Informationssikkerhedspolitik

§ 1 Sikkerhedsbestemmelserne gælder for:

• Enhver databehandling i Holstebro Kommune
• Anvendelse af IT-mæssige støtteforanstaltninger i forbindelse med databehandlingen
• Behandling af personoplysninger, som hører under Persondataforordningen med tilhørende love, bekendtgørelser

Stk. 2. Sikkerhedspolitikken gælder for alle ansatte ved Holstebro Kommune og alle private og offentlige samarbejdspartnere, som foretager databehandling for Holstebro Kommune, eller har adgang til kommunens netværk.

§ 2. Formålet med Politik for informationssikkerhed er at beskytte Holstebro Kommunes IT-systemer, data og andre IT-aktiviteter af væsentlig økonomisk og forvaltningsmæssig betydning. Og at overholde de regler for behandling af personoplysninger, der er fastsat i Persondataforordningen med tilhørende love, bekendtgørelser. Det gør vi ved, at

• kun godkendte data behandles
• data behandles fuldstændigt, nøjagtigt og rettidigt
• data behandles med den fornødne fortrolighed, herunder at den enkelte persons retsbeskyttelse og integritet ikke krænkes ved behandling og brug af personoplysninger i Holstebro Kommune
• sikre mod misbrug af data
• sikre mod datatab, herunder at data hændeligt eller ulovligt tilintetgøres eller forsvinder
• sikre fortrolighed i transmission såvel internt i kommunen som eksternt og i forbindelse med opbevaring og arkivering af data.

Stk. 2. Politik for informationssikkerhed fastsætter desuden nærmere generelle bestemmelser om sikring af oplysningers rigtighed og kontrol hermed.

Stk. 3. Formålet med Politik for informationssikkerhed opnås bl.a. gennem en række målsætninger, som er at

• sikre pålideligheden af kommunens data, således at de kan danne grundlag for beslutninger og kontrolgrundlag
• opståede fejl, risici og mistanke om/eller misbrug rapporteres til de ansvarlige
• der sker opfølgning herpå
• medarbejderne gennem uddannelse etc. får et grundlag for at forstå nødvendigheden af Politik for informationssikkerhed,
• forvaltningernes ledelse såvel som medarbejdere er ansvarlige for, at bestemmelserne om informationssikkerheden inden for den enkeltes ansvarsområde efterleves
• der udarbejdes minimumsbestemmelser for en række væsentlige forhold, så medarbejderne ikke er i tvivl om de overordnede retningslinjer
• sikre nødvendig funktionsadskillelse, så ingen enkeltperson er både udførende, ansvarlig og kontrollerende over alle elementer i et handlingsforløb
• der etableres kompenserende kontrolforanstaltninger i det omfang funktionsadskillelse ikke kan etableres.

Byrådet og Økonomiudvalget

§ 3. Kommunens Politik for informationssikkerhed godkendes af Byrådet.

§ 4. Økonomiudvalget varetager forvaltningen af og fastsætter regler for kommunens informations- og kommunikationsteknologi.

Stk. 2. Økonomiudvalget fastsætter efter indstilling fra de ansvarlige enheder, IT-afdeling og risikostyringskoordinator, minimumsstandarder for Retningslinjer for informationspolitik.

Stk. 3. En forvaltnings afvigelse fra Retningslinjer for informationspolitik må kun ske efter skriftlig begrundet anmodning til den ansvarlige for informationssikkerhedspolitikken.

Kommunaldirektøren

§ 5. Kommunaldirektøren er kommunens øverste informationssikkerhedschef.

Stk. 2. Kommunaldirektøren har ansvaret for at lede organiseringen af Retningslinjer for informationssikkerhed. Organiseringen skal være i overensstemmelse med den til enhver tid gældende organisation i Holstebro Kommune. 
 

§ 6. Fastlæggelse af et tilstrækkeligt højt sikkerhedsniveau er en forudsætning for en effektiv forvaltning, der kan fremstå som en troværdig samarbejdspartner, som kan spille sammen med borgerne og andre eksterne parter. 

Stk. 2. For at sikre kommunens troværdighed skal det sikres, at

• data behandles med den nødvendige fortrolighed
• kun godkendte data behandles
• data behandles fuldstændigt, nøjagtigt og rettidigt.

Stk. 3. Sikkerhedsniveauet fastlægges ud fra en konkret risikovurdering af de enkelte IT-systemer med hensyntagen til de økonomiske forhold. På baggrund af denne risikovurdering udarbejdes Retningslinjer for informationssikkerhed.

Stk. 4. Hvert år revurderes sikkerhedsniveauet på baggrund af indhentede erfaringer og løbende risikovurderinger.

§ 7. Kommunens ansvarlige for informationssikkerhed tager stilling til afvigelser fra sikkerhedsbestemmelserne. Der udarbejdes en årlig rapport til økonomiudvalget.

§ 8. Overtrædelser af kommunens Politik for informationssikkerheds eller andre bestemmelser, som er udmøntet heraf, vil blive behandlet af ledelsen afhængig af karakteren af overtrædelsen.

Stk. 2. Overtrædelser rapporteres til den ansvarlige for informationssikkerhed.
 

§ 9. Nærværende politik er godkendt af Holstebro Kommunes Byråd den 11. oktober 2011

§ 10. Denne informationspolitik træder i kraft den 12. oktober 2011.

§ 11. Denne politik er redaktionelt ændret som følge af Persondataforordningens ikrafttrædelse den 25. maj 2018.