Organisering af sikkerhedsarbejdet i Randers Kommune
Som en del af informationssikkerhedsarbejdet i Randers Kommune udpeges system- og dataejere som bl.a. har ansvar for retningslinjer og instrukser for egne systemer.
En systemejer kan uddelegere udførelsen af opgaver til systemforvalterne, som i samarbejde med IT & Digitalisering kan løse en række opgaver. Ansvaret kan dog aldrig uddelegeres.
I Randers Kommune er kommunaldirektøren den øverste sikkerhedsansvarlige. Direktionen udgøre det strategiske niveau i forbindelse med informationssikkerhed. Det taktiske niveau udgør sekretariatschefgruppen.
Informationssikkerhed er en integreret del af det generelle ledelsesansvar. Det er således den enkelte lederens ansvar, at sikre forankring af informationssikkerhed i forretningsprocesser og aktiviteter. Lederen er rollemodel i forhold til informationssikkerhed. Det er dermed en leders opgave at orientere sine medarbejdere om informationssikkerhed.
Som en del af informationssikkerhedsarbejdet i Randers Kommune udpeges system- og dataejere, som bl.a. har ansvar for retningslinjer og instrukser for egne systemer.
Randers Kommunes medarbejdere har ansvar for at holde sig orienteret om informationssikkerhedspolitikkens regler og procedurer og på baggrund heraf udvise omhu i den daglige anvendelse af informationsaktiverne.
Alle medarbejdere – med og uden ledelsesansvar – har dermed en forpligtelse til at overholde kommunens informationssikkerhedspolitik og –regler. Alle har derved en rolle i arbejdet med informationssikkerhed.
Organisationen kan illustreres på følgende måde:
Andre relevante roller (systemforvalter og daglig kontaktperson)
Alle systemer skal som minimum have udpeget en systemejer. Det kan dog flere steder være relevant at arbejde med en overordnet systemejer, en systemforvalter og evt. en daglig kontaktperson.
Det er op til systemejer om de andre roller også skal udpeges. Systemejer har ansvaret for at udpege en systemforvalter og evt. en kontaktperson, hvis dette ønskes.
I forhold til informationssikkerhed har systemejeren ansvar for at sikre at opgaverne udføres. I praksis vil dette arbejde ofte være delegeret til en systemforvalter som er udførende på systemets sikkerhedsarbejde, og som styrer sikkerhedsarbejdet i forhold til driftsfunktionerne. En række specialistfunktioner (fx informationssikkerhedskonsulent, databeskyttelsesrådgiver, It-driftsmedarbejdere) vil desuden være konsulterende i forhold til både den ansvarlige og udførende ledelse af systemet.
Udover systemejer og -forvalter, kan der være personer der er udpeget til at varetage "øvrige aktiver", f.eks. It-udstyr, adgangsforhold, arkivskabe m.v. – de er ansvarlige for øvrige "aktiver" (se nedenstående figur).
Rollen som systemforvalter
Systemforvalteren er en person, der har indgående indsigt i systemets tekniske opbygning og anvendelse og som på den baggrund kan indgå i arbejdet med udarbejdelse af f.eks. risikovurderinger, beredskabsplaner og databehandleraftaler.
Systemforvalter kan være den samme person som den overordnede systemejer. En systemforvalter kan både være en chef/leder eller en medarbejder.
Den overordnede systemejer kan uddelegere udførelsen af de systemejerens opgaver til systemforvalterne. Ansvaret kan dog aldrig uddelegeres.
Daglig kontaktperson
Den daglige kontaktperson kan være den samme person som systemforvalteren og kan evt. bruges som screening inden henvendelser sendes videre til systemforvalteren eller systemejeren, samt løse simple forespørgsler.