Bilag 11. IT-Sikkerhedspolitik

1. Indledning og formål

IT-anvendelsen i Randers Kommune har det formål at understøtte kommunens overordnede forretningsvision.

Kommunens IT-strategi beskriver mål, visioner og handleplaner for IT-anvendelsen.

IT-sikkerhedspolitikken skal medvirke til at danne grundlaget for effektueringen af IT-strategi og handleplaner.

IT-sikkerhedspolitikken tilstræber, at IT-anvendelsen har en høj kvalitet, er effektiv, er sikker og er målrettet de konkrete opgaver, som kommunen udfører.

Som et element i en sikker IT-anvendelse ønsker kommunen, at alle medarbejdere har en bevidst holdning til begrebet IT-sikkerhed, hvor der lægges vægt på reel sikkerhed frem for formel sikkerhed.

IT-sikkerhedspolitikken tilstræber at gøre sikkerheden omkring IT-anvendelsen realistisk, operationel, logisk, acceptabel og kontrollerbar.

IT-anvendelsen i kommunen skal iagttage en til enhver tid god IT-skik, herunder gældende standarder for området, have et sikkerhedsniveau, der er i overensstemmelse med lovgivningskrav og myndighedsforventninger, samt muliggøre en bredspektret IT-systemanvendelse.

IT-sikkerhedspolitikken fastsætter hovedprincipperne for IT-sikkerheden, herunder placering af ansvaret for varetagelse af IT-sikkerheden.

IT-sikkerhedspolitikken uddybes og operationaliseres i en IT-sikkerhedshåndbog med relevante bilag.

Som supplement til IT-sikkerhedshåndbogen kan udarbejdes målrettede pjecer.

IT-sikkerhedsmateriale gøres tilgængeligt på kommunens intranet. Visse IT-organisatoriske og systemtekniske bilag er dog ikke tilgængelige for alle.

Der foretages løbende opfølgning på den praktiske efterlevelse af de udstukne rammer og regler. Materialet vurderes i forhold til gældende god skik og standarder for området samt holdes op mod en konkret vurdering af væsentlighed og risiko.

2. Omfang

IT-sikkerhedspolitikken omfatter kommunens IT-baserede forretningsgange, herunder kontorprogrammer, fagsystemer og data, og inkluderer også netværk og IT-infrastruktur.

IT-sikkerhedsmaterialet omfatter samtlige brugere (politikere, ledelse og medarbejdere) af kommunens IT-baserede infrastruktur, dens IT-systemer og IT-bårne data. Endvidere regulerer materialet den øvrige elektroniske behandling af administrative data.

I det omfang, kommune lader eksterne leverandører varetage IT-driftsafviklingen og IT-databehandlingen, skal det sikres, at pågældende leverandører overholder rammer og retningslinjer, som de er beskrevet i IT-sikkerhedsmaterialet.

3. IT-sikkerhedsniveau

IT-sikkerhedspolitikken tager udgangspunkt i god IT-skik og lovgivning inden for IT-sikkerhed. IT-sikkerhedspolitikken er udarbejdet med DS 484:2005 som referenceramme.

De konkrete IT-sikkerhedsniveauer fastlægges på baggrund af risikoanalyser, således at niveauet er relevant afstemt. IT-sikkerheden skal være på et niveau, hvor der ikke skabes tvivl om, hvorvidt kommunens IT-sikkerhed er betryggende.

Relevante brugere bidrager til udarbejdelse af risikovurdering og håndtering.

Der gennemføres mindst en gang om året samt ved større tekniske eller organisatoriske ændringer en risikovurdering, og kommunens ledelse orienteres om det aktuelle risikobillede.

De konkrete og operationelle opgaver med den daglige styring af IT-sikkerhedsarbejdet er placeret i IT-afdelingen og varetages her af IT-sikkerhedslederen. Organisering af IT-sikkerhedsarbejdet er beskrevet i IT-sikkerhedshåndbogen.

4. IT-sikkerhedsbevidsthed

Håndhævelse af IT-sikkerhed skal finde sted med deltagelse fra alle IT-brugere. Alle har et eget ansvar for at bidrage til en sikker og betryggende IT-anvendelse.

En effektiv formidling af IT-sikkerhedsmaterialet skal skærpe og udvikle brugernes opmærksomhed på IT-sikkerheden.

Al brug af kommunens systemer og data skal ske i henhold til relevante rammer og regler i IT-sikkerhedsmaterialet.

Systemer og data må udelukkende anvendes til udførelse af de relevante arbejdsopgaver og skal beskyttes i overensstemmelse med de udstukne rammer og regler.

5. Overtrædelse af IT-sikkerhedspolitikken

Ansvaret for at efterleve sikkerheden omkring IT-anvendelsen er placeret hos den enkelte medarbejder. Det skal derfor fremhæves, at overtrædelse af IT-sikkerhedspolitikken samt relaterede bilag, efter omstændighederne kan medføre sanktioner.

Hvis der konstateres trusler mod kommunens IT-ressourcer eller IT-bårne data, eller der konstateres overtrædelser af elementer i IT-sikkerhedsmaterialet, skal dette hurtigst muligt meddeles IT-sikkerhedslederen, IT-chefen eller nærmeste chef/leder.

6. Ajourføring og ikrafttrædelse

Grundlæggende ændringer i IT-sikkerhedspolitikken besluttes af byrådet. Grundlæggende ændringer i IT-sikkerhedshåndbogen med tilhørende retningslinjer godkendes af direktionen. Ændringer i operationelle procedurer foretages af IT-afdelingen, evt. på baggrund af henvendelser fra systemejere.