Principper for sikkerhedsindretningen
Principperne i sikkerhedsorganiseringen er afstemt med retningslinjerne i informationssikkerhedsstandarden ISO 27001. Standarden anviser bl.a. en organisering af sikkerhedsindretningen, så der kontinuerligt foretages kontroller, vurderinger og opfølgning på sikkerheden.
Ledelsen har nedsat et Informationssikkerhedsudvalg/Den Digitale Styregruppe (DDS), der fungerer som besluttende, igangsættende og styrende element for de sikkerhedsmæssige processer, der etableres i organisationen.
Det skal i alle sammenhæng sikres, at der er gennemført den nødvendige funktionsadskillelse ved administration af informationsaktiver (It-platform og det enkelte informationsbehandlingssystem).
Sammenfald af roller på økonomibærende systemer eller informationskritiske systemer, hvor både systemadministratorrollen og brugerrollen varetages af samme person, må ikke forekomme.
Der er via IT-Helpdesk sikret funktionsadskillelse på alle øvrige informationsbehandlingssystemer.
Hvor det ikke er praktisk eller økonomisk hensigtsmæssigt, at foretage funktionsadskillelse, skal kompenserende kontroller indføres.
Data- og systemejerskab, samt ejerskab for fysiske aktiver, der har sammenhæng til informationssikkerheden, skal fastlægges med henblik på ansvars-placering samt udarbejdelse af risikovurderinger.
I sikkerhedsorganiseringen indgår fire sikkerhedsmæssige roller, som er tillagt
lederne i organisationen.
1. Sikkerhedsansvarlig
2. Dataejer
3. Systemejer
4. Ejer af fysiske aktiver.
Rollerne og deres specifikke ansvar og pligter er beskrevet herunder.
Direktørerne har det overordnede ledelsesansvar og har på samme måde overordnet ansvar og pligter forbundet med de fire roller.
Afdelingscheferne har en central rolle i sikkerhedsorganisationen. De har driftsansvar og herunder det praktiske ansvar og medhørende pligter forbundet med de fire roller.
Gruppelederne og institutionslederne delegeres ansvar og pligter lokalt i afdelingen eller institutionen.
En sikkerhedsansvarlig har ansvar for:
- at sikkerhedspolitikker og de regler, der er relevante for vedkommendes ansvarsområde, er kendte og efterleves.
- at medarbejderne gennem uddannelse og udvikling opnår sikkerhedsbevidsthed om nødvendigheden af at overholde de sikkerhedsmæssige retningslinjer.
- at der efter behov, udarbejdes yderligere dokumentation vedr. sikkerhed for forvaltningens område, såfremt eksisterende regler og procedurer ikke er fyldestgørende.
- at deltage i opklaringsarbejdet ved konstateret eller begrundet mistanke om sikkerhedsbrud, og rapportere til "Sikkerhedslederen"
- at retningslinjerne for ansættelse, introduktion, løbende vurdering, funktionsskifte og afvikling af medarbejdere overholdes.
- at der foreligger afprøvede og tilpassede beredskabsplaner for den sikkerhedsansvarliges ansvarsområde, og at vedkommende indgår i arbejdet med dannelse af disse.
En dataejer har ansvar for:
- at deltage i udarbejdelsen af risikovurderinger for systemtilknyttede data.
- at der for data i informationssystemerne foreligger konkrete regler og procedurer for regulering og administration af adgangsforholdene, og at disse er i overensstemmelse med de grundliggende krav her til.
- at autorisere adgangen til data i h.t. retningslinjerne herfor.
- at foretage opfølgning og rapportering af sikkerhedsbrud til sikkerhedslederen.
- at indgå i arbejdet med udarbejdelse af afprøvede og tilpassede beredskabsplaner.
En systemejer har ansvar for:
- at deltage i udarbejdelsen af risikovurderinger for informationssystemet.
- at der ved drift af eksisterende og idriftsætning af nye systemer foreligger konkrete regler og procedurer for regulering og administration af adgangsforholdene, og at disse er i overensstemmelse med de principielle krav her til.
- at autorisere adgangen til systemet i h.t. retningslinjerne herfor.
- at foretage opfølgning og rapportering af sikkerhedsbrud til sikkerhedslederen
- at indgå i arbejdet med udarbejdelse af afprøvede og tilpassede beredskabsplaner.
En ejer af et fysisk aktiv har ansvar for:
- at der udarbejdes en kravspecifikation ved placering, indretning, forandring m.v. som tager eksplicit hensyn til sikkerhedsmæssige forhold.
- at der udarbejdes en risikovurdering i h.t. kravene hertil.
- at der ved ibrugtagning af lokaler/udstyr foreligger konkrete regler og procedurer for regulering og administration af adgangsforholdene – og at disse er i overensstemmelse med de principielle krav hertil.
- at autorisere adgangen til lokaler/udstyret i h.t. retningslinierne herfor.
- at foretage opfølgning og rapportering af sikkerhedsbrud til sikkerhedslederen.
- at indgå i arbejdet med udarbejdelse af afprøvede og tilpassede beredskabsplaner.
HÅNDTERING AF SIKKERHEDSBRUD
Forretningsgange for rapportering og eskalering skal indrettes, så sikkerheds-hændelser og svagheder i informationsbehandlingssystemerne rapporteres og korrigeres rettidigt.
Der skal implementeres beredskabsstyring. Beredskabsplaner udarbejdes og implementeres for at sikre, at driften som følge af tab af informationsaktiver ved katastrofer og sikkerhedsbrister, kan reetableres inden for en fastsat tidsfrist. (bilag for IT-beredskabsplan)
Databeskyttelsesforordningen indeholder nye bestemmelser om, hvad Aabenraa Kommune som organisation skal gøre, hvis vi bliver udsat for et hackerangreb eller på anden måde mister kontrollen over de personoplysninger, vi behandler. Formålet er at øge fokus på ansvarligheden og indføre regler, der skal skabe gennemsigtighed og sikre, at vi som dataansvarlige reagerer, når der opstår brud på persondatasikkerheden.
Overholder vi ikke reglerne, kan Datatilsynet udtale kritik eller udstede et påbud. Afhængig af omstændighederne i hver enkelt sag, kan der også blive tale om at sanktionere den manglende efterlevelse med bøde enten i kombination med eller i stedet for en af Datatilsynets korrigerende beføjelser.
Vi skal som dataansvarlige efter forordningen dokumentere alle sådanne brud på persondatasikkerheden.
I dagtimerne - kan Databeskyttelsesrådgiver advokatfirma Bech-Bruun kontaktes af borgere, systemejere og leverandører, hvis de har mistanke om brud på persondatasikkerheden, eller har spørgsmål til databeskyttelse.
I tilfælde af brud på persondatasikkerheden vil Databeskyttelsesrådgiveren i samråd med IT-driftslederen, informationssikkerhedskonsulenten og systemejeren vurdere bruddets karakter og igangsætter følgende beredskabsproces:
- vurderer skadens karakter og igangsætter afhjælpning
- vurderer om registrerede personer skal kontaktes (via systemejer)
- vurderer om hændelsen skal anmeldes til Datatilsynet indenfor 72 timer
- dokumenterer forløbet i Acadre (særskilt hændelsessag ift. systemsagen)
- orienterer Informationssikkerhedsudvalget og direktionen efter nærmere vurdering
Interne henvendelser om databeskyttelse fra organisationen kan ved henvendelser, der kan rettes til Databeskyttelsesrådgiver advokatfirma Bech-Bruun på tlf. 73 27 30 01, via mail dpo.aabenraa@bechbruun.dk eller oprettelse af en hændelseslog på Medarbejderportalen.
Henvendelser, der indeholder fortrolige eller følsomme oplysninger, bedes sendes til Bech-Bruuns sikker beskedfunktion https://dpo.bechbruun.com/aabenraa/.
Eksterne henvendelser fra borgere, leverandører og pressen kan rettes til Databeskyttelsesrådgiver advokat firma Bech-Bruun på tlf. 72 27 30 02 eller via mail dpo.aabenraa@bechbruun.dk
Ved henvendelser, der indeholder fortrolige eller følsomme oplysninger, anbefaler vi at sikker beskedfunktion via https://dpo.bechbruun.com/aabenraa/
Udenfor normal arbejdstid – kan henvendelser om sikkerhedsbrud rettes til Driftsvagten på tlf. 30 63 25 44, der kontakter Databeskyttelsesrådgiveren, som oftest i samråd med IT-Driftslederen vurderer skadens karakter og igangsætter afhjælpning ud fra gældende beredskabsproces.