Det övergripande målet med informationssäkerhet är att skydda kommunens verksamheter mot avbrott och minimera risken för att information hanteras på ett felaktigt sätt. Informationssäkerhet är en integrerad del i kommunens ledningssystem, verksamhetsplanering och riskhantering.
Program för stärkt informationssäkerhet
Programmet ger den politiska viljeinriktningen och mål för informationssäkerhetsarbetet, vilket motsvarar policy för informations- och cybersäkerhet (ISO 27000-serien[1]). Tillhörande handlingsplaner innehåller tidsatta aktiviteter för stärkt informationssäkerhet och dataskydd. Innehållet i Vägledning för informationssäkerhet motsvarar riktlinjer i ISO 27000-serien.
Roller och ansvar
Enligt Beslut för informationssäkerhet ska samtliga av kommunens chefer med verksamhetsansvar arbeta i riktning mot det mål som uttrycks i Program för informationssäkerhet. Det innebär att:
- Införa ett systematiskt och riskbaserat arbetssätt för informationssäkerhetsarbete.
- Väsentliga risker identifieras och hanteras med lämpliga riskhanteringsåtgärder.
- Tillse att verksamheten har erforderlig kompetens inom området.
- Tillse att uppkomna incidenter som medför eller kan medföra betydande störningar adresseras och inrapporteras på tillbörligt vis.
- Tillse att informationssäkerhetsplanering är en beståndsdel i verksamhetens samlade kontinuitetsplanering.
- Tillse att verksamheten klassificerar information utifrån konfidentialitet, riktighet och tillgänglighet (KRT)
För samtliga ovanstående punkter ska informationssäkerhetsteamet bistå verksamheten med vägledning och operativt stöd.
Vidare har alla som arbetar inom och för kommunen en skyldighet att hålla sig uppdaterade om vad som gäller för säker hantering av kommunens informationstillgångar och personuppgifter. I det ingår att bidra till en god informationssäkerhet genom att följa rutiner och anvisningar för säker informationshantering, utveckla kompetens och säkerhetsmedvetande genom att gå anvisade utbildningar, vara uppmärksam och anmäla olika säkerhetshändelser. Om något är oklart, fråga närmaste chef eller informationssäkerhetsteamet om råd.
Ansvarsuppdelningen i förvaltningen
|
Kommundirektör |
Övergripande ansvar för informationssäkerhetsarbetet |
|
Stabschef |
Övergripande ansvar för dataskyddsarbetet |
|
Chefer på kontors-, verksamhets- och enhetsnivå är samtliga informationsägare |
Ansvar för att den egna verksamhetens information är riktig, tillförlitlig och hanteras på rätt sätt. |
|
Kontaktpersoner för dataskydd är personer som utsetts för att tillsammans med dataskyddssamordnaren |
Säkerställa en säker hantering och ett ändamålsenligt skydd av personuppgifter genom hela dess livscykel. |
|
Dataskyddsombud |
Uppdrag att ge stöd och rådgivning till kommunens tjänstepersoner i GDPR-frågor samt att stötta det interna dataskyddsarbetet då viktiga dataskyddsfrågor behandlas. |
|
Systemägare är chefer |
Ansvar för budget, avtal och att säkerhetsåtgärder i informationssystem införs, förvaltas, följs upp och utvärderas. |
|
Systemförvaltare |
Operativt stöd till system- och informationsägare. |
|
Informationssäkerhetsteamet - medarbetare med kompetens inom informationssäkerhet, cybersäkerhet och dataskydd |
Huvuduppgift att stödja chefer, systemägare, informationsägare och medarbetare i det systematiska informationssäkerhetsarbetet i linje med styrdokument. |
|
Personuppgiftsansvariga är kommunens politiska organ, dvs. nämnderna |
Respektive nämnd är ansvarig för sin egen verksamhet och för att personuppgifter behandlas enligt GDPR. |
|
Personuppgiftsbiträden |
Behandlar personuppgifter för den personuppgiftsansvarigas räkning. För parterna ska det alltid finnas ett PUB-avtal. |
|
Säkerhetsskyddschef |
Ansvar för att hantera information i säkerhetsskyddsklass. |
|
Dataskyddsamordnare |
Ansvar för att bevaka och samordna arbetet med dataskydd och säkerställa en säker hantering av personuppgifter. Detta i linje med kommunens ledningssystem, externa krav och GDPR. I rollen ingår att samarbeta med kontaktpersoner för dataskydd, ge stöd till kommunens chefer och verksamheter samt att hålla kontakt med dataskyddsombudet – och Integritetsskyddsmyndigheten (IMY) vid behov. |
|
Informationsäkerhetssamordnare |
Ansvar att utveckla, stödja och samordna kommunens informationssäkerhetsarbete i linje med kommunens ledningssystem och externa krav. I rollen ingår att samordna informationssäkerhets-teamet, samarbeta med och ge stöd och vägledning till informationsägare, kommunens chefer och verksamheter. Även att föreslå sådana rutiner som informationssäkerhetssamordnare ser behov av. Innehållet i dessa beslutas av, beroende av innehåll, antingen av kommundirektör, stabschef eller verksamhetschef för digitalisering och projektledning. |
Vägledning och stöd
Under vägledning och stöd finns såväl stödjande och styrande dokument och verktyg som underlättar arbetet. På osthammar.se finns Program för informationssäkerhet och information riktad till externa intressenter
------------------------------------
[1] Ledningssystem och systematiskt arbete enligt ISO 27000 - Svenska institutet för standarder, SIS (länk till extern hemsida)