Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 1
1.0 INNLEDNING. Mandal kommune samler inn, oppbevarer og bruker personopplysninger som en nødvendig del for å kunne utføre sine oppgaver. Det er av avgjørende betydning at disse personopplysningene brukes og behandles i samsvar med personopplysningsloven, slik at alle har tillit til kommunens virksomhet. Personopplysningsloven setter krav til at alle virksomheter som behandler personopplysninger skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandlingen av personopplysninger. Personopplysningsloven setter krav til at alle virksomheter som behandler personopplysninger skal ha en internkontroll som skal ivareta personopplysningene på en sikker og hensiktsmessig måte. Dette Styringssystem for informasjonssikkerhet i Mandal kommune inneholder de nødvendige rutiner og prosedyrer for å hindre feil og avvik samt beskytte personopplysningene, som personopplysningsloven stiller krav om. Styringssystemet er delt inn i tre hoveddeler: Styrende rutiner Utøvende rutiner Kontrollerende rutiner Rådmannen er behandlingsansvarlig og ansvarlig for å oppfylle lovens krav. Ved dette dokument delegerer rådmannen til hver enkelt ansatt arbeidet med å oppfylle lovens krav innen eget arbeidsområde. 2
Ordliste Emne Avvik Behandling av personopplysninger Behandlingsansvarlig Databehandler Fødselsnummer Informasjonssystemet Integritet Internkontroll IKT Definisjon Bruk av informasjonssystemet som er i strid med fastlagte rutiner, og sikkerhetsbrudd, skal anses som avvik. Enhver bruk av personopplysninger, som for eksempel innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter. Den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes. Den som behandler personopplysninger på vegne av den behandlingsansvarlige Et ellevesifret registreringsnummer som tildeles av den norske stat til alle landets innbyggere. Nummeret skiller enkeltpersoner fra hverandre, men kan ikke brukes som legitimasjon. Ikke en sensitiv opplysning. Elektronisk kommunikasjon med fødselsnummer skal være kryptert allikevel. Samlebetegnelse på alt Pc-utstyr, systemer og nettverkskomponenter som inngår i virksomhetens elektroniske databehandling. Å sikre at informasjonen og behandlingsmetodene er nøyaktige og fullstendige. Informasjonen er sikret for og ikke kunne ødelegges, endres eller gå tapt. Den behandlingsansvarlige skal etablere og vedlikeholde planlagte og systematiske tiltak som er nødvendig for å oppfylle kravene i Personopplysningslovens 14, herunder sikre personopplysningenes kvalitet. Informasjons- og 3
kommunikasjonsteknologi Kompromittering Konfidensialitet Konfidensialitetsbeskyttelse Brudd på konfidensialitet, tilgjengelighet eller integritet. Å sikre at informasjonen er tilgjengelig bare for dem som har autorisert tilgang. Sikkerhetstiltak for å sikre informasjon mot innsyn, f. eks kryptering Personopplysninger Personopplysningsforskriften (POF) Opplysninger og vurderinger som kan knyttes til en enkeltperson. Forskrift til personopplysningsloven, 15. desember 2000 nr. 1265. Personopplysningsloven (POL) Personregister Registrert Risikovurdering Samtykke Lov om behandling av personopplysninger, 14. april 2000 nr. 31. Registre der personopplysninger er lagret systematisk slik at personopplysninger om den enkelte kan finnes igjen. Den som en personopplysning kan knyttes til Risikovurdering har til hensikt å undersøke hvor stor personvernrisiko det er ved å bruke informasjonssystemet. Resultatet av vurderingen skal sammenliknes med det risikonivå virksomheten kan akseptere. Risikovurdering er en kombinasjon av en hendelses konsekvens og sannsynligheten for at hendelsen inntreffer. En frivillig, utrykkelig og informert erklæring fra den registrerte om at han eller hun godtar behandling av opplysinger om en selv. 4
Sensitive personopplysninger Sikkerhetshendelse Opplysninger om: Rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning. At en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling. Helseforhold. Seksuelle forhold. Medlemskap i fagforeninger. En hendelse som får konsekvenser for informasjonssikkerheten i virksomheten. Sikkerhetsmål Sikkerhetspolicy Sikkerhetstiltak Tilgjengelighet Sikkerhetsmålene omfatter ledelsens beslutninger om til hva og hvordan informasjonsteknologien skal benyttes i virksomheten for å kunne oppnå sine øvrige mål. Denne er en del av virksomhetens øvrige totale målsetning. Sikkerhetsmål og sikkerhetsstrategi. Et administrativt, organisatorisk eller teknisk tiltak som etableres for å hindre at en sikkerhetshendelse inntreffer. Å sikre autoriserte brukeres tilgang til informasjon og tilhørende ressurser ved behov. 5