Kontrakt om Drift, Videreudvikling, Support af tilskuds- og kontroladministrative

Transkript

1 Kontrakt om Drift, Videreudvikling, Vedligeholdelse og Support af tilskuds- og kontroladministrative systemer m.fl. Bilag 7 Informationssikkerhed 16. marts 2018 Version 1.0 Side 1/15

2 [Vejledning til tilbudsgiver: Bilaget er i sin helhed at betragte som et mindstekrav (MK). Bilaget skal ikke udfyldes af tilbudsgiver.] Side 2/15

3 Contents 1. INDLEDNING (MK) GENERELT (MK) RAPPORTERING AF SIKKERHEDSHÆNDELSER (MK) KLASSIFIKATION AF INFORMATION (MK) SERVICE DESK-SYSTEM (MK) LEVERANDØRENS MEDARBEJDERE (MK) SIKKERHED VED TRANSMISSION AF OPLYSNINGER (MK) SIKKERHED VED DELTE SERVICES (MK) ADMINISTRATION AF KRYPTERINGSNØGLER (MK) NETVÆRKSSIKKERHED (MK) LEVERANDØRENS OPLYSNINGSPLIGT OG MEDVIRKEN TIL EKSTERN KONTROL (MK) BESKYTTELSE MOD MALWARE OG ANDEN KOMPROMITTERING (MK) DRIFT AF APPLIKATIONER OG DATABASER (MK) HÅNDTERING AF BRUGT UDSTYR (MK) TRANSPORT AF DATAMEDIER (MK) PLACERING AF DATA (MK) FYSISK SIKKERHED (MK) BRANDSIKKERHED (MK) SIKRING IMOD YDRE PÅVIRKNINGER (MK) SIKKERHED I SIKRE OMRÅDER (MK) VEDLIGEHOLDELSE AF UDSTYR (MK) LEVERANDØRENS BESKYTTELSE AF INFORMATION (MK) KAPACITETSSTYRING (MK) TEST- OG UDVIKLINGSMILJØER (MK) SÅRBARHEDSSTYRING (MK) Side 3/15

4 1. INDLEDNING (MK) I dette bilag gives en gennemgang af de krav, der stilles til Leverandøren vedr. informationssikkerhed. Kundens sikkerhedspolitikker tager udgangspunkt i ISO standarden. Kunden blev i september 2016 certificeret efter ISO standarden. Leverandøren skal underskrive Underbilag 7A i forbindelse med indgåelsen af denne Kontrakt, jf. Kontraktens punkt 7.2. Til bilaget findes følgende underbilag: Underbilag 7A: Databehandleraftale. Side 4/15

5 2. GENERELT (MK) 2.1 Leverandøren skal have skriftelige politikker og procedurer for Leverandørens informationssikkerhed inkl. de i dette dokument nævnte politikker, procedurer og instrukser. Leverandøren skal sikre og kunne dokumentere, at politikker, procedurer og instrukser overholdes. 2.2 Sikkerhedsniveauet i forhold til de ydelser, som Leverandøren udfører for Kunden, skal fastlægges af Kunden ud fra Kundens risikovurdering af interne og eksterne trusler, samt kritikaliteten af opgaverne. 2.3 I forbindelse med Overtagelses- og Afklaringsfasen skal det klarlægges, om og hvornår der er behov for indlæsning og udlæsning af data, og der skal etableres instrukser og procedurer, der om relevant sikrer godkendelse af og korrekt udførelse af operationerne. 2.4 Leverandøren skal have en kontaktperson, som Kunden kan kontakte omkring informationssikkerhedsmæssige spørgsmål. 2.5 Leverandørens medarbejdere, der arbejder på Kundens lokation, skal overholde Kundens regler om informationssikkerhed. Leverandøren er ansvarlig over for Kunden mht. at Leverandørens medarbejdere overholder retningslinjerne. 2.6 Adgang til lokaler, hvori der arbejdes med Kundens informationer, skal være beskyttet mod uautoriseret adgang. 2.7 Procedurer for sikker udvikling baseret på kodestandarder eller fremgangsmåder, der højner sikkerheden af kode, skal anvendes. 3. RAPPORTERING AF SIKKERHEDSHÆNDELSER (MK) 3.1 Leverandøren skal have en procedure for rapportering om, og håndtering af informationssikkerhedshændelser. Kundens IT-ledelse og Informationssikkerhedsfunktion skal orienteres hurtigst muligt om sikkerhedshændelser, der har betydning for Kunden. Informationssikkerhedshændelser kan være brud på informationers fortrolighed, herunder læk af, uautoriseret adgang til, eller bevidst ændring eller destruktion af information. Under informationssikkerhedshændelser hører også hændelser, der udgør en trussel for leverandørens IT-miljø, samt kriminelle forhold. Eksempler på informationssikkerhedshændelser er: Læk af fortrolige eller følsomme oplysninger, læk af cprnumre, bevidst såvel som utilsigtet uautoriseret adgang til data eller systemer, kompromittering af passwords, angreb af computervirus og anden malware, Denial of Ser- Side 5/15

6 vice-angreb, hacking-angreb, fremmedes bevidste eller utilsigtede indtrængen på en af Kundens lokationer og tyveri af udstyr. 4. KLASSIFIKATION AF INFORMATION (MK) 4.1 Kunden har regler for mærkning af visse former for information, der fremsendes på mail. Disse regler gælder ikke for Leverandøren men Parterne i fælleskab aftaler metode for nærværende Kontrakt. Leverandøren kan imidlertid modtage mærkede mails fra Kunden, og skal være opmærksom på at håndtere disse i overensstemmelse med Kundens informationssikkerhedskrav for de pågældende informationer. 4.2 Information, der tilhører Kunden eller er relevant for Leverandørens opgave for Kunden, skal håndteres efter et klassifikationssystem, der sikrer, at informationen håndteres efter dens sikkerhedskrav. Der kan enten være tale om, at Leverandøren anvender Kundens klassifikationssystem, eller om, at Leverandørens eget system anvendes og mappes op imod Kundens. 5. SERVICE DESK-SYSTEM (MK) 5.1 Hvis Leverandøren anvender eget Service Desk-system til løsning af sine opgaver for Styrelsen, er følgende krav gældende: Adgangskoder skal være komplekse og mindst være 8 tegn lange. De skal ligeledes være komplekse, dvs. bruge 3 ud af 4 tegntyper. Systemet skal stoppe for pålogningsforsøg efter et antal mislykkede forsøg på login. Fejlslagne logonforsøg skal logges. Ved fejlslagen logon må systemet må ikke oplyse, om det er password eller brugerident, der er forkert. Ved pålogning fra internettet må der ikke benyttes brugeridenter, der er enslydende med, eller afledt af brugeridenter hos Kunden, eksempelvis adresse. Der må heller ikke benyttes automatiseret pålogning med AD-credentials, med mindre dette godkendes af Kundens Informationssikkerhedsfunktion. Der skal altid anvendes 2 faktor autentifikation, hvis der kan logges på fra internettet. Passwords skal skiftes hver 3. måned. Delte brugerkonti må ikke benyttes. Der skal være logning, som registrerer oprettelser, ændringer og sletning af brugere. Leverandøren skal sikre, at brugere løbende oprettes og især at de efterfølgende nedlægges, når de ikke længere har behov for at benytte løsningen. Der skal fore- Side 6/15

7 tages en generel kontrol mindst hvert ½ år af, at brugerne på løsningen er de rigtige. Leverandøren skal have en formel procedure, der beskriver, hvordan brugeradgange oprettes, løbende styres og periodisk kontrolleres. Oprettelse af brugere hos Kunden skal godkendes af Kunden. Det skal være muligt at danne lister over brugere og deres rettigheder. Listen skal kunne eksporteres ud af systemet i form af en kommasepareret fil. 5.2 Leverandøren skal sikre, at der ikke er andre af Leverandørens kunder, der får adgang til data vedrørende Kunden i Service Desk-systemet. 6. LEVERANDØRENS MEDARBEJDERE (MK) 6.1 Alle medarbejdere hos Leverandøren, der er beskæftiget med opgaver hos Kunden, skal have en ren straffeattest. 6.2 Leverandøren skal foretage efterprøvning af alle jobkandidaters baggrund før ansættelse. Efterprøvningen skal omfatte kontrol af jobkandidatens identitet, uddannelsesmæssige kvalifikationer samt erhvervsmæssige baggrund. 6.3 Leverandøren sikrer, at alle medarbejder, der er beskæftiget med opgaver hos Kunden, har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt. Leverandøren skal skriftligt oplyse medarbejderne om deres ansvar i forhold til informationssikkerhed og forpligtelse til at sætte sig ind i og overholde Leverandørens sikkerhedspolitikker og øvrige regler af relevans for informationssikkerhed. 6.4 Leverandøren skal skriftligt oplyse medarbejderne om de informationssikkerhedsansvar og -forpligtelser, som gælder efter ansættelsens ophør eller ændring, herunder tavshedspligt. 6.5 Der skal være medarbejdertræning og awareness-kampagner ift. informationssikkerhed mindst årligt for Leverandørens medarbejdere. 6.6 Nærmeste leder skal ved en medarbejders opsigelse eller fratræden foretage en vurdering af risikoen for at medarbejderen vil kunne misbruge adgangsrettigheder eller påføre Kunden skade i opsigelses- eller fratrædelsesperioden og i givet fald vurdere muligheden for øjeblikkelig fritstilling. 6.7 Denne bestemmelse gælder for Leverandørens medarbejdere, der arbejder for Kunden på Kundens adresse. Ved en medarbejders fratrædelse er Leverandøren forpligtet til hurtigst muligt at meddele dette til Kunden. Leverandøren er desuden forpligtet til at sikre, at evt. udleverede effekter, der tilhører Kunden, afleveres. Side 7/15

8 7. SIKKERHED VED TRANSMISSION AF OPLYSNINGER (MK) 7.1 Alle informationer, der udveksles mellem Leverandøren og Kunden, skal som udgangspunkt udveksles via en krypteret forbindelse eller på krypterede medier. Evt. behov for ukrypteret informationsudveksling skal klarlægges i Overtagelses- og Afklaringsfasen og godkendes af Kundens informationssikkerhedsfunktion. Der stilles ikke krav om brug af digital signering af meddelelser. 8. SIKKERHED VED DELTE SERVICES (MK) 8.1 Hvis Kunden deler it-infrastruktur med andre af Leverandørens kunder, skal Leverandøren sikre, at kompromittering hos en anden kunde ikke kan føre til kompromittering af Kunden. 9. ADMINISTRATION AF KRYPTERINGSNØGLER (MK) 9.1 Hvis Leverandøren er ansvarlig for krypteringsløsninger som del af aftaleforholdet, skal Leverandøren have en procedure, der sikrer administrationen af krypteringsnøglerne i hele deres livscyklus. Proceduren skal beskrive nøglernes anvendelse, generering, lagring, arkivering og backup, reetablering, distribution, inddragelse, udveksling og destruktion. 10. NETVÆRKSSIKKERHED (MK) 10.1 Hvis Leverandøren har løsninger, der tillader Leverandørens medarbejdere, kunder eller samarbejdspartnere at logge på systemer og/eller netværk hos Leverandøren, skal der anvendes 2-faktorlogin og benyttes en krypteret forbindelse Kun et fåtal af Leverandørens interne administratorer må have adgang til det administrationspunkt, hvorfra Leverandørens netværk administreres. Kunderne må ikke have adgang. Adgang til Leverandørens netværk må kun gives i det omfang, at der er et driftsmæssigt behov Tværgående systemer, som har adgang til andre systemer, som eksempelvis antivirus og backup, skal adskilles i fysisk adskilte systemer, der håndterer hhv. internt og eksternt eksponerede systemer Leverandøren skal udføre og dokumentere styring af sit netværk. Netværksstyringen skal sikre følgende: At autentificering af adgangen til netværket sker sikkert. Side 8/15

9 At kontrollen af perimeteren via firewall en fungerer efter hensigten og kun giver de adgange, der eksplicit er besluttet. 11. LEVERANDØRENS OPLYSNINGSPLIGT OG MEDVIRKEN TIL EKS- TERN KONTROL (MK) 11.1 Leverandøren har fuld oplysningspligt omkring sin overholdelse af kravene i denne aftale og om andre forhold af relevans for Kunden. Leverandøren skal medvirke til, at Kunden inden aftaleindgåelsen kan vurdere Leverandørens sikkerhedsniveau, og efter aftaleindgåelsen følge op på Leverandørens overholdelse af sikkerhedskrav Kunden udfører den risikostyring, der er besluttet af Kundens ledelse. Leverandøren skal på anmodning levere input om sine forhold til brug for Kundens risikostyring eller til belysning af Kundens risikobillede Kunden er et akkrediteret Betalingsorgan for EU-finansierende støttemidler til fødevareerhvervene. Kunden er i den forbindelse underlagt et tilsyn fra EU omkring sin opgavevaretagelse. Dette tilsyn omhandler også informationssikkerhed og giver sig konkret udtryk i EU-krav om udarbejdelse af revisionsrapporter og nu også om opretholdelse af en ISO certificering og dermed udarbejdelse af ISO auditrapporter. Leverandøren skal efterkomme krav om medvirken i de IT-revisioner eller audits, der til enhver tid kræves af EU eller af andre myndigheder Leverandøren skal årligt få udarbejdet en ISAE 3402 type 2 revisionsrapport, dækkende hele året. Rapporten skal omfatte alle de ydelser, som Leverandøren udfører for Kunden. Det skal fremgå af rapporten, hvilke kontroller og tests revisorerklæringen er baseret på, og hvilke tekniske områder, revisionen har dækket ISAE-rapporten skal udleveres til Kunden, når Leverandøren har modtaget dem. 12. BESKYTTELSE MOD MALWARE OG ANDEN KOMPROMITTERING (MK) 12.1 Leverandøren skal have procedurer samt teknisk løsning for at sikre, at applikationer, der installeres og anvendes, er sikkerhedsgodkendte (white-list) Leverandørens udstyr skal beskyttes mod skadeligt software ved at installere antivirus og spamfilter og holde dette programmel opdateret. Side 9/15

10 13. DRIFT AF APPLIKATIONER OG DATABASER (MK) 13.1 Leverandøren skal have funktionsadskillelse mellem Drift og Vedligehold/Videreudvikling Leverandøren skal have procedurer for vurdering, test og implementering af sikkerhedsopdateringer til standardprogrammel. Procedurerne skal sikre, at fx operativsystemer og databaser løbende opdateres med alle relevante, kritiske sikkerhedsopdateringer Leverandøren skal sikre, at operativsystemer og 3. partsprodukter i Leverandørens miljø om relevant patches til seneste patch level ud fra en vurdering af væsentlighed, trusselsniveau og risiko. Kritiske sikkerhedsopdateringer skal foretages uden unødigt ophold Leverandøren skal foretage opdateringer af applikationer efter Kundens anvisning Leverandøren skal foretage overvågning af applikationerne og samspillet med den underliggende software og hardwareinfrastruktur Dokumentation for gennemført opdatering af standardprogrammel skal fremsendes til kunden kvartalsvist Procedurerne for sikkerhedsopdatering skal tilrettelægges således, at risikoen for fejl i forbindelse med opdatering minimeres og at opdateringer kan rulles tilbage i tilfælde af fejl Advarsler angående vira skal løbende håndteres af Leverandøren. Såfremt der er tale om en sikkerhedshændelse hos Leverandøren, skal Kunden straks orienteres Software må kun eksekveres i Kundens IT-miljøer efter aftale med Kunden. 14. HÅNDTERING AF BRUGT UDSTYR (MK) 14.1 For brugt udstyr, der er anvendt til opgaver for Kunden, gælder følgende: Leverandøren skal opbevare alle digitale medier, der er taget ud af brug, så medierne er sikret mod uautoriseret adgang og tyveri, indtil de bliver genbrugt eller destrueret. Medier i slutbrugerudstyr skal slettes inden genbrug. NIST-800 Clear slettestandarden eller tilsvarende anvendes til medier fra slutbrugere. Side 10/15

11 For servere, printere med harddisk, storage, løse diske samt netværksudstyr benyttes slettestandarden DoD M eller tilsvarende inden genbrug. Digitale medier, der har været brugt til opgaver for Kunden, skal makuleres, når de ikke længere skal anvendes. 15. TRANSPORT AF DATAMEDIER (MK) 15.1 Hvis Leverandøren transporterer datamedier med Kundens data, skal de beskyttes mod uautoriseret adgang, misbrug eller ødelæggelse. Leverandøren skal udarbejde sikkerhedsregler, der beskriver, hvordan transport af datamedier skal foregå. Sikkerhedsreglerne skal godkendes af Kunden. 16. PLACERING AF DATA (MK) 16.1 Placering af Kundens data i udlandet eller Grønland skal godkendes af Kunden Placering af Kundens data i DMZ skal godkendes af Kunden Placering af Kundens data hos en underleverandør skal godkendes af Kunden Leverandøren skal have regler der sikrer, at data fra eller om Kunden ikke lagres på medarbejdernes private udstyr Leverandøren skal have regler der sikrer, at print med data fra eller om Kunden ikke findes uden for Leverandørens lokationer. 17. FYSISK SIKKERHED (MK) 17.1 Leverandøren skal så vidt muligt hemmeligholde beliggenheden af sit driftscenter. Dettes beliggenhed må ikke fremgå af Leverandørens hjemmeside, ligesom der ikke må være skiltning eller andre ydre tegn, der viser serverrums og krydsfelters placering Leverandøren skal have placeret ansvaret for sin fysiske sikkerhed på alle sine lokationer Leverandørens serverrum og lokationer skal være beskyttet af elektronisk adgangskontrol. Det elektroniske adgangskontrolsystem skal gemme logs over adgang 1 år tilbage. Side 11/15

12 17.4 Hovedstrømtavler skal være placeret, så de er beskyttet imod uvedkommendes adgang Leverandøren skal have instrukser for af- og pålæsning af fysiske genstande. Instruksen skal sikre, at fremmede personer ikke får uovervåget adgang, når materiel afleveres eller afhentes Leverandøren skal have ledelsesgodkendte regler for medarbejderes og samarbejdspartneres distancearbejde, hvis dette forekommer. 18. BRANDSIKKERHED (MK) 18.1 Leverandørens serverrum skal være udstyret med brand- og røgdetektorer, automatisk brandslukningsanlæg, fx baseret på inert gas, og brandalarm med forbindelse til brandvæsenet Der skal udføres brandtilsyn og servicering af alarmerings- og slukningssystemer i overensstemmelse med myndighedskrav og leverandøranvisninger Om relevant skal der være branddøre, der kan forhindre spredning af branden til andre dele af en større bygning. Brandalarmers og branddøres funktion skal testes en gang årligt Der skal være bygningsplaner til brandvæsenet på alle Leverandørens lokationer. Planerne skal findes og opbevares det sted, som er relevant for brandvæsenet Der skal være brandslukningsudstyr, der kan anvendes i tilfælde af brand. Ved alt brandslukningsudstyr skal der foreligge en instruks, der informerer om, hvordan det anvendes I Leverandørens serverrum skal der findes detektorer, der opdager brand og igangsætter et automatisk slukningsanlæg med brandhæmmende gas Forsikring mod brand. Leverandøren skal være forsikret mod brand. 19. SIKRING IMOD YDRE PÅVIRKNINGER (MK) 19.1 Leverandørens serverrum skal være placeret, bygget og udstyret, så risikoen for vandindtrængning, vandskade og oversvømmelse i forbindelse med storm, skybrud, rørskade, kloakskade, brandslukning og lignende minimeres. Befinder faciliteter sig un- Side 12/15

13 der terræn, skal der være etableret fugtalarmering, modløbsventiler på afløb og om nødvendigt et pumpesystem, der aktiveres ved vandindtrængning. Elinstallationer til pumpesystem skal være sikret mod vandskade Leverandørens serverudstyr skal beskyttes mod strømafbrydelser eller spændingsvariationer, således at der kan foretages afhjælpende handling evt. i form af kontrolleret nedlukning. Ved strømudfald skal serverrummet mindst kunne drives videre 1 døgn. 20. SIKKERHED I SIKRE OMRÅDER (MK) 20.1 Leverandøren skal have instrukser for arbejde i sikre områder som serverrum og krydsfelter Instrukserne skal være tilgængelige i de sikre områder, hvor de skal bruges Medarbejdere og eksterne parter, der skal arbejde i sikre områder, skal instrueres i instrukserne, før adgangsrettigheder tildeles og arbejdet påbegyndes Instruksen skal omfatte forbud mod fotografering og videofotografering, rygning, medtagelse af mad og drikkevarer og efterladelse af brændbart materiale Leverandøren skal have instrukser der sikrer, at udstyr kun fjernes fra sikre områder efter ledelsesgodkendelse Leverandørens serverrum skal være forsynet med passende dimensionerede køleanlæg Temperaturer i serverrummene skal overvåges og der skal ske alarmering ved temperaturstigning over fastsatte grænseværdier. Leverandøren skal reagere på temperaturalarmer døgnet rundt Termineringspunkter for telekommunikationslinjer og hovedkrydsfelter skal være placereret i sikre områder. 21. VEDLIGEHOLDELSE AF UDSTYR (MK) 21.1 Hvis Leverandøren er ansvarlig for vedligeholdelse af udstyr, der understøtter opgaven for Kunden, skal Leverandøren sikre, at informationsbehandlingsudstyr og understøttende udstyr vedligeholdes i overensstemmelse med leverandørers anvisninger, anbefalede serviceintervaller og garanti- eller forsikringsforpligtelser og at kun autoriseret personale udfører service og reparationer. Side 13/15

14 21.2 Leverandøren skal have fastlagt, hvordan vedligeholdelse af udstyr skal foregå, og herunder om vedligeholdelsesopgaven er placeret internt eller eksternt Serviceeftersyn af forretningskritisk udstyr foretaget af eksterne parter skal registreres. 22. LEVERANDØRENS BESKYTTELSE AF INFORMATION (MK) 22.1 Leverandøren skal have instrukser til alle medarbejdere om, at medarbejderen skal låse sin skærm, når den forlades Informationer om Leverandørens driftsmiljø er fortrolig information. Leverandøren skal have regler der sikrer, at informationer om Leverandørens driftsmiljø ikke kommer til udenforståendes kendskab. Reglerne skal omfatte bestemmelser om krypteret datatransmission over internettet, adgangsstyring til informationer om driftsmiljøet hos Leverandøren samt beskyttelse af informationer på print Kunden accepterer, at Leverandøren udleverer informationer om sit driftsmiljø til revisorer, auditorer og eksterne tilsyn, samt til sine øvrige kunder. Leverandøren skal have instrukser for, hvem hos kunderne, der må modtage fortrolig information. Modtagere af fortroligt materiale skal instrueres i at behandle dette fortroligt, samt i, hvilke sikkerhedskrav der skal overholdes i håndteringen af informationen Leverandøren skal have retningslinjer vedrørende informationssikkerhed, der beskriver, hvordan informationer, personhenførbare oplysninger samt Programmel mv. fra kunder beskyttes. Leverandøren skal mindst årligt gennemføre en informationsindsats over for medarbejderne omkring retningslinjernes overholdelse samt overfor nye medarbejdere i forbindelse med deres tiltræden. Retningslinjerne skal udleveres til Kunden på Kundens forlangende. 23. KAPACITETSSTYRING (MK) 23.1 Leverandøren skal foretage dokumenteret kapacitetsstyring af de ressourcer, der er nødvendige for løsningen af opgaven for kunden. Kapacitetsstyringen skal omfatte medarbejderressourcer, bygninger, IT-udstyr og -infrastruktur samt licenser Omfanget af styringen skal fastlægges ud fra risikoen for ændringer i ressourcebehovet samt forventningen til ændringer i de tilgængelige ressourcer Systemers brug af netværks- og systemressourcer, herunder båndbredde, processorkapacitet og lagerplads, skal løbende overvåges og analyseres, og der skal tages højde Side 14/15

15 for fremtidige kapacitetskrav, fx som følge af en ændret kundeportefølje. Såfremt Kunden skal tilpasse eller justere Systemet, skal Leverandøren straks orientere Kunden herom. 24. TEST- OG UDVIKLINGSMILJØER (MK) 24.1 Kunden har en politik om, at udviklings-, test-, og produktionsmiljøer skal være logisk adskilt for at nedsætte risikoen for uautoriseret adgang til eller ændringer af produktionsmiljøet. Leverandøren skal understøtte overholdelsen af denne politik Hvis Kundens produktionsdata findes i andre miljøer end produktionsmiljøet, skal sikkerhedsniveauet i dette miljø være det samme som i produktionsmiljøet, hvad angår teknisk sikkerhed og adgangsstyring Er udviklingsmiljøet placeret hos Leverandøren, skal leverandøren have politikker for fysisk sikkerhed, ligesom der skal være procedurer for ændringsstyring og for bruger-, adgangs- og rettighedsstyring i forbindelse med udviklingsmiljøet. 25. SÅRBARHEDSSTYRING (MK) 25.1 Der må kun være det programmel i Leverandørens produktionsmiljø, som er nødvendigt for dette miljøs funktion som produktionsmiljø. Side 15/15