IT-SIKKERHEDSPOLITIK TEKNOLOGISK INSTITUT

Størrelse: px
Starte visningen fra side:

Download "IT-SIKKERHEDSPOLITIK TEKNOLOGISK INSTITUT"

Transkript

1 IT-SIKKERHEDSPOLITIK TEKNOLOGISK INSTITUT V4.1 april 2011 Baseret på DS Gældende overalt i danske og udenlandske afdelinger og datterselskaber af Teknologisk Institut.

2 Indhold 1 INDLEDNING Hvorfor informationssikkerhed Denne IT-sikkerhedspolitik og DS Vurdering af sikkerhedsrisici Valg af sikkerheds- og sikringsforanstaltninger Specifikke sikkerhedsretningslinjer Dispensation fra IT-sikkerhedspolitikken Risikohåndtering Beredskabsplan Hvordan er IT-sikkerhedspolitikken udarbejdet Relevant lovgivning Ansvar for vedligeholdelse Gyldighedsområde og omfang Gyldighedsdato og -periode VIRKSOMHEDENS IT-SIKKERHEDSPOLITIK Virksomhedens IT-sikkerhedspolitik ORGANISERING AF IT-SIKKERHED Interne organisatoriske forhold Ledelsens rolle Funktionsadskillelse System- og dataejere Brugeradministration IT Drift Brugernes ansvar Eksterne organisatoriske forhold Kontakt til myndigheder Samarbejde med leverandører, konsulenter med flere IT-sikkerhed i relation til kunder/kundebetjening Fagligt samarbejde med grupper og organisationer Koordinering af IT-sikkerhedstiltag Linjeorganisationen IT-sikkerhedskoordinering IT-sikkerhedsudvalg Virksomhedens IT-aktiver Registrering af informationsaktiver, dataklassifikation mv Registrering af systemaktiver, systemer Registrering af fysiske aktiver, mærkning mv Ejerskab MEDARBEJDERE OG IT-SIKKERHED Før ansættelse Side 2 af 37

3 4.1.1 Clearing af ansøgere Tavsheds- og hemmeligholdelseserklæringer Under ansættelsen Fysiske nøgler, ID-kort, tokens mv Omgang med IT-aktiver Personlige password (kodeord) og andre koder Uddannelse af medarbejdere - i relation til sikkerhed Medarbejdernes opmærksomhed omkring sikkerhed Nøglemedarbejdere - et ledelsesansvar med forpligtelser for Teknologisk Institut kommunikation generelt E-handel med forpligtelser for Teknologisk Institut Anvendelse af Internetbaserede services (sociale netværk mv.) Medarbejdernes brug af offentlig tilgængelige computere Privat anvendelse af Internet forbindelse Privat anvendelse af mail faciliteter Privat download og kopiering af musik, spil, pornografi mv Privat e-handel Brug af kameraer og mobilkameraer på Teknologisk Institut Brug af Tv-overvågning på Teknologisk Institut Brug af lydoptagelser Benyttelse af remoteværktøjer Fjernadgang Inaktivitet Efter ansættelsen Overdragelse af data og ejerskaber ved fratræden Inddragelse af IT-rettigheder ved fratræden Returnering af lånte IT-aktiver ved fratræden Inddragelse af IT-rettigheder, aktiver mv. ved bortvisning SIKKERHED, GÆSTER OG SAMARBEJDSPARTNERE Faste daglige partnere Rengøringspersonale Håndværkere Vareleverandører Faste IT-partnere Systemkonsulenter Maskinteknikere Systemudviklere Periodiske gæster Eksterne generelt Løst ansatte (vikarer, praktikanter og medhjælpere) Side 3 af 37

4 6 FYSISK SIKKERHED, SIKRING OG KONTROL Bygningsmæssige forhold Virksomhedens perimetersikring Virksomhedens bygningssikring Adgang til bygninger Adgang til IT- og andre teknikrum Adgang til og sikring af IT-kontorer Sikring af arbejde fra private hjem Adgang og sikring af møde- og undervisningslokaler Adgang og sikring af fællesområder Adgang og sikring i forbindelse med lejere i bygning Sikkerhedsforhold i forbindelse med ombygning Alarmer, vagt og vægterrundering IT-udstyr og andet teknisk udstyr, forsyningssikkerhed Placering af IT- og teknikrum i bygning Krav til placering af IT-udstyr i teknikrum Strømforsyning og alarmering ved strømproblemer Køling og ventilation - alarmering ved svigt Sikring mod fugt- og vandskader - alarmering Brandsikring og -alarmering Sikring af kabler og krydsfelter Anskaffelse, vedligehold og kassation Anskaffelse, godkendelsesprocedurer Serviceaftaler, reservedelssituation Installation af hardware og software Omflytning eller fjernelse af udstyr Salg af IT-udstyr SIKKERHED UNDER DRIFT / PRODUKTION Operationelle forhold, batchproduktion Driftsplanlægning Driftsdokumentation Driftsafvikling Driftsovervågning og -kontrol Driftsrapportering Forsyning og lagring af forbrugsmaterialer Ændringsstyring - Change Management Særligt for drift hos ekstern serviceleverandør Definition af leverancen, inkl. sikkerhedsaspekter Overvågning og revision af serviceleverandør Kritiske komponenter, klassifikation og registrering Kritiske hardware komponenter Side 4 af 37

5 7.3.2 Kritiske softwarekomponenter Kritiske program- og datakomponenter Kritiske licensnøgler, password mv Kritisk drift, alternative muligheder - beredskab Programanvendelse Anvendt programmel Download og installation af programmel Beskyttelse mod skadevoldende programmer Sikring mod computervira Sikring mod adware og spyware Sikring mod spam - indgående Sikring mod spam - internt Sikring mod spam - udgående BESKYTTELSE AF VIRKSOMHEDENS DATA Fysisk databeskyttelse Sikring af system- og konfigurationsfiler Sikkerhedskopiering og opbevaring af datakopier Sikkerhedsarkivering jvf. lovgivning Sikkerhedskopiering ved teknologiskift Anvendelse af sikkerhedskopier fra dataarkiv Kontrol af datakopier i sikkerhedsarkiv Sikkerhed omkring brug af databærende medier Lagring af virksomhedsdata Behandling af kasserede databærende medier Databeskyttelse i forbindelse med udveksling af data Forsendelse og transport af databærende medier Elektronisk distribution af forretningsinformation Datasikkerhed i forbindelse med print Datasikkerhed i forbindelse med brug af telefax Udveksling af data med offentlige instanser Sikring ved overførsel af data til udlandet Anvendelse af kryptering SIKRING AF VIRKSOMHEDENS NETVÆRK OG KOMMUNIKATION Operationelle forhold, netværksdrift Netværksdokumentation Netværksovervågning og -kontrol Driftsrapportering, netværksdrift Ændringsstyring, netværk - Change Management Logning af aktiviteter og fejlrapportering Sikring af virksomhedens kommunikationslinjer Sikring af virksomhedens kommunikationslinjer Side 5 af 37

6 9.2.2 Netværkstopologi og konfiguration Internetopkobling og brug af firewall Filtrering af indgående datastrøm gennem firewall Filtrering af udgående datastrøm gennem firewall Dial-in / dial-out Sikring af service- og diagnose porte Anvendelse og sikring af trådløse forbindelser Tilslutning af netværksudstyr Sikring i forbindelse med opkobling fra fjernarbejdspladser Brug af mobiltelefoni til dataoverførsel Sikring ved brug af netværksanalysator Drift af netværk eller web-sites hos ekstern serviceleverandør Definition af leverancen, inkl. sikkerhedsaspekter Overvågning og revision af serviceleverandør ADGANGSSTYRING TIL SYSTEMER OG DATA Administration af brugeradgang og rettigheder Overordnet styring af adgang til IT-systemerne Tildeling af IT-adgange og rettigheder Opbygning af password (kodeord) Tildeling af fælles bruger adgang Tildeling af periodiske rettigheder Ændring af IT-rettigheder ved funktions- eller afdelingsskift Overdragelse af IT-ejerskaber ved funktions- eller afdelingsskift Begrænsning af logon forsøg Password - nulstilling Arbejdsstationer, ubemandede Revision og kontrol af bruger konti Revision og kontrol af brugernes rettigheder Fysisk sikring af uovervåget IT-udstyr Logisk sikring af uovervåget IT-udstyr Logning af brugeraktiviteter Styring af adgang til netværk Identifikation og autentifikation af brugere Identifikation af anvendt netværksudstyr Styring af brugsperioder, automatisk afbrydelse Styring af adgang til operativ- og lignende systemer Fabrikspassword på maskiner og i systemer Brug og kontrol af nødkoder Brug af systemværktøjer Identifikation og autentifikation af brugere Styring af brugsperioder, automatisk afbrydelse Side 6 af 37

7 11 SYSTEM- OG PROGRAMUDVIKLING, VEDLIGEHOLDELSE MV Standard programmel Anskaffelse og evaluering - programmel Licensforhold og -kontrol Test, godkendelse og igangsætning Vedligeholdelse, opgradering Generelt for udvikling af applikationer Definition af udviklingsopgaven, inkl. sikkerhedsaspekter Systemets sikkerhedsmæssige aspekter Definition af systemets indbyggede kontroller Adgangskontrol og brugerstyring i nye applikationer Opbygning og sikring af systemdokumentation Rettigheder og ophavsret til design og kode Versionsstyring og ændringsstyring af programudgaver Brug af produktionsdata i testforløb Test, godkendelse og igangsætning af forretningssystemer Særligt for ekstern programudvikling Kildekode deponering for eksternt udviklede programmer Leverandørens adgang til produktionsdata i testforløb Administration og styring af web-sites Styring og kontrol af virksomhedens domænenavne Ansvar for vedligeholdelse af informationer på web-sites Ansvar for regler og lovgivning for e-handel via web-sites Kunders / borgeres adgang til information via web-sites Sporing (tracking) af kunders adfærd på hjemmesiden STYRING AF SIKKERHEDSHÆNDELSER Advarselssystemer Forhåndsvarsler om sikkerhedstrusler på vej Rapportering Rapportering af sikkerhedshændelser Rapportering af sikkerhedssvagheder og -eksponeringer Mistanke om - og konstaterede sikkerhedsbrud Anvendelse af logfiler til investigering Forsikringer og ansvar Forsikringer Ansvar ved brug af vagtselskaber Kriminelle akter Håndtering af kriminalitet (medarbejdere) Håndtering af kriminalitet (eksterne) Sikring af og indsamling af beviser Anvendelse af logfiler til investigering Side 7 af 37

8 12.5 Kontroller og revision Generel udførelse af kontroller Intern IT-revision VURDERING AF RISICI, SÅRBARHEDER OG KONSEKVENSER Forretningsrisici og konsekvenser Vurdering af forretningsrisici Årsag/Sandsynlighed for fejl Kritiske komponenter Ensartet og enkelt Omstillingsevne Side 8 af 37

9 IT SIKKERHEDSPOLITK Baseret på DS Gældende overalt i danske og udenlandske afdelinger og datterselskaber af Teknologisk Institut. 1 INDLEDNING 1.1 Hvorfor informationssikkerhed IT-sikkerhed udgør en nødvendig del af Teknologisk Instituts beskyttelse af forretningsaktiver og -aktiviteter på linje med den generelle sikkerhed og sikring mod indbrud, brand og lignende. 1.2 Denne IT-sikkerhedspolitik og DS 484 Denne IT-sikkerhedspolitik er udarbejdet med baggrund i den danske standard for informationssikkerhed DS484 (2005), som er en videreførelse af den britiske BS7799. Vi har valgt de dele af standarden, som er relevante for forretning og aktiviteter. Vi har lagt vægten på kriterier som forretningsfølsomhed og personfølsomhed i vore data og på områder som hemmeligholdelse, integritet og tilgang til systemer og data. 1.3 Vurdering af sikkerhedsrisici Vurdering af sikkerhedsrisici sammenholdes med Teknologisk Instituts situation, position i samfundet og produkternes interesse for omverden. Sikkerhedsniveauet lægges på et niveau, der på den ene side sikrer virksomhedens aktiver og aktiviteter tilstrækkeligt mod afbrydelser og datatab, og på den anden side ikke forhindrer eller begrænser medarbejdernes mulighed mere end højst nødvendigt i at udføre deres arbejde og udvise kreativitet. Udgangspunktet er at virksomheden har tillid til medarbejderne, og at kontrol kun udføres, hvor kontrollen tjener. 1.4 Valg af sikkerheds- og sikringsforanstaltninger På baggrund af risiko- og konsekvensvurderinger besluttes hvilke sikkerhedstiltag, der skal implementeres. Valget står mellem forebyggende eller udbedrende aktiviteter. Indtræffer ulykken alligevel, står valget mellem at have en beredskabsplan, eller på forhånd at have accepteret risikoen og konsekvensen. 1.5 Specifikke sikkerhedsretningslinjer De specifikke sikkerhedstiltag skal gennemføres i hele organisationen. Der vil være behov for løsninger indenfor den fysiske sikkerhed (bygningen, forsyning), den tekniske (hardware, software) og den menneskelige side (uddannelse, procedurer). Sammenhængen i sikkerhedspolitikken sikres gennem samarbejde mellem Fællesfunktioner. Arbejdet følges af Direktion og IT-forretningsråd. 1.6 Dispensation fra IT-sikkerhedspolitikken Hvor eksisterende systemer ikke lever op til dele af eller hele indeværende IT-sikkerhedspolitik kan der være behov for dispensationer. De konstaterede afvigelser skal være registreret, og der skal tages stilling til, hvorvidt systemerne skal isoleres, opdateres eller fases ud snarest muligt. Dispensation fra denne IT-sikkerhedspolitik skal godkendes af IT-chefen og IT-forretningsrådet. 1.7 Risikohåndtering Risikohåndtering indbygges i forretningsgange og processer i organisationen, så emnet behandles hvor og når det er relevant. Fællesfunktioner skal periodisk gennemføre overordnede risiko- og konsekvensvurderinger af bygning, teknik, applikationer, processer med mere. Formålet er dels at sikre at det nødvendige sikkerhedsniveau justeres i takt med ændrede behov, og dels at holde sig de mest forretningskritiske systemer for øje. 1.8 Beredskabsplan Som resultat af risiko- og konsekvensanalysen defineres Teknologisk Instituts mest forretningskritiske systemer, for hvilke der skal udarbejdes beredskabsplaner. Systemernes forretningsmæssige betydning afspejler samtidig en prioritering for, hvor ressourcerne skal sættes ind, hvis fejl eller ulykker rammer bredere. Side 9 af 37

10 Beredskabet skal udarbejdes ud fra tidsperspektivet: Hvor længe kan virksomheden klare sig uden adgang til et givet system, hvilke forretningsmæssige omkostninger vil det påføre Teknologisk Institut, hvilke ressourcer er nødvendige og hvor lang tid vil det tage at genskabe et rimeligt operationelt niveau. 1.9 Hvordan er IT-sikkerhedspolitikken udarbejdet Denne IT-sikkerhedspolitik er udarbejdet på baggrund af møder hvori direktionen, ansvarlige for Personale, Økonomi, Bygning, IT med flere har deltaget Relevant lovgivning I forbindelse med IT-sikkerheden er følgende lovgivning, regler og brancheregulativer relevante for virksomheden Ansættelsesbevisloven Arkivloven (offentlige virksomheder) Bogføringsloven E-handelsloven Lov om elektroniske signaturer Markedsføringsloven Ophavsretsloven Persondataloven Straffeloven TV overvågningsloven 1.11 Ansvar for vedligeholdelse IT-chefen skal løbende sikre, at indholdet i IT-sikkerhedspolitikken overholder gældende lovgivning, og at den er dækkende mod de risici og konsekvenser som kan ødelægge Teknologisk Instituts mål og forretningsintentioner. IT-sikkerhedspolitikken skal gennemgås minimum én gang om året Gyldighedsområde og omfang IT-sikkerhedspolitikken er gældende overalt i danske og udenlandske afdelinger og datterselskaber af Teknologisk Institut. Sikkerhedspolitikken omfatter anvendelse af IT under rejser og i forbindelse med arbejde hjemmefra. Relevante dele af IT-sikkerhedspolitikken er gældende for samarbejdspartnere i deres arbejde for Teknologisk Institut, fra alle Teknologisk Instituts lokationer eller fra partnernes adresser Gyldighedsdato og -periode Denne IT-sikkerhedspolitik er gældende fra 1. september 2009 og frem til ny udgave foreligger. 2 VIRKSOMHEDENS IT-SIKKERHEDSPOLITIK 2.1 Virksomhedens IT-sikkerhedspolitik Fastholdelse og udbygning af et højt sikkerhedsniveau er en væsentlig forudsætning for, at Teknologisk Institut fremstår troværdig både nationalt og internationalt. For at fastholde Teknlogisk Instituts troværdighed skal det sikres, at information behandles med fornøden fortrolighed, og at der sker fuldstændig, nøjagtig og rettidig behandling af godkendte transaktioner. IT-systemer betragtes, næst efter medarbejderne, som Teknologisk Instituts mest kritiske ressource. Der lægges derfor vægt på driftsikkerhed, kvalitet, overholdelse af lovgivningskrav og på at systemerne er brugervenlige, dvs. uden unødigt besværlige sikkerhedsforanstaltninger. Der skal skabes et effektivt værn mod IT-sikkerhedsmæssige trusler, således at Teknologisk Instituts image og medarbejdernes tryghed og arbejdsvilkår sikres bedst muligt. Alle forhold skal afvejes med den forretningsmæssige risiko, så sikkerhedsforanstaltninger ikke bliver en unødig hindring for gennemførelsen af arbejdet og betjening af kunder. Beskyttelsen skal være vendt imod såvel naturgivne som tekniske og menneskeskabte trusler. Alle personer betragtes som værende mulig årsag til brud på sikkerheden; dvs. at ingen persongruppe skal være hævet over sikkerhedsbestemmelserne. Side 10 af 37

11 Målene er derfor: TILGÆNGELIGHED - opnå høj driftsikkerhed med høje oppetidsprocenter og minimeret risiko for større nedbrud og datatab INTEGRITET - opnå korrekt funktion af systemerne med minimeret risiko for manipulation af og fejl i såvel data som systemer FORTROLIGHED - opnå fortrolig behandling, transmission og opbevaring af data AUTENTICITET - opnå en gensidig sikkerhed omkring de involverede parter UAFVISELIGHED - opnå en sikkerhed for gensidig og dokumenterbar kontakt 3 ORGANISERING AF IT-SIKKERHED 3.1 Interne organisatoriske forhold Ledelsens rolle Teknologisk Instituts ledelse er overordnet ansvarlig for, at informationsaktiver håndteres ifølge gældende lovgivning, og at de derudover sikres tilstrækkeligt i forretningsmæssig sammenhæng Funktionsadskillelse Adgang til og behandling af data bør kun ske ud fra aktuelle behov, og sådan, at der er klar adskillelse mellem udvikling, vedligeholdelse, test og drift. Tilsvarende bør der være en klar adskillelse mellem den planlæggende, udførende og kontrollerende funktioner i det omfang, som det er organisatorisk muligt System- og dataejere Ethvert IT-aktiv (dataregister, program, fysisk enhed og andet) skal have en navngiven ejer, med ansvar for aktivets anskaffelse, vedligeholdelse og drift. Eksempelvis opstiller system- og dataejeren regler for adgang, rettigheder, sikkerhedskopiering, opbevaring, transport med videre Brugeradministration For alle systemer er udpeget brugeradministratorer, der udfører den fysiske indtastning af brugerprofiler, rettigheder med videre på baggrund af rekvisitioner fra de, som kan tildele og godkende rettigheder. For centrale systemer håndteres alle brugerdispositioner gennem Personaleafdelingen IT Drift IT Drift er ansvarlig for, at alle sikkerhedsregler og procedurer følges i den daglige drift, at problemer og fejl opdages, udbedres og rapporteres. IT Drift indgår i det løbende arbejde (forslag og implementering) med forbedrende sikkerhedstiltag (procedurer, metoder, produkter) Brugernes ansvar Enhver bruger af Teknologisk Instituts IT-systemer er ansvarlig for at overholde gældende politikker og regler på området. Brugeren skal rapportere til nærmeste leder eller til den IT-ansvarlige om uforståelige eller mystiske hændelser i brugen af IT-systemerne. Enhver bruger er ansvarlig for at sikre sig den uddannelse og viden, der er nødvendig for at kunne leve op til den aktuelle funktion og til at betjene de IT-systemer det indebærer. Side 11 af 37

12 3.2 Eksterne organisatoriske forhold Kontakt til myndigheder Direktionssekretariatet opretholder oversigter over de væsentligste kontakter hos offentlige myndigheder i relation til virksomhedens sikkerhed og virke. Dette inkluderer: Brand Indbrud Hærværk IT-sikkerhedsbrud Miljø Samarbejde med leverandører, konsulenter med flere Organisationen skal gennem medlemskab af relevante foreninger og i samarbejde med relevante leverandører sikre sig adgang til opdateret viden om sikkerhed, risici, beskyttelsesmetoder og -værktøjer IT-sikkerhed i relation til kunder/kundebetjening Sikkerheden skal opbygges, så der ikke vil kunne ske nogen form for sammenblanding af kundernes informationer og ordrer, eller tab og manipulation af oplysninger. Sikkerheds- og sikringstiltag skal etableres på en måde, så det ikke generer eller forsinker Instituttets kunder væsentligt, hvad enten kunderne personligt møder frem på Instituttet, eller benytter forskellige elektroniske kanaler som hjemmesider eller smartphones Fagligt samarbejde med grupper og organisationer Sikkerheden skal opbygges, så der ikke vil kunne ske nogen form for sammenblanding af samarbejdspartners og andre organisationers informationer og ordrer, eller tab og manipulation af oplysninger. Sikkerheds- og sikringstiltag skal etableres på en måde, så det ikke generer eller forsinker Instituttets kunder væsentligt, hvad enten kunderne personligt møder frem på Instituttet, eller benytter forskellige elektroniske kanaler som hjemmesider eller smartphones. 3.3 Koordinering af IT-sikkerhedstiltag Linjeorganisationen Det er linjeorganisationens opgave at tilrettelægge og udføre de daglige forretningsopgaver under behørig hensyntagen til de regler og retningslinjer der er gældende gennem denne IT-sikkerhedspolitik med underliggende procedurer IT-sikkerhedskoordinering IT-chefen har det samlede ansvar for den overordnede koordination af sikkerheden, og skal indkalde IT-forretningsrådet til møder, samt indsamle, bearbejde og forelægge statusinformation for rådet. IT-chefen refererer opgavemæssigt direkte til direktionen IT-sikkerhedsudvalg IT-forretningsrådet er Teknologisk Instituts IT-sikkerhedsudvalg og består af repræsentanter for direktionen, IT-ledelsen og udvalgte systemejere (kritiske systemer). IT-forretningsrådet skal evaluere Instituttets sikkerhed og sikring på baggrund af statusrapporter fra IT-chefen. Rådet kan udbede sig orientering om nye risici, sikringsmetoder mv. og tage stilling til hvilke sikkerhedstiltag, der skal iværksættes. Alle systemer og IT løsninger, der skal tilkobles ethvert af Instituttets netværk, skal forhåndsgodkendes af IT Forretningsrådet. Side 12 af 37

13 3.4 Virksomhedens IT-aktiver Registrering af informationsaktiver, dataklassifikation mv. Instituttets dataregistre (filer, databaser m.fl.) skal registreres i et samlet registreringssystem med angivelse af ejerskab, og klassificeres, som grundlag for den rette sikring og beskyttelse af data Registrering af systemaktiver, systemer Alle systemer (operativsystemer, kontorsystemer, værktøjsprogrammer m.fl.) skal registreres i registreringssystemer med angivelse af anvendelse, ejerskab, licensnumre, versionsnumre mv. Registreringen skal løbende vedligeholdes Registrering af fysiske aktiver, mærkning mv. Alle fysiske enheder (servere, arbejdsstationer, bærbare computere) skal registreres i registreringssystemer med angivelse af serienumre, ejerskab og ibrugtagelsesdato. Registreringen skal løbende vedligeholdes Ejerskab Alle fysiske enheder (maskiner, programmer, applikationer, data) plus væsentlige forretningsprocesser skal have en ejer som er ansvarlig for anskaffelse, vedligeholdelse, adgang, drift mv. 4 MEDARBEJDERE OG IT-SIKKERHED 4.1 Før ansættelse Clearing af ansøgere Ansøgeres baggrund og eventuelle referencer bør undersøges ud fra den aktuelle stilling, som skal besættes Tavsheds- og hemmeligholdelseserklæringer Enhver medarbejder har tavshedspligt om diverse forretningsforhold i følge gældende lovgivning. Alle medarbejdere skal i forbindelse med deres ansættelse underskrive en særlig Diskretionspligt. 4.2 Under ansættelsen Fysiske nøgler, ID-kort, tokens mv. Tildeling af fysiske nøgler, adgangskort, tokens og andet til Instituttet og dens IT-systemer tildeles på baggrund af roller. Tildelingen skal registreres centralt, og holdes ajour i takt med lokaleændringer, samt i forbindelse med nye ansættelser, omflytninger og fratrædelser. Medarbejderen skal kvittere for effekterne. Tildelingerne skal revideres periodisk Omgang med IT-aktiver Det er den enkelte medarbejders personlige ansvar og pligt, at betjene det IT-udstyr der stilles til deres rådighed ifølge de retningslinier, regler og forskrifter der gives fra Systemansvarlige/IT, leverandører og producenter. Medarbejderen skal omgående rapportere problemer og fejl til nærmeste leder eller til den Systemansvarlige/IT. Kun Systemansvarlige må foretage indgreb i systemopsætninger og maskineri, eller forsøge omgåelse af sikringssystemer i en afprøvningsfase. PC ere, mobiltelefoner og øvrige databærende medier skal indleveres til rensning i IT, før udstyret må overdrages til anden medarbejder. Udstyr der ikke skal benyttes mere skal indleveres til IT til rensning og skrotning Personlige password (kodeord) og andre koder Personlige password (kodeord) skal skiftes periodisk (3. måned). Det nye password skal være komplekst, unikt, afvige væsentligt fra det tidligere anvendte, og må ikke følge en systematik. Password oplyses til medarbejder ved henvendelse i IT. Password nulstilles og rettes ved første login. Side 13 af 37

14 Brugerne må ikke gemmes deres password elektronisk, notere det eller videregives det til andre. Benyttes samme password i flere systemer skal password skiftes samtidig i alle systemer. Password og andre koder må ikke videregives til andre Uddannelse af medarbejdere - i relation til sikkerhed Det er den enkelte leders ansvar, at medarbejderne gennem formel uddannelse og daglig træning, opnår en tilstrækkelig forståelse for Instituttets IT-systemer, så disse håndteres og betjenes korrekt, til sikring af at data altid er korrekte og valide, alternativt af fejl kan opdages. Alle medarbejdere skal være bekendt med Instituttets IT-sikkerhedspolitik, relevante sikkerhedsregler, rapporteringsregler og konsekvenser ved brud på disse Medarbejdernes opmærksomhed omkring sikkerhed Medarbejdere skal være opmærksomme på afvigelser fra det normale i brug af Instituttets IT systemer : Ukendte mails, mails fra ukendte kilder, mails med ejendommelige overskrifter, dobbelt signon, hjemmesider, mails eller telefonopkald, som forsøger at lokke identiteter, koder og lignende fra brugeren, eller andre hændelser på computeren, som afviger fra hvor dan systemet plejer at reagere. Afvigelser skal omgående rapporteres til IT Nøglemedarbejdere - et ledelsesansvar Enhver leder skal sikre videndeling indenfor sit ansvarsområde. Afdelingen skal gennem opgavefordeling, uddannelse og projektarbejde organiseres på en måde, der begrænser risikoen for at der opstår nøglemedarbejdere. Som sikring skal forretningskritisk information være registreret, og der skal være procedurer til sikring af informationernes vedligeholdelse, aktualitet og validitet med forpligtelser for Teknologisk Institut Aftaler, der forpligter Instituttet, skal håndteres skriftligt og under gældende vilkår for aftaleindgåelse. Fremsendes skriftlig aftale via mail, kan Instituttets digital signatur anvendes til sikker identifikation overfor modtager. Nærmeste leder bør altid modtage en kopi kommunikation generelt Instituttets mail system må ikke anvendes til indhold af anstødelig, religiøs eller politisk art, og det er ikke tilladt for medarbejderne at sende SPAM mail som vittigheder, kædebreve og lignende. Brud på disse regler kan få konsekvenser for ansættelsesforholdet. Der må ikke udsendes uopfordrede salgsfremmende budskaber, tilbud, nyhedsbreve eller tilsvarende i form af mail til kunder og partnere uden deres accept eller godkendelse. Det er ikke tilladt at videresende mail til private adresser og lignende udenfor Instituttet. Det er ikke muligt at slette mails på Teknologisk Institut E-handel med forpligtelser for Teknologisk Institut E-handel (elektronisk indkøb) må på Instituttets vegne kun udføres af medarbejdere med godkendelse hertil Anvendelse af Internetbaserede services (sociale netværk mv.) Dette punkt dækker enhver anvendelse af Internetbaserede services som for eksempel communities, sociale netværk, eksterne hjemmesider, fildeling og andre gruppebaserede tjenester. Arbejdsrelateret ikke-fortroligt materiale af enhver art må kun publiceres efter forudgående godkendelse af centerchefen. Indeholder materialet oplysninger, herunder billed- og videomateriale, om medarbejdere, kunder, leverandører og andre samarbejdspartnere, må publicering udelukkende ske med deres accept. Instituttet har rettigheden til alt arbejdsrelateret materiale, der som led i Teknologisk Instituts aktiviteter produceres med henblik på publicering. Enhver gruppe der etableres på de sociale medier, som repræsenterer Teknologisk Institut, og som benytter Instituttets navn og/eller logo skal godkendes af centerchefen og IT-chefen. Ejerskab af en sådan gruppe skal overdrages til nærmeste leder ved fratrædelse. Side 14 af 37

15 Links til eksterne websteder er tilladt så længe webstederne ikke indeholder eller har direkte links til materiale, der kan virke stødende, er ulovlige eller udgør en sikkerhedsmæssig risiko. Det er ikke tilladt at anvende sociale medier til private formål i arbejdstiden. Enhver sammenblanding af private og arbejdsmæssige forhold skal undgås Medarbejdernes brug af offentlig tilgængelige computere Medarbejderes brug af offentlig tilgængeligt PC udstyr (for eksempel i lufthavne, på internetcafeer, på hoteller mv.) til skrivning, internetsøgning, mail og lignende i virksomhedens tjeneste skal begrænses. Eventuel brug må ikke omfatte fortrolig eller personfølsom information. Personnavne og lignende klart identificerbart i teksten skal sløres. Det skal sikres, at eventuelle firmadata på det fremmede udstyr er slettet inden udstyret forlades Privat anvendelse af Internet forbindelse Privat anvendelse af Internettet fra Instituttets computere må ikke ske i arbejdstiden. Dette inkluderer privat anvendelse af services som communities, sociale netværk, fildeling og andre gruppebaserede tjenester. Instituttet tilbyder fri adgang udenfor medarbejderens arbejdstid, dog med den begrænsning i anvendelsen, som fremgår af andre del-politikker Privat anvendelse af mail faciliteter Der må kun i begrænset omfang sendes private mails på virksomhedens mail systemer. mails med tilknyttede dokumenter kan afvises. Private mails bør mærkes PRIVAT. Al mail trafik registreres og sikkerhedskopieres og vil kunne blive åbnet og læst i forbindelse med teknisk problemløsning. Det er ikke tilladt at videresende til private mailadresser og lignende udenfor Instituttet Privat download og kopiering af musik, spil, pornografi mv. Instituttets computere må ikke anvendes til download og kopiering af spil, ulicenseret musik og software eller af materialer af anstødelig, religiøs eller politisk art. Konstateret piratkopiering vil kunne medføre konsekvenser for ansættelsesforholdet, og i særlige tilfælde til politianmeldelse Privat e-handel Der må kun foretages privat e-handel fra Instituttets IT-systemer hvis handelen ikke på nogen måde kan kompromittere virksomheden, eller forpligte denne. Privat e-handel må kun ske udenfor arbejdstiden Brug af kameraer og mobilkameraer på Teknologisk Institut Det er ikke tilladt, hverken for medarbejdere eller gæster, at optage nogen form for billeder på Instituttets område uden skriftlig tilladelse fra ledelsen. Alle typer kameraer skal være slukket indenfor Instituttets område. Gives tilladelsen er afdelingens chef er ansvarlig for hvilke emner der fotograferes Brug af Tv-overvågning på Teknologisk Institut Tv-overvågning kan benyttes i forbindelse med overvågning af de normale adgangsveje, samt af særligt følsomme områder og afdelinger til løbende kontrol af personers uretmæssige adgang og uhensigtsmæssige opførsel. Medarbejderne skal være orienteret og overvågningen skal være skiltet. Optagelserne lagres og gemmes i en længere fastlagt periode, til brug for eventuel politimæssig efterforskning, hvorefter de overspilles eller slettes. Opbevaring, sletning og kassation skal følge virksomhedens regler for sletning af databærende medier Brug af lydoptagelser Telefonsamtaler fra Instituttets telefonsystemer optages ikke uden forudgående aftale med berørte medarbejdere. Side 15 af 37

16 Benyttelse af remoteværktøjer Benyttelse af remoteværktøjer må kan kun ske efter accept fra bruger. Remoteværktøjer skal være godkendt af IT. Alle tilslutninger med remote værktøjer - samt forsøg på tilslutning - logges med angivelse af bruger/pc som har taget adgang, samt tilslut- og frakoblingstidspunkt Fjernadgang VPN må kun benyttes af medarbejdere på Teknologisk Institut med tildelte initialer Installation af VPN software må kun foretages af IT og ske på udstyr godkendt af IT (med øvrige sikkerhedskrav opfyldt). Benyttes en VPN adgang ikke i tre måneder lukkes den. VPN adgang genåbnes af IT ud fra kontrol af ansættelsesforhold Inaktivitet Inaktivitet i 3 måneder medfører spærring af: Netværkskonti og VPN. Kan genåbnes af IT ud fra kontrol af ansættelsesforhold. Netværksstik. Genåbnes ved at kontakte IT. PC eller anden hardware. Genåbning af adgang kan kun ske efter opdatering af udstyr. Modtager medarbejder ikke løn i tre måneder spærres netværkskonti ligeledes automatisk (kontrolfunktion). 4.3 Efter ansættelsen Overdragelse af data og ejerskaber ved fratræden Ved en medarbejders opsigelse og fratrædelse på eget initiativ, eller opsagt af virksomheden, skal nærmeste leder sikre at dataejerskaber og data overføres til andre medarbejdere. Overdragelsen skal påbegyndes umiddelbart efter at opsigelsen er afleveret. Mail der modtages til fratrådt medarbejder kan efter fratrædelse leveres til anden medarbejderes interne postkasse. Fuld adgang til fratrådt medarbejders postkasse kan kun tildeles efter skriftlig godkendelse fra Personalechef eller Direktion. Ønske om forlængelse af netværksadgang udover fratrædelsesdato (afviklingsforretning) skal godkendes af Personale med ny slutdato. Bemærk at alle postkasser er aktive efter medarbejders fratræden og derfor fremover altid kan modtage post Inddragelse af IT-rettigheder ved fratræden Ved en medarbejders fratrædelse på eget initiativ eller ved opsigelse fra Instituttets side skal nærmeste chef vurdere risikoen ved, at medarbejderen fortsat har sine IT-rettigheder frem til fratrædelsesdagen. Alle adgange til Instituttets IT-systemer lukkes for den pågældende senest ved sidste arbejdsdags ophør. Telefon lukkes eller henvises til andet nummer på fratrædelsesdag. Fratrådte medarbejdere fjernes fra Instituttets adresselister senest næste arbejdsdag Returnering af lånte IT-aktiver ved fratræden Ved en medarbejders fratrædelse skal lånte IT-aktiver (id-kort, tokens, mobiltelefon, computere, routere mv.) returneres senest den sidste arbejdsdag. Opsiger virksomheden medarbejderen skal nærmeste leder vurdere behovet for tidligere inddragelse af effekterne. PC ere, mobiltelefoner og øvrige databærende medier skal indleveres til rensning i IT, før udstyret må overdrages til anden medarbejder. Databærende medier der har tilhørt ledende medarbejdere skal Side 16 af 37

17 destrueres af IT. Fratrådte medarbejdere kan ikke overtage udstyret. Afvigelser her for skal godkendes af Personalechefen eller Direktionen Inddragelse af IT-rettigheder, aktiver mv. ved bortvisning Ved en medarbejders opsigelse og bortvisning skal diverse adgange til Instituttets IT-systemer lukkes for den pågældende umiddelbart efter bortvisningen. Lånte IT-aktiver (id-kort, tokens, mobiltelefon, computere mv.) inddrages omgående. Befinder væsentlige effekter sig på den bortvistes hjemadresse, skal nærmeste chef vurdere behovet for at effekterne kræves udleveret omgående eller afhentes på bopælen. Instituttet kvitterer for overdragelsen. Medarbejderens computere og datafiler gennemgås snarest muligt og relevant indhold overdrages til andre medarbejdere. Nærmeste chef er ansvarlig for aktiviteterne. PCere, mobiltelefoner og øvrige databærende medier skal indleveres til rensning i IT, før udstyret må overdrages til anden medarbejder. Databærende medier der har tilhørt ledende medarbejdere skal destrueres af IT. Udstyr der ikke skal benyttes mere skal indleveres til IT til rensning og skrotning. 5 SIKKERHED, GÆSTER OG SAMARBEJDSPARTNERE 5.1 Faste daglige partnere Rengøringspersonale Rengøring i IT- og teknikrum skal udføres af kendte faste (og clearede) personer, som har modtaget Håndværkere Håndværkere må kun udføre arbejde i IT- og teknikrum, hvis arbejdets formål, omfang og tidspunkter er kendt af IT og godkendt af denne. Der skal tages særlige forholdsregler mod driftsforstyrrelser skabt for eksempel af elektriske forstyrrelser (konsekvenser for IT-udstyr og alarmer), rystelser, støv, røg, ved flytning af udstyr og eventuel afbrydelse af udstyr. I forbindelse med brug af svejseudstyr, brandfarlige kemikalier og lignende skal der tages særlige sikkerhedsmæssige forholdsregler. Håndværkerne skal sikre, at ingen andre uretmæssigt får adgang til området og skal informere IT om arbejdets daglige start og ophør. Håndværkerne skal være bekendt med hvem de skal henvende sig til, hvis der opstår tvivl eller problemer under arbejdets udførelse Vareleverandører Leverandører af IT-materiel eller anden teknik må kun have adgang til Instituttets IT- og teknikrum efter aftale og kun i følge med betroede medarbejdere fra IT. 5.2 Faste IT-partnere Systemkonsulenter Faste systemkonsulenter må gives adgang til virksomhedens IT-ressourcer (lokaler, maskiner og systemer) i det omfang det er nødvendigt for opgavens løsning. Adgang og rettigheder skal godkendes af den Systemansvarlige og IT-chefen. De tildelte adgange skal periodisk undergå revision. Ved behov for opkobling til Instituttets IT-systemer udefra, må adgang kun tildeles for en session ad gangen og under overvågning af Systemansvarlig. Systemansvarlig er ansvarlig for at konsulenterne er bekendt med Instituttets IT-sikkerhedspolitik og regler, og at disse overholdes Maskinteknikere Maskinteknikere med kendt identitet fra faste samarbejdspartnere har samme adgang til IT- og teknikrum som medarbejdere fra IT. De tildelte adgange skal periodisk undergå revision. Side 17 af 37

18 Ingen tilkaldte (ukendte) teknikere må få adgang til Instituttets IT- og teknik rum, uden at fremvise personlig identifikation med firmanavn og navn. Arbejdsopgaven og -perioden skal være kendt. Ukendte teknikerne skal følges af en medarbejder fra IT. Ved behov for opkobling til Instituttets IT-systemer udefra, må adgang kun tildeles for en session ad gangen og under overvågning af Systemansvarlig Systemudviklere Eksterne systemudviklere med behov for adgang til Instituttets IT-systemer, skal være clearet og godkendt af Instituttet. Adgang og rettigheder tildeles i forhold til hvad der er nødvendigt for at løse opgaven. Adgang og rettigheder skal godkendes af den Systemansvarlige og IT-chefen. De tildelte adgange skal periodisk undergå revision. Udviklerne skal være bekendt med Instituttets IT-sikkerhedspolitik, regler for omgang med Instituttets data, rapportering mv. Ved behov for opkobling til Instituttets IT-systemer udefra, må adgang kun tildeles for en session ad gangen og under overvågning af Systemansvarlig. 5.3 Periodiske gæster Eksterne generelt Eksterne mødedeltagere må kun færdes på Instituttet i følge med en ansat medarbejder, alternativt registreres ved ankomsten. Gæster må ikke benytte Instituttets netværk, men kan benytte kablede gæstenet (Blå opmærkning) eller gæstekonti (tildelt for 8 timer) på det trådløse net. Gæstekonti må kun udleveres personligt af medarbejder på Instituttet Løst ansatte (vikarer, praktikanter og medhjælpere) Vikarer og afløsere må normalt ikke få adgang til Instituttets IT-rum, teknikrum eller tilsvarende. Adgang til brug af systemerne skal begrænses til de systemer, som er nødvendige for funktionernes udførelse. Adgangen skal, hvis teknisk muligt, begrænses med dato- og tidsinterval. Nærmeste leder er ansvarlig for, at vikaren eller praktikanten er bekendt med Instituttets sikkerhedspolitik og regler på området. I særlige tilfælde kan en clearing af vikaren være nødvendig. De tildelte adgange skal periodisk undergå revision. Kun medarbejdere med tildelte initialer og underskreven aftale kan få adgang til Instituttets netværk. Tildeling af adgange til alle centrale systemer skal godkendes af Personaleafdeling. 6 FYSISK SIKKERHED, SIKRING OG KONTROL 6.1 Bygningsmæssige forhold Virksomhedens perimetersikring Instituttets ydre områder skal anlægges på en måde, der sikrer mod uretmæssig adgang og som samtidig styrer gæsters adgang til og færden ved virksomheden Virksomhedens bygningssikring Bygningerne skal sikres på en måde der begrænser muligheden for uretmæssig fysisk indtrængen, tyveri, ødelæggelse og hærværk i områder, hvor tyveri eller skader vil påføre store gener eller omkostninger. Forebyggende sikring (låse, tremmer, sikringsfilm og andet) bør suppleres med overvågnings- og alarmsystemer med direkte kontakt til alarmcentral. Side 18 af 37

19 6.1.3 Adgang til bygninger Adgang til Instituttet for gæster og medarbejdere skal ske gennem Instituttets hovedindgange. Post og varer må leveres direkte ind til de relevante funktioner og områder. Øvrige døre beskyttes og markeres som nødudgange Adgang til IT- og andre teknikrum Adgangskontrol til serverrum skal sikres med elektronisk låsesystem, som kan styre og registrere adgangen. Adgangen skal baseres på 2-faktor teknik. Serverrum skal være zoneopdelt og videoovervåget og de tildelte adgange skal periodisk undergå revision. Medarbejdere fra IT eller medarbejdere udpeget af IT har adgang efter behov. Zone med driftservere kan kun tilgås af IT-medarbejdere og relevante teknikere, konsulenter, håndværkere og rengøring har adgang i følge med medarbejdere fra IT. Øvrige teknikrum/teknikskabe skal være forsvarligt aflåst med nøglesystem administreret af IT og have videoovervågning. Adgangsnøgler tildeles af IT Adgang til og sikring af IT-kontorer Kontorer, som benyttes af IT-medarbejdere og hvor der ligger reservedele, softwarepakker mv. skal være sikret mod uvedkommendes fri adgang og mod tyveri. Døre skal være aflåst, når lokalerne ikke er bemandede. Effekter af speciel interesse for tyve, samt medier med følsom information skal opbevares i aflåste enheder, når det ikke anvendes. Kun relevante materialer må ligge fremme under møder og ved besøg (Clean-desk-policy) Sikring af arbejde fra private hjem Som udgangspunkt er alt arbejde med Instituttets IT-systemer og data fra medarbejderes private hjem underlagt denne IT-sikkerhedspolitik. Benyttes privat computer til opkobling mod Teknologisk Institut, må data ikke overføres til den private computer, hverken ved filoverførsel, som tilknyttet mail fil eller på anden måde. Instituttets data skal behandles og håndteres ud fra deres følsomhed og med særlig opmærksomhed på kassationsregler for databærende medier, herunder papirudskrifter Adgang og sikring af møde- og undervisningslokaler Instituttets møde- og undervisningslokaler kan frit benyttes af Instituttets medarbejdere. Mødeværten er ansvarlig for eksterne deltageres færden i området Adgang og sikring af fællesområder Kundeområder bør isoleres, så der ikke er fri adgang til Instituttets øvrige lokaler Adgang og sikring i forbindelse med lejere i bygning Lejemål i Instituttets domicil skal bygningsmæssigt være adskilt fra virksomhedens områder, og benytte eget låse-/nøglesystem. Det skal sikres, at der hos lejerne ikke kan forefindes udstyr eller maskiner der kan forstyrre driften i domicilet (elektrisk støj, støj, rystelser, andet), og at der ikke arbejdes med produktion eller materialer, som kan udsætte bygningen for fysiske risici som brand, eksplosionsfare mv. Ved brug af fælles LAN (fysisk eller trådløst GæsteNet) er det op til denne enkelte part at beskytte adgangen til egne IT-systemer: Sikkerhedsforhold i forbindelse med ombygning Ved ombygninger og omflytninger i IT-områder eller tilsvarende forretningsfølsomme områder, og hvor området på grund af byggeriet i perioder vil være åben for tilfældig adgang, skal der indføres særlige kontroller der sikrer, at virksomhedens sikkerhed ikke kompromitteres, og at aktiver ikke udsættes for unødigt beskadigelse eller tyveri. Side 19 af 37

20 Alarmer, vagt og vægterrundering Særligt følsomme områder af virksomheden skal sikres med indbrudsalarmer i alle rum med døre og vinduer i stueplan, alternativt følge regler for lokaleklassifikation og zoneopdeling. Alarmerne skal have direkte kald til alarmcentral. Der skal gennemføres vægterrundering på nærmere fastlagte tidspunkter. Kald til og fremmøde fra vagtcentral skal kunne dokumenteres (af hensyn til forsikringsdækning). 6.2 IT-udstyr og andet teknisk udstyr, forsyningssikkerhed Placering af IT- og teknikrum i bygning Centralt og fælles IT- udstyr, samt andet sårbart og forretningskritisk teknisk udstyr skal placeres i aflåste lokaler dedikeret til formålet, med særlig sikring af det fysiske miljø, f.eks. i følge en zoneopdeling og lokaleklassifikation. Lokalerne må ikke markeres på alment tilgængelige planer og må ikke markeres med direkte skiltning Krav til placering af IT-udstyr i teknikrum IT-udstyret skal være placeret i reoler og racks med plads til betjening og servicering fra begge sider, minimum jvf. krav fra maskinleverandører. Alle maskiner og kabler skal være mærket med navn, anvendelse, forbindelsespunkter og andre relevante oplysninger Strømforsyning og alarmering ved strømproblemer IT-udstyret skal forsynes fra to separate indgangskilder til bygningen, fordelt på separate sikringsgrupper med spændingsudjævnere. Forretningskritiske enheder skal sikres mod strømudfald med UPS-udstyr. UPS ens kapacitet afgøres ud fra forretningskonsekvensen af et nedbrud. UPS en skal afprøves periodisk. Strømforsyningen skal være overvåget med alarm til IT eller andet bemandet sted. Behov for nøddiesel generator(er) skal periodisk vurderes ud fra den forretningsmæssige afhængighed og konsekvens af et længerevarende strømsvigt. Eventuel anden nødstrømsforsyning skal afprøves jævnligt Køling og ventilation - alarmering ved svigt IT- og teknik rum skal være sikret med tilstrækkelig og konstant ventilation og køling, der lever op til IT-leverandørernes specifikationer. Der skal findes sensorer som kan alarmere IT-medarbejderne eller andre ved væsentlig reduktion eller svigt i kølesystemerne. Ventilationskanaler skal være forsynet med automatiske brandspjæld, som lukkes styret af brandalarmeringssystemet. Behovet for strømsikring af IT-forsyningsudstyr (køling, ventilation) skal jævnligt vurderes. Behov for nøddiesel generator(er) skal periodisk vurderes ud fra den forretningsmæssige afhængighed og konsekvens af et strømsvigt Sikring mod fugt- og vandskader - alarmering Udstyr må ikke placeres nær eller under gennemgående vandrør. Der skal tages særlige hensyn omkring ovenlysvinduer mod utætheder og indtrængende vand. Udstyr og kabelsamlinger skal være hævet minimum 40 cm over gulvhøjde, hvis der er gennemgående vandrør og/eller kloakafløb i gulv (kældre). Er der kloakafløb skal der være installeret tilbageløbsventil. Der skal være installeret fugtalarm under gulvet med direkte kald til IT-medarbejderne eller andet vagtpersonale. Er det relevant for området, skal der installeres grundvandspumpe (kældre) Brandsikring og -alarmering Kritiske IT- og teknikrum skal være forsynet med lovmæssigt brandslukningsudstyr, samt med sensorer (røg, varme eller ion detektorer) til automatisk branddetektering, alarmering, (eventuelt et Early Warning System) og med automatisk udløsning af slukningsmiddel. Der må ikke opbevares brandbare materialer i rummene eller i rummene umiddelbart omkring, ligesom tobaksrygning og brug af åben ild ikke er tilladt. Side 20 af 37

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484 DS 484:2005 Standard for informationssikkerhed -Korte uddrag fra DS484 Informationssikkerhedsstrategi Ledelsen skal godkende en skriftlig informationssikkerhedspolitik, som skal offentliggøres og kommunikeres

Læs mere

Bilag 5 Aarhus Kommune. Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0. Opbevaring/sletning af informationer

Bilag 5 Aarhus Kommune. Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0. Opbevaring/sletning af informationer Bilag 5 Aarhus Kommune Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0 Opbevaring/sletning af informationer 11-04-2011 1 Regler 7 Styring af informationsrelaterede

Læs mere

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser INDHOLDSFORTEGNELSE 1. Baggrund og formål... 2 2. Ansvarsfordeling... 2 2.1 Jobcenterchefens ansvar... 2 2.2 Gensidig informationspligt... 3 3. Krav til

Læs mere

IT-sikkerhedspolitik for

IT-sikkerhedspolitik for Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

Dragør Kommune. Operationelle bilag til IT-sikkerhedspolitikken. Bilag 7. Retningslinjer for IT-medarbejdere

Dragør Kommune. Operationelle bilag til IT-sikkerhedspolitikken. Bilag 7. Retningslinjer for IT-medarbejdere Dragør Kommune Operationelle bilag til IT-sikkerhedspolitikken IT-sikkerhedspolitik Side 2 Retningslinjer for IT-medarbejdere Samtlige medarbejdere beskæftiget med driften af kommunens IT-installation,

Læs mere

Service Level Agreement (SLA)

Service Level Agreement (SLA) Service Level Agreement (SLA) vedrørende IT-Backend mellem Gymnasiefællesskabet og Allerød Gymnasium Roskilde Katedralskole Roskilde Gymnasium Himmelev Gymnasium Greve Gymnasium Solrød Gymnasium Køge Gymnasium

Læs mere

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2 Status for ændringer Version Dato Navn Bemærkning 1.0 24-04-2007 Vedtaget i Regionsrådet 1.1 13-02-2012 IMT-Informationssikkerhed Tilpasning af terminologi 1.2 15-10-2012 IMT-Informationssikkerhed Rettelse

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

Instrukser for brug af it

Instrukser for brug af it it sikkerhed Instrukser for brug af it Må Skal ikke Kan Januar 2010 Version 1.0 Indhold Forord................................................... 3 Resumé.................................................

Læs mere

Informationssikkerhed Version 2.0 29.09.10

Informationssikkerhed Version 2.0 29.09.10 Informationssikkerhed Version 2.0 29.09.10 Retningslinjer for retablering af systemer og data (Ændringer i forhold til tidligere version er markeret med Understregning) Disse retningslinjer beskriver de

Læs mere

Overordnet it-sikkerhedspolitik for Rødovre Kommune

Overordnet it-sikkerhedspolitik for Rødovre Kommune Overordnet it-sikkerhedspolitik for Rødovre Kommune Denne politik er godkendt af kommunalbestyrelsen januar 2016. Og træder i kraft januar 2016. Ved udskrivning af politikken skal du være opmærksom på,

Læs mere

Instrukser for brug af it

Instrukser for brug af it it IT-Afdelingen sikkerhed Instrukser i brug af IT Instrukser for brug af it Må Skal ikke Kan Januar 2010 Version 1.0 Indhold Indhold Forord.............................. 3...................... 3 Resumé

Læs mere

Guide til sikker it. Daglig brug Programmer E-mail Internet Databehandling

Guide til sikker it. Daglig brug Programmer E-mail Internet Databehandling Guide til sikker it Daglig brug Programmer E-mail Internet Databehandling Hvilke retningslinjer skal du følge som it-bruger i Hillerød Kommune? Indhold Daglig brug af din computer 4 Computere, programmer

Læs mere

It-sikkerhed i Dansk Supermarked

It-sikkerhed i Dansk Supermarked It-sikkerhed i Dansk en kort introduktion It-sikkerhed i Dansk 1 Velkommen som it-bruger i Dansk Kære medarbejder Brug af it er for mange i Dansk en naturlig del af arbejdsdagen. Hvis vi skal sikre vores

Læs mere

OVERORDNET IT-SIKKERHEDSPOLITIK

OVERORDNET IT-SIKKERHEDSPOLITIK OVERORDNET IT-SIKKERHEDSPOLITIK Indholdsfortegnelse 1. Indledning....3 2. Formål...3 3. Sikkerhedspolitik...3 4. Dækningsormåde...4 5. Sikkerhedsniveau....4 6. Organisation og ansvar...4 7. Opfølgning...5

Læs mere

RETNINGSLINJER FOR TV-OVERVÅGNING I BOLIGFORENINGEN VIBO

RETNINGSLINJER FOR TV-OVERVÅGNING I BOLIGFORENINGEN VIBO RETNINGSLINJER FOR TV-OVERVÅGNING I BOLIGFORENINGEN VIBO Definition Ved tv-overvågning forstås vedvarende eller periodisk gentagen overvågning af både udendørs- og indendørs arealer ved hjælp af automatisk

Læs mere

Informationssikkerhedspolitik

Informationssikkerhedspolitik Folder om Informationssikkerhedspolitik ansatte og byrådsmedlemmer 25-11-2013 Indledning Faxe Kommune har en overordnet Informationssikkerhedspolitik. Denne folder er et uddrag, der kort fortæller hvad

Læs mere

Syddansk Universitet. Dataklassificering på. Version 1.8 Sidst revideret d. 29. november 2007 Side 1 af 13

Syddansk Universitet. Dataklassificering på. Version 1.8 Sidst revideret d. 29. november 2007 Side 1 af 13 Dataklassificering på Version 1.8 Sidst revideret d. 29. november 2007 Side 1 af 13 Indeks Indeks... 2 Introduktion... 3 Formål... 3 Interessenter... 3 Dokument struktur... 3 Revision af dokumentet...

Læs mere

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.: Databehandleraftale vedrørende brug af WinPLC og relaterede services Version 1.0 d. 1. november 2015 Parterne Kundenr.: Klinikkens navn og adresse (evt. stempel) (herefter den Dataansvarlige) og (herefter

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) 1 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-951-4 0.05.12

Læs mere

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.

Læs mere

Studér denne folder for vores sikkerheds skyld

Studér denne folder for vores sikkerheds skyld Studér denne folder for vores sikkerheds skyld Pas på vores værdifulde viden Vi fremskaffer og formidler viden. Elektronisk, skriftligt og mundtligt. Det er Københavns Universitets væsentligste aktivitet

Læs mere

Assens Kommune Sikkerhedspolitik for it, data og information

Assens Kommune Sikkerhedspolitik for it, data og information Assens Kommune Sikkerhedspolitik for it, data og information Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Holdninger og principper... 4 4. Omfang... 4 5. Sikkerhedsbevidsthed,

Læs mere

IT-centeret. It-sikkerhedshåndbog. Næstved Kommune Sagsbehandler: JJ Tlf. 5577 5300 Sagsnr: Doknr: www.naestved.dk. 20. april 2009

IT-centeret. It-sikkerhedshåndbog. Næstved Kommune Sagsbehandler: JJ Tlf. 5577 5300 Sagsnr: Doknr: www.naestved.dk. 20. april 2009 It-sikkerhedshåndbog IT-centeret Næstved Kommune Sagsbehandler: JJ Tlf. 5577 5300 Sagsnr: Doknr: www.naestved.dk 20. april 2009 Version 1.3 af 20. april 2009 Indhold 1. Indledning og formål 2 2. Ansvar

Læs mere

Kære medarbejder og leder

Kære medarbejder og leder Kære medarbejder og leder Adgang til informationer i it-systemer og elektronisk kommunikation er for de fleste medarbejdere i Region Hovedstaden en selvfølgelig del af arbejdsdagen. Hvis vi ikke har adgang

Læs mere

Edb-udstyret skal fysisk være beskyttet, så en person der søger at angribe Randers kommunes netværk ikke har uhindret adgang til edb-udstyret.

Edb-udstyret skal fysisk være beskyttet, så en person der søger at angribe Randers kommunes netværk ikke har uhindret adgang til edb-udstyret. Bilag 2 Fysisk sikkerhed 1 Hvorfor fysisk sikkerhed Sikkerheden i et hvert edb-system er grundlæggende afhængigt af, at kravene til den fysiske sikkerhed er opfyldt. Disse krav til fysisk sikkerhed skal

Læs mere

MELLEM. 2300 København S. (herefter SKI )

MELLEM. 2300 København S. (herefter SKI ) BRUGERTILSLUTNINGSAFTALE SKI. dk MELLEM Staten og Kommunernes Indkøbs Service A/S Zeppelinerhallen, Islands Brygge 55 2300 København S CVR 17472437, EAN 57900002758477 (herefter SKI ) og (Herefter Kunden

Læs mere

Sikkerhedspolitik Version 3.1003 d. 3. oktober 2013

Sikkerhedspolitik Version 3.1003 d. 3. oktober 2013 Denne sikkerhedspolitik beskriver de krav som Leverandøren stiller til den interne fysiske sikkerhed, datasikkerhed, logiske sikkerhed og sikkerhed i forbindelse med netværk og firewalls. Sikkerhedspolitikken

Læs mere

Informationssikkerhedspolitik for

Informationssikkerhedspolitik for <organisation> 1 Informationssikkerhedspolitik for 1. Formål informationssikkerhedspolitik beskriver vigtigheden af arbejdet med informationssikkerhed i og fastlægger

Læs mere

Overordnet It-sikkerhedspolitik

Overordnet It-sikkerhedspolitik Overordnet It-sikkerhedspolitik Denne politik er godkendt af byrådet d. x. måned 2014 Ved udskrivning af politikken skal du være opmærksom på, at du anvender senest godkendte version. Acadre sags nr. 14-8285

Læs mere

RETNINGSLINJER FOR TV-OVERVÅGNING I BOLIGFORENINGEN VIBO

RETNINGSLINJER FOR TV-OVERVÅGNING I BOLIGFORENINGEN VIBO RETNINGSLINJER FOR TV-OVERVÅGNING I BOLIGFORENINGEN VIBO Definition Ved tv-overvågning forstås vedvarende eller periodisk gentagen overvågning af både udendørs- og indendørs arealer ved hjælp af automatisk

Læs mere

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014 Aarhus Kommune IT-sikkerhedspolitik Politik 25-04-2014 Indholdsfortegnelse Politik 1 Indledning 1 Formål 1 Politikkens omfang 2 Ledelsesansvar 2 IT-sikkerhedsorganisationen 2 IT-sikkerhedsniveau 3 IT-sikkerhedshåndbogen

Læs mere

IT-sikkerhedspolitik. for. Gladsaxe Kommune

IT-sikkerhedspolitik. for. Gladsaxe Kommune IT-sikkerhedspolitik for Gladsaxe Kommune INDHOLD 1. IT-sikkerhedspolitik 1.1 Baggrund for IT-sikkerhedspolitikken 2. Begreber og definitioner 3. IT-sikkerhedspolitikken 3.1 Hovedmålsætninger med IT-sikkerhedspolitikken

Læs mere

KÆRE MEDARBEJDER OG LEDER

KÆRE MEDARBEJDER OG LEDER Region Hovedstaden 1 KÆRE MEDARBEJDER OG LEDER Adgang til informationer i it-systemer og elektronisk kommunikation er for de fleste medarbejdere i Region Hovedstaden en selvfølgelig del af arbejdsdagen.

Læs mere

Datasikkerhedspolitik

Datasikkerhedspolitik Datasikkerhedspolitik Godkendt i Byrådet den 10.november 2008 1 Datasikkerhedspolitik Indhold 1. Indledning 2. Organisation og ansvarsfordeling 2.1 Ansvarsorganisation for datasikkerhed 2.2 Øverste og

Læs mere

Automatisk og obligatorisk tilslutning. Hvis du blev tilmeldt Digital Post inden 1. november 2014. Mulighed for fritagelse

Automatisk og obligatorisk tilslutning. Hvis du blev tilmeldt Digital Post inden 1. november 2014. Mulighed for fritagelse Automatisk og obligatorisk tilslutning 1. november 2014 blev det lovpligtig at være tilsluttet Digital Post fra det offentlige. Denne dato skete der derfor en automatisk og obligatorisk tilslutning for

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Dags dato er indgået nedenstående aftale mellem Københavns Kommune Teknik- og Miljøforvaltningen Njalsgade 13 2300 København S CVR.nr.: 64 94 22 12 (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.]

Læs mere

Front-data Danmark A/S

Front-data Danmark A/S Front-data Danmark A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Hostingcenter. December 2010 1. erklæringsår R, s Kalvebod Brygge 45, 2., 1560

Læs mere

Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6

Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6 Indholdsfortegnelse Generelt 3 Formål 3 Omfang 4 It-sikkerhedsniveau 4 Styring 5 Sikkerhedsbevidsthed 6 Brud på it-sikkerheden 6 Anvendelse af politik for it-sikkerhed i praksis 6 Bilag 1. Anvendelse af

Læs mere

Faaborg-Midtfyn Kommunes it-sikkerhedspolitik Udkast pr. 26. maj 2009

Faaborg-Midtfyn Kommunes it-sikkerhedspolitik Udkast pr. 26. maj 2009 1. Indledning It-anvendelsen i Faaborg-Midtfyn Kommune skal understøtte kommunens vision. Samtidig ønsker Faaborg- Midtfyn Kommune, at medarbejderne har en bevidst holdning til begrebet it-sikkerhed, hvor

Læs mere

Personalehåndbog. Personalehåndbogens målsætning. 1. Vores historie. 2. Mission 3. Vision 4. Værdigrundlag 5. Organisationen.

Personalehåndbog. Personalehåndbogens målsætning. 1. Vores historie. 2. Mission 3. Vision 4. Værdigrundlag 5. Organisationen. Personalehåndbog Personalehåndbogens målsætning Strategi og mål m.m. 1. Vores historie. 2. Mission 3. Vision 4. Værdigrundlag 5. Organisationen Bestyrelse 1 Organisationsdiagram 6. Vores målsætning Politikker

Læs mere

Informationssikkerhed regler og råd

Informationssikkerhed regler og råd Informationssikkerhed regler og råd TAP-området Kære kollegaer Formålet med denne folder er at oplyse dig om RMCs regler og råd inden for informationssikkerhed. Folderen skal være med til at sikre, at

Læs mere

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring KOMBIT har som indkøbscentral på vegne af landets kommuner indgået aftale med [leverandørnavn] (herefter Leverandøren ) om udvikling, drift,

Læs mere

Instrukser for brug af dataudstyr ved OUH

Instrukser for brug af dataudstyr ved OUH Skal Kan Må ikke Instrukser for brug af dataudstyr ved OUH Afdelingen for Driftsoptimering og IT Vi er til for borgerne, og bruger dataudstyr for at sikre effektivitet og kvalitet. Vi skal have en høj

Læs mere

IT sikkerhedspolitik. for. Fredericia Kommune

IT sikkerhedspolitik. for. Fredericia Kommune IT sikkerhedspolitik for Fredericia Kommune Side 1 af 17 Versionsstyring Versionsnummer Dato for version Ændring Årsag Ansvar 1.00 01.06.2013 Ny politik godkendt i byrådet PerToftdahl Side 2 af 17 Versionsstyring...

Læs mere

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED DAGSORDEN _ Introduktion til informationssikkerhed _ Hvad går det egentlig ud på _ Hvilke kerneopgaver er der _ Hvor langt er vi nået? _ Hvilke

Læs mere

IT-regler gældende for Danmarks Medie- og Journalisthøjskole

IT-regler gældende for Danmarks Medie- og Journalisthøjskole IT-regler gældende for Danmarks Medie- og Journalisthøjskole Retningslinjer for studerende og medarbejdere ved Danmarks Medie- og Journalisthøjskole vedrørende brugen af organisationens IT-ressourcer 1

Læs mere

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer plus revision skat rådgivning TABULEX ISAE 3000 DK ERKLÆRING MARTS 2013 Erklæring fra uafhængig revisor om Tabulex ApS overholdelse af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger

Læs mere

Forskrift G - Diskretionspolitik og procedurer omkring datasikkerhed

Forskrift G - Diskretionspolitik og procedurer omkring datasikkerhed Forskrift G - Diskretionspolitik og procedurer omkring datasikkerhed December 2007 Rev. 1 Nov. 2006 Nov. 2006 Jan. 2007 Jan. 2007 DATE LEG BCM/MRP LEG LSO NAME Nov. 2006 DATE HEP/LEG NAME REV. DESCRIPTION

Læs mere

Politik for It-brugeradfærd For Aalborg Kommune

Politik for It-brugeradfærd For Aalborg Kommune Click here to enter text. Politi k for It- bruger adfærd 2011 «ed ocaddressci vilcode» Politik for It-brugeradfærd For Aalborg Kommune Kolofon: It-sikkerhedsgruppen / IT- og Personalekontoret Godkendt

Læs mere

INFORMATIONS- SIKKERHEDS- POLITIK

INFORMATIONS- SIKKERHEDS- POLITIK INFORMATIONS- SIKKERHEDS- POLITIK GLOSTRUP KOMMUNE 14. NOVEMBER 2012 Politik Nærværende informationssikkerhedspolitik er en generel administrativ opdatering af version 1.0 især på baggrund af organisationsændringen

Læs mere

IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR

IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR 1 HUSK n Adgangskoder må ikke videregives til andre. n Andre må ikke anvende din personlige bruger-id. n Ved mistanke om, at andre har fået kendskab

Læs mere

Tænk når du taster. kom nærmere

Tænk når du taster. kom nærmere Tænk når du taster kom nærmere Regler for medarbejdernes brug af TDC s pc-arbejdspladser Nedenfor kan du læse om de regler, TDC s Direktion har vedtaget for brugen af koncernens*) pc-arbejdspladser Reglerne

Læs mere

IT-sikkerhedspolitik

IT-sikkerhedspolitik Bilag 9.02 til Kasse- og Regnskabsregulativ for Trafikselskabet Movia Trafikselskabet Movia CVR nr.: 29 89 65 69 EAN nr.: 5798000016798 Ressourcecenter Valby august 2012 IT-sikkerhedspolitik Indholdsfortegnelse

Læs mere

IT-retningslinier og sikkerhedspolitik for Viborg Kommunes Skole IT. - gældende for undervisere

IT-retningslinier og sikkerhedspolitik for Viborg Kommunes Skole IT. - gældende for undervisere IT-retningslinier og sikkerhedspolitik for Viborg Kommunes Skole IT - gældende for undervisere August 2009 IT retningslinier og sikkerhedspolitik for Viborg kommunes Skole IT - gældende for undervisere

Læs mere

Cirkulære om sikkerhedsforanstaltninger i Kirkenettet

Cirkulære om sikkerhedsforanstaltninger i Kirkenettet Cirkulære om sikkerhedsforanstaltninger i Kirkenettet Cirkulæret omhandler organisatoriske forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af adgangskontrolordninger og autorisationsordninger

Læs mere

IT-SIKKERHEDSPOLITIK UDKAST

IT-SIKKERHEDSPOLITIK UDKAST IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens

Læs mere

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup.

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. Front-safe A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. April 2011 5. erklæringsår R, s Kalvebod Brygge 45, 2., 1560 København

Læs mere

Sotea ApS. Indholdsfortegnelse

Sotea ApS. Indholdsfortegnelse Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med varetagelsen af den fysiske sikkerhed i perioden 01. juni 2013 til 31. maj

Læs mere

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Den finansielle sektor er i dag 100% afhængig af, at it-løsninger er kørende og herudover er sikret i tilfælde af, at noget

Læs mere

Retningslinjer. for. Video-overvågning i Faxe Kommune

Retningslinjer. for. Video-overvågning i Faxe Kommune Ændringer er markeret med rødt Retningslinjer for Video-overvågning i Faxe Kommune Formål Formålet med i Faxe Kommune er at beskytte kommunens ejendomme og værdier mod kriminelle handlinger samt tilføre

Læs mere

fortrolighed: omfatter en sikring af, at information kun er tilgængelig for personer, som er berettigede

fortrolighed: omfatter en sikring af, at information kun er tilgængelig for personer, som er berettigede Tillæg 3 1 1 IT-sikkerhedspolitik for Ballerup Kommune 1.1 Baggrund for IT-sikkerhedspolitikken Ballerup Kommune anvender på flere områder og i større omfang IT for at leve op til de krav, som borgere,

Læs mere

INFORMATIONSSIKKERHEDSPOLITIK. Informationssikkerhedspolitik

INFORMATIONSSIKKERHEDSPOLITIK. Informationssikkerhedspolitik Informationssikkerhedspolitik Er informationssikkerhed aktuel? Hvorfor arbejder vi med informationssikkerhedspolitik? EU direktiv 95/46/EF Persondataloven Sikkerhedsbekendtgørelsen Datatilsynet Hvorfor

Læs mere

It-sikkerhedstekst ST4

It-sikkerhedstekst ST4 It-sikkerhedstekst ST4 Datatransmission af personoplysninger på åbne net Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST4 Version 1 Oktober 2014 Datatransmission af personoplysninger

Læs mere

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes]

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes] Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes] Det er, jf. Kontrakt om levering af Skolesystem (Læringsplatform) som servicebureauløsning, aftalt, at [leverandørnavn

Læs mere

Sikkerhedspolitik Version 4.0506 d. 6. maj 2014

Sikkerhedspolitik Version 4.0506 d. 6. maj 2014 Nærværende dokument beskriver de sikkerhedsforanstaltninger, som leverandøren har opstillet til den interne fysiske sikkerhed, datasikkerhed, logisk sikkerhed og sikkerhed i forbindelse med netværk, firewall

Læs mere

Politik

Politik <dato> <J.nr.> Side 1 af 5 Politik Informationssikkerhedspolitik for 1. Indledning Denne informationssikkerhedspolitik er den overordnede ramme for informationssikkerheden hos .

Læs mere

TVovervågning. Struer Kommune Retningslinjer for anvendelse og indkøb af. TV-overvågning

TVovervågning. Struer Kommune Retningslinjer for anvendelse og indkøb af. TV-overvågning TVovervågning Struer Kommune Retningslinjer for anvendelse og indkøb af TV-overvågning Formål TV-overvågning i Struer Kommune benyttes for at bekæmpe, forebygge og opklare kriminelle handlinger som hærværk,

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Bilag K Dags dato er indgået nedenstående aftale mellem Københavns Kommune [Forvaltning] [Center] CVR.nr.: 64 94 22 12 [Adresse] (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.] [Adresse] [Postnummer

Læs mere

KOMBIT sikkerhedspolitik

KOMBIT sikkerhedspolitik KOMBIT sikkerhedspolitik Indholdsfortegnelse INDLEDNING 3 DEL 1: ORGANISERING, ROLLER OG ANSVAR 4 DEL 2: POLITIK FOR INFORMATIONSSIKKERHED 5 DEL 3: RETNINGSLINJER OG KONTROLMÅL TIL LEVERANDØREN 6 5. INFORMATIONSSIKKERHEDSPOLITIKKER

Læs mere

SIKKERHEDSREGLER. 5. Informationssikkerhedspolitikker

SIKKERHEDSREGLER. 5. Informationssikkerhedspolitikker SIKKERHEDSREGLER. 5. Informationssikkerhedspolitikker 5. 1. Retningslinjer for styring af informationssikkerhed 5. 1. 1. Politikker for informationssikkerhed Informationssikkerhed defineres som de samlede

Læs mere

Tabulex ApS. Februar erklæringsår. R, s

Tabulex ApS. Februar erklæringsår. R, s Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2012 8. erklæringsår

Læs mere

Informationssikkerhedspolitik. Frederiksberg Kommune

Informationssikkerhedspolitik. Frederiksberg Kommune Informationssikkerhedspolitik Frederiksberg Kommune Indledning Informationssikkerhedspolitikken er den overordnede ramme for beskyttelse af information i Frederiksberg Kommune. Kommunen behandler oplysninger

Læs mere

Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk

Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk 9. april 2013 Dokumentnr.: CKG Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk Indhold: 1. Organisation...2 2. Serviceydelser...3 3. Teknik...6 4. Gældende regler...9 1/9 1. Organisation

Læs mere

Informationssikkerhedspolitik for Vejen Kommune

Informationssikkerhedspolitik for Vejen Kommune Informationssikkerhedspolitik for Vejen Kommune Denne politik er godkendt af byrådet d. xx. Og træder i kraft d. xx. Seneste version er tilgængelig på intranettet. Indledning Vejen Byråd fastlægger med

Læs mere

IT Sikkerhedspolitik. for. Tønder kommune

IT Sikkerhedspolitik. for. Tønder kommune Udkast IT Sikkerhedspolitik for Tønder kommune Side 1 af 13 Indhold Version.... 3 Indledning... 4 Formålet med IT Sikkerhedspolitikken.... 4 Hvem er omfattet af IT Sikkerhedspolitikken.... 5 Ansvar og

Læs mere

Konference 27. januar 2011 Personale og IT-sikkerhed. /ved chefkonsulent, cand. jur. Helle Groth Christensen KL s Juridiske Kontor

Konference 27. januar 2011 Personale og IT-sikkerhed. /ved chefkonsulent, cand. jur. Helle Groth Christensen KL s Juridiske Kontor Konference 27. januar 2011 Personale og IT-sikkerhed /ved chefkonsulent, cand. jur. Helle Groth Christensen KL s Juridiske Kontor Hvordan sikrer I, at medarbejderne iagttager og overholder IT-sikkerheden?

Læs mere

Sikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005

Sikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005 Sikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005 INDHOLDSFORTEGNELSE 1. INTRODUKTION... 3 1.1 FORMÅL... 3 2 FYSISK SIKKERHED... 4 2.1 MILJØ OG SIKRING... 4 2.2 ADGANGSKONTROL... 5 3 HARDWARE...

Læs mere

DS 484 Den fællesstatslige standard for informationssikkerhed. Sikkerhedsaspekter ved Mobilitet og Distancearbejde

DS 484 Den fællesstatslige standard for informationssikkerhed. Sikkerhedsaspekter ved Mobilitet og Distancearbejde DS 484 Den fællesstatslige standard for informationssikkerhed Sikkerhedsaspekter ved Mobilitet og Distancearbejde * Velkomst og dagens program Hvorfor er vi her Dagens formål og succeskriterier Disponeringen

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Dags dato er indgået nedenstående aftale mellem Københavns Kommune Økonomiforvaltningen Koncernservice CVR.nr.: 64 94 22 12 Borups Allé 177 2400 København NV (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.:

Læs mere

Almindelig sund fornuft med IT Gode råd og regler om IT sikkerhed

Almindelig sund fornuft med IT Gode råd og regler om IT sikkerhed Almindelig sund fornuft med IT Gode råd og regler om IT sikkerhed Langeland Kommune Sikkerhed i Langeland Kommune Sikkerhed er noget vi alle skal tænke over. Vi behandler følsomme informationer om vores

Læs mere

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet Sammenfatning Denne vejledning adresserer risikoen for industrispionage fra statssponserede aktører i udlandet mod

Læs mere

It-revision af Sundhedsdatanettet 2015 15. januar 2016

It-revision af Sundhedsdatanettet 2015 15. januar 2016 MedCom Forskerparken 10 5230 Odense M Landgreven 4 1301 København K Tlf. 33 92 84 00 rr@rigsrevisionen.dk www.rigsrevisionen.dk It-revision af Sundhedsdatanettet 2015 15. januar 2016 1. Rigsrevisionen

Læs mere

RISIKOANALYSE CYBER RISK / DATA OG NETFORSIKRING

RISIKOANALYSE CYBER RISK / DATA OG NETFORSIKRING 1 Involverede parter 1.1 Virksomheden Navn: CVR.nr. Kontaktperson: Juridiske enheder omfattet af analysen: 1.2 Willis Adresse Forsikringsmægler E-mail / Telefon @willis.dk / 88 139 2 Om virksomheden 2.1

Læs mere

PERSONALE RETNINGSLINJER FOR VIDEOOVERVÅGNING

PERSONALE RETNINGSLINJER FOR VIDEOOVERVÅGNING Risikostyring - tag vare på dit, mit og vores - og på dig selv og os PERSONALE RETNINGSLINJER FOR VIDEOOVERVÅGNING 1 Definition Ved videoovervågning forstås vedvarende eller periodisk gentagen overvågning

Læs mere

Indholdsfortegnelse. Generelt 3. Formål 3. Omfang 4. Sammenhæng med IT- og forretningsstrategier 4

Indholdsfortegnelse. Generelt 3. Formål 3. Omfang 4. Sammenhæng med IT- og forretningsstrategier 4 Indholdsfortegnelse Generelt 3 Formål 3 Omfang 4 Sammenhæng med IT- og forretningsstrategier 4 Risikostyring og sikring af informationsaktiver og systemer 5 Overvågning af risici og regionens IT-sikkerhedsniveau

Læs mere

CYBERFORSIKRING OFFENTLIG KONFERENCE

CYBERFORSIKRING OFFENTLIG KONFERENCE CYBERFORSIKRING OFFENTLIG KONFERENCE Den 23 September 2015 Introduktion Kan en forsikring afdække det økonomiske tab, hvis den risiko organisationen er eksponeret for bliver en realitet? Agenda: Eksponering

Læs mere

Hvilke retningslinjer skal du følge som bruger i Norddjurs Kommune?

Hvilke retningslinjer skal du følge som bruger i Norddjurs Kommune? Hvilke retningslinjer skal du følge som bruger i Norddjurs Kommune? Som bruger i Norddjurs Kommune er du ansvarlig for det, du foretager dig på din computer og for de oplysninger, som du gemmer. Det betyder,

Læs mere

Sikkerhedsinstruks for IT-brugere hos Randers Kommune. Bilag 1

Sikkerhedsinstruks for IT-brugere hos Randers Kommune. Bilag 1 Sikkerhedsinstruks for IT-brugere hos Randers Kommune Bilag 1 20. marts 2007 Samtlige IT-brugere af Randers kommunes IT skal kende nærværende retningslinier. Retningslinierne vil blive ajourført af IT-sikkerhedslederen,

Læs mere

Databehandleraftale. Der er indgået denne Databehandlingsaftale ("Aftale") mellem

Databehandleraftale. Der er indgået denne Databehandlingsaftale (Aftale) mellem Oktober 2014 Sagsnr. 013928-0190 cen/dla Databehandleraftale Der er indgået denne Databehandlingsaftale ("Aftale") mellem Fredericia Kommune Gothersgade 20 7000 Frdericia CVR-nr.: 69116418 ("Kommunen")

Læs mere

Retningslinjer om brugeransvar

Retningslinjer om brugeransvar Retningslinjer om brugeransvar April 2015 Movia Design/Mette Malling 04.15. Fotos: Movia Indhold Pas på vores Movia 5 Movias målsætninger 6 Hvem har ansvaret? 8 Fortrolighed 9 Movias omdømme 11 Pas på

Læs mere

Skabelon: Regler for medarbejderes brug af it

Skabelon: Regler for medarbejderes brug af it Notat Skabelon: Regler for medarbejderes brug af it I dag er det en naturlig ting, at medarbejderen i en virksomhed har en pc til sin rådighed til at udføre sit arbejde. Pc en har typisk adgang til internettet

Læs mere

REGIONERNES POLITISKE LINJE FOR INFORMATIONSSIKKERHED

REGIONERNES POLITISKE LINJE FOR INFORMATIONSSIKKERHED 11101010100010 10101001011011 10101001101010 10101010001010 10100101101110 10100110101010 10101000101010 10010110111010 10011010101010 10100010101010 01011011101010 01101010101001 10001010101001 REGIONERNES

Læs mere

Retningslinier for brug af it i Aalborg Kommune, tilrettet til lærerbrug

Retningslinier for brug af it i Aalborg Kommune, tilrettet til lærerbrug Retningslinier for brug af it i Aalborg Kommune, tilrettet til lærerbrug Udviklingen på området gør, at disse retningslinier vil blive revideret løbende Indhold: Indledning...3 Adgang til skolens net...3

Læs mere

It-sikkerhedstekst ST8

It-sikkerhedstekst ST8 It-sikkerhedstekst ST8 Logning til brug ved efterforskning af autoriserede brugeres anvendelser af data Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST8 Version 1 Maj 2015 Logning

Læs mere

For vores sikkerheds skyld

For vores sikkerheds skyld For vores sikkerheds skyld Informationssikkerhed på Københavns Universitet Alle, der færdes på Københavns Universitet, skal kender til informationssikkerhed (IS): fordi vi skal passe godt på den viden,

Læs mere

Retningslinier. for. Video-overvågning i Faxe Kommune

Retningslinier. for. Video-overvågning i Faxe Kommune Retningslinier for Video-overvågning i Faxe Kommune Formål Formålet med i Faxe Kommune er at beskytte kommunens ejendomme og værdier mod kriminelle handlinger samt tilføre tryghed for ansatte i kommunen

Læs mere

Vilkår for hosting. 6. revision 7. maj 2005. CompuSoft A/S Anderupvej 16 5270 Odense N CVR-nr. 21774774 (i det følgende kaldet leverandøren)

Vilkår for hosting. 6. revision 7. maj 2005. CompuSoft A/S Anderupvej 16 5270 Odense N CVR-nr. 21774774 (i det følgende kaldet leverandøren) Vilkår for hosting 6. revision 7. maj 2005 CompuSoft A/S Anderupvej 16 5270 Odense N CVR-nr. 21774774 (i det følgende kaldet leverandøren) CompuSoft A/S, Anderupvej 16, DK 5270 Odense N, Tlf. +45 6318

Læs mere