Plan for informasjonssikkerhet Bjugn kommune Våren 2015 1
Innledning...3 Overordnet mål...4 Delmål...4 Grunnkrav...4 System for oversikt behandlinger...4 Akseptkriterier...4 System for behandling av avvik...5 System for risikovurdering...5 Sikkerhetstiltak (rutiner/prosedyrer)...5 Rådmannens gjennomgang /sikkerhetsrevisjon...6 Egenkontroll...6 Beredskap...6 Databehandler...6 Eksempler på ivaretakelse av kommunens-sikkerhetsmål...6 Eksempler på hendelser vi ønsker å beskytte oss mot...7 Sikringstiltak...8 Generelt...8 Bevisstgjøring / opplæring av ansatte...8 Rutiner...8 Definisjoner...9 2
Innledning Bjugn kommune forvalter og behandler en mengde informasjon om kommunens innbyggere og andre personer, kommunens næringsliv og annen virksomhet. Skriftlig og elektronisk informasjon er en viktig ressurs for Bjugn kommune. Kommunen må beskytte de verdier informasjonen representerer på en hensiktsmessig og kostnadseffektiv måte. Et effektivt arbeid med informasjonssikkerhet vil også redusere risikoen for at kommunen, eller andre, blir skadelidende som følge av at den informasjonen kommunen besitter blir påvirket gjennom uønskede hendelser. Bjugn kommunes visjon er Realiser drømmen i Bjugn, med en overordnet målsetting som er Livskvalitet. Ett av kommunens satsningsområder er Kompetanse og arbeid. Innenfor Informasjonssikkerhet og personvern er kompetanse i lover, reglementer, retningslinjer og veiledninger av stor betydning. Likeså kompetanse innen generell internkontroll, og spesielt risikovurdering og avviksbehandling. Gjennom en helhetlig Plan for informasjonssikkerhet, et godt innarbeidet internkontrollsystem og målrettet bruk av Kvalitetssystemet RiskManager ønskes å oppnå: Et tydelig og velfungerende system som sammen med gode holdninger og praksis hos medarbeiderne skaper tillit overfor medarbeidere, politikere og brukere av kommunenes tjenester i forhold til hvordan informasjon blir behandlet. Et godt omdømme innenfor temaene personvern og informasjonssikkerhet så vel internt i kommunen som regionalt og nasjonalt. Med overfor nevnte grunnsetninger er den videre begrunnelsen for å etablere og vedlikeholde temaet informasjonssikkerhet og et system rundt dette følgende: Sikre at sensitive eller fortrolig informasjon ikke kommer uvedkommende i hende og blir behandlet i henhold til kravene om konfidensialitet, integritet og tilgjengelighet. Sikre at kommunene har tilgang til nødvendig informasjon om innbyggere, ansatte, brukere. God forvaltning av opplysningene som kommunene registrerer og arkiverer. Sikre at all informasjon blir behandlet innenfor relevante lover og forskrifter. Sikre rutiner for internkontroll herunder; o kontroll med endringer i IKT-systemer, herunder, funksjonalitet, oppgradering og vedlikehold. o kontroll med endringer i tjenesteleveranser (konsulenter, driftsleverandører, leverandører av fagsystemer, revisorer, renhold, osv.) og rammebetingelser. Krav fra offentlige myndigheter. Dokumentet er styrende for kommunenes sikkerhetsstrategi, internkontroll og rutiner knyttet til behandling av personopplysninger. Dokumentet er også styrende for den enkelte medarbeider sitt ansvar for at informasjonssikkerhet og personvern blir ivaretatt. Hensikten med denne planen er å etablere et rammeverk for løpende oppfølging av det ansvar for informasjonssikkerhet ulike grupper av ansatte har. Med grupper av ansatte tenker vi på: Den enkelte medarbeider Ledere på alle nivå Arkivansvarlig Fagansvarlige IKT-ansvarlig Informasjonssikkerhetsansvarlig 3
Overordnet mål Bjugn kommune presenterer; rett informasjon til rett person til rett tid. Bjugn kommune har et godt omdømme innenfor temaet Informasjonssikkerhet/Personvern. Delmål Plan for Informasjonssikkerhet er forankret i kommuneledelsen og inngår som en del av kommunens planverk. Arbeidet med informasjonssikkerhet inngår som en integrert del av kommunenes tjenesteproduksjon og skaper gode holdninger blant ansatte både i tenkning og praktisk håndtering av temaet. Innbyggerne har til en hver tid tilgang til korrekt og nødvendig informasjon i henhold til tjenesteyting fra kommunene. Sensitive eller fortrolige opplysninger er tilgjengelig kun for autorisert personell. Aktiviteten i Bjugn kommune skal kunne gjenopptas raskest mulig etter sikkerhetshendelser og brudd. Medarbeidere har tillit til at personlig informasjon blir ivaretatt på en tilfredsstillende måte fra ansettelse til fratredelse, også der vedkommende ikke kan forsvare sine interesser. Medarbeidere har tillit til at informasjonssikkerhet er forankret hos rådmann og i kommunenes ledelse. Medarbeiderne har faglige forutsetninger, myndighet og motivasjon til å kunne ivareta sitt ansvar i behandlingen av informasjon. All informasjon behandles i henhold til krav om opplysningsplikt, konfidensialitet, tilgjengelighet, integritet. Systemet tilfredsstiller Datatilsynets kriterier for et fullverdig internkontrollsystem. Grunnkrav System for oversikt behandlinger Det skal til en hver tid finnes oppdatert oversikt over kommunens behandlinger i Kvalitetssystemet RiskManager. Informasjonens skal tilfredsstille de krav som er nedfelt i lovgivningen. Akseptkriterier Det skal til en hver tid være fastsatt akseptkriterier innen: Personopplysninger Sensitive personopplysninger Kriteriene settes i Kvalitetssystemet RiskManager og skal avspeiles innen konfidensialitet, integritet og tilgjengelighet. Akseptkriteriene fastsettes i rådmannens årlige gjennomgang. Sikkerhetstiltak skal iverksettes slik at uvedkommende ikke skal kunne forårsake uønskede hendelser som medfører konsekvenser for enkeltmenneskers personvern. Kommunens ansatte skal ha tilstrekkelig kjennskap til hvilke sikkerhetsbestemmelser som gjelder i virksomheten slik at hendelser reduseres til et minimum. Kommunen registrerer en mengde personopplysninger/sensitive personopplysninger og 4
rene helseopplysninger. Utlevering av opplysningene kan medføre alvorlig tap av anseelse og integritet for dem det angjelder. Det er derfor nødvendig å sikre opplysningenes konfidensialitet. Dette hensynet går foran hensynet til tilgjengelighet og integritet. Det vil ikke være akseptabelt at medarbeidere kan forårsake konfidensialitetsbrudd uaktsomt eller ved forsett, eller at personer utenfor kommunen med overlegg kan få tilgang til disse. System for behandling av avvik Behandling av avvik gjøres i henhold til Bjugn kommunes forbedringsprosess og Personopplysningsforskriften 2-6 Avvik Dersom det forekommer brudd på informasjonssikkerheten skal dette meldes gjennom den elektroniske avviksmodulen i Kvalitetssystemet Risk Manager. Eksempler på hva som kan være et avvik på informasjonssikkerheten: utskrift kommer på feil skriver bærbart utstyr blir stjålet papirjournal ligger åpent tilgjengelig, bruker går fra arbeidsstasjonen usikkert bruker låner ut brukernavn og passord til andre brukere skriver ned passord på lapp brukers tilgang blir ikke meldt fjernet ved fratredelse, helse og personopplysninger blir sendt i usikret e-post autorisert bruker får ikke tilgang, urettmessig tilegnelse av taushetsbelagte opplysninger (snoking) System for risikovurdering Se Sikkerhetsbestemmelser i Personopplysningsforskriften 2-4 Risikovurdering I Bjugn kommune har rådmannen (behandlingsansvarlige) oversikt over de personopplysninger som behandles med elektroniske hjelpemidler, sammen med angivelse av hvilke opplysninger det er nødvendig å sikre konfidensialitet, tilgjengelighet eller integritet for. Oversikten benyttes som del av grunnlaget for risikovurderingen. Rådmann (behandlingsansvarlige) skal fastlegge kriterium for den risiko som kan aksepteres, eller eventuelt må reduseres ved hjelp av sikkerhetstiltak. Bjugn kommune skal gjøre trusselvurdering dersom det blir gjort endringer som vil påvirke informasjonssikringen. Dette kan være endringer i selve infrastrukturen eller endringer som gir et endret trusselbilde. Det skal gjennomføres risikovurdering i forhold til behandling av helse og personopplysninger. Informasjonssikkerhetsansvarlig har ansvar for å overvåke endringer i trusselbildet og starte prosessen med ny risikovurdering ved behov. Dette fratar ikke den enkelte daglig behandlingsansvarlig ansvaret for selvstendig å gjennomføre risikovurderinger ved behov. Risikovurdering skal gjøres i risikomodulen i Kvalitetssystemet RiskManager. Sikkerhetstiltak (rutiner/prosedyrer) Det skal være etablert nødvendige rutiner for ivaretakelse av sikkerheten. Disse skal være publisert i Kvalitetssystemet RiskManager og være bekjentgjort for alle ansatte. Sikkerhetstiltak skal iverksettes slik at uvedkommende ikke skal kunne forårsake uønskede hendelser som medfører konsekvenser for enkeltmenneskers personvern. Kommunens ansatte skal ha tilstrekkelig kjennskap til hvilke sikkerhetsbestemmelser som gjelder i 5
virksomheten slik at hendelser reduseres til et minimum. Rådmannens gjennomgang /sikkerhetsrevisjon. Sikkerhetsrevisjon i bruk av informasjonssystemet skal gjennomføres en gang pr. år. Sikkerhetsrevisjon skal omfatte: Vurdering av organisering, sikkerhetstiltak og bruk av kommunikasjonspartner og leverandører. Vurdere akseptkriterier. Vurdere endringer i behandlingsoversikt. Gjennomgang av rutiner. Vurdering av behov for nye risikovurderinger. Gjennomgang av avvik. Dersom sikkerhetsrevisjonen avdekker bruk av informasjonssystemet som ikke er forutsatt, skal dette behandles som avvik, jfr. Personopplysningsforskriften 2-6. Egenkontroll Gjennomføres etter fastlagt mal for egenkontroll. Malen skal finnes i kvalitetssystemet RiskManager. Beredskap Detskal etableres en beredskapsplan som dekker: Ansvar for vaktordning av hendelser. Varslingsrutiner som dekker relevante personer og partnere Plan for gjenoppretting av normal drift. Databehandler Det skal forefinnes egen databehandleravtale mellom kommunen v/rådmannen (behandlingsansvarlig) og den som behandler persondata på vegene av kommunen. (Jf. Personopplysningsloven 2 nr. 5 og Helseregisterloven 2 nr. 9. ) Leverandører som gjennomfører sikkerhetstiltak, eller gjør annen bruk av informasjonssystemet på den behandlingsansvarliges vegne, skal tilfredsstille kravene i Personopplysningslovens kapittel 2. Det betyr at avtalen bør inneholde bestemmelser om avvikshåndtering og tilgangskontroll kontrollmekanismer for loggføring taushetsplikt sikkerhetsrevisjoner fysiske sikringstiltak oversikt over personell hos partene som skal ha tilgang til personopplysninger Dette er i overensstemmelse med Datatilsynets veileder om databehandleravtaler. Eksempler på ivaretakelse av kommunens-sikkerhetsmål. A. Fysiske sikringstiltak skal hindre at uautoriserte kan få tilgang til lokaler og utstyr der personopplysninger/sensitiv personopplysninger og annen beskyttelsesverdig informasjon behandles. B. Alle medarbeidere skal gis tilstrekkelig opplæring for å kunne utføre behandlinger på en forsvarlig måte. Videre skal arbeidet følges opp med planlagte og systematiske tiltak slik at de 6
ansatte får gode holdninger til behandling av personopplysninger og annen beskyttelsesverdig informasjon. C. Tilgang til systemer og intern informasjon skal kun gis medarbeidere etter lovhjemlet rett og tjenstlig behov i samsvar med regler om taushetsplikt. D. All informasjon som behandles av kommunen skal til enhver tid være fullstendig, oppdatert og korrekt, samt være tilgjengelig for virksomheten og offentlige registre der det er bestemt. E. All behandling av informasjon på vegne av kommunene skal være regulert gjennom formelle databehandleravtaler og kontrakter som ivaretar behandlingsansvarliges sikkerhetskrav. F. Registrering og bruk av sensitiv informasjon skal skje etter et definert formål. Helse og personopplysninger kan kun behandles etter et informert samtykke fra den registrerte, evt. annen lovfestet hjemmel for registreringen. Eksempler på hendelser vi ønsker å beskytte oss mot Felles hendelser for brudd på konfidensialitet, integritet, tilgjengelighet og kvalitet o Innbrudd i virksomhetens lokaler eller nettverk o Uautorisert bruk av brukerkonti o Angrep av virus eller ondsinnede programmer Brudd på konfidensialitet (helse- og personopplysninger og annen sensitiv informasjon på avveie) o Brukerfeil o Tap av bærbart utstyr o Tap av lagringsmedium o Utskrift liggende uavhentet på skriver, kopimaskin eller skanner o Utilsiktet utlevering av helse- og personopplysninger o Feilaktig eller mangelfull makulering o Kopiering av beskyttelsesverdig informasjon til flyttbare lagringsmedier Brudd på integritet (helse- og personopplysninger og annen sensitiv informasjon blir endret) o Brukerfeil o Uautorisert endring av informasjon o Ulike versjoner av dokumenter o Feilregistrering o Systemtekniske feil Brudd på tilgjengelighet (helse- og personopplysninger og virksomhetskritisk informasjon er utilgjengelig) o Brukerfeil o Nettverk eller system ute av drift o Brann, vannskade eller strømsvikt o Hærverk eller innbrudd o Tjenestenektangrep (virus) o Feilaktig makulering o Mangelfull arkivering Brudd på kvalitet (helse- og personopplysninger og virksomhetskritisk informasjon er ukorrekt, utdatert, irrelevant eller utilstrekkelig) o Manglende eller feil kompetanse o Brukerfeil ved registrering o Datatekniske feil o Ufullstendig registrering o Tidspress 7
Sikringstiltak Generelt Arbeidet med informasjonssikkerhet inngår som en integrert del av de oppgaver som påhviler kommunens enkelte enheter/avdelinger. Daglig behandlingsansvarlige/delegert daglig behandlingsansvarlige og andre ledere skal påse at tilfredsstillende informasjonssikkerhet oppnås ved behandling av personopplysninger innen den enkeltes myndighetsområde. Driftstekniske oppgaver i tilknytting til informasjonssystemet påhviler i første rekke Fosen IKT. All bruk av informasjonssystemet utføres i samsvar med på forhånd fastlagte rutiner /retningslinjer. Det påhviler den enkelte medarbeider å rapportere uønskede hendelser, eksempelvis i form av sikkerhetsbrudd, til nærmeste overordnede. Dette skal gjøres gjennom Avviksmodulen i kommunens kvalitetssystem RiskManager. Kommunens informasjonssystemer skal være konfigurert i samsvar med konfigurasjonskart og beskrivelser. Kun utstyr eller program eiet/disponert av kommunen skal inngå i informasjons-systemet. Bevisstgjøring / opplæring av ansatte Bevisstgjøring av de ansatte er en kontinuerlig prosess som krever at organisasjonen har fokus på dette gjennom opplæring, informasjon og i daglig væremåte. Bevisstgjøring omkring sikring og bruk av personopplysninger vil bli en del av den årlige opplæringen som skal gis den enkelte ansatt. Det skal også være rutiner for hvordan lære opp / gi innføring til nytilsatte. Rutiner I kvalitetssystemet RiskManager ligger til en hver tid oppdaterte rutiner som den en enkelte ansatt plikter å være kjent med. 8
Definisjoner Definisjoner i Personopplysningslov og forskrift 1. Personopplysning: Opplysninger og vurderinger som kna knyttes til en enkeltperson 2. Sensitive personopplysninger: Opplysninger om a. Rasemessige eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning b. At en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling c. Helseforhold d. Seksuelle forhold e. Medlemskap i fagforening 3. Behandling av personopplysninger: Enhver bruk av personopplysninger, som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter 4. Personregister: Registre, fortegnelser m.v. der personopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen 5. Behandlingsanavarlig: Den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes. 6. Databehandler: Den som behandler personopplysninger på vegne av den behandlingsansvarlige. 7. Registrert: Den som en personopplysning kan knyttes til. 8. Samtykke: En frivillig, uttrykkelig og informert erklæring fra den registrerte om at han eller hun godtar behandling av opplysninger om seg selv. 9. Konfidensialitet: Sikkerhet for at kun autoriserte personer får tilgang til følsom eller gradert informasjon, og at det på forhånd er foretatt en gyldig identifisering og autentisering av personen. En av tre egenskaper for informasjonssikkerhet sammen med integritet og tilgjengelighet. 10. Integritet: Sikkerhet for at informasjonen og informasjonsbehandlingen er fullstendig, nøyaktig og gyldig, og et resultat av autoriserte og kontrollerte aktiviteter. 11. Tilgjengelighet: Sikkerhet for at informasjonen er tilgjengelig for rett personell når det er nødvendig.. 9