Næstved Kommune. Informationssikkerhedspolitik ISO 27001
|
|
- Frode Jakobsen
- 5 år siden
- Visninger:
Transkript
1 Informationssikkerhedspolitik ISO Versionsdato: 15. marts 2018
2 Baggrund Nærværende dokument beskriver governance for s informationssikkerhedspolitik. Hensigten med politikken er at skabe rammerne for, at al anvendelse og behandling af informationer i sker efter gældende lovgivning, anerkendte standarder og øvrige regelsæt, samt at alle medarbejdere har en sikkerhedsorienteret adfærd og en bevidst holdning til begrebet informationssikkerhed. Informationssikkerhedspolitikken er baseret på ISO standarden. Den nationale strategi for cyber- og informationssikkerhed (2014) stiller krav til statslige myndigheder om at implementere og arbejde systematisk efter sikkerhedsstandarden ISO Med den seneste fællesoffentlige digitaliseringsstrategi ( ) er den øvrige del af den offentlige sektor nu underlagt et krav om at følge principperne i standarden. Med en systematisk tilgang til styring af risici, kan organisationen investere i informationssikkerhed, hvor det giver størst muligt afkast hvad enten det indebærer beskyttelse af organisationens fysiske rammer, it-tekniske kontroller eller en ændring af medarbejdernes adfærd. Det er informationssikkerhedspolitikken, som overordnet skal godkendes politisk. Herefter skal Informationssikkerhedshåndbogen (ISO 27002) efterfølgende indarbejdes i administrationen således at den operationelle udmøntning af Informationssikkerhedspolitikken efterleves, herunder bl.a. den ny lovgivning om Persondataforordningen (GDPR). Informationssikkerhedspolitikken erstatter sammen med den kommende informationssikkerhedshåndbog den tidligere it-sikkerhedspolitik DS484. I regi af Digitaliseringsforeningen Sjælland (DIGIT) samarbejder med de øvrige medlemskommuner i projektet vedr. informationssikkerhedshåndbogen. Resultatet af dette samarbejde indarbejdes løbende i s egen Informationssikkerhedshåndbog. s Informationssikkerhedspolitik er udarbejdet med øje på andre kommuners arbejde og best pratice på området. Dette er bl.a. sikret af s samarbejde med BDO IT-revision, som udfører revision på området i flere af landets kommuner. Da arbejder efter ISO-standardens opbygning og principper med mulighed for en evt. certificering, har det været formålstjenstligt at dokumentet allerede er opbygget efter standardens kapitelinddelinger. Dette er bl.a. baggrunden for at nærværende dokument starter med kapitel 4, og ikke kapitel 1. Når databeskyttelsesforordningen træder i kraft den 25. maj 2018, er der mange regler, som også kommunens databehandlere og medarbejdere skal overholde. For at skabe bedre forståelse og hjælp til at overholde disse regler fx i relation til behandlingsaktiviteter, vil kommunen inden 25. maj udarbejde og indføre et lokalt adfærdskodeks og nogle principper for god og forsvarlig databehandling. Adfærdskodekset vil være et nyttigt redskab til at implementere forordningens krav i praksis. Det lokale adfærdskodeks skal ses som en måde til, at understøtte organisationen i at efterleve reglerne fra databeskyttelsesforordningen. Det er den enkelte systemejer eller dataejer, der skal sikre overholdelse af adfærdskodekset. Derfor vil det blive understøttet med ledelsesinformation og andre former for opfølgning. Adfærdskodekset behandles og godkendes af kommunens Informationssikkerhedsudvalg. Informationspolitikken skal revurderes en gang om året på baggrund af en risikoanalyse, der vurderer trusler, konsekvenser og risici ved kommunens kritiske informationssystemer. En revideret informationssikkerhedspolitik forelægges derfor Byrådet i december Side 2 af 18
3 Indhold Baggrund for dokument Organisationens kontekst Forståelse af organisationen og dens kontekst Forståelse af interessenters behov og forventninger Bestemmelse af omfanget af ledelsessystemet for informationssikkerhed Ledelsessystem for informationssikkerhed Lederskab Lederskab og engagement Politik Roller, ansvar og beføjelser i organisationen Planlægning Handlinger til håndtering af risici og muligheder Generelt Vurdering af informationssikkerhedsrisici Håndtering af informationssikkerhedsrisici Informationssikkerhedsmålsætninger og planlægning for opnåelse heraf Support Ressourcer Kompetencer Bevidsthed Kommunikation Dokumenteret information Generelt Udarbejdelse og opdatering af information Styring af dokumenteret information Drift Driftsplanlægning og styring Vurdering af informationssikkerhedsrisici Håndtering af informationssikkerhedsrisici Evaluering Overvågning, måling, analyse og evaluering Intern audit Ledelsens gennemgang Forbedring Afvigelser og korrigerende handlinger Side 3 af 18
4 10.2 Løbende forbedring Udarbejdelse og ikrafttrædelse Underskrift og godkendelse Appendiks A Side 4 af 18
5 4 Organisationens kontekst 4.1 Forståelse af organisationen og dens kontekst Dokumentation af organisationen Kontekst Informationsbehandling i har et sikkerhedsniveau, som tilgodeser lovgivningskrav og myndighedsforventninger og muliggør en bredspektret informationssystemanvendelse. Informationssikkerhedspolitikken skal skabe rammerne for en sikker informationsbehandling for både borgere, brugere, virksomheder og samarbejdspartnere samt medarbejdere, ledelse og politikere i. Informationssikkerhedspolitikken fastsætter hovedprincipperne for governance af informationssikkerheden, herunder placering af ansvar for varetagelse af informationssikkerheden. Den overordnede informationssikkerhedspolitik er uddybet i en informationssikkerhedshåndbog samt en række bilag, som det fremgår i s Information Security Management System efterfølgende benævnt ISMS Bilagene er opdelt i 4 kategorier: Retningslinier for it-medarbejdere. Retningslinier for brugere. Retningslinier for systemejere. Retningslinier for eksterne samarbejdspartnere. Som supplement til Informationssikkerhedspolitikken - med det formål, at skabe en effektiv formidling af budskabet - er der udarbejdet kort og præcis brugerinfo: Sikker it i og systemejerinfo: Vejledning til systemejere. Informationssikkerhedspolitikken, Informationssikkerhedshåndbogen og relevante bilag, er tilgængelige på kommunens Secure ISMS Sikkerhedspolitikken tilstræber at være realistisk, operationel, logisk, acceptabel og kontrollerbar. Kommunen skal satse på sikre løsninger, høj driftstabilitet, enkelthed og informationsløsninger som er integrerede. Med dette udgangspunkt er informationssikkerhedsniveauet fastsat og beskrevet i informationssikkerhedspolitikken. Informationssikkerhedspolitikken tilstræber, at informationsbehandling har en høj kvalitet, er effektiv, er sikker og er målrettet de konkrete opgaver, som kommunen udfører. For at sikre informationsbehandling, ønsker, at alle medarbejdere har en sikkerhedsorienteret kultur og en bevidst holdning til begrebet informationssikkerhed, hvor der lægges vægt på reel sikkerhed frem for formel sikkerhed. 4.2 Forståelse af interessenters behov og forventninger Formålet med Informationssikkerhedspolitikken er at fastlægge informationssikkerheden på et overordnet niveau samt sikre implementeringen af de nødvendige retningslinjer, procedurer og kontroller i organisationen. Desuden ønskes en høj driftssikkerhed og at gældende lovgivning og myndighedskrav overholdes. s informationssikkerhedsniveau er resultatet af den samlede mængde af normer, foranstaltninger og kontroller, der skal sikre organisationens driftsmæssige kontinuitet og minimere de økonomiske risici ved tab, minimere misbrug af organisationens informationer samt undgå at borgernes tillid svækkes og kommunens omdømme skades. Det er kommunens ledelse, der har ansvaret for informationssikkerheden, herunder sikring af tilgængelighed, fortrolighed og integritet. I forbindelse med en gennemført risikovurdering af kommunens informationsbehandling, er der blevet kortlagt en række risici, som informationssikkerhedspolitikken skal medvirke til at reducere. Informationssikkerhedspolitikken skal således sikre at informationssikkerheden etableres på et effektivt og ensartet niveau, så risikoen for alvorlige fejl begrænses, Side 5 af 18
6 høj driftssikkerhed og tilgængelighed til systemer, at datagrundlaget for kommunens forretningsgange er retvisende, at informationssikkerheden er tilpasset de værdier og informationer, som skal beskyttes, at væsentlige data og værdier ikke går tabt, at informationssikkerheden indarbejdes i de eksisterende forretningsgange, at ansvaret er entydigt placeret, at data ikke bliver tilgængelige for uvedkommende. Informationssikkerhedspolitikken skal i overensstemmelse med kommunens vitale forretningsgange være en afvejning af væsentlighed og risiko. Sikringen skal stå mål med risikoen. Vi vil ikke sikre os for enhver pris, men være bevidst om enhver risiko. Endvidere har en effektiv og konsekvent formidling af informationssikkerhedspolitikken til formål, at skærpe brugernes opmærksomhed på sikkerhed i forbindelse med anvendelse af de forskellige systemer ligesom informationssikkerhedspolitikken skal sikre, at alle brugere er beskyttet af et entydigt regelsæt. 4.3 Bestemmelse af omfanget af ledelsessystemet for informationssikkerhed Omfang af informationssikkerhedspolitik Informationssikkerhedspolitikken omfatter alle kommunens forretningsgange, systemer og data i kommunens besiddelse. Informationssikkerhedspolitikken gælder for alle ansatte i kommunen, samt leverandører og samarbejdspartnere, som har fysisk eller logisk adgang til kommunens systemer og data, Dokumentation af anvendelsesområdet for ISMS Informationssikkerhedspolitikken, Informationssikkerhedshåndbogen og bilagene omfatter alle brugere af kommunens administrative informationssystemer og informationsbaserede infrastruktur. Endvidere regulerer informationssikkerhedspolitikken øvrige områder, hvor der sker digitalt og manuel behandling af administrative data. I det omfang udliciterer it-driftsafviklingen til eksterne leverandører skal det sikres, at serviceleverandøren overholder retningslinjerne, som de er beskrevet i informationssikkerhedspolitikken, Informationssikkerhedshåndbogen og relevante bilag således, at informationssikkerhedsniveauet er i overensstemmelse med s informationssikkerhedspolitik. 4.4 Ledelsessystem for informationssikkerhed Informationssikkerhedsprocessen s ledelsessystem er baseret på en løbende risikobaseret tilgang, hvor der løbende foretages en evaluering af sikkerhedstiltag med henblik på fortsat, at have et for kommunen korrekt informationssikkerhedsniveau. Side 6 af 18
7 5 Lederskab 5.1 Lederskab og engagement s øverste ledelse skal støtte Kommunens informationssikkerhedspolitik ved at udlægge klare retningslinjer, udvise synligt engagement samt sikre en præcis placering af ansvar. Informationsbehandlingen i har til formål at understøtte kommunens overordnede vision. Kommunens digitaliseringsstrategi beskriver visioner, mål og handleplaner for informationsbehandlingen. Informationssikkerhedspolitikken skal medvirke til at danne grundlag for, at digitaliseringsstrategien og de konkrete handleplaner kan effektueres. Informationssikkerhedspolitikken skal endvidere sikre, at informationsbehandlingen opfylder alle sikkerhedskriterier, som forventes opfyldt af en offentlig forvaltning. 5.2 Politik Distribution af informationssikkerhedspolitikken Informationssikkerhedspolitiken og Informationssikkerhedshåndbogen gøres tilgængeligt fra kommunens intranet ved link til kommunens Secure ISMS, som er tilgængelig for alle medarbejdere med gyldig login konto på kommunens netværk. Revision af informationssikkerhedspolitikken For at sikre en levende og ajourført informationssikkerhedspolitik skal følgende elementer underkastes en årlig gennemgang: Informationssikkerhedspolitikken Informationssikkerhedshåndbogen inkl. bilag Systemejer og dataejer oversigter. Informationssikkerhedspolitikken skal revideres ved lovgivningsmæssige eller væsentlige organisatoriske ændringer. Ændringer i informationssikkerhedspolitikken godkendes af Økonomiudvalget, mens ændringer i Informationssikkerhedshåndbogen godkendes af direktionen. Opfølgning på implementering af sikkerhedspolitikken Der foretages løbende opfølgning på, hvorvidt reglerne i Informationssikkerhedshåndbogen samt bilagene, i praksis efterleves. Informationssikkerheden kontrolleres ud fra en konkret vurdering af væsentlighed og risiko. Øverste sikkerhedsansvarlige har ansvaret for, at denne opfølgning foretages mindst en gang om året eller ved større tekniske eller organisatoriske ændringer. Opfølgningen kan evt. foretages med ekstern bistand. Vedligeholdelse af sikkerhedspolitik Næstved kommunes Informationssikkerhedsudvalg er ansvarlig for at oprette, vedligeholde og distribuere Informationssikkerhedspolitikken, Informationssikkerhedshåndbogen samt bilag. 5.3 Roller, ansvar og beføjelser i organisationen Sikkerhedsorganisation Med henblik på at sikre kommunens informationsbehandling, er der etableret en entydig informationssikkerhedsorganisation. I skemaet på næste side er informationssikkerhedsorganisationen og dennes ansvar og roller beskrevet. Dette ændrer ikke ved det til enhver tid gældende ledelsesansvar indenfor kommunens almindelige organisatoriske ledelseshierarki, herunder også ansvaret for formidling af Informationssikkerhedspolitik, -håndbog og tilhørende bilag til medarbejdere i egen organisation. Ansvar og bemyndigelse i forbindelse med informationssikkerhed Opgaven er i praksis uddelegeret til Informationssikkerhedsudvalget. Ajourføring skal mindst finde sted en gang årligt eller ved større omlægninger i informationsbehandlingen. Roller og ansvar fremgår i Informationssikkerhedshåndbogens kapitel 6. Side 7 af 18
8 Benævnelse Placering og forklaring Ansvar Øverste sikkerhedsansvarlige Kommunaldirektøren Organisatorisk tilknyttet Center for Politik og Udvikling, Team Strategi og Digitalisering Fungerer som øverste sikkerhedsansvarliges stedfortræder i forbindelse med sikring af og opfølgning på kommunens informationssikkerhed. Er øverste sikkerhedsansvarlig. Er ansvarlig for den overordnede tilrettelæggelse af informationssikkerheden i kommunen, herunder ansvaret for opfølgning og kontrol. Opgaven med sikring af og opfølgning på kommunens informationssikkerhed er uddelegeret til Informationssikkerhedskoordinatoren. Informationssikkerhedskoordinator Informationssikkerhedskoordinatoren er uafhængig af IT-driftsorganisationen og refererer direkte til kommunens øverste sikkerhedsansvarlige og direktion ifbm. med informationssikkerhedsspørgsmål. Rapportering af informationssikkerhedshændelser sker ligeledes direkte til øverste sikkerhedsansvarlige og direktion. Ansvarlig for vedligeholdelse af informationssikkerhedspolitik og Informationssikkerhedshåndbogen. Informationssikkerhedsudvalg (styregruppen) Informationssikkerhedsudvalgets sammensætning skal afspejle kommunens opbygning og organisatoriske struktur. Udvalget er sammensat af: Kommunaldirektøren En Centerchef En juridisk kompetence En fagcenterchef En virksomhedsleder En IT-kompetence på lederniveau En repræsentant for DIGIT og Digitalisering på lederniveau Informationssikkerhedskoordi Ansvarlig for Kommunens Information Security Management System (ISMS) Med udgangspunkt i oplæg fra Informationssikkerhedskoordinatoren: At koordinere og prioritere Informationssikkerhedsarbejdet At fastsætte Informationssikkerhedsmål og relaterede informationssikkerhedskontroller. At fungere som sparringspartnere for Informationssikkerhedskoordinatoren i Informationssikkerhedsspørgsmål. Side 8 af 18
9 Systemejer natoren Alle systemer tilhører en systemejer, der er forvaltningsdirektør, kontorchef eller afdelingschef, som med udgangspunkt i et fagligt ansvar anskaffer et Informationssystem til at understøtte opgavevaretagelsen. Opgaven som systemejer kan uddelegeres helt eller delvist i en række underliggende roller nærmere beskrevet i kapitel 8. Ansvaret kan ikke uddelegeres. Beslutningskompetencerne er besluttet, at være på embedsmandsniveau, men udvalget står til ansvar overfor Økonomiudvalget samt Byrådet. Udarbejdelse af instrukser for de enkelte systemer. Udarbejdelse af uddybende systemdokumentation Beskrivelser af relaterede interne kontroller elektroniske og manuelle Etablering af systemsupport Administration af leverandøradgang Supplerende opgaver i forbindelse med systemanvendelsen herunder autorisation, logning, interne kontroller, udvikling og anskaffelse samt nødberedskab Dataejer Udpeges af systemejer. Er en fagchef/teamleder, der står som ejer af delproces og har personaleansvar for medarbejdere i processen. Der kan være flere dataejere for hvert system. Dataejeren har ansvaret for, at retningslinjer og instrukser for et systems anvendelse overholdes af medarbejderne Dataejer skal føre tilsyn og kontrol med, at retningslinjer og instrukser følges Systemadministrator Navngiven systemadministrator typisk en kontorchef eller medarbejder med særligt kendskab, som har ansvaret for at udføre opgaver uddelegeret af systemejer. Rollen kan underopdeles i flere roller. Kontraktejer Budgetejer Autorisationsejer Teknikejer Sikkerheds- og controllerejer Udarbejdelse af instrukser for de enkelte systemer. Udarbejdelse af uddybende systemdokumentation Beskrivelser af relaterede interne kontroller elektroniske og manuelle Etablering af systemsupport Administration af leverandøradgang Supplerende opgaver i forbindelse med systemanvendelsen herunder autorisation, logning, interne kontroller, udvikling og anskaffelse samt nødberedskab Side 9 af 18
10 6 Planlægning 6.1 Handlinger til håndtering af risici og muligheder Generelt Informationssikkerhedspolitikken har udgangspunkt i god informationsskik, best-practice samt lovgivning indenfor informationssikkerhed Databeskyttelsesloven. Informationssikkerhedspolitikken er udarbejdet med ISO27001:2013 Standard for informationssikkerhed, som referenceramme. Konsekvensvurdering fastlægger på baggrund af konkret risikovurdering et sikkerhedsniveau, som svarer til betydningen af de pågældende informationer. gennemfører en balanceret risikoog konsekvensvurdering Vurdering af informationssikkerhedsrisici Informationssikkerhedsniveauet er fastlagt på baggrund af en informationsrisikovurdering således, at informationssikkerheden er afstemt efter betydningen af kommunens data og systemer. Som udgangspunkt er det hensigten, at informationssikkerheden skal være på et niveau, hvor der aldrig skabes tvivl om, hvorvidt kommunens informationssikkerhed er betryggende. Der gennemføres opfølgning på risikovurderingen mindst en gang om året - eller ved større tekniske eller organisatoriske ændringer - således, at kommunens ledelse kan holdes orienteret om det aktuelle risikobillede. Der gennemføres løbende opfølgning og kontrol på kommunens informationssikkerhed. Dette omhandler både at sikre at den nødvendige dokumentation findes, og at den følges i praksis Håndtering af informationssikkerhedsrisici Risikohåndtering Der skal indføres passende sikringstiltag baseret på risikovurderingen Det valgte sikringstiltag skal sammenholdes med sikringstiltagene anført i Informationssikkerhedshåndbogen for at sikre, at ingen nødvendige kontroller udelades. Der skal udarbejdes en Statement of Applicability (SoA) baseret på de valgte sikringstiltag SoA skal omfatte begrundelsen for at medtage eller fravælge kontrolforanstaltninger. Vi behandler risici ved hjælp af en eller flere af de fire muligheder. Accepterer risici Reducerer risici ved at implementere kontroller Dele risici Undgå risici 6.2 Informationssikkerhedsmålsætninger og planlægning for opnåelse heraf Informationssikkerhedsmål måler, vurderer og følger op på informationssikkerhedsområdet på følgende måde: Løbende entydig registrering og opfølgning på hændelser inden for informationssikkerhedsområdet Løbende registrering af alle tiltag inden for informationssikkerhedsområdet Opfølgning på vidensniveau inden for informationssikkerhedsområdet i Målsætningerne for informationssikkerhed skal være: i overensstemmelse med informationssikkerhedspolitikken målbare, hvor det er muligt kommunikerede regelmæssigt opdaterede Side 10 af 18
11 Informationssikkerhedsmålene skal dokumenteres struktureret og ensartet. Side 11 af 18
12 7 Support 7.1 Ressourcer Sikring af ressourcer til ISMS'et Ledelsen skal sikre, at der afsættes tilstrækkelige ressourcer til at holde ISMS'et kørende 7.2 Kompetencer Tilstrækkelige kompetencer til at drive ISMS et Organisationen skal sikre, at de personer, der er ansvarlige for ISMS'et har de nødvendige kompetencer Hvis ikke alle nødvendige kompetencer er til stede i organisationen, skal der tages initiativ til at tilegne sig disse kompetencer. Organisationen skal kunne dokumentere, at de relevante kompetencer er til rådighed. 7.3 Bevidsthed Uddannelse i sikkerhedspolitikken s informationssikkerhedspolitik vedrører den samlede administrative systemanvendelse og det samlede informationsflow. Gennemførelse af informationssikkerhedspolitikken skal derfor finde sted med bistand fra brugere og medarbejdere i kommunen. Alle kommunens medarbejdere har et ansvar for at bidrage til en sikker og betryggende informationsbehandling. En effektiv og konsekvent formidling af informationssikkerhedspolitikken skal skærpe brugernes opmærksomhed på sikkerhed i forbindelse med anvendelse af de forskellige systemer. Som brugere af s systemer og data, skal alle administrative brugere følge Informationssikkerhedspolitikken, Informationssikkerhedshåndbogen og relevante bilag. Systemer og data må udelukkende anvendes til udførelse af de relevante arbejdsopgaver og systemer og data skal beskyttes i overensstemmelse med deres indhold og følsomhed. Ansvaret for at efterleve sikkerheden omkring informationsbehandlingen i, er placeret hos den enkelte medarbejder. Det skal derfor fremhæves, at overtrædelse af Informationssikkerhedspolitikken samt relaterede bilag, efter omstændighederne, kan medføre sanktioner. Hvis en medarbejder opdager trusler imod kommunens informationsbehandling eller er bekendt med overtrædelser af informationssikkerhedspolitikken, skal dette altid meddeles nærmeste leder, der efterfølgende er forpligtiget til at informere Informationssikkerhedskoordinatoren hurtigst muligt. 7.4 Kommunikation Kommunikation om informationssikkerhed Organisationen skal fastlægge en kommunikationsplan for informationssikkerhed. Kommunikationsplanen for informationssikkerhed skal beskrive: hvad der skal kommunikeres hvornår der skal kommunikeres modtagere hvem, der skal kommunikere hvordan kommunikationen skal foretages (medie/form) Dokumenteret information 7.5 Dokumenteret information Generelt Dokumentation af informationssikkerhed Secure ISMS-dokumenter omfatter: Side 12 af 18
13 Overordnet Informationssikkerhedspolitik for Informationssikkerhedspolitik og -målsætninger Informationssikkerhedshåndbog Bilag til Informationssikkerhedshåndbogen Statement of Applicability Risikovurderingsrapport (skal udarbejdes) Risikohåndteringsplan (skal udarbejdes) Beredskabsplan for Team servicedesk og IT Den nødvendige dokumentation for effektiviteten af ISMS'et kan omfatte: resultater af uddannelse, kompetencer, erfaring og kvalifikationer resultater af overvågning og måling intern audit resultater af intern audit resultater af ledelsesberetningen resultater af korrigerende handlinger Dokumentationen bør opbevares i Næstved kommunes ESDH system Udarbejdelse og opdatering af information Vedligeholdelse af informationssikkerhedsdokumenter og -registreringer Informationssikkerhedspolitikken er udarbejdet af Team servicedesk og IT og er kvalitetssikret af Informationssikkerhedsudvalget, der i udarbejdelsesprocessen har fungeret som styregruppe for ISO27001-projektet. Ændringer i Informationssikkerhedspolitikken besluttes af Økonomiudvalget, mens ændringer i Informationssikkerhedshåndbogen godkendes af direktionen. Ændringer i operationelle procedurer kan foretages i de ansvarlige Centre, afdelinger eller virksomheder. Informationssikkerhedsdokumenter og -registreringer skal være klart identificerede (beskrivelse, titel, dato, forfatter, nummer). Informationssikkerhedsdokumenter og -registreringer skal godkendes inden offentliggørelse Styring af dokumenteret information Håndtering af informationssikkerhedsdokumenter og -registreringer Adgang til informationssikkerhedsdokumenter og -registreringer skal gøres tilgængelige for personer med behov for dette. Informationssikkerhedsdokumenter og -registreringer skal beskyttes på passende måde. Informationssikkerhedsdokumenter og registreringer skal være underlagt versionsstyring. Side 13 af 18
14 8 Drift 8.1 Driftsplanlægning og styring Operationel planlægning af informationssikkerhed skal lave planer for imødegåelse af identificerede risici Informationssikkerhedsudvalget skal planlægge, hvordan de aftalte informationssikkerhedsmål opnås, f.eks. ved anvendelse af Årshjul, kontrolkatalog eller lignende. 8.2 Vurdering af informationssikkerhedsrisici Der gennemføres opfølgning på risikovurderingen mindst en gang om året - eller ved Lovgivningsmæssige, større tekniske eller organisatoriske ændringer - således, at kommunens ledelse kan holdes orienteret om det aktuelle risikobillede. Resultaterne af risikovurderingen eller opfølgningen heraf skal dokumenteres. 8.3 Håndtering af informationssikkerhedsrisici Planer for risikohåndtering På baggrund af risikovurderinger skal der fastlægges planer for imødegåelse af de identificerede risici, Håndteringen af disse risici skal prioriteres og dokumenteres. Side 14 af 18
15 9 Evaluering 9.1 Overvågning, måling, analyse og evaluering Overvågning af effektiviteten af ISMS et Informationssikkerhedskoordinatoren skal kontrollere, at sikkerhedspolitikken er velimplementeret i organisationen og overholdes. Denne gennemgang skal foretages mindst en gang om året, og gennemgangen skal omfatte beskrivelse af årsagen til afvigelser, handlingsplaner, der er nødvendige for at håndtere afvigelserne (korrigerende handlinger) samt en efterfølgende vurdering af effektiviteten af de foranstaltninger, der gennemføres. 9.2 Intern audit Revision af sikkerhedspolitik Der foretages løbende kontrol af, hvorvidt reglerne i Informationssikkerhedshåndbogen samt bilagene i praksis efterleves. Informationssikkerheden kontrolleres og revideres ud fra en konkret vurdering af væsentlighed og risiko. Informationssikkerhedskoordinator er ansvarlig for at kontrollen iværksættes og at kontrollens resultat afrapporteres til direktion og øverste sikkerhedsansvarlige. Kontrollen foretages evt. med ekstern bistand. Med udgangspunkt i information fra Centre, afdelinger og institutioner, har kommunaldirektøren det overordnede ansvar for, at Informationssikkerhedshåndbogen og tilhørende bilag løbende ajourføres. Opgaven er i praksis uddelegeret til Informationssikkerhedskoordinatoren. Ajourføring skal mindst finde sted en gang årligt eller ved større omlægninger i informationsbehandlingen. Intern informationssikkerheds-audit Informationssikkerhedskoordinatoren skal vurdere, om er i overensstemmelse med Informationssikkerhedspolitikken, Informationssikkerhedshåndbogen og tilhørende bilag. 9.3 Ledelsens gennemgang Informationssikkerhedskoordinatoren udmønter Informationssikkerhedspolitikken i de fornødne kontroller og informationssikkerhedstiltag. Hvert år aftales plan for kontrol på informationssikkerhedsområdet. Informationssikkerhedskoordinatoren udvælger i samarbejde med Informationssikkerhedsudvalget konkrete fokusområder, og står for den praktiske gennemførelse og afrapportering. Afrapporteringen fra Informationssikkerhedskoordinatoren skal godkendes i Informationssikkerhedsudvalget Side 15 af 18
16 10 Forbedring 10.1 Afvigelser og korrigerende handlinger Alle Informationsbrugere i kommunen skal være opmærksomme på deres forpligtelser til hurtigst muligt at rapportere informationssikkerhedshændelser til nærmeste leder. Nærmeste leder skal altid underrette Informationssikkerhedskoordinatoren i sådanne tilfælde. Her vil det blive vurderet, om der er tale om en reel informationssikkerhedshændelse og hvilke foranstaltninger, der skal iværksættes. Information om afvigelser fra informationssikkerheden skal på faktuel vis informere berørte parter internt og eksternt om eventuelle sikkerhedshændelser. Øverste Informationssikkerhedsansvarlige skal godkende alle eksterne meddelelser. Opfølgning på afvigelser fra informationssikkerheden It sikkerhedskoordinatoren er ansvarlig for at indsamle statistik for afvigelser på informationssikkerheden. Ved konstatering af brud eller formodede brud på informationssikringsforanstaltninger skal der foretages en vurdering om der er tale om: Ineffektive sikringstiltag Brud på fortrolighed, integritet og tilgængelighed Menneskelige fejl Brud på fysisk sikkerhed Manglende efterlevelse af politikker eller procedurer Brud på logisk adgang Malware, virus eller hacking Driftsforstyrrelser (systemændringer, hardwarefejl mm.) 10.2 Løbende forbedring Løbende forbedringer af informationssikkerheden For at sikre, at ISMS'et til stadighed forbedres, skal iværksætte en proces, der gør det muligt for Informationssikkerhedsudvalget at reagere på resultaterne fra overvågning af informationssikkerheden, intern audit og afvigelser. Side 16 af 18
17 Udarbejdelse og ikrafttrædelse Informationssikkerhedspolitikken er udarbejdet af Team servicedesk og IT og kvalitetssikret af Informationssikkerhedsudvalget, der i udarbejdelsesprocessen har fungeret som styregruppe for ISO27001/ISO27002 projektet. Ændringer i Informationssikkerhedspolitikken besluttes af Økonomiudvalget, mens ændringer i Informationssikkerhedshåndbogen godkendes af direktionen. Ændringer i operationelle procedurer kan foretages i de ansvarlige Centre, afdelinger eller virksomheder. Informationssikkerhedspolitikken er behandlet på direktionen den xx.xx Informationssikkerhedspolitikken er behandlet på MED-hovedudvalgsmødet den xx.xx Informationssikkerhedspolitikken er behandlet i Økonomiudvalget den xx.xx Resultatet af sagsbehandlingen er, at Informationssikkerhedspolitikken er behandlet og endelig politisk godkendt den xx.xx Underskrift og godkendelse Næstved den xx.xx 2018 Næstved den xx.xx 2018 Borgmester Carsten Rasmussen Kommunaldirektør Rie Perry Side 17 af 18
18 Appendiks A Side 18 af 18 IT-Sikkerhedspolitik ISO 27001
IT-SIKKERHEDSPOLITIK UDKAST
IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens
Læs mereIt-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner.
Juni 2011 1 Indhold 1. Indledning 3 2. Formål 4 3. Omfang 5 4. It-sikkerhedsniveau 5 5. It-sikkerhedsbevidsthed 6 6. Overtrædelse af it-sikkerhedspolitikken 6 7. Udarbejdelse og ikrafttrædelse 6 2 1 Indledning
Læs mereSkanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017
Skanderborg Kommune ISMS-regler Informationssikkerhedsregler for hvert krav i ISO 27001:2017 02-04-2018 Indholdsfortegnelse 4 Organisationens kontekst 1 4.1 Forståelse af organisationen og dens kontekst
Læs mereInformationssikkerhedspolitik
Holbæk Kommunes Informationssikkerhedspolitik 2013 Informationssikkerhedspolitik Indhold 1. Indledning 3 2. Formål 3 3. Holdning og principper 4 4. Omfang 4 5. Informationssikkerhedsniveau 5 6. Organisering
Læs mereOrganisering og styring af informationssikkerhed. I Odder Kommune
Organisering og styring af informationssikkerhed I Odder Kommune Indhold Indledning...3 Organisationens kontekst (ISO kap. 4)...3 Roller, ansvar og beføjelser i organisationen (ISO kap. 5)...4 Risikovurdering
Læs mereInformationssikkerhedspolitik Frederiksberg Kommune
Maj 2018 Informationssikkerhedspolitik Frederiksberg Kommune Indledning Informationssikkerhedspolitikken er den overordnede ramme for beskyttelse af information i Frederiksberg Kommune. Kommunen behandler
Læs mereAssens Kommune Sikkerhedspolitik for it, data og information
Assens Kommune Sikkerhedspolitik for it, data og information Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Holdninger og principper... 4 4. Omfang... 4 5. Sikkerhedsbevidsthed,
Læs mereFællesregional Informationssikkerhedspolitik
24. Januar 2018 Side 1/5 Fællesregional Informationssikkerhedspolitik Indhold 1. Formål... 1 2. Organisation... 3 3. Gyldighedsområde... 4 4. Målsætninger... 4 5. Godkendelse... 5 1. Formål Den Fællesregionale
Læs mereFaxe Kommune. informationssikkerhedspolitik
Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en
Læs mereInformationssikkerhedspolitik for Horsens Kommune
Informationssikkerhedspolitik for Horsens Kommune Senest opdateret januar 2016 Indholdsfortegnelse 1. FORMÅL... 3 2. OMFANG OG SIKKERHEDSNIVEAU... 3 3. HOVEDMÅLSÆTNINGER... 4 4. ORGANISERING OG ANSVAR...
Læs mereIndholdsfortegnelse Indledning Formål Omfang Holdninger og principper... 4
Halsnæs Kommune Informationssikkerhedspolitik 2012 Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Omfang... 4 4. Holdninger og principper... 4 5. Sikkerhedsbevidsthed,
Læs mereForslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed
Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.
Læs mereRingkøbing-Skjern Kommune. Informationssikkerhedspolitik
Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...
Læs mereFredericia Kommunes Informationssikkerhedspolitik 1 FREDERICIA KOMMUNE AFDELING TITEL PÅ POWERPOINT
Fredericia Kommunes Informationssikkerhedspolitik 2018 1 FREDERICIA KOMMUNE AFDELING TITEL PÅ POWERPOINT 12-11-2018 Indholdsfortegnelse Indledning Hvad og hvem er omfattet? Ansvar og konsekvens Vision,
Læs mereIT-sikkerhedspolitik S i d e 1 9
IT-sikkerhedspolitik S i d e 1 9 Indhold 1 Læsevejledning... 3 2 Informationssikkerhedspolitik... 3 2.1 INDLEDNING... 3 2.2 SIKKERHEDSNIVEAU... 4 2.3 HOLDNINGER OG PRINCIPPER... 5 2.4 HOVEDMÅLSÆTNINGER
Læs mereINFORMATIONS- SIKKERHEDSPOLITIK
Halsnæs Kommune INFORMATIONS- SIKKERHEDSPOLITIK Vedtaget af Halsnæs Byråd 202. 25-09-207 FORSIDE Halsnæs Kommune Informationssikkerhedspolitik 202 INDLEDNING Denne informationssikkerhedspolitik udgør den
Læs mereRingkøbing-Skjern Kommune. Informationssikkerhedspolitik
Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...
Læs mereInformationssikkerhedspolitik. Frederiksberg Kommune
Informationssikkerhedspolitik Frederiksberg Kommune Indledning Informationssikkerhedspolitikken er den overordnede ramme for beskyttelse af information i Frederiksberg Kommune. Kommunen behandler oplysninger
Læs mereIkast-Brande Kommune. Informationssikkerhedspolitik (efterfølgende benævnt I-Sikkerhedspolitik) Maj 2016 Sag nr. 2015/06550
Ikast-Brande Kommune Informationssikkerhedspolitik (efterfølgende benævnt I-Sikkerhedspolitik) Maj 2016 Sag nr. 2015/06550 Godkendt i Byrådet den 20.06.2016 2 Indhold 1. Indledning... 4 2. Formål... 5
Læs mereFællesregional Informationssikkerhedspolitik
Udbud nr. 2016/S 199-358626 EU-udbud af Cisco UCC i Region Syddanmark Underbilag 13.1 - Fællesregional Informationssikkerhedspolitik Underbilag 13.1 Fællesregional Informationssikkerhedspolitik Side 1/6
Læs mereInformationssikkerhedspolitik for <organisation>
1 Informationssikkerhedspolitik for 1. Formål informationssikkerhedspolitik beskriver vigtigheden af arbejdet med informationssikkerhed i og fastlægger
Læs mereStatus for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2
Status for ændringer Version Dato Navn Bemærkning 1.0 24-04-2007 Vedtaget i Regionsrådet 1.1 13-02-2012 IMT-Informationssikkerhed Tilpasning af terminologi 1.2 15-10-2012 IMT-Informationssikkerhed Rettelse
Læs mereHjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune
Hjørring Kommune Sag nr. 85.15.00-P15-1-17 12-03-2018 Side 1. Overordnet I-sikkerhedspolitik for Hjørring Kommune Indledning Informationssikkerhedspolitikken (I-sikkerhedspolitikken) udgør den overordnede
Læs mereVejledning i informationssikkerhedspolitik. Februar 2015
Vejledning i informationssikkerhedspolitik Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske til:
Læs mereKommunens nuværende politik stammer fra 2008 og bygger på en gammel dansk standard, DS484.
Baggrund Kommunens nuværende politik stammer fra 2008 og bygger på en gammel dansk standard, DS484. Den nationale strategi for cyber- og informationssikkerhed (2014) stiller krav til statslige myndigheder
Læs merePolitik for informationssikkerheddatabeskyttelse
BALLERUP KOMMUNE Dato: 31. maj 2018 Ballerup Kommune Politik for informationssikkerheddatabeskyttelse Politik for databeskyttelse i Ballerup Kommune Denne informationssikkerhedspolitikdatabeskyttelsespolitik
Læs mereInformationssikkerhedspolitik for Sønderborg Kommune
Informationssikkerhedspolitik for Sønderborg Kommune Denne politik er godkendt af Byrådet d. 4. februar 2015 og træder i kraft d. 1. marts 2015 Seneste version er tilgængelig på intranettet 1/8 Indledning
Læs mereOverordnet it-sikkerhedspolitik for Rødovre Kommune
Overordnet it-sikkerhedspolitik for Rødovre Kommune Denne politik er godkendt af kommunalbestyrelsen januar 2016. Og træder i kraft januar 2016. Ved udskrivning af politikken skal du være opmærksom på,
Læs mereIT-sikkerhedspolitik for
Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs
Læs mereINFORMATIONS- SIKKERHEDS- POLITIK
INFORMATIONS- SIKKERHEDS- POLITIK GLOSTRUP KOMMUNE 14. NOVEMBER 2012 Politik Nærværende informationssikkerhedspolitik er en generel administrativ opdatering af version 1.0 især på baggrund af organisationsændringen
Læs merePolitik <dato> <J.nr.>
Side 1 af 5 Politik Informationssikkerhedspolitik for 1. Indledning Denne informationssikkerhedspolitik er den overordnede ramme for informationssikkerheden hos .
Læs mereBallerup Kommune Politik for databeskyttelse
BALLERUP KOMMUNE Dato: 31. maj 2018 Ballerup Kommune Politik for databeskyttelse 85.15.00-P30-1-18 Politik for databeskyttelse i Ballerup Kommune Denne databeskyttelsespolitik er den overordnede ramme
Læs merePSYKIATRIFONDENS Informationssikkerhedspolitik
PSYKIATRIFONDENS Informationssikkerhedspolitik Indhold Indledning... 3 Formål... 3 Omfang og ansvar... 3 Sikkerhedsniveau... 4 Beredskab... 4 Sikkerhedsbevidsthed... 5 Brud på informationssikkerheden...
Læs mereRegion Hovedstadens Ramme for Informationssikkerhed
Region Hovedstadens Ramme for Informationssikkerhed Indhold Region Hovedstadens ramme for Informationssikkerhed... 3 1 Formål... 3 2 Gyldighedsområde/omfang... 4 3 Målsætninger... 4 4 Informationssikkerhedsniveau...
Læs mereOverordnet Informationssikkerhedspolitik
Overordnet Informationssikkerhedspolitik Denne politik er godkendt af byrådet d. 4. juni 2018 Ved udskrivning af politikken skal du være opmærksom på, at du anvender senest godkendte version. Acadre sagsnr.
Læs mereOverordnet Informationssikkerhedsstrategi. for Odder Kommune
Overordnet Informationssikkerhedsstrategi for Odder Kommune Indhold Indledning...3 Mål for sikkerhedsniveau...3 Holdninger og principper...4 Gyldighed og omfang...5 Organisering, ansvar og godkendelse...5
Læs mereMedComs informationssikkerhedspolitik. Version 2.2
MedComs informationssikkerhedspolitik Version 2.2 Revisions Historik Version Forfatter Dato Bemærkning 2.2 20.02.17 MedComs Informationssikkerhedspolitik Side 2 af 7 INDHOLDSFORTEGNELSE 1 INDLEDNING...
Læs mereOverordnet informationssikkerhedsstrategi
Overordnet informationssikkerhedsstrategi 1/2018 2 Indhold Indledning...4 Mål for sikkerhedsniveau...5 Holdninger og principper...5 Gyldighed og omfang...6 Organisering, ansvar og godkendelse...7 Sikkerhedsbevidsthed...7
Læs mereInformationssikkerhedspolitik For Aalborg Kommune
Click here to enter text. Infor mationssi kkerhedspoliti k 2011 «ed ocaddressci vilcode» Informationssikkerhedspolitik For Aalborg Kommune Indhold Formål... 3 Gyldighedsområde... 3 Målsætning... 3 Sikkerhedsniveau...
Læs mereAabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09
Aabenraa Kommune Informationspolitik : 2014-04-09 Aabenraa Kommune 29. august 2012 Informationspolitik Overordnet Informationssikkerhedspolitik for Aabenraa Kommune Velkommen til Aabenraa Komune s overordnede
Læs mereHalsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune.
Informationssikkerhedspolitik Oktober 2015 Side 1 af 5 sider Baggrund Ved informationssikkerhed forstås de samlede foranstaltninger til at sikre Fortroligheden, Tilgængeligheden og Integriteten på kommunens
Læs mereOVERORDNET IT-SIKKERHEDSPOLITIK
OVERORDNET IT-SIKKERHEDSPOLITIK Indholdsfortegnelse 1. Indledning....3 2. Formål...3 3. Sikkerhedspolitik...3 4. Dækningsormåde...4 5. Sikkerhedsniveau....4 6. Organisation og ansvar...4 7. Opfølgning...5
Læs mereInformationssikkerhedspolitik. for Aalborg Kommune
Informationssikkerhedspolitik for Aalborg Kommune Indhold Formål... 2 Gyldighedsområde... 2 Målsætning... 2 Sikkerhedsniveau... 3 Organisation og ansvarsfordeling... 3 Kontrol... 4 Sikkerhedsbrud og sanktionering...
Læs mereForfatter: Carsten Stenstrøm Mail: Telefon: IT Amerika Plads København Ø
spolitik 28.02.2017 Banedanmark IT Amerika Plads 15 2100 København Ø www.banedanmark.dk Forfatter: Carsten Stenstrøm Mail: cstr@bane.dk Telefon: 41881976 Indhold Side 1 spolitik 4 1.1 Indledning 4 1.2
Læs mereKontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1
Tilgængelighed, fortrolighed og integritet. Høj kvalitet i informationssikkerhed og dokumentation Hvilken betydning har principper og anbefalinger i sikkerhedsstandarden ISO 27001 for kvaliteten af dokumentationen?
Læs mereOrganisering og styring af Informationssikkerhed
Organisering og styring af Informationssikkerhed Version 1/2018 Indhold 1. Indledning...3 2. Organisationens kontekst (ISO kap. 4)...4 2.1. Anvendelsesområdet for informationssikkerhedsregler...5 3. Roller,
Læs mereAssens Kommune Politik for databeskyttelse og informationssikkerhed
Assens Kommune Politik for databeskyttelse og informationssikkerhed Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 4 3. Holdninger og principper... 4 4. Omfang... 5 5. Sikkerhedsbevidsthed,
Læs mereVer. 1.0 GENTOFTE KOMMUNES INFORMATIONSSIKKERHEDSPOLITIK
GENTOFTE KOMMUNES INFORMATIONSSIKKERHEDSPOLITIK 1 INDHOLDSFORTEGNELSE 30-04-2018 1. Indledning... 3 1.1. Formål og målsætning... 3 1.2. Gyldighedsområde... 3 1.3. Godkendelse... 3 1.4. Gentofte Kommunes
Læs mereInformationssikkerhedspolitik for Region Midtjylland
Regionshuset Viborg Regionssekretariatet Skottenborg 26 Postboks 21 DK-8800 Viborg Tel. +45 8728 5000 kontakt@rm.dk www.rm.dk Informationssikkerhedspolitik for Region Midtjylland 1. Indledning Denne informationssikkerhedspolitik
Læs mereDatabeskyttelsespolitik for DSI Midgård
Databeskyttelsespolitik for DSI Midgård Overordnet organisering af personoplysninger DSI Midgård ønsker som hovedregel at anvende databehandlersystemer og opbevaring af personoplysninger hos eksterne leverandører,
Læs mereSOPHIAGÅRD ELMEHØJEN
Databeskyttelsespolitik for Sophiagård Elmehøjen Overordnet organisering af personoplysninger Sophiagård Elmehøjen ønsker som hovedregel at anvende databehandlersystemer og opbevaring af personoplysninger
Læs mereOverordnet It-sikkerhedspolitik
Overordnet It-sikkerhedspolitik Denne politik er godkendt af byrådet d. x. måned 2014 Ved udskrivning af politikken skal du være opmærksom på, at du anvender senest godkendte version. Acadre sags nr. 14-8285
Læs mereÅrshjul. Kort sagt beskrives og planlægges mange af de opgaver, der efterfølgende kontrolleres/følges op på i årshjulet, i årsplanen.
Årshjul Formål For at styre informationssikkerheden og for at sikre, at ledelsen har de rette styringsværktøjer, gentages en række aktiviteter løbende år efter år, men andre er enkeltstående aktiviteter.
Læs merePolitik for Datasikkerhed
Politik for Datasikkerhed i Billund Vand & Energi A/S Oktober 2015 Indhold 1 Indledning... 2 1.1 Værdier... 2 1.2 Data... 2 2 Formål... 3 3 Holdninger og principper... 4 4 Omfang... 5 5 Sikkerhedsniveau...
Læs mereIT- og informationssikkerheds- politik (GDPR) For. Kontrapunkt Group
IT- og informationssikkerheds- politik (GDPR) For Kontrapunkt Group Versionshistorik Version Beskrivelse Dato Udarbejdet af V. 0.1 Initiel draft 26 Oktober 2018 Kontrapunkt Group V.0.2 1. Edition 13. November
Læs mereInformationssikkerhedspolitik for Vejen Kommune
Informationssikkerhedspolitik for Vejen Kommune Denne politik er godkendt af byrådet d. xx. Og træder i kraft d. xx. Seneste version er tilgængelig på intranettet. Indledning Vejen Byråd fastlægger med
Læs mere1. Introduktion til SoA Indhold og krav til SoA 4
Indhold 1. Introduktion til SoA 3 2. Indhold og krav til SoA 4 3. Roller og proces 6 3.1 Dokumentejer og beslutningstager 6 3.2 Inputgivere 6 3.3 Godkender 6 4. Valg af sikringsforanstaltninger 8 4.1 Tilvalgte
Læs mereInformationssikkerhedspolitik. DokumentID / Dokumentnr /
Regionen - Tværregionale dokumenter - 1 Ledelse - 1.11 Informationssikkerhed Dokumentbrugere: Alle Læseadgang: Tværregionale dokumenter Udskrevet er dokumentet ikke dokumentstyret. Forfatter: Søren Lundgaard
Læs mereGuide til SoA-dokumentet - Statement of Applicability. August 2014
Guide til SoA-dokumentet - Statement of Applicability August 2014 Guide til SoA-dokumentet - Statement of Applicability Udgivet august 2014 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet
Læs mereVejledning i informationssikkerhedsstyring. Februar 2015
Vejledning i informationssikkerhedsstyring (ISMS) Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt
Læs merePolitik for informationssikkerhed 1.2
Fredensborg Kommune Politik for informationssikkerhed 1.2 23-11-2017 Informationssikkerhedspolitik for Fredensborg Kommune Informationssikkerhedspolitik Sikkerhedspolitikken skal til enhver tid understøtte
Læs mereStruktureret Compliance
Struktureret Compliance FRA DEN SURE GAMLE MAND. Compliance, Quality og ControlManager - del1 2 DEL 1 STRUKTURERET COMPLIANCE (INFORMATIONSSIKKERHED) DEL 2 COMPLIANCE OG DE MANGE EKSTERNE KRAV DEL 1 STRUKTURERET
Læs mereLANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED
LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED DAGSORDEN _ Introduktion til informationssikkerhed _ Hvad går det egentlig ud på _ Hvilke kerneopgaver er der _ Hvor langt er vi nået? _ Hvilke
Læs mereDATABESKYTTELSESPOLITIK
DATABESKYTTELSESPOLITIK for Opholdsstedet Bustrup Opholdsstedet Udsigten Opholdsstedet Jupiter Dagskolen Bustrup 1. Overordnet håndtering af personoplysninger Bustrup benytter både eksterne løsninger såvel
Læs merePOLITIK FOR INFORMATIONSSIKKERHED
POLITIK FOR INFORMATIONSSIKKERHED Indledning Dette er Statsbibliotekets politik for informationssikkerhed, som skal beskrive: Formål og baggrund om Statsbibliotekets hovedopgaver Mål og afgrænsning af
Læs mereIT-centeret. It-sikkerhedshåndbog. Næstved Kommune Sagsbehandler: JJ Tlf. 5577 5300 Sagsnr: Doknr: www.naestved.dk. 20. april 2009
It-sikkerhedshåndbog IT-centeret Næstved Kommune Sagsbehandler: JJ Tlf. 5577 5300 Sagsnr: Doknr: www.naestved.dk 20. april 2009 Version 1.3 af 20. april 2009 Indhold 1. Indledning og formål 2 2. Ansvar
Læs mereDatabeskyttelsespolitik
Databeskyttelsespolitik Overordnet organisering af personoplysninger Den Miljøterapeutiske Organisation herunder Dagbehandlingsstilbuddet Hjembækskolen (herefter tilsammen benævnt som Den Miljøterapeutiske
Læs mereDenne publikation er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks København K Telefon dk
Denne publikation er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks 2193 1017 København K Telefon 33 92 52 00 digst@digst dk Design: Bgraphic Foto: Colourbox Elektronisk publikation: ISBN:
Læs mereKoncessionskontrakt vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Kultur- og Fritidsforvaltningen.
vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Bilag 9b IT-sikkerhedsdokumenter Bilag 9b 1 1 INDHOLDSFORTEGNELSE 1. IT-sikkerhedspolitik for Københavns Kommune
Læs mereDatabeskyttelsespolitik for Netværket Smedegade, en social institution, der primært hoster data og programmer hos databehandlere
Databeskyttelsespolitik for Netværket Smedegade, en social institution, der primært hoster data og programmer hos databehandlere Overordnet organisering af personoplysninger Netværket Smedegade ønsker
Læs mereIndholdsfortegnelse. Generelt 3. Formål 3. Omfang 4. Sammenhæng med IT- og forretningsstrategier 4
Indholdsfortegnelse Generelt 3 Formål 3 Omfang 4 Sammenhæng med IT- og forretningsstrategier 4 Risikostyring og sikring af informationsaktiver og systemer 5 Overvågning af risici og regionens IT-sikkerhedsniveau
Læs mereOverordnet organisering af personoplysninger
Databeskyttelsespolitik for Hertha Bofællesskaber & Værksteder Overordnet organisering af personoplysninger Hertha Bofællesskaber & Værksteder ønsker som hovedregel, at anvende digitale databehandlingssystemer
Læs mereKursus: Ledelse af it- sikkerhed
Kursus: Ledelse af it- sikkerhed Neupart tilbyder en kursusrække, som vil sætte dig i stand til at arbejde struktureret efter best practice og de internationale standarder for informationssikkerhed. Alle
Læs mereNy bekendtgørelse om krav til sikkerhedsledelsessystemer for virksomheder, der skal opnå sikkerhedscertifikat eller sikkerhedsgodkendelse
Jernbanesession 10 Ny bekendtgørelse om krav til sikkerhedsledelsessystemer for virksomheder, der skal opnå sikkerhedscertifikat eller sikkerhedsgodkendelse Trafik- og Byggestyrelsens Sikkerhedskonference
Læs mere(hver for sig kaldet en "Part" og samlet "Parterne")
Databehandleraftale Mellem CVR-nr.: og Brunata A/S CVR-nr. 22166514 Vesterlundvej 14 2730 Herlev Danmark ("Brunata" eller Databehandleren ) (hver for sig kaldet en "Part" og samlet "Parterne") er indgået
Læs mereHovmosegaard - Skovmosen
Databeskyttelsespolitik for Hovmosegaard STU og bostedet Skovmosen, sociale institutioner, der primært hoster data og programmer hos databehandlere. Overordnet organisering af personoplysninger Hovmosegaard
Læs mereFællesregional Informationssikkerhedspolitik
Fællesregional Informationssikkerhedspolitik Indhold 1. Formål...1 2. Organisation...2 3. Gyldighedsområde...3 4. Målsætninger...3 5. Godkendelse...4 1. Formål Den Fællesregionale Informationssikkerhedspolitik
Læs mereArbejdsmiljøcertificering Selvevaluering i forhold til DS/OHSAS og bek. 87
Arbejdsmiljøcertificering Selvevaluering i forhold til DS/OHSAS 18001 og bek. 87 Punkt Emne Bemærkninger Handlingsplan 4.1 Generelle krav Organisationen skal etablere og vedligeholde et arbejdsmiljøledelses-system
Læs mereIt-sikkerhedspolitik for Københavns Kommune
Københavns Kommune Koncernservice It-sikkerhedspolitik for Københavns Kommune 2015-02-05 It-sikkerhedshåndbog for Københavns Kommune It-sikkerhedspolitik for Københavns Kommune Publiceret: 2014-07-03 Mål
Læs mereIT-sikkerhedspolitik. for Social- og Sundhedsskolen Esbjerg
IT-sikkerhedspolitik for Social- og Sundhedsskolen Esbjerg Indhold IT-sikkerhedspolitik... 2 Formål... 2 Grundprincipper for sikkerhedsarbejdet... 2 Funktionsadskillelse og adgangsstyring... 2 Sikkerhedsforanstaltninger...
Læs mereBEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen
BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni 2019 Ministerium: Undervisningsministeriet Journalnummer: Undervisningsmin., Styrelsen for It og Læring, j.nr. 18/13045 Senere ændringer til
Læs mereOverordnet organisering af personoplysninger
Databeskyttelsespolitik for Friskolen og Idrætsefterskolen UBBY Overordnet organisering af personoplysninger Friskolen og Idrætsefterskolen UBBY ønsker som hovedregel, at anvende digitale databehandlingssystemer
Læs mereStandard for offentlig revision nr. 2 Rigsrevisionens kvalitetsstyring SOR 2 SOR 2. Standarderne SOR 2. for offentlig
Standard for offentlig revision nr. 2 Rigsrevisionens kvalitetsstyring SOR 2 SOR 2 Standarderne for offentlig SOR 2 SOR 2 STANDARD FOR OFFENTLIG REVISION NR. 2 (VERSION 1.1) 1 Rigsrevisionens kvalitetsstyring
Læs mereProgrambeskrivelse. 7.2 Øget sikkerhed og implementering af EU's databeskyttelsesforordning. 1. Formål og baggrund. August 2016
Programbeskrivelse 7.2 Øget sikkerhed og implementering af EU's databeskyttelsesforordning 1. Formål og baggrund Afhængigheden af digitale løsninger vokser, og udfordringerne med at fastholde et acceptabelt
Læs mereSikkerhedsvurderinger
Sikkerhedsvurderinger CERTA har specialiseret sig i at yde uafhængig og sagkyndig bistand til virksomheder i forbindelse med håndteringen af sikkerhedsmæssige trusler og risici. Et væsentlig element i
Læs mereHillerød Kommune. It-sikkerhedspolitik Bilag 8. Kontrol og adgang til systemer, data og netværk
It-sikkerhedspolitik Bilag 8 Kontrol og adgang til systemer, data og netværk November 2004 Indholdsfortegnelse 1 Formål...3 2 Ansvar og roller...3 2.1 Byrådet...3 2.2 Kommunaldirektøren/ Direktionen...3
Læs mereRapport. Anbefaling. Sikkerhedstjekket 2016 Rådet for Digital Sikkerhed
Rapport Anbefaling God IT-sikkerhed er god forretning. En brist i jeres IT-sikkerhed kan koste din virksomhed mange penge i genopretning af dine systemer, data og ikke mindst dit omdømme hos dine kunder
Læs mereDS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484
DS 484:2005 Standard for informationssikkerhed -Korte uddrag fra DS484 Informationssikkerhedsstrategi Ledelsen skal godkende en skriftlig informationssikkerhedspolitik, som skal offentliggøres og kommunikeres
Læs mereStruktureret compliance. 9 måneder med GDPR-compliance krav hvordan er det gået?
Struktureret compliance 9 måneder med GDPR-compliance krav hvordan er det gået? Introduktion Agenda Kort om Siscon og Jesper GDPR projektet OVERSTÅET eller tid til eftersyn!!? Eftersyn AS-IS GAPs? Struktur
Læs mereVejledning for tilsyn med databehandlere
Vejledning for tilsyn med databehandlere Dokumentoplysninger Udarbejdet af Emneområde Formål Marianne Bo Krowicki Databehandlere Dokumentet beskriver hvordan der skal foretages tilsyn med databehandlere
Læs merePersondatapolitikken er godkendt på Nykøbing Katedralskoles bestyrelsesmøde den [bliver taget op på bestyrelsesmøde i september 2018].
Baggrund for persondatapolitikken Nykøbing Katedralskoles persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse
Læs mereAarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014
Aarhus Kommune IT-sikkerhedspolitik Politik 25-04-2014 Indholdsfortegnelse Politik 1 Indledning 1 Formål 1 Politikkens omfang 2 Ledelsesansvar 2 IT-sikkerhedsorganisationen 2 IT-sikkerhedsniveau 3 IT-sikkerhedshåndbogen
Læs mereBilag 1 Databehandlerinstruks
Bilag 1 Databehandlerinstruks 1 1. Databehandlerens ansvar Databehandling omfattet af Databehandleraftalen skal ske i overensstemmelse med denne instruks. 2. Generelt 2.1 Databehandleren skal som minimum
Læs mereFormålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Ribe Katedralskole.
Baggrund for persondatapolitikken Ribe Katedralskoles persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse
Læs merePersondatapolitik for Aabenraa Statsskole
Persondatapolitik for Aabenraa Statsskole Baggrund for persondatapolitikken s persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af
Læs mereKOMBIT sikkerhedspolitik
KOMBIT sikkerhedspolitik Indholdsfortegnelse INDLEDNING 3 DEL 1: ORGANISERING, ROLLER OG ANSVAR 4 DEL 2: POLITIK FOR INFORMATIONSSIKKERHED 5 DEL 3: RETNINGSLINJER OG KONTROLMÅL TIL LEVERANDØREN 6 5. INFORMATIONSSIKKERHEDSPOLITIKKER
Læs mereIT sikkerhedspolitik for Business Institute A/S
IT sikkerhedspolitik for Business Institute A/S Indholdsfortegnelse OFFENTLIG SIKKERHEDSPOLITIK FOR BUSINESS INSTITUTE... 2 1. ANVENDELSESOMRÅDE... 2 Indledning og formål... 2 Roller og ansvarsområder...
Læs mereHos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke:
ISO 9001:2015 Side 1 af 8 Så blev den nye version af ISO 9001 implementeret. Det skete den 23. september 2015 og herefter har virksomhederne 36 måneder til at implementere de nye krav i standarden. At
Læs merePersondatapolitikken er godkendt på Horsens HF & VUCs bestyrelsesmøde den 14. juni 2018.
Persondatapolitik for Horsens HF & VUC Baggrund for persondatapolitikken Horsens HF & VUCs persondatapolitik er udarbejdet i overensstemmelse med kravene i Europa-Parlamentets og Rådets forordning (EU)
Læs merePersondatapolitik. for Social- og Sundhedsskolen Esbjerg
Persondatapolitik for Social- og Sundhedsskolen Esbjerg Indhold Baggrund for persondatapolitikken... 2 Formål... 2 Definitioner... 2 Ansvarsfordeling... 3 Øverste ledelse (bestyrelsen)... 3 Daglig ledelse
Læs mere