Foto: Pexels

Policy för informationssäkerhet i Skellefteå pastorat

Informationssäkerhetspolicyn är ett övergripande styrdokument och styr pastoratets arbete med informationssäkerhet.

Inledning
Trossamfundet Svenska kyrkans verksamhet är grundad på principer om öppenhet, personlig integritet och respekt för individen. Medlemmar och allmänhet ska ha möjlighet att få insyn i verksamheten. De ska kunna lita på den information som Svenska kyrkan lämnar är korrekt och vara trygga med att den information som samlas in får ett tillräckligt skydd. Enligt lagen (1998:1591) om Svenska kyrkan är Svenska kyrkans arkiv en del av det nationella kulturarvet. Det betyder att den informationsom hanteras inte bara är viktig för Svenska kyrkan egen del och att den därför ska hanteras så att den skyddas och är möjlig att återsöka och använda även i framtiden.

Omfattning och syfte
Policyn för informationssäkerhet gäller för all informationshantering, oavsett form, som sker inom ramen för kyrkorådets ansvar. De gäller även för alla som arbetar på uppdrag av Skellefteå pastorat. Informationssäkerhetsarbetet syftar till att värna den enskildes integritet samt att stödja verksamheten och säkerställa att den fungerar ochkan bedrivas som avsett. Informationssäkerhet är därför en viktig beståndsdel i verksamhetens interna styrning, kontroll och riskhantering.

Verksamheten behöver skapa och upprätthålla ett tillräckligt skydd för den information som hanteras utifrån sina förutsättningar och behov.

Arbetet med informationssäkerhet består i att säkerställa att:
-informationen går att använda när den behövs (tillgänglighet)
-informationen innehåller korrekta uppgifter (riktighet)
-obehöriga inte kan få åtkomst till informationen (konfidentialitet)
-det är möjligt att spåra händelser kring vem som har kommit åt informationen eller om den har förändrats (spårbarhet).

Arbetet ska bedrivas systematiskt och ingå i alla delar av verksamheten. Såväl anställda och förtroendevalda som externa som arbetar på uppdrag av Skellefteå pastorat ska vara delaktiga i arbetet och känna till de rutiner som gäller för att upprätthålla en god informationssäkerhet.

Säkerhetsaspekter
Verksamhetens information ska hanteras så att följande kan upprätthållas:

Tillgänglighet
(rätt tid och plats) Informationen ska kunna användas i förväntad utsträckning, inom önskad tid och på rätt plats. Detta uppnås exempelvis genom: Säker IT-drift, kännedom om vilka verksamhetssystem/vilken information som är särskilt verksamhetskritisk, reservrutiner i det fall man inte kan använda information på avsett sätt (exempelvis registrera uppgifter i ett IT-system).

Riktighet (rätt information) Informationen får inte förändras eller gå förlorad, av misstag, genom inverkan av obehörig eller på grund av tekniskt fel. Detta uppnåsexempelvis genom: Behörigheter till IT-system, back up-tagning, Konfidentialitet (rätt person) Information får inte göras tillgänglig eller avslöjas på ett sådant sätt att den personliga integriteten eller sekretessen hotas. Detta uppnås exempelvis genom:

Behörigheter till IT-system, säkerställa att endast de som behöver tillgång till uppgifterna i sitt arbete kommer åt dem), begränsad åtkomst till de lokaler där handlingar förvaras,

Spårbarhet
Händelser i behandlingen av information ska kunna spåras.Detta uppnås exempelvis genom: Loggning av IT-system, logguppföljning (regelbunden eller vid behov)
 
Skyddsåtgärder
Inom följande områden:

-Tekniska: behörigheter, back up, skydd mot skadlig kod etc (GIP)
-Administrativa: rutiner, behörighetsnivåer
-Fysiska: skydd för lokaler och utrustning

Skyddsprinciper
För att på ett systematiskt sätt kunna avgöra vad som är tillräckligt skydd ska arbetet ske utifrån följande principer:

- All information och alla informationssystem ska ha en ansvarig som ansvarar för att ställda säkerhetskrav kan uppfyllas.

- Särskilda rutiner och processer ska finnas för att säkra hanteringen av integritetskänslig information, såsom personuppgifter.

- Inträffade incidenter ska utredas och ligga till grund för en kontinuerlig förbättring av vilka åtgärder som behövs för att skydda informationen.

- Såväl förtroendevalda som alla medarbetare, anställda och externa som anlitas av Skellefteå pastorat, ska veta vad det egna ansvaret kring informationssäkerhet innefattar och vilka regler som gäller.

- Medarbetarna ska ha ett högt säkerhetsmedvetande och förmåga att kritiskt ifrågasätta händelser som kan påverka informationssäkerheten.

Rutiner
För att hålla samman och åstadkomma systematik i informationssäkerhetsarbetet ska det finnas rutiner som motsvarar verksamhetens behov. Rutinerna ska innehålla de anvisningar som behövs för att säkerställa att verksamheten uppfyller kraven på en ändamålsenlig informationssäkerhet.

Kommunikation
Policyn ska tillgängliggöras på Skellefteå pastorats hemsida och intranät och presenteras i samband med att en person tillträder ett förtroendeuppdrag, personal anställs och då leverantörer och kunder kontrakteras. Uppföljning Efterlevnad ska följas uppoch redovisas löpande, men minst en gång per mandatperiod.

Uppdatering
Dokumentet ska aktualitetsprövas minst en gång per mandatperiod och uppdateras vid behov.