Informationssikkerhed og databeskyttelse - for systemejere

Informationssikkerhed handler om, at sikre fortrolighed, integritet og tilgængelighed (FIT) for Randers Kommunes informationer. Som systemejer i Randers Kommune, har du ansvaret for at sikre informationssikkerheden i det enkelte system.

Fortrolighed: Kun autoriserede personer har ret til at tilgå informationerne.

Integritet: Sikre datas integritet. Data er pålidelig, når de er komplette, korrekte og opdaterede.

Tilgængelighed: Det skal være muligt at tilgå systemer og data for autoriserede personer, når dette er nødvendigt.

Indenfor informationssikkerhed er ISO 27001 den internationale standard for styring. Ved at etablere processer for styring af informationssikkerhed med ISO 27001 sikrer vi, at ledelsen kan træffe bevidste valg omkring sikringen af informationer og data. Randers Kommune er, grundet den fælles offentlige digitaliseringsstrategi, i dag underlagt at følge principperne i standarden ISO/IEC 27001. Standarden er derudover et godt afsæt til at håndtere kravene i EU's databeskyttelsesforordning, der trådte i kraft i maj 2018.

Hvorfor ISO/IEC 27001? Hvad er værdien?

Med en systematisk tilgang til styring af risici, kan Randers Kommune investere i informationssikkerhed, hvor det giver størst muligt afkast – hvad enten det indebærer beskyttelse af organisationens fysiske rammer, it-tekniske kontroller eller en ændring af medarbejdernes adfærd. Dette vil bl.a. kunne bidrage til sikring af compliance i forhold til love, regeringskrav, leverandøraftaler, benyttede best practices etc.

Kravene til systemejere i Randers Kommune er identificeret med udgangspunkt i ISO 27001s kontroller i anneks A. Alle ansvarsområder for informationssikkerhed skal defineres og fordeles jf. ISO 27001 A.6.1.1, samt skal der jf. ISO 27001 A.8.1.2 udpeges en ejer i organisationen for hvert aktiv (en systemejer).

Ifm. efterlevelse af kravene i ISO 27001, har Randers Kommune et ledelsessystem (ISMS) hvor regelsæt, politikker, kontroller m.m. håndteres. Praktisk tilgås dette i systemet Control Manager, som omfatter hele Randers Kommunes informationssikkerhedshåndbog.

Hvis du er systemejer for et system, der behandler personoplysninger, skal dit system overholde reglerne i EU's databeskyttelsesforordning (GDPR) og den danske databeskyttelseslov. Ud over kendskab til lovgivningen, skal systemejeren også kende til Randers Kommunes politikker, procedurer og retningslinjer indenfor området.

Det er politisk besluttet, at informationssikkerheden i Randers Kommune skal ligge på et niveau, der sikrer overholdelse af lov- og myndighedskrav, kontraktlige forpligtelser samt forpligtelser over for de aktører, der er forpligtet til at anvende Randers Kommune.

Sikkerhedsniveauet skal have et afbalanceret omfang, således at der samtidig med høj sikkerhed kan fastholdes en effektiv og fleksibel opgaveløsning. Randers Kommune ønsker dermed ikke at sikre sig for enhver pris, men ønsker at være bevidst om risici, og forholde sig aktivt og fagligt tilfredsstillende til disse, hvormed et tilstrækkeligt sikkerhedsniveau etableres.

For at kunne implementerer et tilfredsstillende modenhedsniveau af informationssikkerhed, tages der ofte udgangspunkt i viden, adfærd og teknik.

Figuren viser, at hvis en medarbejder ikke har den nødvendige viden, så ville denne ikke kunne udvise korrekt adfærd eller bruge den korrekte tekniske understøttelse.

Ønsker du mere viden, så se videoerne som der er linket til højere oppe i højre side. Du er også velkommen til at kontakte Randers Kommunes informationssikkerhedskonsulenter eller databeskyttelsesrådgiveren.

Definition på en informationssikkerhedshændelse: En hændelse, der negativt påvirker eller vurderes at ville kunne påvirke tilgængelighed, integritet eller fortrolighed af data, informationssystemer, digitale netværk eller digitale tjenester.

En informationssikkerhedshændelse kan samtidig være et brud på persondatasikkerheden. Alle informationssikkerhedshændelser skal indberettes via Serviceportal - Anmeld sikkerhedshændelse straks.

Læs mere om håndtering af sikkerhedsbrud.