Organisering og ansvar

Alle tilsette i Stord kommune skal følgja dagleg informasjonstryggleik og beskytta verdien som ligg av informasjon i fagsystem, elektroniske einingar og infrastruktur.

Rådmann

Rådmannen har ansvar for styring av arbeidet med informasjonstryggleiken. I dette inngår blant anna å fastsette akseptert risikonivå gjennom ROS-analyse, fastsette tryggleiksmål, tryggleiksstrategiar og organisering. Rådmannen skal sikre eit balansert nivå på tiltak i høve til den risiko og dei rammer kommunen står ovanfor. 

Rådmannen delegerer overordna operativt ansvar for informasjonstryggleiken til ein medarbeidar i kommunen (tryggleiksansvarleg).

Tryggleiksansvarleg

Tryggleiksansvarleg har ansvar for å kontrollera arbeidet med informasjonstryggleik i kommunen og skal leia tryggleiksforum. Tryggleiksansvarleg i Stord kommune er personal- og organisasjonssjefen.

Personvernombod

Personvernombod skal bistå behandlingsansvarleg i kommunen i arbeidet med å ivareta personvernet, etter personopplysningslova og personopplysningsforskrifta. Ombodet skal gje leiinga råd og rettleiing i personvernspørsmål. Personvernombodet representerer Stord kommune, men skal på ein uavhengig måte vurdere kommunen si etterleving av reglane på personvernfeltet. Les meir om personvernombod her

Tryggleiksforum

Tryggleiksforum skal koma med råd og innspel om informasjonstryggleiksarbeidet i kommunen. Det vert avvikla to møter i året. I den eine møtet skal forumet koma med råd og innspel til arbeidet. I det andre møtet skal tryggleiksansvarleg orientera forumet om status i arbeidet.

IKT leiar

IKT leiar har det gjennomførande ansvar for at verktøy (utstyr og programvare) for informasjonshandsaming og kommunikasjon fungerer til ei kvar tid.

Einingsleiarar

Einingsleiarane har ansvar for at all informasjonshandsaming i si eining går føre seg etter gjeldande lovar og prosedyrar. Opplæring av tilsette er ein viktig del av datatryggleiken. Det er einingsleiar som skal sørgja for at medarbeidarane får opplæring, har forståing for og utviklar gode haldningar for datatryggleik.

Einingsleiar rapporterer til tryggleiksansvarleg.

Kvar einskild medarbeidar

Kvar einskild medarbeidar har ansvar for å utføra det daglege arbeidet sitt med tanke for datatryggleik og etter dei lovar og rutinar som gjeld. Den einskilde medarbeidar rapporterer til sin einingsleiar.

Informasjon i IKT-løysingar går gjennom eit livslaup, gjennom kjøp, drift, arkivering og avvikling.

Innkjøp av nytt informasjonssystem

Alt IKT-utstyr skal kjøpast gjennom IKT–eininga. Berre utstyr som er godkjend av IKT–eininga skal koplast til nettverket.

I innkjøpsprosessen skal det stillast krav om innebygd personvern og personvern som standardinnstilling. Dette for å sikra at personopplysingar ikkje vert tilgjengeleg for ålmenta utan ein aktiv og bevisst handling frå brukaren. Innebygd personvern krev at utviklarane, tingarane og administratorane gir brukaren sitt personvern høg prioritet. Dette betyr å sørga for at personvernet vert ivaretatt gjennom standardinnstillingar, tydelege brukarvilkår, og løysingar for at brukeren skal kunne kontrollera opplysingane sine sjølv. Les meir om innebygd personvern på datatilsynet.no.

Det skal utnemnast ein systemeigar som er behandlingsansvarleg for systemet og har ansvaret for at oppgåvene rundt forvaltninga og internkontrollen blir gjennomført til riktig tid. Systemeigaren rådfører seg med tryggleiksforum i alle spørsmål knytt til personvern og behandling av personopplysingar. Det skal også opprettast ein systemansvarleg som har det praktiske ansvaret for å ivareta oppgåver kring informasjonstryggleik, og ein IT-driftsansvarleg.

Systemeigar er ansvarleg for å gjennomføra konsekvensutgreiing der formålet med behandlingen av personopplysingane blir gjort greie for, og der risikovurdering av systemet sin behandling av personopplysingar vert gjennomført.

Forvaltning av informasjonssystemet

Aktivitet blant brukarar og administratorar skal loggførast, og det skal jamleg gjennomførast kontroll og gjennomsyn av aktivitetsloggar. Avvik som vert oppdaga under kontrollen skal varslast i kvalitetssystemet Compilo. Rapport frå gjennomsyn av aktivitetslogg skal leggast ved dokumentasjon av årleg gjennomgang.

Det skal gjennomførast årleg gjennomgang av informasjonstryggleik med oppdatering av risikovurdering. Det er systemeigar som er ansvarleg for gjennomføring av årleg gjennomgong, og systemansvarleg IKT-driftsansvarleg samt personvernombod skal delta. Databehandlaravtalar skal gjennomgåast og fornyast årleg i samband med gjennomgangen.

Avhending av informasjonssystem

Når eit informasjonssystem ikkje lenger skal nyttast, skal data som ligg i systemet sikrast med omsyn til konfidensialitet, integritet og tilgjengelegheit. Informasjonen skal arkiverast i hht lovverket, og det skal vera mogleg å vidareføra bruk i andre system. Systemeigar er ansvarleg for at informasjonen vert ivaretatt på ein trygg måte når systemet ikkje lenger skal brukast.