Gå til sidens indhold
Tilbage til søgning
Administrativ forskrift
Nr. 4
10. februar 2023
Gældende

Cirkulære om IT- og Informationssikkerhedsorganisation

I medfør af § 23, stk. 1, i Inatsisartutlov nr. 26 af 18. november 2010 om Inatsisartut og Naalakkersuisut fastsættes:

 

Anvendelsesområde

 

  § 1.  Cirkulæret finder anvendelse for Naalakkersuisuts departementer og underliggende enheder, jf. cirkulære om fordeling af anliggender (Ressortfordelingen).
  Stk. 2.  Undtaget er de nettostyrede virksomheder og uafhængige enheder.

 

IT- og Informationssikkerhedsmyndighed

 

  § 2.  Digitaliseringsstyrelsen er IT- og Informationssikkerhedsmyndigheden. 
  Stk. 2.  IT- og Informationssikkerhedsmyndigheden skal varetage IT-systemejerfunktionen for de fælles IT-systemer. 
  Stk. 3.  IT- og Informationssikkerhedsmyndigheden afrapporterer kvartalsvis til departementschefsgruppen om efterlevelse af IT- og Informationssikkerhedspolitikken på baggrund af kvartalsrapporter udarbejdet af de dataansvarlige myndigheder, jf. § 9, stk. 4.

 

  § 3.  IT- og Informationssikkerhedsmyndigheden bistår IT-systemejerne og de informationssikkerhedsansvarlige i deres arbejde.

 

Forhåndsgodkendelse af IT-systemer

 

  § 4.  IT-systemer på den fælles IT-infrastruktur skal overholde de retningslinjer, som er fastsat til sikring af et højt niveau for cyber- og informationssikkerhed.

 

  § 5.  Den indkøbsansvarlige enhed skal, før offentliggørelse af udbud eller forhandling med en IT-leverandør påbegyndes, have en forhåndsgodkendelse af IT- og Informationssikkerhedsmyndigheden af udbudsbetingelserne eller oplæg til forhandlinger.
  Stk. 2.  IT og Informationssikkerhedsmyndighedens forhåndsgodkendelse omfatter alle forhold, der vil have betydningen for, at retningslinjerne jf. § 4, stk. 1, kan blive opfyldt.

 

  § 6.  Den indkøbsansvarlige enhed skal forud for underskrivelse af kontrakt eller andet aftalegrundlag om indkøb af IT-leverancer have en forhåndsgodkendelse af IT- og Informationssikkerhedsmyndigheden, herunder aftalegrundlagets muligheder for optioner, nye opgaver eller bestillinger, når disse er aktuelle.
  Stk. 2.  Er der i kontraktgrundlaget aftalt levering af afklaringsrapporter og ibrugtagningsrapporter skal disse forelægges IT- og Informationssikkerhedsmyndigheden til udtalelse før endelig godkendelse af rapporterne.
  Stk. 3.  IT- og Informationssikkerhedsmyndigheden kan kræve yderligere dokumentation for, at IT-leverandøren kan leve op til de krævede cyber- og informationssikkerhedskrav, jf. § 4, stk. 1. Herunder ISAE 3000 revisionserklæring eller tilsvarende dokumentation samt dokumentation for underleverandørens sikring af et højt niveau for cyber- og informationssikkerhed.

 

Departementschefsgruppen

 

  § 7.  Departementschefsgruppen skal hvert år i 4. kvartal efter indstilling fra IT- og Informationssikkerhedsmyndigheden godkende den overordnede IT- og Informationssikkerhedspolitik for det næstfølgende år. 
  Stk. 2.  Departementschefsgruppen skal efter indstilling fra IT- og Informationssikkerhedsmyndigheden godkende retningslinjer og politikker, der vedrører fælles anliggender for IT- og informationssikkerhed. Dette vedrører eksempelvis:
1)  fastsættelse af kriterier for en acceptabel risiko ved IT-systemer,
2)  standarder for autorisation og adgangskontrol for medarbejderes og leverandørers adgang til IT-systemer,
3)  adgang til IT-systemer under rejser,
4)  betingelser for brug af mobile enheder,
5)  instrukser for brug af fælles IT-systemer,
6)  krav til hjemmearbejdspladser.

 

IT- og Informationssikkerhedsudvalget

 

  § 8.  IT- og Informationssikkerhedsudvalget består af departementscheferne for:
1) Formandens departement,
2) Departementet for Udenrigsanliggender og
3) Departementet for Infrastruktur.
  Stk. 2.  IT- og Informationssikkerhedsudvalget mødes mindst engang hvert kvartal. På mødet kan udvalget træffe afgørelse om gennemførelse af tiltag, der skal øge den generelle niveau for cyber- og informationssikkerhed. Afgørelser træffer på baggrund af den aktuelle trusselsniveau og kvartalsrapporterne jf. § 2, stk. 3.  
  Stk. 3.  Ved væsentlige sikkerhedshændelser indkalder IT- og Informationssikkerhedsmyndigheden IT- og Informationssikkerhedsudvalget hurtigst muligt til møde.
  Stk. 4.  IT- og Informationssikkerhedsudvalget træffer beslutning om nødforanstaltninger i særlige situationer. 
  Stk. 5.  IT- og Informationssikkerhedsudvalget træffer beslutning om, at et IT-system, der ikke opfylder betingelserne for at være på den fælles IT-infrastruktur jf. § 4, skal fjernes fra den fælles IT-infrastruktur. Omkostninger ved overførsel til et selvstændigt netværk og den deraf følgende drift, vedligeholdelse, administration, cyber- og informationssikkerhedsbeskyttelse skal afholdes af den myndighed, der har IT-systemejerskabet.
  Stk. 6.  I uopsættelige situationer kan formanden selvstændigt træffe beslutning eller 2 af de øvrige medlemmer i fællesskab.

 

De enkelte myndigheders ansvar

 

  § 9.  Myndighedens øverste chef er ansvarlig for implementering, opfølgning og efterlevelse af IT- og Informationssikkerhedspolitikken.
  Stk. 2.  Der skal udpeges mindst en IT-systemejer og en informationssikkerhedsansvarlig. Det kan være den samme person.
  Stk. 3.  Myndigheder, der kun benytter fælles IT-systemer stillet til rådighed af Digitaliseringsstyrelsen, skal ikke udpege en IT-systemejer. Tilsvarende for myndigheder, der benytter fælles økonomiske- og personaleadministrative IT-systemer, der er stillet til rådig af Inussuk IT.
  Stk. 4.  Myndigheder kan indgå aftale med Digitaliseringsstyrelsen om at overtage driftsopgaven for egne driftssystemer til Digitaliseringsstyrelsen. Digitaliseringsstyrelsen kommer herved til at overtage funktionen som IT-systemejer.
  Stk. 5.  Der skal kvartalsvis udarbejdes en rapport om databrud og andre sikkerhedshændelser, herunder konstaterede risici for en sikkerhedshændelse og de tiltag, der er iværksat for at imødegå risikoen. Kvartalsrapporten skal videregives til IT- og Informationssikkerhedsmyndigheden.
  Stk. 6.  Risiko- og konsekvensanalyser skal videregives til IT- og Informationssikkerhedsmyndigheden.

 

  § 10.  Funktionen som IT-systemejer skal varetage mindst disse opgaver:
1)  Foretage eller sikre, at der er opdaterede risiko- og konsekvensvurderinger af de IT-systemer, som myndigheden allerede anvender, og før nye tages i anvendelse,
2)  Kunne redegøre for myndighedens brug af IT-systemer, hvor er data, hvilke leverandører behandler oplysninger, databehandleraftaler og dataoverførselsgrundlag,
3)  Kontrol af, at databehandlerne opfylder sikkerhedskravene i databehandleraftalerne, herunder revisionserklæringer,
4)  Kontrol af leverandøradgange.
5)  Deltage i Forum for IT-systemejere.

 

  § 11.  Funktionen som informationssikkerhedsansvarlig skal varetage mindst disse opgaver:
1)  Udarbejdelse af organisatoriske risiko- og konsekvensanalyser,
2)  Oplæring i informationssikkerhed, 
3)  Behandling af sikkerheds- og databrud, herunder anmeldelse til Datatilsynet og de registrerede,
4)  Udarbejdelse og opdatering af interne instrukser og vejledninger,
5)  Behandling af fysisk materiale, opbevaring eller destruktion,
6)  Krav til fysisk adgangsbegrænsning,
7)  Kontrol af autorisation og medarbejderadgang til IT-systemerne.
8)  Deltage i Forum for Informationssikkerhedsansvarlige.

 

Forum for IT-systemejere

 

  § 12.  IT- og Informationssikkerhedsmyndigheden indkalder alle IT-systemejere til Forum for IT-systemejere mindst 2 gange årligt.
  Stk. 2.  IT-systemejerne kan indkaldes til flere møder og andre arrangementer, hvis der er behov herfor. Dette kan være i forbindelse med en sikkerhedshændelse, der kræver hurtige og særlige tiltag for at mindske sikkerhedsrisikoen.
  Stk. 3.  Dagsorden på møderne og indhold af arrangementer kan være:
1)  Sikkerhedstrusler, 
2)  Risiko- og konsekvensanalyser, 
3)  Leverandørstyring, herunder leverandøradgange,
4)  Informationssikkerhedskrav til databehandlere,
5)  Revisionskrav til databehandlere og kontrol heraf,
6)  Tekniske IT-politikker eller vejledninger,
7)  Dataoverførselsgrundlag,
8)  Anmeldelse af nye it-systemer,
9)  Systemdokumentation og brugervejledninger.

 

Forum for Informationssikkerhedsansvarlige

 

  § 13.  IT- og Informationssikkerhedsmyndigheden indkalder alle de informationssikkerhedsansvarlige til Forum for Informationssikkerhedsansvarlige mindst 2 gange årligt.
  Stk. 2.  De informationssikkerhedsansvarlige kan indkaldes til flere møder og andre arrangementer, hvis der er behov herfor. Dette kan være i forbindelse med en sikkerhedshændelse, der kræver hurtige og særlige tiltag for at mindske sikkerhedsrisikoen.
  Stk. 3.  Dagsorden på møderne og indhold af arrangementer kan være:
1)  Sikkerhedstrusler, 
2)  Risiko- og konsekvensanalyser,
3)  Awareness kampagner,
4)  IT-politikker eller vejledninger,
5)  Behandling af databrud,
6)  Krav til fysisk adgangsbegrænsning,
7)  Kontrol af autorisation og medarbejderadgang til IT-systemerne,
8)  Sikkerhedsforanstaltninger,
9)  Instruktion af medarbejdere og
10)  Behandling af fysisk materiale.

 

Ikrafttræden

 

  § 13.  Cirkulæret træder i kraft den 13.december 2022.

 

 

Formandens Departement, 13.december 2022.

 

 

Múte Bourup Egede
Formand for Naalakkersuisut

 

 

/ Hans-Peder Barlach Christensen