Denne informationssikkerhedspolitik er fastlagt af Byrådet i Esbjerg Kommune og udgør den overordnede ramme for informationssikkerheden og databeskyttelsen i kommunen.

Kommunen behandler en stor mængde informationer, herunder både fortrolige og følsomme personoplysninger. Det er af afgørende betydning, at borgere, virksomheder og den øvrige offentlige sektor har tillid til, at den nødvendige sikkerhed omkring disse informationer bliver opretholdt.

Informationssikkerheden er fundamentet for, at kommunen kan opnå de mål, der er fastsat i kommunens digitaliseringspolitik og i et større perspektiv også for kommunens visioner generelt.

Hvis informationssikkerheden er utilstrækkelig, kan det skade kommunens omdømme og medføre, at effektiviseringer og kvalitetsforbedringer må opgives. I nogle tilfælde kan brud på informationssikkerhed også få menneskelige konsekvenser. Informationssikkerhed har således i mere end én forstand vital betydning for kommunen.

Politikkens bestemmelser er udarbejdet med afsæt i:

• Principperne i den internationale sikkerhedsstandard ISO27001
• EU’s databeskyttelsesforordning (GDPR) og de afledte nationale lovgivninger på området.

Informationssikkerheden er bygget op i tre niveauer:

• En informationssikkerhedspolitik (denne politik), der beskriver rammer, mål og overordnet organisering af informationssikkerhedsindsatsen.
• Retningslinjer for informationssikkerhed, som beskriver risikohåndtering på udvalgte områder, med udgangspunkt i arbejdsprocesser, medarbejderpolitikker og tekniske og fysiske forhold.
• Procedurer og vejledninger på områder, hvor der er behov herfor.

Informationssikkerhedspolitikken har til formål at beskytte informationer og systemer, uafhængigt af hvor disse findes, oparbejdes og drives, så kommunen er en troværdig og kompetent samarbejdspartner og myndighed. Indsatsen skal tilgodese følgende behov:

• at følsomme og fortrolige informationer beskyttes, så de forbliver hemmelige for alle personer, der ikke har ret til at kende dem,
• at informationer er korrekte og fuldstændige, at anvendte it-services fungerer korrekt, og
• at informationer og it-services er tilgængelige, når autoriserede brugere har behov for det.

Med andre ord skal politikken bidrage til at opretholde fortrolighed, integritet og tilgængelighed (FIT) af informationer og minimere risikoen for sikkerhedsbrud.

Politikken gælder for alle kommunens direktørområder, institutioner og selvejende institutioner samt for eksterne brugere, politikere, samarbejdspartnere og leverandører.

Politikken omfatter alle former for informationer, der ejes, opbevares eller behandles af kommunen og kommunens databehandlere. Dette gør sig gældende uanset på hvilket medie, informationerne er lagret på og uanset hvordan de fremstår.

Det er en ledelsesmæssig opgave at sikre informationssikkerheden og databeskyttelsen i kommunen. Derfor er ansvaret entydigt forankret hos kommunens ledelse på lige fod med ansvaret for eksempelvis økonomi og personale.

Byrådet har det overordnede ansvar for at fastlægge de overordnede rammer for informationssikkerhedsarbejdet. Rammerne fastlægges i informationssikkerhedspolitikken, der godkendes og vedligeholdes af byrådet efter indstilling fra direktionen.

Kommunaldirektøren er den øverste sikkerhedsansvarlige og har i samarbejde med direktionen det overordnede ansvar for, at informationssikkerhedsopgaverne i kommunen bliver løst i overensstemmelse med de bestemmelser, der er fastlagt i informationssikkerhedspolitikken.

Direktører og afdelingschefer har inden for eget område ansvar for implementering og opfølgning på efterlevelse af informationssikkerhedspolitikken. Direktørerne prioriterer og fastlægger de nødvendige sikringsforanstaltninger til opretholdelse af kommunens ønskede sikkerhedsniveau med udgangspunkt i de risikovurderinger, der er godkendt af informationssikkerhedsudvalget.

Digitaliserings- og It-chefen fastlægger retningslinjerne for informationssikkerhed og er ansvarlig for den daglige operationelle ledelse af informationssikkerhedsarbejdet, herunder at sikre prioritering og opfølgning på de opgaver, der er forbundet hermed. Digitaliserings- og It-chefen rapporterer årligt status på arbejdet med informationssikkerhedspolitikken til øverste sikkerhedsansvarlige.

Informationssikkerhedsudvalget behandler tværgående ledelsesmæssige problemstillinger inden for informationssikkerhed og databeskyttelse og skaber konsensus om risikostyringsaktiviteter. Informationssikkerhedsudvalget har til formål at fastlægge og godkende organisationens risikoniveau gennem risikovurdering af organisationens anvendelse af informationer, samt at prioritere aktiviteter og indsatsområder på grundlag af indstilling fra fx organisationen, databeskyttelsesrådgiveren, Datatilsynet eller ekstern revision.

Systemejere er risikoejere for egne systemer og har ansvar for at sikre, at systemerne lever op til informationssikkerhedspolitikken, samt for at godkende ændringer og autorisationer på deres systemer. Herudover har systemejeren ansvar for udarbejdelse af nødplaner for egne systemer i det omfang det vurderes relevant.

Databeskyttelsesrådgiveren (DPO) har en rådgivende funktion i informationssikkerhedsarbejdet. DPO’ens funktion består i at rådgive, vejlede og overvåge, at organisationen efterlever reglerne om databeskyttelse samt at sikre afrapportering herom til kommunens øverste ledelse.

Ledere har ansvar for, at deres medarbejdere kender til informationssikkerhedspolitikken og arbejder ud fra de retningslinjer og procedurer, der er fastsat heraf. De har desuden ansvar for deres medarbejderes autorisationer til kommunens netværk og it-systemer.

Alle ansatte er ansvarlige for at efterleve retningslinjer og procedurer for informationssikkerhed i det daglige arbejde samt at rapportere risici og hændelser, herunder brud på persondatasikkerheden.

Kommunes informationssikkerhedsniveau skal efterleve den til enhver tid gældende lovgivning og leve op til gældende sikkerhedspraksis i den kommunale sektor.

Sikkerhedsniveauet skal stå mål med risikoen, og derfor skal kommunen ikke sikre sig for enhver pris, men være bevidst om enhver risiko. Kommunen fastlægger sikkerhedsniveauet på baggrund af risiko- og konsekvensvurderinger, som svarer til betydningen af de pågældende informationer og systemer.

Der skal på alle niveauer forebygges mod risici ved manglende funktionsadskillelse (autorisation/attestation og udøvelse/kontrol). I situationer, hvor der ikke er funktionsadskillelse, er den pågældende ledelse ansvarlig for, at der kompenseres med andre sikkerhedsforanstaltninger, som udmøntes konkret i procedurer.

ISO 27001/2 standarden skal anvendes som et vejledende udgangspunkt for de grundlæggende sikkerhedsforanstaltninger, som kommunen indfører. Standarden skal anvendes som reference i vurderinger af sikkerheden på områder, hvor kommunen ikke har formuleret og vedtaget egne regler.

Når kommunen har vedtaget egne sikkerhedsregler, skal der søges dispensation ved fravigelse, hos den ledelse, der har vedtaget reglerne.

Alle, som har adgang til, anvender eller behandler informationer i Esbjerg Kommune har et medansvar for at beskytte kommunens data mod uautoriseret adgang, ændring og ødelæggelse samt tyveri.

Alle medarbejdere skal derfor løbende modtage relevant uddannelse i informationssikkerhed og databeskyttelse.

Der skal foreligge en opdateret beredskabsplan for relevante områder og systemer i Esbjerg Kommune til brug i de situationer, hvor systemer eller områder rammes af forhold, der aktiverer beredskabet.

Digitaliserings- og It-chefen rapporterer én gang årligt status på informationssikkerhedspolitikken til kommunaldirektøren og økonomiudvalget.

Kommunaldirektøren beslutter i samråd med Digitaliserings- og It-chefen og direktionen, på hvilken måde informationssikkerhed og databeskyttelse skal indarbejdes i direktionens og andre relevante årsplaner, og hvordan informationssikkerhedsindsatsen konkret skal evalueres.

Informationssikkerhedspolitikken revideres hvert fjerde år og godkendes af det nye byråd. Politikken skal desuden godkendes af byrådet, hvis der sker væsentlige organisatoriske forandringer.

Overtrædelser af kommunens informationssikkerhed eller andre bestemmelser, som er udmøntet heraf, vil blive behandlet af ledelsen afhængig af karakteren af overtrædelsen.

Informationssikkerhedspolitikken skal formidles til alle relevante interessenter herunder samtlige medarbejdere i kommunen og offentliggøres på www.esbjerg.dk

Version 1.0 Godkendt af byrådet den 7. marts 2022.