Riktlinje för informationssäkerhet

Antagen av kommunstyrelsen 2023-09-12.

Inledning

Samhällets informations- och cybersäkerhet behöver utvecklas samtidigt som Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter. För att klara detta behövs ökad kunskap om sårbarheter och risker samt vilka behov av säkerhetsåtgärder som finns i offentlig sektor.

Kommunstyrelsen har tidigare antagit en informationspolicy för Hudiksvalls kommun. Riktlinjen innehåller en gemensam riktning om hur Hudiksvalls kommun ska arbeta för att leva upp till policyn.

Informationssäkerhet är reglerat i ett antal lagar, som exempelvis Lag (2006:544) om kommuners och regioners åtgärder inför och vid extraordinära händelser i fredstid och höjd beredskap, Offentligs och sekretesslagen, Dataskyddsförordningen, Säkerhetsskyddslagen och NIS-direktivet (lagen om informationssäkerhet för samhällsviktiga och digitala tjänster). Detta innefattar information i alla dess former; text, ljud, bilder, film osv, och oavsett hur information lagras, bearbetas och kommuniceras.

En ökad digitalisering innebär även ökade cyberhot och cyberattacker då fler och fler system kopplas upp mot Internet och till varandra. Det kan innebära problem för säkerhetskänslig verksamhet då data och system kan exponeras. Det behöver inte röra sig om en direkt attack mot organisationen, utan kan även handla om en attack genom leverantörskedjan. Därav innefattar arbetet med säkerhetsskydd även en organisations leverantörer, då problem hos dessa kan medföra stora konsekvenser för den egna organisationen.

Alla som arbetar eller har uppdrag i Hudiksvalls kommun har ansvar för att kommunen har en bra informationssäkerhet. Varje nämnd och varje verksamhet ansvarar för informationssäkerheten inom sitt område. Informationssäkerhetsarbetet syftar till att skydda och säkerställa information och se till att informationen är tillgänglig på rätt sätt. Därför ska informationen skyddas enligt följande principer;

  • Konfidentiell. Bara den som har rätt till det ska ha åtkomst till informationen
  • Riktig. Informationen är tillförlitlig, korrekt och fullständig
  • Tillgänglig. Informationen finns tillgänglig när den behövs.
  • Spårbar. Alla aktiviteter som rör informationen kan vid behov spåras.

Skyddet behöver givetvis anpassas efter behovet så att det är tillräckligt bra och inte för svagt eller alltför krångligt och dyrt. Brister i hanteringen av informationen leder till ett försämrat förtroende för våra tjänster. Allvarliga och upprepade störningar kan leda till förtroendekriser.

Identifiera och analysera tillgångar, krav och risker

Hudiksvalls kommun ska använda sig av ett metodstöd från Myndigheten för samhällsskydd och beredskap (MSB) för systematiskt informationssäkerhetsarbete. En väl utvecklad och integrerad informationssäkerhet bidrar till att etablera effektiv och ändamålsenlig informationshantering, vilket skapar förtroende både inom och utanför organisationen och direkt bidrar till att:

  • möjliggöra digitaliseringssatsningar och underlätta transformering,
  • undvika incidenter – bygga ett skydd mot it-attacker och läckage av personuppgifter,
  • säker verksamhetsstyrning,
  • bevara förtroende mot medborgarna
  • införa en metodik och ett arbetssätt för att efterleva lagstiftning och löpande uppföljning.

Samtliga informationstillgångar ska vara identifierade och förtecknade. Av förteckningen ska det framgå vem som är informationsägare eller systemägare. Skyddsåtgärder skall vara kostnadseffektiva och stå i proportion till värdet av informationen och de negativa konsekvenser en otillräcklig säkerhet kan medföra.

Alla har ett ansvar att rapportera incidenter och vara uppmärksamma på händelser som kan påverka säkerheten för kommunens informationstillgångar. Rapportering sker till systemägaren. Processer och rutiner ska finnas för att säkerställa ett konsekvent och effektivt tillvägagångssätt för hantering av informationssäkerhetsincidenter inklusive kommunikation i samband med incidenterna.

Illustration för att säkerställa ett konsekvent och effektivt tillvägagångssätt för hantering av informationssäkerhetsincidenter inklusive kommunikation i samband med incidenterna.

Klassning av informationen

Klassificering av information är en grundläggande aktivitet för att informationstillgångar och resurser ges nödvändigt skydd. Det är informationen som ska skyddas. Informationen ska klassificeras utifrån den funktion och betydelse för verksamheten som den har och de konsekvenser det medför om informationen skulle hanteras felaktigt, försvinna, komma i orätta händer etc. Vid klassificering av informationen ska det bedömas i vilken grad förlust av konfidentialitet, riktighet, tillgänglighet eller spårbarhet hos informationen som innebär negativ påverkan på egen eller annan verksamhet och dess tillgångar eller på enskild individ.

För säkerhetsaspekten konfidentialitet gäller en direkt koppling till offentlighet- och sekretesslagen och dataskyddsförordningen. För övriga gäller att ta reda på följande konsekvenser; verksamhetens förmåga att utföra sin uppgift, ekonomi, påverkan på individ, påverkan på externa intressenter, juridiska aspekter och kommunens anseende. För att få fram ett riskvärde används de båda perspektiven sannolikhet och konsekvens som båda värderas på en skala från 1 till 4. Genom att multiplicera värdet för sannolikhet med värdet för konsekvens räknas riskvärdet fram. Riskvärdet anger riskens storlek i relation till andra identifierade risker.

Risk- och konsekvensanalys.

Sannolikhet

  1. Osannolik: Risken är praktiskt taget obefintlig för att fel ska uppstå.
  2. Mindre sannolik: Risken är mycket liten för att fel ska uppstå.
  3. Möjlig: Det finns en möjlig risk för att fel ska uppstå.
  4. Sannolik: Det är mycket troligt att fel ska uppstå.

Konsekvens

  1. Försumbar: Är obetydlig för de olika intressenterna och kommunen
  2. Lindrig: Uppfattas som liten av såväl intressenter som kommunen.
  3. Kännbar: Uppfattas som besvärande för intressenter och kommunen.
  4. Allvarlig: Är så stor att fel helt enkelt inte får inträffa.

Organisation och roller

Nedan beskrivs informationssäkerhetsansvaret för ett antal funktioner. Ansvaret för informationssäkerheten följer det ordinarie verksamhetsansvaret. Detta gäller från nämnd till den enskilde medarbetaren. Detta innebär att den som är ansvarig för en viss verksamhet (enhet, process, projekt o.s.v.) också är ansvarig för informationssäkerheten inom verksamhetsområdet.

  • Kommunfullmäktiges ansvar är att fastställa övergripande mål och inriktning för informationssäkerhet genom en kommunövergripande informationspolicy.
  • Kommunstyrelsen ansvarar för den strategiska ledningen och samordningen av det övergripande informationssäkerhetsarbetet. Kommunstyrelsen fattar också beslut om riktlinjer
  • Nämnderna ansvarar för att det bedrivs ett effektivt och ändamålsenligt informationssäkerhetsarbete i den egna verksamheten.
  • Kommundirektör och tillika Säkerhetschef är den ledande tjänstepersonen som har det övergripande ansvaret att samordna informationssäkerhetsarbetet.
  • Informationsägare är den som bestämmer ändamålen för behandlingen och hanteringen av informationen. Informationsägaren äger och ansvarar för att informationen är riktig och tillförlitlig samt för det sätt informationen sprids.
  • Systemägare/objektägare har ansvaret för den verksamhet som aktuellt informationssystem/-objekt stödjer.
  • Systemförvaltare tar det funktionella (dagliga) helhetsansvaret för ett system/objekt. Förvaltaren fungerar i hög grad som system-/objektägarens utförare och ser till att systemets/objektets funktionalitet samt planerade och beslutade aktiviteter genomförs och upprätthålls.
  • Säkerhetsskyddschef ansvarar för informationssäkerheten i verksamhet som har betydelse för Sveriges säkerhet och lyder under säkerhetsskyddslagen.
  • Säkerhetssamordnare, beredskapssamordnare och samordnare civilförsvar genomför bland annat risk- och säkerhetsanalyser på uppdrag av säkerhetsskyddschefen.
  • Informationssäkerhetssamordnare eller motsvarande, har ansvaret att utveckla och samordna arbetet med informationssäkerhet i kommunen och är en stödfunktion för ledning och verksamheter. Handlägger även säkerhetsuppdrag åt Säkerhetsskyddschefen
  • Dataskyddsombudets roll är att regelbundet utbilda, rådgöra och granska nämndernas informationssäkerhet, med särskilt fokus på att granska efterlevnaden av dataskyddsförordningen.
  • IT/ strateg eller motsvarande har det operativa ansvaret för att uppfylla de krav som verksamheten ställer på den tekniska IT-infrastrukturen och har ett särskilt ansvar för den tekniska IT-säkerheten.
  • Dataskyddssamordnare, varje nämnd har minst en person utsedd som ger råd och stöd till nämndernas dataskyddsarbete.
  • Fiberstaden AB svarar för kommunens IT-Support.

Utbildning och information

Alla ska regelbundet genomgå utbildning i informationssäkerhet. Alla anställda, förtroendevalda och uppdragstagare ska ha tillgång till den kunskap som krävs för att förstå sitt ansvar för informationssäkerhet. Det ska också säkerställas att de är medvetna om hot och problem som rör informationssäkerhet samt är rustade för att följa kommunens regelverk för informationssäkerhet när de utför sitt arbete.

Kommunledningsförvaltningen tar fram ett i första hand digitalt utbildningsmaterial och ansvarar för att hålla materialet uppdaterat.

Efterlevnad och uppföljning

Kontinuerlig uppföljning av kommunens informationssäkerhetsarbete ska genomföras systematiskt och regelbundet minst en gång per år. Särskilt fokus ska ligga på uppföljning av hantering av informationsmängder med höga skyddskrav. Kommunstyrelsen ska utifrån sin uppsiktplikt av kommunens nämnder följa upp arbetet, något som också framgår av internkontrollplanen.