Sikkerheitsorganisasjon Informasjonssikkerhet - sikkerhetsorganisasjon Formål og ansvar for informasjonssikkerhet Formålet med sikkerhetsorganisasjon er å beskrive organiseringen av arbeidet med informasjonssikkerhet slik at det er tydelig hvem som er ansvarlig på ulike områder, og hva de er ansvarlig for. Ansvaret for informasjonssikkerhet innebærer både et overordnet ansvar for at kommunen har tilfredsstillende og dekkende informasjonssikkerhet iht. gjeldende lovverk, og et ansvar for at ledere på alle nivåer, ansatte, innleid personell og leverandører følger de spesifikke krav og plikter som gjelder i kommunen. Databehandler har et selvstendig ansvar for at gjeldende lovverk følges slik det er regulert i avtale med kommunen eller andre parter. Loven - Personvernforordningen artikkel 24 Personvernforordningen artikkel 24 - Den behandlingsansvarliges ansvar (utdrag): Skal den behandlingsansvarlige gjennomføre egnede tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres i samsvar med denne forordning.. - Rådmannen har det overordnete ansvar for at informasjonssikkerheten i kommunen ligger på et forsvarlig nivå. - Rådmannen er som behandlingsansvarlig ansvarlig for at det etableres en sikkerhetsorganisasjon som koordinerer og gjennomfører informasjonssikkerhetsarbeidet. - Behandlingsansvarlig kan delegere operativt ansvar for daglige arbeidsoppgaver, men ikke ansvaret i forhold til loven. - Utøvelsen av sikkerhetsansvaret og -arbeidet vil skje på ulike nivå i organisasjonen. Organiseringen og innholdet i oppgaver og roller vil være dynamisk Behandlingsansvarlig Behandlingsansvarlig Behandlingsansvarlig Rolle: Behandlingsansvarlig Stilling: Kommunedirektør Toril Hovdenak Telefon: 99048728 Epost: toril.hovdenak@rauma.kommune.no Rapporterer til: Kommunestyret Myndighet: Øverste ansvarlige Ansvarsområde Fastsette krav til sikkerhetsmål og -strategi for informasjonsbehandling i organisasjonen Oppnevne sikkerhetsleder og medlemmer til et sikkerhetsutvalg (dersom dette benyttes) Oppnevne personvernombud og blant annet: stille til rådighet de ressurser som er nødvendig for å utføre lovpålagte oppgaver og opprettholde sin dybdekunnskap sikre at personombudet på riktig måte og i rett tid involveres i alle spørsmål som gjelder personopplysnigner gi tilgang til personopplysninger og behandlingsaktiviteter sikre at personombudet er uavhengig og ikke mottar instrukser om utførelsen av sine oppgaver sikre at personvernombudet ikke avsettes eller straffes for å utføre sine oppgaver sørge for at personvernombudet er bundet av taushetsplikt at personvernombudets kontaktopplysninger gjøres kjent for ansatte/de registrerte og tilsynsmyndigheten (Datatilsynet) Sørge for at organisasjonen gjennomfører nødvendige sikkerhetstiltak i samsvar med overordnede krav og retningslinjer Sørge for at informasjonen er klart og entydig definert og at forholdene er lagt tilrette for gjennomføring Lage mål og strategiplaner for informasjonssikkerhet Initiere ledelsens gjennomgang av informasjonssikkerheten minimum en gang i året Sikkerhetsrevisjon Kartlegging av risikoområder knyttet til personvern Revisjon av prosedyrer under GDPR Sikre at informasjonssikkerhet drøftes i eget fora Myndighet Øverste ansvarlige i organisasjonen. Organiserer ansvar, roller og oppgaver innenfor arbeidet med informasjonssikkerhet. Sikkerhetsutvalg/kvalitetsutval (leder eller ansvar for å delegere videre). Sikkerhetsleder Sikkerhetsleder Sikkerhetsleder Rolle: Sikkerhetsansvarlig Stilling: Service-/arkivleder Liv Jorunn Bårdsnes Horgheim Telefon: 92468218 Epost: liv.horgheim@rauma.kommune.no Rapporterer til: Leder som har det overordnede ansvar for at organisasjonen følger de krav som stilles til informasjonssikkerhet, jr Personopplysningsloven kap 3. Myndighet: Operativt ansvar. Medlem av sikkerhetsutvalget/kvalitetsutvalget. Kan pålegge ledere ansvarsoppgaver i henhold til deres avdelings sikkerhetsbehov. Rapporterer direkte til øverste leder. Ansvarsområde Sikre at daglig ansvarlig gjennomfører pålagte oppgaver knyttet til informasjonssikkerhet Sørge for overholdelse av sikkerhetsmål og -strategi for informasjonssikkerhet Sørge for at system for internkontroll oppfyller kravene i Personopplysningsloven Rapportere alvorlige brudd på regler om behandling av personopplysninger til kommunedirektør og evnt. til Datatilsynet Sørge for at det foretas revisjoner av sikkerhetsarbeidet Utarbeide rapport til ledelsens årlige gjennomgang Gjennomføre ledelsens årlige gjennomgang Ansvar for å revidere prosedyrer under GDPR kontrollerende prosedyrer Sørge for at: Opplæring i informasjonssikkerhet og fagsystem gjennomføres i egen organisasjon Myndighet Operativt ansvar. Medlem av sikktehetstvalget/kvalitatsutvalget. Kan pålegge ledere ansvarsoppgaver i.h.t. deres avdelings sikkerhetsbehov. Rapporterer direkte til øverste leder. Daglig ansvarlig Daglig ansvarlig Daglig ansvarlig Rolle: Virksomhetsleder/Avdelingsleder Stilling: Virksomhetsleder/Avdelingsleder Telefon: Epost: Rapporterer til: Tjenestevei Myndighet: Følger delegasjonsreglement Ansvarsområde Er daglig ansvarlig for sikker behandling av personopplysninger i egen organisasjon. Informere ansatte om sikkerhetsprosedyrer og sørge for at disse følges. Sørge for: Opplæring i informasjonssikkerhet og fagsystem i egen organisasjon. At internkontrollsystemet blir brukt i egen organisasjon. At lokalene er sikret på en forsvarlig måte slik at uvedkommende ikke får tilgang til personopplysninger. At risikovurderinger blir gjennomført. Gjennomføring og dokumentasjon av egenkontroll. Behandle meldte avvik i tråd med gjeldende prosedyrer. Sikre at alle ansatte har riktige tilganger. Ha oversikt over, og ta avgjørelser om autorisert bruk. Bestemme tilganger til systemer/nivå/funksjoner. Leder sikrer personopplysninger ved: At personopplysningene blir delt med medarbeidere som har bruk for informasjonen i arbeidet sitt. At den enkelte medarbeider får forholdene tilrettelagt slik at hun/han kan ivareta sitt personlige sikkerhetsansvar. IT-sikkerhetsansvalig - ansvarlig for teknisk løsning IT-sikkehetsansvarlig - ansvarlig for teknisk løsning IT-sikkehetsansvarlig - ansvarlig for teknisk løsning Rolle: Systemansvarlig/IT-leder Stilling: Systemansvarlig/IT-leder Fred Gjørtz Telefon: 900 31 813 Epost: fred.gjoertz@ror-ikt.no Rapporterer til: Ved intern organisering, tjenestevei Myndighet: Ved ekstern organisering, se driftsavtale Ansvarsområde Utarbeide en beredskapsplan for å sikre at driftstekniske datasystem er operative dersom det skulle oppstå uforutsette hendelser (eks strømbrudd, flom, brann, hærverk, sabotasje mm). Ved ekstern driftspartner på it-drift reguleres forholdet gjennom databehandleravtale og driftsavtale. Avslutte brukerkontoer ved opphør av arbeidsforhold. Sørge for oppdatert kunnskap om trusselbildet og at det iverksettes tiltak ved behov. Utvikle, dokumentere og forvalte sikkerhetsarkitekturen. Utarbeide et styringssystem og driftsdokumentasjon for it-drift av organisasjonens lokale løsninger. Følge opp avvik knyttet til IT-sikkerhetshendelser. Gjennomføre og fasilitere risikovurderinger ved behov, på forespørsel eller ved endringer i sikkerhetsarkitekturen. Sørge for tilstrekkelige budsjettmidler til tekniske sikkerhetstiltak. Veilede systemeiere og systemansvarlige (administratorer) i forhold til sikkerhetstiltak og -krav. Sørge for at kontrakter med interne og eksterne leverandører ivaretar vedtatt teknisk sikkerhetsarkitektur gjennom kravspesifisering. Utarbeide rapport til ledelsens gjennomgang sammen ed informasjonssikkerhetsansvarlig i kommunen. Vedlikeholde og oppdatere relevante kapitler i styringssystemet for informasjonssikkerhet. Drive med holdningsskapende arbeid. Myndighet Delegert ansvar. Personvernombud Personvernombud Personvernombud Rolle: Personvernombud Stilling: Personvernombud Henrik Leknes Syversen Telefon: 412 62 364 Epost: henrik.syversen@ikamr.no Rapporterer til: Behandlingsansvarlig (kommunedirektør) Myndighet: Delegert myndighet Ansvarsområde Informere og gi råd til den behandlingsansvarlige, ansatte og databehandler om plikter de har etter regelverket om personopplysninger. Kontrollere overholdelse av regelverket, herunder fordeling av ansvar, holdningsskapende tiltak og opplæring av personellet som utfører behandlingsaktiviteter og revisjon. På anmodning gi råd om vurdering av personvernkonsekvenser og kontrollere gjennomføring der dette er påkrevd. Samarbeide med og være kontaktpunktet for tilsynsmyndighet (Datatilsynet). Være kontaktpunktet for de registrerte angående alle spørsmål som omhandler behandling av deres personopplysninger. Bundet av taushetsplikt eller en plikt til konfidensiell behandlinga av opplysninger. Personvernombudet kan i tillegg til dette ha andre oppgaver, så lenge det ikke fører til interessekonflikter. Arkivleder Arkivleder Arkivleder Rolle: Arkivleder Stilling: Serviceleder Telefon: 92468218 Epost: liv.horgheim@rauma.kommune.no Rapporterer til: Nærmeste overordnede leder Myndighet: Delegert myndighet Ansvarsområde Sørge for at: Opplæring i informasjonssikkerhet og fagsystem gjennomføres i egen organisasjon Risikovurderinger for arkiv blir gjennomført Arkivplan/dokumentasjonsstrateg blir oppdatert Data og dokumenter blir klassifisert og lagret etter gjeldende retningslinjer Egenkontroll blir gjennomført og dokumentert Bistå i avklaringer omkring arkivformålet, allmenhetens interesse, forsking, vitenskapelig, historisk og statistikk (PVF art 89 nr1) - annet (personopplysninger som fortjener sterkere vern). Bistå etter behov ved alle henvendelser når det gjelder den registrertes rettigheter. Myndighet Overordnet faglig myndighet for den samlede dokumentasjonsvirksomheten i kommunen. Systemeier Systemeier Systemeier Rolle: Systemeier Stilling: Kommunedirektør, tjenesteområdeleder eller virksomhetsleder Telefon: Epost: Rapporterer til: Nærmeste overordnede leder Myndighet: Delegert myndighet Ansvarsområde Systemeier er øverste leder for den/de enhetene/avdelingene som buker systemet, og tjenestemottaker har ansvar for å bruke alle fagsystem de blir satt opp med. Systemeier er ansvarlig for: at systemet har tilfredsstillende informasjonssikkerhet og skal sørge for at systemet er med på å oppfylle kommunens aktivitetsmål at det blir gjennomført årlige risikoanalyser og vurderinger av systemet at det blir utarbeidet veileder for tildeling av bruker etter tjenestlig behov at det blir gjennomført opplæring i bruk av systemet Dersom systemet kommuniserer med andre system er det systemeier sitt ansvar å ivareta tistrekkelig sikkehet i denne kommunikasjonen og sørge for at sikkerheten alltid er ivaretatt. Systemansvarlig (systemadministrator) Systemadministrator (systemansvarlig) Systemadministrator (systemansvarlig) Rolle: Systemadministrator Stilling: Underlagt systemeier Telefon: Epost: Rapporterer til: Nærmeste overordnede leder Myndighet: Delegert myndighet Systemansvarlig har faglig ansvar for buk og administrasjon av systemet og blir valgt av tjenestemottakeren som systemeier. Systemansvarlig har det daglige forvaltningsansvaret for systemet og skal gjennom systemeiers retningslinjer sikre at systemet er levedyktig og oppdatert, og har tilfredsstillenede informasjonssikkerhet. Systemansvarlig skal også sørge for at lover og forskrifter etterleves i praksis. Systemansvarlig skal: Etablere og dokumentere rutiner for vedlikehold og utlevering av brukertilganger Etablere og dokumentere rutiner som er nødvendige i forhold til bruk av systemet Etablere og dokumentere rutiner for sikker tjenesteyting ved midlertidig systembortfall Ansatt Med ansatte menes fast og midlertidig ansatt, samt innleid personell (for eks. konsulent eller håndverker), studenter, praktikanter, mv. Informasjonssikkerhet er hver enkelt medarbeiders ansvar. - Forstå betydningen av sikker behandling av informasjon i forbindelse med eget arbeid. - Være kjent med og følge gjeldende aktuelle lovverk, instrukser og rutiner innen informasjonssikkerhet og personvern. - Rapportere avvik innen informasjonssikkerhet og personvern. - Delta i opplæring innen informasjonssikkerhet og personvern. - Foreslå tiltak til forbedringer Sist endret 04.09.2021 15.04