Formålet med politikken for informationssikkerhed er at sikre, at anvendelsen af informationer sker efter gældende lovgivning, anerkendte standarder og fastlagte regler.
Informationssikkerhed er en bred betegnelse for de samlede foranstaltninger, som skal sikre informationer i forhold til fortrolighed, integritet og tilgængelighed.
Informationer i såvel digital som fysisk format er omfattet af politikken.
Mariagerfjord Kommunes politik for informationssikkerhed bygger på principperne i den internationale standard for informationssikkerhed, ISO27001, i henhold til aftale mellem kommunerne og regeringen.
Politikken understøttes af en håndbog - Regler for Informationssikkerhed - der fastlægger niveauet for informationssikkerheden og sætter retningen for de underliggende procedurer. Disse skal indgå som en integreret del af driften under hensyntagen til medarbejdernes sikkerhed og rettigheder.
Niveauet for informationssikkerheden fastlægges ud fra en risikobaseret afvejning mellem hensynet til trusselsbilledet, lovmedholdelighed, sikkerhed, brugervenlighed og omkostninger.
Målsætning
Mariagerfjord Kommune vil opretholde et effektivt værn mod informationssikkerhedsmæssige trusler, så borgernes retssikkerhed, de ansattes trygheds- og arbejdsvilkår og Mariagerfjord Kommunes omdømme sikres bedst muligt.
Beskyttelsen skal omfatte såvel naturgivne som tekniske og menneskeskabte trusler af bevidst eller tilfældig art. Der skal være et særligt fokus på cybersikkerhed og de forandringer der følger af trusler knyttet til hybridkrig og cyberangreb.
Organisering og ansvar
Det overordnede ansvar for informationssikkerheden er placeret hos Direktionen som fungerer som informationssikkerhedsudvalg, og arbejder med organisationens risikobillede og niveau for informationssikkerhed. Kommunaldirektøren er formand for udvalget.
De daglige opgaver varetages af et Forretningsudvalg for Informationssikkerhed og en informationssikkerhedskoordinator.
Politikken for informationssikkerhed udmøntes i Regler for Informationssikkerhed, som udarbejdes
efter principperne i ISO27001. Reglerne beskriver det ønskede niveau for informationssikkerheden
i Mariagerfjord Kommune og fastlægges af Forretningsudvalget for Informationssikkerhed ud fra gældende lovgivning, anerkendte standarder og best pratice for området.
Ud fra Regler for informationssikkerhed skal fagchefer, system- og dataejere udarbejde relevante
procedurebeskrivelser, så det daglige arbejde med kommunens informationer sker i overensstemmelse med det ønskede sikkerhedsniveau.
Forretningsudvalget for informationssikkerhed initierer løbende risikovurderinger af de væsentligste
informationsaktiver og infrastruktur. Kommunens risikobillede danner afsæt for Informationssikkerhedsudvalgets prioritering af indsatser for at styrke informationssikkerheden.
Hvor det er relevant, udarbejder fagchefer, system- og dataejere beredskabsplaner, som træder i kraft, hvis vigtige informationsaktiver bliver utilgængelige, kompromitteres eller lækkes.
I henhold til EU databeskyttelsesforordningen udpeges der en databeskyttelsesrådgiver. Databeskyttelsesrådgiveren underretter og rådgiver organisationen, om forpligtelserne efter forordningen, og fører tilsyn med, om kommunen overholder reglerne.
Sikkerhedsbevidsthed
Ledelsen har ansvar for, at medarbejderne forstår, hvorfor regler og procedurer er nødvendige og kan agere herefter, samt vigtigheden af, at sikkerhed skal være en naturlig del af opgaveløsningen.
Hvis en medarbejder, politiker, samarbejdspartner eller leverandør opdager trusler eller brud, der kan kompromittere informationssikkerheden, skal de straks kontakte nærmeste leder eller kommunens informationssikkerhedskoordinator, som så vurderer, hvordan hændelsen skal håndteres.
Gyldighed og omfang
Politikken, regler og procedurer gælder alle ansatte, politikere, eksterne samarbejdspartnere og leverandører, som har adgang til kommunens informationer. Hertil kommer alle lokaliteter, hvor informationer anvendes og bearbejdes, såsom rådhuse, institutioner, hjemmearbejdspladser mv.
Alle, der har adgang til kommunens informationer, skal kende relevante regler for informationssikkerheden
og har pligt til at overholde dem.
Hvis der konstateres en overtrædelse, er det et ledelsesansvar at håndtere dette.
Godkendt af Byrådet 30.04.2026