Säkerhet

Antagen av kommunfullmäktige 2005-02-07

 

Definition

IT-säkerhet innefattar all säkerhet kring Sorsele kommuns IT-verksamhet. Såväl administrativa som praktiska skyddsåtgärder avses. Till de administrativa åtgärderna kan
t ex IT-strategi, IT-säkerhetspolicy, ansvarsfördelning, bedömning av säkerhetsåtgärder, behörighetsregler, riskanalys och katastrofplan räknas. Driftmiljö, åtkomstskydd, behörighetsadministration, säkerhetskopiering mm betecknas som praktiska skyddsåtgärder.

 

Bakgrund

 

Lagar och författningar som styr IT-verksamheten

Den kommunala verksamheten är reglerad i olika lagar och författningar. Regleringen har flera syften. Några i detta sammanhang viktiga syften är:

o att garantera att verksamheten sker i demokratiska former.
o att garantera medborgarna insyn i och kontroll av förvaltningen.
o att förhindra maktmissbruk och garantera medborgarnas rättssäkerhet.
o att skydda den enskildes integritet.

 

IT-utvecklingen i Sorsele kommun

IT-utvecklingen inom Sorsele kommun har under de senaste åren präglats av att allt fler system körs lokalt i kommunens nätverk. Tidigare låg dessa system på stordatorer hos externa dataföretag. Utöver denna hemtagning av system har ett stort antal nya system införts. Detta har lett till att kommunen använder datorer inom allt fler områden för att stödja, utveckla och effektivisera verksamheten. Kraven på snabb och relevant information ökar därför hela tiden. Kommunen är idag beroende av IT i det dagliga arbetet. Den tekniska utvecklingen medger också alltmer integrerade och avancerade system. Informationen skall finnas lätt tillgänglig för de flesta och till vissa delar även för allmänheten.

 

Syfte

Lagstiftningens krav och kraven från kommunens olika verksamheter gör att IT-verksamheten måste bedrivas så att:

o obehöriga ej kommer åt sekretessbelagda uppgifter.
o obehöriga inte kan förvanska uppgifter i de olika systemen.
o kommunen inte lider ekonomisk skada till följd av obehörigt intrång i olika system.
o onödiga driftstopp inte uppkommer.

Dessa krav gör att Sorsele kommun hela tiden måste bedriva ett aktivt IT-säkerhetsarbete.
Kommunens IT-säkerhetspolicy utgör grunden för detta arbete.

Ansvar

 

Övergripande ansvar

o Sorsele kommun är en enhet och det är viktigt att kommunen som helhet lever upp till de lagar och bestämmelser som reglerar användandet av IT-stöd i verksamheten.
o För att kommunen skall kunna tillgodogöra sig de positiva effekterna av infört IT-stöd är det viktigt att ett aktivt säkerhetsarbete bedrivs.
o Särskild uppmärksamhet skall fästas på integritets- och behörighetsfrågor.
o För att effektivt hantera säkerhets- och behörighetsfrågor skall kommunens bestämmelser noga följas.

 

Nämndens ansvar

o Varje nämnd har huvudansvar för sin verksamhet och dess utveckling.
o Nämnderna är enligt Personuppgiftslagen direkt personuppgiftsansvarig för personregister som förs för nämndens räkning.
o Sorsele kommuns avdelningar skall driva IT-säkerhetsfrågor i enlighet med kraven från lagar, förordningar och föreskrifter.
o Dessutom skall IT-säkerheten anpassas till den egna verksamhetens behov samtidigt som god registersed följs.

 

IT-enhetens ansvar

IT-enheten samordnar Sorsele kommuns IT-säkerhetsarbetet.

 

PC-användarnas ansvar

Personer som utnyttjar IT i sitt dagliga arbete skall följa kommunens övergripande regler för IT-säkerhet och lokala regler för olika verksamhetssystem.

 

IT-säkerhetsdokument

Detaljbestämmelser IT-säkerhetspolicy - bilaga 1.

 

Övriga IT-säkerhetsdokument

Kommunens alla IT-säkerhetsdokument skall finnas samlade på Intranet. På Intranet
skall också utdrag ur lagar och förordningar som berör området finnas samlade.

 

Giltighet

o IT-säkerhetspolicyn skall följas av samtliga nämnder och förvaltningar inom Sorsele kommun.
o På alla enheter inom kommunen som arbetar med datorer skall IT-säkerhetspolicyn finnas lätt tillgänglig. Berörd personal skall vara väl informerad om policyn.

 

 

Detaljbesämmelser

 

1. Behörighetsadministration

Vem som ska vara behörig till olika system eller delar av system i
datanätet bestämmes av respektive nämnd.

Behörighetssystemet på nätnivå administreras av IT-enheten.

Behörighetssystemet på systemnivå administreras av datasystemansvarig.

 

2. Förvaltning, förändringar och avveckling av befintliga system

Beslutas av respektive nämnd. Samråd och utredningar om drift och förändringar ska alltid ske i god tid med IT-enheten. Se även ”Driftgodkännande av IT-system”

 

3. Användande av arbetsgivarens datautrustning.

Policy för anställds användande av arbetsgivarens datautrustning

Datorer som arbetsgivaren ställer till förfogande är arbetsredskap och ska användas för fullgörande av den anställdes arbetsuppgifter.

Lagringsmedier som är skapade utanför organisationen, så som disketter, CD-skivor mm skall med största försiktighet nyttjas, detta för att minska risken för virus.

Programvara får inte installeras utan godkännande från IT-Enheten på arbetsgivarens datorer. Detta gäller även licensierade programvaror.

Fildelnings- och chatt-program är inte tillåtet.

Lokal e-postklientprogram får inte installeras på arbetsgivarens datorer.

Arbetsgivarens datorer får inte heller anslutas mot Internet eller databaser via modem eller på annat sätt än genom arbetsgivarens tillhandahållna anslutningar.

Arbetsgivarens datorer får inte hårdvarumässigt förändras eller kompletteras av den anställde.

Det är inte tillåtet att via Internet titta/lyssna på material av pornografisk, rasistisk, nazistisk karaktär. Förbudet gäller också material som är diskriminerande (religion, kön, sexuell läggning, nationalitet etc) eller har anknytning till kriminell verksamhet eller satanism. Tänk på att du representerar organisationen och skall således agera i enlighet med de etiska värderingar, så att det du förmedlar på nätet inte skadar oss. Du lämnar spår efter dig i form av organisationens adress.

 
Missbruk av arbetsgivarens datorer som kommer till IT-enhetens kännedom rapporteras till användarens närmast överordnade.

Vad som sägs ovan gäller också praktikanter m m.

Delar av trafiken från och till datorer ska loggas regelmässigt. Stickprovskontroller av att information endast användes av behörig personal kommer att ske. Överträdelser rapporteras till närmaste chef.

Allvarliga överträdelser kan komma att polisanmälas.

 

4. Användande av skolans datautrustning
Policy för elevers användande av skolans datautrustning

Datorer som skolan ställer till förfogande är arbetsredskap. Skolan har rätt att bestämma hur utrustningen får användas.

Lagringsmedier som är skapade utanför organisationen, så som disketter, CD-skivor m.m. får inte utan särskilt tillstånd nyttjas på skolans datorer.

Programvara får inte installeras utan godkännande från IT-Enheten på skolans datorer. Detta gäller även licensierade programvaror.

Fildelnings- och chatt-program är inte tillåtet.

Lokal e-postklientprogram får inte installeras på skolans datorer.

Skolans datorer får inte heller anslutas mot Internet eller databaser via modem eller på annat sätt än genom skolans tillhandahållna anslutningar.

Skolans datorer får inte hårdvarumässigt förändras eller kompletteras av den anställde.

Det är inte tillåtet att via Internet titta/lyssna på material av pornografisk, rasistisk, nazistisk karaktär. Förbudet gäller också material som är diskriminerande (religion, kön, sexuell läggning, nationalitet etc.) eller har anknytning till kriminell verksamhet eller satanism. Tänk på att du representerar skolan och skall således agera i enlighet med de etiska värderingar, så att det du förmedlar på nätet inte skadar oss. Du lämnar spår efter dig i form av  organisationens adress.

Missbruk av skolans datorer som kommer till IT-enhetens kännedom rapporteras till användarens närmast överordnade.

Delar av trafiken från och till datorer ska loggas regelmässigt. Stickprovskontroller kommer att ske. Överträdelser rapporteras till lärare.

Allvarliga överträdelser kan komma att polisanmälas.

 
5. Distansarbete och mobil datoranvändning

Distansarbete skall godkännas av avdelningschef.

Anmälan sker till IT-enheten som har att utreda säkerhetskrav för aktuell information samt efter beställning vidta erforderliga åtgärder för att säkerställa arbete på distans.

För mobil datoranvändning gäller att sekretessbelagda uppgifter inte får lagras på bärbara datorer.

Godtagbara lösningar för backup på information på bärbara datorer ska finnas. 

 

6. Virusprogram och brandväggar

IT-enheten ska svara för att virusprogram och brandväggar finns i erforderlig omfattning.

Varje användare av datorer i kommunen svarar för att virusprogram används och uppdateras enligt anvisningarna.

 

7. IT-säkerhetsutbildning

All personal som använder datorer i tjänsten ska genom respektive nämnd erhålla en grundutbildning i IT-säkerhet.

Utbildningen ska omfatta minst information om följande punkter.

1. Virus och virusprogram.
2. Mailens säkerhetsproblem.
3. Inkoppling av annan utrustning.
4. Installation av främmande programvaror.
5. Informationsutbyte över internet
6. Inloggning och utloggning till databaser med känslig information.
 
Grundutbildningen ska fortlöpande kompletteras med påbyggnadsutbildning i säkerhetsfrågor. IT-enheten ska vara behjälplig med säkerhetsutbildningens utformning.

 

8. Datasystemansvar

Nämnd ansvarar för att utse datasystemansvarig för sina IT-system.

Systemansvarig är den person som svarar för systemets uppläggning, behörighetsadministration, säkerhet och uppdateringar/ förändringar. Systemansvarig ska vara väl insatt i systemet och bör vara van användare i systemet. Systemansvarig ska svara för systemanknuten dokumentation.

Nämnd ska ansvara för att systemansvarig har en ersättare som har tillräckliga kunskaper överta den systemansvariges arbetsuppgifter vid dennes frånvaro.

 

9. Kryptering

För överföring av känslig information på nät ska en lämplig kryptering användas. Innan sådan överföring påbörjas ska en utredning ske om lämpliga skyddsåtgärder.

 

10. Kontinuitetsplanering

Varje nämd ska tillse att datasystemansvaret för nämndens system fördelas så att risken för allvarliga produktionsstörningar elimineras i så stor utsträckning som möjligt vid aktuell personals frånvaro.

Datasystemansvarig ansvarar för att tillräcklig dokumentation för systemdriften finns och hålls aktuell.

IT-enheten svarar för att dokumentation av nät och nätdelar finns och är tillfylles och aktuell.

IT-enheten svarar för att personal alltid finns tillgänglig på enheten under samtliga arbetsdagar hela året.

 

11. Incidenthantering

Incidenter som kan störa produktionen eller äventyra IT-säkerheten ska regelmässigt rapporteras till IT-enheten som ska förteckna alla rapporterade incidenter och rapportera till kommunledningen samtliga allvarliga incidenter.

 

12.  Driftsgodkännande av IT-system

Innan nya eller uppdaterade system får skarpt kopplas till nätet ska de driftgodkännas av avdelningschef, eller den person som denne utser och representant för kommunens IT-enhet. Därvid ska särskilt beaktas informationssäkerhetsfrågor och att systemet inte stör andra system i nätet.

 

13. Sekretess

Samtlig IT-personal har sekretess för all sekretessbelagd eller annars känslig information som personalen kan komma i kontakt med under sitt arbete.

 
14. Backup

All datainformation av värde ska regelmässigt sparas på server.

IT-enheten ansvarar för att upprätta backupplaner och utföra daglig backuptagning av alla relevanta datakällor.

Backupband ska enligt backupplanen kontrolleras vad gäller återläsbarhet.

Backupband ska förvaras i brandskåp och inlåsta.

 

15. Fysisk säkerhet

Samtliga servrar ska finnas i låsta utrymmen med tillträde endast för behörig personal.

Tillträde till serverrum och huvudnodutrymme bör loggas automatiskt.

I serverrum ska finnas utrustning för klimatkontroll.
Serverrum får normalt inte ha fönster mot yttervägg.

Hus där serverrum inryms ska vara larmat mot inbrott och brand.

Servrar i serverrum ska ha en godtagbar UPS-lösning.

Nödkraft till serverrum är önskvärd.