasjonssikkerhetsarbeidet er det avdekket et behov for tettere integrasjon med kommunens mangfoldige tjenesteproduksjon. Arbeidet med styrking av sikkerhetskultur og bevisstgjøring er i gang, men skal systematiseres ytterligere og få et tydeligere fokus på personvern. Strategien adresserer utfordringer på flere områder, innen informasjonssikkerhet og personvern. Begge områdene er avhengige av gode prosesser for internkontroll, god sikkerhetskultur, tverrfaglig samarbeid og integrasjon med organisasjonens eksisterende informasjonsprosesser og styringsmekanismer. For å styrke fokuset på personvern bør kommunen etablere en ordning med personvernombud slik det er anbefalt av Datatilsynet. Strategien bør for øvrig ses i sammenheng med «Overordnet og helhetlig risikoog sårbarhetsanalyse for Bergen» (byrådssak 76/15), hvor informasjonssikkerhet er en av flere påpekte sårbarheter. Den underbygger og styrker arbeidet med systematisk internkontrollarbeid slik det er beskrevet i «Internkontroll i Bergen kommune. Overordnet rammeverk» (byrådssak 1401/14). I tillegg følger strategien opp funnene og anbefalingene i forvaltningsrevisjonsrapport; informasjonssikkerhet (bystyresak 134/15). Vedtakskompetanse: Kommuneloven 20 pkt. 1. og 2. Byrådet er den øverste ledelse for den samlede kommunale administrasjon. Byrådet skal sørge for at administrasjonen drives i samsvar med lover, forskrifter og overordnede instrukser, og at den er gjenstand for betryggende kontroll. Å sikre informasjon og personvern i kommunens virksomhet inngår som en del av dette. Byråden for finans, eiendom og eierskap innstiller til byrådet å fatte følgende vedtak: 1. Byrådet legger følgende overordnede føringer og prioriteringer til grunn for utvikling av Informasjonssikkerhetsområdet fra 2015 og frem til det blir et faglig behov for endring. a) Strategi for informasjonssikkerhet for Bergen kommune skal følges opp i den enkelte byrådsavdeling. 1

2 b) Balansert målstyring skal benyttes for oppfølging av tiltak relatert til strategi for informasjonssikkerhet i den enkelte byrådsavdeling. c) Det skal etableres en personvernombudsordning for Bergen kommune slik det fremgår i saken. Dato: 24. november 2015 Dette dokumentet er godkjent elektronisk. Dag Inge Ulstein byråd for finans, eiendom og eierskap Vedlegg: Strategi for informasjonssikkerhet Mandat for informasjonssikkerhetsforums 2

3 Saksutredning: 1. Om saken I den følgende saksutredningen blir det redegjort nærmere for bakgrunnen til ny strategi for informasjonssikkerhet, og utvalgte tiltak iverksatt eller planlagt i forlengelsen av denne. Med bakgrunn i erfaringene fra forrige strategiperiode fremstår det som nødvendig å integrere arbeidet med både informasjonssikkerhet og personvern med kommunens virksomhet for øvrig. All behandling av informasjon peker tilbake på behov i kommunens tjenesteproduksjon. Det er også der grunnlaget for sikring av informasjon ligger, ofte basert på fagspesifikke lover, regler og sentrale føringer, men også basert på et mer overordnet behov for sikring av samfunnsmessig kritiske verdier og infrastruktur. Internkontroll og kvalitetsarbeid er en avgjørende del av alt arbeid med informasjonssikkerhet og er både lovpålagt gjennom krav til internkontroll og nødvendig for å sikre en god balanse mellom sikring og åpenhet. 2. Behovet for integrasjon og balanse mellom sikring og åpenhet Balansen mellom beskyttelse av informasjon og åpenhet er avgjørende både for å kunne ha et bevisst forhold til kommunens verdier, kompetent, åpen, pålitelig og samfunnsengasjert, og for å kunne forstå hvorfor noe informasjon kan kreve beskyttelse på tross av at den skal være åpent tilgjengelig for allmennheten. En slik forståelse krever kompetanse til å skille ulike typer informasjon fra hverandre og til å se at noen informasjonselementer som settes sammen kan gi mer informasjon enn man ønsker. Det krever både kompetanse og samfunnsengasjement nok til å vurdere konsekvensene av et eventuelt sikkerhetsbrudd på vegne av kommunens egen organisasjon, den enkelte innbygger, organisasjoner, virksomheter eller samfunnet for øvrig. Samfunnet må kunne ha tillit til at kommunen forvalter felles informasjonsressurser på en pålitelig måte. Bergen kommune håndterer store mengder informasjon, og det aller meste er informasjon som stiller ulike krav til sikring. Noe informasjon krever unntak fra offentlighet fordi det kan føre til skade for kommunen, enkeltpersoner, virksomheter eller offentlige interesser hvis den blir kjent for uvedkommende. Annen informasjon krever offentlighet, men bør sikres mot å bli endret eller modifisert av uvedkommende, og stiller gjerne i tillegg strenge krav til tilgjengelighet. God informasjonssikkerhet handler med andre ord ikke bare om hemmelighold, men om å bli mer bevisst hvilken informasjon som faktisk kan offentliggjøres og evt. hvilke krav som bør stilles for å sørge for at sikring av offentlig informasjon også blir ivaretatt. For at den enkelte enhet skal ta informasjonssikkerhet og personvern på alvor, og innse at det også angår dem, legger strategien opp til et økt fokus på bevisstgjøring og bygging av sikkerhetskultur. Dette skal bidra til å skape en større forståelse for hvorfor informasjonssikkerhet angår oss alle, og hvorfor ledere har et spesielt ansvar for å ivareta og bygge enhetens unike kompetanse på informasjonssikkerhet og personvern på en betryggende måte. God informasjonssikkerhet handler om å finne den rette balansen mellom sikring og tilgjengeliggjøring på en systematisk og etterprøvbar måte. Dette oppnår man når man arbeider systematisk med informasjonssikkerhet som del av den daglige driften. Det er først når man vet nøyaktig hvilken informasjon enheten faktisk håndterer og hva denne informasjonen benyttes til, at krav til informasjonssikkerhet blir tydelige og gjennomførbare. Krav til sikring av informasjon må stå i stil med den eventuelle risiko man løper for at krav til henholdsvis begrenset innsyn, begrenset endringsbehov eller særskill tilgjengelighet kan spesifiseres på en god måte. God informasjonssikkerhet handler om god internkontroll. 3

4 3. Forvaltningsrevisjon av informasjonssikkerhet 2015 Den 28. mai 2015 behandlet Bystyret sak 134/15 «Forvaltningsrevisjonsrapport; informasjonssikkerhet» hvor det ble vedtatt at Byrådet bes om å følge opp anbefalte tiltak i rapporten og rapportere hvordan anbefalingene blir fulgt opp innen utgangen av En av anbefalingene er at ny strategi for informasjonssikkerhet fastsetter krav til oppfølging av og rapportering på gjennomføring av tiltak i strategien. Dette er løst i foreslåtte strategi gjennom å integrere tiltaksoppfølging med et av kommunens styringssystemer, balansert målstyring (BMS). Ved å benytte BMS til oppfølging av tiltak i den enkelte byrådsavdeling, sammenholde dette med andre tiltak som resultatet av den årlige internkontrollundersøkelsen og rapporter fra gjennomførte sikkerhetsrevisjoner, vil det være gjennomførbart å få oversikt over tilstanden arbeidet med informasjonssikkerhet og personvern. Anbefalingen om å utbedre elementer i styringssystemet hvor det er påpekt mangler er allerede godt i gang. Blant annet er avvikshåndtering nå ferdig implementert og følges opp som enkeltsaker gjennom kommunens sak- og arkivsystem. Sikkerhetsrevisjoner er nå planlagt og gjennomføres i samråd med seksjon for internkontroll. Arbeidet med risikovurderinger foregår p.t. på flere nivåer og er blant annet integrert i styring av informasjonssikkerhetsarbeidet på overordnet nivå, det er gjennomført risikovurdering i forbindelse med «Klassifisering av informasjonssystemer i Bergen kommune» (byrådssak 1191/15) og det er integrert i seksjon IKT Konserns «Prosjekthåndbok», porteføljestyringsarbeid og den daglige driften av IKTområdet. Instruks for systemeiere er under utarbeidelse og vil bli publisert til høsten, med blant annet krav om gjennomføring av risikovurderinger i tilknytning til systemet som er i tråd med regelverket. 4. Ny strategi - forsterket fokus Både informasjonssikkerhet og personvern må settes på dagsorden i alle enheter som behandler informasjon. Derfor har den nye strategien et forsterket fokus på organisering av arbeidet med integrasjon i kommunens tjenesteproduksjon, og fokus på arbeidet med bygging av sikkerhetskultur og innebygget personvern. a. Forum for informasjonssikkerhet For å styrke fokuset på oppfølging av og systematisk arbeid med styring av integrasjon av informasjonssikkerhet i Bergen kommune, er det nødvendig å etablere et forum for informasjonssikkerhet. Forumet skal følge opp risikobildet, vesentlige avvik og endringer som kan påvirke kommunens tjenesteleveranser og sørge for å bidra til å innfri det rettslige kravet om å sørge for «tilfredsstillende informasjonssikkerhet» ved gjennomføring av «ledelsens gjennomgang». Mandat for informasjonssikkerhetsforum følger vedlagt. b. Evaluering og kontinuerlig forbedring Byrådet har i henhold til kommunelovens generelle krav ansvar for å sikre at internkontroll «drives i samsvar med lover, forskrifter og overordnede instrukser, og at den er gjenstand for betryggende kontroll» (jf. kommuneloven 20 pkt. 1. og 2.) I eforvaltningsforskriftens 15 utdypes kravet til informasjonssikkerhet til «Forvaltningsorganet skal ha en internkontroll (styring og kontroll) på informasjonssikkerhetsområdet som baserer seg på anerkjente standarder for styringssystem for informasjonssikkerhet». I oktober 2014 vedtok byrådet et overordnet rammeverk for internkontroll i Bergen kommune, for å sikre systematikk i arbeidet som utføres for å oppnå betryggende kontroll i virksomheten (byrådssak 1401/14). Innen arbeidet med informasjonssikkerhet har det i flere år foregått aktiviteter som går inn under internkontrollbegrepet. For å gjøre dette arbeidet mer helhetlig, er det i løpet av 2015 inngått nettverkssamarbeid for å oppnå størst mulig grad av integrasjon og utveksling av kompetanse/ arbeidsmetodikk på ulike internkontrollområder, når dette anses som 4

5 hensiktsmessig (herunder HMS, HR, anskaffelser, økonomisk interkontroll og informasjonssikkerhet), i tillegg til økt bevisstgjøring og kompetanse ute i den enkelte enhet. Også i kommunens overordnete virksomhets- og risikostyring inngår informasjonssikkerhet som et viktig fokusområde. For at den enkelte enhet i større grad skal få både korrekt og nødvendig fokus på informasjonssikkerhet og personvern er evaluering blant annet ivaretatt gjennom kommunens «internkontrollundersøkelse» og planlagt ivaretatt gjennom den enkelte leders styringskort i balansert målstyring. I tillegg har avdeling for informasjonssikkerhet ved IKT Konsern startet med rådgivning og evaluering av enkeltenheter. Dette både for å styrke og kontrollere tilstanden og samsvaret med rettslige krav. Med disse tiltakene skapes det nødvendige grunnlaget for å drive en systematisk internkontroll og kontinuerlig forbedring innen informasjonssikkerhet og personvern. c. Personvernombud Datatilsynet anbefaler å benytte seg av ordningen med personvernombud av flere grunner, blant annet for å få fritak fra meldeplikten, oppnå en tettere dialog med tilsynet, bygge nettverk og kompetanse gjennom tilsynets tilbud til alle personvernombud, og ikke minst å bygge omdømme overfor innbyggere. Ombudets rolle er å gi ledelsen råd og veiledning i personvernspørsmål, representere virksomheten i faglige spørsmål og på en uavhengig måte vurdere virksomhetens etterlevelse av regelverket. Det meste av dette utfører avdeling for informasjonssikkerhet i seksjon IKT Konsern allerede. Derfor plasseres rollen som personvernombud i denne avdelingen, ut fra hensynet til både kompetanse, erfaring og allerede etablert samhandling med Datatilsynet. d. Verdivurdering og beredskapsarbeid Som et ledd i omfattende arbeid med risikovurdering ble det nylig foretatt et arbeid for å kartlegge og klassifisere alle IKT-systemer i kommunen. Dette ble gjort med hovedfokus på å avdekke et eventuelt behov for et alternativt driftssted for sentrale IKT-systemer. Arbeidet startet med en analyse av hvilken informasjon som ble ansett som kritisk for den enkelte byrådsavdeling og deres tjenestetilbud. Deretter ble dette knyttet til hvilke IKT-systemer som understøttet ulike typer informasjon, og hvilke avhengigheter dette kunne innebære på teknisk side. Til slutt dannet det seg et bilde av 10 IKT-systemer som er å anse som kritiske for Bergen kommune. Tiltak vedtatt i byrådssak 1191 /15, «Klassifisering av informasjonssystemer i Bergen kommune», anbefaler en utredning av mulige løsninger for alternativt driftssted, og behovet for et fornyet fokus på beredskapsarbeid. Det arbeides med å oppdatere beredskapsregimet for IKT med spesifikke planer for det enkelte IKT-system klassifisert som kritisk, deriblant krav til systemeiere om å dokumentere en standardisert beredskapsplan og gjennomføring av øvelser. e. Bevisstgjøring og nasjonal sikkerhetsmåned For å styrke bevisstheten til kommunens ansatte skal styrende dokumenter knyttet til informasjonssikkerhet fornyes og samles i en helhet. På samme måte som for andre fagområder som HMS, økonomi og miljø, skal styrende dokumenter, instrukser, rutiner og retningslinjer samles i en håndbok for informasjonssikkerhet. Nasjonal sikkerhetsmåned er et internasjonalt samarbeidsprosjekt hvor Bergen kommune samarbeider med Norsk senter for informasjonssikring (NorSIS), som igjen samarbeider med EUs direktorat for nettverk og informasjonssikkerhet (ENISA). Bergen kommune har gjennom flere år drevet en bevisstgjøringskampanje med hjelp av e-læringsleksjoner på e-post, i år og årene fremover skal dette arbeidet styrkes og utvides til flere aktiviteter. 5

6 I 2015 blir det arrangert et foredrag for øverste administrative ledelse, ukentlige informasjonsstands på rådhuset, foredrag og kurs på forespørsel, samt en «kampanje» hvor man gir hverandre en «smiley» for å øke bevisstheten om å låse maskinen når man forlater den. f. Styrket digitalisering I tråd med Nasjonal strategi for informasjonssikkerhet, DIFIs handlingsplan for informasjonssikkerhet og Bergen kommunes egne styrende dokumenter på IKT-området, styrkes fokuset på informasjonssikkerhet også i digitaliseringsarbeidet. Dette foregår ved at alle prosesser fra bestilling, gjennom utvikling og til leveranse av digitale tjenester, skal informasjonssikkerhet være innebygget og en naturlig del av forløpet. Gjennom prosjektmetodikk og porteføljestyring blir det satt fokus på risikostyring, og herunder risiko for brudd på krav til sikring. For å lette arbeidet med å stille de rette kravene til behandling av ulike typer informasjon, skal det etableres en instruks for klassifisering av informasjon i henhold til hvilke minimumskrav som stilles til sikring. Denne instruksen vil for øvrig følge revidert utgave av kommunens overordnete «Retningslinje for behandling av personopplysninger». 5. Administrative og økonomiske konsekvenser av saken Strategien for informasjonssikkerhet gjelder for hele konsernet Bergen kommune, og skal følges opp innenfor den til enhver tid vedtatte organisasjonsstruktur og innenfor gjeldende budsjett/økonomiplan. Etablering av personvernombud håndteres av IKT Konsern innenfor eksisterende budsjettrammer. 6. Videre oppfølging av saken «Strategi for informasjonssikkerhet» skal implementeres i den enkelte byrådsavdeling. Administrasjonen i den enkelte byrådsavdeling vil bli informert om hva strategien innebærer, og hvordan den blir fulgt opp gjennom bevisstgjøring, rådgivning, evaluering og andre kontrolltiltak. Status rapporteres kontinuerlig gjennom balansert målstyring til kommunaldirektør BFEE, og rapporteres for øvrig i årsmeldingen. 6