Bilag 12. IT-Sikkerhedshåndbog

Indhold

1. Indledning
2. Ansvar og organisation
3. Styring af it-aktiver
4. Medarbejdersikkerhed
5. Fysisk sikkerhed
6. Styring af netværk og drift
7. Adgang til data
8. Anskaffelse, udvikling og vedligeholdelse
9. Nødberedskab for it-anvendelsen
10. Regelsæt og lovgivning

1 Indledning

It-sikkerhedshåndbogen beskriver håndtering af it-sikkerheden i Randers kommune og fastsætter krav til kommunens it-sikkerhedsniveau.

It-sikkerhedshåndbogen er en operationalisering af it-sikkerhedspolitikken og udgør, sammen med denne, kommunens overordnede it-sikkerhedsregler. Reglerne kan være yderligere uddybet i en række bilag. På konkrete områder er bilagene udmøntet i yderligere operationelle instrukser, som beskriver håndteringen indenfor det pågældende område.

2 Ansvar og organisation

2.1 Øverste sikkerhedsansvarlige

Det overordnede ansvar for it-sikkerhedspolitikken er placeret hos øverste sikkerhedsansvarlige, som er vicekommunaldirektøren. Det daglige it-sikkerhedsarbejde er organisatorisk placeret i It-afdelingen og varetages af it-sikkerhedslederen. Kommunens direktører, chefer og ledere er ansvarlige for at it-sikkerhedsreglerne overholdes.

2.2 Ansvar i organisationen

Ansvaret for overholdelse af it-sikkerhedspolitikken følger kommunens organisatoriske opbygning. Direktører, chefer og ledere er ansvarlige for it-sikkerheden indenfor eget ansvarsområde.

Herudover har Randers kommune en række medarbejdere, som er ansvarlige for delelementer i forbindelse med it-sikkerheden. I skemaet i afsnit 2.7 er ansvarsforholdene beskrevet.

2.3 It-sikkerhedslederen

Der er udnævnt en it-sikkerhedsleder.

It-sikkerhedslederen refererer til it-chefen.

It-sikkerhedslederen varetager bl.a. følgende områder:

  • det systemtekniske arbejde, herunder behandling af sikkerhedsrapporter, benyttelsesstatistikker, iværksættelse af logning m.m.
  • opfølgning på IT-sikkerhedspolitik
  • udarbejdelse af ændringsforslag til kommunens IT-sikkerhedspolitik
  • kontakt til Datatilsynet

2.4 Systemejere

Alle systemer i Randers kommune tilhører en systemejer. Systemejer er normalt direktør, chef eller leder og som, med udgangspunkt i et fagligt ansvar, træffer beslutning om anskaffelse og livscyklus for et it-system til at understøtte opgavevaretagelsen.

Systemejerne har ansvaret for, at der foreligger retningslinier og instrukser for det pågældende system og at de overholdes. I de tilfælde, hvor et system anvendes i en anden forvaltning eller afdeling end systemejerens, er det den pågældende direktør, chef eller leder for det område hvor systemet anvendes, der har ansvaret for at retningslinierne og instrukserne overholdes i den pågældendes forvaltning, afdeling eller institution.

Oversigt over systemejere findes på Randers kommunes intranet og vedligeholdes af it-sikkerhedslederen.

2.5 It-sikkerhedsansvarlige

I Randers kommune er der udnævnt en række it-sikkerhedsansvarlige, som løser supplerende opgaver i forbindelse med it-sikkerhedsarbejdet.

It-sikkerhedsansvarlige varetager opgaver i forbindelse med definition af brugerprofiler, udfærdiger autorisationsanmodninger til fagsystemer og varetager formidling af it-sikkerhedspolitikken, it-sikkerhedshåndbogen og relaterede bilag.

It-sikkerhedsansvarlige og systemejere kan være samme person.

2.6 It-afdelingen

It-driftsafvikling i Randers kommune varetages af it-afdelingen. It-chefen skal påse, at der er etableret forretningsgange og procedurer, som støtter overholdelsen af it-sikkerhedspolitikken, it-sikkerhedshåndbogen og bilagene.

2.7 Ansvarsområder

Placering i Organisationen Ansvar
Vicekommunaldirektøren Øverste sikkerhedsansvarlig. Er ansvarlig for den overordnede tilrettelæggelse af it-sikkerheden i kommunen, herunder ansvaret for opfølgning og kontrol. Det daglige it-sikkerhedsarbejde er uddelegeret til it-sikkerhedslederen.
IT-sikkerhedslederen Foretager kontrol af it-sikkerheden og varetager ajourføring af it-sikkerhedsreglerne.
Systemejere Har ansvaret for et specifikt programkompleks, herunder anskaffelse, driftsafvikling, vedligeholdelse og udfasning samt dataindhold og -kvalitet. Stillingtagen til interne kontroller i systemet samt sikkerhed. Systemejere kan uddelegere ejerskabet til en stedfortræder, som varetager det daglige sikkerhedsarbejde i forbindelse med systemet.
It-sikkerhedsansvarlige Løser supplerende opgaver i forbindelse med it-sikkerhedsarbejdet, herunder definition af brugerprofiler, samt formidling af it-sikkerhedsregler.
IT-chefen Er ansvarlig for udmøntning af kommunens it-sikkerhedsregler i de forretningsgange og procedurer, som faciliterer overholdelsen af it-sikkerhedspolitikken, it-sikkerhedshåndbogen og bilagene.
It-afdelingen Varetager dagligt it-sikkerhedsarbejde i forbindelse med it-anvendelsen. Har ansvaret for tekniske driftsopgaver og support. Stillingtagen til it-sikkerhed i samarbejde med systemejere.
It-medarbejdere Varetager udmøntningen af det daglige it-sikkerhedsarbejde og skal i den forbindelse understøtte retningslinierne i it-sikkerhedspolitik, it-sikkerhedshåndbog og bilag.
Medarbejdere generelt Varetagelse af it-sikkerheden ved overholdelse af kommunens it-sikkerhedspolitik, it-sikkerhedshåndbog og relaterede bilag.

2.8 Samarbejdsaftaler

Hvis it-driften - eller andre dele af kommunens it-anvendelse - overlades til eksterne samarbejdspartnere, skal der foreligge en konkret samarbejdsaftale, hvori leverandørens sikkerhedshåndtering er beskrevet.

Retningslinier for eksterne leverandører er beskrevet i Bilag 13.

3 Styring af it-aktiver

Væsentlige it-aktiver i kommunen skal indgå i en fælles fortegnelse, hvoraf relevante beskrivelser fremgår. Registreringen skal sikre en entydig identificering af de enkelte it-aktiver og sikre et betryggende overblik samt styring af opgradering og udskiftninger.

It-aktivernes betydning for kommunens opgaveløsning og it-driftsafvikling skal vurderes og der skal foretages en klassifikation af it-aktiverne, med henblik på at tilrettelægge en betryggende sikkerhed for de enkelte it-aktiver.

Overordnede retningslinier for fysisk sikkerhed er beskrevet i kapitel 5 nedenfor.

4 Medarbejdersikkerhed

Alle medarbejdere skal have kendskab til - og arbejde i overensstemmelse med - kommunens it-sikkerhedspolitik og relaterede regler. Endvidere tilrettelægges tiltag, som skal medvirke til, at alle medarbejdere har en bevidst holdning til begrebet it-sikkerhed.

Kommunens ledelse har ansvaret for, at alle it-brugere har kendskab til - og arbejder efter - it-sikkerhedshåndbogen samt relevante bilag. Det betyder blandt andet, at alle it-brugere skal orienteres om deres ansvar i forbindelse med it-sikkerheden, forinden de gives adgang til systemer og data.

Alle medarbejdere som arbejder med kommunens it-udstyr og -data, skal modtage den nødvendige uddannelse i kommunens it-sikkerhedsregler. Endvidere skal der løbende ske efteruddannelse således, at medarbejdernes viden om it-anvendelsen og it-sikkerheden til stadighed er tilstrækkelig og ajourført.

Ansvaret for at efterleve sikkerheden omkring it-anvendelsen i Randers kommune, er placeret hos den enkelte medarbejder.

Overtrædelse af it-sikkerhedspolitikken samt relaterede bilag kan medføre sanktioner.

Hvis en medarbejder opdager trusler mod kommunens it-driftsafvikling eller bliver bekendt med overtrædelser af it-sikkerhedsreglerne, skal vedkommende orientere it-sikkerhedslederen eller nærmeste leder herom.

Når den enkelte it-bruger fratræder sin stilling, skal der være etableret forretningsgange, der dels sikrer betryggende sletning af autorisationer samt at kommunens it-aktiver returneres.

Retningslinier for autorisation fremgår af bilag 5.

5 Fysisk sikkerhed

Den fysiske sikkerhed skal stå i et naturligt forhold til risici samt de værdier, som skal beskyttes. Kravene til sikring af centralt udstyr vil således normalt være højere, end kravene til sikring af udstyr i kontormiljøerne.

Den fysiske sikkerhed er tilrettelagt på baggrund af en konkret risikovurdering. Den fysiske sikkerhed skal i relevant omfang være dokumenteret, således at kommunens ledelse - som en del af den generelle it-risikostyring - kan planlægge sikkerhedsprocedurer i forhold til den fysiske sikkerhed.

Den fysiske sikkerhed skal afvejes i forhold til mulige driftsforstyrrelser og driftstab. I praksis betyder det, at kravene til den fysiske sikkerhed er opdelt i 3 sikkerhedsniveauer:

  • Sikkerhedsniveau 1: 
    Omfatter centralt udstyr, herunder udstyr i centrale serverrum - servere og kommunikationsudstyr samt krydsfelter.
  • Sikkerhedsniveau 2: 
    Omfatter almindeligt it-udstyr i kommunens lokaler, herunder primært pc’er, printere og tilsvarende periferiudstyr.
  • Sikkerhedsniveau 3: 
    Omfatter decentrale arbejdspladser og bærbare pc’er udenfor kommunens lokaler, herunder også bærbare enheder som USB-nøgler, PDA’er og lignende.

Fastsættelse af det fysiske sikkerhedsniveau indebærer som minimum fastlæggelse af retningslinier for:

  • Serverrum, herunder placering, adgangskontrol, alarmsystemer samt andre tekniske løsninger, som køleanlæg, nødstrømsanlæg og brandslukningssystemer.
  • Kabling og krydsfelter, herunder placering og adgangssikkerhed.
  • Pc-udstyr i kommunens lokaler, herunder hensigtsmæssig placering i relation til både arbejdsmiljø og it-sikkerhed. Lokalerne skal være betryggende sikret.
  • Pc-udstyr på andre lokationer end kommunens, herunder hensigtsmæssig placering i relation til arbejdsmiljø og it-sikkerhed.
  • Kassation og destruktion af udstyr, skal foretages miljømæssigt forsvarligt og finde sted efter betryggende sletning af data.
  • Registrering af aktiver og forsikringer. Registrering - af alle enheder der repræsenterer en væsentlig værdi. Registrering af alle licensforhold. Forsikringer følger kommunens almindelige regler vedrørende forsikring af aktiver. 
    Retningslinier for den fysiske sikkerhed er beskrevet i bilag 2.

6 Styring af netværk og drift

For alle væsentlige dele af it-anvendelsen, skal der være etableret driftsafviklingsprocedurer, der sikrer konsekvent og stabil drift af systemer og data.

6.1 Netværk

It-afdelingen har generelt ansvaret for Randers kommunes overordnede it-infrastruktur samt lokalnet på alle kommunens lokationer. Det kan aftales, at større lokationer med egne it-installationer har ansvaret for egen it-infrastruktur og lokalnet. Kommunens it-sikkerhedspolitik, -håndbog og –retningslinier gælder for disse lokationer.

Alle eksterne kommunikationsforbindelser skal forud godkendes af it-afdelingen, som vedligeholder oversigter over netværk og datakommunikation.

I forbindelse med pc’er, som er tilkoblet Randers kommunes netværk, må der ikke anvendes modemforbindelser, med mindre der gives tilladelse af It-afdelingen.

6.2 Eksterne leverandører

I særlige tilfælde kan eksterne leverandører få adgang til Randers kommunes systemer og it-infrastruktur.

Retningslinier for eksterne leverandørers adgang fremgår af bilag 13.

6.3 Sikkerhedskopiering

Der tages sikkerhedskopi af alle systemer og data. For hvert enkelt system skal der tages stilling til frekvensen i forbindelse med sikkerhedskopiering, og hvordan sikkerhedskopier skal opbevares. Der skal foretages en teknisk afprøvning af kopieringsrutinerne, mindst en gang om året, eller i forbindelse med omlægning af rutinerne.

Procedurer for sikkerhedskopiering og reetablering skal beskrives således, at procedurerne til enhver tid kan udføres af it-medarbejdere i kommunen eller ved ekstern leverandør. Sikkerhedskopier opbevares på en forsvarlig måde.

Uddybende retningslinier for sikkerhedskopiering er beskrevet i bilag 10.

6.4 Firewall

Adgangen fra eksterne netværk - herunder internet - til Randers kommunes netværk, er sikret således, at det kun er autoriserede it-brugere som kan opnå adgang.

It-chefen er ansvarlig for at adgangen til netværket er beskyttet med en firewall, herunder betryggende administration af firewall samt vedligeholdelse af firewallsoftware, overvågning af firewall, logning af trafikken samt aftestning af funktionaliteten.

Retningslinier for administration og håndtering af firewall er uddybende beskrevet i bilag 7.

6.5 Sikring af datamedier mod uautoriseret adgang

Alle databærende medier skal beskyttes mod uautoriseret adgang. Der er derfor etableret forretningsgange for autorisation til data og systemer, ligesom fysiske datamedier skal være beskyttede.

Den enkelte it-bruger skal identificere sig overfor systemerne forinden adgangen kan etableres. Sammen med identificeringen skal der ligeledes angives et personligt password eller anvendes tilsvarende autentifikationsløsning.

Retningslinier for anvendelse af passwords samt beskyttelse af dataadgang er beskrevet i bilag 1.

6.6 Destruktion af data

Bortskaffelse af data skal finde sted under betryggende forhold. Hvis der er tale om personhenførbare data eller andre former for følsomme data, skal det sikres, at data ikke bliver tilgængelige for uvedkommende.

Uddybende retningslinier for destruktion af data fremgår af bilag 1.

Uanset om data gemmes på manuelle eller elektroniske medier, er retningslinierne gældende.

6.7 E-mail og internet

E-post og internet betragtes som værktøjer, hvis formål er at sikre en fleksibel, bruger- og borgervenlig it-anvendelse i Randers kommune.

Med henblik på at beskytte kommunens systemer og data mod skader forårsaget af e-mail og internet, er der beskrevet retningslinier for anvendelse af e-mail og internet i bilag 8 og bilag 9.

6.8 Sikker e-mail og anvendelse af digitale signaturer

Digitale signaturer anvendes til adgangskontrol - logon - til en række offentlige tjenester og i forbindelse med afsendelse og modtagelse af elektroniske meddelelser, hvor der skal være sikkerhed for:

  • identitet (hvem er afsender / modtager),
  • autenticitet (at indholdet ikke - uopdaget - kan ændres),
  • fortrolighed (via kryptering).

Retningslinier for anvendelse af digital signatur fremgår af bilag 14.

6.9 E-handel

Det skal sikres, at data og informationer som udveksles i forbindelse med elektronisk handel, over offentlige netværk, er beskyttede mod svig og svindel, kontraktlige uoverensstemmelser samt autoriserede adgange og ændringer.

Dette skal primært sikres via tekniske løsninger samt betryggende forretningsgange for tildeling af afgang til at disponere og foretage e-handel på vegne af Randers kommune.

6.10 Offentligt tilgængelige data

Randers kommune stiller en mængde data til rådighed for borgere, virksomheder og samarbejdspartnere.

Systemejerne – evt. i samarbejde med It-afdelingen - tilrettelægger tilgængeligheden, således at tilgåede data ikke er forvanskede, ligesom data ikke må være offentligt tilgængelige, ud over hvad lovgivningen tillader.

6.11 Overvågning og logning

It-afdelingen foretager overvågning af alle kommunens it-systemer og data og rapporterer kritiske hændelser til kommunens direktion.

Der er etableret registrering af system- og dataanvendelsen (logning) for alle væsentlige systemer og data samt systemer og data der indeholder personhenførbare informationer. Systemejere eller stedfortrædere tager stilling til logningsniveauet. Logningen skal som minimum være i overensstemmelse med kravene i Persondataloven med tilhørende bekendtgørelser.

Retningslinier for logning er beskrevet i bilag 6.

7 Adgang til data

Datagrundlaget i kommunens it-systemer repræsenterer en væsentlig værdi, ligesom der kan være tale om fortrolige oplysninger. Disse værdier og fortrolige oplysninger skal sikres mod uautoriseret adgang og imod tab og forvanskning.

7.1 Adgang til it-systemer og netværk

Kun personer med et tjenstligt behov kan få adgang til kommunens interne it-systemer og data. Systemejerne er ansvarlige for at definere niveauet for den adgang til systemer og data kommunens medarbejdere skal have adgang til. Øverste sikkerhedsansvarlige skal, i fællesskab med systemejerne, definere niveau samt hvilke systemer og informationer, borgere og eksterne brugere skal have adgang til.

Autorisationsproceduren skal være tilrettelagt på en sådan måde, at risikoen for fejl minimeres samt at godkendte anmodninger om autorisationer registreres blivende. Endvidere skal der etableres et kontrolmiljø der sikrer, at autorisationers relevans gennemgås med faste intervaller.

Retningslinier for autorisation, herunder tildeling, ændring og sletning af autorisationer, er beskrevet i bilag 5.

7.2 Logonprocedure

Der skal være etableret en logonprocedure som sikrer, at brugeroplysninger ikke kan blive tilgængelige for uvedkommende. I det omfang der er it-brugere der opnår kontakt til kommunens netværk og systemer via åbne netværk, herunder internet, skal der også være etableret en sikkerhedsløsning således, at brugeroplysninger og passwords ikke bliver tilgængelige for uvedkommende.

Anvendelse af passwords skal som minimum overholde retningslinierne, som de er beskrevet i Persondataloven.

7.3 Udskrivning

Ved udskrivning fra kommunens systemer skal det sikres at oplysningerne ikke bliver tilgængelige for uvedkommende.

Betryggende håndtering af fortroligt og personfølsomt print, er uddybende beskrevet i bilag 1.

7.4 Intern kontrol

For alle systemer skal der tages stilling til, hvilke interne kontroller, der skal udføres i forbindelse med databehandlingen, og hvem der er ansvarlig for udførelsen. Systemejerne skal sikre, at procedurerne iværksættes.

7.5 Virus

Kommunen råder over forskellige værktøjer, som beskytter it-systemer og netværk imod virusangreb.

Uddybende retningslinier for tilrettelæggelse af virusberedskab er beskrevet i bilag.

7.6 Distance-, hjemmearbejds- og politiker pc’er

Distance-, hjemmearbejds- og politiker pc’er kan være netopkoblede eller enkeltstående pc-arbejdspladser, som er placeret i hjemmet eller andre steder, ligesom der kan være tale om bærbare pc’er.

Retningslinier for anvendelse af distance-, hjemmearbejds- og politiker pc’er i relation til opgaveløsningen i Randers kommune fremgår af bilag 11.

7.7 Bærbart udstyr

I Randers kommune anvendes bærbart udstyr, herunder bærbare pc’er, PDA’er, stregkodescannere, USB-lagre og lignende.

Bærbart udstyr skal sikres således, at data ikke kan blive tilgængelige for uvedkommende.

8 Anskaffelse, udvikling og vedligeholdelse

It-afdelingen skal i samarbejde med systemejerne sikre, at anskaffede systemer og driftsmiljøer etableres på en sådan måde, at retningslinierne i it-sikkerhedshåndbogen og bilagene tilgodeses.

Systemejerne har ansvaret for, at egenudviklede applikationer sikres i et tilfredsstillende omfang, dels via centralt opdaterede sikkerhedskopier dels ved udarbejdelse af dokumentation af programmeringsgrundlaget.

Systemer må ikke ibrugtages, før der er foretaget aftestning, hvor omfanget afhænger af væsentlighed og risiko. Efterfølgende ændringer af systemet skal tillige aftestes og godkendes.

Af hensyn til kontraktlige forhold, aftestning og drift med mere, skal it-afdelingen inddrages i processen, inden installation af nyt software på kommunens administrative netværk.

9 Nødberedskab for it-anvendelsen

Randers kommune skal råde over et ajourført nødberedskab, således at kommunens forretningsgange ikke vil blive unødigt hæmmet i forbindelse med eventuelle nødsituationer i it-driften. Nødberedskabet skal stå i naturligt forhold til vigtigheden af det driftsmiljø, som skal beskyttes.

Øverste sikkerhedsansvarlige har ansvaret for fastsættelse og ajourføring af det overordnede nødberedskab for it-anvendelsen.

Systemejerne har ansvaret for at udarbejde og vedligeholde nødberedskabet for de enkeltes systemer.

I tilfælde af krise/katastrofe skal reglerne i kommunens Beredskabsplan følges.

Overordnet nødberedskab for it-anvendelsen er beskrevet i bilag 12 (endnu ikke udarbejdet).

10 Regelsæt og lovgivning

Randers kommune er dataansvarlig myndighed og skal sikre, at anvendelsen af data i it-systemerne overholder gældende lovgivning, herunder Lov om behandling af personoplysninger, Forvaltningsloven, Lov om offentlighed i forvaltningen med flere.

10.1 Lov om behandling af personoplysninger

Lov om behandling af personoplysninger - eller persondataloven - har blandt andet til formål at sikre personhenførbare data mod misbrug.

Er der tale om en samling af personoplysninger er persondataloven gældende. Persondataloven skelner ikke mellem hvilke metoder, der anvendes til håndtering af data. Persondataloven er således også gældende for persondata der i struktureret form gemmes på papir.

Af Persondataloven fremgår en række krav til fastsættelse af it-sikkerhedsregler. It-sikkerheds-politikken, it-sikkerhedshåndbogen og tilhørende bilag har blandt andet til formål at opfylde kravene, som er defineret i Persondataloven med relaterede bekendtgørelser.

Særlige forhold vedrørende Persondataloven, herunder retningslinier for indsigtsret, ret til indsigelse og videregivelse til 3. part fremgår af bilag 17.