Overordnet informationssikkerhedspolitik

Kommunalbestyrelsen har godkendt denne informationssikkerhedspolitik som den overordnede ramme for den generelle informationssikkerhed overalt i organisationen.

Sikkerheden i informationer og informationssystemer er af største betydning for den daglige drift af Kalundborg Kommunes IT-leverance. Henholdsvis den interne - til organisationens medarbejdere, og den eksterne til borgere, samarbejdspartnere og virksomheder.

Kalundborg Kommune skal overholde lovmæssige krav samt implementere
sikkerhedsforanstaltninger, der tilgodeser alle, der har relationer til organisationen. Det være sig borgere, leverandører, samarbejdspartnere og medarbejdere.
Målet for informationssikkerhedspolitikken er at beskytte informationer og informationssystemer uafhængigt af, hvor disse måtte findes.
Målet for informationssikkerhedspolitikken er endvidere at tilkendegive klart over for alle med en relation til organisationen, at der er udstukket regler og procedurer til regulering af brugernes adfærd ved anvendelsen af informationer og informationssystemer.

Sikkerhed for høj driftsstabilitet, i forhold til tilgængelighed og funktionalitet, er endvidere et væsentligt mål for informationssikkerhedspolitikken.
Enhver, der kommer i berøring med organisationens informationer og informationssystemer, har et medansvar for at opretholde den generelle informationssikkerhed.
Med henblik på at opretholde en informationssikkerhedspolitik, fastlægger den øverste
sikkerhedsansvarlige (Kommunaldirektøren) en konkret og anvendelig overordnet politik. Denne politik udbygges med instrukser og retningslinjer på områder, hvor der er behov for det. Den samlede politik danner derefter grundlaget for informationssikkerheden i hele organisationen.

Kommunalbestyrelsens mål med informationssikkerhedspolitikken er at sikre, at IT-anvendelsen overholder gældende lovgivning, således at organisationen altid fremstår som en respekteret og tillidsvækkende myndighed, og samtidig understøtter det tværgående samarbejde i kommunen.

Det er desuden Kommunalbestyrelsens mål:

• At opretholde et stabilt, højt tilgængeligt og funktionelt IT-service-niveau overfor samtlige brugere.
• At forebygge, forhindre og begrænse tab af data og andre IT-værdier mod tyveri, hærværk samt anden tilsigtet/utilsigtet ødelæggelse.
• At forebygge hhv. begrænse skader til en, for organisationen kendt og accepteret, størrelse.
• At sikre organisationens fortsatte driftsevne ved hjælp af en beredskabsplan efter følgerne af en eventuel skadevoldende hændelse inden for en accepteret tidshorisont.
• At beskytte organisationens informationer og informationssystemer mod uvedkommendes adgang, manipulation, indsigt eller forsøg herpå.
• At sikre, at enhver sikkerhedsmæssig følsom IT-aktivitet kan henføres til den person, som har udført aktiviteten, samt at sikre gennemførelsen af fornødne sikkerhedsforanstaltninger til opdagelse af misbrug og forsøg herpå.
• At sikre, at organisationens udvikling og implementering af nye IT-aktiviteter - internt-, borger- eller virksomhedsrettede services - udføres under iagttagelse af betryggende sikkerhedsforanstaltninger.
• At sikre ledelsesmæssig opfølgning på IT-udvikling, -sikkerhed og -drift.
• At anvende danske og evt. internationale standarder som reference og grundlag for ITsikkerhedsarbejdet i organisationen.
• At Kalundborg Kommune, som offentlig myndighed, praktiserer både digital forvaltning og digital Borgerservice på sikker vis.

Informationssikkerhedspolitikken uddybes i Informationssikkerhedshåndbogen/-regler,
retningslinjer og forretningsgange.

Informationssikkerhedspolitikken er gældende for alle, uden undtagelse, med en fysisk eller logisk adgang til kommunens systemer, data og informationer.
Informationssikkerhedspolitikken omfatter alle typer af informationer, herunder lyd, billede og tekst - uanset hvordan informationerne anvendes og opbevares.

Sikkerhedsmålsætning:

"Vi vil have et tilstrækkeligt informationssikkerhedsniveau for alle med relation til kommunen og for anvendelsen af informationsaktiver."

Et tilstrækkeligt informationssikkerhedsniveau opnås igennem sikringsforanstaltninger, der sikrer:

1. Fortrolighed, integritet og tilgængelighed af kommunens systemer og data i forhold til den risikovurdering, der er fastsat for det enkelte system/data.
2. Beskyttelse af kommunens informationsaktiver, organisationens image og informationer/data i kommunens varetægt.
3. Sikring af databeskyttelse for fysiske personer, herunder ved efterlevelse af databeskyttelseslovgivningen.

For at fastholde det tilstrækkelige sikkerhedsniveau i kommunen skal følgende overholdes:

• Der skal være implementeret retningslinjer og forretningsgange, som sikrer, at informationssikkerhed er en integreret del af kommunens drift og daglige arbejde.
• Kommunen skal gennem kontrakt- og leverandørstyring sikre, at brugen af eksterne konsulenter, samarbejdspartnere og leverandører ikke udhuler kommunens informationssikkerhedsniveau.
• Kommunen skal sikre en struktureret og kontinuerlig forbedringsproces af arbejdet med informationssikkerhed.

Organisering af informationssikkerhed

Informationssikkerhedsudvalget

I Kalundborg Kommune er nedsat et informationssikkerhedsudvalg, som består af Kommunaldirektøren (formand), Direktøren for Digitalisering og IT, Digitaliserings og IT-chefen, Sekretariatschefen, Chefjuristen og Informationssikkerhedskoordinatoren.
Informationssikkerhedsudvalget sætter mål og rammer for informationssikkerheden og sørger for, at informationssikkerheden realiseres og efterleves i organisationen. Udvalget har således det daglige ansvar for styring af informationssikkerheden. Udvalget er samtidig ansvarligt for, at der udpeges en databeskyttelsesrådgiver i organisationen.

Informationssikkerhedsmålsætning:

"Alle har ansvar for informationssikkerhed. De er bekendte med og efterlever vores
informationssikkerhedspolitik, informationssikkerhedshåndbog/-regler, retningslinjer og
forretningsgange i kommunen."

Den nødvendige viden og kompetence om informationssikkerhed kommunikeres til alle, der arbejder med kommunens informationer, og der bliver løbende arbejdet med holdninger og viden om informationssikkerhed.

Ansvar for informationssikkerhed

Ledelsen er ansvarlig for, at informationssikkerheden overholdes og udbredes til medarbejderne.

Kommunaldirektørens/Direktionens ansvar:

Direktionen har det overordnede ansvar for informationssikkerheden i organisationen, herunder at fastlægge sikkerhedsniveauet samt skabe de nødvendige rammer for implementering og vedligeholdelse af informationssikkerhed i Kalundborg Kommune.

Niveau 2-ledernes ansvar:

Niveau 2-ledere er ansvarlige for operativ implementering af - og løbende kontrol med -
informationssikkerheden inden for eget ansvarsområde. Ansvaret indebærer blandt andet
udfærdigelse af retningslinjer, nødberedskabsplaner, risikovurdering og procedurer samt kontrol med overholdelse af disse. Det er endvidere lederens ansvar, at der forefindes opdateret overblik over proces-, system- og dataejerskab, samt at der løbende sker uddannelse af medarbejderne, således at medarbejderne har de nødvendige kompetencer til at håndtere informationer sikkert.

Hvis der opstår situationer, hvor kravene i Informationssikkerhedshåndbogen ikke kan efterleves, skal der skriftligt anmodes om dispensation i Informationssikkerhedsudvalget.

Alle i kommunen er forpligtet til at efterleve den - til enhver tid - gældende
informationssikkerhedspolitik med tilhørende regler, retningslinjer, forretningsgange og relaterede bilag. En overtrædelse kan, efter omstændighederne, medføre sanktioner.

Ovenstående informationssikkerhedspolitik erstatter tidligere informationssikkerhedspolitikker.

Vedtaget af Kommunalbestyrelsen 26. februar 2020
Godkendt af Direktionen 31.maj 2022
Senest godkendt af Informationssikkerhedsudvalget 15. marts 2023 og af Direktionen 30. maj 2023.

Overordnet informationssikkerhedspolitik 3.2