HOVEDHÅNDBOK FOR INFORMASJONSSIKKERHET HARSTAD KOMMUNE. Versjon 3.04

Transkript

1 HOVEDHÅNDBOK FOR INFORMASJONSSIKKERHET I HARSTAD KOMMUNE Versjon 3.04

2 Innholdsfortegnelse 1. DEFINISJONER FORMÅL GRUNNLAG SIKKERHETSORGANISERING OG ANSVARSFORDELING LOVEN ORGANISERING ANSVAR FOR IS (INFORMASJONS SIKKERHETEN) SIKKERHETSMÅL OG SIKKERHETSSTRATEGI OVERSIKT OVER HELSE- OG PERSONOPPLYSNINGER LOVEN FORMÅL BESKRIVELSE Sikring av konfidensialitet Sikring av tilgjengelighet Sikring av integritet Sikring av kvalitet(helseregisterloven) KLASSIFISERING Autorisasjon til å behandle klassifisert informasjon Merking av datamedier med klassifisert informasjon ANSVAR RISIKOVURDERINGER LOVEN FORMÅL BESKRIVELSE ANSVAR SIKKERHETSREVISJON LOVEN FORMÅL BESKRIVELSE ANSVAR LEDELSENS GJENNOMGANG LOVEN FORMÅL BESKRIVELSE ANSVAR KONFIGURASJON LOVEN FORMÅL BESKRIVELSE KONFIGURASJONSENDRING ANSVAR AVVIKSBEHANDLING LOVEN FORMÅL BESKRIVELSE ANSVAR... 17

3 12. PARTNERE OG LEVERANDØRER LOVEN FORMÅL BESKRIVELSE Avtalen skal utformes i samsvar med minimumskravene i Datatilsynets veileder ANSVAR PERSONELLSIKKERHET LOVEN FORMÅL BESKRIVELSE ANSVAR AUTORISASJON LOVEN FORMÅL BESKRIVELSE Personell med periodisk arbeid Endring av arbeidsforhold/ansvar ANSVAR FYSISK SIKKERHET LOVEN FORMÅL BESKRIVELSE Adgangskontroll Adgang til område Adgang til utstyr Fysisk sikkerhet i andre lokaler ANSVAR DOKUMENTSIKKERHET LOVEN FORMÅL BESKRIVELSE BRUK AV TELEFAKS ANSVAR INTERNKONTROLL LOVEN BESKRIVELSE PERSONVERNOMBUD... 29

4 1. Definisjoner For at ansatte i kommunen som arbeider med informasjonssikkerhet skal ha en ensartet forståelse for vesentlige ord og begreper er disse definert og beskrevet. I dette dokumentet er sentrale begreper gitt følgende definisjoner: Adgangskontroll Kontroll av medarbeideres adgang til område eller utstyr, med retningslinjer for tildeling av adgang og bruk av fysiske innretninger. Brannmur Et system eller en gruppe system for tilgangskontroll mellom ulike nettverk og soner for ulike tjenester. Hovedhensikten til en brannmur er tilkoplingssikkerhet for informasjon og ressurser. Ved bruk av en brannmur kan man spesifisere tjenester brukerne på de interne nettverk skal ha på de eksterne nett, og også hvilken tilgang eksterne brukere kan få til de interne nett. Behandling av personopplysninger Enhver bruk av personopplysninger, som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter Behandlingsansvarlig Den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes. Data Formalisert representasjon av opplysninger i en form som er egnet for elektronisk behandling. Databehandler Den som behandler personopplysninger på vegne av den behandlingsansvarlige(interne og eksterne) Dataoverføring Elektronisk overføring av data i et informasjonssystem. Dataoverføring der overføringsmedium er utenfor kommunens kontroll betegnes ekstern dataoverføring. Dedikert informasjonssystem Informasjonssystem uten dataoverføring med eller tilgang fra kommunens øvrige informasjonssystem Demilitarisert sone (DMZ) En sone hvor eksterne kan gis tilgang, men hvor kommunen har en viss grad av sikkerhetsmessig kontroll. Demilitarisert sone (DMZ) er ofte en del av en brannmurløsning. Egenkontroll Systematisk undersøkelse utført av kommunen selv for å fastslå om beskrevne ansvars- og myndighetsforhold, prosedyrer og sikkerhetstiltak er effektivt gjennomført og fungerer etter sin hensikt. Ekstern dataoverføring Dataoverføring der overføringsmedium er utenfor kommunens fysiske kontroll. Hovedhåndbok for informasjonssikkerhet Gyldig fra:

5 Eksternt nettverk Fellesbegrep for nettverk med elektroniske tjenester som tilbys eller brukes av andre virksomheter enn kommunen selv. Informasjonssikkerhet Tiltak iverksatt for å sikre at informasjon ikke er tilgjengelig uten autorisasjon (konfidensialitet), at informasjon ikke uautorisert endres eller ødelegges (integritet), og at informasjon er tilstede og anvendelig for medarbeidere slik at pålagte oppgaver kan utføres (tilgjengelighet). Informasjonssystem Sammenstilling av utstyr, data og program. Intern sone Fellesbegrep for de ulike nettverk som finnes i kommunen til bruk for de ansatte. Intern sone må være forsvarlig sikret mot eksterne nettverk og ved bruk av eksterne dataoverføringer mot, hjemmekontor mv. samt brukere som ikke er ansatt i kommunen. Sensitive personopplysninger skal ikke lagres i intern sone. Konfigurasjon Utforming av informasjonssystem beskrevet ved type, antall og karakteristika for det enkelte utstyr og program. Område Del av kommunen atskilt fra kommunen for øvrig ved hjelp av fysiske innretninger og med adgangskontroll. Personopplysninger Opplysninger og vurderinger som kan knyttes til en enkeltperson. Personregister Registre, fortegnelser m.v. der personopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen, Program Instruksjonssett benyttet for å behandle data elektronisk. Prosedyre Angitt framgangsmåte for å utføre en aktivitet eller prosess (ISO 9000: 2000) Registrert Den som en personopplysning kan knyttes til. Sensitive personopplysninger Er personopplysninger om: a) rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, b) at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, c) helseforhold, d) seksuelle forhold, e) medlemskap i fagforeninger. Sone De deler av informasjonssystemet som kan kommunisere ved hjelp av dataoverføring. Soner opprettes etter analyse av behovet for tilgang og dataoverføring mellom enkelte enheter i informasjonssystemet. Tilgang til sone gis for en enhet identifisert eksempelvis ved en nettverksadresse. Hovedhåndbok for informasjonssikkerhet Gyldig fra:

6 Sikret sone En sikret sone er sone for sensitiv informasjon som er sikkerhetsmessig atskilt fra intern sone og andre sikrede soner, foruten mot eksterne nettverk. Tilgangskontroll Kontroll av tilgang til sone, data eller program med retningslinjer for tildeling av tilgang og bruk av systemtekniske innretninger. Tilgang til sone i kommunen fra område utenfor kommunens kontroll betegnes ekstern tilgang. Utstyr Maskinvare, som datamaskin, utskriftsenhet, overføringsmedium eller lagringsmedia, som benyttes for behandling av data. Hovedhåndbok for informasjonssikkerhet Gyldig fra:

7 2. Formål Formålet med håndboka er å sikre at kommunen etterkommer kravene i personopplysningsloven(pol) av og personopplysningsforskriften(pof) av og helseregisterloven(hel) av når det gjelder behandling av personopplysninger og helseopplysninger. Håndboka er bygget opp etter Datatilsynets veileder for informasjonssikkerhet for kommuner og fylker av samt veileder for personvernombud av januar 2006 og norm for informasjonssikkerhet i helsesektoren. De fleste bestemmelser i personopplysningsloven og helseregisterloven er sammenfallende. Krav i helseregisterloven som avviker fra personopplysningsloven tas med i denne håndboka. 3. Grunnlag Lov om behandling av personopplysninger (personopplysningsloven) Lov om helseregistre og behandling av helseopplysninger (helseregisterloven). Forskrift om behandling av personopplysninger (personopplysningsforskriften) Risikovurdering av informasjonssystem (Datatilsynet) Faktaark for medarbeider (Normen) Faktaark for IT-ansvarlig (Normen) Faktaark for virksomhetsleder (Normen) Norm for informasjonssikkerhet i helse- omsorgs- og sosialsektoren (Normen) Veileder Databehandleravtale (Datatilsynet) Veileder - internkontroll og informasjonssikkerhet (Datatilsynet) Kommunens internkontroll - verktøy for rådmenn (Datatilsynet) Oppretting/Endring/Sletter av bruker på nett- elektronisk skjema Organisasjonskart - Harstad kommune 4. Sikkerhetsorganisering og ansvarsfordeling 4.1 Loven POL 13 Informasjonssikkerhet- Den behandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. For å oppnå tilfredsstillende informasjonssikkerhet skal den behandlingsansvarlige og databehandleren dokumentere informasjonssystemet og sikkerhetstiltakene Bestemmelsen understreker at det er den behandlingsansvarlige, det vil si rådmannen, som skal sørge for tilfredsstillende informasjonssikkerhet, jfr. personopplysningsloven 13 samt personopplysningsforskriften kapittel 2 og dermed har ansvar for at bestemmelsene i dette kapitlet følges. Dette ansvaret omfatter også at det årlig avsettes tilstrekkelige resurser, både personalmessige og økonomiske, slik at tilfredsstillende informasjonssikkerhet opprettholdes. 4.2 Organisering POF 2-7 Organisering (utdrag) Det skal etableres klare ansvars- og myndighetsforhold for bruk av informasjonssystemet. Ansvars- og myndighetsforhold skal dokumenteres og ikke endres uten autorisasjon fra den behandlingsansvarliges daglige leder. Dokumentreferanse: Hovedhåndbok for informasjonssikkerhet Gyldig fra:

8 Organisasjonskart - Harstad kommune 4.3 Ansvar for IS (Informasjons Sikkerheten) Ansvaret for informasjonssikkerheten i kommunen er fordelt på sju nivåer: 1. Rådmannen 1. Rådmannen har det overordnete ansvar for at informasjonssikkerheten i kommunen ligger på et forsvarlig nivå. 2. Rådmannen gir autorisasjon til systemeiere for systemer/programmer som er felles for flere enheter. 3. Vedlagte dokumentreferanse beskriver øvrige oppgaver og ansvar. Dokumentreferanse Sjekkliste for rådmannen 2. Sikkerhetsansvarlig Sikkerhetsansvarlig har ansvar av koordinerende og samordnende art: 1. planlegge IS arbeidet 2. etablere og vedlikeholde sikkerhetsnivået, herunder ajourhold av sikkerhetsdokumenter. 3. løpende overvåking av avtalte IS handlinger slik at det vedtatte sikkerhetsnivået opprettholdes 4. presisere og fordele IS ansvaret på vegne av rådmannen 5. foreta stikkprøver for å kontrollere at vedtatte instrukser og prosedyrer etterleves 6. utarbeide og oppdatere årlig statistikk over sikkerhetsbrudd/avvik samt forsøk på dette 7. utforme opplærings- og motivasjonsprogram for å ivareta IS 8. delta i faglige forum og samarbeide med andre virksomheter for å opprettholde kunnskapsnivå om IS og nye trusler/farer. 9. Oversende melding om nye behandlinger til personverombudet. 3. IKT-ansvarlig. IKT-ansvarlig har ansvaret for informasjonssikkerheten i forbindelse med: 1. kommunikasjon, nettverk, brannmurer, servere, PC er og annet relevant utstyr og i samarbeid med autorisasjonsansvarlig gjennomføre tilgangskontroll 2. kvalitet på maskinutstyr og programvare 3. å etablere og vedlikeholde konfigurasjonskontroll 4. drift og produksjon 5. avbruddsplaner (katastrofeplaner) for IKT-funksjonen. 6. generell daglig oppfølging og kontroll av logger og rapporter 7. sikkerhetskopiering 8. dokumentere og oppdatere teknisk beskrivelse av informasjonssystemet 9. fysisk sikring/brannsikring av servere, brannmurer og kommunikasjonsutstyr Dokumentreferanse Sjekkliste for IKT-ansvarlig 4. Enhetsleder Det daglige operative behandlingsansvaret for informasjonssikkerheten ligger hos enhetsleder for de ulike kommunale enhetene. Enhetsleder skal sørge for at forvaltning og bearbeiding av informasjon skjer på en forsvarlig måte, og innenfor rammen av gjeldende lover og forskrifter, instrukser og prosedyrer. Dette innebærer: 1. å ha nødvendige rutiner som sikrer tilgjengelighet, integritet og Hovedhåndbok for informasjonssikkerhet Gyldig fra:

9 konfidensialitet i behandling av personopplysningene 2. å ha oversikt over hvilke personopplysninger som blir behandlet 3. ha oversikt over hvilke registre enheten har 4. klassifisere registrene 5. fastsette akseptabel risiko på de viktigste områdene 6. bidra til årlig egenkontroll og risikovurdering med tilhørende handlingsplan(ledelsesgjennomgang) 7. avviksbehandling i samsvar med vanlig praksis i kommunen 8. sikre at forholdet til partnere og leverandører (databehandlere utenfra, konsulenter, håndverkere, renholdere, vikarbyrå) er i samsvar med kravene i personopplysningsloven 9. sikre at overføring av materiale som inneholder sensitive personopplysninger skjer i samsvar med gjeldende prosedyrer 10. gi og tilbakekalle autorisasjon til elektroniske hjelpemiddel og lokaler(fysisk sikring) 11. sørge for opplæring av de ansatte i informasjonssikkerhet 12. IKT-beredskapsplan for enheten, dvs manuelle prosedyrer for tjenester ved strøm- og systemavbrudd 13. oversende melding om nye behandlinger til sikkerhetsansvarlig 14. oversende oppdatert Melding om behandling av personopplysninger til personvernombudet via sikkerhetsansvarlig dersom det iverksettes nye behandlinger. Dokumentreferanse Sjekkliste for enhetsleder Leder for NAV I følge samarbeidsavtale mellom Harstad kommune og NAV Troms er NAV-leder delegert det daglige operative behandlingsansvaret etter personopplysningsloven. I avtalen står det at dokumentet Felles sikkerhetsnormer for Arbeids og velferdsforvaltningen legges til grunn for fagområdene personvern, informasjonssikkerhet og beredskap. Det vil si at kommunalt ansatte i NAV skal følge sikkerhetsnormene i nevnte dokument når det gjelder informasjonssikkerhet. 5. Informasjonssikkerhetsutvalg Sikkerhetsutvalget er kommunens rådgivende organ for rådmannen når det gjelder informasjonssikkerhet. Sikkerhetsutvalget har ansvaret for overordnete oppgaver som måldefinisjoner, måloppnåelse/resultat, planarbeid og opplæring. Oppgaver: IKT-sikkerhetsutvalget skal utarbeide og revidere policy(mål og strategi), prosedyrer og instrukser som innfrir Datatilsynets krav til informasjonssikkerhet i samsvar med 13 i personopplysningsloven. Dette arbeidet vil omfatte: DEL 1 Policy-dokument (mål og strategier) Organisering av sikkerhetsarbeidet Prosedyrer for o oversiktskartlegging og sikring av personalopplysninger o risikovurdering o sikkerhetsrevisjon o ledelsesgjennomgang o konfigurasjon av tekniske løsninger o avviksbehandling o partnere og leverandører o personellsikkerhet Hovedhåndbok for informasjonssikkerhet Gyldig fra:

10 o fysisk sikkerhet o brukerinstruks o eventuelle øvrige dokumenter Prosedyrer for internkontroll etter 14 i personopplysningsloven. DEL 2 Sammen med sikkerhetsansvarlig skal utvalget bidra til at prosedyrer, retningslinjer og rutiner gjøres kjent i organisasjonen ved at utvalget: utformer strategi for informasjonsformidling innkaller til møter og reserverer ressurser bidrar aktivt i undervisning bidrar i datafangst DEL 3 Sammen med sikkerhetsansvarlig og personvernombudet skal utvalget: planlegger kontrolltiltak/interne kvalitetsrevisjoner Gjennomføre kontroller og rapportere disse til rådmann DEL 4 Vurdere behov for risikovurderinger av dataprogrammer og andre risikoområder. 6. Systemeier For IT-system som er felles for flere enheter skal rådmannen utpeke/gi autorisasjon til en systemeier. Enhetsleder er systemeier for fagsystemer som brukes kun i egen enhet. Systemeier har i samarbeid med IKT-ansvarlig ansvar for: 1. nye versjoner som skal installeres 2. å ha kontakt med leverandør av IT-systemet vedrørende systemets funksjonalitet (nye ønsker, nye krav, feilrapportering o.l.) 3. å ha kontakt med leverandør av IT-systemet vedrørende bruker-, system-, produksjons- og driftsdokumentasjon, slik at denne er på plass og fortløpende ajourholdt i samarbeid med IKT-ansvarlig 4. gi fysisk tilgang til datasystemet etter skriftlig autorisasjon fra enhetsleder Dokumentreferanse Systemeiere for programmer (VI.2-16) 7. Medarbeidere Informasjonssikkerheten er hver enkelt medarbeiders ansvar, da alle er avhengig av at kommunen fungerer effektivt og sikkert for å kunne nå sine mål. Et effektivt IS-arbeide bygger på alle medarbeideres lojale holdning, medvirkning og initiativ. Alle medarbeidere skal: 1. forstå betydningen av IS i forbindelse med eget arbeid 2. praktisere og etterleve vedtatte IS-tiltak, ta opp svakheter og foreslå forbedringer 3. være ansvarlig for kvaliteten av det arbeid de utfører 4. sette seg inn i brukerinstruksen og dokumentet Mål og strategi for informasjonssikkerheten i Harstad kommune samt bestemmelser om vilkårene for behandling av personopplysninger( 8) og sensitive personopplysninger( 9), grunnkravene til behandlingen( 11), rett til innsyn( 18), informasjonsplikten( 19 og 20), mangelfulle opplysninger og rett til sletting eller retting( 27 og 28).overholde taushetspliktregler og sikkerhetsbestemmelser Hovedhåndbok for informasjonssikkerhet Gyldig fra:

11 5. Sikkerhetsmål og sikkerhetsstrategi Kommunens sikkerhetsmål og sikkerhetsstrategi(policy) er beskrevet i dokumentet: VI.1-2 MÅL OG STRATEGI FOR INFORMASJONSSIKKERHET I HARSTAD KOMMUNE 6. Oversikt over helse- og personopplysninger 6.1 Loven POL 13 Informasjonssikkerhet- Den behandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. For å oppnå tilfredsstillende informasjonssikkerhet skal den behandlingsansvarlige og databehandleren dokumentere informasjonssystemet og sikkerhetstiltakene. 6.2 Formål Formålet er å ha oversikt over alle helse- og personregistre i kommunen og sikre at registrene er i samsvar med kravene i personopplysningsloven og helseregisterloven. Dessuten kan oversikten benyttes som underlag ved risikovurderinger. 6.3 Beskrivelse Enhetene skal utarbeide og holde oppdatert oversikt over de helse- og personopplysninger som behandles. Oppdateringen skal foretas ved endringer og minimum én gang i året og også omfatte endringer i de lagrede dataene som inneholder helse- og personopplysninger. Oversikten danner grunnlag for utarbeidelse av kommunens sikkerhetsmål og - strategi. Alle enheter skal ta med i oversikten alle dataprogram og manuelle registre med lagrede helse- og personopplysninger som benyttes av enheten. Oversikten over helse- og personopplysninger som behandles skal gi kortfattet informasjon om: hvilke opplysninger som lagres og formålet med behandlingen, POL 11 hjemmelsgrunnlag for å lagre informasjonen (det er noen få formål som er hjemlet i særlov, f.eks. lov om sosiale tjenester, ellers er formålet hjemlet i personopplysningslovens 8 el.9) klassifikasjon av hvorvidt personopplysningene er sensitive eller ikke teknologiske sikkerhetstiltak med angivelse av sone eller nettverk hvor opplysningene lagres og om de overføres via eksterne media registerets omfang(antall registrerte) sikring av konfidensialitet (inkl. kryptering og sletting), POF, 2.11 sikring av tilgjengelighet (inkl. backup og alternativ drift), POF 2.12 sikring av integritet (uautorisert eller utilsiktet endring av helse- og personopplysninger-inkl. ødeleggende program), POF 2.13 sikring av kvalitet HEL 16 De 3(4) siste kolonner i skjema for oversikt over personregistre skal inneholde en vurdering av konfidensialitet, tilgjengelighet, integritet og kvalitet(helseregister) for hvert register. Hver celle i disse kolonnene skal minimum inneholde et kryss(x) som viser at registrene er vurdert som tilstrekkelig sikret i henhold til Hovedhåndbok for informasjonssikkerhet Gyldig fra:

12 personopplysningslovens evt. helseregisterlovens krav Sikring av konfidensialitet Bestemmelsen pålegger den behandlingsansvarlige å hindre uautorisert innsyn i helse- og personopplysninger. Også informasjon om informasjonssystemet og om sikkerhetstiltak skal sikres mot uautorisert tilgang når dette kan få betydning for informasjonssikkerheten. Valg av hvilke opplysninger som det skal sikres konfidensialitet for, og hvilke sikkerhetstiltak som må etableres, følger av resultatet av risikovurderingen. Den behandlingsansvarlige skal ved kryptering eller på annen måte sørge for nødvendig konfidensialitet ved overføring av helse- og personopplysninger i offentlige telenett. Reglene for kryptering gjelder også for overføring via private datalinjer som er utenfor det området kommunen har sikret mot uautorisert adgang, jf I slike tilfeller skal kryptering velges som nødvendig erstatning for konfidensialitetssikring som normalt oppnås ved fysisk sikring. Eksempel på annen sikring enn kryptering kan være anonymisering eller oppsplitting av teksten slik at teksten kun gir mening når en har tilgang til hele teksten. Ved avhending av lagringsmedia skal helse- og personopplysninger slettes fullstendig og permanent fra lagringsmediet, slik at det ikke er mulig, selv ved bruk av tekniske hjelpemiddeler, å gjenopprette tilgang til opplysningene. Som alternativ til sletting kan det være nødvendig å destruere lagringsmediet fysisk. Kontakt IKTseksjonen for nærmere informasjon Sikring av tilgjengelighet Bestemmelsen pålegger den behandlingsansvarlige å sikre nødvendig innsyn i opplysninger slik at behandling av helse- og personopplysninger kan gjennomføres som besluttet. Det skal også sikres tilgang til informasjon om informasjonssystemet og om sikkerhetstiltak når dette er nødvendig for sikkerhetsarbeidet. Valg av hvilke opplysninger som det skal sikres tilgjengelighet for, og hvilke sikkerhetstiltak som må etableres, følger av resultatet av risikovurderingen. For helse- og personopplysninger som det skal sikres tilgjengelighet for, må den behandlingsansvarlige forberede alternativ behandling for de tilfeller informasjonssystemet ikke er tilgjengelig. Alternativ behandling kan gjennomføres ved duplisering av utstyr/program, eller ved hjelp av manuelle behandlingsprosedyrer. Den behandlingsansvarlige skal reservekopiere (ta backup av) personopplysningene. Kravet til reservekopiering gjelder også for annen informasjon når dette er nødvendig for sikkerhetsarbeidet, eksempelvis for program og innstillinger av program benyttet i sikkerhetstiltak Sikring av integritet Bestemmelsen pålegger den behandlingsansvarlige å hindre uautorisert eller utilsiktet endring av helse- og personopplysninger. Også informasjon om informasjonssystemet og om sikkerhetstiltak skal sikres mot uautorisert endring når dette er nødvendig for informasjonssikkerheten. Valg av hvilke opplysninger som det skal sikres integritet for, og hvilke sikkerhetstiltak som må etableres, følger av resultatet av risikovurderingen. Den behandlingsansvarlige skal sørge for beskyttelse mot ødeleggende program, Hovedhåndbok for informasjonssikkerhet Gyldig fra:

13 eksempelvis datavirus eller malicious software. Slike program kan påvirke integritet for program benyttet for behandling av helse- og personopplysninger eller i sikkerhetstiltak, og medføre driftsforstyrrelser og gjøre informasjonssystemet utilgjengelig Sikring av kvalitet(helseregisterloven) Helse- og personopplysninger skal henføres til rett identifisert person. Helse- og personopplysninger skal føres i henhold til kodeverket. Helse- og personopplysninger skal være fullstendige og ajourført i forhold til behandlingen av opplysningene. Dokumentreferanse: V01 Oversikt personregistre-mal (VI.2-2) 6.4 Klassifisering Autorisasjon til å behandle klassifisert informasjon Status som ansatt gir ikke selvsagt tilgang til alle typer informasjon. Helse- og personopplysninger skal kun gis til ansatte når de har bruk for slik informasjon i sitt daglige arbeide, eller når de skal utføre spesielle oppgaver. Informasjon klassifisert Sensitive personopplysninger skal kun behandles av spesielt autoriserte personer. Enhetsleder er ansvarlig for skriftlig autorisasjon til dataregister og manuelle arkiv av ansatte i egen enhet og skal ha en oversikt over hvem som er godkjent og for hva(bl.a. kopi av autorisasjonsskjema) Merking av datamedier med klassifisert informasjon Sensitive personopplysninger skal i utgangspunktet lagres i sikker sone i kommunens nettverk. Helse- og personopplysninger skal primært lagres i kommunens nettverk og ikke på eksterne medier. Dersom eksterne elektroniske medier benyttes, skal disse(frittstående pc, kassetter, bånd, CD er, USB-penner ol.) merkes. Lagringsmedier skal i utgangspunktet oppbevares i spesielle soner hvor adgangen er kontrollert og sterkt begrenset. Pc merkes på kabinett, kassett merkes på kassett og etui, cd merkes på plate og etui, og diskett og USB-penn merkes med etikett. Datamediene skal være merket i samsvar med den høyeste klassifisering av informasjon lagret på mediet. Merkingen skal være kodet. De beholder sin klassifisering inntil de er slettet eller tilintetgjort iht. godkjente metoder, eller til informasjonen er nedklassifisert. Ved omklassifisering eller oppheving av klassifisering må merkingen endres tilsvarende. 6.5 Ansvar Enhetsleder har ansvar for at oversikten over personregistre er oppdatert til enhver tid og at datamedier med klassifiser informasjon er merket Hovedhåndbok for informasjonssikkerhet Gyldig fra:

14 7. Risikovurderinger 7.6 Loven POF 2-4 Risikovurderinger- Det skal føres oversikt over hva slags personopplysninger som behandles. Virksomheten skal selv fastlegge kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. Den behandlingsansvarlige skal gjennomføre risikovurdering for å klarlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Resultatet av risikovurderingen skal sammenlignes med de fastlagte kriterier for akseptabel risiko forbundet med behandling av personopplysninger, jf. første ledd og 2-2 Resultatet av risikovurderingen skal dokumenteres. 7.7 Formål Formålet med risikovurdering er å undersøke hvorvidt den risiko som avdekkes er innenfor de akseptkriterier kommunen har fastlagt. 7.8 Beskrivelse Kommunen skal utføre risikovurdering med formål å få en oversikt over hvilken risiko virksomheten er utsatt for med eksisterende løsning. Det er viktig å få frem hvilke trusler som er mest sannsynlige å kunne inntre, og derigjennom hvor effektive sikkerhetstiltakene er, samt hvilken skade truslene kan påføre virksomheten og den enkelte. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Grundighet/omfang av risikovurderingen bestemmes ut fra den enkelte situasjon som skal vurderes. Eksempler på forhold som kan kreve ny risikovurdering og godkjenning fra rådmannen: Endring i klassifikasjon av opplysningene Organisasjonsendringer Tekniske og bygningsmessige endringer Endret konfigurasjon Ekstern overføring av nye typer opplysninger Nye partnere eller leverandører Risikovurderinger skal gi følgende resultat: oversikt over identifiserte trusler angivelse av sannsynlighet for at en uønsket hendelse kan inntreffe angivelse av konsekvenser av en uønsket hendelse resultat fra vurderingene av sikkerhetstiltakenes effekt i forhold til risiko 7.9 Ansvar Enhetsleder har ansvar for iverksetting av risikovurdering. Resultat fra analysen rapporteres til sikkerhetsansvarlig som rapporterer videre til rådmannen. Resultat av risikovurdering skal sammenlignes med de fastlagte kriterier for akseptabel risiko forbundet med behandlingen av helse- og personopplysninger. Resultatet benyttes som del av grunnlaget for valg av de konkrete sikkerhetstiltak som må etableres. Hovedhåndbok for informasjonssikkerhet Gyldig fra:

15 Rådmannen godkjenner eventuelle sikkerhetstiltak og akseptabel risiko. Denne godkjenningen skal dokumenteres. Forøvrig henvises til Datatilsynets egen: Risikovurdering av informasjonssystem med utgangspunkt i forskrift om behandling av personopplysninger. Dokumentreferanse: V05 Risikovurderinger-mal (II.2-16) Hovedhåndbok for informasjonssikkerhet Gyldig fra:

16 8. Sikkerhetsrevisjon 8.1 Loven POF 2-5 Sikkerhetsrevisjon - Sikkerhetsrevisjon av bruk av informasjonssystemet skal gjennomføres jevnlig. Sikkerhetsrevisjon skal omfatte vurdering av organisering, sikkerhetstiltak og bruk av kommunikasjonspartner og leverandører. Dersom sikkerhetsrevisjonen avdekker bruk av informasjonssystemet som ikke er forutsatt, skal dette behandles som avvik, jf Resultatet fra sikkerhetsrevisjon skal dokumenteres. 8.2 Formål Formålet med sikkerhetsrevisjon er å sikre at besluttet sikkerhetsmål, -strategi og organisering etterleves i hele kommunen. 8.3 Beskrivelse Sikkerhetsrevisjon skal gjennomføres jevnlig slik at alle deler av kommunen kontrolleres. I Harstad kommune gjennomføres sikkerhetsrevisjonen som en del av kommunens interne kvalitetsrevisjon. Sikkerhetsansvarlig og personvernombud skal periodisk foreta sikkerhetskontroller i tillegg. Ved gjennomføring av kontrollen skal bl.a. følgende elementer gjennomgås: enhetens oversikt over personregistre autorisasjon av arbeidstakerne opplæring av ansatte gjennomgang av avvik registrert siden forrige kontroll Resultat av sikkerhetsrevisjon danner grunnlag for eventuelle endringer i sikkerhetsmål, -strategi og organisering, og inngår i underlaget for ledelsens gjennomgang av informasjonssystemet og informasjonssikkerheten. Personvernombudet tar gjennom sine kommunebesøk stikkprøver i organisasjonen. På bakgrunn av dette lages felles rapport som leveres kommunens ledelse v/rådmann. 8.4 Ansvar Rådmannen har ansvar for iverksetting av sikkerhetsrevisjon. Gjennomføringen bør utføres slik at den som leder kontrollen ikke selv er ansvarlig for den del av kommunen som kontrolleres. Resultat fra sikkerhetsrevisjon rapporteres rådmannen. Eventuelle avvik avdekket i sikkerhetsrevisjon, behandles i samsvar med kommunens avvikssystem. Sikkerhetsansvarlig har ansvar for at sikkerhetsrevisjon gjennomføres i forbindelse med kommunens interne kvalitetsrevisjoner av enhetene. Hovedhåndbok for informasjonssikkerhet Gyldig fra:

17 9. Ledelsens gjennomgang. 9.1 Loven POF 2-3. Sikkerhetsledelse - Den som har den daglige ledelsen av virksomheten som den behandlingsansvarlige driver, har ansvar for at bestemmelsene i dette kapittelet følges. Formålet med behandling av personopplysninger og overordnede føringer for bruk av informasjonsteknologi, skal beskrives i sikkerhetsmål. Valg og prioriteringer i sikkerhetsarbeidet skal beskrives i en sikkerhetsstrategi. Bruk av informasjonssystemet skal jevnlig gjennomgås for å klarlegge om den er hensiktsmessig i forhold til virksomhetens behov, og om sikkerhetsstrategien gir tilfredsstillende informasjonssikkerhet som resultat. Resultatet fra gjennomgangen skal dokumenteres og benyttes som grunnlag for eventuell endring av sikkerhetsmål og strategi. 9.2 Formål Oppsummere status for informasjonssikkerhetsarbeidet i kommunen Sikre at mål, organisering og handlingsplan er i samsvar med gjeldende lover og forskrifter Foreta eventuelle revisjoner 9.3 Beskrivelse Gjennomgangen gjøres i møte i overordnet kvalitetsutvalg ledelsens gjennomgang. Møte skal ende opp med en handlingsplan hvilke forhold skal bringes under kontroll hvilken risiko skal vi akseptere. Akseptert risiko innebærer at kommunen tar på seg ansvaret som selvassurandør overfor bestemte hendelser. Grunnlag for gjennomgangen: registrerte avvik rapporter fra offentlige tilsyn resultater fra sikkerhetsrevisjon(interne kvalitetsrevisjoner og kontroller) endringer i lover og forskrifter endringer i type register som kommunen skal behandle endringer i trusselbildet som kommer fram i gjennomførte risikovurderinger ny funksjonalitet eller utvidet bruk organisatoriske endringer bygningsmessige endringer 9.4 Ansvar Rådmannen ved sikkerhetsansvarlig. Dokumentreferanse: Prosedyre for ledelsens gjennomgang Rapport fra ledelsens gjennomgang for 2010 med tiltaksplan (I ) Hovedhåndbok for informasjonssikkerhet Gyldig fra:

18 10. Konfigurasjon Loven POF 2-7. Organisering, 2. og 3. ledd Informasjonssystemet skal konfigureres slik at tilfredsstillende informasjonssikkerhet oppnås. Konfigurasjonen skal dokumenteres og ikke endres uten autorisasjon fra den behandlingsansvarliges daglige leder 10.2 Formål Formålet med konfigurasjonskontrollen er å sikre at utstyr og program fungerer sammen som forutsatt, samt at kommunen til enhver tid har en oppdatert oversikt over informasjonssystemets konfigurasjon, bl.a. til bruk ved risikovurderinger, egenkontroll, ledelsens gjennomgang av informasjonssystemet og av informasjonssikkerheten mv. Sikre at konfigurasjonsendringer er i samsvar med besluttet sikkerhetsstrategi, og at informasjonssystemet fungerer som forutsatt også etter at endringen er gjennomført Beskrivelse Informasjonssystemet skal konfigureres slik at tilfredsstillende informasjonssikkerhet oppnås. Konfigurasjonskontrollen omfatter all programvare, servere, nettverksutstyr, eksterne tilkoblinger som kommunen disponerer. Det samme gjelder koblinger mot eksterne partnere. Kun utstyr eller program eiet / disponert av kommunen skal inngå i konfigurasjonen. Dette gjelder også utstyr eller program benyttet på hjemmekontor. Viktige forhold som må komme klart frem er: Brukere skal skilles mht nettverkstilgang for kun å nå opplysninger de er autorisert for. Dette løses vanligvis med en intern og en sikret sone hvor sikker sone er skilt fra eksterne nett med minimum to sikkerhetsbarriere All aktivitet skal initieres fra sikker til intern sone (og til eksterne nett) Plassering av servere i sikker og intern sone Tilgang eksterne nett (Internett og andre) Tilgang partnere og leverandører Kontroll med ekstern og intern e-post (eks. viruskontroll) Kontroll med Internett trafikk E-post løsning Ekstern overføring av sensitive personopplysninger Geografiske steder kommunen er plassert Harstad kommune har igangsatt en hjemmekontorløsning som heter Citrix secure gateway. Løsningen baserer seg på bruk av safeword brikker som genererer 8- siffers pinkoder som passord mot nettverket i tillegg til brukerid og vanlig passord. Pålogging til HK s nettverk skal da være meget sikker Konfigurasjonsendring Endringer i informasjonssystemets konfigurasjon skal utføres planmessig og systematisk.. Formålet er å sikre at konfigurasjonsendringer er i samsvar med besluttet sikkerhetsstrategi, og at informasjonssystemet fungerer som forutsatt også etter at endringen er gjennomført. Sentrale elementer ved endring av konfigurasjonen er: Hovedhåndbok for informasjonssikkerhet Gyldig fra:

19 behovs- og kompatibilitetsanalyse risikovurderinger dersom endringen vil kunne få innvirkning på informasjonssikkerheten utprøving og testing 10.5 Ansvar IKT-ansvarlige har ansvar for utforming og vedlikehold av konfigurasjonene. Kommunens eksterne IKT-partnere kan også gi et viktig bidrag til utformingen av konfigurasjon og vedlikeholde endringer. Ved outsourcing eller kommunevertskap (databehandler) av driftstjenester på vegne av kommunen skal det finnes egne avtaler som regulerer dette. (ServiceLeverings Avtale SLA) IKT-ansvarlig skal utarbeide en teknisk beskrivelse av informasjonssystemet, inkludert tegning av den IT-tekniske løsningen og komponentliste, som er oppdatert til enhver tid. Videre skal utstyr eller programmer med betydning for informasjonssikkerheten, herunder tekniske sikkerhetsbarrierer, dokumenteres. Slik dokumentasjon skal omfatte: navn eller modellbetegnelse, og serienummer eller versjonsnummer sikkerhetsfunksjoner med opplysninger om oppsett/innstilling av utstyr/program når utstyret ble tatt i bruk, eller når utstyret ble tatt ut av bruk opplysninger om vedlikehold, skade, funksjonsfeil, reparasjoner. Dokumentasjon av sikkerhetsløsning skal omfatte de kravene som er inntatt i kommuneveilederens kapittel 18. Den tekniske beskrivelsen med konfigurasjonskart skal kunne framlegges av IKT-ansvarlig ved tilsyn, intern kvalitetsrevisjon og kontroll. 11. Avviksbehandling 11.1 Loven POF 2-6 avviksbehandling - Bruk av informasjonssystemet som er i strid med fastlagte rutiner, og sikkerhetsbrudd, skal behandles som avvik. Avviksbehandlingen skal ha som formål å gjenopprette normal tilstand, fjerne årsaken til avviket og hindre gjentagelse. Dersom avviket har medført uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig, skal Datatilsynet varsles. Resultatet fra avviksbehandling skal dokumenteres 11.2 Formål Formålet med avviksbehandling er å bringe avviket til opphør, gjenopprette normal tilstand, og hindre gjentagelse. Dersom det ikke er samsvar mellom fastlagte prosedyrer og hvordan informasjonssystemet faktisk benyttes, skal resultatet fra avviksbehandling benyttes som grunnlag ved gjennomgang og endring av de aktuelle prosedyrer Beskrivelse Dersom informasjonssystemet benyttes i strid med fastlagte prosedyrer, ved brudd på informasjonssikkerhet, samt mistanke om sikkerhetsbrudd, skal kommunen iverksette avviksbehandling. Kommunens elektroniske avviksystem og avviksprosedyre skal benyttes. Hovedhåndbok for informasjonssikkerhet Gyldig fra:

20 Eksempler på situasjoner som gjør det nødvendig å iverksette avviks-behandling: ved utilsiktet utlevering av helse- og personopplysninger, eller ved mistanke om slik utlevering når medarbeidere benytter informasjonssystemet uten autorisasjon når medarbeidere benytter informasjonssystemet uten den opplæring som er forutsatt ved feil i utstyr eller program som kan ha innvirkning på informasjonssikkerheten eller driften av informasjonssystemet når et datasystem er nede over tid(kortvarige nedetider meldes ikke) For de tilfeller der avviksbehandlingen har avdekket uautorisert utlevering av helseog personopplysninger hvor konfidensialitet er nødvendig, skal Datatilsynet meddeles resultatet fra avviksbehandlingen Ansvar Den enkelte medarbeider har ansvar for å registrere avvik. Enhetsleder har ansvar for å behandle avvik. Hovedhåndbok for informasjonssikkerhet Gyldig fra:

21 12. Partnere og leverandører 12.1 Loven POL 15. Databehandlerens rådighet over personopplysninger En databehandler kan ikke behandle personopplysninger på annen måte enn det som er skriftlig avtalt med den behandlingsansvarlige. Opplysningene kan heller ikke uten slik avtale overlates til noen andre for lagring eller bearbeidelse. I avtalen med den behandlingsansvarlige skal det også gå frem at databehandleren plikter å gjennomføre slike sikringstiltak som følger av 13. POF Sikkerhet hos andre virksomheter (utdrag) 12.2 Formål 1. ledd - Den behandlingsansvarlige skal bare overføre personopplysninger elektronisk til den som tilfredsstiller kravene i forskriften her. 3. ledd - Leverandører som gjennomfører sikkerhetstiltak, eller gjør annen bruk av informasjonssystemet på den behandlingsansvarliges vegne, skal tilfredsstille kravene i dette kapittelet. 4. ledd - Den behandlingsansvarlige skal etablere klare ansvars- og myndighetsforhold overfor kommunikasjonspartnere og leverandører. Ansvars- og myndighetsforhold skal beskrives i særskilt avtale. 5. ledd - Den behandlingsansvarlige skal ha kunnskap om sikkerhetsstrategien hos kommunikasjonspartnere og leverandører, og jevnlig forsikre seg om at strategien gir tilfredsstillende informasjonssikkerhet. Sikre helse- og personopplysninger som en databehandler/leverandør er i besittelse av eller blir eksponert for på en slik måte at konfidensialitet, integritet og tilgjengelighet blir tilfredsstillende ivaretatt Beskrivelse 1. Det skal inngås skriftlig avtale mellom kommunen og databehandler eller leverandører som gjennomfører sikkerhetstiltak, eller gjør annen bruk av informasjonssystemet på den behandlingsansvarliges vegne. 2. En slik avtale skal omfatte alle personer hos databehandler/leverandør som eksponeres eller er forvalter av personopplysningene. 3. Avtalen omfatter både helse- og personopplysninger i behandlingsansvarliges lokaler og hos databehandler/leverandør. 4. Målgruppe er bestiller hos behandlingsansvarlig og ledelse og ansatte hos databehandler/leverandør Avtalen skal utformes i samsvar med minimumskravene i Datatilsynets veileder 12.4 Ansvar 1. Rådmannen er ansvarlig for alle helse- og personopplysninger enten de befinner seg i egne lokaler, blir kommunisert eller befinner seg hos databehandler/leverandør. 2. Enhetsleder for personal- og organisasjonsenheten ved IKT-ansvarlig har ansvar for at avtale er inngått mellom kommunen og alle databehandlere/leverandører som gjennomfører sikkerhetstiltak, eller gjør annen bruk av informasjonssystemet på den behandlingsansvarliges vegne. 3. Databehandler/leverandør kan kun behandle personopplysningene slik som Hovedhåndbok for informasjonssikkerhet Gyldig fra:

22 avtalen forutsetter. 4. Enhetsleder for personal- og organisasjonsenheten IKT-ansvarlig skal kreve dokumentasjon på at POL 13 blir innfridd av databehandler/leverandør, jmf. POL 15 andre ledd. Dokumentasjonen skal oppbevares for eventuell kontroll/tilsyn. 5. Gjennom sine kontrolltiltak skal enhetsleder for personal- og organisasjonsenheten ved IKT-ansvarlig kontrollere at databehandlers/leverandørs strategier etterleves i praksis, jmf. POF ledd. Valg av partner og leverandør, og inngåelse av kontrakt, kan utføres av innkjøpansvarlig, eventuelt av IKT-ansvarlig. IKT-ansvarlig skal godkjenne innkjøp av alt utstyr som skal brukes i Harstad kommunes datanettverk. Dette for å unngå problemer med installasjon og drift av utstyret. Dersom en leverandør skal fjernkommunisere med nettverket til Harstad kommune via internett skal IKT-seksjonen kontaktes i forkant slik at kommunikasjonen kan klargjøres på en sikker måte. HK setter opp hjemmekontorløsning mot leverandør med konfigurasjon som gir de rette tilganger. Konsulent på HK taster på kodebrikke hjemmekontor og forteller hvilken kode leverandør skal taste.(kommer faktaark om eksterne tilganger-sos. og helsedir.) Leverandøren gir beskjed til IKT-seksjonen med en gang de er ferdig med jobben slik at forbindelsen kan termineres. Dokumentreferanse: V03 Taushetserklæring for leverandører, partnere og tilfeldige håndtverkere (VI.2-4) V09 Leverandøroversikt (VI.2-13) Hovedhåndbok for informasjonssikkerhet Gyldig fra:

23 13. Personellsikkerhet 13.1 Loven POF 2-8, siste avsnitt - Medarbeiderne skal ha nødvendig kunnskap for å bruke informasjonssystemet i samsvar med de rutiner som er fastlagt Formål Sikre at medarbeidere som bruker, administrerer, vedlikeholder eller utvikler informasjonssystemene eller på annen måte påvirker informasjonssikkerheten, skal ha nødvendig kompetanse til å utføre pålagte oppgaver Beskrivelse God sikkerhet forutsetter god opplæring/kompetanse og motiverte ansatte. Kommunen skal gi nødvendig opplæring som sørger for at samtlige ansatte forstår filosofien, målsettingen, tiltakenes nødvendighet og sin egen rolle i helheten. Opplæringen omfatter minimum en gjennomgang av dokumentene mål og strategi for informasjonssikkerhet, brukerinstruks for informasjonssikkerhet og personopplysningslovens bestemmelser om vilkårene for behandling av personopplysninger( 8) og sensitive personopplysninger( 9), grunnkravene til behandlingen( 11), rett til innsyn( 18), informasjonsplikten( 19 og 20), mangelfulle opplysninger og rett til sletting eller retting( 27 og 28). Enhetsleder skal sørge for at loven er tilgjengelig for de ansatte. De ansatte skal skrive under på at dokumentene er gjennomgått og forstått, jfr. Vedlagt skjema 13.4 Ansvar Rådmannen har ansvar for å godkjenne system for opplæring av medarbeiderne. Enhetsleder har ansvar for gjennomføring av opplæringen. Det er den enkelte medarbeiders ansvar å følge opp og praktisere vedtatte regler og sikringstiltak. Dette innebærer årvåkenhet i det daglige arbeid, og dersom uregelmessigheter oppdages skal nærmeste overordnede ha beskjed, snarest mulig ved bruk av kommunens avvikssystem. Hovedhåndbok for informasjonssikkerhet Gyldig fra:

24 14. Autorisasjon 14.1 Loven POF 2-8, første og siste ledd - Medarbeidere hos den behandlingsansvarlige skal bare bruke informasjonssystemet for å utføre pålagte oppgaver, og selv være autorisert for slik bruk. Autorisert bruk av informasjonssystemet skal registreres. POF 2-9, Taushetsplikt - Medarbeidere hos den behandlingsansvarlige skal pålegges taushetsplikt for personopplysninger hvor konfidensialitet er nødvendig. Taushetsplikten skal også omfatte annen informasjon med betydning for informasjonssikkerheten Formål Formålet er å sikre at de som får adgang til områder og utstyr og tilgang til soner, data og program, til enhver tid har den autorisasjon som er nødvendig i forhold til tjenstlige behov Beskrivelse Det skal bare gis adgang til områder eller tilgang til soner, data og program i den grad det er nødvendig for å utføre pålagte oppgaver i henhold til vedtatt sikkerhetsstrategi. Atorisasjonstildelingen skal omfatte: autorisasjon av nytilsatte, vikarer og partnere i samsvar med tjenstlige behov behov for endringer ved forandring av oppgaver, herunder sletting av autorisasjon når tjenstlige behov ikke lenger er tilstede, for eksempel når en medarbeider slutter i kommunen kontroll med at tildelte autorisasjoner fungerer etter forutsetningene følge opp uregelmessigheter som f.eks. bruk av feil passord. Autorisasjonsansvarlig skal ikke være samme person som den som gir tilgang til et IT-system med ident og passord, eller tilgang/nøkler til et papirarkiv. 1. Enhetsleder skal fylle ut autorisasjonsskjema med eventuelle tilleggsskjemaer for ansatte som skal ha tilgang til elektroniske helse- og personregistre. 2. Skjemaet sendes IKT-seksjonen som gir fysisk tilgang til IT-systemene. Eget tilleggsskjema for fysisk tilgang til Profil sendes den som har begrenset systemansvar for Profil, Eget tilleggsskjema for fysisk tilgang til Fakturabehandling sendes systemansvarlig for Fakturabehandling. 3. Enhetsleder skal trekke tilbake autorisasjoner når medarbeidere slutter eller ikke lengre har tjenstlige behov for autorisasjonen. 4. Enhetsleder skal oppbevare kopi av autorisasjonsskjemaet Personell med periodisk arbeid Dette er personell fra bedrifter kommunen har faste avtaler med: konsulenter fra ulike leverandører teknikere, håndverkere vikarer vakter Hovedhåndbok for informasjonssikkerhet Gyldig fra:

25 rengjøringspersonell studenter og praktikanter Av hensyn til kommunen og kommunens faste medarbeidere skal også personell med periodisk arbeid ved kommunen underlegges nødvendig personkontroll; dvs de skal ha klare regler å forholde seg til med hensyn til hva de skal og kan gjøre, hvor de kan oppholde seg, hvilke informasjoner de kan få tilgang til - og hvilke konsekvenser eventuelle sikkerhetsbrudd kan få. Innleide konsulenter, vikarer og rengjøringspersonell skal i tillegg undertegne taushetserklæring; en slik prosedyre vil også kunne ha klare sikkerhetsmessige preventive virkninger. IKT-ansvarlig og respektive enhetsledere er ansvarlige for gjennomføringen av dette. Teknisk personell fra andre bedrifter, håndverkere etc skal behandles som besøkende og hentes og følges under arbeidet, med mindre den enhetsleder som har ansvaret for arbeidet gir dispensasjon. Teknikere, håndverkere etc skal heller ikke oppholde seg i kommunens lokaler etter normal arbeidstid med mindre dette er strengt nødvendig og avtalt på forhånd. I så fall skal slikt personell som hovedregel følges av fast ansatt personell Endring av arbeidsforhold/ansvar Ved endringer av ansvar eller organisasjonsmessig tilhørighet internt skal brukerens tilganger i informasjonssystemet vurderes. IKT-seksjonen/øvrige skal informeres om eventuelle relevante endringer i behov for tilgang på informasjonssystemene. Enhetsleder skal oppbevare kopi av alle meldte endringer. Enhetsleder har ansvar for å gjennomgå brukertilganger i egen enhet hvert år og gi melding til IKT-seksjonen hvis brukere skal slettes ved bruk av meldingsskjemaet Sikkerhetsbrudd Ved sikkerhetsbrudd skal tilgangsstyringen for det informasjonsområdet som blir berørt av bruddet kontrolleres Ansvar Enhetsleder er autorisasjonsansvarlig for elektroniske og manuelle arkiv innen sitt ansvarsområde og er ansvarlig for at taushetsplikt blir undertegnet. Den enkelte ansatte i kommunen har selv ansvaret for sikkerheten på eget kontor/egen arbeidsplass. Dette innebærer at uvedkommende ikke skal kunne få tilgang til lagrede elektroniske helse- og personopplysninger, ei heller til dokumenter med helse- og personopplysninger som ligger på kontoret/arbeidsplassen. IKT-ansvarlig/øvrige har ansvar for fysisk tildeling av tilgang og tilbakekalling av tilgang til IT-systemene. Dokumentreferanse: Oppretting/Sletting av bruker på nettet-elektronisk skjema Hovedhåndbok for informasjonssikkerhet Gyldig fra:

26 15. Fysisk sikkerhet 15.1 Loven POF 2-10 Fysisk sikring - Det skal treffes tiltak mot uautorisert adgang til utstyr som brukes for å behandle personopplysninger etter forskriften her. Sikkerhetstiltakene skal også hindre uautorisert adgang til annet utstyr av betydning for informasjonssikkerheten. Utstyr skal installeres slik at ikke påvirkning fra driftsmiljøet får betydning for behandlingen av personopplysninger Formål Sikre at uvedkommende ikke får tilgang helse- og personopplysninger Beskrivelse Enhetsleder skal sørge for at egne lokaler og utstyr er forsvarlig sikret, med spesiell vekt på de rom hvor det er plassert utstyr benyttet for behandling av sensitive personopplysninger, eller for sikring av slike (eksempelvis tjenermaskin, kommunikasjons- og nettverksenheter). Den fysiske sikringen av behandling av sensitive personopplysninger er en vesentlig del av det totale sikkerhetssystemet. Trusler som kan utløses ved for dårlig fysisk sikring kan bl.a. være: at uvedkommende får tilgang til utstyr hvor sensitive personopplysninger behandles tyveri av PC-er eller sikkerhetskopier på dagtid eller ved innbrudd utenom arbeidstiden sabotasje eller hærverk mot vitale deler av IT-systemet. Selv om ingen kan sikre seg 100% mot uautorisert adgang, må de sikkerhetsløsninger som velges være slik at forsøk på inntrenging faktisk blir oppdaget. De bør også være gode nok til at et forsøk forsinkes tilstrekkelig til at respons på utløst alarm kan ha mulighet til å avverge eller begrense konsekvensene av sikkerhetsbrudd Adgangskontroll Adgang til lokaler og utstyr hvor helse- og personopplysninger behandles skal kontrolleres. Det gjelder spesielle sikringstiltak der hvor det behandles sensitive personopplysninger eller der man har informasjon om sikring av slike opplysninger Adgang til område Ved bruk av områdesikring med adgangskontroll der sensitive personopplysninger behandles, skal det kontrolleres at kun autorisert personell har selvstendig adgang til disse. Dette innebærer følgende: områder der sensitive personopplysninger behandles skal være kontrollert av adgangskontrollsystem(nøkkelsystem) før nøkkelansvarlig tildeler den enkelte nøkler og koder for adgang, skal skriftlig autorisasjon fra enhetsleder mottas tildelte adgangsrettigheter skal begrenses til det som er nødvendig ut fra tjenstlig behov, og skal alltid fjernes når arbeidsforholdet opphører besøkende skal alltid følges av medarbeider som er autorisert for adgang til området, og skal aldri etterlates alene i slike områder. Hovedhåndbok for informasjonssikkerhet Gyldig fra: