INLEDNING Älvsjö Ju-Jutsuklubb, hädan efter kallad ”Föreningen”, behandlar flertalet uppgifter om medlemmar, leverantörer och samarbetspartners för att kunna administrera sin verksamhet och tillhandahålla ju-jutsu träning och därmed förenlig verksamhet. Tillhandahållandets effektivitet hänger delvis på datahanteringen.
Datamaterialet innehåller uppgifter om våra medlemmar och leverantörer och verksamheten som ska skyddas enligt lagstiftningen. Datahanteringen ska vara effektiv, felfri och säker.
Denna datasäkerhetspolicyn fastställer de principer, ansvarsförhållanden samt åtgärder för uppföljning och övervakning som Föreningen iakttar i implementeringen och utvecklingen av datasäkerheten. Datasäkerhetspolicyn kompletteras av datasäkerhets (”Dataskyddsmanualen”) samt detaljerade föreskrifter och anvisningar.
OMFATTNING Datasäkerhetspolicyn som fastställts av verksamhetsenhetens styrelse omfattar alla informationshanteringsuppgifter relaterade till verksamhetsenhetens verksamhet.
Alla tjänsteinnehavare, medarbetare och förtroendepersoner i Föreningen samt användare av verksamhetsenhetens uppgifter och datasystem ska känna till denna datasäkerhetspolicy och iaktta anvisningar och föreskrifter som utfärdats med stöd av den.
Aktörer, leverantörer och andra parter utanför verksamhetsenheten ska också förbinda sig att iaktta denna datasäkerhetspolicy, nationella normer samt anvisningar som villkor för behörigt tillträde till verksamhetsenhetens datasystem och datamaterialet i dem.
DATASÄKERHET Med datasäkerhet avses skyddande av hantering och arkivering av information. Datasäkerhet omfattar informationens konfidentialitet, integritet, tillgänglighet, användbarhet och ostridighet samt övervakningen av informationshanteringen. Datasäkerheten omfattar informationshanterarnas rutiner, metoder, verktyg och åtgärder för skyddandet av information, resurser allokerade till arbetet samt datasäkerhetsegenskaper hos utrustningen och lokalerna.
Den datasäkerhet som är förenlig med den godkända datasäkerhetspolicyn ska integreras i all verksamhet. Utvecklingen och administrationen av datasäkerheten är en del av verksamhetsenhetens allmänna säkerhetsverksamhet, riskhantering och interna kontroll.
DATASÄKERHETSARBETE Datasäkerhetsarbetet handlar om planering och implementering av åtgärder för att uppnå kriterierna för datasäkerheten. Målet med datasäkerhetsarbetet är att säkerställa att de datasystem och datanät som är viktiga för verksamhetsenheten fungerar oavbrutet, förhindrar att utomstående får tillgång till information och datasystem samt förhindrar obehörig användning av dem, oavsiktlig eller avsiktlig förstörelse eller förvrängning av information samt minimerar eventuella skador. Utöver att säkerställa datahanteringen under normala förhållanden förbereder man sig inför hotsituationer som avbryter verksamheten och återhämtningen från dem.
ORGANISERING OCH ANSVARSFÖRDELNING Datasäkerheten leds och övervakas av Föreningens styrelse. Styrelsen fattar beslut om utvecklingsmålen för den övergripande säkerheten för olika delområden i verksamhetsenheten samt om organiseringen, resurserna och behörigheterna för dem samt utser en datasäkerhetsansvarig.
Datasäkerhetsansvarig ansvarar för det övergripande datasäkerhetsarbetet inom verksamhetsenheten inom ramen för de resurser och behörigheter som beviljats av verksamhetsenhetens ledning. Han eller hon ansvarar också för extern och intern kommunikation om datasäkerhetsärenden på en allmän nivå, samt ansvarar för skyddet och övervakningen av verksamhetsenhetens personregister som innehåller personuppgifter. Styrelsen kommer med synpunkter och fastställer riktlinjer på datasäkerheten för centrala funktioner i verksamhetsenheten.
Datasäkerhetsansvarig behandlar • riktlinjerna och anvisningarna för datasäkerheten innan de föredras för styrelsen för godkännande. • för beredningen av ärenden relaterade till datasäkerhetsprocessen inom föreningen • för fastställandet, bedömningen och rapporteringen av verksamhetsenhetens datasäkerhetsnivå samt för den övriga administrativa datasäkerheten • för utarbetandet av utvecklingsplaner för datasäkerheten, övervakningen av implementeringen, • för främjandet av kunskapen om datasäkerhet och datasäkra rutiner i verksamhetsenheten och i köpta tjänster samt skyddet och övervakningen av personregister samt att den övriga driftsäkerheten och fungerar enligt de riktlinjer som datasäkerhetsgruppen fastställt • ansvarar för utrustningens och programvarans säkerhet • ansvarar för säkerheten för datamaterialet enligt ”Dataskyddsmanualen” • datasäkerhetssynpunkter baserade på det praktiska arbetet och synpunkter som inkommer från representanterna för delområdena inom dataskyddsmanualen. • kommer med datasäkerhetssynpunkter baserade på det praktiska arbetet • att varje datasystem har en ansvarig person där den ansvariga ersonen för datasystemet ska bland annat definiera kraven på datasystemets funktion och säkerhet (t.ex. kritiskhet, kontinuitetsplanering och säkerhetskopiering) samt bevilja och övervaka användarrättigheter. • ansvarar för anvisningar, kommunikation och övervakning i datasäkerhetsärenden inom föreningen.
Alla som administrerar och använder datasystem eller datanät ansvarar för sin del för datasäkerheten och iakttagandet av datasäkerhetsanvisningarna. Varje person är skyldig att rapportera hot och avvikelser relaterade till styrelsen.
IMPLEMENTERING AV DATASÄKERHETEN Grunden för implementeringen av datasäkerheten är denna skriftliga datasäkerhetspolicy som godkänts av föreningens styrelse och som ges till kännedom för verksamhetsenhetens alla användare av datasystemen. Verksamhetsenhetens datasäkerhets principer baserar sig på nationella, allmänna och branschvisa kvalitetsstyrande och förpliktande författningar, anvisningar och standarder för datasäkerhet, personregister, god informationshanteringssed och informationskvalitet.
Ändringar i lagstiftningen och anvisningarna beaktas i utvecklingen av verksamhetsenhetens datasäkerhet. Implementeringen och administrationen av datasäkerheten beskrivs detaljerat i dataskyddsmanualen. Implementeringen av datasäkerheten ska basera sig på de krav som verksamheten och tjänsterna samt respektive datamaterials och datasystems säkerhetsklass ställer på informationshanteringens säkerhet, användbarhet, kvalitet och verksamhetens kontinuitet samt bedömningen av risker relaterade till verksamheten.
Utredningen av kraven och riskbedömningen samt fastställandet av säkerhetsåtgärder utifrån dem sker genom regelbundna säkerhetsanalyser.
Att uppnå målen med datasäkerheten är en fortlöpande process som sker genom administrativa och tekniska lösningar. De beskrivs i dataskyddsmanualen och vid behov i separata utvecklingsplaner för datasäkerheten för driftsmiljön. De centrala utvecklingsåtgärderna genomförs som projekt för vilka en handlingsplan utarbetats.
Användarnas beteende styrs genom användningsregler i datasäkerhetsplanen samt fastställda och tillgängliga verksamhetsanvisningar och datasäkerhetsutbildning.
Varje användare ska bli informerad om datasäkerhetsanvisningen för användare och datasäkerhetsförbindelsen när han eller hon beviljas rätt att använda datasystem och datamaterial enligt sina arbetsuppgifter.
UPPFÖLJNING OCH ÖVERVAKNING AV DATASÄKERHETEN Användarna och administratörerna ska anmäla upptäckta brister i datasäkerheten, missbruk relaterat till datasäkerheten eller misstänkta fall av brott mot datasäkerheten till styrelsen. Den datasäkerhetsansvarige följer upp och övervakar implementeringen av datasäkerheten för de datasystem som föreningen har och vidtar åtgärder för att rätta till upptäckta brister i datasäkerheten.