IT-SIKKERHEDSPOLITIK TEKNOLOGISK INSTITUT

Størrelse: px
Starte visningen fra side:

Download "IT-SIKKERHEDSPOLITIK TEKNOLOGISK INSTITUT"

Transkript

1 IT-SIKKERHEDSPOLITIK TEKNOLOGISK INSTITUT V4.1 april 2011 Baseret på DS Gældende overalt i danske og udenlandske afdelinger og datterselskaber af Teknologisk Institut.

2 Indhold 1 INDLEDNING Hvorfor informationssikkerhed Denne IT-sikkerhedspolitik og DS Vurdering af sikkerhedsrisici Valg af sikkerheds- og sikringsforanstaltninger Specifikke sikkerhedsretningslinjer Dispensation fra IT-sikkerhedspolitikken Risikohåndtering Beredskabsplan Hvordan er IT-sikkerhedspolitikken udarbejdet Relevant lovgivning Ansvar for vedligeholdelse Gyldighedsområde og omfang Gyldighedsdato og -periode VIRKSOMHEDENS IT-SIKKERHEDSPOLITIK Virksomhedens IT-sikkerhedspolitik ORGANISERING AF IT-SIKKERHED Interne organisatoriske forhold Ledelsens rolle Funktionsadskillelse System- og dataejere Brugeradministration IT Drift Brugernes ansvar Eksterne organisatoriske forhold Kontakt til myndigheder Samarbejde med leverandører, konsulenter med flere IT-sikkerhed i relation til kunder/kundebetjening Fagligt samarbejde med grupper og organisationer Koordinering af IT-sikkerhedstiltag Linjeorganisationen IT-sikkerhedskoordinering IT-sikkerhedsudvalg Virksomhedens IT-aktiver Registrering af informationsaktiver, dataklassifikation mv Registrering af systemaktiver, systemer Registrering af fysiske aktiver, mærkning mv Ejerskab MEDARBEJDERE OG IT-SIKKERHED Før ansættelse Side 2 af 37

3 4.1.1 Clearing af ansøgere Tavsheds- og hemmeligholdelseserklæringer Under ansættelsen Fysiske nøgler, ID-kort, tokens mv Omgang med IT-aktiver Personlige password (kodeord) og andre koder Uddannelse af medarbejdere - i relation til sikkerhed Medarbejdernes opmærksomhed omkring sikkerhed Nøglemedarbejdere - et ledelsesansvar med forpligtelser for Teknologisk Institut kommunikation generelt E-handel med forpligtelser for Teknologisk Institut Anvendelse af Internetbaserede services (sociale netværk mv.) Medarbejdernes brug af offentlig tilgængelige computere Privat anvendelse af Internet forbindelse Privat anvendelse af mail faciliteter Privat download og kopiering af musik, spil, pornografi mv Privat e-handel Brug af kameraer og mobilkameraer på Teknologisk Institut Brug af Tv-overvågning på Teknologisk Institut Brug af lydoptagelser Benyttelse af remoteværktøjer Fjernadgang Inaktivitet Efter ansættelsen Overdragelse af data og ejerskaber ved fratræden Inddragelse af IT-rettigheder ved fratræden Returnering af lånte IT-aktiver ved fratræden Inddragelse af IT-rettigheder, aktiver mv. ved bortvisning SIKKERHED, GÆSTER OG SAMARBEJDSPARTNERE Faste daglige partnere Rengøringspersonale Håndværkere Vareleverandører Faste IT-partnere Systemkonsulenter Maskinteknikere Systemudviklere Periodiske gæster Eksterne generelt Løst ansatte (vikarer, praktikanter og medhjælpere) Side 3 af 37

4 6 FYSISK SIKKERHED, SIKRING OG KONTROL Bygningsmæssige forhold Virksomhedens perimetersikring Virksomhedens bygningssikring Adgang til bygninger Adgang til IT- og andre teknikrum Adgang til og sikring af IT-kontorer Sikring af arbejde fra private hjem Adgang og sikring af møde- og undervisningslokaler Adgang og sikring af fællesområder Adgang og sikring i forbindelse med lejere i bygning Sikkerhedsforhold i forbindelse med ombygning Alarmer, vagt og vægterrundering IT-udstyr og andet teknisk udstyr, forsyningssikkerhed Placering af IT- og teknikrum i bygning Krav til placering af IT-udstyr i teknikrum Strømforsyning og alarmering ved strømproblemer Køling og ventilation - alarmering ved svigt Sikring mod fugt- og vandskader - alarmering Brandsikring og -alarmering Sikring af kabler og krydsfelter Anskaffelse, vedligehold og kassation Anskaffelse, godkendelsesprocedurer Serviceaftaler, reservedelssituation Installation af hardware og software Omflytning eller fjernelse af udstyr Salg af IT-udstyr SIKKERHED UNDER DRIFT / PRODUKTION Operationelle forhold, batchproduktion Driftsplanlægning Driftsdokumentation Driftsafvikling Driftsovervågning og -kontrol Driftsrapportering Forsyning og lagring af forbrugsmaterialer Ændringsstyring - Change Management Særligt for drift hos ekstern serviceleverandør Definition af leverancen, inkl. sikkerhedsaspekter Overvågning og revision af serviceleverandør Kritiske komponenter, klassifikation og registrering Kritiske hardware komponenter Side 4 af 37

5 7.3.2 Kritiske softwarekomponenter Kritiske program- og datakomponenter Kritiske licensnøgler, password mv Kritisk drift, alternative muligheder - beredskab Programanvendelse Anvendt programmel Download og installation af programmel Beskyttelse mod skadevoldende programmer Sikring mod computervira Sikring mod adware og spyware Sikring mod spam - indgående Sikring mod spam - internt Sikring mod spam - udgående BESKYTTELSE AF VIRKSOMHEDENS DATA Fysisk databeskyttelse Sikring af system- og konfigurationsfiler Sikkerhedskopiering og opbevaring af datakopier Sikkerhedsarkivering jvf. lovgivning Sikkerhedskopiering ved teknologiskift Anvendelse af sikkerhedskopier fra dataarkiv Kontrol af datakopier i sikkerhedsarkiv Sikkerhed omkring brug af databærende medier Lagring af virksomhedsdata Behandling af kasserede databærende medier Databeskyttelse i forbindelse med udveksling af data Forsendelse og transport af databærende medier Elektronisk distribution af forretningsinformation Datasikkerhed i forbindelse med print Datasikkerhed i forbindelse med brug af telefax Udveksling af data med offentlige instanser Sikring ved overførsel af data til udlandet Anvendelse af kryptering SIKRING AF VIRKSOMHEDENS NETVÆRK OG KOMMUNIKATION Operationelle forhold, netværksdrift Netværksdokumentation Netværksovervågning og -kontrol Driftsrapportering, netværksdrift Ændringsstyring, netværk - Change Management Logning af aktiviteter og fejlrapportering Sikring af virksomhedens kommunikationslinjer Sikring af virksomhedens kommunikationslinjer Side 5 af 37

6 9.2.2 Netværkstopologi og konfiguration Internetopkobling og brug af firewall Filtrering af indgående datastrøm gennem firewall Filtrering af udgående datastrøm gennem firewall Dial-in / dial-out Sikring af service- og diagnose porte Anvendelse og sikring af trådløse forbindelser Tilslutning af netværksudstyr Sikring i forbindelse med opkobling fra fjernarbejdspladser Brug af mobiltelefoni til dataoverførsel Sikring ved brug af netværksanalysator Drift af netværk eller web-sites hos ekstern serviceleverandør Definition af leverancen, inkl. sikkerhedsaspekter Overvågning og revision af serviceleverandør ADGANGSSTYRING TIL SYSTEMER OG DATA Administration af brugeradgang og rettigheder Overordnet styring af adgang til IT-systemerne Tildeling af IT-adgange og rettigheder Opbygning af password (kodeord) Tildeling af fælles bruger adgang Tildeling af periodiske rettigheder Ændring af IT-rettigheder ved funktions- eller afdelingsskift Overdragelse af IT-ejerskaber ved funktions- eller afdelingsskift Begrænsning af logon forsøg Password - nulstilling Arbejdsstationer, ubemandede Revision og kontrol af bruger konti Revision og kontrol af brugernes rettigheder Fysisk sikring af uovervåget IT-udstyr Logisk sikring af uovervåget IT-udstyr Logning af brugeraktiviteter Styring af adgang til netværk Identifikation og autentifikation af brugere Identifikation af anvendt netværksudstyr Styring af brugsperioder, automatisk afbrydelse Styring af adgang til operativ- og lignende systemer Fabrikspassword på maskiner og i systemer Brug og kontrol af nødkoder Brug af systemværktøjer Identifikation og autentifikation af brugere Styring af brugsperioder, automatisk afbrydelse Side 6 af 37

7 11 SYSTEM- OG PROGRAMUDVIKLING, VEDLIGEHOLDELSE MV Standard programmel Anskaffelse og evaluering - programmel Licensforhold og -kontrol Test, godkendelse og igangsætning Vedligeholdelse, opgradering Generelt for udvikling af applikationer Definition af udviklingsopgaven, inkl. sikkerhedsaspekter Systemets sikkerhedsmæssige aspekter Definition af systemets indbyggede kontroller Adgangskontrol og brugerstyring i nye applikationer Opbygning og sikring af systemdokumentation Rettigheder og ophavsret til design og kode Versionsstyring og ændringsstyring af programudgaver Brug af produktionsdata i testforløb Test, godkendelse og igangsætning af forretningssystemer Særligt for ekstern programudvikling Kildekode deponering for eksternt udviklede programmer Leverandørens adgang til produktionsdata i testforløb Administration og styring af web-sites Styring og kontrol af virksomhedens domænenavne Ansvar for vedligeholdelse af informationer på web-sites Ansvar for regler og lovgivning for e-handel via web-sites Kunders / borgeres adgang til information via web-sites Sporing (tracking) af kunders adfærd på hjemmesiden STYRING AF SIKKERHEDSHÆNDELSER Advarselssystemer Forhåndsvarsler om sikkerhedstrusler på vej Rapportering Rapportering af sikkerhedshændelser Rapportering af sikkerhedssvagheder og -eksponeringer Mistanke om - og konstaterede sikkerhedsbrud Anvendelse af logfiler til investigering Forsikringer og ansvar Forsikringer Ansvar ved brug af vagtselskaber Kriminelle akter Håndtering af kriminalitet (medarbejdere) Håndtering af kriminalitet (eksterne) Sikring af og indsamling af beviser Anvendelse af logfiler til investigering Side 7 af 37

8 12.5 Kontroller og revision Generel udførelse af kontroller Intern IT-revision VURDERING AF RISICI, SÅRBARHEDER OG KONSEKVENSER Forretningsrisici og konsekvenser Vurdering af forretningsrisici Årsag/Sandsynlighed for fejl Kritiske komponenter Ensartet og enkelt Omstillingsevne Side 8 af 37

9 IT SIKKERHEDSPOLITK Baseret på DS Gældende overalt i danske og udenlandske afdelinger og datterselskaber af Teknologisk Institut. 1 INDLEDNING 1.1 Hvorfor informationssikkerhed IT-sikkerhed udgør en nødvendig del af Teknologisk Instituts beskyttelse af forretningsaktiver og -aktiviteter på linje med den generelle sikkerhed og sikring mod indbrud, brand og lignende. 1.2 Denne IT-sikkerhedspolitik og DS 484 Denne IT-sikkerhedspolitik er udarbejdet med baggrund i den danske standard for informationssikkerhed DS484 (2005), som er en videreførelse af den britiske BS7799. Vi har valgt de dele af standarden, som er relevante for forretning og aktiviteter. Vi har lagt vægten på kriterier som forretningsfølsomhed og personfølsomhed i vore data og på områder som hemmeligholdelse, integritet og tilgang til systemer og data. 1.3 Vurdering af sikkerhedsrisici Vurdering af sikkerhedsrisici sammenholdes med Teknologisk Instituts situation, position i samfundet og produkternes interesse for omverden. Sikkerhedsniveauet lægges på et niveau, der på den ene side sikrer virksomhedens aktiver og aktiviteter tilstrækkeligt mod afbrydelser og datatab, og på den anden side ikke forhindrer eller begrænser medarbejdernes mulighed mere end højst nødvendigt i at udføre deres arbejde og udvise kreativitet. Udgangspunktet er at virksomheden har tillid til medarbejderne, og at kontrol kun udføres, hvor kontrollen tjener. 1.4 Valg af sikkerheds- og sikringsforanstaltninger På baggrund af risiko- og konsekvensvurderinger besluttes hvilke sikkerhedstiltag, der skal implementeres. Valget står mellem forebyggende eller udbedrende aktiviteter. Indtræffer ulykken alligevel, står valget mellem at have en beredskabsplan, eller på forhånd at have accepteret risikoen og konsekvensen. 1.5 Specifikke sikkerhedsretningslinjer De specifikke sikkerhedstiltag skal gennemføres i hele organisationen. Der vil være behov for løsninger indenfor den fysiske sikkerhed (bygningen, forsyning), den tekniske (hardware, software) og den menneskelige side (uddannelse, procedurer). Sammenhængen i sikkerhedspolitikken sikres gennem samarbejde mellem Fællesfunktioner. Arbejdet følges af Direktion og IT-forretningsråd. 1.6 Dispensation fra IT-sikkerhedspolitikken Hvor eksisterende systemer ikke lever op til dele af eller hele indeværende IT-sikkerhedspolitik kan der være behov for dispensationer. De konstaterede afvigelser skal være registreret, og der skal tages stilling til, hvorvidt systemerne skal isoleres, opdateres eller fases ud snarest muligt. Dispensation fra denne IT-sikkerhedspolitik skal godkendes af IT-chefen og IT-forretningsrådet. 1.7 Risikohåndtering Risikohåndtering indbygges i forretningsgange og processer i organisationen, så emnet behandles hvor og når det er relevant. Fællesfunktioner skal periodisk gennemføre overordnede risiko- og konsekvensvurderinger af bygning, teknik, applikationer, processer med mere. Formålet er dels at sikre at det nødvendige sikkerhedsniveau justeres i takt med ændrede behov, og dels at holde sig de mest forretningskritiske systemer for øje. 1.8 Beredskabsplan Som resultat af risiko- og konsekvensanalysen defineres Teknologisk Instituts mest forretningskritiske systemer, for hvilke der skal udarbejdes beredskabsplaner. Systemernes forretningsmæssige betydning afspejler samtidig en prioritering for, hvor ressourcerne skal sættes ind, hvis fejl eller ulykker rammer bredere. Side 9 af 37

10 Beredskabet skal udarbejdes ud fra tidsperspektivet: Hvor længe kan virksomheden klare sig uden adgang til et givet system, hvilke forretningsmæssige omkostninger vil det påføre Teknologisk Institut, hvilke ressourcer er nødvendige og hvor lang tid vil det tage at genskabe et rimeligt operationelt niveau. 1.9 Hvordan er IT-sikkerhedspolitikken udarbejdet Denne IT-sikkerhedspolitik er udarbejdet på baggrund af møder hvori direktionen, ansvarlige for Personale, Økonomi, Bygning, IT med flere har deltaget Relevant lovgivning I forbindelse med IT-sikkerheden er følgende lovgivning, regler og brancheregulativer relevante for virksomheden Ansættelsesbevisloven Arkivloven (offentlige virksomheder) Bogføringsloven E-handelsloven Lov om elektroniske signaturer Markedsføringsloven Ophavsretsloven Persondataloven Straffeloven TV overvågningsloven 1.11 Ansvar for vedligeholdelse IT-chefen skal løbende sikre, at indholdet i IT-sikkerhedspolitikken overholder gældende lovgivning, og at den er dækkende mod de risici og konsekvenser som kan ødelægge Teknologisk Instituts mål og forretningsintentioner. IT-sikkerhedspolitikken skal gennemgås minimum én gang om året Gyldighedsområde og omfang IT-sikkerhedspolitikken er gældende overalt i danske og udenlandske afdelinger og datterselskaber af Teknologisk Institut. Sikkerhedspolitikken omfatter anvendelse af IT under rejser og i forbindelse med arbejde hjemmefra. Relevante dele af IT-sikkerhedspolitikken er gældende for samarbejdspartnere i deres arbejde for Teknologisk Institut, fra alle Teknologisk Instituts lokationer eller fra partnernes adresser Gyldighedsdato og -periode Denne IT-sikkerhedspolitik er gældende fra 1. september 2009 og frem til ny udgave foreligger. 2 VIRKSOMHEDENS IT-SIKKERHEDSPOLITIK 2.1 Virksomhedens IT-sikkerhedspolitik Fastholdelse og udbygning af et højt sikkerhedsniveau er en væsentlig forudsætning for, at Teknologisk Institut fremstår troværdig både nationalt og internationalt. For at fastholde Teknlogisk Instituts troværdighed skal det sikres, at information behandles med fornøden fortrolighed, og at der sker fuldstændig, nøjagtig og rettidig behandling af godkendte transaktioner. IT-systemer betragtes, næst efter medarbejderne, som Teknologisk Instituts mest kritiske ressource. Der lægges derfor vægt på driftsikkerhed, kvalitet, overholdelse af lovgivningskrav og på at systemerne er brugervenlige, dvs. uden unødigt besværlige sikkerhedsforanstaltninger. Der skal skabes et effektivt værn mod IT-sikkerhedsmæssige trusler, således at Teknologisk Instituts image og medarbejdernes tryghed og arbejdsvilkår sikres bedst muligt. Alle forhold skal afvejes med den forretningsmæssige risiko, så sikkerhedsforanstaltninger ikke bliver en unødig hindring for gennemførelsen af arbejdet og betjening af kunder. Beskyttelsen skal være vendt imod såvel naturgivne som tekniske og menneskeskabte trusler. Alle personer betragtes som værende mulig årsag til brud på sikkerheden; dvs. at ingen persongruppe skal være hævet over sikkerhedsbestemmelserne. Side 10 af 37

11 Målene er derfor: TILGÆNGELIGHED - opnå høj driftsikkerhed med høje oppetidsprocenter og minimeret risiko for større nedbrud og datatab INTEGRITET - opnå korrekt funktion af systemerne med minimeret risiko for manipulation af og fejl i såvel data som systemer FORTROLIGHED - opnå fortrolig behandling, transmission og opbevaring af data AUTENTICITET - opnå en gensidig sikkerhed omkring de involverede parter UAFVISELIGHED - opnå en sikkerhed for gensidig og dokumenterbar kontakt 3 ORGANISERING AF IT-SIKKERHED 3.1 Interne organisatoriske forhold Ledelsens rolle Teknologisk Instituts ledelse er overordnet ansvarlig for, at informationsaktiver håndteres ifølge gældende lovgivning, og at de derudover sikres tilstrækkeligt i forretningsmæssig sammenhæng Funktionsadskillelse Adgang til og behandling af data bør kun ske ud fra aktuelle behov, og sådan, at der er klar adskillelse mellem udvikling, vedligeholdelse, test og drift. Tilsvarende bør der være en klar adskillelse mellem den planlæggende, udførende og kontrollerende funktioner i det omfang, som det er organisatorisk muligt System- og dataejere Ethvert IT-aktiv (dataregister, program, fysisk enhed og andet) skal have en navngiven ejer, med ansvar for aktivets anskaffelse, vedligeholdelse og drift. Eksempelvis opstiller system- og dataejeren regler for adgang, rettigheder, sikkerhedskopiering, opbevaring, transport med videre Brugeradministration For alle systemer er udpeget brugeradministratorer, der udfører den fysiske indtastning af brugerprofiler, rettigheder med videre på baggrund af rekvisitioner fra de, som kan tildele og godkende rettigheder. For centrale systemer håndteres alle brugerdispositioner gennem Personaleafdelingen IT Drift IT Drift er ansvarlig for, at alle sikkerhedsregler og procedurer følges i den daglige drift, at problemer og fejl opdages, udbedres og rapporteres. IT Drift indgår i det løbende arbejde (forslag og implementering) med forbedrende sikkerhedstiltag (procedurer, metoder, produkter) Brugernes ansvar Enhver bruger af Teknologisk Instituts IT-systemer er ansvarlig for at overholde gældende politikker og regler på området. Brugeren skal rapportere til nærmeste leder eller til den IT-ansvarlige om uforståelige eller mystiske hændelser i brugen af IT-systemerne. Enhver bruger er ansvarlig for at sikre sig den uddannelse og viden, der er nødvendig for at kunne leve op til den aktuelle funktion og til at betjene de IT-systemer det indebærer. Side 11 af 37

12 3.2 Eksterne organisatoriske forhold Kontakt til myndigheder Direktionssekretariatet opretholder oversigter over de væsentligste kontakter hos offentlige myndigheder i relation til virksomhedens sikkerhed og virke. Dette inkluderer: Brand Indbrud Hærværk IT-sikkerhedsbrud Miljø Samarbejde med leverandører, konsulenter med flere Organisationen skal gennem medlemskab af relevante foreninger og i samarbejde med relevante leverandører sikre sig adgang til opdateret viden om sikkerhed, risici, beskyttelsesmetoder og -værktøjer IT-sikkerhed i relation til kunder/kundebetjening Sikkerheden skal opbygges, så der ikke vil kunne ske nogen form for sammenblanding af kundernes informationer og ordrer, eller tab og manipulation af oplysninger. Sikkerheds- og sikringstiltag skal etableres på en måde, så det ikke generer eller forsinker Instituttets kunder væsentligt, hvad enten kunderne personligt møder frem på Instituttet, eller benytter forskellige elektroniske kanaler som hjemmesider eller smartphones Fagligt samarbejde med grupper og organisationer Sikkerheden skal opbygges, så der ikke vil kunne ske nogen form for sammenblanding af samarbejdspartners og andre organisationers informationer og ordrer, eller tab og manipulation af oplysninger. Sikkerheds- og sikringstiltag skal etableres på en måde, så det ikke generer eller forsinker Instituttets kunder væsentligt, hvad enten kunderne personligt møder frem på Instituttet, eller benytter forskellige elektroniske kanaler som hjemmesider eller smartphones. 3.3 Koordinering af IT-sikkerhedstiltag Linjeorganisationen Det er linjeorganisationens opgave at tilrettelægge og udføre de daglige forretningsopgaver under behørig hensyntagen til de regler og retningslinjer der er gældende gennem denne IT-sikkerhedspolitik med underliggende procedurer IT-sikkerhedskoordinering IT-chefen har det samlede ansvar for den overordnede koordination af sikkerheden, og skal indkalde IT-forretningsrådet til møder, samt indsamle, bearbejde og forelægge statusinformation for rådet. IT-chefen refererer opgavemæssigt direkte til direktionen IT-sikkerhedsudvalg IT-forretningsrådet er Teknologisk Instituts IT-sikkerhedsudvalg og består af repræsentanter for direktionen, IT-ledelsen og udvalgte systemejere (kritiske systemer). IT-forretningsrådet skal evaluere Instituttets sikkerhed og sikring på baggrund af statusrapporter fra IT-chefen. Rådet kan udbede sig orientering om nye risici, sikringsmetoder mv. og tage stilling til hvilke sikkerhedstiltag, der skal iværksættes. Alle systemer og IT løsninger, der skal tilkobles ethvert af Instituttets netværk, skal forhåndsgodkendes af IT Forretningsrådet. Side 12 af 37

13 3.4 Virksomhedens IT-aktiver Registrering af informationsaktiver, dataklassifikation mv. Instituttets dataregistre (filer, databaser m.fl.) skal registreres i et samlet registreringssystem med angivelse af ejerskab, og klassificeres, som grundlag for den rette sikring og beskyttelse af data Registrering af systemaktiver, systemer Alle systemer (operativsystemer, kontorsystemer, værktøjsprogrammer m.fl.) skal registreres i registreringssystemer med angivelse af anvendelse, ejerskab, licensnumre, versionsnumre mv. Registreringen skal løbende vedligeholdes Registrering af fysiske aktiver, mærkning mv. Alle fysiske enheder (servere, arbejdsstationer, bærbare computere) skal registreres i registreringssystemer med angivelse af serienumre, ejerskab og ibrugtagelsesdato. Registreringen skal løbende vedligeholdes Ejerskab Alle fysiske enheder (maskiner, programmer, applikationer, data) plus væsentlige forretningsprocesser skal have en ejer som er ansvarlig for anskaffelse, vedligeholdelse, adgang, drift mv. 4 MEDARBEJDERE OG IT-SIKKERHED 4.1 Før ansættelse Clearing af ansøgere Ansøgeres baggrund og eventuelle referencer bør undersøges ud fra den aktuelle stilling, som skal besættes Tavsheds- og hemmeligholdelseserklæringer Enhver medarbejder har tavshedspligt om diverse forretningsforhold i følge gældende lovgivning. Alle medarbejdere skal i forbindelse med deres ansættelse underskrive en særlig Diskretionspligt. 4.2 Under ansættelsen Fysiske nøgler, ID-kort, tokens mv. Tildeling af fysiske nøgler, adgangskort, tokens og andet til Instituttet og dens IT-systemer tildeles på baggrund af roller. Tildelingen skal registreres centralt, og holdes ajour i takt med lokaleændringer, samt i forbindelse med nye ansættelser, omflytninger og fratrædelser. Medarbejderen skal kvittere for effekterne. Tildelingerne skal revideres periodisk Omgang med IT-aktiver Det er den enkelte medarbejders personlige ansvar og pligt, at betjene det IT-udstyr der stilles til deres rådighed ifølge de retningslinier, regler og forskrifter der gives fra Systemansvarlige/IT, leverandører og producenter. Medarbejderen skal omgående rapportere problemer og fejl til nærmeste leder eller til den Systemansvarlige/IT. Kun Systemansvarlige må foretage indgreb i systemopsætninger og maskineri, eller forsøge omgåelse af sikringssystemer i en afprøvningsfase. PC ere, mobiltelefoner og øvrige databærende medier skal indleveres til rensning i IT, før udstyret må overdrages til anden medarbejder. Udstyr der ikke skal benyttes mere skal indleveres til IT til rensning og skrotning Personlige password (kodeord) og andre koder Personlige password (kodeord) skal skiftes periodisk (3. måned). Det nye password skal være komplekst, unikt, afvige væsentligt fra det tidligere anvendte, og må ikke følge en systematik. Password oplyses til medarbejder ved henvendelse i IT. Password nulstilles og rettes ved første login. Side 13 af 37

14 Brugerne må ikke gemmes deres password elektronisk, notere det eller videregives det til andre. Benyttes samme password i flere systemer skal password skiftes samtidig i alle systemer. Password og andre koder må ikke videregives til andre Uddannelse af medarbejdere - i relation til sikkerhed Det er den enkelte leders ansvar, at medarbejderne gennem formel uddannelse og daglig træning, opnår en tilstrækkelig forståelse for Instituttets IT-systemer, så disse håndteres og betjenes korrekt, til sikring af at data altid er korrekte og valide, alternativt af fejl kan opdages. Alle medarbejdere skal være bekendt med Instituttets IT-sikkerhedspolitik, relevante sikkerhedsregler, rapporteringsregler og konsekvenser ved brud på disse Medarbejdernes opmærksomhed omkring sikkerhed Medarbejdere skal være opmærksomme på afvigelser fra det normale i brug af Instituttets IT systemer : Ukendte mails, mails fra ukendte kilder, mails med ejendommelige overskrifter, dobbelt signon, hjemmesider, mails eller telefonopkald, som forsøger at lokke identiteter, koder og lignende fra brugeren, eller andre hændelser på computeren, som afviger fra hvor dan systemet plejer at reagere. Afvigelser skal omgående rapporteres til IT Nøglemedarbejdere - et ledelsesansvar Enhver leder skal sikre videndeling indenfor sit ansvarsområde. Afdelingen skal gennem opgavefordeling, uddannelse og projektarbejde organiseres på en måde, der begrænser risikoen for at der opstår nøglemedarbejdere. Som sikring skal forretningskritisk information være registreret, og der skal være procedurer til sikring af informationernes vedligeholdelse, aktualitet og validitet med forpligtelser for Teknologisk Institut Aftaler, der forpligter Instituttet, skal håndteres skriftligt og under gældende vilkår for aftaleindgåelse. Fremsendes skriftlig aftale via mail, kan Instituttets digital signatur anvendes til sikker identifikation overfor modtager. Nærmeste leder bør altid modtage en kopi kommunikation generelt Instituttets mail system må ikke anvendes til indhold af anstødelig, religiøs eller politisk art, og det er ikke tilladt for medarbejderne at sende SPAM mail som vittigheder, kædebreve og lignende. Brud på disse regler kan få konsekvenser for ansættelsesforholdet. Der må ikke udsendes uopfordrede salgsfremmende budskaber, tilbud, nyhedsbreve eller tilsvarende i form af mail til kunder og partnere uden deres accept eller godkendelse. Det er ikke tilladt at videresende mail til private adresser og lignende udenfor Instituttet. Det er ikke muligt at slette mails på Teknologisk Institut E-handel med forpligtelser for Teknologisk Institut E-handel (elektronisk indkøb) må på Instituttets vegne kun udføres af medarbejdere med godkendelse hertil Anvendelse af Internetbaserede services (sociale netværk mv.) Dette punkt dækker enhver anvendelse af Internetbaserede services som for eksempel communities, sociale netværk, eksterne hjemmesider, fildeling og andre gruppebaserede tjenester. Arbejdsrelateret ikke-fortroligt materiale af enhver art må kun publiceres efter forudgående godkendelse af centerchefen. Indeholder materialet oplysninger, herunder billed- og videomateriale, om medarbejdere, kunder, leverandører og andre samarbejdspartnere, må publicering udelukkende ske med deres accept. Instituttet har rettigheden til alt arbejdsrelateret materiale, der som led i Teknologisk Instituts aktiviteter produceres med henblik på publicering. Enhver gruppe der etableres på de sociale medier, som repræsenterer Teknologisk Institut, og som benytter Instituttets navn og/eller logo skal godkendes af centerchefen og IT-chefen. Ejerskab af en sådan gruppe skal overdrages til nærmeste leder ved fratrædelse. Side 14 af 37

15 Links til eksterne websteder er tilladt så længe webstederne ikke indeholder eller har direkte links til materiale, der kan virke stødende, er ulovlige eller udgør en sikkerhedsmæssig risiko. Det er ikke tilladt at anvende sociale medier til private formål i arbejdstiden. Enhver sammenblanding af private og arbejdsmæssige forhold skal undgås Medarbejdernes brug af offentlig tilgængelige computere Medarbejderes brug af offentlig tilgængeligt PC udstyr (for eksempel i lufthavne, på internetcafeer, på hoteller mv.) til skrivning, internetsøgning, mail og lignende i virksomhedens tjeneste skal begrænses. Eventuel brug må ikke omfatte fortrolig eller personfølsom information. Personnavne og lignende klart identificerbart i teksten skal sløres. Det skal sikres, at eventuelle firmadata på det fremmede udstyr er slettet inden udstyret forlades Privat anvendelse af Internet forbindelse Privat anvendelse af Internettet fra Instituttets computere må ikke ske i arbejdstiden. Dette inkluderer privat anvendelse af services som communities, sociale netværk, fildeling og andre gruppebaserede tjenester. Instituttet tilbyder fri adgang udenfor medarbejderens arbejdstid, dog med den begrænsning i anvendelsen, som fremgår af andre del-politikker Privat anvendelse af mail faciliteter Der må kun i begrænset omfang sendes private mails på virksomhedens mail systemer. mails med tilknyttede dokumenter kan afvises. Private mails bør mærkes PRIVAT. Al mail trafik registreres og sikkerhedskopieres og vil kunne blive åbnet og læst i forbindelse med teknisk problemløsning. Det er ikke tilladt at videresende til private mailadresser og lignende udenfor Instituttet Privat download og kopiering af musik, spil, pornografi mv. Instituttets computere må ikke anvendes til download og kopiering af spil, ulicenseret musik og software eller af materialer af anstødelig, religiøs eller politisk art. Konstateret piratkopiering vil kunne medføre konsekvenser for ansættelsesforholdet, og i særlige tilfælde til politianmeldelse Privat e-handel Der må kun foretages privat e-handel fra Instituttets IT-systemer hvis handelen ikke på nogen måde kan kompromittere virksomheden, eller forpligte denne. Privat e-handel må kun ske udenfor arbejdstiden Brug af kameraer og mobilkameraer på Teknologisk Institut Det er ikke tilladt, hverken for medarbejdere eller gæster, at optage nogen form for billeder på Instituttets område uden skriftlig tilladelse fra ledelsen. Alle typer kameraer skal være slukket indenfor Instituttets område. Gives tilladelsen er afdelingens chef er ansvarlig for hvilke emner der fotograferes Brug af Tv-overvågning på Teknologisk Institut Tv-overvågning kan benyttes i forbindelse med overvågning af de normale adgangsveje, samt af særligt følsomme områder og afdelinger til løbende kontrol af personers uretmæssige adgang og uhensigtsmæssige opførsel. Medarbejderne skal være orienteret og overvågningen skal være skiltet. Optagelserne lagres og gemmes i en længere fastlagt periode, til brug for eventuel politimæssig efterforskning, hvorefter de overspilles eller slettes. Opbevaring, sletning og kassation skal følge virksomhedens regler for sletning af databærende medier Brug af lydoptagelser Telefonsamtaler fra Instituttets telefonsystemer optages ikke uden forudgående aftale med berørte medarbejdere. Side 15 af 37

16 Benyttelse af remoteværktøjer Benyttelse af remoteværktøjer må kan kun ske efter accept fra bruger. Remoteværktøjer skal være godkendt af IT. Alle tilslutninger med remote værktøjer - samt forsøg på tilslutning - logges med angivelse af bruger/pc som har taget adgang, samt tilslut- og frakoblingstidspunkt Fjernadgang VPN må kun benyttes af medarbejdere på Teknologisk Institut med tildelte initialer Installation af VPN software må kun foretages af IT og ske på udstyr godkendt af IT (med øvrige sikkerhedskrav opfyldt). Benyttes en VPN adgang ikke i tre måneder lukkes den. VPN adgang genåbnes af IT ud fra kontrol af ansættelsesforhold Inaktivitet Inaktivitet i 3 måneder medfører spærring af: Netværkskonti og VPN. Kan genåbnes af IT ud fra kontrol af ansættelsesforhold. Netværksstik. Genåbnes ved at kontakte IT. PC eller anden hardware. Genåbning af adgang kan kun ske efter opdatering af udstyr. Modtager medarbejder ikke løn i tre måneder spærres netværkskonti ligeledes automatisk (kontrolfunktion). 4.3 Efter ansættelsen Overdragelse af data og ejerskaber ved fratræden Ved en medarbejders opsigelse og fratrædelse på eget initiativ, eller opsagt af virksomheden, skal nærmeste leder sikre at dataejerskaber og data overføres til andre medarbejdere. Overdragelsen skal påbegyndes umiddelbart efter at opsigelsen er afleveret. Mail der modtages til fratrådt medarbejder kan efter fratrædelse leveres til anden medarbejderes interne postkasse. Fuld adgang til fratrådt medarbejders postkasse kan kun tildeles efter skriftlig godkendelse fra Personalechef eller Direktion. Ønske om forlængelse af netværksadgang udover fratrædelsesdato (afviklingsforretning) skal godkendes af Personale med ny slutdato. Bemærk at alle postkasser er aktive efter medarbejders fratræden og derfor fremover altid kan modtage post Inddragelse af IT-rettigheder ved fratræden Ved en medarbejders fratrædelse på eget initiativ eller ved opsigelse fra Instituttets side skal nærmeste chef vurdere risikoen ved, at medarbejderen fortsat har sine IT-rettigheder frem til fratrædelsesdagen. Alle adgange til Instituttets IT-systemer lukkes for den pågældende senest ved sidste arbejdsdags ophør. Telefon lukkes eller henvises til andet nummer på fratrædelsesdag. Fratrådte medarbejdere fjernes fra Instituttets adresselister senest næste arbejdsdag Returnering af lånte IT-aktiver ved fratræden Ved en medarbejders fratrædelse skal lånte IT-aktiver (id-kort, tokens, mobiltelefon, computere, routere mv.) returneres senest den sidste arbejdsdag. Opsiger virksomheden medarbejderen skal nærmeste leder vurdere behovet for tidligere inddragelse af effekterne. PC ere, mobiltelefoner og øvrige databærende medier skal indleveres til rensning i IT, før udstyret må overdrages til anden medarbejder. Databærende medier der har tilhørt ledende medarbejdere skal Side 16 af 37

17 destrueres af IT. Fratrådte medarbejdere kan ikke overtage udstyret. Afvigelser her for skal godkendes af Personalechefen eller Direktionen Inddragelse af IT-rettigheder, aktiver mv. ved bortvisning Ved en medarbejders opsigelse og bortvisning skal diverse adgange til Instituttets IT-systemer lukkes for den pågældende umiddelbart efter bortvisningen. Lånte IT-aktiver (id-kort, tokens, mobiltelefon, computere mv.) inddrages omgående. Befinder væsentlige effekter sig på den bortvistes hjemadresse, skal nærmeste chef vurdere behovet for at effekterne kræves udleveret omgående eller afhentes på bopælen. Instituttet kvitterer for overdragelsen. Medarbejderens computere og datafiler gennemgås snarest muligt og relevant indhold overdrages til andre medarbejdere. Nærmeste chef er ansvarlig for aktiviteterne. PCere, mobiltelefoner og øvrige databærende medier skal indleveres til rensning i IT, før udstyret må overdrages til anden medarbejder. Databærende medier der har tilhørt ledende medarbejdere skal destrueres af IT. Udstyr der ikke skal benyttes mere skal indleveres til IT til rensning og skrotning. 5 SIKKERHED, GÆSTER OG SAMARBEJDSPARTNERE 5.1 Faste daglige partnere Rengøringspersonale Rengøring i IT- og teknikrum skal udføres af kendte faste (og clearede) personer, som har modtaget Håndværkere Håndværkere må kun udføre arbejde i IT- og teknikrum, hvis arbejdets formål, omfang og tidspunkter er kendt af IT og godkendt af denne. Der skal tages særlige forholdsregler mod driftsforstyrrelser skabt for eksempel af elektriske forstyrrelser (konsekvenser for IT-udstyr og alarmer), rystelser, støv, røg, ved flytning af udstyr og eventuel afbrydelse af udstyr. I forbindelse med brug af svejseudstyr, brandfarlige kemikalier og lignende skal der tages særlige sikkerhedsmæssige forholdsregler. Håndværkerne skal sikre, at ingen andre uretmæssigt får adgang til området og skal informere IT om arbejdets daglige start og ophør. Håndværkerne skal være bekendt med hvem de skal henvende sig til, hvis der opstår tvivl eller problemer under arbejdets udførelse Vareleverandører Leverandører af IT-materiel eller anden teknik må kun have adgang til Instituttets IT- og teknikrum efter aftale og kun i følge med betroede medarbejdere fra IT. 5.2 Faste IT-partnere Systemkonsulenter Faste systemkonsulenter må gives adgang til virksomhedens IT-ressourcer (lokaler, maskiner og systemer) i det omfang det er nødvendigt for opgavens løsning. Adgang og rettigheder skal godkendes af den Systemansvarlige og IT-chefen. De tildelte adgange skal periodisk undergå revision. Ved behov for opkobling til Instituttets IT-systemer udefra, må adgang kun tildeles for en session ad gangen og under overvågning af Systemansvarlig. Systemansvarlig er ansvarlig for at konsulenterne er bekendt med Instituttets IT-sikkerhedspolitik og regler, og at disse overholdes Maskinteknikere Maskinteknikere med kendt identitet fra faste samarbejdspartnere har samme adgang til IT- og teknikrum som medarbejdere fra IT. De tildelte adgange skal periodisk undergå revision. Side 17 af 37

18 Ingen tilkaldte (ukendte) teknikere må få adgang til Instituttets IT- og teknik rum, uden at fremvise personlig identifikation med firmanavn og navn. Arbejdsopgaven og -perioden skal være kendt. Ukendte teknikerne skal følges af en medarbejder fra IT. Ved behov for opkobling til Instituttets IT-systemer udefra, må adgang kun tildeles for en session ad gangen og under overvågning af Systemansvarlig Systemudviklere Eksterne systemudviklere med behov for adgang til Instituttets IT-systemer, skal være clearet og godkendt af Instituttet. Adgang og rettigheder tildeles i forhold til hvad der er nødvendigt for at løse opgaven. Adgang og rettigheder skal godkendes af den Systemansvarlige og IT-chefen. De tildelte adgange skal periodisk undergå revision. Udviklerne skal være bekendt med Instituttets IT-sikkerhedspolitik, regler for omgang med Instituttets data, rapportering mv. Ved behov for opkobling til Instituttets IT-systemer udefra, må adgang kun tildeles for en session ad gangen og under overvågning af Systemansvarlig. 5.3 Periodiske gæster Eksterne generelt Eksterne mødedeltagere må kun færdes på Instituttet i følge med en ansat medarbejder, alternativt registreres ved ankomsten. Gæster må ikke benytte Instituttets netværk, men kan benytte kablede gæstenet (Blå opmærkning) eller gæstekonti (tildelt for 8 timer) på det trådløse net. Gæstekonti må kun udleveres personligt af medarbejder på Instituttet Løst ansatte (vikarer, praktikanter og medhjælpere) Vikarer og afløsere må normalt ikke få adgang til Instituttets IT-rum, teknikrum eller tilsvarende. Adgang til brug af systemerne skal begrænses til de systemer, som er nødvendige for funktionernes udførelse. Adgangen skal, hvis teknisk muligt, begrænses med dato- og tidsinterval. Nærmeste leder er ansvarlig for, at vikaren eller praktikanten er bekendt med Instituttets sikkerhedspolitik og regler på området. I særlige tilfælde kan en clearing af vikaren være nødvendig. De tildelte adgange skal periodisk undergå revision. Kun medarbejdere med tildelte initialer og underskreven aftale kan få adgang til Instituttets netværk. Tildeling af adgange til alle centrale systemer skal godkendes af Personaleafdeling. 6 FYSISK SIKKERHED, SIKRING OG KONTROL 6.1 Bygningsmæssige forhold Virksomhedens perimetersikring Instituttets ydre områder skal anlægges på en måde, der sikrer mod uretmæssig adgang og som samtidig styrer gæsters adgang til og færden ved virksomheden Virksomhedens bygningssikring Bygningerne skal sikres på en måde der begrænser muligheden for uretmæssig fysisk indtrængen, tyveri, ødelæggelse og hærværk i områder, hvor tyveri eller skader vil påføre store gener eller omkostninger. Forebyggende sikring (låse, tremmer, sikringsfilm og andet) bør suppleres med overvågnings- og alarmsystemer med direkte kontakt til alarmcentral. Side 18 af 37

19 6.1.3 Adgang til bygninger Adgang til Instituttet for gæster og medarbejdere skal ske gennem Instituttets hovedindgange. Post og varer må leveres direkte ind til de relevante funktioner og områder. Øvrige døre beskyttes og markeres som nødudgange Adgang til IT- og andre teknikrum Adgangskontrol til serverrum skal sikres med elektronisk låsesystem, som kan styre og registrere adgangen. Adgangen skal baseres på 2-faktor teknik. Serverrum skal være zoneopdelt og videoovervåget og de tildelte adgange skal periodisk undergå revision. Medarbejdere fra IT eller medarbejdere udpeget af IT har adgang efter behov. Zone med driftservere kan kun tilgås af IT-medarbejdere og relevante teknikere, konsulenter, håndværkere og rengøring har adgang i følge med medarbejdere fra IT. Øvrige teknikrum/teknikskabe skal være forsvarligt aflåst med nøglesystem administreret af IT og have videoovervågning. Adgangsnøgler tildeles af IT Adgang til og sikring af IT-kontorer Kontorer, som benyttes af IT-medarbejdere og hvor der ligger reservedele, softwarepakker mv. skal være sikret mod uvedkommendes fri adgang og mod tyveri. Døre skal være aflåst, når lokalerne ikke er bemandede. Effekter af speciel interesse for tyve, samt medier med følsom information skal opbevares i aflåste enheder, når det ikke anvendes. Kun relevante materialer må ligge fremme under møder og ved besøg (Clean-desk-policy) Sikring af arbejde fra private hjem Som udgangspunkt er alt arbejde med Instituttets IT-systemer og data fra medarbejderes private hjem underlagt denne IT-sikkerhedspolitik. Benyttes privat computer til opkobling mod Teknologisk Institut, må data ikke overføres til den private computer, hverken ved filoverførsel, som tilknyttet mail fil eller på anden måde. Instituttets data skal behandles og håndteres ud fra deres følsomhed og med særlig opmærksomhed på kassationsregler for databærende medier, herunder papirudskrifter Adgang og sikring af møde- og undervisningslokaler Instituttets møde- og undervisningslokaler kan frit benyttes af Instituttets medarbejdere. Mødeværten er ansvarlig for eksterne deltageres færden i området Adgang og sikring af fællesområder Kundeområder bør isoleres, så der ikke er fri adgang til Instituttets øvrige lokaler Adgang og sikring i forbindelse med lejere i bygning Lejemål i Instituttets domicil skal bygningsmæssigt være adskilt fra virksomhedens områder, og benytte eget låse-/nøglesystem. Det skal sikres, at der hos lejerne ikke kan forefindes udstyr eller maskiner der kan forstyrre driften i domicilet (elektrisk støj, støj, rystelser, andet), og at der ikke arbejdes med produktion eller materialer, som kan udsætte bygningen for fysiske risici som brand, eksplosionsfare mv. Ved brug af fælles LAN (fysisk eller trådløst GæsteNet) er det op til denne enkelte part at beskytte adgangen til egne IT-systemer: Sikkerhedsforhold i forbindelse med ombygning Ved ombygninger og omflytninger i IT-områder eller tilsvarende forretningsfølsomme områder, og hvor området på grund af byggeriet i perioder vil være åben for tilfældig adgang, skal der indføres særlige kontroller der sikrer, at virksomhedens sikkerhed ikke kompromitteres, og at aktiver ikke udsættes for unødigt beskadigelse eller tyveri. Side 19 af 37

20 Alarmer, vagt og vægterrundering Særligt følsomme områder af virksomheden skal sikres med indbrudsalarmer i alle rum med døre og vinduer i stueplan, alternativt følge regler for lokaleklassifikation og zoneopdeling. Alarmerne skal have direkte kald til alarmcentral. Der skal gennemføres vægterrundering på nærmere fastlagte tidspunkter. Kald til og fremmøde fra vagtcentral skal kunne dokumenteres (af hensyn til forsikringsdækning). 6.2 IT-udstyr og andet teknisk udstyr, forsyningssikkerhed Placering af IT- og teknikrum i bygning Centralt og fælles IT- udstyr, samt andet sårbart og forretningskritisk teknisk udstyr skal placeres i aflåste lokaler dedikeret til formålet, med særlig sikring af det fysiske miljø, f.eks. i følge en zoneopdeling og lokaleklassifikation. Lokalerne må ikke markeres på alment tilgængelige planer og må ikke markeres med direkte skiltning Krav til placering af IT-udstyr i teknikrum IT-udstyret skal være placeret i reoler og racks med plads til betjening og servicering fra begge sider, minimum jvf. krav fra maskinleverandører. Alle maskiner og kabler skal være mærket med navn, anvendelse, forbindelsespunkter og andre relevante oplysninger Strømforsyning og alarmering ved strømproblemer IT-udstyret skal forsynes fra to separate indgangskilder til bygningen, fordelt på separate sikringsgrupper med spændingsudjævnere. Forretningskritiske enheder skal sikres mod strømudfald med UPS-udstyr. UPS ens kapacitet afgøres ud fra forretningskonsekvensen af et nedbrud. UPS en skal afprøves periodisk. Strømforsyningen skal være overvåget med alarm til IT eller andet bemandet sted. Behov for nøddiesel generator(er) skal periodisk vurderes ud fra den forretningsmæssige afhængighed og konsekvens af et længerevarende strømsvigt. Eventuel anden nødstrømsforsyning skal afprøves jævnligt Køling og ventilation - alarmering ved svigt IT- og teknik rum skal være sikret med tilstrækkelig og konstant ventilation og køling, der lever op til IT-leverandørernes specifikationer. Der skal findes sensorer som kan alarmere IT-medarbejderne eller andre ved væsentlig reduktion eller svigt i kølesystemerne. Ventilationskanaler skal være forsynet med automatiske brandspjæld, som lukkes styret af brandalarmeringssystemet. Behovet for strømsikring af IT-forsyningsudstyr (køling, ventilation) skal jævnligt vurderes. Behov for nøddiesel generator(er) skal periodisk vurderes ud fra den forretningsmæssige afhængighed og konsekvens af et strømsvigt Sikring mod fugt- og vandskader - alarmering Udstyr må ikke placeres nær eller under gennemgående vandrør. Der skal tages særlige hensyn omkring ovenlysvinduer mod utætheder og indtrængende vand. Udstyr og kabelsamlinger skal være hævet minimum 40 cm over gulvhøjde, hvis der er gennemgående vandrør og/eller kloakafløb i gulv (kældre). Er der kloakafløb skal der være installeret tilbageløbsventil. Der skal være installeret fugtalarm under gulvet med direkte kald til IT-medarbejderne eller andet vagtpersonale. Er det relevant for området, skal der installeres grundvandspumpe (kældre) Brandsikring og -alarmering Kritiske IT- og teknikrum skal være forsynet med lovmæssigt brandslukningsudstyr, samt med sensorer (røg, varme eller ion detektorer) til automatisk branddetektering, alarmering, (eventuelt et Early Warning System) og med automatisk udløsning af slukningsmiddel. Der må ikke opbevares brandbare materialer i rummene eller i rummene umiddelbart omkring, ligesom tobaksrygning og brug af åben ild ikke er tilladt. Side 20 af 37

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser INDHOLDSFORTEGNELSE 1. Baggrund og formål... 2 2. Ansvarsfordeling... 2 2.1 Jobcenterchefens ansvar... 2 2.2 Gensidig informationspligt... 3 3. Krav til

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

IT-sikkerhedspolitik for

IT-sikkerhedspolitik for Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

Service Level Agreement (SLA)

Service Level Agreement (SLA) Service Level Agreement (SLA) vedrørende IT-Backend mellem Gymnasiefællesskabet og Allerød Gymnasium Roskilde Katedralskole Roskilde Gymnasium Himmelev Gymnasium Greve Gymnasium Solrød Gymnasium Køge Gymnasium

Læs mere

It-sikkerhed i Dansk Supermarked

It-sikkerhed i Dansk Supermarked It-sikkerhed i Dansk en kort introduktion It-sikkerhed i Dansk 1 Velkommen som it-bruger i Dansk Kære medarbejder Brug af it er for mange i Dansk en naturlig del af arbejdsdagen. Hvis vi skal sikre vores

Læs mere

OVERORDNET IT-SIKKERHEDSPOLITIK

OVERORDNET IT-SIKKERHEDSPOLITIK OVERORDNET IT-SIKKERHEDSPOLITIK Indholdsfortegnelse 1. Indledning....3 2. Formål...3 3. Sikkerhedspolitik...3 4. Dækningsormåde...4 5. Sikkerhedsniveau....4 6. Organisation og ansvar...4 7. Opfølgning...5

Læs mere

Guide til sikker it. Daglig brug Programmer E-mail Internet Databehandling

Guide til sikker it. Daglig brug Programmer E-mail Internet Databehandling Guide til sikker it Daglig brug Programmer E-mail Internet Databehandling Hvilke retningslinjer skal du følge som it-bruger i Hillerød Kommune? Indhold Daglig brug af din computer 4 Computere, programmer

Læs mere

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) 1 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-951-4 0.05.12

Læs mere

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.

Læs mere

Instrukser for brug af it

Instrukser for brug af it it sikkerhed Instrukser for brug af it Må Skal ikke Kan Januar 2010 Version 1.0 Indhold Forord................................................... 3 Resumé.................................................

Læs mere

Informationssikkerhed Version 2.0 29.09.10

Informationssikkerhed Version 2.0 29.09.10 Informationssikkerhed Version 2.0 29.09.10 Retningslinjer for retablering af systemer og data (Ændringer i forhold til tidligere version er markeret med Understregning) Disse retningslinjer beskriver de

Læs mere

IT-sikkerhedspolitik. for. Gladsaxe Kommune

IT-sikkerhedspolitik. for. Gladsaxe Kommune IT-sikkerhedspolitik for Gladsaxe Kommune INDHOLD 1. IT-sikkerhedspolitik 1.1 Baggrund for IT-sikkerhedspolitikken 2. Begreber og definitioner 3. IT-sikkerhedspolitikken 3.1 Hovedmålsætninger med IT-sikkerhedspolitikken

Læs mere

Datasikkerhedspolitik

Datasikkerhedspolitik Datasikkerhedspolitik Godkendt i Byrådet den 10.november 2008 1 Datasikkerhedspolitik Indhold 1. Indledning 2. Organisation og ansvarsfordeling 2.1 Ansvarsorganisation for datasikkerhed 2.2 Øverste og

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

Personalehåndbog. Personalehåndbogens målsætning. 1. Vores historie. 2. Mission 3. Vision 4. Værdigrundlag 5. Organisationen.

Personalehåndbog. Personalehåndbogens målsætning. 1. Vores historie. 2. Mission 3. Vision 4. Værdigrundlag 5. Organisationen. Personalehåndbog Personalehåndbogens målsætning Strategi og mål m.m. 1. Vores historie. 2. Mission 3. Vision 4. Værdigrundlag 5. Organisationen Bestyrelse 1 Organisationsdiagram 6. Vores målsætning Politikker

Læs mere

Edb-udstyret skal fysisk være beskyttet, så en person der søger at angribe Randers kommunes netværk ikke har uhindret adgang til edb-udstyret.

Edb-udstyret skal fysisk være beskyttet, så en person der søger at angribe Randers kommunes netværk ikke har uhindret adgang til edb-udstyret. Bilag 2 Fysisk sikkerhed 1 Hvorfor fysisk sikkerhed Sikkerheden i et hvert edb-system er grundlæggende afhængigt af, at kravene til den fysiske sikkerhed er opfyldt. Disse krav til fysisk sikkerhed skal

Læs mere

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014 Aarhus Kommune IT-sikkerhedspolitik Politik 25-04-2014 Indholdsfortegnelse Politik 1 Indledning 1 Formål 1 Politikkens omfang 2 Ledelsesansvar 2 IT-sikkerhedsorganisationen 2 IT-sikkerhedsniveau 3 IT-sikkerhedshåndbogen

Læs mere

IT sikkerhedspolitik. for. Fredericia Kommune

IT sikkerhedspolitik. for. Fredericia Kommune IT sikkerhedspolitik for Fredericia Kommune Side 1 af 17 Versionsstyring Versionsnummer Dato for version Ændring Årsag Ansvar 1.00 01.06.2013 Ny politik godkendt i byrådet PerToftdahl Side 2 af 17 Versionsstyring...

Læs mere

Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6

Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6 Indholdsfortegnelse Generelt 3 Formål 3 Omfang 4 It-sikkerhedsniveau 4 Styring 5 Sikkerhedsbevidsthed 6 Brud på it-sikkerheden 6 Anvendelse af politik for it-sikkerhed i praksis 6 Bilag 1. Anvendelse af

Læs mere

Faaborg-Midtfyn Kommunes it-sikkerhedspolitik Udkast pr. 26. maj 2009

Faaborg-Midtfyn Kommunes it-sikkerhedspolitik Udkast pr. 26. maj 2009 1. Indledning It-anvendelsen i Faaborg-Midtfyn Kommune skal understøtte kommunens vision. Samtidig ønsker Faaborg- Midtfyn Kommune, at medarbejderne har en bevidst holdning til begrebet it-sikkerhed, hvor

Læs mere

RETNINGSLINJER FOR TV-OVERVÅGNING I BOLIGFORENINGEN VIBO

RETNINGSLINJER FOR TV-OVERVÅGNING I BOLIGFORENINGEN VIBO RETNINGSLINJER FOR TV-OVERVÅGNING I BOLIGFORENINGEN VIBO Definition Ved tv-overvågning forstås vedvarende eller periodisk gentagen overvågning af både udendørs- og indendørs arealer ved hjælp af automatisk

Læs mere

Kære medarbejder og leder

Kære medarbejder og leder Kære medarbejder og leder Adgang til informationer i it-systemer og elektronisk kommunikation er for de fleste medarbejdere i Region Hovedstaden en selvfølgelig del af arbejdsdagen. Hvis vi ikke har adgang

Læs mere

IT-retningslinier og sikkerhedspolitik for Viborg Kommunes Skole IT. - gældende for undervisere

IT-retningslinier og sikkerhedspolitik for Viborg Kommunes Skole IT. - gældende for undervisere IT-retningslinier og sikkerhedspolitik for Viborg Kommunes Skole IT - gældende for undervisere August 2009 IT retningslinier og sikkerhedspolitik for Viborg kommunes Skole IT - gældende for undervisere

Læs mere

Studér denne folder for vores sikkerheds skyld

Studér denne folder for vores sikkerheds skyld Studér denne folder for vores sikkerheds skyld Pas på vores værdifulde viden Vi fremskaffer og formidler viden. Elektronisk, skriftligt og mundtligt. Det er Københavns Universitets væsentligste aktivitet

Læs mere

Instrukser for brug af dataudstyr ved OUH

Instrukser for brug af dataudstyr ved OUH Skal Kan Må ikke Instrukser for brug af dataudstyr ved OUH Afdelingen for Driftsoptimering og IT Vi er til for borgerne, og bruger dataudstyr for at sikre effektivitet og kvalitet. Vi skal have en høj

Læs mere

IT-regler gældende for Danmarks Medie- og Journalisthøjskole

IT-regler gældende for Danmarks Medie- og Journalisthøjskole IT-regler gældende for Danmarks Medie- og Journalisthøjskole Retningslinjer for studerende og medarbejdere ved Danmarks Medie- og Journalisthøjskole vedrørende brugen af organisationens IT-ressourcer 1

Læs mere

Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk

Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk 9. april 2013 Dokumentnr.: CKG Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk Indhold: 1. Organisation...2 2. Serviceydelser...3 3. Teknik...6 4. Gældende regler...9 1/9 1. Organisation

Læs mere

IT Sikkerhedspolitik. for. Tønder kommune

IT Sikkerhedspolitik. for. Tønder kommune Udkast IT Sikkerhedspolitik for Tønder kommune Side 1 af 13 Indhold Version.... 3 Indledning... 4 Formålet med IT Sikkerhedspolitikken.... 4 Hvem er omfattet af IT Sikkerhedspolitikken.... 5 Ansvar og

Læs mere

Informationssikkerhedspolitik for Vejen Kommune

Informationssikkerhedspolitik for Vejen Kommune Informationssikkerhedspolitik for Vejen Kommune Denne politik er godkendt af byrådet d. xx. Og træder i kraft d. xx. Seneste version er tilgængelig på intranettet. Indledning Vejen Byråd fastlægger med

Læs mere

fortrolighed: omfatter en sikring af, at information kun er tilgængelig for personer, som er berettigede

fortrolighed: omfatter en sikring af, at information kun er tilgængelig for personer, som er berettigede Tillæg 3 1 1 IT-sikkerhedspolitik for Ballerup Kommune 1.1 Baggrund for IT-sikkerhedspolitikken Ballerup Kommune anvender på flere områder og i større omfang IT for at leve op til de krav, som borgere,

Læs mere

Cirkulære om sikkerhedsforanstaltninger i Kirkenettet

Cirkulære om sikkerhedsforanstaltninger i Kirkenettet Cirkulære om sikkerhedsforanstaltninger i Kirkenettet Cirkulæret omhandler organisatoriske forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af adgangskontrolordninger og autorisationsordninger

Læs mere

IT-SIKKERHEDSPOLITIK UDKAST

IT-SIKKERHEDSPOLITIK UDKAST IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens

Læs mere

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer plus revision skat rådgivning TABULEX ISAE 3000 DK ERKLÆRING MARTS 2013 Erklæring fra uafhængig revisor om Tabulex ApS overholdelse af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger

Læs mere

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Den finansielle sektor er i dag 100% afhængig af, at it-løsninger er kørende og herudover er sikret i tilfælde af, at noget

Læs mere

Sikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005

Sikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005 Sikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005 INDHOLDSFORTEGNELSE 1. INTRODUKTION... 3 1.1 FORMÅL... 3 2 FYSISK SIKKERHED... 4 2.1 MILJØ OG SIKRING... 4 2.2 ADGANGSKONTROL... 5 3 HARDWARE...

Læs mere

Sotea ApS. Indholdsfortegnelse

Sotea ApS. Indholdsfortegnelse Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med varetagelsen af den fysiske sikkerhed i perioden 01. juni 2013 til 31. maj

Læs mere

Tænk når du taster. kom nærmere

Tænk når du taster. kom nærmere Tænk når du taster kom nærmere Regler for medarbejdernes brug af TDC s pc-arbejdspladser Nedenfor kan du læse om de regler, TDC s Direktion har vedtaget for brugen af koncernens*) pc-arbejdspladser Reglerne

Læs mere

Hvilke retningslinjer skal du følge som bruger i Norddjurs Kommune?

Hvilke retningslinjer skal du følge som bruger i Norddjurs Kommune? Hvilke retningslinjer skal du følge som bruger i Norddjurs Kommune? Som bruger i Norddjurs Kommune er du ansvarlig for det, du foretager dig på din computer og for de oplysninger, som du gemmer. Det betyder,

Læs mere

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet Sammenfatning Denne vejledning adresserer risikoen for industrispionage fra statssponserede aktører i udlandet mod

Læs mere

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup.

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. Front-safe A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. April 2011 5. erklæringsår R, s Kalvebod Brygge 45, 2., 1560 København

Læs mere

Sikkerhedspolitik Version 4.0506 d. 6. maj 2014

Sikkerhedspolitik Version 4.0506 d. 6. maj 2014 Nærværende dokument beskriver de sikkerhedsforanstaltninger, som leverandøren har opstillet til den interne fysiske sikkerhed, datasikkerhed, logisk sikkerhed og sikkerhed i forbindelse med netværk, firewall

Læs mere

Sikkerhedsinstruks for IT-brugere hos Randers Kommune. Bilag 1

Sikkerhedsinstruks for IT-brugere hos Randers Kommune. Bilag 1 Sikkerhedsinstruks for IT-brugere hos Randers Kommune Bilag 1 20. marts 2007 Samtlige IT-brugere af Randers kommunes IT skal kende nærværende retningslinier. Retningslinierne vil blive ajourført af IT-sikkerhedslederen,

Læs mere

Forskrift G - Diskretionspolitik og procedurer omkring datasikkerhed

Forskrift G - Diskretionspolitik og procedurer omkring datasikkerhed Forskrift G - Diskretionspolitik og procedurer omkring datasikkerhed December 2007 Rev. 1 Nov. 2006 Nov. 2006 Jan. 2007 Jan. 2007 DATE LEG BCM/MRP LEG LSO NAME Nov. 2006 DATE HEP/LEG NAME REV. DESCRIPTION

Læs mere

PERSONALE RETNINGSLINJER FOR VIDEOOVERVÅGNING

PERSONALE RETNINGSLINJER FOR VIDEOOVERVÅGNING Risikostyring - tag vare på dit, mit og vores - og på dig selv og os PERSONALE RETNINGSLINJER FOR VIDEOOVERVÅGNING 1 Definition Ved videoovervågning forstås vedvarende eller periodisk gentagen overvågning

Læs mere

IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR

IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR 1 HUSK n Adgangskoder må ikke videregives til andre. n Andre må ikke anvende din personlige bruger-id. n Ved mistanke om, at andre har fået kendskab

Læs mere

Retningslinjer om brugeransvar

Retningslinjer om brugeransvar Retningslinjer om brugeransvar April 2015 Movia Design/Mette Malling 04.15. Fotos: Movia Indhold Pas på vores Movia 5 Movias målsætninger 6 Hvem har ansvaret? 8 Fortrolighed 9 Movias omdømme 11 Pas på

Læs mere

It-sikkerhedstekst ST4

It-sikkerhedstekst ST4 It-sikkerhedstekst ST4 Datatransmission af personoplysninger på åbne net Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST4 Version 1 Oktober 2014 Datatransmission af personoplysninger

Læs mere

Sikkerhedsanbefaling. It-sikkerhed på rejsen

Sikkerhedsanbefaling. It-sikkerhed på rejsen Sikkerhedsanbefaling It-sikkerhed på rejsen Juni 2015 2 It-sikkerhed på rejsen En sikkerhedsanbefaling fra Center for Cybersikkerhed 3 4 Om sikkerhedsanbefalingen Denne sikkerhedsanbefaling fra Center

Læs mere

Sikkerhedsanbefaling. It-sikkerhed på rejsen

Sikkerhedsanbefaling. It-sikkerhed på rejsen Sikkerhedsanbefaling It-sikkerhed på rejsen Juni 2015 It-sikkerhed på rejsen En sikkerhedsanbefaling fra Center for Cybersikkerhed 2 Om sikkerhedsanbefalingen Denne sikkerhedsanbefaling fra Center for

Læs mere

IT-Center Syd IT-Ydelseskatalog

IT-Center Syd IT-Ydelseskatalog IT-Ydelseskatalog April 2011 /PEM pem@itcsyd.dk Side 1/14 - Deres ref.: Vores ref.: Indholdsfortegnelse IT-Ydelseskatalog... 1 Indledning... 3 IT organisation... 3 Afdelingstruktur... 3 Adgang/Licenser

Læs mere

It-sikkerhedspolitik for Københavns Kommune

It-sikkerhedspolitik for Københavns Kommune Københavns Kommune Koncernservice It-sikkerhedspolitik for Københavns Kommune 2015-02-05 It-sikkerhedshåndbog for Københavns Kommune It-sikkerhedspolitik for Københavns Kommune Publiceret: 2014-07-03 Mål

Læs mere

Betingelser for Netpension Firma Gældende pr. 15. november 2013

Betingelser for Netpension Firma Gældende pr. 15. november 2013 Betingelser for Netpension Firma Gældende pr. 15. Indledning I Betingelser for Netpension Firma finder I en beskrivelse af, hvad Netpension Firma er, og hvilke funktioner virksomheden har adgang til. Del

Læs mere

Online Banking Sikkerhedsvejledning PC-baseret version

Online Banking Sikkerhedsvejledning PC-baseret version Sikkerhedsvejledning PC-baseret version Indhold Introduktion til Sikkerhedsvejledningen...3 Sikkerhedsvejledningen...3 Sikker brug af internettet...3 Sikkerhedsløsninger i...3 Hvad er sikkerhed i?...4

Læs mere

Retningslinier. for. Video-overvågning i Faxe Kommune

Retningslinier. for. Video-overvågning i Faxe Kommune Retningslinier for Video-overvågning i Faxe Kommune Formål Formålet med i Faxe Kommune er at beskytte kommunens ejendomme og værdier mod kriminelle handlinger samt tilføre tryghed for ansatte i kommunen

Læs mere

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09 Aabenraa Kommune Informationspolitik : 2014-04-09 Aabenraa Kommune 29. august 2012 Informationspolitik Overordnet Informationssikkerhedspolitik for Aabenraa Kommune Velkommen til Aabenraa Komune s overordnede

Læs mere

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven).

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven). Bilag 6 Databehandleraftale og databehandlerinstruks 1. Leverandøren overholder de til enhver tid gældende regler og forskrifter for behandling af personoplysninger under Kontrakten, herunder: lov nr.

Læs mere

Databehandleraftale. Der er indgået denne Databehandlingsaftale ("Aftale") mellem

Databehandleraftale. Der er indgået denne Databehandlingsaftale (Aftale) mellem Oktober 2014 Sagsnr. 013928-0190 cen/dla Databehandleraftale Der er indgået denne Databehandlingsaftale ("Aftale") mellem Fredericia Kommune Gothersgade 20 7000 Frdericia CVR-nr.: 69116418 ("Kommunen")

Læs mere

Tabulex ApS. Februar 2011 7. erklæringsår. R, s

Tabulex ApS. Februar 2011 7. erklæringsår. R, s Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2011 7. erklæringsår

Læs mere

Sikkerhed i trådløse netværk

Sikkerhed i trådløse netværk Beskyt dit trådløse netværk IT- og Telestyrelsen Holsteinsgade 63 2100 Kbh. Ø Telefon 3545 0000 Telefax 3545 0010 E-post: itst@itst.dk www.itst.dk Rådet for it-sikkerhed www.raadetforitsikkerhed.dk Der

Læs mere

TV-overvågning - etiske anbefalinger

TV-overvågning - etiske anbefalinger TV-overvågning - etiske anbefalinger kopiering tilladt med kildeangivelse Network Indledning TV-overvågning er et område i meget stærk vækst - både med hensyn til hvad angår hvor, hvordan og af hvem det

Læs mere

Sådan håndterer Danish Crown sin industrielle IT-sikkerhed

Sådan håndterer Danish Crown sin industrielle IT-sikkerhed Sådan håndterer Danish Crown sin industrielle IT-sikkerhed DAU d. 7 marts 2013 CV Firma : Navn : Afdeling : Titel : Alder : Danish Crown A/S Thomas Page Pedersen Factory IT Afdelingschef 43 år Danish Crown

Læs mere

Adgang til internettet Manuel login: http://login.kollegienet.dk Automatisk login: http://login.kollegienet.dk/jws Benyttelse af router:

Adgang til internettet Manuel login: http://login.kollegienet.dk Automatisk login: http://login.kollegienet.dk/jws Benyttelse af router: Velkommen til Foreningen Kollegienet Odense (FKO). Ved at udfylde og indsende tilmeldingsblanketten bagerst i denne folder har du mulighed for at benytte internet og internt netværk med FKO som din professionelle

Læs mere

Vilkår for hosting. 6. revision 7. maj 2005. CompuSoft A/S Anderupvej 16 5270 Odense N CVR-nr. 21774774 (i det følgende kaldet leverandøren)

Vilkår for hosting. 6. revision 7. maj 2005. CompuSoft A/S Anderupvej 16 5270 Odense N CVR-nr. 21774774 (i det følgende kaldet leverandøren) Vilkår for hosting 6. revision 7. maj 2005 CompuSoft A/S Anderupvej 16 5270 Odense N CVR-nr. 21774774 (i det følgende kaldet leverandøren) CompuSoft A/S, Anderupvej 16, DK 5270 Odense N, Tlf. +45 6318

Læs mere

Front-data Danmark A/S

Front-data Danmark A/S Front-data Danmark A/S Revisionserklæring (ISAE 3402, type 2) vedrørende de generelle it-kontroller i tilknytning til driften af hostingcenter. December 2011 1. erklæringsår R, s Kalvebod Brygge 45, 2.,

Læs mere

Ydelser Af ydelseskataloget fremgår det, hvilke grundydelser, der skal løses af gymnasiefællesskabet, og hvilke opgaver der skal løses af skolen.

Ydelser Af ydelseskataloget fremgår det, hvilke grundydelser, der skal løses af gymnasiefællesskabet, og hvilke opgaver der skal løses af skolen. Opdateret 29. november 2011 Bilag 3 til samarbejdsaftalen Område: IT-service og support Opgaver Support af administrativ og undervisningsmæssig IT på gymnasierne. Overordnet ansvar for udvikling og implementering

Læs mere

Regionernes politiske linje for informationssikkerhed

Regionernes politiske linje for informationssikkerhed Regionernes politiske linje for informationssikkerhed 1 / SUNDHEDSDATA I TRYGGE HÆNDER / Danske Regioner 2015 Regionernes politiske linje for informationssikkerhed Danske Regioner 2015 Layout: UHI, Danske

Læs mere

LÆS VENLIGST VILKÅRENE OMHYGGELIGT, FØR DU BRUGER DENNE HJEMMESIDE.

LÆS VENLIGST VILKÅRENE OMHYGGELIGT, FØR DU BRUGER DENNE HJEMMESIDE. LÆS VENLIGST VILKÅRENE OMHYGGELIGT, FØR DU BRUGER DENNE HJEMMESIDE. BRUGSVILKÅR FOR HJEMMESIDE Disse brugsvilkår angiver sammen med de øvrige retningslinjer, som der heri henvises til vilkårene for brug

Læs mere

Retningslinier for brug af it i Aalborg Kommune, tilrettet til lærerbrug

Retningslinier for brug af it i Aalborg Kommune, tilrettet til lærerbrug Retningslinier for brug af it i Aalborg Kommune, tilrettet til lærerbrug Udviklingen på området gør, at disse retningslinier vil blive revideret løbende Indhold: Indledning...3 Adgang til skolens net...3

Læs mere

S E R V I C E L E V E L A G R E E M E N T for. Netgroups levering af IT-ydelser m.v.

S E R V I C E L E V E L A G R E E M E N T for. Netgroups levering af IT-ydelser m.v. S E R V I C E L E V E L A G R E E M E N T for Netgroups levering af IT-ydelser m.v. Netgroup A/S Store Kongensgade 40 H 1264 København K CVR-nr.: 26 09 35 03 ( Netgroup ) Version 4.4 1. Forudsætninger...

Læs mere

2. Overordnet IT-strategi for IT-fællesskabets. IT-strategien indeholder følgende tre udsagn:

2. Overordnet IT-strategi for IT-fællesskabets. IT-strategien indeholder følgende tre udsagn: IT STRATEGI for Kalundborg Gymnasium og HF 1. Indledning Der er ikke siden statusrapporten fra år 2000 udarbejdet en egentlig IT-strategi for Kalundborg Gymnasium og HF, men på baggrund af en række eksterne

Læs mere

SERVICE LEVEL AGREEMENT for levering af In & Outbound Datacenters IT-Ydelser

SERVICE LEVEL AGREEMENT for levering af In & Outbound Datacenters IT-Ydelser SERVICE LEVEL AGREEMENT for levering af In & Outbound Datacenters IT-Ydelser iodc (In & Outbound Datacenter) Hvidovrevej 80D 2610 Rødovre CVR 35963634 ( IODC ) Version 1.0 1 1. Forudsætninger... 3 2. Ansvar

Læs mere

Basis Abonnement 28 dage @ 2 fps (Billede-Serie) Gyldig fra 01. Maj 2011 Kamera overvågning - Axis Kameraer and NAS tilsluttet gennem Internettet.

Basis Abonnement 28 dage @ 2 fps (Billede-Serie) Gyldig fra 01. Maj 2011 Kamera overvågning - Axis Kameraer and NAS tilsluttet gennem Internettet. Basis Abonnement 28 dage @ 2 fps (Billede-Serie) Gyldig fra 01. Maj 2011 Kamera overvågning - Axis Kameraer and NAS tilsluttet gennem Internettet. Funktion Kapacitet Kamera Ekstra Kamera Live. Max antal

Læs mere

Risikovurdering og beredskab. 26. April 2010 Præsenteret af Marianne Bo Krowicki

Risikovurdering og beredskab. 26. April 2010 Præsenteret af Marianne Bo Krowicki Risikovurdering og beredskab 26. April 2010 Præsenteret af Marianne Bo Krowicki Det kan gå så gruelig galt En medarbejder blev bortvist i fredags. Brikken blev deaktiveret, og bruger-log-on blokeret, men

Læs mere

Sikkerhed. Sikkerhedsområder. Fysisk sikkerhed. Sikkerhed og persondata mv

Sikkerhed. Sikkerhedsområder. Fysisk sikkerhed. Sikkerhed og persondata mv Sikkerhed Sikkerhed og persondata mv Sikkerhedsområder Fysisk sikkerhed Logisk sikkerhed Kommunikationssikkerhed Datasikkerhed Backup Det organisatoriske aspekt Fysisk sikkerhed - hærværk, tyveri og anden

Læs mere

Informationssikkerhedspolitik for

Informationssikkerhedspolitik for <organisation> 1 Informationssikkerhedspolitik for Indholdsfortegnelse Side 1. Indledning 4 1.1 Formål med informationssikkerhedspolitikken 4 1.2 Hovedmålsætninger i informationssikkerhedspolitikken 4

Læs mere

Hosting. Managed Hosting - Læg jeres IT ud af huset - og spar tid og besvær.

Hosting. Managed Hosting - Læg jeres IT ud af huset - og spar tid og besvær. Hosting Managed Hosting - Læg jeres IT ud af huset - og spar tid og besvær. Mange virksomheder bruger i dag alt for mange ressourcer på at vedligeholde egne servere og IT-løsninger. Men faktisk er hosting

Læs mere

Risikovurdering Gartneriet PKM

Risikovurdering Gartneriet PKM DM091 - Gruppe 1 Risikovurdering Gartneriet PKM Udarbejdet af: Andreas Harder, Morten Knudsen Lars Vendelbo & Kresten Østerby Indledning Gartneriet PKM producerer på årlig basis ca. 20 millioner planter,

Læs mere

Indstilling Master i IT-sikkerhed. Jette Lundin it-vest leder på Handelshøjskolen Lektor på IFI

Indstilling Master i IT-sikkerhed. Jette Lundin it-vest leder på Handelshøjskolen Lektor på IFI Indstilling Master i IT-sikkerhed Jette Lundin it-vest leder på Handelshøjskolen Lektor på IFI Baggrund Med it i alting, Supply Change Management, netværksorganisationer og med systemer sammensat af kommunikerende

Læs mere

It-sikkerhedstekst ST7

It-sikkerhedstekst ST7 It-sikkerhedstekst ST7 Overdragelse af faktorer ved udstedelse af et personligt login til en identificeret fysisk Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST7 Version 1 Februar

Læs mere

Mariendal IT - Hostingcenter

Mariendal IT - Hostingcenter ariendal IT - Hostingcenter ariendal IT - Hostingcenter ed vores topsikrede og professionelle hostingcenter tilbyder vi flere forskellige hostede løsninger I denne brochure kan du danne dig et overblik

Læs mere

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores It Revision & Rådgivning Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores kunder med. 2 Revision og rådgivning

Læs mere

Greve Kommune. Revision af generelle it-kontroller 2011

Greve Kommune. Revision af generelle it-kontroller 2011 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 0 30 Telefax 36 10 0 40 www.deloitte.dk Greve Kommune Revision af generelle

Læs mere

Databehandleraftale 2013

Databehandleraftale 2013 Databehandleraftale 2013 For kunder, som anvender hostede/saas INNOMATE HR løsninger 1, forpligter INNOMATE a/s sig på følgende Databehandleraftale: 1. I overensstemmelse med Persondataloven, er INNOMATE

Læs mere

frcewtfrhousf(wpers ml

frcewtfrhousf(wpers ml frcewtfrhousf(wpers ml PricewaterhouseCoopers Statsautoriseret Revisionsaktieselskab Nobelparken Jens Chr. Skous Vej I 8000 Árhus C www.pwc.dk Telefon 89 32 00 00 Telefax 89 32 00 IO Erklæring vedrørende

Læs mere

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1 Tilgængelighed, fortrolighed og integritet. Høj kvalitet i informationssikkerhed og dokumentation Hvilken betydning har principper og anbefalinger i sikkerhedsstandarden ISO 27001 for kvaliteten af dokumentationen?

Læs mere

RÅDET FOR DIGITAL SIKKERHED GUIDE TIL SIKRING AF FORBRUGER- ELEKTRONIK PÅ INTERNETTET

RÅDET FOR DIGITAL SIKKERHED GUIDE TIL SIKRING AF FORBRUGER- ELEKTRONIK PÅ INTERNETTET GUIDE TIL SIKRING AF FORBRUGER- ELEKTRONIK PÅ INTERNETTET TING PÅ INTERNETTET Internet of things er et moderne begreb, som dækker over, at det ikke længere kun er computere, der er på internettet. Rigtig

Læs mere

NAL-MedieNet (Næsby Antennelaug) 1 Søren Eriksens Vej 15, 5270 Odense N, www.nal-medienet.dk, nal@nal-medienet.dk

NAL-MedieNet (Næsby Antennelaug) 1 Søren Eriksens Vej 15, 5270 Odense N, www.nal-medienet.dk, nal@nal-medienet.dk NAL-MedieNet (Næsby Antennelaug) 1 Søren Eriksens Vej 15, 5270 Odense N, www.nal-medienet.dk, nal@nal-medienet.dk Aftalevilkår. Nærværende aftalevilkår er gældende for medlemmets tilslutning til Internet

Læs mere

Online Banking Sikkerhedsvejledning Internet-version

Online Banking Sikkerhedsvejledning Internet-version Online Banking Sikkerhedsvejledning Internet-version Indhold Introduktion til Sikkerhedsvejledningen... 2 Sikkerhedsvejledningen... 2 Sikker brug af internettet... 2 Sikkerhedsløsninger i Online Banking...

Læs mere

GENERELLE BRUGERBETINGELSER FOR

GENERELLE BRUGERBETINGELSER FOR GENERELLE BRUGERBETINGELSER FOR mypku Disse generelle brugerbetingelser ( Betingelser ) fastsætter de betingelser, der gælder mellem dig som bruger ( Brugeren ) og Nutricia A/S, CVR.: 73128110 ( Nutricia

Læs mere

Generelt om sikkerhed i Frederikshavn Forsyning A/S

Generelt om sikkerhed i Frederikshavn Forsyning A/S Generelt om sikkerhed i Frederikshavn Forsyning A/S Instruktion til medarbejdere samt håndværkere, konsulenter og andre, som arbejder for Frederikshavn Forsyning A/S Sikkerhedsregler i Frederikshavn Forsyning

Læs mere

Kravspecification IdP løsning

Kravspecification IdP løsning Kravspecification IdP løsning Resume IT-Forsyningen, som varetager IT-drift for Ballerup, Egedal og Furesø Kommuner, ønsker at anskaffe en IdP/Føderationsserverløsning, der kan understøtte en række forretningsmæssige

Læs mere

Vilkår for internetmedlemskab af FSA

Vilkår for internetmedlemskab af FSA Vilkår for internetmedlemskab af FSA 1 GENERELT 1.1 Disse vilkår er gældende for medlemmer af Fredensborg Søparks Antenneforening (FSA), der bestiller tilslutning til internettet via FSAs kabel-tv-net

Læs mere

Comendo Remote Backup. Service Level Agreement

Comendo Remote Backup. Service Level Agreement Comendo Remote Backup Service Level Agreement Side 2 af 7 Indholdsfortegnelse Service Level Agreement... 1 Indholdsfortegnelse... 2 Introduktion... 3 Comendo Remote Backup ansvar og forpligtelser... 3

Læs mere

Som aftalt tilbud for installation af trådløst lokalnetværk med fælles tilslutning til Internet (ADSL) samt instruktion mv.

Som aftalt tilbud for installation af trådløst lokalnetværk med fælles tilslutning til Internet (ADSL) samt instruktion mv. Michael Halfter Ingerslevsgade 108, st tv 1705 V København d. 19. December 2003 Tilbud, Kabelfri lokalnetværk Som aftalt tilbud for installation af trådløst lokalnetværk med fælles tilslutning til Internet

Læs mere

IT-politikkens sikkerhedsområde i Trafikselskabet Movia

IT-politikkens sikkerhedsområde i Trafikselskabet Movia Bestyrelsen den 9. august 2007 Dagsordenens punkt 07 IT-politik for Movia Bilag 2 IT-politikkens sikkerhedsområde i Trafikselskabet Movia Version 1.0 15. januar 2007 CBL / SCE-IUa Indholdsfortegnelse INDLEDNING...

Læs mere

Hos Lasse Ahm Consult vurderer vi at følgende supplerende krav i de enkelte kravelementer er væsentlige at bemærke:

Hos Lasse Ahm Consult vurderer vi at følgende supplerende krav i de enkelte kravelementer er væsentlige at bemærke: ISO 9001:2015 (Draft) Side 1 af 9 Så ligger udkastet klar til den kommende version af ISO 9001. Der er sket en række strukturelle ændringer i form af standardens opbygning ligesom kravene er blevet yderligere

Læs mere

Albertslund Kommune. Albertslund. Samlet politik Virksomhedens samlede it-sikkerhedshåndbog 1.0

Albertslund Kommune. Albertslund. Samlet politik Virksomhedens samlede it-sikkerhedshåndbog 1.0 Albertslund Kommune Albertslund Samlet politik Virksomhedens samlede it-sikkerhedshåndbog 1.0 03-05-2011 Indholdsfortegnelse Politik 2 Indledning 2 Overordnet Informationssikkerhedspolitik for Albertslund

Læs mere

Har du spørgsmål til vilkårene for brugen af Berlingske Business Premium så kontakt Michael Friislund på micfr@berlingske.dk eller 22533351.

Har du spørgsmål til vilkårene for brugen af Berlingske Business Premium så kontakt Michael Friislund på micfr@berlingske.dk eller 22533351. ABONNEMENTS- OG MEDLEMSKABSBETINGELSER for Berlingske Business Premium For IP-adgang til biblioteker, uddannelsesinstitutioner og højere læreanstalter, 21-08-2013 (Version 1.2) Biblioteker på uddannelsesinstitutioner

Læs mere