Policy för informationssäkerhet

För Sotenäs, Munkedal och Lysekils kommuner

 

Antagen av Kommunfullmäktige Munkedal 2018-06-24 § 56

Antagen av Kommunfullmäktige Sotenäs 2018-06-14 § 70

Antagen av Kommunfullmäktige Lysekil 2018-05-17 § 76

Dokumentet gäller för:

Alla nämnder och förvaltningar

Dokumentet gäller till och med:

Tills vidare

Dokumentansvarig:

IT-chef i SML

Dnr:

ITN 2018-000005


Inledning och syfte

Information är en resurs av strategisk betydelse för kommunens alla verksamheter och är av betydande värde för invånare, näringsliv och forskning.

Kommunens informationstillgångar består av all information som inkommer till kommunen eller som upprättas av kommunens verksamheter manuellt och automatiserat, oavsett var den förvaras och om den är digital eller på papper.

För att trygga informationsförsörjningen ska kommunen bedriva ett långsiktigt och systematiskt informationssäkerhetsarbete som bygger på etablerade standarder.

Med ”etablerade standarder” menas:
Myndigheten för samhällsskydd och beredskap (MSB) har skapat ett stöd för att införa systematiskt arbete med informationssäkerhet i organisationer. Metodstödet används för att införa ledningssystem för informationssäkerhet (LIS). Metodstödet för LIS utgår från standarderna i 27000-serien av International Organisation for Standardization (ISO). ISO är det globala standardiseringsorganet.

SML-IT deltar i Västra Götalandsregionens (VGR) Informationssäkerhetsprogram 2020, vilket är ett utbildningsprogram från 2018–2020 där deltagare arbetar direkt med MSB:s metodstöd för LIS. Ledningssystemet för informationssäkerhet kommer långsiktigt att bli en grundpelare i att trygga informationsförsörjningen i kommunen.

Mål

Målet är att upprätthålla nödvändig nivå på skyddet av informationstillgångarna avseende;

  • Konfidentialitet - att information skyddas för obehörig insyn
  • Riktighet - att information är tillförlitlig, korrekt och fullständig
  • Tillgänglighet - att information är nåbar vid rätt tillfälle
  • Spårbarhet - att specifika aktiviteter som rör information kan spåras

Roller och ansvar

Kommunfullmäktige

Kommunfullmäktige uttrycker sin viljeinriktning rörande kommunens arbete med informationssäkerhet i denna policy.

Kommunstyrelsen

Kommunstyrelsen ansvarar för att samordna och följa upp kommunens informations-säkerhetsarbete. Kommunstyrelsen har det övergripande ansvaret för att utarbeta, förvalta och följa upp riktlinjer för informationssäkerhet.

Nämnderna

Nämnderna med förvaltningar ansvarar för informationsägarskapet inom ramen för sina verksamheter. Informationsägaren har det yttersta ansvaret för sin information och avgör vilken information som får hanteras, hur den får hanteras och av vem den får hanteras.

Policyn för informationssäkerhet gäller för alla informationstillgångar i alla verksamheter inom Lysekils kommun. Policyn gäller för samtliga aktörer som kan komma att hantera kommunens information. De som hanterar information ska ha kunskap om det regelverk som gäller för hur informationen får hanteras och har själva ett ansvar för att informationssäkerheten upprätthålls.

Med ”regelverk som gäller för hur informationen får hanteras” menas:
Kommunens verksamhet styrs av diverse lagar och regelverk. Vad gäller informationshantering, måste kommunens verksamhet(er) följa Offentlighets- och sekretesslagen och Personuppgiftslagen (PUL). Dataskyddsförordningen träder i kraft 25 Maj 2018 och kommer då att ersätta PUL.