Veilederen må oppheves og erstattes av et mer helhetlig og hensiktsmessig rammeverk for å operasjonalisere instruksen.

Like dokumenter
Vedtatt av: Byrådet Vedtatt: Erstatter: Saksnr: Brv 1316/02

Personvern - sjekkliste for databehandleravtale

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.

Oslo kommune Byrådsavdeling for finans Seksjon for virksomhetsutvikling. Hallstein Bjercke

Om respondenten. U.off jf. offl. 15. Virksomhetens navn: Hvem svarer på undersøkelsen: Virksomhetsleder (direktør) Andre (angi rolle):

Politikk for informasjonssikkerhet

Avito Bridging the gap

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Etableringsplan. Internkontroll for informasjonssikkerhet og personvern

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Overordnet IT beredskapsplan

Endelig kontrollrapport

Endelig kontrollrapport

Styringssystem i et rettslig perspektiv

Retningslinje for risikostyring for informasjonssikkerhet

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Internkontroll og informasjonssikkerhet lover og standarder

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

NTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Endelig kontrollrapport

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Strategi for Informasjonssikkerhet

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Policy for personvern

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Bilag 14 Databehandleravtale

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Prinsipper for virksomhetsstyring i Oslo kommune

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

3.1 Prosedyremal. Omfang

Endelig kontrollrapport

Databehandleravtaler

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Databehandleravtale for NLF-medlemmer

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Ny EU-forordning: informasjonssikkerhet. Tommy Tranvik

Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Informasjonssikkerhet. Øyvind Rekdal, 17. mars 2015

Helhetlig arbeid med informasjonssikkerhet. Remi Longva

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Spørreundersøkelse om informasjonssikkerhet

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

GDPR - Ny personopplysningslov - betydning for arkivsektoren? 18.april Seniorrådgiver Linda Svendsrud

Oslo kommune Byrådsavdeling for finans og næring

Retningslinjer for databehandleravtaler

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

OVERSIKT SIKKERHETSARBEIDET I UDI

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

1-2. Virkeområde Forskriften gjelder for jernbanevirksomheter på det nasjonale jernbanenettet og for jernbanevirksomheter som driver tunnelbane.

Krav til informasjonssikkerhet i nytt personvernregelverk

Saksframlegg Referanse

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Direktiv Krav til sikkerhetsstyring i Forsvaret

NTNU Retningslinje for fysisk sikring av IKTinfrastruktur

Arkivplan og internkontroll Merarbeid eller samarbeid?

Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer)

Databehandleravtale etter personopplysningsloven

Internkontroll i praksis Informasjonssikkerhet: Måling, evaluering og revisjon. Workshop Måling av informasjonssikkerhet

Seksjon for internkontroll - Overføring fra Byrådsavdeling for finans, eiendom og eierskap til Byrådsleders avdeling

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Internkontroll i praksis (styringssystem/isms)

Endelig kontrollrapport

Kvalitetssikring av KS digitaliseringsprosjekter Sjekkliste informasjonssikkerhet og personvern

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

Kommunens Internkontroll

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

Nettverk for virksomhetsstyring. Møte 6. juni 2014

Byrådssak 1383 /15. Ny strategi for informasjonssikkerhet ESARK

Retningslinje for Organisatorisk læring innen Sikkerhetsstyring

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak

HVEM ER JEG OG HVOR «BOR» JEG?

Ny styringsmodell for informasjonssikkerhet og personvern

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik

Databehandleravtale digitale arkiv og uttrekk for deponering

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Retningslinje for Organisatorisk læring innen Sikkerhetsstyring

Høringssvar - Forslag til ny pasientjournallov og ny helseregisterlov

Oppfølging av forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Riksrevisjonens erfaringer fra sikkerhetsrevisjoner

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Revisjon av informasjonssikkerhet

Ny sikkerhetslov og forskrifter

Hva er sikkerhet for deg?

Transkript:

Oslo kommune Byrådsavdeling for finans Byrådssak 1105/13 INSTRUKS FOR INFORMASJONSSIKKERHET Sammendrag: I denne saken legger byråden for finans frem forslag om ny instruks for informasjonssikkerhet for Oslo kommune til erstatning for kommunens informasjonssikkerhetsinstruks fra 2002. Revisjonen har hatt som mål å harmonisere instruksen med IKT-reglementets ansvarslinjer og i større grad enn i dag angi hovedkravene om hva man skal gjøre, mens mer detaljerte regler om hvordan man skal ivareta kravene vil følge av underliggende rundskriv og i form av maler, veiledere og andre verktøy. Informasjonssikkerhet er i stor grad knyttet til IKT-sikkerhet i form av rent systemtekniske sikringstiltak, men det er viktig å presisere at informasjonssikkerhet er mer enn dette. Informasjonssikkerhet er summen av de organisatoriske, fysiske og systemtekniske tiltakene som skal beskytte informasjon. Tiltakene skal sørge for tilstrekkelig beskyttelse av konfidensialitet (at informasjon er beskyttet fra dem som ikke skal ha tilgang til den), tilgjengelighet (at informasjonen er tilgjengelig for dem som skal ha tilgang til den) og integritet (at informasjon ikke endres av andre enn dem som skal ha adgang til å endre den). Saksfremstilling: Bakgrunn for saken Kommunen forvalter store mengder informasjon som er verdifull i et informasjonssikkerhetsperspektiv, både sensitive personopplysninger, anskaffelsesrelatert informasjon og økonomisk informasjon er eksempler. Informasjon flyter i stor grad mellom forskjellige virksomheter og systemer. Ansvar og oppgaver er fordelt på forskjellige aktører som systemeiere, intern leverandør i Utviklings- og kompetanseetaten, virksomhetsledere og byrådsavdelinger. Kommunen arbeider også med etablering av nye digitale tjenester mot innbyggerne. Kommunens gjeldende instruks for informasjonssikkerhet med veileder er fra 2002. Det er behov for en instruks som er tilpasset den digitale og informasjonssikkerhetsmessige utvikling de siste 10 år og som kan danne et hensiktsmessig grunnlag for bedret styring og kontroll av informasjonssikkerhetsområdet. Veilederen må oppheves og erstattes av et mer helhetlig og hensiktsmessig rammeverk for å operasjonalisere instruksen. Kommunens styringssystem og de overordnede føringene innenfor virksomhetsstyring og internkontroll danner en overbygning for de styrende dokumentene på informasjonssikkerhetsområdet. Forslaget til ny instruks harmonerer med de

retningslinjene som trekkes opp i byrådssak 1170/07 Prosjekt styrket internkontroll i Oslo kommune. Informasjonssikkerhetsarbeidet i Oslo kommune Side 2 Informasjonssikkerhet er i stor grad knyttet til IKT-sikkerhet i form av rent systemtekniske sikringstiltak, men det er viktig å presisere at informasjonssikkerhet er mer enn dette. Organisering, styring og internkontroll av IKT-sikkerhet har tradisjonelt fått for lite oppmerksomhet. I kommunens definisjon av begrepet informasjonssikkerhet i IKTreglementet 2 (Reglement for informasjons- og kommunikasjonsteknologi og informasjonssikkerhet i Oslo kommune, byrådssak 1099.1/10), går det frem at begrepet omfatter både fysiske, systemtekniske og organisatoriske sikringstiltak. Informasjonssikkerhet er knyttet til konfidensialitet. Like viktige er hensyn til tilgjengelighet og integritet. IKT-reglementet legger et overordnet ansvar for informasjonssikkerhet til byråden for finans. IKT-reglementet 4 nr 2 bokstav a til d gir blant annet byråden for finans ansvar for å utvikle metoder, maler og verktøy, følge opp at disse tas i bruk og følge opp informasjonssikkerhetsbrudd. For å legge til rette for kontinuerlig forbedring og oppmerksomhet rundt fagområdet informasjonssikkerhet, må arbeidet integreres i virksomhetsstyringen gjennom et sett av gjentakende aktiviteter i kommunens virksomheter og i byrådsavdelingene. I den forbindelse må informasjonssikkerhet integreres i virksomhetsstyringen gjennom for eksempel tildelingsbrev, styringsdialogen med virksomhetene og årsrapportering. Selv om instruksen som sådan blir gjeldende fra vedtaksdato, må innføringen av krav, maler og rutiner skje gradvis. Bruk av internasjonale standarder innenfor informasjonssikkerhet blir mer og mer vanlig i offentlig sektor. Fra statlig hold (eks i regjeringens Nasjonal strategi for informasjonssikkerhet av desember 2012 punkt 4.1) anbefales bruk av anerkjente standarder (som ISO 27001 om styringssystem for informasjonssikkerhet) for å ivareta informasjonssikkerhet på en helhetlig og systematisk måte. Byråden for finans vil legge til grunn flere av de anbefalingene som følger av internasjonal standard i sitt videre arbeid på området. Dette harmonerer også med kommunens arbeid innenfor intern kontroll og virksomhetsstyring. Elementer som risikostyring, rolle- og ansvarsfordeling, dokumentering av tiltak og rapportering er alle deler av de anbefalingene som følger av ISO 27001. Kommunens egne behov må imidlertid være det sentrale punktet i vurderingen av hvor langt og hvordan kommunen skal legge anbefalinger i slike standarder til grunn. Informasjonssikkerhetsinstruksen og IKT-reglementet IKT-reglementet trekker opp de overordende ansvarslinjene og områdene. IKT-reglementet trekker i hovedsak opp ansvarsområder og subjekter, mens informasjonssikkerhetsinstruksen definerer nærmere hva ansvaret består i. Informasjonssikkerhetsinstruksen og IKT-reglement utgjør dermed til sammen det øverste nivået i hierarkiet av styrende dokumenter på området. Det er allikevel viktig å presisere at informasjonssikkerhet ikke kun er relatert til IKT-området. De særskilte ansvarsområder og subjekter som trekkes opp i IKT-reglementet er viktige innenfor

Side 3 informasjonssikkerhetsområdet, men det ordinære linjeansvaret er allikevel tydelig innenfor informasjonssikkerhet som helhet. Behovet for utdypende regler, veiledere, verktøy og maler Byrådet må trekke opp de overordnede kravene på informasjonssikkerhetsområdet, slik det er gjort i gjeldende instruks. Tverrsektoriell styring og kontroll med informasjonssikkerhet krever mer detaljert konkretisering og veiledning for å være egnet som leveregler for de enkelte aktørene. Dette arbeidet er viktig for å få kommunen til å fungere som en helhetlig sikkerhetsorganisasjon. Innenfor rammen av instruksen vil det bli utarbeidet skriftlig veiledning og anbefalinger om konkrete sikringstiltak innenfor områder som for eksempel tilgangskontroll, fysisk sikring, mal for egenerklæring, mal for ledelsens gjennomgang med mer. Begrepet behandlingsansvarlig i personopplysningsloven Informasjonssikkerhet for personopplysninger er et svært sentralt område av kommunens informasjonssikkerhetsarbeid. Personopplysningsloven, som regulerer personvern, stiller krav om at kommunen (loven bruker begrepet den behandlingsansvarlige ) også skal ivareta informasjonssikkerhet (poppl 13). Personopplysningslovens nedslagsfelt er imidlertid videre enn informasjonssikkerhet. Svært mange av de pliktene som påhviler kommunen som behandlingsansvarlig, som f eks å sørge for at man har tilstrekkelig grunnlag for å behandle personopplysninger, å ivareta de registrertes rettigheter til innsyn osv, ivaretas hos den saksbehandlende enheten. Andre plikter, som å sørge for tilstrekkelige systemtekniske sikringstiltak, faller inn under systemeierens ansvar. Oppgaver og ansvar må fordeles for å bli ivaretatt. Dette er særlig viktig for en så stor kommune som Oslo. De oppgavene kommunen har som behandlingsansvarlig følger linjen nedover, og ordinær instruksjonsmyndighet ligger i linjen. Hovedregelen om linjeansvar synliggjøres også tydelig i IKT-reglementet. I en så stor organisasjon som Oslo kommune kan det imidlertid være forskjellige instanser som ivaretar forskjellige deler av behandlingsansvaret. Dette er kanskje spesielt synlig for informasjonssikkerhet fordi kommunen har et systemeieransvar som er fordelt på systemeier for fellessystemer, sektorsystemer og virksomhetsovergripende systemer, i tillegg til de rent virksomhetsspesifikke systemene. IKT-reglementets bestemmelser om at det skal være en systemeier pr system har til hensikt å sørge for klarhet mht hvem som har ansvar for å anskaffe systemet, sørge for at det er bygget opp slik at det ivaretar god informasjonssikkerhet og forvalte systemet. For fellessystemene innebærer dette at linjeansvaret i disse tilfellene er avgrenset av de oppgavene som eksplisitt er lagt utenom linjen. Enkelt sagt vil da en virksomhet ha ansvar for sin behandling av personopplysninger i fellessystemene, mens Byrådsavdeling for finans har ansvar for å sørge for at systemet har god nok systemfunksjonalitet. En lignende fordeling av ansvar ser vi innenfor basis drift av IKT-systemer. Intern leverandør som leverandør av IKT-tjenester er ansvarlig for operativ informasjonssikkerhet i kommunens infrastruktur. Intern leverandør har myndighet til å inngå avtale med eksterne på vegne av kommunens virksomheter og databehandleravtale med disse, og skal påse at krav til informasjonssikkerhet er ivaretatt. Intern leverandør representerer da kommunen (den behandlingsansvarlige) vis a vis ekstern leverandør og

Side 4 inngår databehandleravtale på vegne av kommunen i henhold til personopplysningsloven. Men den enkelte virksomhet/systemeier legger premissene for innholdet i intern leverandørs avtaler med eksterne, fordi de setter krav til sikkerhetsnivå gjennom tjenesteavtalene. Vis a vis den enkelte borger er det den tjenesteytende instansen som representerer den behandlingsansvarlige, med grunnlag i sitt linjeansvar. Om instruksen Gjeldende instruks er inndelt i hovedområdene fysisk, organisatorisk og systemteknisk sikring. Byråden har i stedet valgt å dele instruksens kapittel om overordende krav til sikring inn i mer konkrete tema for å gi en håndterlig inndeling av området. Temainndelingen samsvarer hovedsakelig med inndelingen i ISO-standardene. Instruksen er konsentrert om hva som skal oppnås, mens detaljer om hvordan man skal gjøre dette vil gis i utfyllende rundskriv, veiledere og maler. Sikkerhetsarbeidet blir i større grad enn i gjeldende instruks satt inn i en helhetlig sammenheng med overordnet styring og kontroll og krav til sikkerhetsarbeidet. Nedenfor følger en omtale av noen sentrale punkter i instruksen. Mål for informasjonssikkerhet og sammenhengen med instruksens krav til fysisk sikring og tilgangskontroll Målet om rett informasjon til rette vedkommende og til rett tid i punkt 2 må sees i sammenheng med informasjonssikkerhetsarbeidets nedslagsfelt. Innbyggernes rett til informasjon etter offentleglova og parters innsynsrett etter forvaltningsloven ligger utenfor det som direkte reguleres av informasjonssikkerhetsinstruksen. Informasjonssikkerhet dreier seg først og fremst om hvordan kommunen skal behandle informasjon, mens rettighetsregler som offentleglova og forvaltningsloven sier noe om hvilken informasjon innbyggerne har krav på innsyn i. Informasjonssikkerhetsarbeidet skal sørge for tilgjengelighet, konfidensialitet og integritet knyttet til kommunens arbeidsprosesser. Tiltak som sørger for riktig autentisering og autorisering er sentrale, og overordnede krav følger av punkt 5.2 og 5.3 i instruksen. Risikovurderinger Den reviderte instruksen inneholder færre krav som dreier seg om risikovurdering, kun et overordnet krav om at arbeidet skal baseres på risikovurderinger. Her vil det være svært aktuelt med utdypende veiledning. Veiledningen må også være harmonisert med krav og veiledere innenfor virksomhetsstyring og internkontroll for øvrig. Ansattes ansvar og opplæring Gjeldende instruks inneholder spesifikke krav til virksomhetenes egen opplæring av ansatte og andre, i forbindelse med bruk av IKT-verktøy. Også nytt forslag inneholder krav om opplæring som et konkret sikkerhetstiltak, men det blir klarere at kommunen som helhet har et ansvar for koordinert og virksomhetsovergripende informasjon og opplæring. Ansvaret er også i mindre grad knyttet til informasjonsteknologi. Krav til kartlegging av informasjon (punkt 4.1) Innenfor informasjonssikkerhet er begrepet informasjonsverdi sentralt. Dette er et samlebegrep som betegner alt det en organisasjon har behov for å sikre, og omfatter sikring av både konfidensialitet, integritet og tilgjengelighet. Alt fra informasjon til

Side 5 systemer og datautstyr, og til og med ansattes kunnskap, kan omfattes av begrepet. Kartlegging av informasjonsverdier og prioritering av disse oppfattes som en aktivitet som har fundamental betydning for å foreta en kvalitetsmessig god risikovurdering. Man kan ikke vurdere hva man skal sette inn tiltak og ressurser på uten at man først har prioritert hva som er viktigst å sikre. Kartlegging av informasjonsverdier kan være en krevende aktivitet første gang man gjør det, og kommunens virksomheter befinner seg på forskjellig nivå. Det vil derfor være hensiktsmessig at instruksen gir rom for en gradvis innføring av kartlegging; at de viktigste verdiene kartlegges først. Den aller viktigste informasjonsverdien kommunen forvalter er informasjon. Instruksen er derfor avgrenset til et krav om kartlegging og verdivurdering av informasjon. Malen vil også gi rom for å si noe om hvilke systemer informasjonen befinner seg i og hvilke typer behandlingsutstyr og lagringsutstyr man bruker (eks ordinært stasjonært utstyr eller håndholdte enheter, minnepinner osv). Her bør man imidlertid bruke en mest mulig klar og enkel mal til å begynne med, og heller bygge denne ut etter hvert. I tillegg vil IKT-instruksen 11 nr 2 bokstav e), om Utviklings- og kompetanseetaten ved intern leverandørs plikt til å føre en samlet systemoversikt, gi en viktig oversikt over systemer. Informasjon om disse systemene må komme fra systemeiernes og virksomhetenes egne kartlegginger. Kontinuitetsplaner og beredskap Informasjonssikkerhetsarbeidet skal integreres i virksomhetsstyringen. Dermed forutsettes det at kontinuitetsplaner sees i sammenheng med det øvrige beredskapsarbeidet og utgjør en naturlig del av øvelser. Økonomiske og administrative konsekvenser Instruksen innebærer i liten grad nye plikter for virksomhetene. Ansvar for å ivareta informasjonssikkerhet følger klart både av gjeldende instruks for informasjonssikkerhet og av kommunens IKT-reglement. Instruksen vil imidlertid føre til at byrådsavdeling for finans, men også de øvrige byrådsavdelingene, får noe mer omfattende oppgaver. Dette forutsettes løst innenfor de personellressursene man har tilgjengelig. I en periode vil det være behov for å sette av ressurser til implementering av nye rutiner, kompetansebygging med mer. Det forutsettes at virksomhetene setter av nødvendige ressurser for å ivareta sine oppgaver. Byrådsavdeling for finans vil tilby informasjon og opplæring som kan hjelpe virksomhetene med implementeringen. Vedtakskompetanse Byrådet er i byrådsreglementet 3 fjerde ledd delegert myndighet til å vedta administrative regelverk som omhandler støttefunksjoner for administrasjonen. Rapporteringsordning Informasjonssikkerhet bør inngå som en del av styringsdialogen og ikke som en særskilt rapporteringsordning. Det foreslås derfor ikke noen særskilt rapporteringsordning.

Side 6 Byråden for finans innstiller til byrådet å fatte følgende vedtak: 1. Byrådet vedtar følgende instruks for informasjonssikkerhet i Oslo kommune: Instruks for informasjonssikkerhet for Oslo kommune 1. Formål og virkeområde 1.1 Formål Formålet med instruksen er a) å sikre grunnlag for god styring og kontroll med informasjonssikkerhetsarbeidet, b) å fastsette felles minimumskrav for informasjonssikkerhet, og c) å fremme god sikkerhetskultur 1.2 Virkeområde Instruksen gjelder for a) all behandling av informasjon i kommunen, både elektronisk og manuell, b) funksjonalitet i systemer som brukes til behandling av informasjon og c) kommunens IKT-infrastruktur Instruksen gjelder for samtlige virksomheter i Oslo kommune. 1.3 Definisjoner a) Følgende begreper brukes med samme betydning som definert i Reglement for informasjons- og kommunikasjonsteknologi og informasjonssikkerhet i Oslo kommune (IKT-reglementet, byrådssak 1099/10): i. informasjonssikkerhet ii. tjenesteavtaler iii. system iv. systemeier b) Behandling av informasjon; enhver bruk av informasjon, som f.eks. innsamling, registrering, sammenstilling, bearbeiding, lagring og utlevering eller en kombinasjon av slike bruksmåter. c) Egenerklæring; en samlet oversikt over sikkerhetstiltak på virksomhetsnivå og for systemeiere for fellessystemer og sektorsystemer. d) Ledelsens gjennomgang; gjennomgang av sikkerhetstilstanden i virksomheten basert på måleparametere som er felles for alle virksomheter og evt særskilte forhold som er relevante for den enkelte virksomhet. e) Informasjonsverdi; informasjon, system, informasjonsbehandlingsutstyr og annet som krever beskyttelsestiltak av hensyn til integritet, konfidensialitet og tilgjengelighet. 1.4 Ansvar, oppgaver og fullmakter De overordnede bestemmelsene om ansvar, oppgaver og fullmakter innenfor informasjonssikkerhet følger av IKT-reglementet. 2. Mål 2.1 Målet for informasjonssikkerhet i Oslo kommune er rett informasjon til rette vedkommende til rett tid.

Side 7 3. Krav til sikkerhetsarbeidet i kommunen 3.1 Ivaretakelse av informasjonssikkerhet skal integreres i virksomhetsstyringen. 3.2 Informasjonssikkerhetsarbeidet i kommunen skal baseres på klar fordeling av roller og ansvar. Virksomhetsledere må beskrive hvordan sikkerhetsarbeidet er organisert i egen virksomhet. 3.3 Risikovurdering skal være en sentral del av arbeidet med sikkerhetstiltak. Konkrete sikkerhetstiltak skal bygge på anbefalte sikkerhetskrav i mal for egenerklæring og dokumenterte risikovurderinger. 3.4 Det er en del av lederansvaret å sørge for at ansatte kjenner sitt ansvar for informasjonssikkerhet i henhold til de oppgavene de har. 3.5 Kommunens virksomheter skal dokumentere at lokale sikkerhetstiltak for ivaretakelse av informasjonssikkerhet er implementert gjennom utfylling av egenerklæring. Det samme gjelder systemeiere for fellessystemer og sektorsystemer. 3.6 Informasjonssikkerhet skal være gjenstand for oppfølgning, regelmessig kontroll og revisjon for å sikre etterlevelse, både internt i den enkelte virksomhet og fra overordnet nivå. Herunder skal ledelsen i den enkelte virksomhet årlig foreta en gjennomgang av informasjonssikkerheten i virksomheten. 3.7 Rapportering fra virksomhet til egen byrådsavdeling om sikkerhetstilstanden i virksomheten skal skje regelmessig med grunnlag i felles kriterier for alle Oslo kommunes virksomheter. 4. Krav til kartlegging 4.1 Det skal foreligge oversikt over rettslige forpliktelser som har betydning for ivaretakelse av personvern og informasjonssikkerhet på kommunenivå, sektornivå og virksomhetsnivå. 4.2 Alle virksomheter må kartlegge og verdivurdere informasjon som må beskyttes i henhold til integritet, konfidensialitet eller tilgjengelighet. 4.3 Oversiktene over rettslige krav og verdivurdert informasjon må brukes som grunnlag for vurdering og prioritering av sikkerhetstiltak i den enkelte virksomhet og for fellesystemer, sektorsystemer og andre ikke-virksomhetsspesifikke systemer. 5. Krav til sikring av informasjon Kravene til sikring av informasjon skal danne grunnlaget for å vurdere hvilke konkrete sikkerhetstiltak virksomheter og systemeiere må gjennomføre for å ivareta konfidensialitet, integritet og tilgjengelighet. 5.1 Den enkeltes ansvar a) Alle som får tilgang til informasjonsverdier plikter å gjøre seg kjent med sitt personlige ansvar for etterlevelse av krav til informasjonssikkerhet slik dette er nedfelt i lover, annet regelverk og brukerinstruks m.v. 5.2 Fysisk sikring

a) Alle virksomheter må iverksette nødvendige tiltak for å hindre uvedkommende adgang til virksomhetens informasjonsverdier. b) Alle virksomheter må iverksette tiltak for å avverge og redusere skade på informasjon og IKT-utstyr som følge av uautorisert adgang eller miljømessige trusler som f eks brann eller vannskader. Side 8 5.3 Tilgangskontroll a) All tilgang til informasjon og systemer i Oslo kommune skal være i samsvar med tjenstlig behov. Det innebærer vurdering og bruk av tiltak som f eks 1. Autentiseringsmekanismer i systemene 2. Autoriseringsprosesser ved tildeling, endring og avslutning av tilgang 3. Sikring av bærbart utstyr 4. Sikring av tilgangskontroll i nettverk. Dette gjelder blant annet begrensning og kontroll av systemverktøy for overstyring, identifikasjon av utstyr, dedikerte soner for sensitive personopplysninger og annen informasjon som krever særskilt konfidensialitetsbeskyttelse. 5.4 Anskaffelser, utvikling og vedlikehold av systemer a) Krav knyttet til informasjonssikkerhet må ivaretas allerede ved planlegging av anskaffelser av systemer. b) Krav til sikkerhet må inngå i kravspesifikasjon og andre avtaledokumenter, herunder databehandleravtale etter personopplysningsloven 13. c) Systemers sikkerhetsfunksjonalitet må testes før produksjonssetting og versjonsoppgradering. Reelle persondata kan kun brukes dersom dette er nødvendig for å utføre testen og sikkerheten må være den samme som ved reell bruk. d) Kommunens systemer må jevnlig gjennomgås for å avdekke behov for sikkerhetsmessige oppdateringer og endringer. e) Systemeier må sørge for nødvendig kontroll av at avtalte sikkerhetskrav overholdes. 5.5 Drift av systemer og IKT-infrastruktur a) Drift av systemer, maskiner, nettverk og programvare skal skje i henhold til dokumenterte prosedyrer som sørger for effektiv og sikker drift med tydelige ansvarsroller. b) Tjenesteavtaler, avtaler med eksterne leverandører og eventuelle andre avtaler om drift må ivareta informasjonssikkerhet og aktivt følges opp. c) Det skal etableres tiltak mot ødeleggende kode. d) Sikkerhetskopiering av informasjon og programvare må være iverksatt på grunnlag av vurderte behov og følges opp jevnlig. e) Informasjonsbehandlingsutstyr og lagringsmedier må sikres mot uautorisert tilgang. f) Det må etableres tilstrekkelig overvåking av systemer for å forebygge, oppdage og redusere skade som følge av feil, manipulering og uautoriserte handlinger. 5.6 Hendelseshåndtering a) Varsling og håndtering av hendelser (avvik, feilsituasjoner eller fare for slike) skal skje så nær hendelsen som mulig, og i henhold til dokumenterte rutiner for varsling og håndtering. b) Det skal være enhetlige rutiner for etterfølgende rapportering av hendelser. c) Rutiner for varsling og håndtering av hendelser knyttet til forvaltning eller drift av systemer må foreligge fra systemeier for så vidt gjelder fellessystemer, sektorsystemer og tverrsektorielle systemer. 5.7 Kontinuitetsplanlegging a) Det skal foreligge planer over tiltak som skal iverksettes dersom det oppstår en situasjon som kan eller er i ferd med å utvikle seg til et større uhell eller en katastrofe som kan gi avbrudd i virksomhetens tjenesteproduksjon.

Side 9 b) Planer over tiltak som nevnt under punkt a skal også foreligge for drift av systemer. Utarbeidelse av slike planer må foreligge fra systemeier for så vidt gjelder fellessystemer, sektorsystemer og tverrsektorielle systemer. 2. Fra vedtaksdato oppheves Instruks for informasjonssikkerhet (vedtak i byrådssak 1316/02) med veiledning. Byrådsavdeling for finans, den Hallstein Bjercke Byrådet tiltrådte innstillingen fra byråden for finans. Byrådet, den Stian Berger Røsland Vedlegg tilgjengelig på Internett: Vedlegg ikke tilgjengelig på Internett: ingen ingen

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding