Retningslinjer for informationssikkerhed i Horsens Kommune
|
|
- Ella Mathiasen
- 5 år siden
- Visninger:
Transkript
1 Retningslinjer for informationssikkerhed i Horsens Kommune Senest opdateret september 2016
2 Indholdsfortegnelse INDLEDNING... 4 LÆSEVEJLEDNING RISIKOSTYRING RISIKOVURDERINGSPROCESSEN RISIKOHÅNDTERING SIKKERHEDSPOLITIK ORGANISERING AF INFORMATIONSSIKKERHED MEDARBEJDERE ANSÆTTELSESFORHOLDET SIKKERHEDSPROCEDURER FØR ANSÆTTELSE ANSÆTTELSENS OPHØR KRITISKE PROCESSER SAMT KLASSIFIKATION AF SYSTEMER OG DATA KRITISKE FORRETNINGSPROCESSER SYSTEM KLASSIFIKATION DATA KLASSIFIKATION ADGANGSSTYRING DE FORRETNINGSMÆSSIGE KRAV TIL ADGANGSSTYRING ADMINISTRATION AF BRUGERADGANG BRUGERENS ANSVAR MOBILT UDSTYR OG FJERNARBEJDSPLADSER ADGANG FOR EKSTERN LEVERANDØRER KRYPTOGRAFI FYSISK SIKKERHED SIKRE OMRÅDER BESKYTTELSE AF UDSTYR DRIFTSIKKERHED FUNKTIONSADSKILLELSE UAFHÆNGIGHED AF NØGLEPERSONER OPERATIONELLE PROCEDURER OG ANSVARSOMRÅDER STYRING AF DRIFTSMILJØ SKADEVOLDENDE PROGRAMMER SIKKERHEDSKOPIERING LOGNING OG OVERVÅGNING DRIFTSBEREDSKAB
3 13. KOMMUNIKATIONSSIKKERHED NETVÆRKSSIKKERHED INFORMATIONSOVERFØRSEL ANSKAFFELSE, UDVIKLING OG VEDLIGEHOLDELSE AF IT-SYSTEMER SIKKERHEDSKRAV TIL INFORMATIONSBEHANDLINGSSYSTEMER VURDERING AF SYSTEMDATA STYRING AF DRIFTSMILJØET SIKKERHED I UDVIKLINGS- OG HJÆLPEPROCESSER DATABEHANDLERAFTALER STYRING AF SIKKERHEDSHÆNDELSER PÅ IT-OMRÅDET HÅNDTERING AF SIKKERHEDSBRUD OG FORBEDRINGER RAPPORTERING AF SIKKERHEDSHÆNDELSER OG SVAGHEDER IT-BEREDSKABSSTYRING GODKENDELSE BILAG 1: INDHOLD AF RAPPORTERING TIL DIREKTIONEN ÅRLIG RAPPORTERING AD HOC RAPPORTERING BILAG 2: DAGSORDEN FOR INFORMATIONSSIKKERHEDSUDVALGSMØDER BILAG 3: MEDARBEJDER I INFORMATIONSSIKKERHEDSORGANISATIONEN BILAG 4: ROLLEBESKRIVELSER BILAG 5: BEGREBSAFKLARING BILAG 6: DEFINITION AF KRITISKE FORRETNINGSPROCESSER
4 Indledning Dette dokument har til formål at understøtte Horsens Kommune informationssikkerhedspolitik ved at fastlægge de konkrete retningslinjer, der sikrer, at organisationen lever op til politikken. Dokumentet ejes og vedligeholdes af kommunens Informationssikkerhedsudvalg. Da indholdet af retningslinjerne kontinuerligt udvikles som en del af det løbende informationssikkerhedsarbejde, kan der optræde afvigelser i forhold til den faktiske status. Der henvises her til SoA-dokumentet 1, hvor der gives en oversigt for igangværende udviklingstiltag. Læsevejledning Rækkefølgen for de kommende afsnit er opsat efter det kontrolnummer, som afsnittet relaterer sig til i ISO standarden. Derfor vil overskrifterne starte med en reference til ISO Risikostyring Det ligger i ISO-standardens præmis, at informationssikkerhed skal styres på baggrund af en risikobaseret tilgang til informationssikkerheden. Risikostyringen i Horsens Kommune påhviler informationssikkerhedsudvalget og understøttes af informationssikkerhedskoordinatoren. Arbejdet har til formål at skabe forståelse for de trusler og sårbarheder, som Horsens Kommune står overfor samt de tilhørende konsekvenser og sandsynlighed for, at disse risici bliver til virkelighed. Risikostyringen skal dermed gør ledelsen bekendt med risici, så den kan prioritere ressourcerne effektivt i forhold til, hvor de gør mest gavn. 4.1 Risikovurderingsprocessen Risikostyringen tager udgangspunkt i risikovurderingsprocessen. Her identificeres, analyseres og evalueres risici med udgangspunkt i den definerede kontekst. Risikovurderingsproces gennemføres en gang om året eller oftere hvis det er betydelige ændringer i risikobilledet. Det kan f.eks. være ved en ændring i de eksterne trusler, ved støre organisationsændringer eller implementering af nye it-systemer. Risikovurderingsprocessen tager udgangspunkt i en række kritiske forretningsprocesser, der er identificeret jf. metode beskrevet senere i dette dokument. Processerne er herunder bl.a. identificeret med det udgangspunkt i deres betydning for Horsens Kommune informationers fortrolighed, integritet og/eller tilgængelighed. For hver kritiske forretningsproces gennemføres en risikovurderingsprocessen via en workshop, med deltagelse af alle relevante interessenter. Workshoppen består af følgende procestrin: 1. Etablering af oversigt for forretningsprocessens IT- understøttelse 2. Konsekvensvurdering af forretningsprocesser 3. Vurdering af sandsynligheden for forretningsmæssige konsekvenser 1 SoA står for Statement of Applicability (Opgørelse af anvendelighed) og er en vigtig del af ISO
5 4. Etablere liste over risici med forslag til risikoreducerende tiltag Det sikres herunder, at der tages stilling til alle de informationssikkerhedsrelevante aktiver, der understøtter processerne og deres betydning herfor. Samtidig er det muligt at identificere sammenhæng og afhængigheder mellem aktiverne, som kan have stor betydning for risikoen. Et aktiv kan f.eks. anvendes af flere forretningsprocesser til forskellige formål og med forskellige konsekvenser, hvis der sker en hændelse. 4.2 Risikohåndtering Resultatet af de løbende risikovurderinger er et opdateret grundlag hvorudfra ledelsen kan håndtering risici. Den kan herunder beslutte, hvilke risici der er acceptable, og hvilke risici der bør gøres noget ved. Risikohåndtering består af følgende procestrin: 1. Fremlæggelse af risikovurderingen og risikoreducerende tiltag for i-udvalget. 2. Dokumentere udvalgets til- og fravalg. 3. Dokumentere status for arbejdet med risici i SoA-dokumentet. Dokumentet fungerer herved som et dialog-, prioriterings-, overbliks- og beslutningsværktøj. SoA en skal vedligeholdes af informationssikkerhedskoordinatoren på baggrund af risikovurderingsprocessen og den løbende dialog med Informationssikkerhedsudvalget. 5. Sikkerhedspolitik Dette emne er behandlet i dokumentet Informationssikkerhedspolitik for Horsens Kommune. 6. Organisering af informationssikkerhed Dette emne er behandlet i dokumentet Informationssikkerhedspolitik for Horsens Kommune. 7. Medarbejdere Opretholdelse af det ønskede sikkerhedsniveau er meget afhængig af, at alle kommunens medarbejdere tager ansvar for informationssikkerheden. 7.1 Ansættelsesforholdet Alle medarbejdere har et medansvar for at opretholde det ønskede sikkerhedsniveau i Horsens Kommune. Alle medarbejdere skal derfor: Have et generelt kendskab til informationssikkerhed. Kende deres ansvar for sikkerheden. Sikre deres personlige adgangskoder. Passe på organisationens IT-udstyr. Deltage aktivt i rettelse af fejl, løsning af problemer og forbedringer af sikkerheden. Rapportere hændelser der kan indikere brud på sikkerheden. 5
6 Der findes en Informationssikkerhedshåndbog, der giver retningslinjer for den ønskede brugeradfærd. Alle ansatte skal være bekendt med indholdet af håndbogen, og overtrædelser vil blive håndteret af områdets leder. Ved introduktion og modtagelse af nyansatte bør informationssikkerheden indgå som en del af de generelle informationer. Findes der tjeklister til brug for ny-ansættelser, anbefales det ligeledes at tage informationssikkerhed med som et punkt på tjeklisten. Væsentlige ændringer til retningslinjer for brugeradfærd skal godkendes af direktionen efter behandling i Informationssikkerhedsudvalget. Informationssikkerhedshåndbog skal revurderes, opdateres og godkendes af Informationssikkerhedsudvalget en gang årligt. 7.2 Sikkerhedsprocedurer før ansættelse I forbindelse med ansættelse i Horsens Kommune udarbejdes et ansættelsesbrev. I ansættelsesbrevet fremgår det, at man har tavshedspligt, og at tavshedspligten ikke bortfalder, når man fratræder. Den enkelte afdelingsleder har til ansvar at sørge for instruktion i forhold til anvendelse af systemer i det daglige arbejde, samt i forhold til den ønskede generelle adfærd for informationssikkerhed jf. informationssikkerhedshåndbogen. Alle nye administrative medarbejdere skal gennemføre en digital introduktion til korrekt ITadfærd. Den enkelte medarbejder skal automatisk modtage en invitation per ved ansættelse, og har herefter 30 dage til at gennemføre det. Hvis dette ikke sker, eskaleres det til nærmeste leder, som herefter har ansvaret for at medarbejderen gennemfører kurset. 7.3 Ansættelsens ophør Der skal være procedurer i den enkelte afdeling, der sikrer, at IT-aktiver returneres, og at adgange og rettigheder ophører senest ved ansættelsesforholdets ophør. Det er lederens ansvar, at procedurer udarbejdes og efterleves. Såfremt adgange og rettigheder skal ophøre, forinden ansættelsesforholdets ophør, f.eks. i forbindelse med særlige aftaler om fritstilling og lignende, skal lederen kontakte IT- afdelingen på 1234@horsens.dk. 8. Kritiske processer samt klassifikation af systemer og data Informationssikkerhedsarbejdet tager som tidligere beskrevet udgangspunkt i en risikobaseret tilgang. Det sker bl.a. ved at identificere og vurdere de særligt kritiske forretningsprocesser herunder deres afhængighed til underliggende systemer og data. Det giver hermed mulighed for at give en øget gennemsigtighed for de kritiske sammenhænge i Horsens Kommunes infrastruktur samt afdække behovet for det tilhørende beredskabsniveau. 6
7 8.1 Kritiske forretningsprocesser De kritiske forretningsprocesser i Horsens Kommune skal identificeres med udgangspunkt i digitaliseringsstyrelsens definition (se Bilag 6: Definition af kritiske forretningsprocesser). De identificerede processer skal tilføjes en samlet oversigt for de kritiske forretningsprocesser. 8.2 System klassifikation Klassificering af systemer dokumenteres i Systemlandskabsoversigten for alle kommunes systemer, hvor det enkelte system kan være i en af følgende klassifikationer: Guld (mest kritisk), Sølv og Bronze. Der er følgende definition på de enkelte systemklassifikationer: Systemejeren har ansvaret for at indplacere det enkelte system i en passende klassifikation. Dette kan med input fra det årlige arbejde med de kritiske forretningsprocesser jf. kap. 4. Alle systemer i oversigten er endvidere indplaceret i en af følgende typer; Fagsystemer, Støttesystemer og Infrastruktur. Systemlandskabsoversigten indeholder mange andre informationer f.eks. hvem der er systemejer samt henvisninger til databehandleraftaler og leverandørkontrakter. 8.3 Data klassifikation Dataejeren har ansvaret for at klassificere data efter behov og skal i de givne tilfælde ske med udgangspunkt i følgende klassifikationer: Tilgængelighed Høj: Forretningskritisk og kan ikke erstattes af manuelle procedurer. Medium: Vigtigt, men funktionerne kan udføres manuelt i en begrænset tidsperiode. Lav: Ikke kritisk og funktionerne kan afbrydes i en længere tidsperiode. 7
8 Integritet Høj: Forretningskritiske beslutninger bliver taget på grundlag af data. Medium: Data danner grundlag for beslutninger, men de er ikke kritiske. Lav: Data danner aldrig, eller kun sjældent, grundlag for beslutninger. Fortrolighed Fortroligt: Data der kun må være tilgængeligt for en begrænset gruppe af personer f.eks. lukkede punkter fra bestyrelsesmøder. Internt brug: Materiale der er tilgængeligt for alle internt i organisationen. Uklassificeret: Der er ingen fortrolighed og ingen begrænsninger for hvem, der må få adgang til data. 9. Adgangsstyring I det daglige arbejde i Horsens Kommune behandles og gemmes mange fortrolige informationer, der både kan tilgås indenfor og udenfor Horsens Kommunes fysiske lokaliteter. Det er herfor afgørende, at disse informationer beskyttes via krav til adgangsstyringen for at imødegå uvedkommendes adgang. 9.1 De forretningsmæssige krav til adgangsstyring Alle informationsaktiver (programmel, udstyr, data, informationer og databærende medier) skal være beskyttet mod uautoriseret adgang. Systemejerne skal løbende tage stilling til adgang til IT-systemerne, og der skal være retningslinjer og procedurer for tildeling af adgang til arbejdsstationer, arkiver, netværk og lignende ressourcer. 9.2 Administration af brugeradgang Tildeling, ændring og sletning af brugeradgang til systemer og data skal ske ud fra arbejdsbetingede behov og i overensstemmelse med datas klassifikation. Adgang til netværk og systemer skal inddrages, når brugeren ikke længere skal have adgang. Adgangsprocedurerne omfatter: Registrering af alle brugere med en unik brugeridentitet. Regler for, hvem der må disponere over hvilke IT-systemer og dele heraf. Regler for, hvordan og i hvilke tilfælde adgangstilladelse tildeles og inddrages. Regler for overvågning, logning, efterkontrol, ledelsesrapportering og opfølgning. Anvendelsen af fællesadgang skal være begrænset til systemer, der ikke indeholder personfølsomme og/eller forretningskritiske data. 9.3 Brugerens ansvar Alle medarbejdere er ansvarlige for deres personlige adgangskoder og for at følge vedtagne retningslinjer for password. 8
9 9.4 Mobilt udstyr og fjernarbejdspladser I Informationssikkerhedshåndbog for Horsens Kommune er der fastlagt de regler, som skal overholdes ved brug af mobilt udstyr og fjernarbejdspladser. 9.5 Adgang for ekstern leverandører Når der er behov for at give adgang til Horsens Kommunes netværk for andre end Horsens Kommunes medarbejdere, skal der først indgås en Fortrolighedserklæring (eksterne konsulenter) med den givne person. IT- og Digitaliseringsafdelingen varetager vedligeholdelse og formidling af denne skabelon, mens den givne systemejer har ansvaret for indgåelse af aftalen samt opbevaring af dokumentation. 10. Kryptografi Kommunikation til og fra Horsens Kommunes infrastruktur er vitalt for at medarbejderne i kommunen, kan gøre deres arbejde. Derfor er det afgørende, at de beskeder der sendes til og fra Horsens Kommune er sikret, og at indholdet er hemmeligholdt, for tredjeparter. Dette afsnit indeholder de procedurer, der skal til for at sikre korrekt og effektiv brug af kryptografi for at beskytte informationers fortrolighed, integritet og autenticitet. Behovet for brug af kryptering skal identificeres ud fra en vurdering af, hvor kryptering som sikringsforanstaltning kan imødegå behovet for sikring af datas fortrolighed og/eller integritet. Det sker på grundlag af datas klassifikation. For at leve op til best practice for efterlevelse af persondataloven skal kommunikation af persondata med identitetsangivelse, der kan misbruges, foregå ved krypteret form. Ved anvendelse af kryptering skal der tages højde for nøglehåndtering. 11. Fysisk sikkerhed Der opbevares informationer og kritiske IT-komponenter på en række af Horsens Kommunes fysiske lokaliteter. For at opretholde et tilstrækkeligt sikkerhedsniveau skal der tages individuel stilling til behovet for en eventuel beskyttelse af disse fysiske lokaliteter Sikre områder Lokaler er opdelt i sikkerhedsområder, hvor adgang tildeles på baggrund af et arbejdsbetinget behov og under hensyntagen til funktionsadskillelse. Den fysiske adgang skal beskyttes med et hensigtsmæssigt adgangskontrolsystem, som er udvalgt på baggrund af en risikovurdering Beskyttelse af udstyr Datacenter og Hovedkrydsfelt skal beskyttes mod ødelæggelse og skade, der er følger af brand, vandskade, strømsvigt og andre skader, forårsaget af hændelser i det omkringliggende fysiske miljø. 9
10 Kritisk IT-udstyr skal overvåges og vedligeholdes efter leverandørens anvisninger. Ved bortskaffelse, reparation eller genbrug af IT-udstyr skal det sikres, at udstyret er renset for data på en sådan måde, at de ikke kan gendannes. 12. Driftsikkerhed Styring af netværk og drift skal sikre at Horsens Kommune opnår en høj driftsstabilitet. Det stiller krav til IT-afdelingen og underleverandører på en række konkrete områder af både forebyggende og udbedrende karakter Funktionsadskillelse Der skal være etableret regler for funktionsadskillelse. Dette princip er en grundlæggende forudsætning for forebyggelse, og begrænsning af konsekvenser, som stammer fra fejl, uheld og bevidst ondsindede handlinger forårsaget af enkeltpersoner eller grupper af personer Uafhængighed af nøglepersoner Der tilstræbes uafhængighed af enkeltpersoner, hvor dette er muligt gennem vidensdeling, personbackup, opdateret dokumentation samt system- og procesunderstøttelse Operationelle procedurer og ansvarsområder For at sikre stabilitet i driften skal der, hvor det er relevant, etableres adskilt test og produktion på forskellige systemmiljøer. Nye systemer og ændringer til eksisterende systemer testes inden installering i driftsmiljøet således, at tilgængelighed og integritet sikres. Procedurer, ansvarsområder og anvendt teknologi skal understøtte den nødvendige funktionsadskillelse. Som en forudsætning for hurtig imødegåelse af driftsforstyrrelser, er der etableret procedurer for daglig sikkerhedskopiering (backup). Backup opbevares på samme lokation men i separat brandsikrede områder Styring af driftsmiljø Der skal være procedurer, der sikrer stabilitet ved installation af systemer i driftsmiljøer. Der anvendes standardopsætninger for konfiguration af systemkomponenter, som kontrollerer kendte sårbarheder. IT-afdelingen skal løbende vurdere tilgængelige sikkerhedsrettelser, f.eks. patches og hotfixes til anvendte operativsystemer. Sikkerhedsrettelser installeres efter behov. Data der anvendes til test, skal udvælges omhyggeligt, kontrolleres nøje og beskyttes i henhold til deres klassifikation. Der skal være særligt fokus på beskyttelse af persondata. Kapaciteten i forbindelse med alle servere med kritiske informationer skal løbende overvåges for at sikre pålidelig drift og tilgængelighed. Ved implementering af nye systemer skal det sikres, at der skal være mulighed for reetablering og fornøden fejlhåndtering. 10
11 12.5 Skadevoldende programmer Skadevoldende programmer kan sætte hele organisationen ud af drift, og det kan være meget dyrt at rense IT-systemerne, hvis de er blevet ramt af et hackerangreb eller en virus. Alt godkendt IT-udstyr der er tilsluttet Horsens Kommunes netværk, har, hvor det er muligt, installeret et aktivt og opdateret antivirusprogrammel, der kan opdage, rense og beskytte mod forskellige former for skadevoldende programmer. Ved eksterne brugere skal der tages individuel stilling til deres sikkerhedsniveau, og herudfra skal det vurderes, om der skal gives fuld adgang eller en begrænset adgang via Citrix. Det skal løbende kontrolleres, at anti-virus er aktivt på arbejdsstationerne, og at signaturfilerne ikke er ældre end én uge. Opdatering finder automatisk sted, når brugeren tilgår Horsens Kommunes netværk. Opdateringen kan medføre, at netværket i kort tid ikke er tilgængeligt. Det er ikke tilladt at installere egne programmer på Horsens Kommunes maskiner. Ved installation af programmer skal procedurerne, der findes i Horsens Kommunes egne retningslinjer, følges Sikkerhedskopiering For at vigtige informationer altid kan fremfindes, og for at undgå tabt arbejde, foretages der sikkerhedskopiering og backup med faste intervaller for alle systemer og netværksdrev. De nærmere regler herfor findes i retningslinjen for backup. Aftaler med eksterne leverandører skal indeholde krav til samme procedurer, som gælder internt i Horsens Kommune. Det skal ved regelmæssige test sikres, at sikkerhedskopierne kan genindlæses. Sikkerhedskopierne opbevares i en anden brand-celle på samme lokation, så de kan fremfindes ved igangsættelse af nødplaner eller i forbindelse med andre behov Logning og overvågning Der foretages logning af vore kritiske systemer. Logningerne kontrolleres med henblik på at opdage og spore uautoriserede handlinger, og at kunne føre disse tilbage til enkeltpersoner eller identificerbart netværksudstyr. Det kontrolleres, at IT-systemer anvendes korrekt. Overvågningsniveauet fastlægges på grundlag af en risikovurdering af det enkelte system, og alle overvågningsaktiviteter skal beskrives. Alle aktiviteter på de fleste IT-systemer registreres automatisk. Som en del af logningen skal sikkerhedsrelaterede hændelser registreres. Logfaciliteter og logoplysninger skal beskyttes mod manipulation og tekniske fejl. Alle ure synkroniseres, så hændelser kan identificeres entydigt. 11
12 12.8 Driftsberedskab Der skal være til enhver tid være et driftsberedskab i Horsens Kommune, der er tilstrækkelig til at varetage det beredskab, som er aftalt med de givne områder i organisationen. 13. Kommunikationssikkerhed Kommunikationssikkerhed har til formål at sikre beskyttelse af informationer i netværket og af understøttende informationsbehandlingsfaciliteter samt at opretholde informationssikkerhed ved overførsel internt i kommunen og til en ekstern part Netværkssikkerhed For at undgå uautoriseret adgang skal vores netværk sikres. Sikring af vores netværk imod uautoriseret adgang styres af IT-afdelingen. Det sker f.eks. via adgangskontrol og adskillelse af netværkstjenester, hvor dette er hensigtsmæssigt. Der må ikke installeres netværksudstyr som f.eks. trådløse modems uden IT-afdelingens godkendelse. Der skal være etableret firewall løsninger, der beskytter mod forbindelse til upålidelige netværk. Der etableres udelukkende forbindelser fra internettet til sikkerhedsgodkendte servere som f.eks. - og webservere. Det skal sikres, at IT-afdelingen vedblivende har den nødvendige viden samt redskaber til overvågning af Horsens Kommunes for at kunne opdage og spore sikkerhedsbrister samt til fejlretning. Netværket overvåges løbende med henblik på at opdage og udbedre brud på sikkerheden. Bærbare medier med adgang til netværket skal styres og beskyttes. Der er etableret trådløst netværk på de fleste af Horsens Kommunes lokationer. Der må kun etableres trådløst lokalnet efter IT-afdelingens godkendelse. Nettet skal konfigureres således, at uautoriseret adgang og aflytning ikke er mulig. Trådløse netværk betragtes som usikre og ubeskyttede netværk, og adgang til trådløst netværk kræver gyldigt brugernavn og kodeord samt anvendelse af godkendt udstyr. Gæster kan få adgang til Horsens Kommunes gæstenetværk, hvor der kun tilbydes adgang til internettet. Gæstenettet skal være segmenteret på en sådan måde, at der ikke her forefindes personfølsomme og/eller forretningskritiske data. Da gæstenettet tilbydes ikke-kommercielt, så foretages der ikke overvågning og logning af gæsters anvendelse af internettet Informationsoverførsel Regler i forbindelse med informationsudveksling af fortrolig information via og andre elektroniske medier findes i Informationssikkerhedshåndbogens afsnit omhandlende retningslinjen for og digital post. I forbindelse med ekstern opkobling til Horsens Kommunes systemer må fortrolige data ikke kopieres, flyttes eller lagres på bærbare medier. Derudover har alle medarbejdere et ansvar for at beskytte uovervåget IT-udstyr og bærbare datamedier. 12
13 14. Anskaffelse, udvikling og vedligeholdelse af IT-systemer Det er vigtigt for af kommunens informationssikkerhed, at anskaffelse af nye IT-systemer samt den efterfølgende udvikling og vedligeholdelse af systemerne sker korrekt. Det er f.eks. herunder, at det skal sikres, at systemerne er designet og opsat på en måde, der bedst muligt imødegår tab af fortrolige data eller ustabil drift ved forretningskritiske systemer Sikkerhedskrav til informationsbehandlingssystemer De sikkerhedskrav der stilles til systemers behandling af data, skal indgå i vurderingen, som foretages ved indkøb og test af eksternt udviklede systemer. Det enkelte system skal have implementeret sikringsforanstaltninger, som er tilstrækkelige i forhold til klassifikation af de data, som systemet behandler, samt de forretningsmæssige funktioner, som systemet varetager. Informationssikkerhedskoordinatoren skal herfor i denne forbindelse inddrages i udarbejdelse af krav ved indkøb af IT-systemer Vurdering af systemdata Vurderingen af hvilke sikringsforanstaltninger der er nødvendige i det enkelte system, foretages ud fra, hvilke data systemet indeholder, og hvilke forretningsmæssige funktioner systemet varetager Styring af driftsmiljøet Der skal være etableret procedurer, der sikrer stabilitet ved installation af systemer i driftsmiljøet. Data der anvendes til test, skal udvælges omhyggeligt, kontrolleres nøje og beskyttes i henhold til deres klassifikation, f.eks. ved at anonymisering af data i testmiljøet Sikkerhed i udviklings- og hjælpeprocesser Vi udvikler ikke selv systemer, men anvender pålidelige og kompetente leverandører. Der anvendes standardprodukter i videst muligt omfang. IT-afdelingen etablerer godkendelsesprocedurer for nye systemer, nye versioner og opdateringer af eksisterende systemer. Godkendelsesprocedurerne beskriver krav til dokumentation, specifikationer, test, kvalitetskontrol og en styret implementeringsproces. Der skal foretages en risikovurdering af ændringerne i forhold til eksisterende sikringsforanstaltninger og eventuelt opståede behov for nye sikringsforanstaltninger. Vedligeholdelse af systemer der indgår i kritiske forretningsprocesser, skal ske i henhold til særskilte aftaler, der indgås med forretningen og dokumenteres i Beredskabsstrategi og beredskabsplaner. Når driftsmiljøet ændres, skal der ved disse kritiske forretningssystemer gennemgås og testes for at sikre, at det ikke har utilsigtede, afledte virkninger på den daglige drift og sikkerhed. 13
14 14.5 Databehandleraftaler Der skal forefindes databehandleraftaler for alle de situationer, hvor persondata i Horsens Kommune overlades til ekstern leverandørers (udenfor Horsens Kommunes netværk). Databehandleraftalen skal indgås i forbindelse systemkontraktudarbejdelsen og skal basere sig på den af IT- og Digitaliseringsafdelingen ejede skabelon. Dataejeren skal sikre en løbende opfølgning af databehandlerens varetagelse af den indgåede aftale. IT- og Digitaliseringsafdelingen vedligeholder beskrivelsen af opgavens indhold og indhold. 16. Styring af sikkerhedshændelser på IT-området Informationssikkerhedsarbejdet skal sikre en håndtering af sikkerhedshændelser. Endvidere er der i det forbyggende arbejde med informationssikkerhed, behov for at dokumentere sikkerhedshændelser, så det kan indgå i arbejdet med at analysere svagheder og planlægge det videre informationssikkerhedsarbejde Håndtering af sikkerhedsbrud og forbedringer Alle medarbejdere har pligt til hurtigst muligt at afrapportere sikkerhedshændelser til den relevante GIA 2 aktør. Opståede hændelser skal håndteres af den ansvarlige for området med udgangspunkt i en vurdering af alvoren ved problemet. Hændelser der har indflydelse på tilgængelighed, skal afklares i overensstemmelse med gældende serviceaftaler. Driftshændelser der ikke kan afklares inden for aftalt tid, skal i disse tilfælde håndteres i overensstemmelse med procedurer for hændelseshåndtering, og de ramte brugere og systemejere skal informeres. Hvor der kan komme et retsligt efterspil, skal beviser indsamles, opbevares og præsenteres, så vi kan sikre, at de udgør et fyldestgørende og pålideligt bevismateriale Rapportering af sikkerhedshændelser og svagheder Efter en imødegåelse af hændelsens konsekvenser har GIA aktøren ansvaret for en afrapportering af hændelsen til informationssikkerhedskoordinatoren. Afrapporteringen af alle hændelser skal ske i et særligt skema, som sendes til Informationssikkerhedskoordinatoren, der hermed kan skabe et samlet overblik for alle rapporterede hændelser. Denne information vil indgå i afrapporteringen til Informationssikkerhedsudvalgt og den årlige afrapportering til direktionen. Der er forskellige skema målrettet forskellige typer af hændelser. Det er Informationssikkerhedskoordinatoren, der har ansvaret for at definere omfanget for og typen af skemaer samt for den løbende vedligeholde. 2 GIA = Gruppen af Informationssikkerheds Aktører. Se begrebsafklaringen i Informationssikkerhedspolitikken for yderligere information. 14
15 17. IT-beredskabsstyring Horsens Kommune har udarbejdet en IT-beredskabsstrategi, der indgår i Horsens Kommunes overordnede kriseberedskab. Strategien redegør for, hvordan Horsens Kommune skal håndtere en beredskabssituation, ved nedbrud af kommunens IT-services. Godkendelse Dokumentet er godkendt af Horsens Kommunes Informationssikkerhedsudvalg. Formand for Informationssikkerhedsudvalget, Horsens d. 06/
16 Bilag 1: Indhold af rapportering til direktionen Afrapportering fra Informationssikkerhedsudvalget til direktionen skal have et omfang og en detailgrad, der gør at direktionen er i stand til at varetage sit ansvar om Horsens Kommunes overordnede sikkerhed. Årlig rapportering 1. Overordnede status Organisatoriske aspekter (ressourceoversigt & budget) Overordnet resultat af udførte aktiviteter Nye væsentlige implementeringer, restrukturering eller lign. Kritiske hændelser f.eks. virusudbrud eller angreb Væsentlige nedbrud 2. Det aktuelle risikobillede for Horsens Kommune Gennemgang af top-prioriterede risici Statistik samt udvikling/historik i typer af hændelser 3. Generel markedsstatus Nye trends/sikkerhedsrisici som Horsens Kommune skal være opmærksomme på Udvikling i Internet- og mailtrafik Statistik vedr. Virus, spam, m.v. Nye relevante teknologier, der medfører øget risiko 4. Nye fokusområder og aktiviteter Prioriteret liste over projekter vedr. informationssikkerhed for kommende periode Nye investeringer Ad hoc rapportering Informationssikkerhedsudvalget skal desuden rapportere ad hoc, hvis der indtræffer hændelser, der har en karakter, der bør have direktionens opmærksomhed f.eks. Tab af tilgængelighed, udstyr eller faciliteter Systemfejl eller overbelastning Menneskelige fejl Brud på den fysiske sikkerhed Brud på adgangskontrollerne Ændring i de forudsætninger, som indvirker på Horsens Kommunes sikkerhedspolitik f.eks. nye lovkrav, organisationsændringer eller igangsatte aktiviteter. 16
17 Bilag 2: Dagsorden for Informationssikkerhedsudvalgsmøder Informationssikkerhedsudvalget følger en fast mødedagsorden for at sikre fuldstændighed i dialogen om sikkerhedsarbejdet og for at sikre en ensartethed i rapportering til direktionen. Omdrejningspunktet for dialog, status og prioriteringsgrundlaget er SoA-dokumentet. Orientering fra direktionen Status på risikovurderingsarbejde Status på igangværende arbejder Hændelsesrapportering fra informationssikkerhedskoordinatoren og GIA o Hændelser, omfang, type og konsekvens o Status på udbedring o Forebyggende initiativer Fastlæggelse af opgaver for det kommende kvartal o Beskrivelse/succeskriterier o Projektledelse og -ressourcer o Tidslinje Eventuelt Der skal tages referat ved alle møder. 17
18 Bilag 3: Medarbejder i informationssikkerhedsorganisationen I det følgende er der redegjort for hvilke personer i organisationen, der er allokeret til de respektive roller i informationssikkerhedsorganisationen. Rolle Direktionen DPO Informationssikkerhedsudvalg Informationssikkerhedskoordinator IT- og Digitaliseringschefen IT-driftsafdelingen (ved ITdriftschefen) Ejer af lokale Digital Forretningsstrategi Ledelse på alle organisatoriske niveauer Ejer af Kritisk forretningsproces Systemejer Dataejer Person(er) XX, XX, XX, XX XX XX, XX, XX, XX, XX, XX, XX, XX XX XX XX Se de lokale Digital Forretningsstrategi Se organisationsdiagram på medarbejderportal Se oversigt for Kritisk forretningsproces Se systemejer databasen Er samme person som systemejeren 18
19 Bilag 4: Rollebeskrivelser Direktionen Årlig revidering af informationssikkerhedspolitikken. Informationssikkerhedsudvalget Mødes 4 gange årligt Vurdere indholdet af SoA-dokumentet og herudfra igangsætte sikkerhedsarbejde Fremlæggelse og godkendelse af sikkerhedsstatus for direktionen via årlig afrapportering. Evaluere årlig intern informationssikkerhedsaudit med tilhørende evaluering af ISMS et. Indgå i overvågning af eksterne og interne trusler (trusselbilledet). Evaluere håndtering og baggrund for eventuelle angreb og brud på IT-sikkerhed. Årlig revidering af informationssikkerhedsretningslinjer og -håndbog kan ske oftere. IT- og Digitaliseringschefen Ledelsen af Informationssikkerhedskoordinatoren. Formand for informationssikkerhedsudvalget. Informationssikkerhedskoordinator Arbejdet med sikkerhedsarbejdet bør jf. ISO følge et fast årshjul, som her er opdelt i 4 faser svarende til PDCA cirklen. Gennemgå og opdatere SoA-dokumentet i dialog med IT-sikkerhedsudvalget. Implementerer det aftalte sikkerhedsarbejde jf. SoA-dokumentet. Gennemfører løbende Awareness aktiviteter. Samle op på eventuelle sikkerhedshændelser og afrapportere til IT-sikkerhedsudvalget. Rådgive organisationen om informationssikkerhed ved projekter og aktiviteter. Arrangere møder i IT-sikkerhedsudvalget hver 3. måned. Sikrer gennemførelse af årlig intern audit. Assistere årlig test af beredskabsplaner Overvågning af eksterne og interne trusler (trusselbilledet). Løbende opgørelse af angreb og brud på IT-sikkerhed. Vedligeholde systemoversigten i samarbejde med system- og dataejere. Vedligeholde oversigten for kritiske forretningsprocesser i samarbejde med procesejerne. Kontinuerligt opsamle ekstern viden om status og udvikling mht. informationssikkerhed. Gennemføre årlig evaluering af ISMS et i samarbejde med sikkerhedsudvalget. Årlig revidering af informationssikkerhedspolitik, retningslinjer og -håndbog. 19
20 IT-driftsafdelingen (ved IT-driftschefen) Adgangsstyring. Drifts- og kommunikationssikkerhed IT-beredskabsstrategi. Test af beredskabsplaner (skrivebordstest 1 gang årligt). Styring og afrapportering af sikkerhedshændelser i IT-driften. Ejer af lokale Digital Forretningsstrategi Sikre strategisk retning, der overholder informationssikkerhedspolitikken og retningslinjerne. Alternativt skal de initiere forslag om en nødvendige justering. Ledelse på alle organisatoriske niveauer Overholdelse af sikkerhedsprocedure ved ansættelsen. Introduktion til medarbejderne af de generelle sikkerhedsregler (f.eks. via e-learning). Nedlukning af arbejdsforhold (herunder aflevering af IT-udstyr). Eskaleringspunkt ved sikkerhedshændelser observeret af medarbejderne. Funktionsadskillelse. Uafhængighed af nøglepersoner. Fysisk sikkerhed. Styring og afrapportering af sikkerhedshændelser til Informationssikkerhedskoordinatoren. Ejer af Kritisk forretningsproces Forretningsnødplan for forretningsprocessen. SLA niveau for Service- og IT-beredskabsplan. Afrapportering af sikkerhedshændelser. Styring og afrapportering af sikkerhedshændelser til Informationssikkerhedskoordinatoren. Systemejer Introduktion af sikkerhedsregler ved nye brugere. Scanning af system for imødegåelse af misbrug. Vedligeholde af system identifikation og klassifikation. Anskaffelse, udvikling og vedligeholdelse af IT-systemer. Styring og afrapportering af sikkerhedshændelser for egne systemer. Dataansvarlig Vedligeholde af systemdataklassifikation. Indgåelse og audit af databehandleraftaler. Styring og afrapportering af sikkerhedshændelser til Informationssikkerhedskoordinatoren. Juridisk afdeling Ejerskab af skabelon til databehandleraftaler. 20
21 Bilag 5: Begrebsafklaring I det følgende er foretaget en beskrivelse af de begreber, som anvendes i dokumentet. Sikkerhedshændelser Begrebet forstås bredt som alle de hændelser, der påvirker informationssikkerheden. Der er hermed tale om alle episoder hvor der, grundet et angreb, uhensigtsmæssig adfærd eller tekniske nedbrud, har været risiko for, eller faktisk er sket, et brud på Horsens Kommunes informationssikkerhed ift. de i SoA en opstillede kontroller. Der kunne f.eks. være tale om følgende typer konsekvenser: Kompromittering af personfølsomme data Tab af troværdighed og mistet tillid Angreb på tilgængelighed Tab af arbejdstid og produktivitet Fejl og utilsigtede handlinger Fortrolige data Fortrolighed, i omgangen med data, drejer sig om at sikre imod en spredning af oplysninger om fortrolige forhold. Det gælder i forhold til omverdenen, såvel som i forhold til medarbejderne i Horsens Kommune. Fortrolige data er f.eks. oplysninger om: Racemæssig eller etnisk baggrund Helbredsoplysninger Politiske, religiøse eller filosofiske overbevisning Seksuel orientering Strafbare forhold Væsentlige sociale problemer Kun autoriserede personer har ret til at tilgå informationerne, og informationerne skal kun være tilgængelige for autoriserede personer. Horsens Kommune opdeler oplysninger i kategorierne fortrolige, interne og uklassificerede. Dataintegritet Data kan være ukorrekte og dermed upålidelige. Det kan f.eks. ske ved ukorrekt indtastning, ved bevidst ændring ved tredje part eller tekniske fejl. Dataintegritet handler hermed om data er komplette, korrekte og opdaterede. Data tilgængelighed I tilgængelighedskriteriet ligger der, at det skal være muligt at tilgå systemer og data for autoriserede personer, når dette er nødvendigt. 21
22 Sikringsforanstaltninger De kontroller som indføres i form af administrative procedurer eller tekniske opsætninger for at undgå, at der indtræffer sikkerhedshændelser. Sikkerhedsforhold Med sikkerhedsforhold menes alle de forhold, som kan påvirke informationers sikkerhed i forhold til fortrolighed, pålidelighed og tilgængelighed. Gruppen af Informationssikkerheds Aktører (GIA) Gruppen af Informationssikkerheds Aktører (GIA) udgøres af en række forskellige aktører, der alle via deres givne rolle, har et særligt ansvar ift. informationssikkerhed. F.eks. IT- og Digitaliseringschefen IT-driftsafdelingen (ved IT-driftschefen) Ejer af lokale Digital Forretningsstrategi Ledelse på alle organisatoriske niveauer Ejer af Kritisk forretningsproces Systemejer Dataansvarlig 22
23 Bilag 6: Definition af kritiske forretningsprocesser Digitaliseringsstyrelsen har lavet en vejledning 3, der redegøre for hvordan man kan identificeres kritiske forretningsprocesser. Der redegøres her for, at der er forskellige metoder til denne identifiaktion. Grundlæggende handler det dog om, at forretningen selv vurderer hvor kritisk det vil være, hvis it-understøttelsen svigter i forhold til bestemte forretningsprocesser. I forbindelse med identifikation, kan man finde inspiration i nedenstående områder, der alle giver anledning til at anse en forretningsproces som kritisk. Forretningsprocesser, som: sikrer, at basale menneskerettigheder overholdes borgere og virksomheder er afhængige af for at kunne hævde eller opnå vitale retsstillinger er nødvendige for at opretholde infrastruktur f.eks. veje er nødvendige for at garantere borgernes sikkerhed politi- og redningsindsatser er nødvendige i forhold til sundhed og sygdomsbekæmpelse 3 ISO27001/Guide-til-id-af-kritiske-processer-til-forretningsnoedplan_ver1_juli2013x.pdf 23
Bilag 8- DATABEHANDLERAFTALE
Bilag 8- DATABEHANDLERAFTALE Mellem [Virksomhed] [Adresse] [Postnr.] [By] [CVR nr.] (Herefter kaldet Leverandøren) Og Horsens Kommune Rådhustorvet 4 8700 Horsens CVR nr. 29 18 98 89 (Herefter kaldet Kommunen)
Læs mereInformationssikkerhedspolitik for Horsens Kommune
Informationssikkerhedspolitik for Horsens Kommune Senest opdateret januar 2016 Indholdsfortegnelse 1. FORMÅL... 3 2. OMFANG OG SIKKERHEDSNIVEAU... 3 3. HOVEDMÅLSÆTNINGER... 4 4. ORGANISERING OG ANSVAR...
Læs mereIT-sikkerhedspolitik for Lyngby Tandplejecenter
IT-sikkerhedspolitik for Lyngby Tandplejecenter 1 Indledning Formål med IT-sikkerhedspolitikken Lyngby tandplejecenters IT-sikkerhedspolitik er vores sikkerhedsgrundlag og vores fælles forståelse af, hvad
Læs mereInformationssikkerhedspolitik for <organisation>
1 Informationssikkerhedspolitik for Indholdsfortegnelse Side 1. Indledning 4 1.1 Formål med informationssikkerhedspolitikken 4 1.2 Hovedmålsætninger i informationssikkerhedspolitikken 4
Læs mereInformationssikkerhedspolitik for <organisation>
1 Informationssikkerhedspolitik for 1. Formål informationssikkerhedspolitik beskriver vigtigheden af arbejdet med informationssikkerhed i og fastlægger
Læs mereInformationssikkerhedspolitik
Holbæk Kommunes Informationssikkerhedspolitik 2013 Informationssikkerhedspolitik Indhold 1. Indledning 3 2. Formål 3 3. Holdning og principper 4 4. Omfang 4 5. Informationssikkerhedsniveau 5 6. Organisering
Læs mereDS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484
DS 484:2005 Standard for informationssikkerhed -Korte uddrag fra DS484 Informationssikkerhedsstrategi Ledelsen skal godkende en skriftlig informationssikkerhedspolitik, som skal offentliggøres og kommunikeres
Læs mereAssens Kommune Sikkerhedspolitik for it, data og information
Assens Kommune Sikkerhedspolitik for it, data og information Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Holdninger og principper... 4 4. Omfang... 4 5. Sikkerhedsbevidsthed,
Læs mereIt-sikkerhedspolitik for Farsø Varmeværk
It-sikkerhedspolitik for Farsø Varmeværk Introduktion Denne it-sikkerhedspolitik, som er besluttet af bestyrelsen, udgør den overordnede ramme for at opretholde it-sikkerheden hos Farsø Varmeværk. Hermed
Læs mereHjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune
Hjørring Kommune Sag nr. 85.15.00-P15-1-17 12-03-2018 Side 1. Overordnet I-sikkerhedspolitik for Hjørring Kommune Indledning Informationssikkerhedspolitikken (I-sikkerhedspolitikken) udgør den overordnede
Læs mereVersion: 1.0 Maj Informationssikkerhedspolitik for Struer Statsgymnasium
Version: 1.0 Maj 2019 Informationssikkerhedspolitik for Struer Statsgymnasium Indholdsfortegnelse 1.1 Indledning:... 1 1.2 Omfang og ansvar:... 1 1.3 Sikkerhedsniveau:... 1 1.4 Sikkerhedsbevidsthed:...
Læs mereOverordnet Informationssikkerhedspolitik
Overordnet Informationssikkerhedspolitik Denne politik er godkendt af byrådet d. 4. juni 2018 Ved udskrivning af politikken skal du være opmærksom på, at du anvender senest godkendte version. Acadre sagsnr.
Læs mereHalsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune.
Informationssikkerhedspolitik Oktober 2015 Side 1 af 5 sider Baggrund Ved informationssikkerhed forstås de samlede foranstaltninger til at sikre Fortroligheden, Tilgængeligheden og Integriteten på kommunens
Læs mereSkanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017
Skanderborg Kommune ISMS-regler Informationssikkerhedsregler for hvert krav i ISO 27001:2017 02-04-2018 Indholdsfortegnelse 4 Organisationens kontekst 1 4.1 Forståelse af organisationen og dens kontekst
Læs mereFaxe Kommune. informationssikkerhedspolitik
Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en
Læs mereIT-sikkerhedspolitik S i d e 1 9
IT-sikkerhedspolitik S i d e 1 9 Indhold 1 Læsevejledning... 3 2 Informationssikkerhedspolitik... 3 2.1 INDLEDNING... 3 2.2 SIKKERHEDSNIVEAU... 4 2.3 HOLDNINGER OG PRINCIPPER... 5 2.4 HOVEDMÅLSÆTNINGER
Læs mereSOPHIAGÅRD ELMEHØJEN
Databeskyttelsespolitik for Sophiagård Elmehøjen Overordnet organisering af personoplysninger Sophiagård Elmehøjen ønsker som hovedregel at anvende databehandlersystemer og opbevaring af personoplysninger
Læs mereRingkøbing-Skjern Kommune. Informationssikkerhedspolitik
Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...
Læs mereNOTAT. Køge Kommune It-sikkerhed Overordnede retningslinjer ITafdelingen. Fællesforvaltningen. Dato Sagsnummer Dokumentnummer
NOTAT Fællesforvaltningen Dato Sagsnummer Dokumentnummer ITafdelingen Køge Rådhus Torvet 1 4600 Køge www.koege.dk Tlf. 56 67 67 67 Fax 56 65 54 46 Køge Kommune It-sikkerhed Overordnede retningslinjer 2010
Læs mereIndholdsfortegnelse Indledning Formål Omfang Holdninger og principper... 4
Halsnæs Kommune Informationssikkerhedspolitik 2012 Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Omfang... 4 4. Holdninger og principper... 4 5. Sikkerhedsbevidsthed,
Læs mereRegion Hovedstadens Ramme for Informationssikkerhed
Region Hovedstadens Ramme for Informationssikkerhed Indhold Region Hovedstadens ramme for Informationssikkerhed... 3 1 Formål... 3 2 Gyldighedsområde/omfang... 4 3 Målsætninger... 4 4 Informationssikkerhedsniveau...
Læs mereIT-sikkerhedspolitik. for Social- og Sundhedsskolen Esbjerg
IT-sikkerhedspolitik for Social- og Sundhedsskolen Esbjerg Indhold IT-sikkerhedspolitik... 2 Formål... 2 Grundprincipper for sikkerhedsarbejdet... 2 Funktionsadskillelse og adgangsstyring... 2 Sikkerhedsforanstaltninger...
Læs merePolitik for informationssikkerheddatabeskyttelse
BALLERUP KOMMUNE Dato: 31. maj 2018 Ballerup Kommune Politik for informationssikkerheddatabeskyttelse Politik for databeskyttelse i Ballerup Kommune Denne informationssikkerhedspolitikdatabeskyttelsespolitik
Læs mereOverordnet organisering af personoplysninger
Databeskyttelsespolitik for Hertha Bofællesskaber & Værksteder Overordnet organisering af personoplysninger Hertha Bofællesskaber & Værksteder ønsker som hovedregel, at anvende digitale databehandlingssystemer
Læs mereIT- og informationssikkerheds- politik (GDPR) For. Kontrapunkt Group
IT- og informationssikkerheds- politik (GDPR) For Kontrapunkt Group Versionshistorik Version Beskrivelse Dato Udarbejdet af V. 0.1 Initiel draft 26 Oktober 2018 Kontrapunkt Group V.0.2 1. Edition 13. November
Læs mereBilag 5 Aarhus Kommune. Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0. Opbevaring/sletning af informationer
Bilag 5 Aarhus Kommune Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0 Opbevaring/sletning af informationer 11-04-2011 1 Regler 7 Styring af informationsrelaterede
Læs mereOverordnet it-sikkerhedspolitik for Rødovre Kommune
Overordnet it-sikkerhedspolitik for Rødovre Kommune Denne politik er godkendt af kommunalbestyrelsen januar 2016. Og træder i kraft januar 2016. Ved udskrivning af politikken skal du være opmærksom på,
Læs mereDatabeskyttelsespolitik for DSI Midgård
Databeskyttelsespolitik for DSI Midgård Overordnet organisering af personoplysninger DSI Midgård ønsker som hovedregel at anvende databehandlersystemer og opbevaring af personoplysninger hos eksterne leverandører,
Læs mereStatus for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2
Status for ændringer Version Dato Navn Bemærkning 1.0 24-04-2007 Vedtaget i Regionsrådet 1.1 13-02-2012 IMT-Informationssikkerhed Tilpasning af terminologi 1.2 15-10-2012 IMT-Informationssikkerhed Rettelse
Læs mereMedComs informationssikkerhedspolitik. Version 2.2
MedComs informationssikkerhedspolitik Version 2.2 Revisions Historik Version Forfatter Dato Bemærkning 2.2 20.02.17 MedComs Informationssikkerhedspolitik Side 2 af 7 INDHOLDSFORTEGNELSE 1 INDLEDNING...
Læs mereLedelsen har sikret, at der er etableret en hensigtsmæssig itsikkerhedsorganisation
Revisionsrapport om it-revision af Sundhedsdatanettet (SDN) 05 J.nr. 05-6070-7 5. januar 06 Ledelsens styring af it-sikkerheden Ikke opfyldt, Delvist opfyldt, Opfyldt. Nr. Kontrolmål Observation Risiko
Læs mereBallerup Kommune Politik for databeskyttelse
BALLERUP KOMMUNE Dato: 31. maj 2018 Ballerup Kommune Politik for databeskyttelse 85.15.00-P30-1-18 Politik for databeskyttelse i Ballerup Kommune Denne databeskyttelsespolitik er den overordnede ramme
Læs mereFredericia Kommunes Informationssikkerhedspolitik 1 FREDERICIA KOMMUNE AFDELING TITEL PÅ POWERPOINT
Fredericia Kommunes Informationssikkerhedspolitik 2018 1 FREDERICIA KOMMUNE AFDELING TITEL PÅ POWERPOINT 12-11-2018 Indholdsfortegnelse Indledning Hvad og hvem er omfattet? Ansvar og konsekvens Vision,
Læs mereIt-beredskabsstrategi for Horsens Kommune
It-beredskabsstrategi for Horsens Kommune Senest opdateret oktober 2016 1 Indholdsfortegnelse 1. FORMÅL MED IT-BEREDSKABSSTRATEGIEN... 3 2. STRATEGIENS SAMMENHÆNG TIL DET RESTERENDE BEREDSKAB... 3 3. OMFANG,
Læs mereINFORMATIONS- SIKKERHEDSPOLITIK
Halsnæs Kommune INFORMATIONS- SIKKERHEDSPOLITIK Vedtaget af Halsnæs Byråd 202. 25-09-207 FORSIDE Halsnæs Kommune Informationssikkerhedspolitik 202 INDLEDNING Denne informationssikkerhedspolitik udgør den
Læs mereIT sikkerhedspolitik for Business Institute A/S
IT sikkerhedspolitik for Business Institute A/S Indholdsfortegnelse OFFENTLIG SIKKERHEDSPOLITIK FOR BUSINESS INSTITUTE... 2 1. ANVENDELSESOMRÅDE... 2 Indledning og formål... 2 Roller og ansvarsområder...
Læs mereInformationssikkerhedspolitik. Frederiksberg Kommune
Informationssikkerhedspolitik Frederiksberg Kommune Indledning Informationssikkerhedspolitikken er den overordnede ramme for beskyttelse af information i Frederiksberg Kommune. Kommunen behandler oplysninger
Læs mereInformationssikkerhedspolitik Frederiksberg Kommune
Maj 2018 Informationssikkerhedspolitik Frederiksberg Kommune Indledning Informationssikkerhedspolitikken er den overordnede ramme for beskyttelse af information i Frederiksberg Kommune. Kommunen behandler
Læs mereBilag 1 Databehandlerinstruks
Bilag 1 Databehandlerinstruks 1 1. Databehandlerens ansvar Databehandling omfattet af Databehandleraftalen skal ske i overensstemmelse med denne instruks. 2. Generelt 2.1 Databehandleren skal som minimum
Læs mereBekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.
Bekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl. 1 I bekendtgørelse nr. 1026 af 30. juni 2016 om ledelse og styring af pengeinstitutter m.fl., som ændret ved
Læs mereRingkøbing-Skjern Kommune. Informationssikkerhedspolitik
Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...
Læs mereOverordnet organisering af personoplysninger
Databeskyttelsespolitik for Friskolen og Idrætsefterskolen UBBY Overordnet organisering af personoplysninger Friskolen og Idrætsefterskolen UBBY ønsker som hovedregel, at anvende digitale databehandlingssystemer
Læs mereOverordnet It-sikkerhedspolitik
Overordnet It-sikkerhedspolitik Denne politik er godkendt af byrådet d. x. måned 2014 Ved udskrivning af politikken skal du være opmærksom på, at du anvender senest godkendte version. Acadre sags nr. 14-8285
Læs mereOrganisering og styring af informationssikkerhed. I Odder Kommune
Organisering og styring af informationssikkerhed I Odder Kommune Indhold Indledning...3 Organisationens kontekst (ISO kap. 4)...3 Roller, ansvar og beføjelser i organisationen (ISO kap. 5)...4 Risikovurdering
Læs mereIt-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015
It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat
Læs mere1 Informationssikkerhedspolitik
Indholdsfortegnelse 1 Informationssikkerhedspolitik... 1 1.1 Indledning:... 1 1.2 Omfang og ansvar:... 2 1.3 Sikkerhedsniveau:... 2 1.4 Sikkerhedsbevidsthed:... 3 1.5 Brud på informationssikkerheden:...
Læs mereProcedure for tilsyn af databehandleraftale
IT Projekt og Udviklingsafdeling Dato:7.2.2017 Procedure for tilsyn af databehandleraftale Reference til Retningslinjer for Informationssikkerhed: Afsnit 14.5 (Databehandleraftaler). Ved ibrugtagning af
Læs mereIkast-Brande Kommune. Informationssikkerhedspolitik (efterfølgende benævnt I-Sikkerhedspolitik) Maj 2016 Sag nr. 2015/06550
Ikast-Brande Kommune Informationssikkerhedspolitik (efterfølgende benævnt I-Sikkerhedspolitik) Maj 2016 Sag nr. 2015/06550 Godkendt i Byrådet den 20.06.2016 2 Indhold 1. Indledning... 4 2. Formål... 5
Læs mereVer. 1.0 GENTOFTE KOMMUNES INFORMATIONSSIKKERHEDSPOLITIK
GENTOFTE KOMMUNES INFORMATIONSSIKKERHEDSPOLITIK 1 INDHOLDSFORTEGNELSE 30-04-2018 1. Indledning... 3 1.1. Formål og målsætning... 3 1.2. Gyldighedsområde... 3 1.3. Godkendelse... 3 1.4. Gentofte Kommunes
Læs mereDatabeskyttelsespolitik
Databeskyttelsespolitik Overordnet organisering af personoplysninger Den Miljøterapeutiske Organisation herunder Dagbehandlingsstilbuddet Hjembækskolen (herefter tilsammen benævnt som Den Miljøterapeutiske
Læs mereDATABESKYTTELSESPOLITIK
DATABESKYTTELSESPOLITIK for Opholdsstedet Bustrup Opholdsstedet Udsigten Opholdsstedet Jupiter Dagskolen Bustrup 1. Overordnet håndtering af personoplysninger Bustrup benytter både eksterne løsninger såvel
Læs mereVejledning i informationssikkerhedspolitik. Februar 2015
Vejledning i informationssikkerhedspolitik Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske til:
Læs mereKOMBIT sikkerhedspolitik
KOMBIT sikkerhedspolitik Indholdsfortegnelse INDLEDNING 3 DEL 1: ORGANISERING, ROLLER OG ANSVAR 4 DEL 2: POLITIK FOR INFORMATIONSSIKKERHED 5 DEL 3: RETNINGSLINJER OG KONTROLMÅL TIL LEVERANDØREN 6 5. INFORMATIONSSIKKERHEDSPOLITIKKER
Læs mereLANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED
LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED DAGSORDEN _ Introduktion til informationssikkerhed _ Hvad går det egentlig ud på _ Hvilke kerneopgaver er der _ Hvor langt er vi nået? _ Hvilke
Læs mereDatabeskyttelsespolitik for Netværket Smedegade, en social institution, der primært hoster data og programmer hos databehandlere
Databeskyttelsespolitik for Netværket Smedegade, en social institution, der primært hoster data og programmer hos databehandlere Overordnet organisering af personoplysninger Netværket Smedegade ønsker
Læs mereSystemforvaltning for SDN Temadag om SDN og VDX den 9. november Peder Illum, konsulent,
Systemforvaltning for SDN Temadag om SDN og VDX den 9. november 2016 Peder Illum, konsulent, pi@medcom.dk Agenda Vi fik besøg af Rigsrevisionen.. Hvordan forløb det, hvordan var det, og hvad blev resultatet?
Læs mereDatabehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:
Databehandleraftale vedrørende brug af WinPLC og relaterede services Version 1.0 d. 1. november 2015 Parterne Kundenr.: Klinikkens navn og adresse (evt. stempel) (herefter den Dataansvarlige) og (herefter
Læs merePræsentation af Curanets sikringsmiljø
Præsentation af Curanets sikringsmiljø Version: 1.1 Dato: 1. marts 2018 Indholdsfortegnelse Indledning: side 3 Organisering af sikkerhed: side 3 Politikker, procedurer og standarder: side 3 Medarbejdersikkerhed:
Læs mereHillerød Kommune. It-sikkerhedspolitik Bilag 8. Kontrol og adgang til systemer, data og netværk
It-sikkerhedspolitik Bilag 8 Kontrol og adgang til systemer, data og netværk November 2004 Indholdsfortegnelse 1 Formål...3 2 Ansvar og roller...3 2.1 Byrådet...3 2.2 Kommunaldirektøren/ Direktionen...3
Læs mereInformationssikkerhedspolitik for Odder Gymnasium
Informationssikkerhedspolitik for Odder Gymnasium Version: 1.0 Maj 2018 Indholdsfortegnelse 1.1 Indledning:... 1 1.2 Omfang og ansvar:... 1 1.3 Sikkerhedsniveau:... 1 1.4 Sikkerhedsbevidsthed:... 2 1.5
Læs mereHovmosegaard - Skovmosen
Databeskyttelsespolitik for Hovmosegaard STU og bostedet Skovmosen, sociale institutioner, der primært hoster data og programmer hos databehandlere. Overordnet organisering af personoplysninger Hovmosegaard
Læs mereVi har etableret et brancheledende informationssikkerhedsprogram. vores kunder den bedste beskyttelse og højeste grad af tillid.
Som hostingleverandør er vores vigtigste sikkerhedsopgave at passe godt på dine data og sørge for, at du til enhver tid lever op til sikkerhedskravene fra dine kunder. Sikkerhed er derfor et område, som
Læs mereFællesregional Informationssikkerhedspolitik
24. Januar 2018 Side 1/5 Fællesregional Informationssikkerhedspolitik Indhold 1. Formål... 1 2. Organisation... 3 3. Gyldighedsområde... 4 4. Målsætninger... 4 5. Godkendelse... 5 1. Formål Den Fællesregionale
Læs mereBILAG 5 DATABEHANDLERAFTALE
BILAG 5 DATABEHANDLERAFTALE INDHOLDSFORTEGNELSE 1. Formål og omfang... 5 2. Databehandlers opgave... 5 3. Instruks... 5 4. Brug af ekstern Databehandler eller underleverandør... 5 5. Behandling i udlandet...
Læs mereÅrshjul. Kort sagt beskrives og planlægges mange af de opgaver, der efterfølgende kontrolleres/følges op på i årshjulet, i årsplanen.
Årshjul Formål For at styre informationssikkerheden og for at sikre, at ledelsen har de rette styringsværktøjer, gentages en række aktiviteter løbende år efter år, men andre er enkeltstående aktiviteter.
Læs mereUdkast til svar på Rigsrevisionens rapport om it-sikkerheden på SDN [Godkendt af MedComs styregruppe den 12. februar 2016]
Udkast til svar på Rigsrevisionens rapport om it-sikkerheden på SDN [Godkendt af MedComs styregruppe den 12. februar 2016] Indhold 1. Indledning... 2 2. Kommentarer til de enkelte punkter... 2 2.1. Hensigtsmæssig
Læs merePolitik <dato> <J.nr.>
Side 1 af 5 Politik Informationssikkerhedspolitik for 1. Indledning Denne informationssikkerhedspolitik er den overordnede ramme for informationssikkerheden hos .
Læs mereRegion Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6
Indholdsfortegnelse Generelt 3 Formål 3 Omfang 4 It-sikkerhedsniveau 4 Styring 5 Sikkerhedsbevidsthed 6 Brud på it-sikkerheden 6 Anvendelse af politik for it-sikkerhed i praksis 6 Bilag 1. Anvendelse af
Læs mere1. Introduktion til SoA Indhold og krav til SoA 4
Indhold 1. Introduktion til SoA 3 2. Indhold og krav til SoA 4 3. Roller og proces 6 3.1 Dokumentejer og beslutningstager 6 3.2 Inputgivere 6 3.3 Godkender 6 4. Valg af sikringsforanstaltninger 8 4.1 Tilvalgte
Læs mereIT-sikkerhedspolitik for
Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs
Læs mereAarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014
Aarhus Kommune IT-sikkerhedspolitik Politik 25-04-2014 Indholdsfortegnelse Politik 1 Indledning 1 Formål 1 Politikkens omfang 2 Ledelsesansvar 2 IT-sikkerhedsorganisationen 2 IT-sikkerhedsniveau 3 IT-sikkerhedshåndbogen
Læs mere1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet "informationer"? 2
Indhold 1 Informationssikkerhedspolitik 2 1.1 Hvorfor vil vi sikre vores informationer? 2 1.2 Hvad dækker begrebet "informationer"? 2 2 Principper 4 2.1 Styret af KU's strategiske behov 4 2.2 Implementering
Læs mereIt-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner.
Juni 2011 1 Indhold 1. Indledning 3 2. Formål 4 3. Omfang 5 4. It-sikkerhedsniveau 5 5. It-sikkerhedsbevidsthed 6 6. Overtrædelse af it-sikkerhedspolitikken 6 7. Udarbejdelse og ikrafttrædelse 6 2 1 Indledning
Læs mereAssens Kommune Politik for databeskyttelse og informationssikkerhed
Assens Kommune Politik for databeskyttelse og informationssikkerhed Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 4 3. Holdninger og principper... 4 4. Omfang... 5 5. Sikkerhedsbevidsthed,
Læs mereOverordnet Informationssikkerhedsstrategi. for Odder Kommune
Overordnet Informationssikkerhedsstrategi for Odder Kommune Indhold Indledning...3 Mål for sikkerhedsniveau...3 Holdninger og principper...4 Gyldighed og omfang...5 Organisering, ansvar og godkendelse...5
Læs mereAgenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)
IT-sikkerhed med Agenda Introduktion: Rasmus & CyberPilot Eksempler fra det virkelig verden Persondataforordningen & IT-sikkerhed (hint: ISO27001) Risikovurdering som værktøj til at vælge tiltag Tiltag
Læs mereIT-SIKKERHEDSPOLITIK FOR HOFFMANN BILER A/S
IT-SIKKERHEDSPOLITIK FOR HOFFMANN BILER A/S 1. INDLEDNING Sikkerhedspolitikken skal til enhver tid understøtte virksomhedens værdigrundlag og vision samt demonstrere, at virksomheden har en seriøs holdning
Læs merePSYKIATRIFONDENS Informationssikkerhedspolitik
PSYKIATRIFONDENS Informationssikkerhedspolitik Indhold Indledning... 3 Formål... 3 Omfang og ansvar... 3 Sikkerhedsniveau... 4 Beredskab... 4 Sikkerhedsbevidsthed... 5 Brud på informationssikkerheden...
Læs mereJyske Bank Politik for It sikkerhed
Indholdsfortegnelse Indholdsfortegnelse... 1 1. Formål og omfang... 2 2. It sikkerhedsniveau... 2 3. Organisation og ansvar... 2 4. It risikostyring... 3 5. Outsourcing... 3 6. Sikkerhedsprincipper...
Læs mereForslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed
Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.
Læs mereAabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09
Aabenraa Kommune Informationspolitik : 2014-04-09 Aabenraa Kommune 29. august 2012 Informationspolitik Overordnet Informationssikkerhedspolitik for Aabenraa Kommune Velkommen til Aabenraa Komune s overordnede
Læs mereGuide til SoA-dokumentet - Statement of Applicability. August 2014
Guide til SoA-dokumentet - Statement of Applicability August 2014 Guide til SoA-dokumentet - Statement of Applicability Udgivet august 2014 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet
Læs mereOverordnet informationssikkerhedsstrategi
Overordnet informationssikkerhedsstrategi 1/2018 2 Indhold Indledning...4 Mål for sikkerhedsniveau...5 Holdninger og principper...5 Gyldighed og omfang...6 Organisering, ansvar og godkendelse...7 Sikkerhedsbevidsthed...7
Læs mereInformationssikkerhed Version 2.0 29.09.10
Informationssikkerhed Version 2.0 29.09.10 Retningslinjer for retablering af systemer og data (Ændringer i forhold til tidligere version er markeret med Understregning) Disse retningslinjer beskriver de
Læs mereIT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser
IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser INDHOLDSFORTEGNELSE 1. Baggrund og formål... 2 2. Ansvarsfordeling... 2 2.1 Jobcenterchefens ansvar... 2 2.2 Gensidig informationspligt... 3 3. Krav til
Læs mereDATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )
DATABEHANDLERAFTALE Mellem [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen ) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Leverandøren ) er
Læs mereHolbæk Kommunes I-SIKKERHEDSHÅNDBOG
Holbæk Kommunes I-SIKKERHEDSHÅNDBOG Sidst redigeret oktober 2013 Indhold 1 INDLEDNING OG FORMÅL... 2 2 ANSVAR OG ORGANISATION... 3 3 STYRING AF AKTIVER... 5 4 MEDARBEJDERSIKKERHED... 5 5 FYSISK SIKKERHED...
Læs mereBilag til management letter om it-revision af Sundhedsdatanettet (SDN) hos MedCom 2018 J.nr juni 2018
Bilag til management letter om it-revision af Sundhedsdatanettet (SDN) hos MedCom 2018 J.nr. 85249 18. juni 2018 MedComs styring af SDN Vi har undersøgt, om ledelsen har etableret en effektiv styring af
Læs mereProgrambeskrivelse. 7.2 Øget sikkerhed og implementering af EU's databeskyttelsesforordning. 1. Formål og baggrund. August 2016
Programbeskrivelse 7.2 Øget sikkerhed og implementering af EU's databeskyttelsesforordning 1. Formål og baggrund Afhængigheden af digitale løsninger vokser, og udfordringerne med at fastholde et acceptabelt
Læs mereDI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)
DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) 1 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-951-4 0.05.12
Læs mereIndholdsfortegnelse. Generelt 3. Formål 3. Omfang 4. Sammenhæng med IT- og forretningsstrategier 4
Indholdsfortegnelse Generelt 3 Formål 3 Omfang 4 Sammenhæng med IT- og forretningsstrategier 4 Risikostyring og sikring af informationsaktiver og systemer 5 Overvågning af risici og regionens IT-sikkerhedsniveau
Læs mereFællesregional Informationssikkerhedspolitik
Udbud nr. 2016/S 199-358626 EU-udbud af Cisco UCC i Region Syddanmark Underbilag 13.1 - Fællesregional Informationssikkerhedspolitik Underbilag 13.1 Fællesregional Informationssikkerhedspolitik Side 1/6
Læs mereHillerød Kommune. It-sikkerhedspolitik Bilag 10. Beredskabsplanlægning
It-sikkerhedspolitik Bilag 10 November 2004 Indholdsfortegnelse 1 Formål...3 2 Ansvar og roller...3 2.1 Byrådet...3 2.2 Kommunaldirektøren/ Direktionen...3 2.3 Ledere, fagchefer mv...3 2.4 It gruppen,
Læs mereVejledning i informationssikkerhedsstyring. Februar 2015
Vejledning i informationssikkerhedsstyring (ISMS) Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt
Læs mereKontraktbilag 7: Databehandleraftale
Kontraktbilag 7: Databehandleraftale DATABEHANDLERAFTALE Mellem parterne: Den dataansvarlige myndighed Region Syddanmark Damhaven 12 CVR.nr.: 29190909 (herefter Dataansvarlig ) og Databehandler Leverandør
Læs mereKoncessionskontrakt vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Kultur- og Fritidsforvaltningen.
vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Bilag 9b IT-sikkerhedsdokumenter Bilag 9b 1 1 INDHOLDSFORTEGNELSE 1. IT-sikkerhedspolitik for Københavns Kommune
Læs mereEksempel på KOMBITs instruks til ISAE 3000 revisionserklæring
Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring KOMBIT har som indkøbscentral på vegne af landets kommuner indgået aftale med [leverandørnavn] (herefter Leverandøren ) om udvikling, drift,
Læs mereRapport. Anbefaling. Sikkerhedstjekket 2016 Rådet for Digital Sikkerhed
Rapport Anbefaling God IT-sikkerhed er god forretning. En brist i jeres IT-sikkerhed kan koste din virksomhed mange penge i genopretning af dine systemer, data og ikke mindst dit omdømme hos dine kunder
Læs mereInformationssikkerhedspolitik. for Aalborg Kommune
Informationssikkerhedspolitik for Aalborg Kommune Indhold Formål... 2 Gyldighedsområde... 2 Målsætning... 2 Sikkerhedsniveau... 3 Organisation og ansvarsfordeling... 3 Kontrol... 4 Sikkerhedsbrud og sanktionering...
Læs mereVersion: 1.2 Side 1 af 5
ID Kontrol Henvisning Bilag Medarbejderforhold 1. Er der tilrettelagt en procedure/forretningsgang hos Bank RA, med henblik på at sikre, at det kontrolleres, at ledere og medarbejdere, der har adgang til
Læs mere