Hoppa till innehåll
  1. Startsida
  2. Kommun och politik
  3. Styrande dokument
  4. Riktlinjer
  5. Riktlinjer för informationssäkerhet - organisation och roller

Riktlinjer för informationssäkerhet - organisation och roller

Beslutande instans:
Kommunfullmäktige
Beslutsdatum:
2025-09-22
Dokumentansvarig:
Informationssäkerhetssamordnare
Diarienummer:
KS 2025/289

Detta är ett styrdokument. Texten på sidan är en kopia av originalhandlingen. Vissa redaktionella ändringar kan ha gjorts och dekorativa bilder kan ha tagits bort. Kontakta skara.kommun@skara.se om du vill ta del av originalhandlingen.

Innehållsförteckning

1. Inledning

Information är en grundläggande byggsten i en organisation, på samma sätt som medarbetare, lokaler och utrustning. Det är en av kommunens viktigaste tillgångar och behöver som sådan skyddas. Detta gör Skara kommun genom att bedriva ett systematiskt informationssäkerhetsarbete.

Arbete med informationssäkerhet syftar till att upprätthålla informationssäkerhetens tre grundprinciper:

Konfidentialitet att information endast finns tillgänglig för behöriga.

Riktighet att information är korrekt, aktuell, fullständig och inte kan ändras av obehöriga.

Tillgänglighet att information finns tillgänglig för behöriga när den behövs.

Skara kommuns arbete med informationssäkerhet har sin utgångspunkt i kommunens Policy för informationssäkerhet. I denna framgår bland annat att kommunen ska ha en organisation för informationssäkerhet och att denna ska anges i riktlinjer.

I dessa riktlinjer fastställs Skara kommuns organisation för informationssäkerhet. De anger vilka roller som ingår i organisationen, beskriver vilken samverkan som upprätthålls på området och fastställer ansvarsfördelningen i frågor som rör informationssäkerhet.

2. Ansvar

2.1. Grundprincip

Ansvaret för informationssäkerhet följer det ordinarie verksamhetsansvaret och sträcker sig på så sätt från den politiska ledningen, genom tjänstemannaledningen och ner till varje enskild medarbetare. Den som är ansvarig för en viss verksamhet (avdelning, enhet, process, projekt etc.) är också formellt ansvarig för informationssäkerheten i verksamheten.

2.2. Ledning och ansvar

I Skara kommun är ansvaret för kommunens informationssäkerhet fördelat på följande sätt.

Kommunfullmäktige fastställer policy för informationssäkerhet och uttrycker därigenom viljeinriktningen för kommunens arbete med informationssäkerhet.

Nämnderna i kommunen är ytterst ansvariga för att informationssäkerheten håller rätt och relevant nivå i deras respektive verksamheter. Nämnderna är personuppgiftsansvariga och utser dataskyddsombud för sina verksamheter.

Kommunala bolag har ansvar för informationssäkerheten i sina egna verksamheter. Detta kan regleras närmare i särskilda ägardirektiv. Kommunala bolag är personuppgiftsansvariga och utser dataskyddsombud för sina verksamheter.

Chefer eller verksamhetsansvariga har ansvar för att det i deras verksamheter finns förutsättningar att bedriva informationssäkerhetsarbete. Chefer ansvarar för att medarbetare har rätt behörighet, kompetens och förutsättningar för att på ett säkert sätt kunna hantera den information de har tillgång till. En chef är ofta även informationsägare, se nedan.

Systemägare ansvarar för att det aktuella IT-systemet når upp till en skyddsnivå som motsvarar skyddsbehovet hos den information som hanteras och lagras i systemet. Systemägaren ska säkerställa att för skyddsnivån relevanta säkerhetsåtgärder finns på plats. När system ägs gemensamt som en del i objektsförvaltning betraktas objektägare som systemägare för de IT-system som ingår i det aktuella objektet. Systemägare ansvarar för att det finns en objektsledare, systemförvaltare eller motsvarande för systemet.

Informationsägare är den som äger en viss information och ansvarar för dess säkerhet. Eftersom ansvaret för informationssäkerhet ska följa det ordinarie verksamhetsansvaret är det oftast chefen för en förvaltning, avdelning eller enhet som är informationsägare.

Informationsägaren ansvarar för att informationstillgångar är informationsklassade och ska utifrån klassningsresultat ställa krav på skyddsnivå och säkerhetsåtgärder i till exempel system och processer. Informationsägaren har ansvar för att identifiera och hantera risker och ska säkerställa att information skyddas genom relevanta riskhanteringsåtgärder.

Om en informationsbärare används gemensamt av flera informationsägare bör åtgärder samordnas.

Medarbetare och förtroendevalda hanterar kommunens informationstillgångar och har ett ansvar att följa kommunens informationssäkerhetspolicy och underliggande styrdokument för informationssäkerhet. De har också ansvar för att uppmärksamma fel och brister i informationshantering, utrustning och informationsinnehåll samt för att rapportera sådana i enlighet med fastställda rutiner.

3. Organisation och roller

3.1. Organisationsskiss

Bilden nedan visar Skara kommuns organisation för informationssäkerhet.

Skiss över kommunens organisation för informationssäkerhet

3.2. Informationssäkerhetssamordnare

Informationssäkerhetssamordnare samordnar och leder arbetet med informationssäkerhet i kommunen. Informationssäkerhetssamordnare utgör ett strategiskt stöd till ledningen, verksamhetschefer och medarbetare, så att de in sin tur kan ta ansvar för informationssäkerheten i sina verksamheter och i sitt arbete.

Informationssäkerhetssamordnaren ansvarar för att upprätta och underhålla kommunens ledningssystem för informationssäkerhet.

Informationssäkerhetssamordnaren utbildar förvaltningarnas informationssäkerhetsstöd och stöttar dem i deras arbete ute i förvaltningarna. Informationssäkerhetssamordnare är sammankallande för träffar mellan informationssäkerhetsstöden och samverkar med informationssäkerhetssamordnarna i V6-kommunerna.

3.3. Informationssäkerhetsstöd

Varje förvaltning har ett eller flera informationssäkerhetsstöd. De som innehar denna roll arbetar med att samordna och stötta informationssäkerhetsarbetet i den egna förvaltningen. Arbetet och aktiviteter genomförs på uppdrag av verksamhetsansvariga/informationsägare och i dialog med informationssäkerhetssamordnare.

Hur mycket tid rollen som informationssäkerhetsstöd tar varierar beroende på den aktuella förvaltningens storlek och behov. Rollen bör dock som minst utgöra 20 % av en heltid.

Informationssäkerhetsstödens uppdrag kan definieras närmare i anvisningar.

4. Samverkan

4.1. Operativ ledningsgrupp för trygghet och säkerhet

Operativa ledningsgruppen för trygghet och säkerhet är en kommunövergripande grupp under kommundirektörens ledningsgrupp. Gruppen övervakar det strategiska arbetet inom området trygghet och säkerhet. Den kan därtill genomföra egna utredningar och analyser.

Informationssäkerhetssamordnare deltar i operativa ledningsgruppen för trygghet och säkerhet.

4.2. Operativ ledningsgrupp för verksamhetsutveckling och digitalisering

Operativa ledningsgruppen för verksamhetsutveckling och digitalisering är en kommunövergripande grupp under kommundirektörens ledningsgrupp. Gruppen har fokus på frågor om digitalisering och verksamhetsutveckling.

Informationssäkerhetssamordnare och/eller informationssäkerhetsstöd deltar i operativa ledningsgruppen för verksamhetsutveckling och digitalisering.

4.3. Informationssäkerhet i V6

Informationssäkerhetssamordnarna i V6-kommunerna träffas regelbundet och samverkar vid behov. Vid behov deltar även representant/er från Göliska IT.

4.4. Informationssäkerhet i Skara

Informationssäkerhetsstöden i kommunens förvaltningar träffas regelbundet under ledning av kommunens informationssäkerhetssamordnare.

Kontaktcenter

Vi svarar på frågor om kommunens service och verksamhet, ring eller skicka e-post till kontaktcenter.

Kontaktcenter
Stängt Öppnar 27 okt kl 08.00
Rapportera fel på sidan
Till toppen av sidan