AFTALE BAGGRUND OG OPGAVEFORSTÅELSE. BDO Statsautoriseret revisionsaktieselskab Havneholmen København V. (i det efterfølgende benævnt som BDO)

Transkript

1 AFTALE OM RÅDGIVNING OG ASSISTANCE I FORBIN- DELSE MED IMPLEMENTERING AF DE I EU-PERSONDATA- FORORDNINGEN ANFØRTE KRAV TIL PERSONDATABE- SKYTTELSE OG IMPLEMENTERING AF STANDARD FOR STYRING AF INFORMATIONSSIKKERHED ISO FANØ KOMMUNE

2 INDHOLD Baggrund og opgaveforståelse 2 Implementeringsprocessen 3 Tidsplan 7 Forudsætninger 7 Ansvar og organisering 7 Ansvarsbegrænsning 8 Honorar 8 Underskrift 8 Bilag 1: Oversigt over ISO Bilag 2: De overordnede krav i EU-persondataforordningen 15 Bilag 3: BDO s generelle forretningsbetingelser 16

3 2 FANØ KOMMUNE 19. FEBRUAR 2018 AFTALE Mellem BDO Statsautoriseret revisionsaktieselskab Havneholmen København V (i det efterfølgende benævnt som BDO) og Fanø Kommune Skolevej Fanø er der indgået aftale om: (i det efterfølgende benævnt som kunden) Rådgivning og assistance i forbindelse med kundens implementering af kravene til persondatabeskyttelse i henhold til forordning om beskyttelse af fysiske personer ved behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesforordningen), herunder kravene i den danske lov om supplerende bestemmelser til EU-persondataforordningen (databeskyttelsesloven). Rådgivning og assistance i forbindelse med implementering af kravene i standard for styring af informationssikkerhed (ISO 27001) med de tilhørende retningslinjer om kontroller, der er nødvendige for at på en passende informationssikkerhed (ISO 27002). BAGGRUND OG OPGAVEFORSTÅELSE BDO har i forbindelse med it-revisionen hos kunden drøftet kundens behov for implementering af kravene i informationssikkerhedsstandarden ISO og kravene i databeskyttelsesforordningen og databeskyttelsesloven. Per Sloth fra BDO har telefonisk fulgt op på disse drøftelse med Forvaltningschef for Økonomi, Personale og IT Thomas Rosenqvist. Kunden ønsker at igangsætte et projekt, der har til formål såvel at opfylde anbefalingerne fra Kommunernes Landsforening om styring af informationssikkerheden efter ISO som at sikre korrekt og rettidig implementering af kravene til persondatabeskyttelse i henhold til databeskyttelsesforordningen og databeskyttelsesloven. Kunden står over for en række problemstillinger. For det første vurderer kunden, at bestemmelserne i den nuværende lov om behandling af personoplysninger og den tilhørende sikkerhedsbekendtgørelse ikke i alle tilfælde efterleves fuldt ud. Endvidere stiller både databeskyttelsesforordningen og databeskyttelsesloven en række nye og yderligere krav til kunden i behandlingen af personoplysninger, herunder især et udvidet dokumentationskrav, krav om udpegning af en databeskyttelsesrådgiver (DPO), krav til styring af databehandlere samt krav om procedurer for anmeldelse af sikkerhedsbrud til Datatilsynet. For det andet har kunden ikke etableret en sikkerhedsorganisation, der sikrer forankring af informationssikkerheden i organisationen. Den nuværende informationssikkerhedspolitik er ikke formelt godkendt af ledelsen og kommunikeret i organisationen. Der er ikke lagt en risikobaseret tilgang til grund for fastsættelsen af kravene til fortrolighed, integritet og tilgængelighed i informationssikkerhedspolitikken, og den er således ikke baseret på ISO

4 3 FANØ KOMMUNE 19. FEBRUAR 2018 Det er BDO s forståelse, at projektet skal omfatte implementering af såvel kravene til styring af informationssikkerhedsheden i henhold til ISO som kravene til persondatabeskyttelse i henhold til databeskyttelsesforordningen og databeskyttelsesloven. Efter vores opfattelse er denne tilgang mulig, idet bestemmelsen om tekniske og organisatoriske sikkerhedsforanstaltninger i databeskyttelsesforordningen er en ramme, som med fordel kan udfyldes med kontrolmål og kontrolaktiviteter i ISO 27001, og idet både databeskyttelsesforordningen og ISO har en risikobaseret tilgang ved indførelse af sikkerhedsforanstaltninger/kontroller. For eksempel vil følgende områder i ISO være sammenfaldende med sikkerhedsforanstaltninger i databeskyttelsesforordningen: A.9 om adgangsstyring, A.10 om kryptografi, A.13 om kommunikationssikkerhed, A.15 om leverandørforhold og A.16 om styring af informationssikkerhed, jf. tillige oversigten i bilag 1. Endvidere er det BDO s forståelse, at det primære formål med projektet er at sikre en korrekt implementering af databeskyttelsesforordningen og databeskyttelsesloven, herunder at få indført passende tekniske og organisatoriske sikkerhedsforanstaltninger, baseret på en risikovurdering og struktureret efter ISO Projektets formål er desuden at udforme kundens informationssikkerhedspolitik i henhold til ISO Nærværende aftale er bygget op omkring baggrunden for og forståelsen af opgaven, og BDO har i næste afsnit redegjort for, hvordan opgaven kan udformes, tilrettelægges og gennemføres. IMPLEMENTERINGSPROCESSEN BDO præsenterer i dette afsnit et forslag til, hvorledes opgaven kan udformes, tilrettelægges og gennemføres for at imødekomme de krav og forventninger, som kunden har til projektet. Forslaget tager afsæt i den aktuelle forståelse af opgaven. Processen for kundens implementering af kravene til persondatabeskyttelse i henhold til databeskyttelsesforordningen og databeskyttelsesloven samt implementering af kravene i ISO med de tilhørende retningslinjer i ISO opdeles i flere faser. Faserne vil involvere medarbejdere fra kundens forskellige afdelinger. De vil bestå af workshops, der er faciliteret af BDO, og kundens praktiske arbejde med undersøgelser, analyser og beskrivelser. Kunden vil her have mulighed for løbende sparring med BDOs rådgivere. Workshops vil være en kombination af inspiration og sparring om kundens praktiske arbejde, drøftelse af konkrete vurderinger og problemstillinger på givne områder samt udarbejdelse af proces- og handlingsplaner. BDO hjælper desuden med at navigere i procesforløbet med henblik på at sikre, at fastlagte planer overholdes. Til brug for kundens praktiske arbejde stiller BDO forskellige værktøjer og skabeloner mv. til rådighed. Implementeringsprocessen vil bestå af følgende faser, der er beskrevet i detaljer i efterfølgende afsnit. Fase 1: Definition og beskrivelse af projektet Fase 2: Organisering af informationssikkerheden Fase 3: Fortegnelse over aktiviteter for behandling af personoplysninger Fase 4: Risikovurdering Fase 5: Informationssikkerhedspolitik samt procedurer og kontroller

5 4 FANØ KOMMUNE 19. FEBRUAR 2018 Fase 1 Fase 2 Fase 3 Fase 4 Fase 5 Projektformål Omfang og afgrænsning Organisering og ressourcer Projektforløb Tidsplan og milepæle Projektbeskrivel se og projektplan Organisering af informationssikkerheden Nedsættelse af informationssikkerhedsudvalg Udpegning af systemansvarlige Fastlæggelse af databeskyttelsesrådgiverens opgaver Processer med persondatabehandling Fortegnelse over behandlingsaktiviteter Afdækning af mangler, forhold og problemstillinger i forhold til persondatabehandling Risikovurderinger baseret på fortegnelse over behandlingsaktiviteter Handlingsplaner for risikoreducerende tiltag Handlingsplaner for uafklarede forhold Prioritering og gennemførelse af punkterne i handlingsplanerne Informationssikkerhedspolitik (ISO 27001) Procedurer og kontroller (ISO og 27002) Opdatering af handlingsplaner FASE 1 DEFINITION OG BESKRIVELSE AF PROJEKTET FORMÅL FORM AKTIVITET Kommunikere værdien af projektet og skabe ejerskab. Få ansvaret for projektet placeret og få tildelt de nødvendige ressourcer. Styre projektet og overholde tidsplanen. Workshop hos kunden, faciliteret og dokumenteret af BDO. Workshop 3 timer Fastlæggelse af formålet med projektet, herunder baggrunden, problemstillingerne og det forventede resultat. Fastlæggelse af omfanget af projektet i forhold til kundens organisation. Fastlæggelse af det organisatoriske ansvar for projektet, hvem der deltager i workshops, og hvilke ressourcer der er nødvendige. Fastlæggelse af det konkrete projektforløb, herunder fremgangsmåder, metoder og gennemførelse. Fastlæggelse af den overordnede tidsplan med milepæle for måling og evaluering af projektets fremdrift. Fastlæggelse af de overordnede processer, hvor kunden behandler personoplysninger. BDO udarbejder projektplan til godkendelse Udarbejdelse af projektbeskrivelse med projektplan samt tidsplan og milepæle. FASE 2 - ORGANISERING AF INFORMATIONSSIKKERHEDEN ISO OMRÅDE A.6.1 OG A.16 FORMÅL FORM AKTIVITET Tilføre viden om informationssikkerhedsstandarden ISO Etablere et ledelsesmæssigt grundlag for at styre implementeringen og driften af informationssikkerhed. Definere og fordele ansvarsområder for informationssikkerhed. Fastlægge databeskyttelsesrådgiverens opgaver. Workshop hos kunden, faciliteret af BDO Workshop 4 timer Gennemgang af ISO og ISO Fastlæggelse af organiseringen med henblik på styring af informationssikkerheden, herunder nedsættelse af informationssikkerhedsudvalg. Udpegning af systemansvarlige for såvel systemer, hvori der behandles personoplysninger, som øvrige informationssystemer. Fastlæggelse af databeskyttelsesrådgiverens opgaver, herunder vurdering af at indgå aftale med anden kommune om deling af en databeskyttelsesrådgiver eller overlade funktionen til en ekstern part.

6 5 FANØ KOMMUNE 19. FEBRUAR 2018 FASE 2 - ORGANISERING AF INFORMATIONSSIKKERHEDEN ISO OMRÅDE A.6.1 OG A.16 FORMÅL FORM AKTIVITET BDO udarbejder kommissorium til godkendelse. BDO udarbejder stillingsog funktionsbeskrivelse for databeskyttelsesrådgiver til godkendelse. Udarbejdelse af kommissorium for informationssikkerhedsudvalget. Udarbejdelse af stillings- og funktionsbeskrivelse for databeskyttelsesrådgiver (DPO). FASE 3 FORTEGNELSE OVER BEHANDLINGSAKTIVITETER ISO OMRÅDE A.8.2 FORMÅL FORM AKTIVITET Tilføre viden om eksisterende og fremtidig persondatalovgivning. Identificere processer for behandling af personoplysninger. Påbegynde udarbejdelsen af fortegnelsen over behandlingsaktiviteter, baseret på dataflow-analyser ud fra en risikobaseret prioritering. Afdække umiddelbare forhold, der ikke er i overensstemmelse med databeskyttelsesforordningen, og prioritere afvigelser (GAPs). Afdække umiddelbare mangler i forhold til tekniske og organisatoriske sikkerhedsforanstaltninger, og prioritere manglerne (GAPs). Afdække problemstillinger, der skal undersøges nærmere. Workshops hos kunden, faciliteret af BDO Workshop 2 dage Gennemgang af de krav i databeskyttelsesforordningen og databeskyttelsesloven, der er relevante for kunden. Identifikation af alle processer, hvori der behandles personoplysninger. Udarbejdelse af fortegnelse over behandlingsaktiviteter for udvalgte processer, herunder kategorier af personoplysninger, hjemmel eller samtykke til behandling, systemer og manuelle arkiver og sletning mv. I dette arbejde indgår fortegnelser, udarbejdet af KL for de fælles kommunale systemer. Drøftelse af eventuelle identificerede forhold, der ikke er i overensstemmelse med databeskyttelsesforordningen, mangler i tekniske og organisatoriske sikkerhedsforanstaltninger samt øvrige problemstillinger. Udarbejdelse af handlingsplan til brug for styring af risikoreducerende tiltag og uafklarede forhold. Praktisk arbejde hos kunden med mulighed for sparring med BDO Udarbejdelse af den endelige fortegnelse over behandlingsaktiviteter. Udarbejdelse af liste over forhold og mangler, der skal adresseres og medtages under risikovurderingen. Undersøgelse og afklaring af de identificerede problemstillinger.

7 6 FANØ KOMMUNE 19. FEBRUAR 2018 FASE 4 RISIKOVURDERING FORMÅL FORM AKTIVITET Udføre risikovurderinger med henblik på at dokumentere indførte tekniske og organisatoriske sikkerhedsforanstaltninger. Workshop hos kunden, faciliteret og dokumenteret af BDO Workshop 1 dag Gennemgang af den endelige fortegnelse over behandlingsaktiviteter. Udførelse af risikovurdering på en eller flere udvalgte processer/systemer med udgangspunkt i fortegnelsen over behandlingsaktiviteter med henblik på at træne i de metoder og værktøjer, som BDO stiller til rådighed for risikovurderinger. Risikovurderingen baseres på en vurdering af sandsynlighed og konsekvens for hændelser, for eksempel hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse eller adgang til personoplysninger. Opdatering af handlingsplanen med eventuelle risikoreducerende tiltag og uafklarede forhold, der blev identificeret ved risikovurderingen, herunder prioritering. Praktisk arbejde hos kunden med mulighed for sparring med BDO Udførelse af risikovurderinger på alle processer og systemer ved anvendelse af de metoder og værktøjer, som BDO har stillet til rådighed for risikovurderinger. Opdatering af handlingsplanen med eventuelle risikoreducerende tiltag og uafklarede forhold, der blev identificeret ved risikovurderingen. Gennemførelse af de enkelte punkter i handlingsplanen, herunder løbende opfølgning. FASE 5 INFORMATIONSSIKKERHEDSPOLITIK OG SIKKERHEDSFORANSTALTNINGER/KONTROLLER ISO OMRÅDE A.5, A.6.2, A.7.2, A.8.3 OG A.17 SAMT A.9 A.15 FORMÅL FORM AKTIVITET Udarbejde informationssikkerhedspolitik for beskyttelse af personoplysninger, der udmøntes i procedurer for de tekniske og organisatoriske sikkerhedsforanstaltninger. Udarbejde procedurebeskrivelser for tekniske og organisatoriske sikkerhedsforanstaltninger. Workshop hos kunden, faciliteret af BDO Workshop 1 dag Beskrivelse af en eller flere politikker i informationssikkerhedspolitikken, struktureret efter ISO og baseret på den udførte risikovurdering. Beskrivelse af en eller flere procedurer for tekniske og organisatoriske sikkerhedsforanstaltninger/kontroller i henhold til ISO og ISO 27002, herunder definition af kontrolmål og kontroller. Gennemgang af handlingsplanerne og eventuelle åbenstående punkter. Opdatering af handlingsplanen med eventuelle risikoreducerende tiltag og uafklarede forhold, der blev identificeret ved arbejdet med politikker og procedurer, herunder prioritering.

8 7 FANØ KOMMUNE 19. FEBRUAR 2018 FASE 5 INFORMATIONSSIKKERHEDSPOLITIK OG SIKKERHEDSFORANSTALTNINGER/KONTROLLER ISO OMRÅDE A.5, A.6.2, A.7.2, A.8.3 OG A.17 SAMT A.9 A.15 FORMÅL FORM AKTIVITET BDO udarbejder informationssikkerhedspolitik til godkendelse Praktisk arbejde hos kunden med mulighed for sparring med BDO Udarbejdelse af informationssikkerhedspolitik, struktureret efter ISO 27001, baseret på den udførte risikovurdering, og med udgangspunkt i den eksisterende it-sikkerhedspolitik. Udarbejdelse af procedurebeskrivelser for alle indført tekniske og organisatoriske sikkerhedsforanstaltninger med udgangspunkt i de metoder og skabeloner, som BDO har stillet til rådighed. Afklaring og lukning af åbenstående punkter i handlingsplanerne. TIDSPLAN Tidsplanen for gennemførelse af den aftalte rådgivning og assistance aftales nærmere under fase 1. FORUDSÆTNINGER BDO forudsætter, at der er adgang til det materiale og de informationer, som kræves for at kunne yde den aftalte rådgivning, og at kunden afsætter de nødvendige ressourcer hos de involverede medarbejdere i hele projektforløbet. ANSVAR OG ORGANISERING Partner og chef for Risk Assurance Per Sloth i BDO har det overordnede ansvar for rådgivningsopgaven. BDO bemander rådgivningsopgaven med følgende rådgivere: Steen Pedersen, der er Senior Manager i Risk Assurance, der har mere end 10 års erfaring med informationssikkerhed, risikostyring og beredskabsplanlægning samt stor erfaring med implementering af processer og kontroller for at sikre efterlevelse af myndighedskrav og standarder, herunder krav i medfør af persondatalovgivningen. BDO kan desuden bemande opgaven med assisterende medarbejdere under tilsyn af rådgiverne. Tilsvarende udpeger kunden en kontaktperson, som er behjælpelig med at fremskaffe materialer, arrangere møder o.a. Ved aftalens indgåelse er Thomas Rosenqvist den primære kontaktperson hos kunden.

9 8 FANØ KOMMUNE 19. FEBRUAR 2018 ANSVARSBEGRÆNSNING BDO påtager sig alene ansvaret for tab lidt af kunden, som er en direkte følge af BDO s dokumenterede manglende overholdelse af denne aftale eller af udvist forsømmelighed i forbindelse med udførelsen af opgaven som beskrevet i denne aftale. BDO s samlede erstatning for sådanne tab kan ikke overstige 5 gange det samlede honorar for denne opgave og krav om erstatning må fremsættes inden 1 år efter, at kunden bliver eller burde være bekendt med de forhold, der giver anledning til at rejse kravet. HONORAR BDO tilbyder opgaven til en fast pris på ,00 kr. eksklusiv moms, opdelt i følgende 5 faser: Fase Honorar (kr.) Fase 1: Definition og beskrivelse af projektet ,00 Fase 2: Organisering af informationssikkerheden ,00 Fase 3: Fortegnelse over behandlingsaktiviteter ,00 Fase 4: Risikovurdering ,00 Fase 5: Informationssikkerhedspolitik og sikkerhedsforanstaltninger/kontroller , ,00 Ved at indgå aftale om leverance af alle 5 faser opnår Fanø kommune en besvarelse på ,00 kr. eksklusiv moms, således at det samlede honorar udgør ,00 kr. eksklusiv moms. Kunden indestår for betalingen af BDO s honorar. Honoraret vil blive faktureret efter hver fase. Betalingsbetingelserne følger BDO s vilkår, der er netto kontant. UNDERSKRIFT Fanø, den / København, den Fanø Kommune BDO Statsautoriseret revisionsaktieselskab Thomas Rosenqvist Forvaltningschef for Økonomi, Personale og IT Per Sloth Partner, chef for Risk Assurance

10 9 FANØ KOMMUNE 19. FEBRUAR 2018 BILAG 1: OVERSIGT OVER ISO ISO 27001:2013 Kontrolmål og kontroller Overordnet Punkt Kontrolmål og kontroller A5: Informationssikkerhedspolitikker 5.1 Retningslinjer for styring af informationssikkerhed At give retningslinjer for og understøtte informationssikkerheden i overensstemmelse med forretningsmæssige krav og relevante love og forskrifter Politikker for informationssikkerhed Gennemgang af politikker for informationssikkerhed A6: Organisering af informationssikkerhed 6.1 Organisering af informationssikkerhed At etablere et ledelsesmæssigt grundlag for at kunne igangsætte og styre implementeringen og driften af informationssikkerhed i organisationen Roller og ansvarsområder for informationssikkerhed Funktionsadskillelse Kontakt med myndigheder Kontakt med særlige interessegrupper Informationssikkerhed ved projektstyring 6.2 Mobilt udstyr og fjernarbejdspladser At sikre fjernarbejdspladser og brugen af mobilt udstyr Politik for mobilt udstyr Fjernarbejdspladser A7: Personalesikkerhed 7.1 Før ansættelsen At sikre, at medarbejdere og kontrahenter forstår deres ansvarsområder og er egnede til de roller, de er tiltænkt Screening Ansættelsesvilkår og betingelser 7.2 Under ansættelsen At sikre, at medarbejdere og kontrahenter er bevidste om og lever op til deres informationssikkerhedsansvar Ledelsesansvar Bevidsthed om, uddannelse og træning i informationssikkerhed Sanktioner 7.3 Ansættelsesforholdets ophør eller ændring At beskytte organisationens interesser som led i ansættelsesforholdets ændring eller ophør Ansættelsesforholdets ophør eller ændring A8: Styring af aktiver 8.1 Ansvar for aktiver At identificere organisationens aktiver og definere passende ansvarsområder til beskyttelse heraf Fortegnelse over aktiver Ejerskab af aktiver Accepteret brug af aktiver Tilbagelevering af aktiver

11 10 FANØ KOMMUNE 19. FEBRUAR 2018 ISO 27001:2013 Kontrolmål og kontroller Overordnet Punkt Kontrolmål og kontroller 8.2 Klassifikation af information At sikre passende beskyttelse af information, der står i forhold til informationens betydning for organisationen Klassifikation af information Mærkning af information Håndtering af aktiver 8.3 Mediehåndtering At forhindre uautoriseret offentliggørelse, ændring, fjernelse eller destruktion af information lagret på medier Styring af bærbare medier Bortskaffelse af medier Fysiske medier under transport A9: Adgangsstyring 9.1 Forretningsmæssige krav til adgangsstyring At begrænse adgangen til information og informationsbehandlingsfaciliteter Politik for adgangsstyring Adgang til netværk og netværkstjenester 9.2 Administration af brugeradgang At sikre adgang for autoriserede brugere og forhindre uautoriseret adgang til systemer og tjenester Brugerregistrering og -afmelding Tildeling af brugeradgang Styring af privilegerede adgangsrettigheder Styring af hemmelig autentifikationsinformation om brugere Gennemgang af brugeradgangsrettigheder Inddragelse eller justering af adgangsrettigheder 9.3 Brugerens ansvar At gøre brugere ansvarlige for at sikre deres autentifikationsinformation Brug af hemmelig autentifikationsinformation 9.4 Styring af system- og applikationsadgang At forhindre uautoriseret adgang til systemer og applikationer Begrænset adgang til informationer Procedurer for sikker log-on System for administration af adgangskoder Brug af privilegerede systemprogrammer Styring af adgang til kildekoder til programmer A10: Kryptografi 10.1 Kryptografiske kontroller At sikre korrekt og effektiv brug af kryptografi for at beskytte informationers fortrolighed, autencitet og/eller integritet Politik for anvendelse af kryptografi Administration af nøgler

12 11 FANØ KOMMUNE 19. FEBRUAR 2018 ISO 27001:2013 Kontrolmål og kontroller Overordnet Punkt Kontrolmål og kontroller A11: Fysisk sikring og miljøsikring 11.1 Sikre områder At forhindre uautoriseret fysisk adgang til samt beskadigelse og forstyrrelse af organisationens information og informationsbehandlingsfaciliteter Fysisk perimetersikring Fysisk adgangskontrol Sikring af kontorer, lokaler og faciliteter Beskyttelse mod eksterne og miljømæssige trusler Arbejde i sikre områder Områder til af- og pålæsning 11.2 Udstyr At undgå tab, skade, tyveri eller kompromittering af aktiver og driftsafbrydelse i organisationen Placering og beskyttelse af udstyr Understøttende forsyninger (forsyningssikkerhed) Sikring af kabler Vedligeholdelse af udstyr Fjernelse af aktiver Sikring af udstyr og aktiver for organisationen Sikker bortskaffelse eller genbrug af udstyr Brugerudstyr uden opsyn Politik for ryddeligt skriveborg og blank skærm A12: Driftssikkerhed 12.1 Driftsprocedurer og ansvarsområder At sikre korrekt og sikker drift af informationsbehandlingsfaciliteter Dokumenterede driftsprocedurer Ændringsstyring Kapacitetsstyring Adskillelse af udviklings-, test- og driftsmiljøer 12.2 Beskyttelse mod malware At sikre, at information og informationsbehandlingsfaciliteter er beskyttet mod malware Kontroller mod malware 12.3 Backup At beskytte mod tab af data Backup af information 12.4 Logning og overvågning At registrere hændelser og tilvejebringe bevis Hændelseslogning Beskyttelse af logoplysninger Administrator- og operatørlog Tidssynkronisering 12.5 Styring af driftssoftware At sikre integriteten af driftssystemer Softwareinstallation på driftssystemer

13 12 FANØ KOMMUNE 19. FEBRUAR 2018 ISO 27001:2013 Kontrolmål og kontroller Overordnet Punkt Kontrolmål og kontroller 12.6 Sårbarhedsstyring At forhindre, at tekniske sårbarheder udnyttes Styring af tekniske sårbarheder Begrænsninger på softwareinstallation 12.7 Overvejelser i forbindelse med audit af informationssystemer At minimere virkningen af auditaktiviteter på driftssystemer Kontroller i forbindelse med audit af informationssystemer A13: Kommunikationssikkerhed 13.1 Styring af netværkssikkerhed At sikre beskyttelse af information i netværk og af understøttende informationsbehandlingsfaciliteter Netværksstyring Sikring af netværkstjenester Opdeling af netværk 13.2 Informationsoverførsel At opretholde informationssikkerhed ved overførsel internt i en organisation og til en ekstern entitet Politikker og procedurer for informationsoverførsel Aftaler om informationsoverførsel Elektroniske meddelelser Fortroligheds- og hemmeligholdelsesaftaler A14: Anskaffelse, udvikling og vedligeholdelse af systemer 14.1 Sikkerhedskrav til informationssystemer At sikre, at informationssikkerhed er en integreret del af informationssystemer gennem hele livscyklussen. Dette omfatter også kravene til informationssystemer, som leverer tjenester over offentlige netværk Analyse og specifikation af informationssikkerhedskrav Sikring af applikationstjenester på offentlige netværk Beskyttelse af handelsapplikationer- og tjenester 14.2 Sikkerhed i udviklings- og hjælpeprocesser At sikre, at informationssikkerhed tilrettelægges og implementeres inden for informationssystemers udviklingslivscyklus Sikker udviklingspolitik Procedurer for styring af systemændringer Teknisk gennemgang af applikationer efter ændringer af driftsplatforme Begrænsning af ændringer af softwarepakker Principper for udvikling af sikre systemer Sikkert udviklingsmiljø Outsourcet udvikling Systemsikkerhedstest Systemgodkendelsestest 14.3 Testdata At sikre beskyttelse af data, som anvendes til test Sikring af testdata

14 13 FANØ KOMMUNE 19. FEBRUAR 2018 ISO 27001:2013 Kontrolmål og kontroller Overordnet Punkt Kontrolmål og kontroller A15: Leverandørforhold 15.1 Informationssikkerhed i leverandørforhold At sikre beskyttelse af organisationens aktiver, som leverandører har adgang til Informationssikkerhedspolitik for leverandørforhold Håndtering af sikkerhed i leverandøraftaler Forsyningskæde for informations- og kommunikationsteknologi (IKT) 15.2 Styring af leverandørydelser At opretholde et aftalt niveau af informationssikkerhed og levering af ydelser i henhold til leverandøraftalerne Overvågning og gennemgang af leverandørydelser Styring af ændringer af leverandørydelser A16: Styring af informationssikkerhed 16.1 Styring af informationssikkerhedsbrud og forbedringer At sikre en ensartet og effektiv metode til styring af informationssikkerhedsbrud, herunder kommunikation om sikkerhedshændelser og -svagheder Ansvar og procedurer Rapportering af informationssikkerhedshændelser Rapportering af informationssikkerhedssvagheder Vurdering af beslutning om informationssikkerhedshændelser Håndtering af informationssikkerhedsbrud Erfaring fra informationssikkerhedsbrud Indsamling af beviser A17: Informationssikkerhedsaspekter ved nød-, beredskabs- og retableringsstyring 17.1 Informationssikkerhedskontinuitet Informationssikkerhedskontinuiteten skal være forankret i organisationens ledelsessystemer for nød-, beredskabs og reetableringsstyring Planlægning af informationssikkerhedskontinuitet Implementering af informationssikkerhedskontinuitet Verificer, gennemgå og evaluer informationssikkerhedskontinuiteten 17.2 Redundans At sikre tilgængelighed af informationsbehandlingsfaciliteter Tilgængelighed af informationsbehandlingsfaciliteter A18: Overensstemmelse 18.1 Overensstemmelse med lov- og kontraktkrav At forhindre overtrædelse af lov-, myndigheds- eller kontraktkrav i relation til informationssikkerhed og andre sikkerhedskrav Identifikation af gældende lovgivning og kontraktkrav Immaterielle rettigheder Beskyttelse af registreringer Privatlivets fred og beskyttelse af personoplysninger Regulering af kryptografi

15 14 FANØ KOMMUNE 19. FEBRUAR 2018 ISO 27001:2013 Kontrolmål og kontroller Overordnet Punkt Kontrolmål og kontroller 18.2 Gennemgang af informationssikkerhed At sikre, at informationssikkerhed er implementeret og drives i overensstemmelse med organisationens politikker og procedurer Uafhængig gennemgang af informationssikkerhed Overensstemmelse med sikkerhedspolitikker og sikkerhedsstandarder Undersøgelse af teknisk overensstemmelse

16 15 FANØ KOMMUNE 19. FEBRUAR 2018 BILAG 2: DE OVERORDNEDE KRAV I EU-PERSONDATAFORORDNINGEN Forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (generel forordning om databeskyttelse) blev vedtaget af EU-parlamentet den 27. april EU-persondataforordningen har virkning fra den 25. maj 2018 og erstatter alle EU-medlemslandes nationale persondatalovgivning, herunder den danske lov fra 2000 om behandling af personoplysninger og de i medfør af denne lov udstedte bekendtgørelser. EU-persondataforordningen skaber på denne måde en sammenhængende, stærk og moderne databeskyttelseslovgivning, der er gældende for alle lande i EU. Danmark indfører en ny persondatalov med supplerende bestemmelser til EU-persondataforordningen. En række af artiklerne i EU-persondataforordningen og den supplerende, danske persondatalov vil blive uddybet i retningslinjer og vejledninger fra Det Europæiske Databeskyttelsesråd, Justitsministeriet og Datatilsynet. Såvel de europæiske som danske retningslinjer og vejledninger vil løbende blive offentliggjort frem til den 25. maj Som i den nuværende persondatalov er enhver behandling af oplysninger om en identificeret fysisk person eller en fysisk person, der direkte eller indirekte er identificerbar, omfattet af EU-persondataforordningen. For mange virksomheder drejer det sig typisk om oplysninger på medarbejdere, kunder, leverandører og samarbejdspartnere. EU-persondataforordningen stiller krav til virksomheden om, at registrering og behandling af personoplysninger sker i overensstemmelse med udtrykkeligt angivne og legitime formål, at behandlingen skal være rimelig og gennemsigtig i forhold til personen, og at såvel virksomheden som dens databehandlere er underlagt dokumentationskrav i forhold til opfyldelse af forordningen. Forordningen giver også større kontrol til personen i form af flere rettigheder, ligesom håndhævelse af reglerne er forbedret ved at stille krav om udpegelse af en databeskyttelsesrådgiver (DPO) i særlige tilfælde og underretning om brud på persondatasikkerheden til tilsynsmyndigheden og personen, og ved at give mulighed for udstedelse af administrative bøder til både virksomheden og dens databehandlere. Virksomheden er ansvarlig for at implementere passende tekniske og organisatoriske sikkerhedsforanstaltninger, baseret på en fortegnelse over behandlingsaktiviteter, en dokumenteret risikovurdering og databeskyttelsespolitikker, for at sikre og påvise over for tilsynsmyndigheden, at virksomhedens behandling af personoplysninger er i overensstemmelse med forordningen. Virksomheden er desuden forpligtet til at designe systemer og opsætte systemers standardindstillinger, herunder indfører interne procedurer, således at de understøtter principperne for databeskyttelse. Overlader virksomheden behandlingen af personoplysninger til en databehandler, stiller EU-persondataforordningen krav om, at databehandleren stiller fornødne garantier for at have indført passende tekniske og organisatoriske foranstaltninger, der opfylder kravene i forordningen, og at vilkårene for databehandlingen fremgår af en skriftlig kontrakt mellem virksomheden og databehandleren. Overførsler af personoplysninger til lande uden for EU kan alene ske, når tredjelandet har et tilstrækkeligt databeskyttelsesniveau, eller når fornødne garantier om databeskyttelse er sikret eksempelvis gennem godkendte standardkontrakter fra EU eller godkendte certificeringsordninger. Ved overførsel af personoplysninger i koncerner med aktiviteter uden for EU, kan koncernen anvende bindende virksomhedsregler, såfremt de er retligt bindende for alle koncernselskaber, de udtrykkeligt tillægger personerne rettigheder, som kan håndhæves, og de opfylder en række øvrige krav.

17 16 FANØ KOMMUNE 19. FEBRUAR 2018 BILAG 3: BDO S GENERELLE FORRETNINGSBETINGELSER Der henvises til vedhæftede generelle forretningsbetingelser.

18 KONTAKT STEEN PEDERSEN Senior Manager m: e: BDO Statsautoriseret revisionsaktieselskab, en danskejet rådgivnings- og revisionsvirksomhed, er medlem af BDO International Limited - et UKbaseret selskab med begrænset hæftelse - og del af det internationale BDO netværk bestående af uafhængige medlemsfirmaer. BDO er varemærke for både BDO netværket og for alle BDO medlemsfirmaerne. BDO i Danmark beskæftiger godt medarbejdere, mens det verdensomspændende BDO netværk har godt medarbejdere i 154 lande. Copyright - BDO Statsautoriseret revisionsaktieselskab, cvr.nr