Skanderborg Kommune. Uddybende IT sikkerhedsregler. Informationssikkerhedsregler baseret på ISO. Udkast 27002:2017

Transkript

1 Skanderborg Kommune Uddybende IT sikkerhedsregler Informationssikkerhedsregler baseret på ISO 27002:

2 Indholdsfortegnelse 5 Informationssikkerhedspolitikker Retningslinjer for styring af informationssikkerhed Politikker for informationssikkerhed Gennemgang af politikker for informationssikkerhed 1 6 Organisering af informationssikkerhed Intern organisering Roller og ansvarsområder for informationssikkerhed Funktionsadskillelse Kontakt med myndigheder Kontakt med særlige interessegrupper Informationssikkerhed ved projektstyring Mobilt udstyr og fjernarbejdspladser Politik for mobilt udstyr Fjernarbejdspladser 4 7 Personalesikkerhed Før ansættelsen Screening Ansættelsesvilkår og -betingelser Under ansættelsen Ledelsesansvar Bevidsthed om, uddannelse og træning i informationssikkerhed Sanktioner Ansættelsesforholdets ophør eller ændring Ansættelsesforholdets ophør eller ændring 6 8 Styring af aktiver Ansvar for aktiver Fortegnelse over aktiver Ejerskab af aktiver Accepteret brug af aktiver Tilbagelevering af aktiver Klassifikation af information Klassifikation af information Mærkning af information Håndtering af aktiver Mediehåndtering Styring af bærbare medier 9.0

3 8.3.2 Bortskaffelse af medier Fysiske medier under transport 9 9 Adgangsstyring Forretningsmæssige krav til adgangsstyring Politik for adgangsstyring Adgang til netværk og netværkstjenester Administration af brugeradgang Brugerregistrering og -afmelding Tildeling af brugeradgang Styring af priviligerede adgangsrettigheder Styring af hemmelig autentifikationsinformation om brugere Gennemgang af brugeradgangsrettigheder Inddragelse eller justering af adgangsrettigheder Brugernes ansvar Brug af hemmelig autentifikationsinformation Styring af system- og applikationsadgang Begrænset adgang til informationer Procedurer for sikker log-on System for administration af adgangskoder Brug af priviligerede systemprogrammer Styring af adgang til kildekoder til programmer Kryptografi Kryptografiske kontroller Politik for anvendelse af kryptografi Administration af nøgler Fysisk sikring og miljøsikring Sikre områder Fysisk perimetersikring Fysisk adgangskontrol Sikring af kontorer, lokaler og faciliteter Beskyttelse mod eksterne og miljømæssige trusler Arbejde i sikre områder Områder til af- og pålæsning Udstyr Placering og beskyttelse af udstyr Understøttende forsyninger (forsyningssikkerhed) Sikring af kabler Vedligeholdelse af udstyr Fjernelse af aktiver 17.0

4 Sikring af udstyr og aktiver uden for organisationen Sikker bortskaffelse eller genbrug af udstyr Brugerudstyr uden opsyn Politik for ryddeligt skrivebord og blank skærm Driftssikkerhed Driftsprocedurer og ansvarsområder Dokumenterede driftsprocedurer Ændringsstyring Kapacitetsstyring Adskillelse af udviklings test- og driftsmiljøer Beskyttelse mod malware Kontroller mod malware Backup Backup af information Logning og overvågning Hændelseslogning Beskyttelse af logoplysninger Administrator- og operatørlog Tidssynkronisering Styring af driftssoftware Softwareinstallation på driftsystemer Sårbarhedsstyring Styring af tekniske sårbarheder Begrænsninger på softwareinstallation Overvejelser i forbindelse med audit af informationssystemer Kontroller i forbindelse med audit af informationssystemer Kommunikationssikkerhed Styring af netværkssikkerhed Netværksstyring Sikring af netværkstjenester Informationsoverførsel Politikker og procedurer for informationsoverførsel Aftaler om informationsoverførsel Elektroniske meddelelser fortroligheds- og hemmeligholdelsesaftaler Anskaffelse, udvikling og vedligeholdelse af systemer Sikkerhedskrav til informationssystemer Analyse og specifikation af informationssikkerhedskrav Sikring af applikationstjenester på offentlige netværk 27.0

5 Beskyttelse af handelsapplikationer og -tjenester Sikkerhed i udviklings- og hjælpeprocesser Sikker udviklingspolitik Procedurer for styring af systemændringer Teknisk gennemgang af applikationer efter ændring af 28 driftsplatforme Begrænsning af ændringer af softwarepakker Principper for udvikling af sikre systemer Sikkert udviklingsmiljø Outsourcet udvikling Systemsikkerhedstest Systemgodkendelsestest Testdata Sikring af testdata Leverandørforhold Informationssikkerhed i leverandørforhold Informationssikkerhedspolitik for leverandørforhold Håndtering af sikkerhed i leverandøraftaler Forsyningskæde for informations- og kommunikationsteknologi Styring af leverandørydelser Styring af ændringer af leverandørydelser Styring af informationssikkerhedsbrud Styring af informationssikkerhedsbrud og forbedringer Ansvar og procedurer Rapportering af informationssikkerhedshændelser Rapportering af informationssikkerhedssvagheder Vurdering af og beslutning om 33 informationssikkerhedshændelser Håndtering af informationssikkerhedsbrud Erfaring fra informationssikkerhedsbrud Indsamling af beviser Informationssikkerhedsaspekter ved nød-, beredskabs- og 33 reetableringsstyring 17.1 Informationssikkerhedskontinuitet Planlægning af informationssikkerhedskontinuitet Implementering af informationssikkerhedskontinuitet Verificer, gennemgå og evaluer 34 informationssikkerhedskontinuiteten 18 Overensstemmelse 34.0

6 18.1 Overensstemmelse med lov- og kontraktkrav Identifikation af gældende lovgivning og kontraktkrav Immaterielle rettigheder Beskyttelse af registreringer Privatlivets fred og beskyttelse af personoplysninger Regulering af kryptografi Gennemgang af informationssikkerhed Uafhængig gennemgang af informationssikkerhed Overensstemmelse med sikkerhedspolitikker og 37 sikkerhedsstandarder Undersøgelse af teknisk overensstemmelse 37.0

7 5 Informationssikkerhedspolitikker 5.1 Retningslinjer for styring af informationssikkerhed Politikker for informationssikkerhed Sprog for sikkerhedspolitik It-sikkerhedspolitikken udarbejdes på dansk. Omfang af informationssikkerhedspolitik Informationssikkerhedspolitikken er en integreret del af den overordnede informationssikkerhedspolitik. Informationssikkerhed defineres som de samlede foranstaltninger til at sikre fortrolighed, tilgængelighed og integritet. Foranstaltninger inkluderer tekniske, proceduremæssige, regel- og lovmæssige kontroller. Publicering af sikkerhedspolitik Informationssikkerhedspolitikken skal offentliggøres og kommunikeres til alle relevante interessenter, herunder alle medarbejdere Gennemgang af politikker for informationssikkerhed Vedligeholdelse af sikkerhedspolitik OBS Sikkerhedspolitikken skal vedligeholdes af sikkerhedschefen. 6 Organisering af informationssikkerhed 6.1 Intern organisering Roller og ansvarsområder for informationssikkerhed Sikkerhedsorganisation Skanderborg Kommune skal have et forum for informationssikkerhed, der har ansvar for at sikre, at strategien for informationssikkerhed er synlig, koordineret og i overensstemmelse med Skanderborg Kommunes mål. Sikkerhedsansvar for it-funktioner Alle kritiske it-funktioner, der kræver specialviden, færdighed eller erfaring, skal identificeres, og der skal udpeges en driftsansvarlig systemejer. Sikkerhedsansvarlige systemejere for Skanderborg Kommunes forretningskritiske systemer skal identificeres og gøres opmærksom på dette ansvar. Disse ejere skal have ansvar og beføjelser til at sikre tilstrækkelig beskyttelse. Ejerskab Der skal udpeges en systemejer for forretningskritiske systemer. Koordination af informationssikkerheden OBS Ansvaret for koordination af sikkerheden på tværs i organisationen varetages af Skanderborg Kommunes koncernledelse Funktionsadskillelse Sikring af forretningskritiske systemer Side 1 af 37

8 Forretningskritiske systemer skal sikres gennem etableringen af brugerprofiler for at hindre misbrug af disse. For at mindske risikoen for misbrug af privilegier, skal alle systemer beskyttes ved hjælp af funktionsadskillelse. Funktionsadskillelse: udvikling, test og driftsmiljøer Der skal være funktionsadskillelse henholdsvis i forhold til udviklings-, test- og driftsmiljøet Kontakt med myndigheder OBS - Samarbejde med tilsynsmyndigheden for personoplysninger Skanderborg Kommune skal svare tilsynsmyndigheden inden for en rimelig frist, som fastsættes af tilsynsmyndigheden. Svaret skal omfatte en redegørelse for de iværksatte foranstaltninger og de opnåede resultater som reaktion på bemærkningerne fra tilsynsmyndigheden. Kontakt med relevante myndigheder Ved brud på sikkerheden skal der være etableret en procedure for håndtering af bevismateriale og eventuelt kontakt med relevante myndigheder. Hvis personoplysninger kompromitteres, skal databeskyttelsesrådgiveren, DPO, meddele dette til tilsynsmyndigheden inden for 72 timer. Hvis tredjepart behandler personoplysninger, skal denne underrette Skanderborg Kommune hvis et brud på persondatasikkerheden er opstået Kontakt med særlige interessegrupper Information om nye trusler, virus og sårbarheder It-afdelingen skal holde sig orienteret inden for de benyttede platforme. It-afdelingen skal informere relevante personer i ledelsen om nye trusler, som potentielt kan berøre de pågældende forretningsenheder. It-afdelingen er ansvarlig for eksternt samarbejde med de fornødne informationskanaler, herunder samarbejde omkring it-sikkerhed med relevante eksterne interessegrupper og sikkerhedsorganisationer. It-afdelingen skal etablere en proces for identifikation af nye sårbarheder. Der skal udpeges en ansvarlig person eller gruppe for dette. Kontakt med interessegrupper og fora Virksomheden skal oparbejde og vedligeholde kontakt med sikkerhedsfaglige interessegrupper Informationssikkerhed ved projektstyring Projektmodellen skal indeholde følgende overvejelser omkring informationssikkerhed: Kravspecifikationen skal indeholde kravene til informationssikkerhed. Identifikation af nødvendige sikringstiltag skal blandt andet gøres ved hjælp af risikovurderinger. Informationssikkerhed bør være en integreret del af projektledelse. 6.2 Mobilt udstyr og fjernarbejdspladser Politik for mobilt udstyr Mobile enheders tilslutning til andre netværk Det er tilladt at forbinde mobilt udstyr til andre netværk såfremt der benyttes firewall på enheden. Backup af mobile enheder Side 2 af 37

9 Slutbrugere er ansvarlige for backup af deres mobile enheder. Installation af software på mobile enheder Slutbrugere må kun installere apps fra Google Play, Apple Appstore, Windows Store eller Skanderborg Kommunes mdm-løsning på deres mobile enheder. Adgang til bærbare computere Bærbare computere skal beskyttes med adgangskode. BIOS-konfiguration på bærbare pc'er skal beskyttes med adgangskode. Passwordbeskyttelse af privat udstyr It-afdelingen skal sikre, at privat udstyr forsynes med passende passwordbeskyttelse. Medarbejderen forpligter sig til at overholde Skanderborg Kommunes regler for password, ved anvendelse af privat udstyr. Sikkerhedskopiering (backup) af privat udstyr Der foretages ikke sikkerhedskopiering af informationer på privat udstyr. Medarbejderen er ansvarlig for, at sikkerhedskopiere relevante informationer, således at datatab undgås. Sikkerhedskontroller for mobilt udstyr Mobile enheder skal til en hver tid sikres med de systemer og løsninger som defineres af it-afdelingen. Disse foranstaltninger skal opdateres løbende. Ansvar og ejerskab for privat udstyr Medarbejderen forpligter sig til at overholde de samme regler, som gælder for øvrig brug af Skanderborg Kommunes udstyr. Skanderborg Kommune må slette (Wipe) data på privat udstyr, der anvendes til opbevaring af Skanderborg Kommune informationer. Skanderborg Kommune er ikke erstatningspligtig for tyveri, bortkomst, skade eller tab af personlige informationer fra privat udstyr. Skanderborg Kommune kan til en hver tid forbyde brugen af privat udstyr. Fortrolige data på mobile enheder Der må opbevares fortrolige data på mobile enheder, såfremt disse data beskyttes og krypteres med et produkt, der er godkendt af it-afdelingen. Der må ikke opbevares personhenførbare data på mobile enheder. Adgang til mobile enheder Adgang til data på mobile enheder skal være passwordbeskyttet. Systemer, der anvendes til at behandle fortrolige, hemmelige eller klassificerede oplysninger skal anvende automatisk kryptering. Mobile enheder må ikke efterlades uden opsyn i uaflåste rum. Brug af privat udstyr Det er ikke tilladt at tilkoble privat udstyr til Skanderborg Kommunes administrativenetværk. Det er tilladt at koble privat udstyr op mod de services som it-afdelingen stiller tilrådghed for dette, så længe Skanderborg Kommunes sikkerhedsforanstaltninger ikke bliver omgået. Logning og overvågning af privat udstyr Side 3 af 37

10 Brugen af privat udstyr logges og overvåges, som arbejdspladsens øvrige udstyr. Sikkerhed i forbindelse med mobile enheder Brugere af Skanderborg Kommunes bærbare pc'er og andre mobile dataenheder er ansvarlige for at beskytte de data, der behandles på disse, samt enhederne selv Fjernarbejdspladser Adgang fra distancearbejdspladser Der skal anvendes krypteret forbindelse. Adgang gives kun til brugere, der er validerede med brugernavn og adgangskode samt to-faktor-validering. Sikring af hjemmearbejdspladser Hjemmearbejdspladser og deres kommunikationsforbindelser skal beskyttes i forhold til de informationer og forretningssystemer, de benyttes til. 7 Personalesikkerhed 7.1 Før ansættelsen Screening Verifikation af referencer Udvalgte referencer eller eksamensbeviser for betroede medarbejdere skal verificeres. Personaleafdelingen vurderer individuelt nødvendigt omfang af verifikation. Ren straffeattest Ved besættelse af stillinger, hvor dette er relevant, skal ansøgeren forud for ansættelse erklære at være ustraffet, samt ikke at være sigtet eller tiltalt i verserende sager. Baggrundscheck af medarbejdere skal omfatte: Ansøgerens curriculum vitæ. En personlig reference. Uddannelser og professionelle kvalifikationer. Baggrundscheck af ansatte Personaleafdelingen skal tilse, at der sker forsvarligt baggrundscheck af it-medarbejdere. Personaleafdelingen skal tilse, at der sker forsvarligt baggrundscheck af medarbejdere med ansvar for forretningskritiske arbejdsområder Ansættelsesvilkår og -betingelser Samarbejdsaftaler For at sikre, at Skanderborg Kommunes sikkerhedsmålsætning ikke kompromitteres, skal ethvert formaliseret eksternt samarbejde være baseret på en samarbejdsaftale. Aftale om ansættelse Lederen der ansætter faste og midlertidige medarbejdere skal sikre at medarbejderen er fuldt indformeret om medarbejderens ansvar og forpligtelser vedrørende informationssikkerhed. Side 4 af 37

11 7.2 Under ansættelsen Ledelsesansvar Det er ledelsens ansvar at alle medarbejdere: er tilstrækkeligt informeret om deres roller og ansvar i forbindelse med sikkerhed, før de tildeles adgang til Skanderborg Kommunes systemer og data. er gjort bekendt med nødvendige retningslinier, således at de kan leve op til Skanderborg Kommunes informationssikkerhedspolitik. er motiverede til at leve op til Skanderborg Kommunes informationssikkerhedspolitik og retningslinier. holder sig inden for de retningslinier og bestemmelser, der er for ansættelsen, inkl. Skanderborg Kommunes informationssikkerhedspolitik og konkrete arbejdsmetoder Bevidsthed om, uddannelse og træning i informationssikkerhed Uddannelse i sikkerhedspolitikken Alle medarbejdere skal have træning i Skanderborg Kommunes informationssikkerhedspolitik og baggrundsviden omkring denne. Alle medarbejdere modtager løbende instruktioner i overholdelse af Skanderborg Kommunes informationssikkerhedspolitik. Det er en forudsætning for fortsat ansættelse at medarbejdere kvitterer for modtagelse af Skanderborg Kommunes informationssikkerhedspolitik og for intention om at overholde denne. Brugere af Skanderborg Kommunes it-systemer skal holdes informeret om procedurer og politikker for adgangskoder. Træning af medarbejderne i Skanderborg Kommunes informationssikkerhedspolitik skal foregå ved inddragelse af forskellige formidlingsmetoder, eksempelvis ved hjælp af , plakater, rundskrivelser, møder eller kampagner. Alle medarbejdere modtager løbende uddannelse for at sikre viden om og opmærksomhed på informationssikkerhed. Alle nye medarbejdere modtager, senest på første arbejdsdag, Skanderborg Kommunes informationssikkerhedspolitik. Sikkerhedsuddannelse for it-medarbejdere It-medarbejdere skal løbende gennemgå produktspecifik sikkerhedsuddannelse for de it-produkter, der er mest udbredte i Skanderborg Kommune. Alle it-medarbejdere skal specifikt uddannes i sikkerhedsaspekter, for at minimere risikoen for sikkerhedshændelser Sanktioner Overtrædelse af sikkerhedsretningslinierne Det er ledelsens ansvar, at sanktioner for brud på Skanderborg Kommunes politikker, regler eller retningslinier håndhæves konsekvent og i overensstemmelse med gældende lovgivning. Det er ikke tilladt at foretage uautoriseret afprøvning af sikkerheden. Det er ikke tilladt at forsøge at omgå sikkerhedsmekanismer. Hændelser, hvor medarbejdere er involverede, bliver håndteret konsekvent i overensstemmelse med gældende personalepolitik. Bevidste eller gentagne overtrædelser vil medføre disciplinære sanktioner. Side 5 af 37

12 7.3 Ansættelsesforholdets ophør eller ændring Ansættelsesforholdets ophør eller ændring Fortrolighedserklæring og fratrædelse Ved fratrædelse skal der gøres opmærksom på gældende fortrolighedsaftaler. Informationer på privat udstyr, ansættelsens ophør Medarbejderen skal slette Skanderborg Kommunes informationer fra privat udstyr ved ansættelsens ophør. It-afdelingen skal sikre, at Skanderborg Kommunes informationer på privat udstyr ikke er tilgængelige ved ansættelsens ophør. Medarbejderen skal være indforstået med, at enheden nulstilles (wipes) ved ansættelsens ophør. 8 Styring af aktiver 8.1 Ansvar for aktiver Fortegnelse over aktiver Registrering af it-udstyr Der skal vedligeholdes en fortegnelse over samtlige relevante enheder, som er forbundet til virksomhedens itinfrastruktur Ejerskab af aktiver Sikkerhedsansvar for informationsaktiver Inventarlister over systemer med tilhørende ansvarlige ejere skal udarbejdes og vedligeholdes. Ejere betyder de personer der er ansvarlige for sikker drift af systemet. Digitaliseringschefen har ansvar for vedligeholdelse af en liste over samtlige informationssystemer. Listen skal angive henholdsvis den sikkerhedsansvarlige data- og systemejer for hvert enkelt system Accepteret brug af aktiver Brug af 3.-parts applikationer på sociale netværk Du må ikke anvende 3.-parts-applikationer. Overvågning af sociale netværk Browsere på Skanderborg Kommunes pc'er gemmer blandt andet information om din brug af sociale netværk, og du må forvente, at Skanderborg Kommune kan få adgang til denne information. Som led i den almindelige netværksovervågning bliver netværkstrafik til sociale netværk også overvåget. Omfang af brug af sociale netværk Din brug af sociale netværk må ikke genere almindelig drift og brug af Skanderborg Kommunes it-systemer. Du har selv et arbejdsmæssigt ansvar for at kontrollere dit tidsforbrug på sociale netværk. Brug af mobile enheder Bærbart udstyr skal medbringes som håndbagage under rejser. Kryptering af privat udstyr Side 6 af 37

13 Ved overførsel af informationer til/fra privat udstyr skal it-afdelingen sikre, at der anvendes samme krypteringsteknologi som til Skanderborg Kommunes øvrige udstyr. Brugere af sociale netværk skal være specielt opmærksomme på at: De sociale netværk, som du bruger, kan registrere og gemme oplysninger om dig og hvilke informationer du søger og bruger. Informationer som du har lagt ud på et socialt netværk, kan kun meget vanskeligt, måske aldrig, trækkes tilbage. Du vil med stor sandsynlighed opleve at nogen forsøger at franarre dig dine bruger-id''er og/eller dine adgangskoder (phishing). Persondata må aldrig deles på sociale netværk. Brug af cloud services Det er tilladt at benytte de fildelings og cloud services som it-afdelingen stiller til rådighed. Det er ikke tilladt at dele, eller lagre Skanderborg Kommunes informationer i 'skyen', ved brug af cloud serviceudbydere som eksempelvis Dropbox, Google, Evernote mfl. Sociale netværk med forretningsforbindelser Du må gerne "connecte" eller "være ven" med samarbejdspartnere på sociale netværk, forudsat at sikkerhedspolitikken i øvrigt overholdes. Medarbejderes private brug af Det er acceptabelt at benytte til private beskeder i rimeligt og begrænset omfang. Medarbejdere skal markere private s med teksten 'privat' i emne-feltet, eller alternativt gemme private mails i en folder hvor teksten 'privat' indgår i folderens navn. Medarbejderne må anvende mailsystemerne til personligt brug i begrænset omfang, hvis dette ikke har indflydelse på Skanderborg Kommunes drift og sikkerhed i øvrigt. Al mailtrafik betragtes som Skanderborg Kommunes ejendom. Skanderborg Kommune forbeholder sig ret til at skaffe sig adgang til data og for medarbejdere, hvis dette sker af drifts- eller sikkerhedshensyn. Skanderborg Kommune vil så vidt muligt forsøge at undgå at åbne eventuel privat -korrespondance. Anvendelse af cloudløsninger Cloud-løsninger må anvendes, hvis der er et forretningsmæssigt behov og der ikke er væsentlige sikkerhedsmæssige risici forbundet med løsningen. Der skal gennemføres en risikovurdering, hvor de it-sikkerhedsmæsige trusler som er forbundet med cloudløsningen, vurderes, inden aftale indgås. Aftale skal forhånds godkendes af digitaliseringsafdelingen Tilbagelevering af aktiver Returnering af aktiver ved aftrædelse Medarbejderen skal returnere samtlige informationsaktiver, der tilhører Skanderborg Kommune, på sin sidste arbejdsdag. Informationer på privat udstyr, ansættelsens ophør Medarbejderen skal slette Skanderborg Kommunes informationer fra privat udstyr ved ansættelsens ophør. It-afdelingen skal sikre, at Skanderborg Kommunes informationer på privat udstyr ikke er tilgængelige ved ansættelsens ophør. Side 7 af 37

14 Medarbejderen skal være indforstået med, at enheden nulstilles (wipes) ved ansættelsens ophør. 8.2 Klassifikation af information Klassifikation af information Informationer og data skal klassificeres som følger: Ikke fortrolige data. Skal forstås som offentlige data. Materiale, der frit må udleveres til offentligheden. Fortrolige data. Informationer, der er vigtige for kerneområdet i forretningen. Høj tilgængelighed og stor integritet er kritisk, uanset hvilket fortrolighedsniveau, der i øvrigt kræves. Personoplysninger. Personoplysninger er enhver form for information, der kan henføres til bestemte personer, også selv om dette forudsætter kendskab til et personnummer, registreringsnummer eller lignende. Også oplysninger i form af f.eks. et billede eller et fingeraftryk er personoplysninger. De personoplysninger, der ikke falder ind under kategorien følsomme personoplysninger, kan kaldes almindelige personoplysninger. Almindelige personoplysninger kan f.eks. være identifikationsoplysninger som f.eks. navn og adresse, oplysninger om økonomiske forhold, kundeforhold eller andre lignende ikke-følsomme oplysninger. Særligt følsomme personoplysninger. Oplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold samt behandling af genetiske data, biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering. Beskyttelse af klassificerede data ved lagring Uddannelse i klassificering af informationer Alle ansatte skal modtage instruktioner om, hvordan data og dokumenter klassificeres. Ansvar for klassifikation Aktivets ejer har ansvaret for, at aktivet er klassificeret Mærkning af information Klassifikationsmærkning s skal klassificeres. Forretningsgangen for beskyttelse af datamediers indhold skal omfatte: Klar mærkning af alle kopier. Adgangsbegrænsning. Fysiske krav til opbevaringssted, f.eks. temperatur og luftfugtighed ifølge leverandørens specifikationer. Minimering af distribution Håndtering af aktiver Tyveri eller bortkomst af mobilt udstyr Side 8 af 37

15 Medarbejderen er ansvarlig for, at privat udstyr, der anvendes til behandling af Skanderborg Kommunes informationer, opbevares på forsvarlig vis. It-afdelingen skal kontaktes straks, i tilfælde af tyveri/bortkomst af enheden. It-afdelingen skal sikre, at informationer på bortkommet mobilt udstyr kan slettes (wipes). 8.3 Mediehåndtering Styring af bærbare medier Opbevaring og registrering af datamedier Systemejer skal sikre, at medierne eller informationerne på mediet klassificeres, og at brugere er instrueret i at opbevare mediet i henhold til regler for klassifikationen. Brug af bærbare medier til fortrolige data Fortrolige informationer skal krypteres, når de opbevares eller transporteres på bærbare medier, f.eks. USBhukommelse, tablets, telefoner, dvd'er eller disketter Bortskaffelse af medier Bortskaffelse og genbrug af medier Beholdere med papirmateriale til destruktion skal holdes aflåste. Alle datamedier skal slettes inden genbrug. Hvis en ekstern leverandør benyttes til destruktion af virksomhedens datamedier, skal det sikres at leverandøren efterlever de aftalte sikkerhedskrav. Alle datamedier, f.eks. harddiske, disketter, cd'er, dvd'er, bånd og hukommelsesenheder skal sikkerhedsslettes eller destrueres inden bortskaffelse Fysiske medier under transport Transport af medier Udstyr eller medier, der indeholder fortrolig information må kun forsendes med sikker kurer, eller via en præcis sporbar leveringsmetode. Benyttelse af bærbare datamedier skal være forretningsmæssigt begrundet. Der skal føres en log over medier med fortrolige informationer, som er blevet flyttet fra sikre områder. Loggen skal opbevares i ESDH system og være tilgængelig for revision. 9 Adgangsstyring 9.1 Forretningsmæssige krav til adgangsstyring Politik for adgangsstyring Brugeradministration, outsourcingleverandør Leverandøren skal følge Skanderborg Kommunes regler for brugerstyring. Begrænset adgang til informationer Adgang til systemfunktioner og informationer for brugere og personer med supportfunktioner skal administreres efter princippet: blokering af adgang til alt andet end det, som specifikt er tilladt. Brugere og medarbejdere med supportfunktioner må kun få adgang til systemfunktioner og informationer, hvis dette er forretningsmæssigt begrundet. Side 9 af 37

16 Inddragelse af privilegier ved fratrædelse Adgangsrettigheder skal inddrages i forbindelse med en medarbejders fratrædelse eller afskedigelse. Registrering af brugere Serviceleverandørerer skal anvende tilsvarende eller samme autorisationsprocedure som Skanderborg Kommune. Systemejer skal autorisere brugeradgang. It-afdelingen skal vedligeholde fortegnelser over, hvordan bruger-id eller rettigheder fjernes eller ændres ved ophør eller ændring af brugeres jobfunktion. Der skal ske en verifikation af, at rettighedsniveauet er i overensstemmelse Skanderborg Kommunes generelle sikkerhedsretningslinier. Procedurer for autorisation af brugeradgang skal omfatte en formel autorisationsformular i hvilken de nødvendige privilegier specificeres. Processerne for tildeling af adgangsrettigheder skal indeholde: Kontrol af, om de ønskede adgangsrettigheder er i overensstemmelse med Skanderborg Kommunes behov. Hvordan brugere eller brugerrettigheder fjernes eller ændres ved ophør af eller ændringer i brugeres jobfunktioner. Kontrol af, om de ønskede adgangsrettigheder på nogen måde er i strid med kravet om funktionsadskillelse. Kontrol af, om adgangsrettigheder er i overensstemmelse med klassificeringen af oplysningerne. Kontroller der sikrer, at der ikke sker brud på relevant lovgivning og kontrakter ved disse adgangsrettigheder Adgang til netværk og netværkstjenester Opdeling af netværk It-afdelingen skal segmentere netværk for at etablere en passende adskillelse imellem forskellige tjenester, brugergrupper eller systemer. Mindstekrav til netværkssegmentering er, at it-afdelingen etablerer en "demilitariseret zone" (DMZ), hvor offentligt tilgængelige servere placeres adskilt fra internt tilgængelige servere. Forbindelse til fremmede trådløse netværk Brugere må forbinde sig til fremmede trådløse netværk. Adgang til trådløse netværk Brugere skal autentificeres, ved hjælp af et certifikat, før der gives adgang til Skanderborg Kommunes administrative trådløse netværk, f.eks. ved hjælp af IEEE 802.1x. Styring af netværksadgang Adgangskontrolsystemet skal som standard være konfigureret til at blokere al anden adgang end den, som er specifikt tilladt. Der skal implementeres adgangskontrolsystem, som dækker samtlige systemkomponenter. It-afdelingen skal ved styring af brugernes netværksadgang sikre imod uautoriseret anvendelse af fælles netværk og hertil knyttede tjenester. Adgang til applikationer på Skanderborg Kommunes netværk Der gives kun adgang til applikationer på internt netværk, som er sikkerhedsgodkendt af it-afdelingen. Overvågning af netværk Side 10 af 37

17 It-afdelingen skal have den nødvendige viden og redskaber til overvågning af Skanderborg Kommunes netværk, f.eks. til fejlretning samt detektering og sporing af sikkerhedshændelser. It-afdelingen er ansvarlig for kontinuerligt at overvåge brugen og sikkerheden af Skanderborg Kommunes netværksinfrastruktur. It-afdelingen er ansvarlig for identificering, diagnosticering, løsning og rapportering af hændelser, samt for samarbejde med andre interessenter. It-afdelingen skal løbende overvåge netværk med henblik på detektering af brud på sikkerheden. It-afdelingen skal årligt udføre evalueringer af regler for netværkstrafik i firewalls og routere. Autentificering ved adgang til netværket Fjernadgang til det interne netværk skal beskyttes ved hjælp af VPN med individuelle certifikater fra enheder tilhørende Skanderborg Kommune. To-faktor autentifikation skal benyttes ved fjernadgang til Skanderborg Kommunes netværk, fra privat udstyr. Retningslinier for brug af netværkstjenester Brugere skal kun have adgang til de tjenester, de er autoriseret til at benytte. 9.2 Administration af brugeradgang Brugerregistrering og -afmelding Identifikation og autentifikation af brugere Der skal benyttes en passende autentifikationsteknik til verifikation af brugernes identitet. Alle brugere skal have en unik identitet til personlig brug. Brugeridentiteten skal kunne spores til den person, som er ansvarlig for en given aktivitet. Der må ikke anvendes fælles adgangskoder eller brugerprofiler. Fratrædelse Når ansættelse eller midlertidige kontrakter ophæves, skal alle tilknyttede rettigheder trækkes tilbage. ID-kort og lignende skal afleveres, og it-udstyr skal inddrages inden sidste lønning udbetales. Ved fratrædelse skal alle brugerprofiler og systemrettigheder for brugeren øjeblikkeligt nedlægges. Brugeradministration, cloudløsning Skanderborg Kommune skal sikre at der er etableret procedurer, der sikrer at der er tilstrækkelig brugerstyring, herunder at der sker nedlukning ved afsked og at der nødprocedurer for lukning af 'bad leavers'. Skanderborg Kommune skal sikre at der er sporbarhed, således at det er muligt at kunne logge brugeres adgang til klassificerede informationer. Identifikation af brugerprofiler for eksterne brugere Bruger-ID skal udarbejdes efter en standard-navnekonvention. Dette gælder også for gæster, konsulenter og lignende således, at disse let kan identificeres. Eksterne brugerprofiler skal, gennem konsistent navngivning, være tydeligt adskilt fra fastansatte medarbejderes brugerprofiler. Gennemgang af brugerprofiler Systemejerne skal gennemgå alle brugerprofiler mindst hver halve år for at identificere inaktive profiler eller tilsvarende, der skal fjernes eller ændres Tildeling af brugeradgang Side 11 af 37

18 9.2.3 Styring af priviligerede adgangsrettigheder Skift af administratoradgangskode ved fratrædelse Hvis en person med kendskab til administrative adgangskoder fratræder, skal disse adgangskoder ændres med det samme. Administration af privilegier Administratorkonti må ikke benyttes til ikke-administrative opgaver. Konti med administrative rettigheder skal tildeles til særskilte og personlige bruger-id. Udvidede adgangsrettigheder Der skal benyttes særlige brugeridentiteter til de udvidede rettigheder af hensyn til overvågning og opfølgning. De udvidede adgangsrettigheder skal registreres. De udvidede adgangsrettigheder må kun tildeles i begrænset omfang og alene ud fra et arbejdsbetinget behov. Ændring af administrative adgangskoder Administrative adgangskoder skal ændres hvis udenforstående får kendskab til disse, herunder hvis administratorer forlader firmaet. Administrative adgangskoder skal følge samme minimumsregler som øvrige adgangskoder. Administrative adgangskoder skal ændres hvert kvartal. Tildeling af brugerrettigheder Den systemansvarlige for et it-system bestemmer nødvendige brugerrettigheder for systemet Styring af hemmelig autentifikationsinformation om brugere Overdragelse af adgangskode Adgangskoder må ikke overdrages på ukrypterede forbindelser, f.eks . Adgangskoder kan overdrages verbalt, også f.eks. over telefonen. Retningslinier for adgangskoder It-afdelingen skal etablere og vedligeholde en procedure for tildeling af midlertidige adgangskoder. It-afdelingen skal etablere og vedligeholde en procedure for, hvordan en brugers identitet fastslås, før en ny midlertidig adgangskode må udleveres. Midlertidige adgangskoder skal være unikke, må ikke genbruges og skal opfylde de almindelige krav til adgangskoder. Ved brugeroprettelse eller nulstilling af adgangskode skal brugere tildeles en sikker, midlertidig adgangskode, som skal ændres umiddelbart efter første anvendelse Gennemgang af brugeradgangsrettigheder Gennemgang af administrativ adgang Brugere med administrativ adgang skal gennemgås hver 3. måned Inddragelse eller justering af adgangsrettigheder Returnering af aktiver ved aftrædelse Medarbejderen skal returnere samtlige informationsaktiver, der tilhører Skanderborg Kommune, på sin sidste arbejdsdag. Side 12 af 37

19 Brugerprofiler for konsulenter og deltidsansatte Midlertidigt personale tildeles ikke normalt adgang til it-systemerne. Begrænset adgang kan tildeles efter godkendelse fra den systemejer. Medarbejderes omplacering Ved ændringer af roller for medarbejderne skal rettigheder og privilegier revurderes. Dette gælder især for kritiske systemer. 9.3 Brugernes ansvar Brug af hemmelig autentifikationsinformation Valg af sikre adgangskoder En bruger må ikke kunne vælge en adgangskode, der er identisk med en af de seks senest benyttede adgangskoder. Krav til længde af adgangskode Adgangskoder skal indeholde mindst 8 tegn. Krav til indhold af adgangskode Adgangskoder skal indeholde kombinationer fra mindst tre af følgende kategorier: store bogstaver, små bogstaver, tal og specialtegn. Genbrug af adgangskode Medarbejderne må ikke anvende samme adgangskode til Skanderborg Kommunes infrastruktur som til adgang til tredjeparts udstyr, f.eks. internet-websteder og netbanker. Omfattende brug af samme adgangskode på tredjepart-systemer øger sandsynligheden for, at adgangskodens fortrolighed krænkes. Krav til skift af adgangskode Adgangskoder skal skiftes efter højst 90 dage. Brug af autologin funktioner Automatiseret log-in til systemer og applikationer må ikke anvendes. Lagring af adgangskoder Adgangskoder må aldrig lagres elektronisk i klartekst. Adgangskoder er strengt personlige Adgangskoder er strengt personlige og må ikke deles med andre. 9.4 Styring af system- og applikationsadgang Begrænset adgang til informationer Adgang til funktionalitet og data i forretningssystemer Informationssystemer skal overholde Skanderborg Kommunes adgangskontrolpolitik. Politikken for adgangskontrol på de enkelte systemer skal baseres på en risikovurdering og på de forretningsmæssige behov. Side 13 af 37

20 Adgang til data på Skanderborg Kommunes netværk Ved fjernadgang til data på Skanderborg Kommunes netværk, må der ikke gemmes data på lokale harddiske eller andre eksterne medier Procedurer for sikker log-on Automatiske afbrydelser Funktioner i et informationsbehandlingssystem, der ikke har været aktivt i et fastlagt tidsrum, skal automatisk afbrydes. Sikre login-procedurer skal indbefatte: At data fra systemet eller applikationen ikke vises ved login Vise en advarsel om, at kun autoriserede brugere kan få adgang til systemet. Begrænsning af oplysninger, der kan benyttes af en uautoriseret bruger i forbindelse med login. Beskyttelse mod brute-force login-forsøg. Logning af succesfulde login-forsøg. Logning af mislykkede login-forsøg. At indtastede adgangskoder ikke vises. At der ikke sendes adgangskoder i klartekst over netværk. Sikker log-on Systemadgang skal beskyttes af en sikker log-on-procedure System for administration af adgangskoder Implementering af et system til håndtering af adgangskoder For at håndhæve Skanderborg Kommunes regler for adgangskoder, skal der implementeres håndtering af adgangskoder for samtlige systemer Brug af priviligerede systemprogrammer Brug af systemværktøjer Hvor funktionsadskillelse er påkrævet, må brugere ikke have adgang til både systemværktøjer og brugersystemer. It-afdelingen skal begrænse og styre adgangen til systemværktøjer, f.eks. utilities, der kan påvirke eller omgå systemers eller enheders sikkerhed Styring af adgang til kildekoder til programmer Adgangskontrol for kildetekst Kildetekst til applikationer under udvikling skal beskyttes med adgangskontrolsystemer for at sikre integriteten. Kontrolleret adgang til kildekode Kildekode må ikke opbevares i driftsmiljøet. Kildekoden til udviklingsprojekter skal sikres mod uautoriseret adgang. Ændringer skal kontrolleres for at sikre integritet. Dette gælder især kritiske applikationer. Alle adgange til kildebibliotekerne skal logges. Side 14 af 37

21 10 Kryptografi 10.1 Kryptografiske kontroller Politik for anvendelse af kryptografi Brug af kryptering i forbindelse med opbevaring af data Adgangskoder skal krypteres, når de opbevares på en systemkomponent. Fortrolige informationer skal altid være krypteret, når de opbevares på transportabelt udstyr, f.eks. på bærbare computere, håndholdte computere m.m. Kryptering af harddiske Indholdet af harddiske på bærbare computere skal altid krypteres. Kryptering af filer Filer med dokumenter, klassificeret som fortroligt, skal beskyttes ved hjælp af kryptografi Administration af nøgler Nøglehåndtering Procedurer for nøglehåndtering skal beskrive hvordan uautoriseret udskiftning af nøgler forhindres samt hvordan opdeling af samlet kendskab til nøgler på to eller tre personer (split knowledge) foregår. Adgang til krypteringsnøgler skal begrænses til færrest mulige nøgleforvaltere/kustoder. Proceduren for nøglehåndtering skal beskrive hvordan generering, distribution, opbevaring og destruktion af nøgler håndteres. Proceduren for nøglehåndtering skal beskrive hvordan tilbagekaldelse af gamle eller ugyldige nøgler håndteres. Proceduren for nøglehåndtering skal beskrive, hvordan periodisk skift af krypteringsnøgler skal foregå. Udskiftning skal ske mindst en gang om året eller som anbefalet i forbindelse med konkret anvendte applikationer. 11 Fysisk sikring og miljøsikring 11.1 Sikre områder Fysisk perimetersikring Overvågning i sikre områder Videokameraer, som benyttes til overvågning af sikre områder, skal placeres inden for det sikre område eller på anden vis beskyttes mod modifikationer og deaktivering. Forsikringsteamet er ansvarlig for videoovervågning i Skanderborg Kommune. Videooptagelser fra sikre områder skal opbevares i mindst 14 dage. Gæsters adgang Gæster skal ledsages ved besøg. Gæster må ikke lukkes ind i sikrede områder, medmindre tilladelse til dette er indhentet af den relevante ansvarlige. Gæster må kun færdes, når de er ledsaget af en medarbejder. Indbrudsalarmer Skanderborg Kommune skal anvende passende alarmsystemer på relevante bygninger og lokaler. Side 15 af 37

22 Adgang til maskinstuer og it-klargøringsrum Adgangen skal beskyttes med ADK eller kodelås, og koden må kun kendes af sikkerhedsgodkendte medarbejdere Fysisk adgangskontrol Adgangskort Adgangskontrolkort er personlige. De skal opbevares forsvarligt og må ikke overdrages til tredjepart. Adgangskort til håndværkere og andet midlertidigt personale Håndværkere, reparatører, teknikere og andre gæster, der får udleveret midlertidige adgangskort, skal bære disse synligt. Gæsten må færdes uledsaget hvis ansvarlig leder har godkendt dette. Registrering af gæster Gæster skal indskrives ved ankomst, bære synlige gæstekort når de færdes i Skanderborg Kommunes bygninger, og udskrives når de forlader området. Der skal føres en logbog over gæster og deres aktiviteter. Loggen skal opbevares i minimum tre måneder. Gæsters navn, virksomhed samt navnet på den medarbejder, der har autoriseret gæstens adgang skal registreres Sikring af kontorer, lokaler og faciliteter Oplysninger om sikre områder Oplysninger om sikre områder og deres funktion skal alene gives ud fra et arbejdsbetinget behov Beskyttelse mod eksterne og miljømæssige trusler Brandsikring Serverrum må ikke benyttes som lager for brændbare materialer. Serverrum skal sikres med veldimensioneret brandslukningsudstyr. Miljømæssig sikring af serverrum Serverrum og tilsvarende områder skal på forsvarlig vis sikres mod miljømæssige hændelser som brand, vand, eksplosion og tilsvarende påvirkninger. Forsyningssikkerhed It-chefen har ansvaret for, at alle forsyninger i forbindelse med serverrum m.m, som elektricitet, vand, kloak, varme, og ventilation har den fornødne kapacitet, og løbende inspiceres for at forebygge uheld, der kan have indflydelse på informationsaktiverne. Data-og telekommunikationsforbindelser skal etableres via minimum to adgangsveje for datacenter og internet Arbejde i sikre områder Aflåsning af lokaler og bygninger Alle døre og vinduer skal kunne låses forsvarligt Områder til af- og pålæsning Af- og pålæsningsområder Side 16 af 37

23 Af- og pålæsningsområder skal indrettes, så risiko for uautoriseret adgang til Skanderborg Kommunes øvrige områder mindskes. Adgang til af- og pålæsningsområder må kun gives til identificerede og autoriserede personer Udstyr Placering og beskyttelse af udstyr Adgang til serverrum og hovedkrydsfelter Adgang til serverrum og hovedkrydsfelter tillades kun med sikkerhedsgodkendelse eller ved overvåget adgang af medarbejdere fra it-afdelingen. Spisning og rygning i nærheden af udstyr Der må ikke ryges i serverrum. Der må ikke spises og drikkes i nærheden af forretningskritisk udstyr. Der må ikke spises og drikkes i serverrum. Distribueret it-udstyr Alle krydsfelter, afdelings-serverrum og lignende faciliteter med delt it-udstyr skal aflåses for at hindre uautoriseret adgang til disse. Aflåsning af hovedkrydsfelter og lignende teknikrum Alle krydsfelter og andre teknikrum skal være aflåste Understøttende forsyninger (forsyningssikkerhed) Køling Serverrum skal sikres med veldimensionerede airconditionanlæg. Nødstrømsanlæg Alle server-systemer skal beskyttes med nødstrømsanlæg til at sikre hurtig og korrekt system-nedlukning i tilfælde af strømudfald Sikring af kabler Sikring af kabler Kabler til datakommunikation skal beskyttes mod uautoriserede indgreb og skader. Faste kabler og udstyr skal mærkes klart og entydigt Vedligeholdelse af udstyr Vedligeholdelse af udstyr og anlæg Kun godkendte leverandører må udføre reparationer og vedligeholdelse Fjernelse af aktiver Fjernelse af udstyr fra Skanderborg Kommune Udstyr må kun fjernes fra Skanderborg Kommune, hvis der foreligger en underskrevet kvittering på det udleverede. Side 17 af 37

24 Sikring af udstyr og aktiver uden for organisationen Fortrolige informationer i offentlige rum Der skal udvises forsigtighed ved omtale af fortrolige informationer i offentlige rum. Fortrolige informationer må ikke efterlades uden opsyn i offentligt tilgængelige rum Sikker bortskaffelse eller genbrug af udstyr Bortskaffelse eller genbrug af udstyr Når udstyr bortskaffes eller genbruges, skal kritiske/følsomme informationer og licensbelagte systemer fjernes eller overskrives. Bortskaffelse af udstyr der indeholder data, skal håndteres af Skanderborg Kommunes it-afdeling Brugerudstyr uden opsyn Placering af udstyr Udstyr skal placeres eller beskyttes, så risikoen for skader og uautoriseret adgang minimeres. Udstyr, der benyttes til at behandle kritiske/følsomme informationer, skal placeres så informationerne ikke kan ses af uvedkommende Politik for ryddeligt skrivebord og blank skærm Brug af adgangskodebeskyttet pauseskærm Adgangskodebeskyttet skærmlås skal aktiveres på pc-arbejdspladser efter 5 minutters inaktivitet. Hvis medarbejderen forlader sin pc skal skærmlås aktiveres. Opbevaring af fysiske dokumenter Skriveborde skal ryddes for fortrolige dokumenter senest ved arbejdsdagens afslutning. Dokumenter med personhenførbare oplysninger må ikke ligge med forsiden opad, når skrivebordet forlades. Dokumenter med personhenførbare oplysninger skal opbevares i aflåst skab eller skuffe efter arbejdstid. Fortrolige dokumenter skal opbevares i aflåst skab eller skuffe. 12 Driftssikkerhed 12.1 Driftsprocedurer og ansvarsområder Dokumenterede driftsprocedurer Sikring af arbejdsstationer inden ibrugtagning Alle arbejdsstationer skal installeres ved brug af den, af it-afdelingen, fastlagte procedure. Alle arbejdsstationer skal sikres inden brug. Minimum sikring inkluderer installation af seneste sikkerhedsrettelser for operativsystemet og antivirus-program. Driftsansvar It-afdelingen er ansvarlig for drift og administration af fælles it-systemer som eks. Windows og Office pakke, samt disses sikkerhed. Dette inkluderer efterlevelse af sikkerhedspolitikker, regler og procedurer. Driftsafviklingsprocedurer Side 18 af 37

25 Driftsafviklingsprocedurer for forretningskritiske systemer skal være dokumenterede, ajourførte og tilgængelige for driftsafviklingspersonalet og andre med et arbejdsbetinget behov. Operationelle procedurer skal indeholde installationen, konfiguration af systemer samt en beskrivelse af, hvordan databehandling håndteres manuelt og automatiseret (services og batch jobs). Operationelle procedurer skal omfatte krav til og konfiguration af backup, job-schedulering, sikkerhedskonfigurationer og instruktioner til håndtering af fejl. Driftsprocedurer skal omfatte beskrivelser af genopretnings- og retableringsprocedurer samt konfiguration af overvågnings-og revisionsspor. Sikring af serversystemer Alle servere skal hærdes gennem deaktivering af unødvendige og usikre services og protokoller. Alle systemkomponenter skal hærdes gennem deaktivering eller fjernelse af unødvendige funktioner (f.eks. scripts, drivere, underliggende filsystemer og webservere). Registrering af driftsstatus It-afdelingen er ansvarlig for at identificere, logge og håndtere hændelser og afvigelser i driften af de it-systemer de er ansvarlige for. It-afdelingen skal registrere væsentlige forstyrrelser og uregelmæssigheder i driften af systemerne samt årsager hertil. Sikkerhed i systemplanlægning Ved planlægning af systemer skal sikkerhedsbetragtninger altid medtages i overvejelserne. Herunder privacyby-design. Konfigurationsstandarder for samtlige systemkomponenter skal kunne håndtere alle kendte sårbarheder og være overensstemmende med branche-accepterede standarder for hærdning af systemer. It-sikkerhedskrav skal tages i betragtning ved design, aftestning, implementering og opgradering af it-systemer samt ved systemændringer Ændringsstyring Planlægning, test og godkendelse af ændringer Ændringer skal igennem en formaliseret godkendelsesprocedure inden drift. Ændringer skal planlægges og afprøves inden de sættes i drift. Ændringernes konsekvenser skal vurderes inden drift. Ændringsstyring Der skal indhentes en godkendelse af ændringen, før arbejdet med den går i gang. Der skal vedligeholdes et kontrolspor for alle ændringer på forretningskritiske systemer. Driftsdokumentation og forretningsgange for brugerne skal holdes opdateret, således at de stadig er gældende efter ændringen. Ved ændringer skal der foregå en gennemgang af sikringsforanstaltninger og integritetskontroller for at sikre, at disse ikke forringes ved implementeringen. Der skal foretages test af driftsfunktionaliteten før ændringer gennemføres. Der skal foretages test af ændringer i netværk, firewall og routere. Migreringsstyring Proceduren for ændringshåndtering skal omfatte test af den operationelle funktionalitet i forbindelse med den enkelte ændring. Side 19 af 37