Bilag 11. IT-Sikkerhedspolitik

1. Indledning og formål

It-anvendelsen i Randers Kommune har det formål at understøtte kommunens overordnede forretningsvision.

Kommunens it-strategi beskriver mål, visioner og handleplaner for it-anvendelsen.

It-sikkerhedspolitikken skal medvirke til at danne grundlaget for effektueringen af it-strategi og handleplaner.

It-sikkerhedspolitikken tilstræber at it-anvendelsen har en høj kvalitet, er effektiv, er sikker og er målrettet de konkrete opgaver, som kommunen udfører.

Som et element i en sikker it-anvendelse ønsker kommunen, at alle medarbejdere har en bevidst holdning til begrebet it-sikkerhed, hvor der lægges vægt på reel sikkerhed frem for formel sikkerhed.

It-sikkerhedspolitikken tilstræber at gøre sikkerheden omkring it-anvendelsen realistisk, operationel, logisk, acceptabel og kontrollerbar.

It-anvendelsen i kommunen skal iagttage en til enhver tid værende god it-skik, herunder gældende standarder for området samt have et sikkerhedsniveau, der er i overensstemmelse med lovgivningskrav og myndighedsforventninger samt muliggør en bredspektret it-systemanvendelse.

It-sikkerhedspolitikken fastsætter hovedprincipperne for it-sikkerheden, herunder placering af ansvaret for varetagelse af it-sikkerheden.

It-sikkerhedspolitikken uddybes og operationaliseres i en it-sikkerhedshåndbog med relevante bilag.

Som supplement til it-sikkerhedshåndbogen kan udarbejdes målrettede pjecer.

It-sikkerhedsmateriale gøres tilgængeligt på kommunens intranet. Visse it-organisatoriske og systemtekniske bilag er dog ikke tilgængelige for alle.

Der foretages løbende opfølgning på den praktiske efterlevelse af de udstukne rammer og regler og materialet vurderes i forhold til gældende god skik og standarder for området samt holdes op mod en konkret vurdering af væsentlighed og risiko.

2. Omfang

It-sikkerhedspolitikken omfatter kommunens it-baserede forretningsgange, herunder kontorprogrammer, fagsystemer og data og inkluderer også netværk og it-infrastruktur.

It-sikkerhedsmaterialet omfatter samtlige brugere - politikere, ledelse og medarbejdere - af kommunens it-baserede infrastruktur, dens it-systemer og it-bårne data. Endvidere regulerer materialet den øvrige elektroniske behandling af administrative data.

I det omfang, kommune lader eksterne leverandører varetage it-driftsafviklingen og it-databehandlingen, skal det sikres, at pågældende leverandører overholder rammer og retningslinier, som de er beskrevet i it-sikkerhedsmaterialet.

3. It-sikkerhedsniveau

It-sikkerhedspolitikken tager udgangspunkt i god it-skik samt lovgivning indenfor it-sikkerhed. It-sikkerhedspolitikken er udarbejdet med DS 484:2005 som referenceramme.

De konkrete it-sikkerhedsniveauer fastlægges på baggrund af risikoanalyser, således at niveauet er relevant afstemt. It-sikkerheden skal være på et niveau, hvor der ikke skabes tvivl om, hvorvidt kommunens it-sikkerhed er betryggende.

Relevante brugere bidrager til udarbejdelse af risikovurdering og håndtering.

Der gennemføres mindst en gang om året - samt ved større tekniske eller organisatoriske ændringer - en risikovurdering og kommunens ledelse orienteres om det aktuelle risikobillede.

De konkrete og operationelle opgaver med den daglige styring af it-sikkerhedsarbejdet, er placeret i It-afdelingen og varetages her af it-sikkerhedslederen. Organisering af it-sikkerhedsarbejdet er beskrevet i it-sikkerhedshåndbogen.

4. It-sikkerhedsbevidsthed

Håndhævelse af it-sikkerhed skal finde sted med deltagelse fra alle it-brugere. Alle har et eget ansvar for at bidrage til en sikker og betryggende it-anvendelse.

En effektiv formidling af it-sikkerhedsmaterialet skal skærpe og udvikle brugernes opmærksomhed på it-sikkerheden.

Al brug af kommunens systemer og data skal ske i henhold til relevante rammer og regler i it-sikkerhedsmaterialet.

Systemer og data må udelukkende anvendes til udførelse af de relevante arbejdsopgaver og skal beskyttes i overensstemmelse med de udstukne rammer og regler.

5. Overtrædelse af it-sikkerhedspolitikken

Ansvaret for at efterleve sikkerheden omkring it-anvendelsen er placeret hos den enkelte medarbejder. Det skal derfor fremhæves, at overtrædelse af it-sikkerhedspolitikken samt relaterede bilag, efter omstændighederne kan medføre sanktioner.

Hvis der konstateres trusler mod kommunens it-ressourcer eller it-bårne data eller der konstateres overtrædelser af elementer i it-sikkerhedsmaterialet, skal dette hurtigst muligt meddeles it-sikkerhedslederen, it-chefen eller nærmeste chef/leder.

6. Ajourføring og ikrafttrædelse

Grundlæggende ændringer i it-sikkerhedspolitikken besluttes af byrådet. Grundlæggende ændringer i it-sikkerhedshåndbogen med tilhørende retningslinier godkendes af direktionen. Ændringer i operationelle procedurer foretages af It-afdelingen, evt. på baggrund af henvendelser fra systemejere.