Styringsdokument for personvern, informasjonssikkerhet og beredskap

Transkript

1 Styringsdokument for personvern, informasjonssikkerhet og beredskap i Arbeids- og velferdsetaten (Informasjonssikkerhetspolicy) Dette dokumentet er overordnet styringsdokumentet i Arbeids- og velferdsetatens internkontrollsystem for personvern, informasjonssikkerhet og beredskap. Dokumentet beskriver rammer, mål, myndighet og ansvar som ligger til grunn for sikkerhetsarbeidet i etaten.» Godkjent i D-møte Versjon: Side 1 av 10

2 ENDRINGSLOGG Versjon Dato Kap Endring Produsent Godkjent av Alle Fremleggelse for Sikkerhetsledelsen Tor Saglie Arbeids- og velferdsdirektør Alle Fremleggelse for IKT- IKTsikkerhetsansvarlig Nina Aulie Direktør Alle Ingen Seksjon PIB D-møte Alle Oppdatert etter omorganisering og koplet til virksomhetsstrategien Sikkerhetsseksjonen Alle Ingen Sikkerhetsseksjonen D-møte INNHOLDSFORTEGNELSE 1. SIKKERHET ER VIKTIG FOR DEG STYRINGSSYSTEMETS OPPBYGGING MÅL FOR SIKKERHET STRATEGI PRINSIPPER I SIKKERHETSARBEIDET EFFEKT AV SIKKERHETSTILTAK OG SIKKERHETSPROSJEKTER AKSEPT OG HÅNDTERING AV RISIKO ET TILPASSET SIKKERHETSREGIME REAKSJONER PÅ SIKKERHETSBRUDD ROLLER OG ANSVAR FOR SIKKERHET ALLE MEDARBEIDERE ALLE LEDERE SIKKERHETSKOORDINATOR IDENTADMINISTRATOR SIKKERHETSMEDARBEIDER/SIKKERHETSRÅDGIVER ARBEIDS- OG VELFERDSDIREKTØREN ROLLE I STYRINGEN AV SIKKERHET IKT-DIREKTØR HAR REGIMEANSVARET FOR SIKKERHET SEKSJONSSJEF FOR SIKKERHETSSEKSJONEN INTERNREVISJONEN... 9 Versjon: Side 2 av 10

3 1. SIKKERHET ER VIKTIG FOR DEG Brukernes og samfunnets tillit til oss forutsetter at vi alltid behandler personopplysninger respektfullt og sikkert. Alle vi samhandler med skal erfare at vi har en høg standard i de daglige rutinene når vi behandler personopplysninger, og de skal være trygge på at de kan gi nødvendige opplysninger til oss. Vårt ansvar er å vise at vi er verdige denne tilliten. God sikkerhet bidrar til verdiskaping og et godt omdømme for etaten, som igjen gir økt tilfredshet blant brukere, samarbeidspartnere og medarbeidere. Er det slik i dag, hva gjør du? Dette styringsdokumentet, andre enda mer praktiske dokumenter og jevnlige øvelser skal bidra til at vi alle hele tiden kan være stolte over arbeidet vårt. Det skal være trygt å arbeide i NAV. NAV aksepterer ikke at medarbeidere utsettes for trusler, vold og uheldige belastninger i kontakten med brukere. Dette skjer likevel ofte i møte med enkelte brukere. Hvordan vi håndterer trusselsituasjoner og hvilke tiltak vi planlegger og gjennomfører for å unngå slike situasjoner, er sentralt i etatens beredskapsarbeid. Dette skal henge sammen med det HMS-arbeidet NAV gjør for å forebygge og håndtere trussel og voldssituasjoner, jf. HMS-rutine 2. Ledelsen i NAV beskriver i dette styringsdokumentet de overordnede prinsippene og kravene til sikkerhet i Arbeids- og velferdsetaten. Det forventes at alle gjør seg kjent med og er lojal mot prinsippene og sikkerhetskravene som gjelder for etaten. Målet er at vi hele tiden arbeider med etatens sikkerhetsnivå slik at det er tilstrekkelig i forhold til de risikoene vi står overfor. Målene, strategiene og kravene i styringssystemet for personvern, informasjonssikkerhet og beredskap gjelder for den statlige delen av NAV, og kan også brukes av den kommunale delen. Versjon: Side 3 av 10

4 2. STYRINGSSYSTEMETS OPPBYGGING Vi bruker begrepet sikkerhet vidt og det omfatter i dette styringsdokumentet både personvern, informasjonssikkerhet og beredskap. For å kunne sikre en god styring av sikkerheten har NAV et styringssystem for personvern, informasjonssikkerhet og beredskap. Dette systemet består av tre nivåer. Styringsdokument for personvern, informasjonssikkerhet og beredskap Nivå I Hvorfor? Hvem? Styringsdokumentet beskriver rammer, mål, myndighet og ansvar som ligger til grunn for sikkerhetsarbeidet i etaten. Overordnede sikkerhetskrav Nivå II Hva? Sikkerhetskrav som gjelder for etaten og bakgrunnen for disse. Kravene er delt inn i 15 fokusområder Operative Kravdokument retningslinjer Policydokument Kravdokument Nivå III Hvordan? Dokumenter som gir detaljerte retningslinjer med veiledninger. Figur 1: Dokumentstrukturen for styrende dokumenter for personvern, informasjonssikkerhet og beredskap. Alle dokumentene i styringssystemet ligger på Navet, med nyeste versjonsnumre og lenke til de dokumentene som ikke skal ha begrenset tilgjengelighet. Du finner informasjonen under Personvern, informasjonssikkerhet og beredskap under Etatstjenester - støttefunksjoner. Eller gå direkte dit ved å velge i rullegardinmenyen øverst til høyre på Navet. Dokumentene beskriver hvordan regimeansvaret for personvern, informasjonssikkerhet og beredskap er ivaretatt. Sikkerhetsarbeidet vårt bygger på standarden NS ISO/IEC 27001:2013 Styring av informasjonssikkerhet. Dette er i tråd med anbefalingen fra Direktoratet for forvaltning og IKT (Difi) om at statlige virksomheter skal ha et styringssystem for informasjonssikkerhet. Versjon: Side 4 av 10

5 3. MÅL FOR SIKKERHET Sikkerhetstiltak skal bidra til å realisere virksomhetsmålene uten å virke hindrende for virksomhetens behov. Brukerne har tillit til vår behandling av informasjon Vi kan håndtere kriser og ulykker Brukerne opplever at selvbetjening er trygt Sikkerhet vi får til å gjøre Figur 2: Sikkerhet knyttet til etatens virksomhetsmål Vi sikrer informasjonen i NAV for at brukerne skal ha tillit til å gi oss den informasjonen som trengs for at vi kan gi korrekte ytelser og tjenester. Vi må sørge for at selvbetjeningsløsningene er slik at etatens aktive brukere kan bruke dem på en sikker og brukervennlig måte. For å oppnå dette må sikkerhetsregimet i NAV være slik at du kan etterleve de kravene som blir stilt til deg i ditt arbeid. Disse koplingene mellom virksomhetsmål og sikkerhetsmål viser at sikkerhet bygger på og er en svært viktig del av virksomhetsstrategien. Dette gir bakgrunn for følgende resultatmål: Godt personvern skal sørge for at NAV behandler personopplysninger i tråd med gjeldende lovverk beskytte den enkelte mot krenkelser gjennom feilaktig behandling av personopplysninger. sikre tilstrekkelig kvalitet på opplysningene. sørge for at brukerne får informasjon og innsyn i sine opplysninger. sørge for at NAV behandler taushetsbelagte og sensitive personopplysninger på en sikker og forsvarlig måte. God informasjonssikkerhet skal sikre konfidensialitet til personopplysninger, annen type taushetsbelagt informasjon og behandlingen av opplysningene. sikre opplysningenes integritet slik at de ikke endres på uautorisert vis og sørge for sporbarhet ved endringer. sikre at IKT-systemene har tilstrekkelig tilgjengelighet. God beredskap skal sikre at NAV kan utføre sine kritiske tjenester ved unormale og alvorlige hendelser som rammer samfunnet. sikre kontinuitet slik at IKT-systemene fungerer ved driftsmessige forstyrrelser eller svikt i forsyning av strøm, datanettverk, telefoni eller betalingstjenester. trygge medarbeidernes arbeidssituasjon ved å redusere risikoen for trussel og voldssituasjoner. Sikkerhetsmålene tar utgangspunkt i ulike lover og intensjoner, men har mye felles. I NAV har vi derfor samlet sikringen av disse i et styringssystem for sikkerhet. Versjon: Side 5 av 10

6 4. STRATEGI 4.1 Prinsipper i sikkerhetsarbeidet Tjenstlig behov en medarbeider gis de tilganger til funksjoner i systemer, informasjon og lokaler som medarbeideren har behov for i arbeidet sitt for den tid behovet er der. Ansvarsprinsipp den som har ansvar for forvaltning, drift eller bruk av IKT-utstyr, systemer, data eller andre ressurser er ansvarlig for sikkerheten ved forvaltning, drift eller bruk Innebygd personvern vi utvikler systemer og prosesser etter prinsipper for innebygd personvern («Privacy by design») Arbeidsdelingsprinsipp oppgaver som det innebærer for stor risiko at en medarbeider løser alene løses ved at to ulike medarbeidere må gjøre hver sin del. Sikkerhetsmessig lønnsomhet et sikkerhetstiltak skal koste mindre i anskaffelse og drift enn det koster å leve med den risikoen som tiltaket skal forhindre. 4.2 Effekt av sikkerhetstiltak og sikkerhetsprosjekter Prosjekter og enkelttiltak som skal føre til bedre sikkerhet for NAV må synliggjøre at de gir slik effekt. Effekten kan komme ved å gjøre eksisterende sikkerhetstiltak mer effektive, å sette organisasjonen i stand til å gjøre nye ting og å utbedre manglende sikkerhet eller etterlevelse av regler på sikkerhetsområdet. 4.3 Aksept og håndtering av risiko Risikohåndtering av personvern, informasjonssikkerhet og beredskap inngår i den helhetlige tilnærmingen i NAVs felles metode for risikostyring for alle enheter. Risikoanalyse baseres på en vurdering av sannsynlighet og konsekvens. Metoden er et verktøy for å definere hva som er akseptert risikonivå og når det må iverksettes risikoreduserende tiltak. Vi klassifiserer informasjon, prosesser og informasjonssystemer for å vite hva som er mest kritisk og tilpasse sikkerhetstiltakene i forhold til behovet for sikring på en ensartet måte. Noen risikoer har høy konsekvens og svært lav sannsynlighet. Det vil da være vanskelig å skille på viktigheten av de ulike risikoområder. Derfor analyseres denne typen risiko på virksomhetsnivå som sammenhengen mellom trusler og sårbarheter, som så legges til grunn i beredskapsarbeidet. 4.4 Et tilpasset sikkerhetsregime Ved utvikling av sikkerhetskrav og operative retningslinjer skal det sikres medvirkning fra de som skal etterleve og bli berørt av dem. Alle operative retningslinjer og øvrig informasjons- og veiledningsmateriell skal være rettet mot definerte målgrupper og ha et klart og tydelig språk. Der det er mulig skal krav og operative retningslinjer knyttet til sikkerhetsarbeid integreres i øvrige prosessbeskrivelser og retningslinjer for å sikre en mest mulig helhetlig oversikt for de som skal forholde seg til disse. 4.5 Reaksjoner på sikkerhetsbrudd Et sikkerhetsbrudd kan være en bevisst handling, unnlatelse eller uaktsomhet som bryter med sikkerhetskravene som fører til skade for brukere, økonomisk tap, tap av tillit, eller er til skade for NAVs ansatte eller virksomheten. Versjon: Side 6 av 10

7 Alle sikkerhetsbrudd, forsøk eller indikasjoner på dette skal meldes til nærmeste leder og registreres i etatens avvikssystem. Enhetslederen og eventuelt sikkerhetskoordinatoren skal håndtere hendelsen og treffe tiltak for å forhindre lignende brudd. Brudd på etatens sikkerhetskrav og retningslinjer følges opp overfor den ansatte. Reaksjonene vil variere avhengig av overtredelsens art og grad av uaktsomhet. 5. ROLLER OG ANSVAR FOR SIKKERHET De enkeltes ansvar og oppgaver er beskrevet i ansvarsdokument for direktoratet, mål og disponeringsbrev til enheter og i organisasjonsplaner og rolledokument. I dette kapittelet konkretiserer vi hva dette betyr på sikkerhetsområdet. 5.1 Alle medarbeidere En medarbeider er enhver fast eller midlertidige ansatt, innleid konsulent, renholdspersonale, håndtverker eller andre som utfører arbeid på vegne av etaten. Du som medarbeider har ansvar for å gjøre deg kjent med, og undertegne taushetserklæring. Denne gjelder også etter at arbeidsforholdet er slutt. gjøre deg kjent med Felles sikkerhetsnormer for Arbeids- og velferdsetaten og undertegne lokal sikkerhetsinnstruks for medarbeider og følge påleggene som gis i instruksen. sette deg inn i og overholde etatens sikkerhetskrav som er relevante for rollen du har i ulike situasjoner og hva som er akseptabel bruk av informasjon og IKT-systemer. bruke IKT-systemene som beskrevet i brukerdokumentasjonen. melde fra om avvik eller sikkerhetsbrudd eller mistanke om dette i Avvikssystemet (ASYS). 5.2 Alle ledere Ansvaret for sikkerheten er et linjeansvar for hver leder i NAV. Du som leder skal etablere og opprettholde et tilstrekkelig sikkerhetsnivå innenfor ditt ansvarsområde. Ansvaret kan ikke delegeres, men du kan delegere spesifikke sikkerhetsoppgaver til en sikkerhetskoordinator, sikkerhetsmedarbeider eller andre av dine medarbeidere. Dette innebærer at du skal undertegne sikkerhetsinstruks for leder og påse at sikkerhetsarbeidet ivaretas og er forankret hos dine medarbeidere. sørge for at fagansvarlige, prosjektledere og medarbeidere i din enhet har tilstrekkelig kunnskap, bevissthet og holdninger til å kunne overholde kravene til personvern, informasjonssikkerhet og beredskap utarbeide planer for arbeidet med sikkerhet etter gjennomført risikoanalyse. sørge for at de du gir sikkerhetsoppgaver har kompetanse og handlingsrom til å utføre disse oppgavene. Leder har oppfølgingsansvar for at sikkerhet i egen enhet fungerer 5.3 Sikkerhetskoordinator Sikkerhetskoordinatorer utpekes i avdelingene i direktoratet, fylkeskontorene og i styringsenhetene for å koordinere sikkerhetsarbeidet i egen enhet og underliggende enheter. Versjon: Side 7 av 10

8 Disse har sikkerhetseksjonen i direktoratet som faglig kontaktpunkt og skal bidra til at sikkerhetsarbeidet gjøres så effektivt som mulig og med god virkning. Sikkerhetskoordinatoren kan bistå enhetslederen med å koordinere og yte bistand innen sikkerhetsområdet i egen styringslinje påse at egen og underlagte enheter følger sikkerhetsplan og pålagte krav påse at egen enhets og underlagte enheters sikkerhetsinstruks etterleves, herunder særskilt: gjennomføre risikovurderinger for personvern, informasjonssikkerhet og beredskap bidra i utarbeidelse av lokale sikkerhetsinstrukser og beredskapsplaner utarbeide lokale opplærings- og motivasjonstiltak for personvern og informasjonssikkerhet påse at tilgangskontroll og administrasjon av brukerprofiler til applikasjoner, servere og nettverk gis ut fra et tjenstlig behov gjennomgang av sikkerhetslogger og sikkerhetsrapporter følge opp at iverksatte sikringstiltak fungerer som forutsatt ved egen og underlagte enheter etablere og oppdatere lokale kontinuitets- og beredskapsplaner håndtere og følge opp avvik og sikkerhetsbrudd 5.4 Identadministrator Enhetsleder som ansvarlig for å tildele tilganger i sin enhet kan gi en eller flere medarbeidere ved sin enhet en rolle som identadministrator. Til rollen som identadministrator ligger ansvar for å registrere bestillinger og autorisasjoner til medarbeidere ved egen enhet. Lederen skal selv godkjenne hver tilgangsbestilling eller kan gi identadministrator nærmere fullmakt til gjennomføring av arbeidet. 5.5 Sikkerhetsmedarbeider/Sikkerhetsrådgiver Enhetsleder kan velge å utpeke en medarbeider til å arbeide med sikkerhet innen egen enhet. Denne sikkerhetsmedarbeideren får sikkerhetskoordinator i egen styringslinje som faglig støtteperson. 5.6 Arbeids- og velferdsdirektøren rolle i styringen av sikkerhet Etter personopplysningsloven er virksomhetens leder behandlingsansvarlig for personopplysninger. I arbeids- og velferdsforvaltningsloven er behandlingsansvaret i etaten lagt til direktoratet ved arbeids- og velferdsdirektøren. Sikkerhetsloven knytter også et spesielt ansvar for sikkerhet til virksomhetens leder. Arbeids- og velferdsdirektøren har det overordnede ansvaret for sikkerheten i etaten og skal sørge for å at det eksisterer et styringssystem for personvern, informasjonssikkerhet og beredskap slik at sikkerheten i etaten kan ivaretas og at informasjon behandles i henhold til gjeldende lover og forskrifter. Dette styringsdokumentet regulerer dette styringssystemet og godkjennes av arbeids- og velferdsdirektøren ved endringer. Versjon: Side 8 av 10

9 5.7 IKT-direktør har regimeansvaret for sikkerhet 1. Styre og koordinere det helhetlige arbeidet med beredskap i etaten 1.1. Utvikle og vedlikeholde etatens overordnete beredskapsplan, samt sikre at alle enheter i etaten har beredskapsplaner Gjennomføre beredskapsøvelse på sentralt nivå (for ledergruppa i Arbeids- og velferdsdirektoratet). 2. Sikre at krav til personvern og informasjonssikkerhet blir ivaretatt i etatens systemer 2.1. Utvikle og forvalte retningslinjer på tilgangskontroller, personvern og informasjonssikkerhet for etaten Følge opp NAVs arbeid med beskyttede personer. Figur 3: Regimeansvaret for sikkerhet slik det er beskrevet i ansvarsdokument for arbeids- og velferdsdirektoratet Ansvaret for styringssystemet for personvern, informasjonssikkerhet og beredskap er et regimeansvar i Arbeids- og velferdsdirektoratet Dette er lagt til IKT-avdelingen. Regimeansvaret utøves av IKT-direktøren som fastsetter krav til sikkerhet i etaten og godkjenner dokumentet Overordnede sikkerhetskrav som innenfor rammen av styringsdokumentet, fastsetter disse kravene. IKT-direktøren har delegert det daglige arbeidet med sikkerhet til seksjonssjef for sikkerhetsseksjonen. 5.8 Seksjonssjef for Sikkerhetsseksjonen Arbeidet knyttet til regimeansvaret for sikkerhet er lagt til Sikkerhetsseksjonen i IKTavdelingen. Utover det som konkret er beskrevet i regimeansvaret i figur 3, er seksjonssjef for Sikkerhetsseksjonen ansvarlig for å være formell fagansvarlig for områdene personvern, informasjonssikkerhet og beredskap (herunder IKT-sikkerhet, fysisk sikkerhet og etatens sikkerhetssystemer). å oppdatere Styringsdokument og Overordnede krav til personvern, informasjonssikkerhet og beredskap slik at arbeidet med sikkerhet er innenfor rammen av gjeldende regler og å legge disse frem for godkjenning. å forankre risikobildet, trender og resultater på sikkerhetsområdet gjennom blant annet den årlige rapporten Grunnlag for ledelsens gjennomgang av personvern, informasjonssikkerhet og beredskap. å etablere sikkerhetstiltak som de overordnede kravene forutsetter. å godkjenne forslag til operative retningslinjer, samt få utarbeidet eller oppdatert operative retningslinjer når det er behov for dette. å beslutte unntak og godkjenninger fra styringssystemet for sikkerhet. å behandle sikkerhetshendelser og avvik og sørge for rapportering til Datatilsynet og andre myndigheter vi er pålagt å rapportere dette til. å ivareta og koordinere etatens kontakt med tilsynsmyndigheter innen sikkerhetsområdet. Gjennomføre sikkerhetbesøk 5.9 Internrevisjonen For å styrke den interne kontrollen med sikkerhetsområdet er det viktig å ha en uavhengig vurdering av området som helhet og av om de enkelte tiltakene følges. Dette må skje i tillegg til Versjon: Side 9 av 10

10 de kontrollene som gjøres i ivaretakelse av regimeansvaret. Internrevisjonen velger sine revisjonsoppdrag på fritt grunnlag blant alle enheter i Arbeids- og velferdsetaten og utfører på denne måten uavhengige revisjoner av styringssystemet. Planer for sikkerhetsgjennomganger som skal utføres av Sikkerhetsseksjonen, utveksles med Internrevisjonen for å oppnå synergieffekter og unngå unødig dobbeltarbeid. Internrevisjonen tar hensyn til og kan bygge sitt arbeid på det som gjøres i linjen. Versjon: Side 10 av 10