IT sikkerhedspolitik

IT sikkerhedspolitik

Introduktion

Denne it-sikkerhedspolitik, som er besluttet af bestyrelsen, udgør den overordnede ramme for at opretholde it-sikkerheden hos LOF Skanderborg. Hermed ønsker afdelingen at demonstrere sin seriøse holdning til at skabe sikkerhed for persondata, systemer og andre it-aktiver

Hensigten er at lægge et fundament, så kritiske og fortrolige informationer og systemer kan bevare deres fortrolighed, integritet og tilgængelighed.

Formål

Idet brugen af it anses for at være en meget vigtig forudsætning for afdelingens eksistens, vil det være nødvendigt at sikre afdelingens it-ressourcer (data, software, hardware og kommunikationsforbindelser).

Derfor vil vi etablere og vedligeholde en afbalanceret it-sikkerhed, som i denne sammenhæng omfatter alle nødvendige organisatoriske, fysiske og tekniske sikkerhedsforanstaltninger.

It-ressourcerne skal med andre ord beskyttes mod misbrug, manipulation, ødelæggelse og tab, samt mod at blive fejlbehæftede. Beskyttelsen skal virke mod alle former for trusler, interne eller eksterne, hændelige eller bevidste.

 

 

Ledelsens udmelding om de overordnede mål og principper

LOF SKanderborg ønsker at opnå:

  • Fortrolighed, integritet og tilgængelighed af persondata i overensstemmelse med kravene i EU’s persondataforordning
  • Høj driftssikkerhed og minimeret risiko for større nedbrud og tab af data
  • Opretholdelse af et image som en afdeling, der demonstrerer kvalitet og sammenhæng i brugen af it

It-sikkerhedspolitikken skal danne grundlag for at forebygge og begrænse skader til en, for afdelingen, kendt og accepteret størrelsesamt sikre fortsat it-drift efter et sikkerhedsbrud – inden for en nærmere defineret tidshorisont.

Vigtige grundprincipper for sikkerhedsarbejdet

 

 

Skoleleder beslutter omfang og styrke af de sikkerhedsforanstaltninger, som det findes nødvendigt at installere. Skoleleder eller it-ansvarlige installerer de tekniske foranstaltninger.

Dette vil være følgende:

  • Antivirus på alle it-systemer, der behandler personoplysninger.
  • Anvendelse af branchetypiske it-systemer til behandlingsaktiviteterne.
  • Adgangsbegrænsning til personoplysninger, så der kun gives adgang, hvor det er nødvendigt.
  • Databehandleraftaler med leverandører, der behandler personoplysninger på afdelingens vegne.
  • Tavshedserklæringer med personale, der har behov for at behandle personoplysninger.
  • Vejledning i sikker behandling af personoplysninger og informationsaktiver for personale med adgang til informationssystemer.
  • Gennemførelse af ovenstående risikovurdering og dokumentation af alle systemer der behandler personoplysninger for at sikre et oplyst grundlag for sikkerhedsniveauet for persondatabehandlingen i afdelingen.

 

Vi vil løbende sikre en vurdering af eventuelle hændelser, der kan true sikkerheden, så risikobilledetkan opdateres ved gennemgang af såvel kendte som nye trusler og sårbarheder, og eventuelle nye tiltag kan indføres. Skoleleder rapporterer overordnet til bestyrelsen og evt landsorganisation om de hændelser, der måtte være sket, og informerer om det opdaterede risikobillede, når væsentlige ændringer er indtruffet.

Hvert år til generalforsamlingen skal afdelingens data og sikkerhedspolitik gennemgås for at sikre om der skal ske opdateringer og sikre at den følges.

 

Sikkerhed i forbindelse med outsourcin

Leverandører, der helt eller delvist står for drift af afdelingens systemer, skal overholde afdelingens krav til it-sikkerhed. De skal også sikre, at der er mulighed for løbende at kunne kontrollere og følge op på deres sikringsforanstaltninger såfremt dette ønskes.  

I forbindelse med at der bliver indgået en kontrakt om outsourcing, skal der udarbejdes en databehandleraftale, der i detaljer beskriver de sikkerhedskrav, som leverandøren skal leve op til. Udgangspunktet er at Datatilsynets skabelon vil blive brugt.

Medarbejdersikkerhed

Der stilles krav om it-sikkerheden til medarbejderne før og under ansættelsen samt efter ansættelsens ophør eller ændring. Ved ansættelsen udspecificeres det at oplysninger på deltagere skal slettes ved ansættelsens ophør.

Styring af aktiver

Findes der mere end en computer hvor der er adgang til persondata oplysninger, identificeres disse og registreres således at afdelingen har et klart overblik over hvilke computere der har adgang til persondata.

Papir udskrifter med personoplysninger bliver opbevaret på følgende måde: I aflåste skabe og skuffer efter arbejdstid.

Bortskaffelse af medier: Medier, som indeholder fortrolig information, skal lagres og bortskaffes forsvarligt, for eksempel ved ødelæggelse, makulering, eller sletning af data.

Fysisk sikring og miljøsikring

Computere skal være anbragt i sikre områder beskyttet af de nødvendige fysiske barrierer. Såfremt computeren er derhjemme, er en låst dør sikkerhed nok.

Driftssikkerhed

For at sikre at al væsentlig information, software og systemer kan genskabes efter et nedbrud/sikkerhedsbrud, foreligger en backupplan, som følges i praksis.