Retningslinjer for autorisation til IT-løsninger

Autorisationsskema til Arbejdsmarked og Borgerservice

Autorisationsskema til Teknik og Miljø

Autorisationsskema til Social og Familie

Retningslinjer for autorisation til IT-løsninger gælder samtlige systemer og data, som anvendes til opgaveløsningen i Nyborg Kommune, herunder også IT-løsninger, der behandler og indeholder personoplysninger.

Principper for adgangsstyring i Nyborg Kommune:

1. Der tildeles kun rettigheder til data og adgang til IT-systemer, der er arbejdsmæssigt begrundet 
2. Tildeling af rettigheder skal som minimum være adskilt i forhold til ”godkender/autoriserer” og ”opretter”  
3. Tildelte rettigheder og adgange skal dokumenteres på medarbejderens autorisationssag

Tilretning foretaget af IT og Digitalisering 14. november 2023 

For at få adgang til kommunens IT-løsninger, skal der altid udfyldes et autorisationsskema på medarbejderen.

Forinden oprettelse til et It-system oprettes medarbejderen i lønsystemet og tjenestenummer/medarbejdernummer noteres (består af fem tal og fremgår i SD Personaleweb fx (04847))

Følgende procedure skal følges:

1. Skemaet skal indsendes af den autoriseredes nærmeste personaleleder (medlem af den store ledergruppe) til postkasse autorisation, autorisation@nyborg.dk. 

2. Ifm. indsendelse af autorisationsskema påfører lederen i mail følgende tekst; ”Jeg bekræfter hermed, at medarbejderen, anført i vedhæftede autorisationsskema, er oprettet i lønsystemet med følgende tjenestenummer; xxxxx (skriv tjenestenummer)”

3. IT-afdelingen kontrollerer, at lederen som autoriserer er medlem af ledergruppen og anmoder - om nødvendigt - om yderligere godkendelse hos systemansvarlig, systemejer eller Digitaliseringsstyregruppen (se nedenstående)

4. Lederen vil modtage svar retur, når medarbejderen er autoriseret. Det er herefter lederens ansvar at viderebringe de nye adgange til medarbejderen samt journalisere skemaet på medarbejderens autorisationssag. 

Som led i autorisationsproceduren skal det altid vurderes, om tildelingen af adgang medfører, at der samtidig tildeles yderligere adgang, som kan indebære en forøget risiko.

Den autoriseredes nærmeste leder har ansvaret for at sikre, at brugeren har forstået retningslinjer og kan anvende systemer og data korrekt, samt at brugeren har kendskab til interne instrukser og eventuelle særlige vilkår for anvendelse af de enkelte systemer.

Foruden at lederen selv skal journalisere autorisationsskemaet på medarbejderens autorisationssag, så skal IT-afdelingen også journalisere de autorisationssager, som modtages. Dette gøres for at sikre dokumentation af, at IT-afdelingen kun har tildelt de roller og rettigheder, som de har modtaget autorisationsskemaer på. IT-afdelingen journaliserer autorisationsskemaerne i KMD Nova og navngiver hvert skema med den autoriseredes CPR-nr.

Styregruppen for I-sikkerhed har ansvaret for, at retningslinjer vedr. autorisation til IT-løsninger lever op til kommunens behov og risiko.

Teknisk tilrettet af IT og Digitalisering 29. juni 2023

Tilretning foretaget af IT og Digitalisering 14. november 2023 

Hvis en medarbejder skal have ændret eller ajourført rettighederne til et eller flere systemer, som medarbejderen allerede har adgang til, skal der sendes en anmodning via autorisationsskemaet fra medarbejderens nærmeste leder. Lederen skal endvidere ved samme lejlighed vurdere, om brugerens eksisterende rettigheder stadig er nødvendige.

I tilfælde af at en medarbejder skal have ændret sine autorisationer på grund af ændring af jobfunktion, skal nedenstående procedure følges:

• Der skal udfyldes og indsendes et skema med de ændringer, der skal slettes på brugeren fra den nærmeste personaleleder (medlem af den store ledergruppe) til autorisation@nyborg.dk fra den afdeling, som brugeren fratræder.

• Ligeledes skal der udfyldes og indsendes et skema med de ændringer, der skal tilføjes på brugeren fra den nærmeste personaleleder (medlem af den store ledergruppe) til autorisation@nyborg.dk fra den afdeling, som brugeren tiltræder.

• IT-afdelingen kontrollerer i begge ovenstående punkter, at lederen, som ønsker brugeren ændret er medlem af ledergruppen.

• Lederen vil i begge ovenstående punkter modtage svar retur, når medarbejderens autorisation er ændret.

Review foretaget af IT og Digitalisering 25. oktober 2023 

Ved fratrædelse følges nedenstående procedure:

1. Skemaet skal udfyldes og indsendes af den autoriseredes nærmeste personaleleder (medlem af den store ledergruppe) til autorisation@nyborg.dk. 

2. IT og Digitalisering kontrollerer, at lederen, som ønsker brugeren slettet, er medlem af ledergruppen.

3. Lederen vil modtage svar retur, når medarbejderen er slettet. 

Ved afskedigelse kan der være behov, for at adgang til IT-løsninger straks lukkes. Dette kan kun ske med godkendelse af øverste sikkerhedsansvarlige.

Review foretaget af IT og Digitalisering 25. oktober 2023

Der skal med faste intervaller ske en vurdering af autoriserede brugere i de enkelte systemer. Formålet er at registrere og derefter få slettet brugere, som ikke længere er ansat i den pågældende funktion. Kontrollen foretages af systemejere eller systemansvarlige samt IT-afdelingen med udgangspunkt i information om ansættelsesforhold, som modtages fra personaleafdelingen.

Review foretaget af IT og Digitalisering 25. oktober 2023

I den udstrækning kommunens IT-medarbejdere har mulighed for at tildele sig selv adgang til systemerne, skal der tages særlige forholdsregler, således at det sikres, at IT-medarbejderne til stadighed udelukkende har adgang til systemer og data, som er arbejdsmæssigt begrundet.

I forbindelse med den årlige IT-revision laves der en gennemgang af IT-medarbejdernes rettigheder til systemerne.

Review foretaget af IT og Digitalisering 25. oktober 2023