Informationssikkerhed

Det overordnede ansvar for informationssikkerheden ligger hos topledelse, men det er i de fleste kommuner Informationssikkerhedsudvalget, der konkret arbejder med informationssikkerheden og sørger for, at den realiseres og efterleves i organisationen. Informationssikkerhedsudvalget udmønter og igangsætter tiltag, indsatser og forbedringer, som tilgodeser sikkerhedsstrategien og gennemfører de mål, som topledelse har fastlagt.

Herunder finder du en beskrivelse af, hvordan et informationssikkerhedsudvalg kan organiseres med eksempler, og et forslag til, hvordan et kommissorium for informationssikkerhedsudvalget kan se ud.

Beskrivelse: Informationssikkerhedsudvalg

Forslag: Kommissorium

Find mere information om roller og ansvar på SikkerDigital.dk

For at styrke informationssikkerheden og for at sikre, at ledelsen har de rette styringsværktøjer, gentages en række aktiviteter løbende år efter år. Aktiviteter, der gentages, placeres i et årshjul. Herunder finder du et eksempel på et årshjul for en kommune samt excel-arket, som du selv kan bruge til at lave et lignende årshjul. 

Beskrivelse af årshjul

Arbejdsdokument til udarbejdelse af årshjul

Find mere information om årshjul og planlægning på SikkerDigital.dk

Risikostyring er fundamentet for informationssikkerhed. Det er den systematiske proces, hvor kommunen identificerer og vurderer trusler mod data, systemer og forretningskritiske processer - samt de konsekvenser, de kan have. Risikostyring giver et fælles og dokumenteret beslutningsgrundlag, så sikkerhedsindsatsen kan prioriteres ud fra reelle risici, understøtte dialogen med ledelsen og sikre, at ressourcerne anvendes dér, hvor de bedst beskytter fortrolighed, integritet og tilgængelighed.

Læs mere om risikovurdering i KL's NIS2-drejebog

Læs mere om risikovurdering af de registrerede rettigheder på Videncenter

Find mere information om risikostyring på Sikkerdigital.dk

Rejsefortællingen er en præsentation målrettet ledere, der skal danne sig et overblik over arbejdet med informationssikkerhed. Den beskriver interne roller og funktioner.

Rejsefortælling om roller, ansvar og ledelse . Til rejsefortællingen er der desuden udviklet to tillæg til henholdsvis systemejere og mellemledere.

Rejsefortælling - Systemejer

Rejsefortælling - Mellemleder

Find mere information om roller og ansvar på Sikkerdigital.dk

Her finder du skabeloner til præsentationer, som kan bruges til at øge kompetencerne i ledelsen af informationssikkerhed i kommunerne. Præsentationerne giver en grundlæggende forståelse for henholdsvis den politiske og administrative ledelses ansvar for informationssikkerheden i en kommune. Præsentationerne gennemgår de vigtigste emner inden for administrativ og politisk ledelse af informationssikkerhedsarbejdet, herunder:

• Hvad er informationssikkerhed?
• Hvorfor er informationssikkerhed vigtigt?
• Hvad betyder informationssikkerhed for borgeren?
• Databeskyttelsesforordningen også kendt som GDPR
• Dilemmaer vedrørende informationssikkerhed
• Roller og ansvarsområder
  
  

Direktionen - ledelse af informationssikkerhed

kommunalbestyrelsen-ledelse-af-informationssikkerhed.pptx

Til præsentationerne er der desuden udviklet 4 animationsvideoer, som tager udgangspunkt i præsentationernes slides. Se animationsvideoerne her. 

Se også NIS2-drejebogens kapital om ledelsesansvar her. 

De fleste brud på sikkerheden sker, fordi medarbejdere kommer til at begå fejl. Antallet af disse fejl kan minimeres ved at skabe en høj sikkerhedsbevidsthed - eller 'awareness' - blandt kommunens medarbejdere.

Er du aware?
KL har bidraget til en række materialer om kompetencer i informationssikkerhed, som findes på siden er du aware?

KL har i samarbejde med en gruppe kommuner udarbejdet anbefalinger til tekniske minimumskrav, som kommunerne bør følge for at sikre et tilstrækkeligt sikkerhedsniveau. Anbefalingerne tager udgangspunkt i de tekniske minimumskrav for statslige myndigheder.

Anbefalinger til tekniske minimumskrav 2024 (PDF)

Anbefalinger til tekniske minimumskrav 2024 (excel)

Find mere information om de tekniske minimumskrav for statslige myndigheder, som kommunerne følger på SikkerDigital.dk

Partnerskabet om informationssikkerhed
Partnerskabet om informationssikkerhed var et fælleskommunalt samarbejde mellem 2020-2022. Formålet med partnerskabet var at udarbejde materiale på cyber- og informationssikkerhedsområdet, som kunne komme alle kommuner til gode. Nedenfor kan du læse en kort beskrivelse af projekterne og se hvor de tilgængelige materialer og værktøjer kan findes. 

Databehandleraftaler
Kommunerne i partnerskabet valgte at etablere en forening Det fælleskommunale Databehandlersekretariat (DBS). 

Samarbejdet i regi af foreningen har til formål at sikre en ensartet praksis for tilsynet med databehandleraftaler, styrke kompetencerne på området og at sikre en bedre forhandlingsposition for medlemskommunerne ved indgåelse af nye databehandleraftaler.

Databehandlerskabelon
For at sikre et optimalt samarbejde om databehandleraftalerne blev det besluttet at arbejde med en standardiseret udfyldelse af Datatilsynets standardkontraktsbestemmelser. Målgruppen for denne vejledning er dem, der skal implementere bruges af standardskabelonen i kommunerne.

Du kan hente skabelonen og den tilhørende vejledning på KLs Videncenter her.

Risikovurderinger
I samarbejdet om delprojektet Risikovurderinger blev der arbejdet med en fælles tilgang til risikovurderinger, der skal gøre det muligt i højere grad at genbruge viden og kompetencer på tværs af kommuner. Udgangspunktet var, at man risikovurderer med afsæt i 90 behandlingsaktiviteter. Antallet kan evt. tilpasses et andet ønsket antal behandlingsaktiviteter, hvis den enkelte kommune ønsker det. Leverancen i projektet bestod i en større skabelon, der er skabet i Excel, med det formål at gøre risikovurderinger mere ensartede og sammenlignelige på tværs af kommuner. Regnearket udgør rammen for alle de oplysninger, der tilsammen udgør en risikovurdering.

Du kan se en introduktionsvideo og hente materialet på KLs Videncenter her. 

Tekniske Minimumskrav
I partnerskabet har det været et ønske, at der udarbejdes et sæt tekniske minimumskrav, som kommuner kan anvende som ramme for deres it-infrastruktur. Minimumskrav for teknik kan medvirke til at forhindre sikkerhedsbrud, og dermed aflaste kravene til de kommunale medarbejderes viden og brug af ressourcer ift. informationssikkerhed. 

Kompetencer: Ledelse af Informationssikkerhed
I partnerskabet blev der efterspurgt materiale til at øge viden om og kompetencer ift. informationssikkerhed, så kommunens politikere og administrative ledelse har den nødvendige viden, uden at være specialister i informationssikkerhed. Leverancen er to skabeloner til PowerPoint-præsentationer. en skabelon til præsentation for den kommunale direktion og en skabelon til præsentation for kommunalpolitikerne. Præsentationerne formidler blandt andet, hvad informationssikkerhed er, hvorfor det er vigtigt, dilemmaer om informationssikkerhed. Som en del af præsentationerne findes 2-3 korte animationsvideoer, der bidrager til en mere visuel formidling af emnerne.

Partnerskabet om informationssikkerhed bestod af følgende kommuner: Fanø, Skive, Esbjerg, Hedensted, Skanderborg, Lyngby-Taarbæk, Ringkøbing-Skjern, Randers, Herning, Sorø, Billund, Bornholm, Brøndby, Favrskov, Frederiksberg, Gentofte, Gladsaxe, Haderslev, Holstebro, Horsens, Ikast-Brande, Kolding, København, Lolland, Læsø, Middelfart, Odder, Odsherred, Rudersdal, Silkeborg, Stevns, Svendborg, Syddjurs, Thisted, Tønder, Taarnby, Varde, Vejle, Vesthimmerland, Viborg, Aabenraa, Aalborg, Aarhus og KL.