Strategi for informasjonssikkerhet

Strategi for
Informasjonssikkerhet
Vedtatt 2015
Informasjonssikkerhet og personvern
– en naturlig del av Bergen kommune
Bergen kommunes strategi for informasjonssikkerhet, versjon 1.0
BKDOK-2011-00475
Side 1 av 8
Innholdsfortegnelse
Sammendrag ______________________________________________ 3
Visjon __________________________________________________ 3
Innledning ________________________________________________ 4
Begreper ________________________________________________ 5
Nasjonalt regelverk __________________________________________ 5
Kommuneloven, eForvaltningsforskriften og internkontroll ____________ 5
Personopplysningsloven, -forskriften og personvern _________________ 6
Øvrige nasjonale og lokale føringer _____________________________ 6
Strategisk fokus ____________________________________________ 6
Fokusområde 1 - Organisering og integrasjon ______________________ 6
Delmål 1.1 - Arbeidet med informasjonssikkerhet skal være basert på tydelig organisering, roller,
ansvar og tverrfaglig samarbeid ____________________________________________ 7
Delmål 1.2 - Informasjon skal sikres der det er behov for den, i enhetene ________________ 7
Fokusområde 2 - Sikkerhetskultur og personvern ___________________ 7
Delmål 2.1 - Systematisk samarbeid skal bidra til å minimere risiko for brudd på
informasjonssikkerheten ________________________________________________ 7
Delmål 2.2 - Personvern skal være en synlig del av arbeidet med informasjonssikkerhet _____ 8
Tiltak og handlingsplaner _____________________________________ 8
Bergen kommunes strategi for informasjonssikkerhet, versjon 1.0
BKDOK-2011-00475
Side 2 av 8
SAMMENDRAG
Gjennom media blir vi nesten daglig presentert for et stadig mer dramatisk og tilsynelatende
teknologisk orientert trusselbilde. Norges hemmelige tjenester anser informasjonssikkerhet
for å være vår største sikkerhetsfaglige utfordring, og maner til samarbeid, systematikk og
styring. Det er avgjørende å starte arbeidet med informasjonssikkerhet der informasjonen
behandles, i den enkelte enhet hvor informasjon utgjør ryggraden i tjenesteleveransene.
Informasjonssikkerhet starter med enhetenes krav til sikring og slutter med enhetenes sikre
behandling av informasjon. Teknologiens sikkerhet vil aldri bli bedre enn de kravene man
stiller. Informasjonens sikkerhet er et produkt av de sikringstiltakene man har foretatt på
forhånd og hvordan man behandler sårbarheter, svakheter og feil etter hvert som disse
oppstår. Kravene til sikring av informasjon bestemmes i hovedsak av to faktorer,
informasjonens innhold og hvilken sammenheng den behandles i. Informasjonssikkerhet
handler i bunn og grunn om sikring av informasjonsverdier med betydning for både offentlig
forvaltning, virksomheter, organisasjoner og enkeltpersoner – derfor angår det oss alle.
For at informasjonssikkerheten og personvernet skal være best mulig må det arbeides med på
en systematisk måte, og behandles som en integrert del av all informasjonsbehandling, enten
behandlingen er helt eller delvis manuell. Derfor må alle i Bergen kommune samarbeide på
tvers av faglige enheter og mål.
Visjon
Bergen kommunes visjon er at informasjonssikkerhet og personvern skal være en naturlig del
av kommunen.
Informasjonssikkerhet og personvern
– en naturlig del av Bergen kommune
Bergen kommunes strategi for informasjonssikkerhet, versjon 1.0
BKDOK-2011-00475
Side 3 av 8
INNLEDNING
Den største trusselen mot informasjonssikkerheten er primært oss mennesker og vår
manglende forståelse av behovet for sikring. Sikkerhetsbrudd er forårsaket av svakheter. Det
kan handle om manglende forståelse for risiko og dertil manglende sikring, eller om
manglende kompetanse. De aller fleste handler i god tro. Sikringstiltak, systematikk, rutiner
og prosedyrer innføres for å ivareta informasjonssikkerheten på en formell, systematisk og
etterprøvbar måte. For å oppnå tilstrekkelig og tilpasset sikring av informasjon i hele
kommunens virksomhet, er det nødvendig med et bredere og dypere fokus på sikring av
informasjon i alle prosesser og alt vi gjør – ikke bare teknologisk. Strategi for
informasjonssikkerhet gjelder alle ansatte, ledere og andre i tjeneste for Bergen kommune.
Bergen kommune fikk sin første strategi for informasjonssikkerhet i 2011. Da var det viktig å
fokusere på å skape et grunnlag for organisering av arbeidet med informasjonssikkerhet, og
på å få i gang en kulturbyggende bevisstgjøring. Mye har endret seg siden den gang.
Tiltakene fra forrige strategi er enten gjennomført eller har avdekket mer spesifikke behov.
For eksempel innen organisering av informasjonssikkerhetsarbeidet er det avdekket et behov
for tettere integrasjon med kommunens mangfoldige tjenesteproduksjon. Arbeidet med
styrking av sikkerhetskultur og bevisstgjøring er i gang, men skal systematiseres ytterligere
og få et tydeligere fokus på personvern.
Trusselbildet blir stadig konkretisert gjennom oppslag i media. Norges hemmelige tjenester,
Etterretningstjenesten, PST og Nasjonal sikkerhetsmyndighet, er alle enige om at
informasjonssikkerhet er en av de største utfordringene vi står overfor fra et sikkerhetsfaglig
ståsted. Organisert kriminalitet og andre nasjoner er blant de trusselaktørene som stadig blir
mer profesjonelle i sin tilnærming. Derfor er det avgjørende at systematiseringen av arbeidet
med informasjonssikkerhet i Bergen kommune står i forhold til profesjonaliseringen man
observerer blant trusselaktørene.
Selv når man ser bort fra ondsinnede trusselaktører finnes det også andre trusler mot
informasjonssikkerheten i Bergen kommune. Digitalisering av informasjonsbehandling gir
oss mange gevinster, men også mange utfordringer som må adresseres allerede på
planleggingsstadiet og på en systematisk og dokumentert måte. Dette arbeidet starter ute i
den enkelte enhet.
Bergen kommune vil alltid håndtere store mengder informasjon, som ligger til grunn for all
tjenesteproduksjon i kommunen. Informasjon som er helt nødvendig for at kommunen skal
ha mulighet til å oppfylle sine forpliktelser og leve opp til innbyggernes forventninger. Den er
ikke bare er verdifull for kommunens tjenesteproduksjon, men også verdifull for de den
omhandler, ansatte, elever, innbyggere og virksomheter. Mye informasjon krever beskyttelse
fra uvedkommende, enten de er eksterne eller interne. Balansert beskyttelse og sikring av
informasjon krever at alle i kommunen samarbeider om å jobbe systematisk og strukturert
med personvern og informasjonssikkerhet.
Bergen kommunes strategi for informasjonssikkerhet, versjon 1.0
BKDOK-2011-00475
Side 4 av 8
Begreper
Informasjonsbehandling – Enhver handling som innebærer håndtering av informasjon. Å
lagre informasjon på en minnepenn, sende e-post eller brev, lete opp informasjon om noe
eller noen og saksbehandling er noen få eksempler på informasjonsbehandling.
Informasjonssikkerhet – Sikring av informasjon for å hindre brudd på konfidensialitet,
integritet og/eller tilgjengelighet.
Informasjonsverdi – All informasjon har en verdi for noen, for offentlig forvaltning,
virksomheter, organisasjoner eller enkeltpersoner.
Integritet – At informasjonens innhold er korrekt. Urettmessig endring av lønn, karakterer
eller andre opplysninger vil være et brudd på integritet.
Konfidensialitet – At informasjon bare behandles av de som har behov for den, og at
utilsiktet innsyn i informasjon unngås. Brudd på taushetsplikt vil være et brudd på
konfidensialitet.
Personopplysninger – Alle opplysninger og vurderinger som kan knyttes til en enkeltperson.
Navn, telefonnummer og adresse er personopplysninger mange kjenner til, men karakterer,
hendelseslogger, bilder og vurderinger av noens økonomiske situasjon er også eksempler på
personopplysninger.
Tilgjengelighet – At informasjonen er tilgjengelig når det er behov for den. Et dokument som
blir borte, som det ikke finnes kopier av, vil være et brudd på tilgjengelighet.
Trusselbilde – En sammenstilling av trusler Bergen kommune står overfor.
Trusselaktør – En enkeltperson, organisasjon eller en fremmed makt som utgjør en trussel
for Bergen kommune.
NASJONALT REGELVERK
Både lovverket og nasjonale strategier har samme fokus. Innenfor rammene av den rettslige
reguleringen møtes organisatoriske, juridiske og teknologiske spørsmål. Formålet er å oppnå
tilfredsstillende informasjonssikkerhet med hensyn til ivaretakelse av informasjonens
konfidensialitet, integritet og tilgjengelighet (jf. personopplysningsloven § 13).
Informasjonssikkerhet blir stadig viktigere for organisasjoner så vel som for den enkelte, og
vi må alle bygge den inn i alt vi gjør.
Kommuneloven, eForvaltningsforskriften og
internkontroll
Bergen Kommune må følge en rekke lovpålagte krav i sitt arbeid med informasjonssikkerhet.
Dette er gjengitt i kommunelovens generelle krav om at internkontroll skal «drives i samsvar
med lover, forskrifter og overordnede instrukser, og at den er gjenstand for betryggende
kontroll» (jf. kommuneloven § 20 nr. 1 og 2). I eForvaltningsforskriftens § 15 utdypes dette
kravet innen informasjonssikkerhet til «Forvaltningsorganet skal ha en internkontroll
(styring og kontroll) på informasjonssikkerhetsområdet som baserer seg på anerkjente
standarder for styringssystem for informasjonssikkerhet».
ISO/IEC 27001 er å anse som den foretrukne standarden innen dette området, og er den
standarden som benyttes som utgangspunkt for bygging av et slikt styringssystem i Bergen
kommune. Standarden beskriver et sett med krav til som skal bidra til å beskytte
virksomhetens informasjon mot tilsiktede og utilsiktede brudd på konfidensialitet, integritet
og tilgjengelighet. Standarden stiller krav til at sikkerhetsarbeidet gjennomføres på en
helhetlig og systematisk måte, og med tilstrekkelig styring og kontroll.
Bergen kommunes strategi for informasjonssikkerhet, versjon 1.0
BKDOK-2011-00475
Side 5 av 8
Personopplysningsloven, -forskriften og personvern
Personopplysningslovens formål er å beskytte den enkelte mot at personvernet blir krenket
gjennom behandling av personopplysninger. Personopplysninger er informasjon som kan
knyttes til en enkeltperson, enten vedkommende er innbygger eller ansatt.
Godt personvern avhenger av god informasjonssikkerhet og kravene i personopplysningsloven og -forskriften er derfor i stor grad basert på samme utgangspunkt som
eForvaltningsforskriftens «anerkjente standarder»1. Bestemmelsene regulerer sikring av
opplysningenes konfidensialitet, tilgjengelighet og integritet, og pålegger
behandlingsansvarlig en plikt til å vurdere om behandlingen er innenfor regelverkets
rammer, eller om det er behov for å iverksette tiltak.
Loven angir i liten grad hvilke tiltak som er aktuelle for å oppnå lovens krav til
tilfredsstillende sikring. Den legger opp til at tiltak må være basert på dokumentert
risikostyring, systematiske tiltak og internkontroll. Det handler om å etablere en systematisk
og dokumentert tilnærming for å sikre at alle informasjonsbehandlinger ivaretar
informasjonssikkerheten, og overholder de krav som stilles gjennom lover og regler.
Øvrige nasjonale og lokale føringer
Nasjonalt er det spesielt regjeringens nasjonale strategi og handlingsplan for
informasjonssikkerhet fra 20122 som viser vei i arbeidet med informasjonssikkerhet i det
offentlige Norge. I tillegg har DIFI3 fått et styrket fagmiljø for informasjonssikkerhet, som på
kort tid har kommet med gode bidrag, også i samarbeid med kommunesektoren og Bergen
kommune. DIFI har blant annet lansert faglige fora, veiledningsmateriale og startet
omfattende opplærings- og undersøkelsesprogrammer. Ellers samarbeider Bergen kommune
med både NorSIS4, NorCERT5, HelseCSIRT6, med flere.
I kommunen er det en nær tilknytning mellom kommunens IKT-strategi7 og strategi for
informasjonssikkerhet. Internt i kommunen har det skjedd en styrking av det tverrfaglige
arbeidet med internkontroll, et økt fokus på risikostyring generelt og et stadig tettere
samarbeid mellom miljøene for samfunnssikkerhet, HMS og informasjonssikkerhet.
STRATEGISK FOKUS
Arbeidet med å sikre informasjon generelt og sørge for godt personvern spesielt, er begge helt
avhengig av gode prosesser for internkontroll, god sikkerhetskultur, tverrfaglig samarbeid og
integrasjon med organisasjonens eksisterende styringsmekanismer. I det systematiske
arbeidet med kontinuerlig forbedring av informasjonssikkerhet ønsker Bergen kommune i
kommende strategiperiode å ha spesielt fokus på to områder.
Fokusområde 1 - Organisering og integrasjon
Behovet for sikring av informasjon henger sammen med informasjonens innhold og
sammenhengen den benyttes innenfor. Det er derfor avgjørende at organiseringen av
arbeidet med informasjonssikkerhet bygger på kommunens organisering av tjenesteområder.
Jf. §§ 13 og 14 i personopplysningsloven og § 15 i eForvaltningsforskriften.
https://www.regjeringen.no/nb/dokumenter/nasjonal-strategi-for-informasjonssikker/id710469/
3 Direktoratet for forvaltning og IKT
4 Norsk senter for informasjonssikring (http://www.norsis.no)
5 Norsk Computer Emergency Response Team, drevet av NSM (http:// nsm.stat.no)
6 Helse- og omsorgssektorens Computer Security Incident Response Team
7 IKT-strategi for Bergen kommune 2014-2017
1
2
Bergen kommunes strategi for informasjonssikkerhet, versjon 1.0
BKDOK-2011-00475
Side 6 av 8
Avgjørelser om sikring av informasjon skal ligge nærmest mulig der behovet for behandling
av spesifikk informasjon i organisasjonen finnes. Det er avgjørende at arbeid med sikring
foregår på grunnlag av tjenesteområdenes egne behov, evne til sikring og anledning og vilje
til å akseptere risiko.
Delmål 1.1 - Arbeidet med informasjonssikkerhet skal være basert
på tydelig organisering, roller, ansvar og tverrfaglig samarbeid
Den enkelte leder må ta hensyn til flere former for sikkerhet i sin enhet, ikke bare sikring av
informasjon, men også sikring av den enkeltes arbeidsmiljø eller sikring av
skjermingsverdige objekter i samfunnet rundt oss. Disse ulike formene for sikkerhet henger
sammen og er avhengig av hverandre. Uansett hvilket perspektiv man har på sikkerhet vil
målsettingen være den samme, å sikre seg mot at uvedkommende truer verdiene våre. Dette
gjøres best med hjelp av en tydelig organisering, med klart definerte roller og ansvar. I tillegg
er det viktig å sørge for at belastningen på den enkelte leder blir minst mulig med et best
mulig tverrfaglig samarbeid om verktøy og metodikk.
Delmål 1.2 - Informasjon skal sikres der det er behov for den, i
enhetene
Informasjon må i første rekke sikres der den behandles, i enhetene. Informasjonen eies av
enhetene i kraft av å være en ufravikelig del av de prosesser og tjenesteleveranser den enkelte
enhet står ansvarlig for. Det betyr at informasjonssikkerhet må være en del av all
informasjonsbehandling i kommunen, og at resultatenhetsledere må bli mer bevisst det
ansvaret de har for informasjon.
For å kunne sikre informasjon er det avgjørende at resultatenhetsledere sørger for å ha en
god oversikt over hvilken informasjon som behandles, hvor den behandles, av hvem,
hvordan og hvor stor risikoen med behandling er. De må også sørge for at enhetens ansatte
vet hva de skal gjøre når en uønsket hendelse oppstår, og hvordan de best skal sørge for at det
ikke skjer igjen.
Fokusområde 2 - Sikkerhetskultur og personvern
Delmål 2.1 - Systematisk samarbeid skal bidra til å minimere risiko
for brudd på informasjonssikkerheten
Utilstrekkelig kompetanse eller bevissthet om rutiner og retningslinjer, og sviktende
kompetanse blant de ansatte utgjør helt sentrale risikoer. Alle ledere skal vite, ha oversikt
over og informere om hvilken informasjon enheten behandler, hvem de kan dele
informasjonen med, og hvordan dette kan gjøres på en forsvarlig måte. Uforsvarlig
håndtering av informasjon kan uansett forekomme, men da er det avgjørende å skape kultur i
alle enheter for å rapportere alle avvik, små som store, slik at man på en systematisk måte
forsøker å unngå at det skjer igjen.
Alle må være bevisst på sikkerhetsrisikoer, og ta ansvar for å gjennomføre tiltak som kan
styrke informasjonssikkerheten og personvernet. Ved at alle trekker i samme retning vil
summen av tiltak og holdninger bidra til utvikling av en sikkerhetskultur, som vil styrke
informasjonssikkerheten og personvernet i alle ledd i Bergen kommune.
Bergen kommunes strategi for informasjonssikkerhet, versjon 1.0
BKDOK-2011-00475
Side 7 av 8
Delmål 2.2 - Personvern skal være en synlig del av arbeidet med
informasjonssikkerhet
Store deler av informasjonen Bergen kommune forvalter er personopplysninger om
kommunens innbyggere og ansatte. Gjennom fokus på styrking av informasjonssikkerhet
generelt har Bergen kommune jobbet indirekte med å styrke personvernet kontinuerlig i en
årrekke. For å styrke tilliten hos den enkelte innbygger og ansatte, skal kommunen være
tydeligere i sitt fokus på å praktisere innebygget personvern, og ved å synliggjøre
ivaretakelsen av personvernet for den enkelte, f.eks. gjennom etablering av
personvernombud i Bergen kommune.
TILTAK OG HANDLINGSPLANER
Tiltakene BFEE og avdeling for informasjonssikkerhet jobber etter, nedfelles i en overordnet
handlingsplan for informasjonssikkerhet. Arbeid med tiltak har utviklet seg siden forrige
strategi og er i dag planmessig og systematisk fulgt opp gjennom balansert målstyring. For å
nå målene beskrevet i fokusområdene ovenfor er det avgjørende å gjennomføre de rette
tiltakene til rett tid, og å justere tiltakene etter hvert som trusselbildet endrer seg.
Bergen kommunes strategi for informasjonssikkerhet, versjon 1.0
BKDOK-2011-00475
Side 8 av 8