BÆRUM S A F E Informasjonssikkerhet i Bærum kommune

Transkript

1 BÆRUM S A F E Informasjonssikkerhet i Bærum kommune Siri Opheim IKT-sjef og Tore Moss IKT-sikkerhetsansvarlig

2 Bakgrunn Arbeidet med informasjonssikkerhet startet i Helse og sosialavdelingen omkring Fokus på ansattes holdninger Brosjyren informasjonssikkerhet angår deg! Sikkerhet ved bruk av elektronisk post Sikker telefakshåndtering Instruks for Informasjonssikkerhet ( ) Informasjonsbrosjyre til publikum om sikring av personlig og konfidensiell informasjon Oppstarten for etablering av felles kvalitetssystem innen pleie og omsorgstjenestene

3 Sikkerhetsmateriell

4 Krasjlanding Datatilsynets gjennomførte kontroll av Bærum kommunes informasjonssikkerhet Manglende ledelsesforankring Behov for bedre teknisk sikring

5 Ny giv Sikkerhetsprosjekt med to delprosjekter Teknisk sikkerhet Tekniske sikkerhetstiltak Fysiske sikkerhetstiltak Administrativ sikkerhet Informasjonsmateriell Sikkerhetskampanje Håndbok informasjonssikkerhet Gjennomførte risikoanalyse informasjonssikkerhet, vår 2001 (bistand fra Ecsoft) Tiltaksplan utarbeidet

6 BÆRUM SAFE Utgangspunkt i resultatene fra risikoanalysen Brukte materiellet fra tidligere sikkerhetsarbeid som grunnlag for ny giv Etablerte arbeidsgruppe med entusiastiske representanter fra kommunalavdelingene Gjennomførte idédugnad som resulterte i kampanjen BÆRUM SAFE

7 Sikkerhetskampanjen Tegnekonkurranse for å finne ny logo ble utlyst på intranettet Hengelåsen Ståle ble valgt som fargerik og godt synlig frontfigur Sikkerhetskrus, BÆRUM SAFE kortet og brev til alle ansatte ble sendt ut i februar 2002

8 Håndbok informasjonssikkerhet Elektronisk håndbok på kommunens intranett Erstattet instruks for informasjonssikkerhet

9 BÆRUM KOMMUNE HÅNDBOK KAP. RETNINGSLINJE FOR Gjelder fra <Dato> Rev. nr <Nr> Arkiv nr <ark.nr> Dok nr <dok.nr> Godkjentdato <dato> Av <tittel> Sign: <init.> Utarbeidet av Av <enhetl> Sign: <init.> Dokumenthistorikk Side 1 av? BÆRUM KOMMUNE 1. Formål <Her beskrives hensikten med dette dokumentet, begrunnelse for hvorfor vi skal ha denne retningslinjen, henvisning til lov etc.> 2. Omfang <Hvem retningslinjene gjelder for, funksjoner, oppgaver.> 3. Ansvar/myndighet < Her beskrives kort hvem som er ansvarlig for oppdatering og oppfølging av retningslinjene, evt. hvem som skal informeres.> 4. Definisjoner <Definisjoner av begreper som brukes i retningslinjene, med følgende begreper forstås.> 5. Beskrivelse/fremgangsmåte Bruk punkter eller tabell Nr. Oppgave Hvordan Hvem Når <Hva skal gjøres.> <Hvordan skal oppgaven utføres.> <Hvem skal utføre oppgaven.> <Her skal også beskrives eventuelle registreringskrav, hvilke skjemaer som skal fylles ut.> <Frist, innen april, 1. kvartal. > HÅNDBOK KAP. RUTINEBESKRIVELSE FOR Gjelder fra <Dato> Rev. nr <Nr> Arkiv nr <ark.nr> Dok nr <dok.nr> Godkjentdato <dato> Av <tittel> Sign: <init.> Utarbeidet av Av <enhetl> Sign: <init.> <Seksjon/enhet.> Dokumenthistorikk 1. Formål <Her beskrives hensikten med dette dokumentet, henvisning til retningslinje etc.> 2. Omfang <Hvem rutinebeskrivelsen gjelder for, funksjoner, oppgaver.> 3. Ansvar/myndighet < Her beskrives kort hvem som er ansvarlig for oppdatering og oppfølging av rutinen, evt. hvem som skal informeres.> 4. Definisjoner <Definisjoner av begreper som brukes i rutinebeskrivelsen, med følgende begreper forstås.> 5. Beskrivelse/fremgangsmåte Bruk punkter Side 1 av? eller tabell Nr. Oppgave Hvordan Hvem Når <Hva skal gjøres.> <Hvordan skal oppgaven utføres.> <Hvem skal utføre oppgaven.> <Frist, innen april, 1. kvartal. > <Her skal også beskrives eventuelle registreringskrav, hvilke skjemaer som skal fylles ut.> 6. Intern kontroll/avviksbehandling <Intern kontroll: beskrive hvordan man skal følge opp at rutinene etterleves. Avviksbehandling: beskrive hvordan avvik skal håndteres når de oppstår.>

10 Andre tiltak Sikkerhetstips på intranettet Artikler i kommunens internavis På innsiden Innlegg på introduksjonsopplegg for ansatte i Pleie og omsorgstjenestene Presentasjon for ledergruppen Risikoanalyser ifm IT-prosjekter Sikkerhetsforum med repr. fra kommunal avd.

11 Gjenbruksordning Mål: Sikker håndtering av brukt utstyr og forskriftsmessig sletting for å sikre at personopplysninger ikke kommer på avveie Miljøfokus ved at utstyr reinstalleres og resirkuleres til bruk bla. i skolen, forskriftsmessig avhendig av utstyr

12 Autorisasjonsportal Alle brukere i Bærum kommune gis tilgang til ressurser i nettverket via kommunens autorisasjonsportal. Autorisasjonsportalen er koplet mot lønnsog personalsystem Dette sikrer kontroll over at når personer slutter så mister de sine tilganger til nettverk og ressurser

13 Veien videre Ny administrativ organisering i BK Ny IKT-avdeling hvor en stilling ble øremerket til IT-sikkerhetstiltak Dette ga ny energi til sikkerhetsarbeidet

14 Hva skiller Bærum fra andre kommuner? Trolig skiller vi oss ikke så mye fra mange andre kommuner. Vi har sett at vi har elektronisk sikkerhetshåndbok, avvikshåndteringssystem, osv. som andre kommuner og bedrifter. Vi gjennomfører også eksterne revisjoner (pentest etc) etter at vi har gjort større endringer i teknisk løsning Forskjellen er kanskje at vi har jobbet kontinuerlig med dette i mange år vi tar ikke bare skippertak samt at vi har tatt i bruk litt utradisjonelle metoder

15 Ny organisering rundt sikkerhet Rådmannen har det overordnede ansvar Vi har organisert sikkerhet under tre enheter: FYSISK sikring (skallsikring av bygg, etc) under Eiendomsforvaltningen PERSONVERN og TAUSHETSPLIKT (hvordan forholde oss til POL og andre lover) hos Kommuneadvokaten TEKNISK SIKKERHET under Disse møtes i Sikkerhetsforum, sammen med ansvarlige for driften (oppetider, ytelse, etc.)

16 Bærum kommune deler gjerne Bærum kommune deler gjerne sine erfaringer med andre: Vi ga bort filmen om IT-sikkerhet til KINS (foreningen for Kommunal informasjonssikkerhet) KINS har laget sin egen versjon sammen med Norsis, som (fylkes-)kommuner har kjøpt Bærum kommune er aktivt med i KINS (og ISF), for å lære av andre kommuner og bidra hvis vi kan Filmen ligger på kommunens Internettsider

17 Litt om sikkerhetsfilmen Filmen er en lavbudsjettsfilm, laget av Bjørn Bangvoll i Objektiv Kommunikasjon ( Filmen vår bygger på en tilsvarende film laget for helsesektoren ved Sykehuset Buskerud HF Flere av scenene er gjenbrukt med deres tillatelse Filmen er modulært oppbygd, tanken er at det skal være enkelt å endre en del av filmen uten å måtte lage ny film (for eksempel erstatte vår rådmann med en annen)

18 Hva filmen omhandler Informasjonssikkerhet kan brytes ned i Fysisk sikkerhet, Teknisk sikkerhet og Psykologisk sikkerhet (ref. KUN-nettverket) filmen omhandler mest det siste Det hjelper nemlig lite å ha fantastisk Fysisk og Teknisk sikkerhet hvis de ansatte er slumsete! Innholdet er tilpasset kommuner, men likevel er budskapet allment og bør kunne brukes av andre Skjermbildene reflekterer Bærum kommunes IT-systemer (Novell, Groupwise, Helios, etc) Filmen er allerede litt gammel; Facebook, Second Life, etc ikke med

19 Formålet med filmen Formålet med filmen er å avmystifisere hva Informasjonssikkerhet går ut på, og gi de ansatte tiltro til egen sunn fornuft Vi må tenke sikkerhet overalt ellers i samfunnet hjemme, i bilen, på byen. Det må være tydelig hva IT-avdelingene skal ha ansvar for og hva den enkelte selv må passe på

20 Hvorfor laget vi film? Vi skulle oppgradere fra NT til XP på alle kommunens Pcer, et meget stort prosjekt Alle brukerne måtte da gjennom et opplæringsopplegg for den nye plattformen Vi fant det hensiktsmessig å lage en gjennomtenkt film fremfor å muntlig måtte gjennomgå dette i mange møter (vi har ca 250 tjenestesteder) Filmen tar ca 10 minutter, men sier mer enn et times foredrag.. Filmen brukes nå i introduksjonsopplegg for nytilsatte

21 Effekt av vårt sikkerhetsarbeid Filmen har bidratt til mye større bevissthet rundt hver enkelts ansvar, samtidig som bruken av IT ikke lenger oppleves så skremmende Vi har fått svært gode tilbakemeldinger fra eksterne vi har vist filmen for, og vunnet KINS ærespris (2006) og Rosingprisen (2007) for godt arbeid med informasjonssikkerhet Til og med ENISA/EU har gitt oss hederlig omtale og tatt oss med i en slags Best practice bok for hele Europa. Den eksterne anerkjennelsen er viktig for oss internt etter at vi har fått priser har til og med politikerne bedt om å se filmen, og Rådmannen viser den stolt fram

22 Kjør film. Her finner du lenke til Sikkerhetsvideo

23 BÆRUM S A F E Informasjonssikkerhet i Bærum kommune