Et begrebssystem for. informationssikkerhed

Størrelse: px
Starte visningen fra side:

Download "Et begrebssystem for. informationssikkerhed"

Transkript

1 Rapport fra nbs06 Informationssikkerhed Side 1 af 150 Et begrebssystem for informationssikkerhed Rapport fra arbejdsgruppe nbs06 under Det Nationale Begrebsråd for Sundhedsvæsenet Maj 2006

2 Rapport fra nbs06 Informationssikkerhed Side 2 af 150 Indholdsfortegnelse: 1 INDLEDNING INFORMATIONSSIKKERHEDENS AKTUALITET ARBEJDETS OMFANG DELTAGERE TIDSPLAN Prioritering af arbejdet LÆSEVEJLEDNING DOMÆNETS BEGREBSSYSTEM FAKTUELLE FORHOLD Diagrammer Relationer mellem begreberne VIGTIGE FORHOLD FOR FORSTÅELSE AF BEGREBSSYSTEMET Afgrænsning af domænet Afgørende beslutninger Anvendelse af generelle begreber og relationstyper SÆRLIGE FORHOLD OG PROBLEMER I DE ENKELTE FASER Fase 2: Udvælgelse og gruppering af begreber Fase 1: Udvælgelse af referencemateriale Fase 3: Udarbejdelse af skitse til begrebssystemer ARBEJDSFORM MØDER KVALITETSSIKRING SÆRLIGE FORHOLD OG PROBLEMER VEDRØRENDE ARBEJDSMETODE KONKLUSION PÅ ARBEJDET KILDELISTE BILAG BILAG 1: DIAGRAMMER Læsevejledning til diagrammerne Totaldiagram hele begrebssystemet Opdeling i deldiagrammer Oversigtsdiagram over informationssikkerhed Sikkerhedsrisiko Risikoanalyse Sikringsforanstaltning Organisatorisk sikringsforanstaltning Teknisk sikringsforanstaltning Aktører - informationssikkerhed Informationssikkerhed specielle begreber BILAG 2: ALFABETISK BEGREBSLISTE BILAG 3: BEGREBER OG TERMER TIL SENERE BEARBEJDNING Ubearbejdede begreber og termer Utilstrækkeligt bearbejdede begreber

3 Rapport fra nbs06 Informationssikkerhed Side 3 af Indledning Nærværende dokument supplerer afrapporteringen fra begrebsarbejdsgruppen 06 Informationssikkerhed under det Nationale Begrebsråd for Sundhedsvæsenet. Hoveddelen af afrapporteringen findes i begrebssystemet om informationssikkerhed, der er publiceret på og som udgør arbejdsgruppens hovedleverance: et begrebssystem med definitioner og relationer for domænet Informationssikkerhed. Ved bearbejdningen af dette domæne har det været en principiel vanskelighed, at udgangspunktet for alt begrebsarbejde under det Nationale Begrebsråd for Sundhedsvæsenet er de særlige begreber, der anvendes i sundhedsvæsenet. For domænet Informationssikkerhed gælder det imidlertid, at det kun er meget få begreber, som er specifikke for sundhedsvæsenet. De sundhedsspecifikke begreber findes måske kun som specialiseringer af begrebet national forskrift. Derfor er den største del af arbejdet foregået, som om det drejede sig om informationssikkerhed i almindelighed; og det er da også arbejdsgruppens håb, at begrebssystemet kan findes nyttigt uden for sundhedsvæsenets område. Man kan også stille spørgsmålet, om informationssikkerhed enten er anderledes eller i det hele taget er mere relevant for sundhedsvæsenet end for så mange andre dele af samfundet. Det er allerede ved en umiddelbar betragtning tydeligt, at informationssikkerhed i sundhedsvæsenet ikke er meget anderledes end så mange andre steder, og dette er blevet bekræftet i nærværende arbejde. Der findes altså ikke noget argument for, at en begrebsafklaring inden for informationssikkerhed netop skal ske i sundhedsvæsenet. Der er godt nok i sundhedsvæsenet et klart ønske om, at informationssikkerheden generelt er på et højt niveau, men tilsvarende ønsker findes også på en række andre områder i samfundet. Der er imidlertid mindst to grunde til, at sundhedsvæsenet har en særlig interesse i at få begreber inden for informationssikkerhed afklaret som beskrevet i de følgende afsnit. 1.1 Informationssikkerhedens aktualitet Det er netop i disse år, at sundhedsvæsenet går over til at håndtere patienternes detaljerede helbredsinformationer i bredt forbundne it-systemer. Informationssikkerheden i de gammelkendte papirsystemer har kun krævet beskeden opmærksomhed, fordi deres muligheder og begrænsninger er så velkendte. Derimod har de digitale systemer langt større anvendelsesmuligheder, gevinstpotentiale, misbrugsrisici, begrænsnings- og kontrolmuligheder. Disse er både mere komplekse og mindre kendte. Klare afgrænsninger, sammenhænge og betegnelser for de involverede begreber er en forudsætning for at kunne beskæftige sig seriøst med alle disse muligheder. Den anden grund for sundhedsvæsenet til at analysere og beskrive begreber inden for informationssikkerhed er, at en netop igangværende afklaring af tilgrænsende begrebsområder i sundhedsvæsenet i sig selv giver et behov for præcisering af begreber i dette nabo-område. Det er arbejdsgruppens opfattelse, at en samlet og ontologisk orienteret gennemarbejdning af domænet Informationssikkerhed ikke tidligere er gjort, og gruppen har ikke fundet autoritative, velstrukturerede begrebssystemer for domænet i kildematerialet. 1.2 Arbejdets omfang Den analyse og beskrivelse af begreberne, som her afrapporteres, gør på ingen måde krav på at være udtømmende det er forsøgt at identificere mange begreber og bestemme deres relationer, men det har pga. den givne tids- og ressourceramme været nødvendigt at prioritere en del af begreberne til en grundig bearbejdning. Det vil bl.a. være muligt videre at underinddele mange af de identificerede begreber. Der er identificeret yderligere begreber, som alene er beskrevet ved deres relative placering i begrebssystemet. Mange begreber er altså ikke færdigbearbejdet på et terminologisk acceptabelt niveau, men vises alene for orienteringens skyld i bilag 3.

4 Rapport fra nbs06 Informationssikkerhed Side 4 af Deltagere I arbejdet har følgende deltaget: Jørn Knudsen, IT-sikkerhedskoordinator, H:S Direktionen (Per Loubjerg, IT-chef, Hvidovre Hospital har flere gange vikarieret planlagt) Anne-Mette Skou, Begrebssekretariatet, H:S Direktionen (fra juni 2005) Hans Harbøll, IT-seniorkonsulent, afd. for planlgn. og IT, Psykiatri- og sundhedsområdet, Ribe Amt Trine Jørgensen, Systematic Software Engineering Hrönn Sigurdardottir, IT-afdelingen, Københavns Amt (indtil september 2004) Lars Stubbe Teglbjærg, overlæge, Medicinsk afd. M, Svendborg Sygehus Elisabeth Hersby, Sundhedsstyrelsens Enhed for Kvalitet, Overvågning og Tilsyn Ole Terkelsen, Sundhedsstyrelsens Enhed for Sundhedsinformatik (fra februar 2005) Bodil Nistrup Madsen, professor, DANTERMcentret (i en del af møderne) Camilla Wiberg Danielsen, terminolog, DANTERMcentret (fra maj 2005), Sundhedsstyrelsens Enhed for Sundhedsinformatik fra Søren Lippert, tidligere Sundhedsstyrelsens Enhed for Sundhedsinformatik, fra konsulent i SLIQ (formand) Endvidere har Knud Mose, Specialkonsulent, IT- og Telestyrelsen, deltaget i de sidste to arbejdsmøder. 1.4 Tidsplan Arbejdet har strakt sig over næsten to år, selvom den oprindelige planlægning forudså ca. ½ års arbejdsperiode. Efter kick-off-møde den har arbejdsgruppen den deltaget i et kort kursus i terminologisk arbejde med ontologisk tilgang. Herefter har gruppen holdt 14 arbejdsmøder af i alt 16 dages varighed med løsning af planlagte arbejdsopgaver mellem flere af møderne. Begrebssystemet og nærværende rapport er afleveret til Sekretariatet for det Nationale Begrebsråd for Sundhedsvæsenet den Der er flere årsager til, at arbejdet har taget længere tid end først planlagt. Initialt var det vanskeligt at nå frem til en passende snæver afgrænsning af den del af domænet Informationssikkerhed, som skulle bearbejdes (se afsnit 2.2.1) og sammenhængende hermed har arbejdsgruppen haft et højt ambitionsniveau for begrebssystemets omfang og kvalitet. Det har vist sig vanskeligere end forventet at gennemføre en tilstrækkelig stor arbejdsindsats mellem møderne. I den sidste fase har en supplering af arbejdsgruppen af hensyn til bredden i kompetencer og ønsket om at opnå størst mulig sammenhæng mellem begrebssystemet og høringsforslaget til ny danske standard for informationssikkerhed, DS 484:2005(forslag) betydet en forlængelse af arbejdet Prioritering af arbejdet Tidsrammen og arbejdsformen for dette arbejde har tilsammen sat nogle begrænsninger, der ikke har gjort det muligt at bearbejde alle de identificerede begreber. Bearbejdningen af begreberne er søgt prioriteret ud fra hensyn til behov for begreber i sundhedsvæsenets informatiske udviklingsarbejde og hensynet til en klar sammenhæng mellem disse begreber. Fx er der behov for at fokusere på sikringsforanstaltninger, og derfor er begrebet sikringsforanstaltning anskuet fra tre forskellige synsvinkler (formål, grad og middel). For at danne et godt fundament for hele begrebssystemet er selve begrebet informationssikkerhed og dets underbegreber analyseret meget grundigt og beskrevet med stor omhu. Arbejdsgruppen har generelt givet højest prioritet til de begreber, der er nærmest relateret til det centrale begreb informationssikkerhed.

5 Rapport fra nbs06 Informationssikkerhed Side 5 af Læsevejledning I bilagene til denne rapport vises alle begrebssystemets begreber i diagramform (Bilag 1) og systematisk beskrevet i alfabetisk orden (Bilag 2). Begreberne ses dog bedst på hvor både diagrammer og anden information om begreberne inkl. kommentarer kan tilgås vha. hyperlinks. Diagrammerne findes i rapportens Bilag 1, mens Bilag 2 indeholder en tekstudskrift af de informationer, der er knyttet til hvert begreb. Denne udskrift er automatisk genereret og ikke overskuelig, men alfabetisk ordnet og kan benyttes til opslag. Bilag 3 indeholder information om begreber og termer, der er identificeret som hørende til domænet informationssikkerhed, men som ikke er tilstrækkeligt bearbejdede til at blive publiceret som en del af nærværende begrebssystem, I denne rapport skrives begrebssystemets termer i enkelte anførselstegn xxx og med lille begyndelsesbogstav overalt. Læsevejledning til diagrammerne findes i Bilag 1 (afsnit 6.1.1). Rapporten indeholder ud over denne indledning en kort redegørelse for nøglefakta vedr. begrebssystemet (afsnit 2) nogle af de vigtigste overvejelser vedr. nogle centrale begreber (afsnit 2) en kort beskrivelse af arbejdsprocessen (afsnit 3) nogle konkluderende bemærkninger og anbefalinger (afsnit 4) en liste over anvendte kilder (afsnit 5) bilagene (afsnit 6)

6 Rapport fra nbs06 Informationssikkerhed Side 6 af Domænets begrebssystem 2.1 Faktuelle forhold Nærværende begrebssystem omfatter i alt 100 begreber, der alle er relateret til mindst ét andet begreb med én eller flere dekompositioner (del-helheds relationer), specialiseringer (type-relationer) og associative relationer (fx påvirkning, brug, placering, ændring). Der er formuleret definitioner for alle begreberne. Der er registreret foretrukken term for alle begreber samt et antal synonymer og engelske ækvivalenter Diagrammer Begrebssystemet præsenteres i en række diagrammer med tilhørende oplysninger om definitioner, synonymer mv. Diagrammet i Figur 1, Oversigtdiagram over informationssikkerhed, giver et overblik over begrebssystemets opbygning, idet det viser nogle af de begreber, der danner indgang til de mere detaljerede diagrammer. Hele det samlede begrebssystem er vist i diagrammet (Se bilag 1, afsnit 6.1.2). Dette diagram er aht. læselighed og overskuelighed opdelt i syv deldiagrammer (Se afsnit 6.1.3): Sikkerhedsrisiko, som indeholder begreber, der bl.a. viser sammenhængen mellem trussel, sårbarhed og risiko Risikoanalyse, der indeholder begreber relateret til denne aktivitet Sikringsforanstaltning, som indeholder inddelinger af de sikringsforanstaltninger, der kan iværksættes Organisatoriske sikringsforanstaltninger, som indeholder organisatoriske sikringsforanstaltninger og en del dertil relaterede begreber Tekniske sikringsforanstaltninger, som indeholder tekniske sikringsforanstaltninger Aktører - informationssikkerhed, som indeholder en del begreber vedr. forskellige aktører, som har forbindelse med informationssikkerhed Informationssikkerhed specielle begreber, som indeholder underbegreberne til informationssikkerhed Der således i alt ni diagrammer, som beskriver begrebssystemet. De findes alle tilligemed en læsevejledning til diagrammerne i Bilag 1.

7 Rapport fra nbs06 Informationssikkerhed Side 7 af 150 Figur 1 Oversigt over informationssikkerhed informationssikkerhed består af tilgængelighed integritet fortrolighed forbedrer sikringsforanstaltning begrunder forringer sikkerhedsrisiko indvirker på Relationer mellem begreberne Begreberne er forbundet til hinanden med relationer, der har stor betydning for forståelsen af begrebssystemet og i høj grad er med til at definere begreberne. Der findes tre kategorier af relationer. Dekompositioner (del-helheds-relationer; linjer, der begynder med en rombe) er på diagrammerne betegnet med et navn, der hentyder til typen af dekomposition. Den mest anvendte er består af, der typisk angiver funktionelt adskilte dele af en helhed. Specialiseringer (type-relationer; linjer, der begynder med en trekant) har på diagrammerne angivet det træk, der adskiller de aktuelle typer af det pågældende overbegreb (inddelingskriterium). Associative relationer (linjer med pil) har angivet navnet på relationen. Navnet er placeret i den ende, hvorfra relationen skal læses. I mange tilfælde ville det være muligt at oprette andre og yderligere relationer mellem begreber, men af hensyn til overskueligheden af begrebssystemet er kun medtaget de relationer, der er mest relevante, og som er definerende i forhold til arbejdsgruppens domæneafgrænsning. 2.2 Vigtige forhold for forståelse af begrebssystemet Afgrænsning af domænet Én af grænserne for domænet Informationssikkerhed er mod det administrativt-organisatoriske domæne, idet en del af begreberne for sikringsforanstaltninger er af organisatorisk art. Mange af disse deles med det administrativt-organisatoriske domæne og med Klinisk proces (fx patient og pårørende ). En anden afgrænsning er mod begreber som fortrolighed og tavshedspligt mod begreber som patientrettighed, privatliv og værdighed. Man kan sige, at der er en glidende overgang mod det etiske domæne. Begreberne vedr. fysiske sikringsforanstaltninger grænser op mod begreber for den generelle fysiske infrastruktur for informationssystemer, idet det meste af infrastrukturen kan siges at bidrage til målet tilgængelighed. I domæneafgrænsningen har arbejdsgruppen bestræbt sig på at udelukke de begreber fra arbejdet, der i højere grad kan siges at være del af tilgrænsende domæner.

8 Rapport fra nbs06 Informationssikkerhed Side 8 af 150 En undtagelse herfra udgøres dog af nogle få meget generelle begreber som fx information, aktør og hændelse. Disse begreber behandles nærmere af andre arbejdsgrupper, men har relevante relationer til begreber vedr. informationssikkerhed Begrebssystemet For hele begrebssystemet er relationer, definitioner, termer og synonymer gennemgået, diskuteret og principielt fastlagt i nævnte rækkefølge. Det er arbejdsgruppens vurdering, at det er værdifuldt at fastholde alle de identificerede begreber i domænet, selvom deres relationer ikke alle er endeligt fastlagt og de ikke alle er sprogligt defineret. Disse begreber er vist til orientering i bilag Afgørende beslutninger I begyndelsen af begrebsarbejdet spillede nogle overvejelser af pædagogisk karakter ind og medførte fx, at begrebet backup blev omdøbt til backup og restore (fordi backup ikke bør tages uden jævnlig afprøvning af procedurer for restore = genskabelse af information fra backup en). Dette er imidlertid, hvad vejledninger og standarder bør beskæftige sig med, og med denne erkendelse er arbejdsgruppen blevet mere stringent orienteret mod det ontologiske begrebsarbejde. Begrebet backup er således ikke længere blandet sammen med genskabelsesproceduren. Ligesom det ikke er trivielt at afgrænse domænet Informationssikkerhed, har det heller ikke været let at afgrænse gruppens arbejdsområde inden for domænet. Den indstilling om afgrænsning af arbejdsområdet, som gruppen sendte det Nationale Begrebsråd for Sundhedsvæsenet den , gik temmelig naivt ud fra, at det kunne lade sig gøre at bearbejde et overbegreb fuldt ud, inden man tog fat på dets underbegreber. Dette har vist sig at være en i høj grad fejlagtig antagelse, der har måttet vige for erkendelsen af, at man er nødt til at behandle under- og overbegreber i en iterativ proces. Prioriteringen af begreber til behandling bliver dermed langt mindre skarp end ønskeligt. Begrebssystemet var i forsommeren 2005 klar til aflevering mhp. drøftelse i Nationale Begrebsråd for Sundhedsvæsenet, samt fastlæggelse af de dele af begrebssystemet, der skulle sendes i høring. Imidlertid ventedes en ny version af informationssikkerhedsstandarden DS 484 i høring fra Standard, så det blev besluttet at udskyde afleveringen af begrebssystemet til efteråret 2005 for at få mulighed for at koordinere med standardforslaget og indarbejde begreber fra dette. Som følge heraf er der gjort værdifulde tilføjelser, fx begreberne vedr. forebyggende, opklarende og udbedrende sikringsforanstaltning. Vedtagelsen af DS 484:2005 som gældende standard har kun medført meget små ændringer i forhold til høringsforslaget. Imidlertid er der visse af de udarbejdede definitioner, der afviger fra definitionerne i DS 484:2005. Det viser sig, at begreberne i standardens ordforklaring ikke er resultatet af systematisk, terminologisk arbejde hvilket heller ikke er standardens formål. Det betyder ikke, at standarden er fagligt ukorrekt; det betyder heller ikke, at der er uoverensstemmelse mellem indholdet i standardens definitioner og de af arbejdsgruppen udarbejdede. Det betyder blot, at arbejdsgruppens definitioner er formuleret i overensstemmelse med terminologiske principper Begrebet informationssikkerhed Domænets centrale begreb er 'informationssikkerhed'. Oprindeligt i gruppens arbejde indtog det ubestridt den centrale plads, men den oprindelige forståelse af begrebet viste sig at være en sammenblanding af "den sikkerhed, man opnår eller ønsker at opnå" og "de midler, man tager i anvendelse for at opnå informationssikkerhed". Som et resultat af denne overvejelse udskilte vi 'informationssikkerhed' og 'sikringsforanstaltning' som de to mest centrale begreber. De tre dele af begrebet informationssikkerhed ('tilgængelighed', 'integritet' og 'fortrolighed') er således de mål, som sikringsforanstaltninger i varierende grad bidrager til at opnå. Den videre analyse af disse tre hovedmål beskrives i diagrammet Informationssikkerhed specielle begreber.

9 Rapport fra nbs06 Informationssikkerhed Side 9 af 150 Ved analysen af begrebet informationssikkerhed viste det sig, at det kan opfattes som en balance mellem sikringsforanstaltning og sikkerhedsrisiko, som det vises i diagrammet Oversigt over informationssikkerhed. Hermed genplaceres begrebet informationssikkerhed på tilfredsstillende vis som det mest centrale begreb Begrebet sikringsforanstaltning Det er blevet diskuteret i arbejdsgruppen, om der burde være en parallelitet i opbygningen af underbegreber til informationssikkerhed og underbegreber til sikringsforanstaltning. Der er dog flere grunde til, at denne tanke er vanskelig at gennemføre. For det første kan den samme sikringsforanstaltning meget vel bidrage til flere af målene (delene af informationssikkerhed: tilgængelighed, integritet, fortrolighed), så det er ikke meningsfuldt at afspejle opdelingen i tekniske og organisatoriske samt fysiske og logiske sikringsforanstaltninger i inddelingen af de begreber, der betegner målene. Fx kan den tekniske foranstaltning 'adgangsbegrænsning' både bidrage til fortrolighed og tilgængelighed (ved at mindske risikoen for informationslækage og risikoen for ødelæggelse). Det er yderligere således, at et enkelt mål kan kræve anvendelsen af foranstaltninger af både teknisk og organisatorisk karakter for at blive opnået i tilstrækkeligt omfang. Fx kan et højt fortrolighedsniveau kræve anvendelsen af både 'rumsikring', 'sikkerhedssoftware' og 'differentieret adgangsrettighed', der er to tekniske og en organisatorisk foranstaltning. Begrebet sikringsforanstaltning kan opdeles efter flere forskellige kriterier; men det vil sjældent være fordelagtigt fx at satse udelukkende på opklarende sikringsforanstaltninger, så ved planlægningen af sikringsforanstaltninger er det af værdi at anskue dem opdelt efter formål. Det har tilsvarende betydning for sikringsforanstaltningernes iværksættelse at vide hvilke midler, der skal anvendes, så opdelingen i organisatoriske og tekniske sikringsforanstaltninger er væsentlig, når de skal implementeres. Ingen af de to inddelingskriterier formål eller middel er perfekte ud fra en teoretisk klassifikationsbetragtning, for nogle sikringsforanstaltninger kan ikke placeres entydigt i én af disse kategorier. Det gælder bl.a. for en række sikringsforanstaltninger som sikkerhedsorganisation, sikkerhedspolitik og autentificering, at de ud fra en formålsbetragtning er både forebyggende og opklarende (nogle tillige udbedrende). Inddelingen efter middel er heller ikke problemfri, idet fx adgangsbegrænsning som vist i diagrammet Teknisk sikringsforanstaltning kan være både en logisk og en fysisk foranstaltning. Der er således ikke tale om, at noget inddelingskriterium er rigtigt i forskellige situationer er forskellige inddelingskriterier mere eller mindre hensigtsmæssige og repræsenterer forskellige valg. Gruppen af organisatoriske sikringsforanstaltninger rummer en meget stor og vanskeligt afgrænselig samling af ansvarsområder, regler, rutiner og metoder samt deres dokumentation. De begreber, der er anført i begrebssystemet, er kun udsnit af de mulige, og arbejdsgruppen har søgt at udvælge dem på basis af relevans. De tekniske sikringsforanstaltninger er konkrete og leveres i stor udstrækning af specialiserede itleverandører inden for rammerne af en nogenlunde velafgrænset del af it-branchen. Det er arbejdsgruppens opfattelse, at der uformelt i branchens regi har fundet en ret omfattende begrebsafklaring sted nogenlunde i takt med den tekniske udvikling. Gruppen har derfor besluttet, at denne del af domænet har lavest prioritet i bearbejdningen af begrebssystemet Anvendelse af generelle begreber og relationstyper Dekompositionen består af udtrykker en del-helhedsrelation, hvor delene typisk er funktionelt adskilte fra hinanden, mens dekompositionen omfatter udtrykker en del-helhedsrelation, hvor delene er elementer i en mængde. På diagrammerne er specialiseringen kan være markeret med aspekt (=inddelingskriterium). I begrebssystemet er de af NBS standardiserede associative relationer generelt anvendt. Nogle har dog ikke kunnet beskrives tilstrækkeligt inden for disse rammer; det drejer sig om relationerne: - forbedrer ( sikringsforanstaltning forbedrer informationssikkerhed ) - forringer ( sikkerhedsrisiko forringer informationssikkerhed )

10 Rapport fra nbs06 Informationssikkerhed Side 10 af begrunder ( sikkerhedsrisiko begrunder sikringsforanstaltning ) - behandler ( informationssystem behandler information ) - ophæver ( samtykke ophæver tavshedspligt, se 6.3.2) - har krav på ( patient har krav på informationssikkerhed ) - tillader ( samtykke tillader videregivelse se 6.3.2) - registrerer ( logning registrerer hændelse ) - specificerer ( trusselsbillede specificerer trusselsniveau ) Relationstyper til informationssikkerhed Man kan diskutere, om begreberne tilgængelighed, integritet og fortrolighed er relateret til informationssikkerhed med generiske relationer ( typer af informationssikkerhed ) eller med partitive relationer ( dele af informationssikkerhed ). For at nå frem til en afgørelse kan man spørge, om de tre underbegreber kan eksistere sammen i én given instans af overbegrebet. Alle tre underbegreber anskues ofte som varierende, om end ikke nødvendigvis kvantitative, størrelser. Man kan således godt forestille sig informationssikkerhed, hvor den samlede værdi af et eller flere af de to underbegreber går mod nul. Derimod vil de fleste nok mene, at en udtømmende beskrivelse af en given informationssikkerhed kræver redegørelse for alle tre underbegreber. Eller sagt på en anden måde; når man vælger en informationssikkerhed, vælger man ikke enten det ene eller andet underbegreb, men en samlet pakke, hvori ét eller flere af underbegreberne kan stå for noget meget ringe eller ikke-eksisterende, men selve begrebet er ikke des mindre til stede. Svaret på spørgsmålet er altså bekræftende, og konklusionen bliver, at der er tale om en partitiv (del-helheds-) relation. Til informationssikkerhed har begrebssystemet yderligere tre relationer, nemlig de associative relationer har krav på (fra patient ), forringer (fra sikkerhedsrisiko ) og forbedrer (fra sikringsforanstaltning ). Det er den første af disse (sv.t. udsagnet patient har krav på informationssikkerhed ), der gør domænet Informationssikkerhed relevant for sundhedsvæsenet. Denne relation er kun vist i diagrammet (6.1.2). 2.3 Særlige forhold og problemer i de enkelte faser Fase 2: Udvælgelse og gruppering af begreber Arbejdsgruppen indledte arbejdet med en brainstorm, hvor en stor del af de senere bearbejdede begreber blev identificeret. Disse begreber blev derefter grupperet (se figur 2) og fordelt til gruppens medlemmer til en nærmere beskrivelse, der dannede baggrund for analyse af begreberne og opstilling af foreløbigt begrebssystemet.

11 Rapport fra nbs06 Informationssikkerhed Side 11 af 150 Figur 2 patient Rolle psykisk integritet Bruger Elisabeth Patient Fortrolighed aktuelt behandlingsforløb Samtykke Værdighed tavshedspligt Videregivelse Per elektromagnetisk sikkerhed aflåsning akut-adgang Lars Adgang Fysisk sikkerhed Nogle centrale termer administrativ brandsikring nødstrøm backup Informationssikkerhed sikkerhedsadministration IT-sikkerhed Safety Datasikkerhed Security sikkerhed Kommunikationssikkerhed Validitet/ korrekthed Tilgængelighed Datapræsentation Edbsikkerhed Data lovgivning Information teknisk sikkerhed Hans Trine differentieret adgangsrettighed organisatorisk sikkerhed sundhedsfaglig teknikeradgang akkreditering administrativ certificering sikkerhed/regler nødprocedure Logisk sikkerhed Redaktør Søren Krypteringsnøgle log-on log-off Krypteringsalgoritme Logning Dataintegritet Kryptering password Autenticitet firewall hacker Sporbarhed virus orm Under arbejdet med at bearbejde de identificerede begreber oplevede arbejdsgruppen vanskelighed med at rubricere begreber vedr. teknisk- og logisk sikkerhed overfor begreberne fortrolighed, integritet og tilgængelighed. Under diskussionen om disse begrebers relationer til informationssikkerhed gik det op for gruppen, at vanskelighederne med sammenblanding af opnået sikkerhed og anvendt middel til at opnå sikkerhed kunne løses med en udskillelse af begrebet sikringsforanstaltning Fase 1: Udvælgelse af referencemateriale For det danske samfund i almindelighed og for sundhedsområdet i særdeleshed findes der en række retskilder med regler for dele af domænet Informationssikkerhed. Heri optræder nogle termer, som i visse tilfælde er defineret, i andre ikke. Disse retskilder er primært Persondataloven, Patientretsstillingsloven og de bekendtgørelser, cirkulærer og vejledninger, der knytter sig til dertil (reff. 1-5, 10). Disse kilder er naturligvis grundlæggende, men temmelig overordnede, hvad angår rent begrebsligt indhold. Domænets andre autoritative kilder er standarder, danske (fra Standard, DS), europæiske (fra Comitée Européene de Normalisation, CEN) og globale (fra International Standards Organisation, ISO), og herfra er hentet hovedindholdet til nogle definitioner. Disse standarder er dog på ingen måde udtømmende. Det kan fx nævnes, at ingen af hovedstandarderne, hverken DS 484 (ref. 6) eller ISO (ref. 7), definerer eller beskriver begrebet bruger. En del af standardernes definitioner er desuden vanskelige at anvende i begrebsarbejdet, fordi de bærer præg af det bestemte formål, som den enkelte standard søger at opfylde. Som eksempel kan nævnes definitionen af password fra en ordbog over fagudtryk (ref. 12):

12 Rapport fra nbs06 Informationssikkerhed Side 12 af 150 For EQUIPMENT under the control of a PROGRAMMABLE ELECTRONIC SUBSYSTEM (PESS), sequence of keystrokes that permits OPERATOR access for NORMAL USE or to reset INTERLOCKS and, with a different sequence of keystrokes, permits access for adjustment and maintenance. ( Standard 2004). Derudover har arbejdsgruppen kunnet anvende et personligt meddelt udkast til en taksonomi for sikkerhed (ref. 13) som støtte for en del relationer mellem begreberne i Informationssikkerhed specielle begreber Fase 3: Udarbejdelse af skitse til begrebssystemer Ud fra den oprindelige gruppering af begreberne blev den første skitse til begrebssystem opstillet; og den har dernæst dannet udgangspunkt for den første af mange iterative diskussioner, der har ført frem til begrebssystemet i sin nuværende form. Arbejdsgruppen har anvendt temmelig lang tid til afklarende diskussion af begreberne 'integritet', 'informationskvalitet' og 'sporbarhed' - både deres placering, relationer og definitioner. Arbejdet har på dette punkt ført til en velfunderet enighed om disse begreber og deres underbegreber.

13 Rapport fra nbs06 Informationssikkerhed Side 13 af Arbejdsform 3.1 Møder Arbejdsgruppen har i gennemsnit holdt et arbejdsmøde hver anden måned. Det har overvejende drejet sig om heldagsmøder, og to møder har omfattet to konsekutive mødedage. Mødedeltagelsen har været varierende; gennemsnitligt 68% med en spændvidde på %. For hele arbejdsperioden har der foreligget en samlet arbejdsplan, som er blevet opdateret i takt med ændringer i planlægningen. Der har således til hvert arbejdsmøde på forhånd været angivet emner, der skulle behandles og i muligt omfang stipulerede, operationelle mål for mødet. For hvert møde er der ført et tekstbaseret procesorienteret beslutningsreferat for beslutninger vedr. arbejdets planlægning, forløb, fordeling mv. Dokumentationen af selve begrebsarbejdet er sket i elektroniske værktøjer med stigende kompleksitet. Initialt i Word og PowerPoint, senere i QualiWare, da denne applikation blev tilgængelig. Arbejdsformen har været præget af, at meget af arbejdet foregik på møderne og af, at den essentielle arbejdsproces er faglig diskussion mellem domæneeksperter med kraftig støtte af terminologisk fagkompetence og en vis støtte af skriftlige og digitale kilder. Det har derfor været hovedreglen, at diskussionsresultaterne er ført direkte ind i QualiWare-filer under mødernes forløb, hvilket har sikret en høj grad af enighed om dokumentationens indhold. Selve diskussionerne har været præget af en konstruktiv vilje til at nå egentlig konsensus vha. argumenternes vægt. Det er gruppens erfaring, at en stor del af arbejdet i de første par faser kunne fordeles til arbejdsgruppens medlemmer og udføres mellem møderne. Efterhånden som arbejdet skred frem, blev det i tiltagende grad afhængigt af diskussionen på møderne, hvor det meste af opstilling og justering af begrebssystemet samt formulering af definitionerne er foregået gennem adskillige iterationer. Endelig har der i den sidste fase været et betydeligt arbejde for formanden mellem møderne med justeringer af begreber, relationer og sproglig revision af definitionsformuleringerne, første kvalitetssikring af begrebssystemet, indarbejdelse af review-kommentarer fra teknisk-, faglig- og terminologisk side samt udarbejdelsen af denne rapport. 3.2 Kvalitetssikring Ud over formandens egen kvalitetssikring mht. overensstemmelse mellem det på arbejdsmøderne besluttede og dokumentationen af begreber, termer og relationer, har begrebssystemet og et rapportudkast været i teknisk review hos DK-CERT og har derefter gennemgået en høringsproces med offentliggørelse på indkaldelse af høringssvar fra en række tekniske og politiske parter samt et høringsseminar for en særligt indbudt kreds af interessenter. Det herved indkomne materiale er blevet indarbejdet i begrebssystemet i relevant omfang. Herefter er begrebssystemet og rapporten sendt til endeligt terminologisk review hos DANTERMcentret for til slut at blive klargjort til publikation af Begrebssekretariatet. 3.3 Særlige forhold og problemer vedrørende arbejdsmetode Overordnet set har det været en fordel at kunne arbejde direkte i et værktøj, der tegner diagrammer over begrebssystemet og som samtidig holder rede på de informationer, der knytter sig til hvert enkelt element i begrebssystemet. På den anden side har det været en klar forudsætning for denne arbejdsform, at et medlem af gruppen (i dette tilfælde formanden) hurtigt har optrænet en fortrolighed med selve applikationen. Dette har i sin tur forudsat en rimeligt stor allround rutine i at arbejde med forskellige applikationer, fordi QualiWare ikke er en særlig brugervenlig applikation. Herunder savnes der i høj grad tastaturgenveje, fx i form af en langt højere brug af de fra Microsofts programmer kendte genvejstaster, men i høj grad også mulighed for at navigere rundt i applikationsspecifikke dialogbokse ved hjælp af tastaturet.

14 Rapport fra nbs06 Informationssikkerhed Side 14 af 150 Der er to forhold, der hæmmer udtømmende dokumentation af arbejdet. Det ene er, at størstedelen af arbejdet foregår i en diskussionsform, hvor der hurtigt efter hinanden flyver så mange argumenter og eksempler gennem luften, at det er vanskeligt at fastholde dem, hvis ikke diskussionen skal hæmmes meget af dokumentationsprocessen. Hvis man forestillede sig denne dokumentation overvejende i tekstform (fx som transskription af båndoptagelser), ville dens omfang gøre den vanskelig at benytte bagefter. Det andet forhold er, at det af organisatoriske årsager har været nødvendigt i én person at samle opgaverne som referent, mødeleder og diskussionsdeltager. Dette medfører, at både mødeledelse (og dermed fremdrift på møderne) og mødedokumentationen kunne have været bedre.

15 Rapport fra nbs06 Informationssikkerhed Side 15 af Konklusion på arbejdet Den ontologiske tilgang til begrebsarbejde har allerede tidligt vist sig overordentlig frugtbar og fremmende for kvaliteten i arbejdet, og den har samtidig givet et godt overblik over mulighederne for afgrænsning og prioritering af arbejdet. Generelt har arbejdet krævet større tidsforbrug end først antaget. I den største del af arbejdsperioden kunne man med fordel satse stærkere på hyppige møder med mindre forventning om arbejde mellem møderne. Formandens arbejde i den sidste halvdel af arbejdet har vist sig at være underestimeret. Generelt har det ikke været muligt at overholde den oprindelige målsætning om at gennemføre arbejdet på 6 kalendermåneder, hovedsagelig pga. problemer med afgrænsning, ambitionsniveau og fordi det nødvendige antal arbejdstimer (især mødetimer) har været underestimeret ved planlægningens begyndelse. Denne arbejdsgruppe har været sammensat af både administrativt, juridisk, klinisk og datalogisk orienterede domæneeksperter, og det har givet gruppen en værdifuld alsidighed, som gruppemedlemmerne har udnyttet gennem et konstruktivt og konsensussøgende arbejde. inologisk støtte til arbejdet har været noget underestimeret i begyndelsen af arbejdet, men med fast deltagelse af terminolog i den sidste halvdel af arbejdet er dette forhold rettet op. En noget hurtigere gennemførelse af arbejdet ville have været mulig med følgende tiltag: - en fast mødereferent, der ikke deltager i den faglige diskussion - mødefrekvens på et til to møder om måneden og dertil hørende forventningsjustering i forbindelse med udpegningen af medlemmer til arbejdsgruppen - deltagelse af terminolog gennem hele arbejdet De af begrebssekretariatet udgivne standardrelationer kunne ikke rumme ni vigtige associative relationer. Disse relationer er altså angivet i begrebssystemet ud over, hvad standardrelationerne stiller til rådighed. Ved en fremtidig revision af standardrelationerne bør disse overvejes. Det er tydeligt, at domænet informationssikkerhed ikke er fuldt begrebsmæssigt gennemarbejdet på det detaljeringsniveau, som arbejdsgruppen har identificeret begreber på. Man kan meget vel forestille sig, at der vil opstå et behov for en bredere registrering af synonymer, efterhånden som begrebssystemet tages i brug. I den del af begrebssystemet, som hører under teknisk foranstaltning, er behovet for et velgennemarbejdet begrebssystem måske ikke så stort, fordi det vedrører overvejende konkrete sikringsforanstaltninger, hvor teknikere i branchen i det store og hele synes at være enige om termer og definitioner. Disse er dog ikke gennemarbejdet og beskrevet ud fra en faglig terminologisk metode. Derimod er begreberne under organisatorisk foranstaltning mindre afgrænsede og enigheden om begrebernes indhold mellem organisationer er mindre, hvilket taler for et stort behov for begrebsafklaring. Samtidig er denne del af begreberne noget mere stabile end mange af de it-tekniske begreber, så et grundigt begrebsarbejde har generelt gode mulighed for at bevare sin aktualitet. Derfor peger arbejdsgruppen på dette delbegrebssystem som første kandidat til yderligere bearbejdning. I bilag 3 findes et struktureret materiale, som er egnet som udgangspunkt for det videre arbejde. Det anbefales, at det Nationale Begrebsråd for Sundhedsvæsenet vurderer i hvilket omfang og med hvilken tidshorisont domænet informationssikkerhed skal bearbejdes yderligere.

16 Rapport fra nbs06 Informationssikkerhed Side 16 af Kildeliste 1. Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger (Persondataloven) 2. Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000 (som ændret ved bekendtgørelse nr. 201 af 22. marts 2001) om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning 3. Datatilsynets vejledning nr. 37 af 2. april 2001 til Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning 4. Lov nr. 482 af 1. juli 1998 om patienters retsstilling (Patientretsstillingsloven) 5. Sundhedsstyrelsens vejledning nr. 161 af 16. september 1998 om information og samtykke og om videregivelse af helbredsoplysninger m.v. 6. DS og DS 484-2, Norm for edb-sikkerhed, Standard, 21. januar ISO/IEC 17799, Informationsteknologi Regelsæt for styring af informationssikkerhed, Standard ENV Security for healthcare communication. Comitée Européenne de Normalisation OECD Guidelines for the Security of Information Systems and Networks. OECD IT-sikkerhedsvejledning for sygehuse. Sundhedsstyrelsen Digital Signatur og PKI i sundhedsvæsenet. Sundhedsstyrelsen DS/IEC/TR Elektrisk udstyr til medicinsk anvendelse Ordbog over fagudtryk. standard Hartmut Pohl. Vorslag für eine Taxonomie und Modelbildung in der Begreiffswelt safety und security am Beispiel ausgewählter internationaler Normen. Personlig korrespondance DS 484:2005 Standard for informationssikkerhed, Høringsforslag. Standard 2005

17 Rapport fra nbs06 Informationssikkerhed Side 17 af Bilag 6.1 Bilag 1: Diagrammer Læsevejledning til diagrammerne Diagrammerne er udarbejdet i en forenklet udgave af UML (Unified Modeling Language) med applikationen QualiWare Lifecycle Manager. Begreber er anført i rektangler, og bortset fra de mest overordnede begreber er størrelsen på rektanglerne tilpasset af tegnetekniske årsager. Relationer angives generelt som streger, der forbinder rektangler. Partitive (del-helheds-) relationer er lige, evt. knækkede streger, der begynder ved overbegrebet med en rombe. Her er typen af partitiv relation også angivet. Generiske (type-) relationer fremstilles med lige streger, der buer ved retningsskift, og som begynder ved overbegrebet med en trekant. Relationer med samme aspekt (=inddelingskriterium) deler samme trekant, og her vises også aspektet. Associative (semantiske) relationer vises med lige streger, der knækker ved retningsskift. Relationens indhold vises nærmest det begreb, relationen læses fra, og retningen er tillige vist med en pil. Hverken partitive eller generiske relationer behøver at være obligatoriske eller udtømmende. Fx ses i Organisatorisk foranstaltning, at et netværk kan indgå i et informationssystem, og et informationssystem kan indgå i et netværk, hvorfor de ikke begge kan være obligatoriske, og tilsvarende findes der flere typer af logisk foranstaltning end de anførte autentificering og logning. En række begreber og relationer er utilstrækkeligt bearbejdet. Disse vises i Bilag 3 alene til orientering, men beskrives ikke nærmere og kan på et senere tidspunkt tages op til videre bearbejdning.

18 Rapport fra nbs06 Informationssikkerhed Side 18 af Totaldiagram hele begrebssystemet I nedenstående diagram vises alle de identificerede begreber inden for domænet Informationssikkerhed, som er relateret til andre begreber. Diagrammet skal hovedsagelig tjene som orientering i forbindelse med brugen af deldiagrammerne. Diagram viser denne opdeling. Totaldiagram - informationssikkerhed nbs informationssikkerhed består af tilgængelighed integritet fortrolighed består af består af trusselsbillede påvirkning effektområde specificerer består af præsentation svartid oppetid komplethed uændrethed sporbarhed validitet specificerer trusselsbeskrivelse konsekvensniveau sandsynlighedsniveau består af frembringer består af teknisk tillader kognitiv informationskvalitet uafviselighed præsentation præsentation kritikalitet frembringer forbedrer sikringsforanstaltning forringer begrunder sikkerhedsrisiko informationsaktiv specificerer konsekvensanalyse indvirker på kritikalitet formål middel grad har krav på patient kritisk aktiv sikringsniveau trusselsniveau forebyggende sikringsforanstaltning formål pårørende består af anvender specificerer opklarende sikringsforanstaltning basal sikringsforanstaltning risiko sundhedsproducent risikobillede konsekvensvurdering udbedrende sikringsforanstaltning skærpet sikringsforanstaltning organisatorisk sikringsforanstaltning teknisk sikringsforanstaltning består af aktør anvender består af risikovurdering formål organisatorisk niveau formål middel sandsynlighed indvirker på konsekvens aktørrolle aktivitet sundhedsaktørrolle sundhedsaktør sikkerhedsansvarlig risikostyring anvender frembringer risikoanalyse udføres af består af sikkerhedsorganisation lokal national forskrift forskrift beskrivelsesniveau fysisk sikringsforanstaltning logisk sikringsforanstaltning middel kontrolspor kritisk hændelse sikkerhedsbrud forårsager trussel frembringer sikkerhedskoordinator åbent net lukket net har krav på sikkerhedsuddannelse autentificering logning frembringer oprindelse dataansvarlig systemansvarlig driftsansvarlig har forbindelse med har forbindelse adgangsbegrænsning netværk information revision udføres af brugeradministration instruks sikkerhedspolitik udføres vha. registrerer væsentlighed kritikalitet hændelse frembringer sårbarhed personrelateret systemmæssig trussel uden trussel trussel for kontrol ejer af informationsaktiv med består af resulterer i funktion intentionalitet organisatorisk genstand består af informationssystem behandler adgangsrettighed autoriseringsstype hændelig trussel forsætlig trussel ekstern trussel intern trussel dataejer anvender systemejer har forbindelse med autoriseret bruger har forbindelse med har forbindelse med differentieret adgangsrettighed password brugernavn udføres vha. log-on udføres vha. log-off formål anvender hacker bruger legitimitet middel uautoriseret bruger hensigt adgangsbegrænsning anvender ondsindet kode

19 Rapport fra nbs06 Informationssikkerhed Side 19 af Opdeling i deldiagrammer I dette diagram, som omfatter hele begrebssystemet, vises opdelingen i deldiagrammer. Oversigtsdiagram - informationssikkerhed trusselsbillede specificerer består af specificerer Risikoanalyse trusselsbeskrivelse konsekvensniveau sandsynlighedsniveau består af tilgængelighed består af præsentation svartid består af teknisk tillader kognitiv præsentation præsentation oppetid informationssikkerhed består af integritet består af komplethed informationskvalitet fortrolighed Specielle begreber - effektområde påvirkning informations uændrethed sporbarhed validitet sikkerhed frembringer uafviselighed kritikalitet frembringer forbedrer sikringsforanstaltning forringer begrunder sikkerhedsrisiko har krav på patient pårørende sundhedsproducent informationsaktiv kritikalitet kritisk aktiv specificerer konsekvensanalyse sikringsniveau trusselsniveau består af anvender specificerer risikobillede konsekvensvurdering forebyggende sikringsforanstaltning opklarende sikringsforanstaltning udbedrende sikringsforanstaltning formål middel indvirker på grad basal sikringsforanstaltning skærpet sikringsforanstaltning Sikringsfor anstaltning formål risiko aktør aktørrolle organisatorisk sikringsforanstaltning består af formål organisatorisk anvender risikovurdering niveau aktivitet risikostyring sundhedsaktørrolle anvender lokal national frembringer forskrift forskrift risikoanalyse sundhedsaktør udføres af består af beskrivelsesniveau sikkerhedsansvarlig sikkerhedsorganisation sikkerhedskoordinator åbent net lukket net har krav på sikkerhedsuddannelse dataansvarlig Organisatorisk instruks sikkerhedspolitik har forbindelse adgangsbegrænsning revision systemansvarlig med udføres af har driftsansvarlig forbindelse netværk sikringsforanstaltning information brugeradministration med ejer af informationsaktiv består af resulterer i består af genstand adgangsrettighed autoriseringsstype Aktører informationssystem - behandler har forbindelse med dataejer systemejer har forbindelse med differentieret autoriseret adgangsrettighed anvender bruger har forbindelse med sikkerhed bruger legitimitet informations uautoriseret bruger hensigt teknisk sikringsforanstaltning formål middel fysisk logisk kontrolspor sikringsforanstaltning sikringsforanstaltning middel frembringer autentificering logning udføres registrerer vha. væsentlighed kritikalitet hændelse Teknisk sikringsforan password udføres vha. log-on udføres vha. brugernavn staltning middel adgangsbegrænsning anvender funktion log-off sandsynlighed Sikkerheds kritisk hændelse risiko består af forårsager trussel sikkerhedsbrud frembringer oprindelse frembringer sårbarhed personrelateret systemmæssig trussel trussel intentionalitet organisatorisk hændelig forsætlig ekstern trussel intern trussel trussel trussel formål anvender hacker ondsindet kode indvirker på konsekvens trussel uden for kontrol

20 Rapport fra nbs06 Informationssikkerhed Side 20 af Oversigtsdiagram over informationssikkerhed informationssikkerhed består af tilgængelighed integritet fortrolighed forbedrer sikringsforanstaltning begrunder forringer sikkerhedsrisiko indvirker på

DEL 2: METODER OG ARBEJDSFORLØB HÅNDBOG I BEGREBSARBEJDE

DEL 2: METODER OG ARBEJDSFORLØB HÅNDBOG I BEGREBSARBEJDE DEL 2: METODER OG ARBEJDSFORLØB 2006 HÅNDBOG I BEGREBSARBEJDE Håndbog i begrebsarbejde Principper og metoder for arbejdsgrupperne nedsat af Det Nationale Begrebsråd for Sundhedsvæsenet Del 2: Metoder og

Læs mere

IT-sikkerhedspolitik for

IT-sikkerhedspolitik for Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

Begrebsarbejde i Kriminalforsorgen 1 Begrebsarbejde i Kriminalfor-

Begrebsarbejde i Kriminalforsorgen 1 Begrebsarbejde i Kriminalfor- Vejledning for Begrebsarbejde i Kriminalforsorgen 1 Begrebsarbejde i Kriminalfor- Del 1: Forretningsmæssig begrebsafklaring Del 2: Arbejdsproces Del 3: Fra begrebsmodel til konceptuel datamodel Bodil Nistrup

Læs mere

Risikoanalyse af implikationer for privatlivets fred

Risikoanalyse af implikationer for privatlivets fred Risikoanalyse af implikationer for privatlivets fred Appendiks 5 Håndbog i: Privatlivsimplikationsanalyse IT og Telestyrelsen INDHOLDSFORTEGNELSE Risikovurdering af implikationer for privatlivets fred...

Læs mere

Regionernes politiske linje for informationssikkerhed

Regionernes politiske linje for informationssikkerhed Regionernes politiske linje for informationssikkerhed 1 / SUNDHEDSDATA I TRYGGE HÆNDER / Danske Regioner 2015 Regionernes politiske linje for informationssikkerhed Danske Regioner 2015 Layout: UHI, Danske

Læs mere

It-sikkerhedstekst ST4

It-sikkerhedstekst ST4 It-sikkerhedstekst ST4 Datatransmission af personoplysninger på åbne net Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST4 Version 1 Oktober 2014 Datatransmission af personoplysninger

Læs mere

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1 Tilgængelighed, fortrolighed og integritet. Høj kvalitet i informationssikkerhed og dokumentation Hvilken betydning har principper og anbefalinger i sikkerhedsstandarden ISO 27001 for kvaliteten af dokumentationen?

Læs mere

Cirkulære om sikkerhedsforanstaltninger i Kirkenettet

Cirkulære om sikkerhedsforanstaltninger i Kirkenettet Cirkulære om sikkerhedsforanstaltninger i Kirkenettet Cirkulæret omhandler organisatoriske forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af adgangskontrolordninger og autorisationsordninger

Læs mere

IT-SIKKERHEDSPOLITIK UDKAST

IT-SIKKERHEDSPOLITIK UDKAST IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens

Læs mere

Risikostyring ifølge ISO27005 v. Klaus Kongsted

Risikostyring ifølge ISO27005 v. Klaus Kongsted Risikostyring ifølge ISO27005 v. Klaus Kongsted Agenda Dubex A/S Formålet med risikovurderinger Komponenterne Risikovurderinger Dubex A/S fakta og værdier Den førende sikkerhedspartner De bedste specialister

Læs mere

Vejledning i it-risikostyring og -vurdering. Februar 2015

Vejledning i it-risikostyring og -vurdering. Februar 2015 Vejledning i it-risikostyring og -vurdering Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske

Læs mere

Hos Lasse Ahm Consult vurderer vi at følgende supplerende krav i de enkelte kravelementer er væsentlige at bemærke:

Hos Lasse Ahm Consult vurderer vi at følgende supplerende krav i de enkelte kravelementer er væsentlige at bemærke: ISO 9001:2015 (Draft) Side 1 af 9 Så ligger udkastet klar til den kommende version af ISO 9001. Der er sket en række strukturelle ændringer i form af standardens opbygning ligesom kravene er blevet yderligere

Læs mere

Udviklingsseminar. Fælles begreber og terminologi på det sociale område

Udviklingsseminar. Fælles begreber og terminologi på det sociale område Udviklingsseminar Fælles begreber og terminologi på det sociale område Dagens program Præsentation Nogle konkrete eksempler på begrebsarbejde på socialområdet Hvad er begrebsarbejde teori og øvelser Nogle

Læs mere

ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015

ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015 ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015 Udfordringer mht. persondata eksempler For mange brugere har adgang til

Læs mere

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014 Aarhus Kommune IT-sikkerhedspolitik Politik 25-04-2014 Indholdsfortegnelse Politik 1 Indledning 1 Formål 1 Politikkens omfang 2 Ledelsesansvar 2 IT-sikkerhedsorganisationen 2 IT-sikkerhedsniveau 3 IT-sikkerhedshåndbogen

Læs mere

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer plus revision skat rådgivning TABULEX ISAE 3000 DK ERKLÆRING MARTS 2013 Erklæring fra uafhængig revisor om Tabulex ApS overholdelse af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger

Læs mere

Indstilling Master i IT-sikkerhed. Jette Lundin it-vest leder på Handelshøjskolen Lektor på IFI

Indstilling Master i IT-sikkerhed. Jette Lundin it-vest leder på Handelshøjskolen Lektor på IFI Indstilling Master i IT-sikkerhed Jette Lundin it-vest leder på Handelshøjskolen Lektor på IFI Baggrund Med it i alting, Supply Change Management, netværksorganisationer og med systemer sammensat af kommunikerende

Læs mere

Digital strategi, indsatsområde 1, delprojekt 1, Generiske sagsbehandlingsbegreber

Digital strategi, indsatsområde 1, delprojekt 1, Generiske sagsbehandlingsbegreber HØRINGSDOKUMENT Fra: Til: Resumé: David Rosendahl Høringsparter Arbejdsgruppen har identificeret de overordnede og tværgående begreber i sagsbehandlingsprocessen og struktureret og defineret disse generiske

Læs mere

Regulativ for it-sikkerhed i Københavns Kommune

Regulativ for it-sikkerhed i Københavns Kommune Regulativ for it-sikkerhed i Københavns Kommune 2013 2. I medfør af 5 i Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som

Læs mere

NSP Servicevilkå r for Indirekte GW LEVERANDØR

NSP Servicevilkå r for Indirekte GW LEVERANDØR NSP Servicevilkå r for Indirekte GW LEVERANDØR Parter Denne aftale om at anvende den Nationale Serviceplatform (NSP) er indgået mellem Statens Serum Institut (SSI) v/national Sundheds-it (NSI) som systemansvarlig

Læs mere

Datasikkerhedspolitik

Datasikkerhedspolitik Datasikkerhedspolitik Godkendt i Byrådet den 10.november 2008 1 Datasikkerhedspolitik Indhold 1. Indledning 2. Organisation og ansvarsfordeling 2.1 Ansvarsorganisation for datasikkerhed 2.2 Øverste og

Læs mere

It-sikkerhedspolitik for Københavns Kommune

It-sikkerhedspolitik for Københavns Kommune Københavns Kommune Koncernservice It-sikkerhedspolitik for Københavns Kommune 2015-02-05 It-sikkerhedshåndbog for Københavns Kommune It-sikkerhedspolitik for Københavns Kommune Publiceret: 2014-07-03 Mål

Læs mere

KERNEÅRSAGSANALYSE METODEBESKRIVELSE

KERNEÅRSAGSANALYSE METODEBESKRIVELSE KERNEÅRSAGSANALYSE METODEBESKRIVELSE ISBN nr. 978-87-989872-6-0 Udgivet af Dansk Selskab for Patientsikkerhed Hvidovre Hospital, Afsnit P610 Kettegård Alle 30 2650 Hvidovre 2/14 INDHOLD INDHOLD INDHOLD...3

Læs mere

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09 Aabenraa Kommune Informationspolitik : 2014-04-09 Aabenraa Kommune 29. august 2012 Informationspolitik Overordnet Informationssikkerhedspolitik for Aabenraa Kommune Velkommen til Aabenraa Komune s overordnede

Læs mere

Tabulex ApS. Februar 2011 7. erklæringsår. R, s

Tabulex ApS. Februar 2011 7. erklæringsår. R, s Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2011 7. erklæringsår

Læs mere

sundhedsvæsenet og i OIO-sammenhæng Klart sprog i Nordisk konference om klarsprog Bodil Nistrup Madsen DANTERMcentret 16.

sundhedsvæsenet og i OIO-sammenhæng Klart sprog i Nordisk konference om klarsprog Bodil Nistrup Madsen DANTERMcentret 16. Nordisk konference om klarsprog 16. november 2006 Klart sprog i sundhedsvæsenet og i OIO-sammenhæng Bodil Nistrup Madsen DANTERMcentret Institut for Internationale Sprogstudier og Vidensteknologi Copenhagen

Læs mere

Databehandleraftale 2013

Databehandleraftale 2013 Databehandleraftale 2013 For kunder, som anvender hostede/saas INNOMATE HR løsninger 1, forpligter INNOMATE a/s sig på følgende Databehandleraftale: 1. I overensstemmelse med Persondataloven, er INNOMATE

Læs mere

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) 1 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-951-4 0.05.12

Læs mere

Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens:

Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens: DS/ISO 31000 Risikoledelse ISO 31000 - Risikoledelse Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens: overordnede

Læs mere

Juridiske aspekter ved telemedicin. Alice Stærdahl Andersen Jurist, OUH

Juridiske aspekter ved telemedicin. Alice Stærdahl Andersen Jurist, OUH Juridiske aspekter ved telemedicin Alice Stærdahl Andersen Jurist, OUH De næste 15 minutter: MAST-MODELLEN trin 1 overordnet lovgivning MAST-MODELLEN trin 2 det konkrete projekt: Hvem er aktørerne? Hvilke

Læs mere

IT Sikkerhedspolitik. for. Tønder kommune

IT Sikkerhedspolitik. for. Tønder kommune Udkast IT Sikkerhedspolitik for Tønder kommune Side 1 af 13 Indhold Version.... 3 Indledning... 4 Formålet med IT Sikkerhedspolitikken.... 4 Hvem er omfattet af IT Sikkerhedspolitikken.... 5 Ansvar og

Læs mere

Høringssvar til 2. version af akkrediteringsstandarder for sygehuse (DDKM)

Høringssvar til 2. version af akkrediteringsstandarder for sygehuse (DDKM) Høringssvar til 2. version af akkrediteringsstandarder for sygehuse (DDKM) Nedenstående indehold sendes til IKAS 8. februar 2012 via elektronisk skabelon 1. Danske Patienters kommentarer til Forståelighed

Læs mere

SIKRING AF BORGERNES PERSONOPLYSNINGER ENDELIG RAPPORT

SIKRING AF BORGERNES PERSONOPLYSNINGER ENDELIG RAPPORT SIKRING AF BORGERNES PERSONOPLYSNINGER ENDELIG RAPPORT BORGERRÅDGIVERENS EGEN DRIFT-UNDERSØGELSER INDHOLDSFORTEGNELSE 1. INDLEDNING 3 2. KONKLUSION OG SAMMENFATNING 4 3. KONSEKVENSER 6 4. FORSLAG, HENSTILLINGER

Læs mere

Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S. Sendt til: mt@etikportalen.dk

Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S. Sendt til: mt@etikportalen.dk Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S Sendt til: mt@etikportalen.dk 14. marts 2013 Vedrørende behandling af personoplysninger hos Etik Portalerne ApS Datatilsynet Borgergade 28,

Læs mere

Men bare rolig - det er kun dig selv, din læge og sygehusene, som kan få et indblik i dine skavanker.

Men bare rolig - det er kun dig selv, din læge og sygehusene, som kan få et indblik i dine skavanker. Elektronisk journal Undervisningsbilag 3 til temaet: Loven, dine rettigheder og din e-journal Din helbreds-journal ligger på nettet Men bare rolig - det er kun dig selv, din læge og sygehusene, som kan

Læs mere

OVERORDNET IT-SIKKERHEDSPOLITIK

OVERORDNET IT-SIKKERHEDSPOLITIK OVERORDNET IT-SIKKERHEDSPOLITIK Indholdsfortegnelse 1. Indledning....3 2. Formål...3 3. Sikkerhedspolitik...3 4. Dækningsormåde...4 5. Sikkerhedsniveau....4 6. Organisation og ansvar...4 7. Opfølgning...5

Læs mere

FORRETNINGSSTRATEGI SUNDHED.DK

FORRETNINGSSTRATEGI SUNDHED.DK FORRETNINGSSTRATEGI SUNDHED.DK INDHOLD 01 Om dokumentet 3 02 Sundhed.dk s forretning 4 02.1 Mission og vision 4 02.2 Sundhed.dk s position og marked 4 02.3 Sundhed.dk s fundament og leverancer 5 02.4 Målgrupper

Læs mere

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør Dagsorden 1. Præsentation 2. Roskilde Universitet 3. Risikostyring - hvorfor? 4. Ledelsesopbakning 5. ISO27001 6. Forretningsorienteret risikostyring 7. It-teknisk sikkerhedsstyring 8. Hvordan bruges risikostyring

Læs mere

3.g elevernes tidsplan for eksamensforløbet i AT 2015

3.g elevernes tidsplan for eksamensforløbet i AT 2015 Mandag d. 26.1.15 i 4. modul Mandag d. 2.2.15 i 1. og 2. modul 3.g elevernes tidsplan for eksamensforløbet i AT 2015 AT emnet offentliggøres kl.13.30. Klasserne er fordelt 4 steder se fordeling i Lectio:

Læs mere

Sikkerhed i cloud computing

Sikkerhed i cloud computing Sikkerhed i cloud computing Databeskyttelsesdagen 2012 Morten Jørsum Center for Digitalisering Digitaliseringsstyrelsen mjrsm@digst.dk Hvad er cloud computing It som en service: Leveres og betales efter

Læs mere

Informationssikkerhedspolitik for Vejen Kommune

Informationssikkerhedspolitik for Vejen Kommune Informationssikkerhedspolitik for Vejen Kommune Denne politik er godkendt af byrådet d. xx. Og træder i kraft d. xx. Seneste version er tilgængelig på intranettet. Indledning Vejen Byråd fastlægger med

Læs mere

It-sikkerhedstekst ST2

It-sikkerhedstekst ST2 It-sikkerhedstekst ST2 Overvejelser om sikring mod, at personoplysninger kommer til uvedkommendes kendskab i forbindelse med Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST2 Version

Læs mere

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet Sammenfatning Denne vejledning adresserer risikoen for industrispionage fra statssponserede aktører i udlandet mod

Læs mere

Scope Management ITU 11-09-2013 @janhmadsen #ituscpmgt

Scope Management ITU 11-09-2013 @janhmadsen #ituscpmgt Scope Management ITU 11-09-2013 @janhmadsen Dagsorden Oplægsholder Projektstyring Scope Management i en fælles kontekst Definitioner Scope Management - styring af omfang ved projektets start under projektets

Læs mere

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Den finansielle sektor er i dag 100% afhængig af, at it-løsninger er kørende og herudover er sikret i tilfælde af, at noget

Læs mere

Arbejdsformer i datalogiske forundersøgelser

Arbejdsformer i datalogiske forundersøgelser Arbejdsformer i datalogiske forundersøgelser Keld Bødker, Finn Kensing og Jesper Simonsen, RUC/datalogi Projektet foregår i et samarbejde mellem Danmarks Radio, H:S Informatik, WMdata Consulting A/S og

Læs mere

Guide til kravspecifikation

Guide til kravspecifikation Side 1 af 10 10. november 2008 Guide til kravspecifikation Version 1.0. Denne guide indeholder en række råd til brug i kravspecifikationer for IT systemer, der skal anvende NemLog-in løsningen. Hensigten

Læs mere

Digital Signatur OCES en fælles offentlig certifikat-standard

Digital Signatur OCES en fælles offentlig certifikat-standard Digital Signatur OCES en fælles offentlig certifikat-standard IT- og Telestyrelsen December 2002 Resumé Ministeriet for Videnskab, Teknologi og Udvikling har udarbejdet en ny fælles offentlig standard

Læs mere

Region Midtjylland Proces for Change Management

Region Midtjylland Proces for Change Management Region Midtjylland Proces for Change Management Version 1.1 Forord Dette dokument beskriver RMIT s Change Management proces. Processen beskriver minimumskravene (need to have) for at få processen til at

Læs mere

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser INDHOLDSFORTEGNELSE 1. Baggrund og formål... 2 2. Ansvarsfordeling... 2 2.1 Jobcenterchefens ansvar... 2 2.2 Gensidig informationspligt... 3 3. Krav til

Læs mere

Aftale om fælles høj kvalitet i patientuddannelser i Region Sjælland

Aftale om fælles høj kvalitet i patientuddannelser i Region Sjælland Aftale om fælles høj kvalitet i patientuddannelser i Region Sjælland Introduktion Dette dokument beskriver aftalen mellem region og kommuner om fælles høj kvalitet i patientuddannelser i Region Sjælland.

Læs mere

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven).

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven). Bilag 6 Databehandleraftale og databehandlerinstruks 1. Leverandøren overholder de til enhver tid gældende regler og forskrifter for behandling af personoplysninger under Kontrakten, herunder: lov nr.

Læs mere

Konsekvensanalyse/Data Protection Impact Assessment (DIA)

Konsekvensanalyse/Data Protection Impact Assessment (DIA) /Data Protection Impact Assessment (DIA) Nye instrumenter i persondataretten Janne Glæsel (Gorrissen Federspiel) Max Sørensen () Oversigt 01 Kort om konsekvensanalyse/data Protection Impact Assessment

Læs mere

Forvaltning af adgang til Hvordan har du det?-data

Forvaltning af adgang til Hvordan har du det?-data Forvaltning af adgang til -data Retningslinjer pr. august 2012 1. Indledende kommentarer -data (HHDD-data) er indsamlet i 2001, 2006 og 2010. Data baserer sig på postomdelte spørgeskemaer, hvori der spørges

Læs mere

Det erhvervsrelaterede projekt 7. semester. Projekt plan

Det erhvervsrelaterede projekt 7. semester. Projekt plan Det erhvervsrelaterede projekt 7. semester Projekt plan Titel på projekt: TAKSONOM: PETER KRISTIANSENS ARKIV (SKRIVES MED BLOKBOGSTAVER) Projektsted: LARM AUDIO RESEARCH ARCHIVE (SKRIVES MED BLOKBOGSTAVER)

Læs mere

Studerende: Hold: Periode: Ansvarlig klinisk underviser: Initialer: 5 Refleksion. Klinisk vejleder: Initialer: 9 Refleksion. Revideres ultimo 2014

Studerende: Hold: Periode: Ansvarlig klinisk underviser: Initialer: 5 Refleksion. Klinisk vejleder: Initialer: 9 Refleksion. Revideres ultimo 2014 Kompetencekort for sygeplejestuderende i modul 12 Et lærings- og evalueringsredskab i klinisk undervisning Studerende: Hold: Periode: 1 Uge Aftalte samtaler: 1 Studieplan 2 Komp.kort Sygehus: Afsnit: 3

Læs mere

Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6

Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6 Indholdsfortegnelse Generelt 3 Formål 3 Omfang 4 It-sikkerhedsniveau 4 Styring 5 Sikkerhedsbevidsthed 6 Brud på it-sikkerheden 6 Anvendelse af politik for it-sikkerhed i praksis 6 Bilag 1. Anvendelse af

Læs mere

Spillemyndighedens certificeringsprogram. Ledelsessystem for informationssikkerhed SCP.03.00.DK.1.0

Spillemyndighedens certificeringsprogram. Ledelsessystem for informationssikkerhed SCP.03.00.DK.1.0 SCP.03.00.DK.1.0 Indhold Indhold... 2 1 Formålet med ledelsessystem for informationssikkerhed... 3 1.1 Overblik over dette dokument... 3 1.2 Version... 3 2 Certificering... 3 2.1 Certificeringsfrekvens...

Læs mere

RIGSREVISIONEN København, den 15. januar 2007 RN A101/07

RIGSREVISIONEN København, den 15. januar 2007 RN A101/07 RIGSREVISIONEN København, den 15. januar 2007 RN A101/07 Notat til statsrevisorerne i henhold til rigsrevisorlovens 18, stk. 4 Vedrører: Statsrevisorernes beretning 2/06 om statens køb af juridisk bistand

Læs mere

It-sikkerhedstekst ST6

It-sikkerhedstekst ST6 It-sikkerhedstekst ST6 Registrering af en fysisk person med henblik på udstedelse af faktorer til et personligt login Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST6 Version

Læs mere

It-sikkerhed - ledelsens ansvar

It-sikkerhed - ledelsens ansvar Hvordan ser en sikkerhedskoordinator ud? It-sikkerhedsledelse er en profession. Af samme grunde, som man benytter medarbejdere med en regnskabsuddannelse i økonomifunktionen, skal man sikre sig, at it-sikkerhedskoordinatoren

Læs mere

Inspektorordningen status og perspektivering. Handlingsplan. Nationale Råd for Lægers Videreuddannelse

Inspektorordningen status og perspektivering. Handlingsplan. Nationale Råd for Lægers Videreuddannelse Inspektorordningen status og perspektivering Handlingsplan Nationale Råd for Lægers Videreuddannelse 11. marts 2015 En proaktiv Inspektorordning Bruge ressourcerne på de uddannelsesafdelinger, som har

Læs mere

Vidensmedarbejdere i innovative processer

Vidensmedarbejdere i innovative processer Vidensmedarbejdere i innovative processer Vidensmedarbejdere i innovative processer af direktør og partner Jakob Rasmussen, jr@hovedkontoret.dk, HOVEDkontoret ApS 1. Indledning Fra hårdt til blødt samfund

Læs mere

Kvalitetsstyringssystemet for natur- og miljøområdet

Kvalitetsstyringssystemet for natur- og miljøområdet BORNHOLMS REGIONSKOMMUNE TEKNIK & MILJØ Skovløkken 4 3770 Allinge Analyserapport nr. 2 Kvalitetsstyringssystemet for natur- og miljøområdet Ledelsens evaluering 2009-2011. Telefon: 56 92 00 00 E-mail:

Læs mere

Retningslinjer for teknisk revision 2008

Retningslinjer for teknisk revision 2008 23. maj 2008 Side 1/4 Retningslinjer for teknisk revision 2008 I Håndbog for Energikonsulenter 2008 kan konsulenterne bruge faglige vurderinger og forenklinger i forbindelse med beregningen af bygningers

Læs mere

Faaborg-Midtfyn Kommunes it-sikkerhedspolitik Udkast pr. 26. maj 2009

Faaborg-Midtfyn Kommunes it-sikkerhedspolitik Udkast pr. 26. maj 2009 1. Indledning It-anvendelsen i Faaborg-Midtfyn Kommune skal understøtte kommunens vision. Samtidig ønsker Faaborg- Midtfyn Kommune, at medarbejderne har en bevidst holdning til begrebet it-sikkerhed, hvor

Læs mere

Vejledning om sundhedspersoners tavshedspligt dialog og samarbejde med patienters pårørende

Vejledning om sundhedspersoners tavshedspligt dialog og samarbejde med patienters pårørende Sundhedsstyrelsen 2002 Vejledning om sundhedspersoners tavshedspligt dialog og samarbejde med patienters pårørende 1. Formålet med vejledningen Vejledningen redegør for de muligheder og begrænsninger,

Læs mere

Datatilsynets udtalelse af 15. oktober 2009 vedhæftes.

Datatilsynets udtalelse af 15. oktober 2009 vedhæftes. Region Syddanmark Damhaven 12 7100 Vejle Sendt til kontakt@regionsyddanmark.dk 4. februar 2013 Vedrørende sikkerhedsbrist i Region Syddanmark Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29

Læs mere

Rigshospitalets retningslinier for brug af elektroniske sociale medier

Rigshospitalets retningslinier for brug af elektroniske sociale medier Personaleafdelingen Afsnit 5212 Blegdamsvej 9 2100 København Ø Direkte 35 45 64 39 Journal nr.: - Ref.: hep Dato 7. september 2011 Rigshospitalets retningslinier for brug af elektroniske sociale medier

Læs mere

Ledelsesforankret informationssikkerhed. med ISO/IEC 27001

Ledelsesforankret informationssikkerhed. med ISO/IEC 27001 Ledelsesforankret informationssikkerhed med ISO/IEC 27001 02 Indhold > Forord... 03 INTRODUKTION ISO/IEC 27001... 05 Ansvar og opgaver... 07 Standardens indhold... 09 PROCESSEN Procesmodellen... 13 Afstem

Læs mere

Håndværksrådets spørgeskemaundersøgelse. byggeriet

Håndværksrådets spørgeskemaundersøgelse. byggeriet Håndværksrådets spørgeskemaundersøgelse om udbudsmaterialer i byggeriet Håndværksrådets Bygge- & Anlægsudvalg September 2009 1. HVAD SKAL DER TIL FOR AT FORBEDRE BYGGEPROCESSEN Håndværksrådets Bygge- og

Læs mere

Borgernes rettigheder ved anvendelse af video

Borgernes rettigheder ved anvendelse af video Borgernes rettigheder ved anvendelse af video I løbet af de seneste år er anvendelsen af video og tv blevet stadig mere udbredt på de danske veje. Video og tv anvendes i en række sammenhænge: Trafikinformation

Læs mere

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup.

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. Front-safe A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. April 2011 5. erklæringsår R, s Kalvebod Brygge 45, 2., 1560 København

Læs mere

Vejledning om tandlægers journalføring

Vejledning om tandlægers journalføring Vejledning om tandlægers journalføring Formål med vejledningen Vejledningen knytter sig til Bekendtgørelse nr. 942 af 27. november 2003 om tandlægers pligt til at føre ordnede optegnelser (journalføring).

Læs mere

Midlertidige vejledningstekster vedrørende rådgivningspåbud

Midlertidige vejledningstekster vedrørende rådgivningspåbud Midlertidige vejledningstekster vedrørende rådgivningspåbud Disse midlertidige vejledningstekster redegør for, hvilke pligter og opgaver virksomheder og rådgiver har i forhold til følgende typer af rådgivningspåbud:

Læs mere

God it-sikkerhed i kommuner

God it-sikkerhed i kommuner God it-sikkerhed i kommuner En vejledning til kommuner om at skabe et godt fundament for tryg og sikker behandling af kommunens og borgernes oplysninger. Vejledningen beskriver, hvordan DS484-baseret it-sikkerhedsledelse

Læs mere

Finansrådet og Børsmæglerforeningens bemærkninger til udkast til bekendtgørelse om organisatoriske krav

Finansrådet og Børsmæglerforeningens bemærkninger til udkast til bekendtgørelse om organisatoriske krav Finanstilsynet Mai-Brit Campos Nielsen Finansrådet og Børsmæglerforeningens bemærkninger til udkast til bekendtgørelse om organisatoriske krav Finansrådet og Børsmæglerforeningen har modtaget Finanstilsynets

Læs mere

Greve Kommune. Revision af generelle it-kontroller 2011

Greve Kommune. Revision af generelle it-kontroller 2011 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 0 30 Telefax 36 10 0 40 www.deloitte.dk Greve Kommune Revision af generelle

Læs mere

2014-15. Borgerens Plan. Forarbejde til udarbejdelse af projektplan til fremlæggelse i Marts 2015

2014-15. Borgerens Plan. Forarbejde til udarbejdelse af projektplan til fremlæggelse i Marts 2015 Borgerens Plan 2014-15 Forarbejde til udarbejdelse af projektplan til fremlæggelse i Marts 2015 Region Sjælland [Skriv firmaets adresse] [Skriv telefonnummeret] [Skriv faxnummeret] Indhold Baggrund...

Læs mere

PROfessiOnel RisikOstyRing med RamRisk

PROfessiOnel RisikOstyRing med RamRisk 4 Professionel risikostyring med ramrisk www.ramrisk.dk Risikostyring med RamRisk Rettidig håndtering af risici og muligheder er afgørende for enhver organisation og for succesfuld gennemførelse af ethvert

Læs mere

Evaluering af den medicinske behandling i botilbud til sindslidende

Evaluering af den medicinske behandling i botilbud til sindslidende Evaluering af den medicinske behandling i botilbud til sindslidende Delrapport Resumé Regionshuset Århus Center for Kvalitetsudvikling Evaluering af den medicinske behandling i botilbud til sindslidende

Læs mere

Vejledning til. Sikkerhedskvalitetsstyringssystem for driftsledelse

Vejledning til. Sikkerhedskvalitetsstyringssystem for driftsledelse Vejledning til Sikkerhedskvalitetsstyringssystem for driftsledelse 1 Forord Sikkerhedskvalitetsstyringssystem for drift af elforsyningsanlæg (SKS-driftsledelse) indeholder anvisninger på kvalitetsstyringsaktiviteter

Læs mere

frcewtfrhousf(wpers ml

frcewtfrhousf(wpers ml frcewtfrhousf(wpers ml PricewaterhouseCoopers Statsautoriseret Revisionsaktieselskab Nobelparken Jens Chr. Skous Vej I 8000 Árhus C www.pwc.dk Telefon 89 32 00 00 Telefax 89 32 00 IO Erklæring vedrørende

Læs mere

HØRING OVER UDKAST TIL FORSLAG TIL LOV OM CENTER FOR CYBERSIKKERHED SAMT EVALUERING AF GOVCERT-LOVEN

HØRING OVER UDKAST TIL FORSLAG TIL LOV OM CENTER FOR CYBERSIKKERHED SAMT EVALUERING AF GOVCERT-LOVEN Forsvarsministeriet fmn@fmn.dk pah@fmn.dk hvs@govcert.dk WILDERS PLADS 8K 1403 KØBENHAVN K TELEFON 3269 8888 DIREKTE 3269 8805 RFJ@HUMANRIGHTS.DK MENNESKERET.DK J. NR. 540.10/30403/RFJ/MAF HØRING OVER

Læs mere

8 stillingsannoncer inden for kvalitet og udvikling samt lean

8 stillingsannoncer inden for kvalitet og udvikling samt lean 8 stillingsannoncer inden for kvalitet og udvikling samt lean AC Kvalitet og udvikling Erhvervelse af kompetencer indenfor uddannelsesområdet bredt f.eks.: Udvikling, gennemførelse, administration, dokumentation.

Læs mere

IT sikkerhedspolitik. for. Fredericia Kommune

IT sikkerhedspolitik. for. Fredericia Kommune IT sikkerhedspolitik for Fredericia Kommune Side 1 af 17 Versionsstyring Versionsnummer Dato for version Ændring Årsag Ansvar 1.00 01.06.2013 Ny politik godkendt i byrådet PerToftdahl Side 2 af 17 Versionsstyring...

Læs mere

Høringsskabelon regionernes strategi for it-understøttelse af patient empowerment

Høringsskabelon regionernes strategi for it-understøttelse af patient empowerment Høringsskabelon regionernes strategi for it-understøttelse af patient empowerment Høringssvar bedes sendt til helle.hoestrup@regionh.dk senest d. 20. april 2011. Udfyldt af: Lotte Fonnesbæk og Elisabeth

Læs mere

Krav til sikkerhed og sikring af kontanthåndteringscentre, transitstationer og transport af kontanter

Krav til sikkerhed og sikring af kontanthåndteringscentre, transitstationer og transport af kontanter Dansk standard DS 3999 1. udgave 2010-10-12 Krav til sikkerhed og sikring af kontanthåndteringscentre, transitstationer og transport af kontanter Requirements for security of cash centers, transit stations

Læs mere

Den overordnede nationale mission for BAR FOKA s mission fremgår af Arbejdsmiljølovens 14 a:

Den overordnede nationale mission for BAR FOKA s mission fremgår af Arbejdsmiljølovens 14 a: 1. MISSION Den overordnede nationale mission for BAR FOKA s mission fremgår af Arbejdsmiljølovens 14 a: Det enkelte branchearbejdsmiljøråd skal inden for rådets område bistå branchens virksomheder med

Læs mere

Kravspecification IdP løsning

Kravspecification IdP løsning Kravspecification IdP løsning Resume IT-Forsyningen, som varetager IT-drift for Ballerup, Egedal og Furesø Kommuner, ønsker at anskaffe en IdP/Føderationsserverløsning, der kan understøtte en række forretningsmæssige

Læs mere

Nationalt rammepapir om den behandlingsansvarlige læge

Nationalt rammepapir om den behandlingsansvarlige læge 25. marts 2015 Nationalt rammepapir om den behandlingsansvarlige læge Danske Regioner, Kræftens Bekæmpelse, Danske Patienter, Overlægeforeningen og Yngre Læger vil sammen i dette oplæg og via efterfølgende

Læs mere

Risikovurdering Gartneriet PKM

Risikovurdering Gartneriet PKM DM091 - Gruppe 1 Risikovurdering Gartneriet PKM Udarbejdet af: Andreas Harder, Morten Knudsen Lars Vendelbo & Kresten Østerby Indledning Gartneriet PKM producerer på årlig basis ca. 20 millioner planter,

Læs mere

Fredericia 15.09.2011. Principper for indførelse af teknologi i Fredericia Former Fremtiden

Fredericia 15.09.2011. Principper for indførelse af teknologi i Fredericia Former Fremtiden Fredericia 15.09.2011 Principper for indførelse af teknologi i Fredericia Former Fremtiden Principper for indførelse af teknologi i Fredericia Former Fremtiden Indhold Principper for indførelse af teknologi

Læs mere

KVALITETSMODEL BILAG 2

KVALITETSMODEL BILAG 2 KVALITETSMODEL BILAG 2 Eksisterende kvalitets- og akkrediteringsmodeller i kommunerne samt aktuelle forslag og aftaler om kommende modeller Der er i dag flere kvalitets- og akkrediteringsmodeller i drift

Læs mere