Informasjonssikkerhet

Målet med informasjonssikkerhet er å sikre at informasjon i alle former:

  • ikke blir kjent for uvedkommende (konfidensialitet)
  • ikke blir endret tilsiktet eller utilsiktet av uvedkommende (integritet)
  • er tilgjengelig ved behov (tilgjengelighet)
  • Robusthet

Sikkerhetsmål og sikkerhetsstrategi for informasjonssikkerhet og personvern i Inderøy kommune

Inderøy har utarbeidet en Informasjonssikkerhet- og personvernhåndbok som er kommunens styringssystem/strategidokument når det kommer til informasjonssikkerhet og personvern.

Håndboka er utviklet i et samarbeid med Steinkjer kommune i perioden 2017-2023.

Dette strategidokumentet for informasjonssikkerhet gjelder all informasjonsbehandling som skjer internt i kommunen og som kommunen har ansvaret for eksternt. Dette omfatter all behandling, lagring og kommunikasjon av informasjon både muntlig, på papir og digitalt. All bruk av IT-ressurser (infrastruktur, maskinvare og programvare) er også inkludert.

Informasjonssikkerheten i kommunene er regulert av en rekke lover og regler, og håndboka er utarbeidet i tråd med disse.

Sikkerhetsmål

Kommunenes behandling av informasjon skal være i samsvar med regulatoriske, interne og avtalerettslige krav til informasjonssikkerhet. Personopplysninger og annen beskyttelsesverdig informasjon skal sikres på en tilfredsstillende måte gjennom fysiske, tekniske og organisatoriske tiltak.

Kommunene jobber aktivt med å digitalisere kommunale tjenester i alle sektorer. En viktig målsetting med dette arbeidet er at innbyggerne skal kunne stole på at det er trygt å bruke kommunens digitale tjenester. Denne strategien skal også ligge til grunn for å sikre at nye tjenester etableres med fokus på innebygd personvern.

Inderøy kommunes sikkerhetsmål er som følger:

Konfidensialitet

Personopplysninger og annen beskyttelsesverdig informasjon som behandles i kommunene skal være beskyttet mot uautorisert tilgang.

Personopplysninger behandles konfidensielt og kan bare deles med andre medarbeidere i den grad det er tjenstlige behov. Dette gjelder også personopplysninger om egne arbeidstakere.

Integritet

Behandlingen skal sikre at informasjonen er korrekt, oppdater og formålstjenlig.

Tilgjengelighet

Informasjonssystemet er tilgjengelig for autoriserte brukere ved behov.

Robusthet

Virksomheten og informasjonssystemet er motstandsdyktig og robust.

Når uønskede fysiske eller tekniske hendelser inntreffer, bidrar beredskapstiltak til å begrense skaden og at kommunene raskt kommer tilbake til normal drift. Dette inkluderer å gjenopprette tilgjengelighet og tilgang til personopplysninger i rett tid.

Sikkerhetsstrategi

Informasjonssikkerhetsarbeidet skal:

  • være forankret i linjen og utføres systematisk
  • gjennomføres for å nå målene for informasjonssikkerhet
  • være risikobasert og følge anerkjente standarder
  • følge prinsippene for læring og kontinuerlig forbedring

Det innebærer at:

  • risikovurderinger gjennomføres systematisk, periodisk og ved vesentlige endringer i oppgaver eller omgivelsene
  • tiltak for å redusere risiko er basert på risikovurderinger og ledelsens føringer for risikohåndtering og akseptabel risiko
  • hendelser som ut fra risiko kan påvirke informasjonssikkerhetsmålene negativt, meldes og følges opp på en systematisk måte
  • ledelsen systematisk styrer og følger opp informasjonssikkerhetsarbeidet
  • ledelsen systematisk følger opp måloppnåelse, etterlevelse, kompetanse og kultur.
  • arbeidet med informasjonssikkerhet er etablert som et samarbeid mellom kommunene for å bygge kompetanse og redusere sårbarhet

For å lykkes med dette skal alle ansatte:

  • ha et bevisst forhold til virksomhetens sikkerhetsmål og målenes viktighet
  • vite hvilke typer av informasjon de behandler og hvilke krav som stilles til deres egen informasjonsbehandling og bruk av IKT
  • etterleve krav, retningslinjer, prosedyrer, rutiner m.v. som gjelder for dem og det arbeidet de utfører.

Sikkerhetsstrategiene gjøres kjent av kommunens ledelse.

Sikkerhetsvalg

Klassifisering av informasjon

Vi bruker her tre beskyttelsesnivå for informasjonen – åpen, intern og kritisk med hensyn til konfidensialitet.

  • Åpen informasjon er informasjon uten beskyttelsesbehov, slik som publikasjoner, dokumenter som er vurdert som offentlige (forhåndsvurdert av arkiv, gitt innsyn i eller publisert) og presentasjoner vi har holdt.
  • Intern informasjon er all annen informasjon. Dette inkluderer:
    • Alle dokumenter på filområder som ikke er vurdert mht. offentlighet
    • Alle dokumenter som er vurdert som ikke-offentlige (men ikke kritiske)
    • Alle dokument om interne forhold i kommunene
    • E-postkommunikasjon internt og eksternt
    • Notater og skriblerier (inklusive post-it, saksomslag etc.)
    • Kritisk informasjon er alle dokument med et høyt beskyttelsesnivå mht. konfidensialitet. Dette inkluderer:
      • Sensitive personopplysninger og personnummer
      • Opplysninger om personlige forhold hvor lekkasje kan få alvorlige konsekvenser for enkeltpersoner - som ved en arbeidslivskonflikt
      • Opplysninger om forhold hvor lekkasje kan få alvorlige konsekvenser for eksterne virksomheter eller kommunene (og hvor forholdet ikke skal være offentlig kjent)
      • Opplysninger av betydning for kommunenes informasjonssikkerhet
      • Opplysninger av betydning for andre virksomheters informasjonssikkerhet

Systemteknisk sikkerhet – nødvendig sikkerhetsnivå

Avhengig av det aktuelle system og informasjonen som behandles, vil de ulike aspektene ved sikkerhet (konfidensialitet, integritet, tilgjengelighet og robusthet) ha ulik betydning. Følgende kategorisering benyttes for beskyttelsesbehov:

  • Høy – gis bare datasett og informasjon med virksomhetskritisk beskyttelsesbehov og sensitive personopplysninger.
  • Middels – gis system og datasett med beskyttelsesbehov
  • Lav (lave krav til sikkerhet) – kan gjelde alle system og informasjon med lite eller ingen beskyttelsesbehov.

Ulike delsystem og datasett kan ha ulike beskyttelsesbehov. Informasjon om sikkerhetsnivå er dokumentert i behandlingsprotokollen (Orden i eget hus).

Ulike sikkerhetstiltak vil være:

  • Tekniske sikkerhetstiltak
  • Organisatoriske sikkerhetstiltak
  • Fysiske tiltak

I tillegg vil opplæring av ansatte være et sikkerhetstiltak.

Kommunens fagapplikasjoner/fagsystemer

Applikasjoner registreres i verktøyet Fiks digiorden.

For kommunenes spesifikke applikasjoner, det vil si applikasjoner som benyttes i kommunens tjenesteleveranse gjelder følgende:

  • Ansvaret for håndtering av sikkerhetsbehov i kommunenes spesifikke applikasjoner ligger hos systemeieren. Utøvende ansvar kan delegeres til prosjektleder eller andre navngitte personer. Ansvaret for teknisk sikkerhet ligger hos IT-avdelingen.
  • All programvare skal utvikles på bakgrunn av detaljerte kravspesifikasjoner der også krav til innebygd personvern, personvern som standardinnstilling og sikkerhet inngår.
  • Innebygd personvern, personvern som standardinnstilling og teknisk sikkerhetsnivå skal verifiseres i alle prosjektets faser ved utvikling.
  • Før programvaren/systemer settes i produksjon, skal teknisk sikkerhetsnivå, innebygd personvern og personvern som standardinnstilling verifiseres. Ved feil eller mangler skal retting av eventuelle feil/mangler gjennomføres før systemet settes i produksjon. Rettelser av feil og mangler skal verifiseres.
  • Før programmer eller systemer settes i produksjon skal rutiner for drift, proaktiv overvåkning og beredskap være iverksatt.
  • Verifikasjon av sikkerhet og personvern gjennom test skal utføres av andre personer enn de som har vært med på å utvikle systemet eller personer som drifter systemer. Sikkerhetsansvarlig har ansvaret for selve gjennomføringen av testen og formidler resultatene tilbake til prosjektet.
  • Alle nye systemer som behandler personopplysninger, skal være objekt for ROS-analyse i planleggingsfasen.

Bruk av databehandlere og underleverandører

Kommunenes bruk av databehandlere og leverandører skal reguleres i kontrakter/avtaler, hvor også bestemmelser om informasjonssikkerhet inngår. Alle avtaler hvor en ekstern virksomhet påtar seg oppdrag for kommunene som også omfatter informasjonssikkerhet, skal baseres på avtaler som minst samsvarer med kravene som er gitt i personvernforordningen artikkel 28 og 29.

Systemeier kan ikke engasjere nye leverandører uten at dette avklares med informasjonssikkerhetsansvarlig og IT-leder. Eksterne virksomheter eller personer kan ikke gis tilgang til virksomhetens informasjonssystem med mindre dette skjer som ledd i en godkjent avtale.

Publisert 26.02.2025 10:50
Sist endret 28.02.2025 07:27