Sikkerheitsorganisasjon Informasjonssikkerhet - sikkerhetsorganisasjon Formål og ansvar for informasjonssikkerhet Formålet med sikkerhetsorganisasjon er å beskrive organiseringen av arbeidet med informasjonssikkerhet slik at det er tydelig hvem som er ansvarlig på ulike områder, og hva de er ansvarlig for. Ansvaret for informasjonssikkerhet innebærer både et overordnet ansvar for at kommunen har tilfredsstillende og dekkende informasjonssikkerhet iht. gjeldende lovverk, og et ansvar for at ledere på alle nivåer, ansatte, innleid personell og leverandører følger de spesifikke krav og plikter som gjelder i kommunen. Databehandler har et selvstendig ansvar for at gjeldende lovverk følges slik det er regulert i avtale med kommunen eller andre parter. Loven - Personvernforordningen artikkel 24 Personvernforordningen artikkel 24 - Den behandlingsansvarliges ansvar (utdrag): Skal den behandlingsansvarlige gjennomføre egnede tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres i samsvar med denne forordning.Kommunedirektøren har det overordnete ansvar for at informasjonssikkerheten i kommunen ligger på et forsvarlig nivåRådmannen er som behandlingsansvarlig ansvarlig for at det etableres en sikkerhetsorganisasjon som koordinerer og gjennomfører informasjonssikkerhetsarbeidetBehandlingsansvarlig kan delegere operativt ansvar for daglige arbeidsoppgaver, men ikke ansvaret i forhold til lovenUtøvelsen av sikkerhetsansvaret og -arbeidet vil skje på ulike nivå i organisasjonen. Organiseringen og innholdet i oppgaver og roller vil være dynamisk Behandlingsansvarlig Behandlingsansvarlig Behandlingsansvarlig Rolle: Behandlingsansvarlig Stilling: Kommunedirektør Kirsti Welander Telefon: 901 13 337 Epost: kirsti.welander@rauma.kommune.no Rapporterer til: Kommunestyret Myndighet: Øverste ansvarlige AnsvarsområdeFastsette krav til sikkerhetsmål og -strategi for informasjonsbehandling i organisasjonenOppnevne sikkerhetsleder og medlemmer til et sikkerhetsutvalg (dersom dette benyttes)Oppnevne personvernombud og blant annet:stille til rådighet de ressurser som er nødvendig for å utføre lovpålagte oppgaver og opprettholde sin dybdekunnskapsikre at personombudet på riktig måte og i rett tid involveres i alle spørsmål som gjelder personopplysnignergi tilgang til personopplysninger og behandlingsaktivitetersikre at personombudet er uavhengig og ikke mottar instrukser om utførelsen av sine oppgaversikre at personvernombudet ikke avsettes eller straffes for å utføre sine oppgaversørge for at personvernombudet er bundet av taushetspliktat personvernombudets kontaktopplysninger gjøres kjent for ansatte/de registrerte og tilsynsmyndigheten (Datatilsynet)Sørge for at organisasjonen gjennomfører nødvendige sikkerhetstiltak i samsvar med overordnede krav og retningslinjerSørge for at informasjonen er klart og entydig definert og at forholdene er lagt tilrette for gjennomføringLage mål og strategiplaner for informasjonssikkerhetInitiere ledelsens gjennomgang av informasjonssikkerheten minimum en gang i åretSikkerhetsrevisjonKartlegging av risikoområder knyttet til personvernRevisjon av prosedyrer under GDPRSikre at informasjonssikkerhet drøftes i eget foraMyndighetØverste ansvarlige i organisasjonen. Organiserer ansvar, roller og oppgaver innenfor arbeidet med informasjonssikkerhet. Sikkerhetsutvalg/kvalitetsutval (leder eller ansvar for å delegere videre). Sikkerhetsleder Sikkerhetsleder Sikkerhetsleder Rolle: Sikkerhetsansvarlig Stilling: Fagansvarlig dokumentasjonsforvaltning Tor Christian Jevanord Telefon: 949 86 578 Epost: tor.jevanord@rauma.kommune.no Rapporterer til: Leder som har det overordnede ansvar for at organisasjonen følger de krav som stilles til informasjonssikkerhet, jf. Personopplysningsloven kap. 3. Myndighet: Operativt ansvar. Medlem av sikkerhetsutvalget/kvalitetsutvalget. Kan pålegge ledere ansvarsoppgaver i henhold til deres avdelings sikkerhetsbehov. Rapporterer direkte til øverste leder. AnsvarsområdeSikre at daglig ansvarlig gjennomfører pålagte oppgaver knyttet til informasjonssikkerhetSørge for overholdelse av sikkerhetsmål og -strategi for informasjonssikkerhetSørge for at system for internkontroll oppfyller kravene i PersonopplysningslovenRapportere alvorlige brudd på regler om behandling av personopplysninger til kommunedirektør og evt. til DatatilsynetSørge for at det foretas revisjoner av sikkerhetsarbeidetUtarbeide rapport til ledelsens årlige gjennomgangGjennomføre ledelsens årlige gjennomgangAnsvar for å revidere prosedyrer under GDPR kontrollerende prosedyrerSørge for at:Opplæring i informasjonssikkerhet og fagsystem gjennomføres i egen organisasjonMyndighetOperativt ansvar. Medlem av sikkerhetsutvalget/kvalitetsutvalget.Kan pålegge ledere ansvarsoppgaver iht. deres avdelings sikkerhetsbehov.Rapporterer direkte til øverste leder. Daglig ansvarlig Daglig ansvarlig Daglig ansvarlig Rolle: Virksomhetsleder/Avdelingsleder Stilling: Virksomhetsleder/Avdelingsleder Telefon: Epost: Rapporterer til: Tjenestevei Myndighet: Følger delegasjonsreglement Ansvarsområde Er daglig ansvarlig for sikker behandling av personopplysninger i egen organisasjon. Informere ansatte om sikkerhetsprosedyrer og sørge for at disse følges. Sørge for: Opplæring i informasjonssikkerhet og fagsystem i egen organisasjon. At internkontrollsystemet blir brukt i egen organisasjon. At lokalene er sikret på en forsvarlig måte slik at uvedkommende ikke får tilgang til personopplysninger. At risikovurderinger blir gjennomført. Gjennomføring og dokumentasjon av egenkontroll. Behandle meldte avvik i tråd med gjeldende prosedyrer. Sikre at alle ansatte har riktige tilganger. Ha oversikt over, og ta avgjørelser om autorisert bruk. Bestemme tilganger til systemer/nivå/funksjoner. Leder sikrer personopplysninger ved: At personopplysningene blir delt med medarbeidere som har bruk for informasjonen i arbeidet sitt. At den enkelte medarbeider får forholdene tilrettelagt slik at hun/han kan ivareta sitt personlige sikkerhetsansvar. IT-sikkerhetsansvalig - ansvarlig for teknisk løsning IT-sikkehetsansvarlig - ansvarlig for teknisk løsning IT-sikkehetsansvarlig - ansvarlig for teknisk løsning Rolle: Systemansvarlig/IT-leder Stilling: Systemansvarlig/IT-leder Fred Gjørtz Telefon: 900 31 813 Epost: fred.gjoertz@ror-ikt.no Rapporterer til: Ved intern organisering, tjenestevei Myndighet: Ved ekstern organisering, se driftsavtale Ansvarsområde Utarbeide en beredskapsplan for å sikre at driftstekniske datasystem er operative dersom det skulle oppstå uforutsette hendelser (eks strømbrudd, flom, brann, hærverk, sabotasje mm). Ved ekstern driftspartner på it-drift reguleres forholdet gjennom databehandleravtale og driftsavtale. Avslutte brukerkontoer ved opphør av arbeidsforhold. Sørge for oppdatert kunnskap om trusselbildet og at det iverksettes tiltak ved behov. Utvikle, dokumentere og forvalte sikkerhetsarkitekturen. Utarbeide et styringssystem og driftsdokumentasjon for it-drift av organisasjonens lokale løsninger. Følge opp avvik knyttet til IT-sikkerhetshendelser. Gjennomføre og fasilitere risikovurderinger ved behov, på forespørsel eller ved endringer i sikkerhetsarkitekturen. Sørge for tilstrekkelige budsjettmidler til tekniske sikkerhetstiltak. Veilede systemeiere og systemansvarlige (administratorer) i forhold til sikkerhetstiltak og -krav. Sørge for at kontrakter med interne og eksterne leverandører ivaretar vedtatt teknisk sikkerhetsarkitektur gjennom kravspesifisering. Utarbeide rapport til ledelsens gjennomgang sammen ed informasjonssikkerhetsansvarlig i kommunen. Vedlikeholde og oppdatere relevante kapitler i styringssystemet for informasjonssikkerhet. Drive med holdningsskapende arbeid. Myndighet Delegert ansvar. Personvernombud Personvernombud Personvernombud Rolle: Personvernombud Stilling: Personvernombud Henrik Leknes Syversen Telefon: 412 62 364 Epost: henrik.syversen@ikamr.no Rapporterer til: Behandlingsansvarlig (kommunedirektør) Myndighet: Delegert myndighet Ansvarsområde Informere og gi råd til den behandlingsansvarlige, ansatte og databehandler om plikter de har etter regelverket om personopplysninger. Kontrollere overholdelse av regelverket, herunder fordeling av ansvar, holdningsskapende tiltak og opplæring av personellet som utfører behandlingsaktiviteter og revisjon. På anmodning gi råd om vurdering av personvernkonsekvenser og kontrollere gjennomføring der dette er påkrevd. Samarbeide med og være kontaktpunktet for tilsynsmyndighet (Datatilsynet). Være kontaktpunktet for de registrerte angående alle spørsmål som omhandler behandling av deres personopplysninger. Bundet av taushetsplikt eller en plikt til konfidensiell behandlinga av opplysninger. Personvernombudet kan i tillegg til dette ha andre oppgaver, så lenge det ikke fører til interessekonflikter. Arkivleder Arkivleder Arkivleder Rolle: Arkivleder Stilling: Fagansvarlig dokumentasjonsforvaltning Telefon: 949 86 578 Epost: tor.jevanord@rauma.kommune.no Rapporterer til: Nærmeste overordnede leder Myndighet: Delegert myndighet AnsvarsområdeSørge for at:Opplæring i informasjonssikkerhet og fagsystem gjennomføres i egen organisasjonRisikovurderinger for arkiv blir gjennomførtArkivplan/dokumentasjonsstrategi blir oppdatertData og dokumenter blir klassifisert og lagret etter gjeldende retningslinjerEgenkontroll blir gjennomført og dokumentert Bistå i avklaringer omkring arkivformålet, allmenhetens interesse, forskning, vitenskapelig, historisk og statistikk (PVF art 89 nr1) - annet (personopplysninger som fortjener sterkere vern)Bistå etter behov ved alle henvendelser når det gjelder den registrertes rettigheterMyndighetOverordnet faglig myndighet for den samlede dokumentasjonsvirksomheten i kommunen. Systemeier Systemeier Systemeier Rolle: Systemeier Stilling: Kommunedirektør, tjenesteområdeleder eller virksomhetsleder Telefon: Epost: Rapporterer til: Nærmeste overordnede leder Myndighet: Delegert myndighet Ansvarsområde Systemeier er øverste leder for den/de enhetene/avdelingene som buker systemet, og tjenestemottaker har ansvar for å bruke alle fagsystem de blir satt opp med. Systemeier er ansvarlig for: at systemet har tilfredsstillende informasjonssikkerhet og skal sørge for at systemet er med på å oppfylle kommunens aktivitetsmål at det blir gjennomført årlige risikoanalyser og vurderinger av systemet at det blir utarbeidet veileder for tildeling av bruker etter tjenestlig behov at det blir gjennomført opplæring i bruk av systemet Dersom systemet kommuniserer med andre system er det systemeier sitt ansvar å ivareta tistrekkelig sikkehet i denne kommunikasjonen og sørge for at sikkerheten alltid er ivaretatt. Systemansvarlig (systemadministrator) Systemadministrator (systemansvarlig) Systemadministrator (systemansvarlig) Rolle: Systemadministrator Stilling: Underlagt systemeier Telefon: Epost: Rapporterer til: Nærmeste overordnede leder Myndighet: Delegert myndighet Systemansvarlig har faglig ansvar for buk og administrasjon av systemet og blir valgt av tjenestemottakeren som systemeier. Systemansvarlig har det daglige forvaltningsansvaret for systemet og skal gjennom systemeiers retningslinjer sikre at systemet er levedyktig og oppdatert, og har tilfredsstillenede informasjonssikkerhet. Systemansvarlig skal også sørge for at lover og forskrifter etterleves i praksis. Systemansvarlig skal: Etablere og dokumentere rutiner for vedlikehold og utlevering av brukertilganger Etablere og dokumentere rutiner som er nødvendige i forhold til bruk av systemet Etablere og dokumentere rutiner for sikker tjenesteyting ved midlertidig systembortfall Ansatt Med ansatte menes fast og midlertidig ansatt, samt innleid personell (for eks. konsulent eller håndverker), studenter, praktikanter, mv. Informasjonssikkerhet er hver enkelt medarbeiders ansvar.- Forstå betydningen av sikker behandling av informasjon i forbindelse med eget arbeid- Være kjent med og følge gjeldende aktuelle lovverk, instrukser og rutiner innen informasjonssikkerhet og personvern- Rapportere avvik innen informasjonssikkerhet og personvern- Delta i opplæring innen informasjonssikkerhet og personvern- Foreslå tiltak til forbedringer Sist endret 14.01.2025 16.16