Informationssikkerhedspolitik

Frederiksberg Kommune behandler dagligt store mængder af informationer, herunder store mængder af følsomme og fortrolige personoplysninger om borgerne og ansatte i kommunen. Med det samfundsmæssige fokus på databeskyttelse, den stigende mængde af lovgivning inden for området og den tiltagende cybersikkerhedstrussel mod offentlige myndigheder stiger behovet for en effektiv styring af informationssikkerheden.

Beskyttelse af information og informationssystemer er derfor et vigtigt fokusområde, som skal håndteres gennem kommunens informationssikkerhedsindsats. Indsatsen består overordnet i en mængde sikkerhedsforanstaltninger, som etableres med henblik på at beskytte information og informationssystemer, som har betydning for kommunens virksomhed og beskyttelse af personoplysninger.  
  
Denne informationssikkerhedspolitik sætter den overordnede ramme for styring af informationssikkerhedsarbejdet i Frederiksberg Kommune. 

Informationssikkerhedsarbejdet har grundlæggende til formål at sikre:

• Fortrolighed; at information ikke kommer til uvedkommendes kendskab.  
• Integritet; at information forbliver pålidelig, korrekt og intakt.  
• Tilgængelighed; at relevant information kan tilgås og anvendes, når der er behov for det.  

Sikkerhedsforanstaltningerne skal rettes mod alle former for trusler, interne og eksterne, hændelige fejl og uheld, samt bevidst skadevoldende handlinger og misbrug. Det skal sikres, at it-driftssikkerheden og effektiviteten kan opretholdes, samt at konsekvenser af brud på persondatasikkerheden reduceres til et acceptabelt niveau. 
  
I den forbindelse er følgende indsatsområder centrale:  

• Kommunens it-infrastruktur skal til stadighed være effektivt beskyttet mod eksterne trusler og angreb på it-systemer, som f.eks. hacker- og virusangreb.  
• God sikkerhedsskik, principper og normer for adfærd i anvendelsen af kommunens informationssystemer skal være klart formuleret og formidlet til medarbejderne, så uberettiget og retsstridig anvendelse kan forebygges og undgås. 
• Behandling af oplysninger om borgere og virksomheder, som kommunen er ansvarlig for, skal, til enhver tid, følge gældende lovgivning.

Informationssikkerhedsniveauet i Frederiksberg Kommune skal fastlægges som en afvejning af ofte modstridende hensyn, nemlig ønsket om høj sikkerhed og hensynet til enkle og smidige arbejdsgange.   

Uanset fysiske og tekniske sikkerhedsforanstaltninger spiller den menneskelige faktor, dvs. den måde ledelse, medarbejdere og samarbejdspartnere handler og agerer på, en afgørende rolle i forhold til informationssikkerheden. Det er derfor vigtigt, at der i kommunens informationssikkerhedsindsats er fokus på de ledelsesmæssige, organisatoriske og menneskelige dimensioner.

Tiltag til forbedring af informationssikkerheden implementeres i overensstemmelse med følgende overordnede holdninger og principper:  

• Frederiksberg Kommunes borgere skal kunne stole på at kommunen, til enhver tid, behandler personoplysninger som lovgivningen foreskriver og at kommunen er i stand til at håndtere sikkerhedstrusler mod kommunens informationssikkerhed effektivt.     
• Sikkerhedsforanstaltninger skal søges tilrettelagt, så de opleves som en naturlig del af medarbejdernes daglige arbejde, og informationssikkerhedsniveauet skal generelt fastsættes ud fra lovgivningsmæssige krav og på grundlag af en afvejning mellem risiko og udgifter til sikringsforanstaltninger.
• Informationssikkerheden styres i overensstemmelse med anerkendte standarder og ”best practice” inden for informationssikkerhed. For at kommunen effektivt og løbende kan tilpasse kommunens sikkerhedsniveau til den aktuelle sikkerhedssituation og aktuelle krav, tilstræber Frederiksberg Kommune at indgå i relevante samarbejdsfora, fx med andre kommuner om løsningen af tværgående problemstillinger eller udviklingsmuligheder. 

Såfremt borgere eller samarbejdspartnere berøres af sikkerhedshændelser og/eller brud på persondatasikkerheden hos Frederiksberg Kommune, vil kommunen så hurtigt, konkret og præcist, som det er muligt, informere de berørte parter, med alle de oplysninger i henhold til gældende lovgivning. 

Politikken omfatter principielt enhver information, som ejes, opbevares eller behandles af kommunen og kommunens databehandlere, uanset hvilket medie informationen er lagret på – elektronisk eller i anden form (herunder papirbaseret).  
  
Det primære fokusområde er oplysninger om borgere, ansatte, virksomheder, kommunens finansielle og økonomiske forhold, dokumentation af arbejdsgange, informationssystemer, samt andre typer information, som kræver særlig beskyttelse eller har væsentlig betydning for kommunens virksomhed.  
  
Politikken, og de sikkerhedsregler der fastsat på baggrund af politikken, er gældende for alle, der udfører opgaver eller hverv for kommunen, herunder:  

• Medarbejdere – fast- og midlertidigt ansatte
• Medlemmer af kommunalbestyrelsen
• Eksterne samarbejdspartnere, herunder: 
  • Institutioner med driftsoverenskomst.
  • Personer og virksomheder der udfører opgaver for kommunen.  

Målsætningen med informationssikkerhedsindsatsen er mere specifikt at beskytte information og informationssystemer mod uautoriseret eller utilsigtet adgang, anvendelse, videregivelse, driftsforstyrrelse, ændring eller ødelæggelse. Det er derfor kommunens politik at beskytte informationer og udelukkende tillade brug, adgang til, og offentliggørelse af information i overensstemmelse med kommunens sikkerhedsregler og ud fra den til enhver tid gældende lovgivning. Kommunen skal til enhver tid kunne leve op til:  

• Sikkerhedsmæssige krav, der følger af lovgivningen. Da kommunen har omfattende opgaver der indbefatter behandling af personoplysninger, er databeskyttelsesforordningen, den danske databeskyttelseslov, samt arkivloven væsentlige. Herudover er den stigende regulering inden for identitetssikring og cybersikkerhedsområdet væsentlige implementeringsområder.
• Sikkerhedsmæssige krav, som er fastsat i forbindelse med aftaler med andre myndigheder.   

Kommunen skal gennem beredskabsstyring sikre, at konsekvenserne af alvorlige sikkerhedsmæssige hændelser og brud på persondatasikkerheden kan imødegås og begrænses bedst muligt. Beredskabsstyringen omfatter vedligeholdelse af formelle beredskabsplaner og den organisatoriske tilrettelæggelse af krisehåndtering i forbindelse med kritiske hændelser, der vedrører IT-sikkerheden eller persondatasikkerheden.  

Eksempler på kritiske hændelser kan være omfattende IT-kriser, alvorlige og omfattende brud på persondatasikkerheden og andre sikkerhedshændelser, som har alvorlige konsekvenser for kommunens virksomhed eller borgernes persondatasikkerhed, og som ikke kan håndteres inden for de normale rammer for daglig driftsafvikling.

Beslutning om hvilke konkrete hændelser, der skal udarbejdes beredskabsplaner for, skal ske på grundlag af en systematisk vurderings- og afklaringsproces. 

Kommunens medarbejdere, kommunalbestyrelsesmedlemmer og samarbejdspartnere har alle et medansvar for, at kommunens informationer og informationssystemer beskyttes.

For at sikre at der til stadighed er et tilstrækkeligt bevidsthedsniveau, skal medarbejderne løbende uddannes i emner vedrørende informationssikkerhed og GDPR. Uddannelse inden for cybersikkerhed og GDPR skal tilrettelægges målrettet, således at de forskellige medarbejdergrupper får netop den viden, som er relevant for deres arbejdsområde, ligesom uddannelsen skal tage sit udgangspunkt i identificerede trusler mod cybersikkerheden og persondatasikkerheden i Frederiksberg Kommune.

Det overordnede ansvar for informationssikkerheden ligger hos Kommunalbestyrelsen og direktionen. 

Direktionen har nedsat et Informationssikkerhedsudvalg, der har til ansvar at styre den generelle informationssikkerhedsindsats og sætte mål for informationssikkerheden, der er afstemt i forhold til kommunens valgte strategi og risikoniveau. Informationssikkerhedsudvalget har kompetence til at træffe tværgående beslutninger i forhold til styring af informationssikkerhed og GDPR – og indstiller til direktionen ved væsentlige beslutninger, der vedrører kommunens generelle drift eller sikkerhedssituation.

Informationssikkerhedsudvalget godkender årligt en indsatsplan. Informationssikkerhedsudvalget skal som formand have et medlem af direktionen og alle områder skal være ledelsesmæssigt repræsenteret i udvalget. Informationssikkerhedsudvalget skal prioritere sine indsatser i forhold til den årlige sikkerhedsstatus og DPO’ens årlige redegørelse. 

Ansvaret for sikring og implementering af informationssikkerhed følger nedenstående struktur:

• Kommunalbestyrelsen har det overordnede ansvar for, at kommunens informationssikkerhed styres hensigtsmæssigt og på betryggende vis. 
• Kommunaldirektøren er den øverste ansvarlige for den administrative styring af informationssikkerhedsindsatsen og skal sikre den fornødne kontrol med efterlevelsen af informationssikkerhedspolitikken og databeskyttelsesreglerne.
• Direktionen skal sikre, at der er etableret et tværorganisatorisk forum, et Informationssikkerhedsudvalg, der har til ansvar at styre den generelle informationssikkerhedsindsats og sætte mål for informationssikkerheden.
• Informationssikkerhedsudvalget skal med direktionens mandat træffe tværgående beslutninger i forhold til styring af informationssikkerhed og GDPR – og indstiller til direktionen ved væsentlige beslutninger, der vedrører kommunens generelle drift eller sikkerhedssituation.
• Databeskyttelsesrådgiveren (DPO’en) har med henvisning til databeskyttelsesforordningens artikel 37, stk. 6 følgende opgaver: Løbende rådgivning af kommunen og kommunens ansatte, rådgivning om kommunens projekter og konsekvensanalyser samt årlig overvågning af kommunens efterlevelse af databeskyttelsesforordningen og databeskyttelsesloven. DPO’en refererer i henhold til Datatilsynets vejledning til kommunalbestyrelsen. DPO’en fremlægger årligt en afrapportering der forelægges Informationssikkerhedsudvalget.
• Områdedirektørerne har ansvaret for, at databeskyttelsesreglerne og informationssikkerhedspolitikkens krav og udmøntningen heraf i form af sikkerhedsregler og -procedurer m.v. implementeres og forvaltes korrekt.
• Organisationens ledere har ansvaret for den daglige ledelse af informationssikkerhedsindsatsen i de enkelte afdelinger, institutioner og virksomheder.  Organisationens ledere har ansvaret for at sikre at medarbejdere der hidrører deres ledelsesområde er instrueret tilstrækkeligt i relevant systemhåndtering og håndtering af personoplysninger for løsningen af opgaver. Lederne har herudover ansvaret for at sikre medarbejdere kun har adgang til personoplysninger som knytter sig løsningen af de opgaver de varetager i kommunen.
• Medarbejdere og kommunalpolitikere har et ansvar i forhold til at følge informationssikkerhedspolitikken i sammenhæng med de konkrete ansvarsområder og arbejdsopgaver.
• Systemejerne har ansvaret for styringen af de IT-systemer som de ejer. Ansvarsopgaverne omfatter driftsafvikling, vedligeholdelse og udfasning af systemerne. Herudover bærer systemejere ansvaret for at den databehandling der pågår i systemerne, er i overensstemmelse med databeskyttelsesreglerne, fx at der er indgået databehandleraftaler og der er den rette bruger-adgangsstyring i systemet.
• Digitalisering og IT har ansvaret for at kommunen løbende implementerer passende tekniske sikkerhedstiltag, der skal sikre efterlevelse af informationssikkerhedspolitikken og afspejler kommunens aktuelle sikkerhedsniveau. Ligeledes koordinerer afdelingen løbende de centrale indsatser for informationssikkerhed og databeskyttelse.
• Informationssikkerhedskoordinatoren varetager den generelle koordinering af informationssikkerhedsindsatsen i praksis. Informationssikkerhedskoordinatoren har ansvaret for vedligeholdelse af informationssikkerhedspolitikken og den tværgående GDPR-indsats. Informationssikkerhedskoordinatoren har i samarbejde med Digitalisering og IT ansvaret for opdatering af sikkerhedsregler, handlingsplaner, risikovurderinger og beredskabsplaner, der er omfattet af informationssikkerhedspolitikken. 

En sikkerhedshændelse er en hændelse, der negativt påvirker eller vurderes at ville kunne påvirke tilgængelighed, integritet eller fortrolighed af data, informationssystemer, digitale netværk eller digitale tjenester. Det kan være en it-sikkerhedshændelse, og det kan være en hændelse som kompromitterer personoplysninger, og derved karakteriseres som et brud på et brud på persondatasikkerheden. Det kan også være begge dele. Et brud på persondatasikkerheden er når en hændelse fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger.

Når en hændelse opdages, skal det håndteres effektivt og i henhold til gældende lovgivning. Ved alvorlige brud på persondatasikkerheden skal DPO’en involveres.  
  
Hvis medarbejdere overtræder politikken, og de sikkerhedsregler der knytter sig til den, kan det medføre ansættelsesretslige konsekvenser.    
  
For samarbejdspartnere vil overtrædelse af politikken, sikkerhedsregler og procedurer blive betragtet som aftalebrud og kan have konsekvenser derefter.  Såfremt der foreligger mistanke om strafbare forhold, f.eks. overtrædelse af tavshedspligt, vil der blive indgivet politianmeldelse.  

Politikken tager udgangspunkt i ISO 27001:2022 international standard for informationssikkerhed. ISO 27001:2022 betragtes som en referenceramme, der anvendes som rettesnor og redskab for tilrettelæggelse, styring og organisering af informationssikkerheden i Frederiksberg Kommune.

Principperne i politikken skal omsættes til sikkerhedsregler, som omfatter administrative, fysiske og tekniske sikringsforanstaltninger. Reglerne skal godkendes af direktionen. Udmøntning af reglerne sker i form af procedurer, vejledninger, aftaler med kommunens leverandører, kontrolforanstaltninger samt uddybende it-sikkerhedsregler. 

De mest relevante regler er udstillet via intranettet til medarbejderne. Reglerne er samlet i Frederiksberg Kommunes Sikkerhedshåndbog. 

Som et led i den overordnede sikkerhedsstyring skal politikken revurderes, minimum, én gang årligt. Informationssikkerhedsudvalget skal sikre, at revurderingen gennemføres. 
 
Kommunen fastlægger på baggrund af risikovurderinger et sikkerhedsniveau, som svarer til betydningen af de pågældende informationer og informationsrelaterede aktiver.  
Risikovurderingerne gennemføres under hensyntagen til ressourcer og de økonomiske forhold.  
Risikovurderinger udføres som udgangspunkt en gang årligt, eller ved større organisationsændringer, ændringer i informationssystemer, eller hvis andre forhold nødvendiggør det.  

Der skal løbende laves opfølgning på, om medarbejdere og kommunalbestyrelsesmedlemmer har tilstrækkeligt kendskab til politikken, sikkerhedsreglerne og gældende procedurer, vejledninger, mv. Resultatet skal foreligges informationssikkerhedsudvalget. 

Politikken skal formidles til alle relevante interessenter og er tilgængeliggjort for alle medarbejdere i kommunen. 

Den første politik blev vedtaget af Magistraten d. 18. maj 2009 og trådte i kraft herefter.  Senere revisioner er godkendt af Informationssikkerhedsudvalg og tiltrådt af direktionen. 

Nærværende version 1.8 er tiltrådt af direktionen den 28. februar 2025