Principper for sikkerhedsindretningen

Principperne i sikkerhedsorganiseringen er afstemt med retningslinjerne i informationssikkerhedsstandarden ISO 27001. Standarden anviser bl.a. en organisering af sikkerhedsindretningen, så der kontinuerligt foretages kontroller, vurderinger og opfølgning på sikkerheden.

  • Læs op

Indhold

    Ledelsen har nedsat et Informationssikkerhedsudvalg/Den Digitale Styregruppe
    (DDS), der fungerer som besluttende, igangsættende og styrende element
    for de sikkerhedsmæssige processer, der etableres i organisationen.

    Det skal i alle sammenhæng sikres, at der er gennemført den nødvendige
    funktionsadskillelse ved administration af informationsaktiver (It-platform og
    det enkelte informationsbehandlingssystem).

    Sammenfald af roller på økonomibærende systemer eller informationskritiske systemer, hvor både systemadministratorrollen og brugerrollen varetages af samme person, må ikke forekomme.

    Der er via IT-Topdesk sikret funktionsadskillelse på alle øvrige informationsbehandlingssystemer.

    Hvor det ikke er praktisk eller økonomisk hensigtsmæssigt, at foretage funktionsadskillelse, skal kompenserende kontroller indføres.

    Data- og systemejerskab, samt ejerskab for fysiske aktiver, der har sammenhæng til informationssikkerheden, skal fastlægges med henblik på ansvars-placering samt udarbejdelse af risikovurderinger.

    I sikkerhedsorganiseringen indgår fire sikkerhedsmæssige roller, som er tillagt
    lederne i organisationen.

    1. Sikkerhedsansvarlig
    2. Dataejer
    3. Systemejer
    4. Ejer af fysiske aktiver.

    Rollerne og deres specifikke ansvar og pligter er beskrevet herunder.

    Direktørerne har det overordnede ledelsesansvar og har på samme måde overordnet ansvar og pligter forbundet med de fire roller.
    Afdelingscheferne har en central rolle i sikkerhedsorganisationen. De har driftsansvar og herunder det praktiske ansvar og medhørende pligter forbundet med de fire roller.
    Gruppelederne og institutionslederne delegeres ansvar og pligter lokalt i afdelingen eller institutionen.

    En sikkerhedsansvarlig har ansvar for:

     - at sikkerhedspolitikker og de regler, der er relevante for vedkommendes ansvarsområde, er kendte og efterleves.

    - at medarbejderne gennem uddannelse og udvikling opnår sikkerhedsbevidsthed om nødvendigheden af at overholde de sikkerhedsmæssige retningslinjer.

    - at der efter behov, udarbejdes yderligere dokumentation vedr. sikkerhed for forvaltningens område, såfremt eksisterende regler og procedurer ikke er fyldestgørende.

    - at deltage i opklaringsarbejdet ved konstateret eller begrundet mistanke om sikkerhedsbrud, og rapportere til "Sikkerhedslederen"

    - at retningslinjerne for ansættelse, introduktion, løbende vurdering, funktionsskifte og afvikling af medarbejdere overholdes.

    - at der foreligger afprøvede og tilpassede beredskabsplaner for den sikkerhedsansvarliges ansvarsområde, og at vedkommende indgår i arbejdet med dannelse af disse.

    En dataejer har ansvar for:

    - at deltage i udarbejdelsen af risikovurderinger for systemtilknyttede data.

    - at der for data i informationssystemerne foreligger konkrete regler og procedurer for regulering og administration af adgangsforholdene, og at disse er i overensstemmelse med de grundliggende krav her til.

    - at autorisere adgangen til data i h.t. retningslinjerne herfor.

    - at foretage opfølgning og rapportering af sikkerhedsbrud til sikkerhedslederen.

    - at indgå i arbejdet med udarbejdelse af afprøvede og tilpassede beredskabsplaner.

    En systemejer har ansvar for:

    - at deltage i udarbejdelsen af risikovurderinger for informationssystemet.

    - at der ved drift af eksisterende og idriftsætning af nye systemer foreligger konkrete regler og procedurer for regulering og administration af adgangsforholdene, og at disse er i overensstemmelse med de principielle krav her til.

    - at autorisere adgangen til systemet i h.t. retningslinjerne herfor.

    - at foretage opfølgning og rapportering af sikkerhedsbrud til sikkerhedslederen

    - at indgå i arbejdet med udarbejdelse af afprøvede og tilpassede beredskabsplaner.

    En ejer af et fysisk aktiv har ansvar for:

    - at der udarbejdes en kravspecifikation ved placering, indretning, forandring m.v. som tager eksplicit hensyn til sikkerhedsmæssige forhold.

    - at der udarbejdes en risikovurdering i h.t. kravene hertil.

    - at der ved ibrugtagning af lokaler/udstyr foreligger konkrete regler og procedurer for regulering og administration af adgangsforholdene – og at disse er i overensstemmelse med de principielle krav hertil.

    - at autorisere adgangen til lokaler/udstyret i h.t. retningslinierne herfor.

    - at foretage opfølgning og rapportering af sikkerhedsbrud til sikkerhedslederen.

    - at indgå i arbejdet med udarbejdelse af afprøvede og tilpassede beredskabsplaner.

    HÅNDTERING AF SIKKERHEDSBRUD

    Forretningsgange for rapportering og eskalering skal indrettes, så sikkerheds-hændelser og svagheder i informationsbehandlingssystemerne rapporteres og korrigeres rettidigt.

    Der skal implementeres beredsskabsstyring. Beredskabsplaner udarbejdes og implementeres for at sikre, at driften som følge af tab af informationsaktiver ved katastrofer og sikkerhedsbrister, kan reetableres inden for en fastsat tids-frist. (bilag for IT-beredskabsplan)

    Databeskyttelsesforordningen indeholder nye bestemmelser om, hvad Aabenraa Kommune som organisation skal gøre, hvis vi bliver udsat for et hackerangreb eller på anden måde mister kontrollen over de personoplysninger, vi behandler. Formålet er at øge fokus på ansvarligheden og indføre regler, der skal skabe gennemsigtighed og sikre, at vi som dataansvarlige reagerer, når der opstår brud på persondatasikkerheden.

    Overholder vi ikke reglerne, kan Datatilsynet udtale kritik eller udstede et påbud. Afhængig af omstændighederne i hver enkelt sag, kan der også blive tale om at sanktionere den manglende efterlevelse med bøde enten i kombination med eller i stedet for en af Datatilsynets korrigerende beføjelser. 

    Vi skal som dataansvarlige efter forordningen dokumentere alle sådanne brud på persondatasikkerheden.

    I dagtimerne - kan Databeskyttelsesrådgiver Thomas Majholt kontaktes af borgere, systemejere og leverandører, hvis de har mistanke om brud på persondatasikkerheden. Databeskyttelsesrådgiveren vurderer i samråd med IT-driftslederen, informationssikkerhedskonsulenten og systemejeren bruddets karakter og igangsætter følgende beredskabsproces:

    • vurderer skadens karakter og igangsætter afhjælpning
    • vurderer om registrerede personer skal kontaktes (via systemejer)
    • vurderer om hændelsen skal anmeldes til Datatilsynet indenfor 72 timer
    • dokumenterer forløbet i Acadre (særskilt hændelsessag ift. systemsagen)
    • orienterer Informationssikkerhedsudvalget og direktionen efter nærmere vurdering

    Interne henvendelser fra organisationen kan rettes til Databeskyttelsesrådgiver Thomas Majholt på tlf. 73 76 82 10, via mail dbr@aabenraa.dk eller oprettelse af en hændelseslog på Medarbejderportalen.

    Eksterne henvendelser fra borgere, leverandører og pressen kan rettes til Databeskyttelsesrådgiver Thomas Majholt på tlf. 73 76 82 10 eller via mail dbr@aabenraa.dk

    Udenfor normal arbejdstid – kan henvendelser om sikkerhedsbrud rettes til Driftsvagten på tlf. 30 63 25 44, der kontakter Databeskyttelsesrådgiveren, som oftest i samråd med IT-Driftslederen vurderer skadens karakter og igangsætter afhjælpning ud fra gældende beredskabsproces.