Jyske Bank Politik for It sikkerhed
|
|
- Sofia Ibsen
- 5 år siden
- Visninger:
Transkript
1 Indholdsfortegnelse Indholdsfortegnelse Formål og omfang It sikkerhedsniveau Organisation og ansvar It risikostyring Outsourcing Sikkerhedsprincipper Awareness Funktionsadskillelse Risikovurdering Beskyttelse af It aktiver Adgange til informationer og systemer Systemudvikling og vedligeholdelse af systemer Driftsafvikling Backup og sikkerhedskopiering Beredskab Kvalitetssikring Brud på it sikkerhedspolitik og sikkerhedsregler Rapportering, kontrol og opfølgning Dispensationer fra Sikkerhedspolitikken
2 1. Formål og omfang Formålet med denne Politik for It sikkerhed (herefter benævnt Sikkerhedspolitikken) er at sikre, at der implementeres og opretholdes et højt It sikkerhedsniveau i Jyske Bank-koncernen, herunder at fastlægge principper og krav til It sikkerhedsstyring og It risikostyring, der sikrer, at It sikkerhedsniveauet og den ønskede risikoprofil på It området kan overholdes. 2. It sikkerhedsniveau It sikkerhedsniveauet skal fastsættes med udgangspunkt i koncernens ambition om at opnå og vedligeholde et sikkerhedsniveau, som er på niveau med de bedste finansielle institutioner i Norden. Fastsættelse af It sikkerhedsniveauet skal modsvare udviklingen i trusselsniveauet på nationalt plan, baseres på risikovurderinger og efterleve sektorens lovgivning og krav. Det høje It sikkerhedsniveau skal være med til at gøre koncernen i stand til at oppebære et forsvar imod cybertrusler bestående af effektive teknologiske foranstaltninger, processer og menneskelige ressourcer. Koncernens It systemer og It anvendelse skal sikres en robusthed, som kan sikre stabil drift af koncernens forretningsprocesser samt sikre en cyberrobusthed, som er effektiv over for cyberangreb fra trusselsaktører, der arbejder med høj grad af organisering og sofistikerede angreb. Sikkerhedspolitikken skal suppleres af en strategi, som beskriver, hvorledes It sikkerhedsniveauet skal opnås. Derudover skal Sikkerhedspolitikken uddybes i understøttende politikker, metodebeskrivelser, rammeværk, forretningsgange og retningslinjer, som beskriver, hvorledes kravene heri operationaliseres. Kravene, som er defineret i politikker, metodebeskrivelser, rammeværk og forretningsgange, skal til enhver tid efterleves. Afvigelser fra Sikkerhedspolitikken skal risikovurderes. Dispensationer fra Sikkerhedspolitikken skal foreligge for væsentlige afvigelser. Sikkerhedspolitikken skal godkendes af Jyske Banks koncernbestyrelse minimum én gang årligt eller ved væsentlige ændringer, som fordrer, at den revideres. 3. Organisation og ansvar Direktionen har det overordnede ansvar for, at Sikkerhedspolitikken efterleves, og denne skal sikre, at organisationen støtter op om Sikkerhedspolitikken ved at udstikke klare retningslinjer, udvise synligt engagement og sikre en præcis placering af ansvar. Koncernen anvender en 3 Lines of Defense model til at sikre, at Sikkerhedspolitikken efterleves, og at It operationelle risici håndteres og overvåges. Dette sker igennem flere organisatoriske funktioner i koncernen. 1 st line udgøres af linjeorganisationen og særligt de organisatoriske funktioner, som arbejder med behandling af informationer, drift og It udvikling. 2 nd line udgøres primært af sikkerhedsafdelingen (It sikkerhed og risikostyring), men Compliance funktionen (Compliance) og risikofunktionen (Risikostyring) varetager tillige et 2 nd line ansvar i relation til kontrol og overvågning af It operationelle risici, idet der er høj samhørighed imellem 2
3 Sikkerhedspolitikken, Politik for Compliance og Politik for operationel risikostyring i Jyske Bank koncernen. 3 rd line udgøres af Intern Revision, der har ansvaret for at udføre uafhængig revision af den samlede håndtering af risici og de interne kontroller i koncernen samt rapportere om sit arbejde til bestyrelsen. 4. It risikostyring Koncernens eksponering over for It operationelle risici skal overvåges og rapporteres til ledelsen. Håndteringen af It operationelle risici skal overholde og understøtte koncernens retningslinjer for håndtering af operationelle risici på tværs af koncernen. De It operationelle risici identificeres og ejes primært af 1st line. Dermed placeres ansvaret for risikostyring hos de 1st line funktioner, der har mest indsigt i og er tættest på den givne risiko. Dette betyder, at de har ansvar for: at håndtere risici, at overvåge udviklingen af risici, at sikre sig, at de rette kontroller er til stede og udføres for at reducere risiko og konsekvenser, samt at iværksætte initiativer til risikoreduktion. 2 nd line skal understøtte 1 st line i at overholde deres ansvar ved at bistå med rammeværk, metoder, processer og konsultation, som kan vejlede 1st lines risikohåndtering. Ydermere skal 2nd line overvåge og kontrollere 1st lines håndtering af risici og sikkerhedsniveauet, herunder være særligt opmærksomme på håndteringen af top risici og verificere kontrollers operationelle udførelse og effektiviteten af kontrollerne. Metode for håndtering af top risici skal indebære vurdering af den iboende risiko og residual risiko. For risikoscenarier med høj iboende risiko, skal der være en stillingtagen til, i hvor høj grad kontrollernes effektivitet skal verificeres. 5. Outsourcing Ved outsourcing, herunder videreoutsourcing, til eksterne leverandører skal IT-sikkerhedsniveauet for Jyske Bank opretholdes. Dette er ensbetydende med at sikkerhedsprincipperne i Sikkerhedspolitikken skal efterleves. Enhver outsourcing, såvel af væsentlige som ikke-væsentlige aktivitetsområder, skal registreres centralt for at der løbende kan føres kontrol med leverandørernes IT-sikkerhedsniveau. 6. Sikkerhedsprincipper Sikkerhedspolitikken understøttes af en række sikkerhedsprincipper, som skal uddybes i supplerende retningslinjer og forretningsgange. De vigtigste principper for overholdelse af denne politik beskrives nedenstående: 3
4 1. Awareness Løbende information og uddannelse til koncernens medarbejdere omkring It sikkerhed skal sikre en bæredygtig sikkerhedskultur. Der skal foretages vurdering om målrettet It sikkerhedstræning for medarbejdere, som er i berøring med risikofyldte aktiviteter. 2. Funktionsadskillelse Funktionsadskillelse skal implementeres og overvåges i tilstrækkeligt omfang til at sikre adskillelse mellem It drift, systemudvikling og forretningsførelse. Funktionsadskillelsen skal sikre, at risikoen for enkelte funktioner eller personer, der udfører væsentlige handlinger, der kan kompromittere sikkerheden, minimeres. 3. Risikovurdering Der skal foreligge risikovurderinger til grund for centrale vurderinger og beslutninger, ligesom der skal foreligge risikovurderinger af væsentlige systemer for bankens drift. Risikovurderingerne skal give tilstrækkeligt overblik over It operationelle risici samt imødegående kontrol- og sikkerhedsforanstaltninger. Datakilder, som giver indsigt i It risici, skal defineres og indgå som del af risikovurderingerne, således It risikostyringsprocessen kontinuerligt optimeres på baggrund af faktiske fejl, problemer og svagheder. 4. Beskyttelse af It aktiver It aktiver skal beskyttes mod fysiske og logiske trusler i betryggende omfang. Sikkerhedsvurderinger og risikovurderinger skal udføres for at afdække, hvorvidt It aktiver beskyttes i betryggende omfang i forhold til koncernens risikoappetit, samt i henhold til lovgivning om persondatabeskyttelse, hvor risici i forhold til datasubjektet (individet) skal vurderes. Driften og effektiviteten af de væsentligste foranstaltninger til at beskytte It aktiver skal opretholdes og i væsentlig omfang verificeres. It aktiver skal være sikret af tilstrækkelige logiske og fysiske adgangskontroller. 5. Adgange til informationer og systemer Adgangskontroller skal overvåges og logges på en sådan måde, at sporing og efterforskning i forbindelse med sikkerhedsbrud kan foregå i tilfredsstillende omfang. Privilegerede brugere skal håndteres særligt restriktivt i forhold til generelle brugere. Der skal foreligge klassifikationsmodeller for systemer og data, som giver et tilstrækkeligt overblik over de mest væsentlige It aktiver og adgangene hertil. 6. Systemudvikling og vedligeholdelse af systemer Der skal forefindes procedurer, der sikrer, at risici forbundet med udvikling, konfiguration og vedligeholdelse af nye og ændrede systemer identificeres, vurderes og håndteres. 4
5 Ændringsstyringsprocedurer skal foreligge i en sådan form, at væsentlige ændringer samt risici forbundet med ændringer og idriftsættelser identificeres, vurderes og håndteres proaktivt som integreret del af udviklingsfasen, og afprøves inden de realiseres i produktion. Behovet for 2-leddet godkendelse vurderes ved anvendelse af processer, der er underlagt funktionsadskillelsesprincipperne. Det er et krav, at der udarbejdes og vedligeholdes dokumentation for alle væsentlige systemer og konfigurationer, samt at ændringer hertil risikovurderes og dokumenteres på en måde, der sikrer sporbarhed. 7. Driftsafvikling Der skal til enhver tid være anskaffet tilstrækkelige It ressourcer til at opretholde en sikker drift, herunder personel, maskinel og faciliteter. Procedurer for hændelsesstyring og problemstyring skal sikre, at It risici identificeres, vurderes og håndteres, og indgår som datakilder i risikostyringsprocessen. Driften skal afvikles i overensstemmelse med de i denne It sikkerhedspolitik angive krav, samt underbyggende metodebeskrivelser, politikker, retningslinjer og forretningsgange. 8. Backup og sikkerhedskopiering Der skal foretages sikkerhedskopiering og backup af systemer og data. Hyppigheden for sikkerhedskopiering og backup af systemer og data skal baseres på baggrund af risikovurderinger, der inddrager deres klassifikation. Sikkerhedskopier og backups skal opbevares sikkert og være utilgængelige for uautoriserede personer og brugere. 9. Beredskab Beredskabsmålsætningen skal som minimum fremgå i It beredskabsplanen. Beredskabsmålsætningen skal sætte mål for genetablering af normal drift i tilfælde af fejl, nedbrud, tab af data eller systemer, samt hel eller delvis ødelæggelse af bygninger, maskinel og kommunikationsveje. It beredskabsplanen skal beskrive, hvorledes beredskabsorganisationen er sammensat, samt i hvilke tilfælde den etableres. It beredskabsplanen skal understøttes af nødplaner, der sikrer, at driften af forretningskritiske processer i et acceptabelt omfang kan opretholdes i tilfælde af systemnedbrud, fejl og forstyrrelser i It anvendelsen. Forretningskritiske systemer og data skal i overvejende grad være understøttet af flercenterdrift, således at tilgængeligheden sikres i tilfælde af nedbrud ved et datacenter. 5
6 Det skal ud fra en risikovurdering fastslås, at den logiske og geografiske afstand mellem driftscentrene er tilstrækkelig til, at en hændelse, der sætter ét driftscenter ud af drift, ikke kan ramme øvrige driftscentre samtidigt. Der skal afholdes regelmæssige beredskabstests og øvelser af It beredskabsplanen både internt og i samarbejde med væsentlige leverandører. Erfaringer fra beredskabstests og øvelser skal indgå som inputgivende datakilder i It risikostyringen, herunder fastsættelsen og evalueringen af kontrol- og sikkerhedsforanstaltninger. Der skal fastsættes regler for, hvordan beredskabshændelser, tests og øvelser afrapporteres. Beredskabshændelser, tests og øvelser skal rapporteres til Jyske Banks bestyrelse og direktion. Jyske Banks bestyrelse skal godkende beredskabsmålsætningen ved væsentlige ændringer, og minimum én gang årligt, så det sikres, at den er i overensstemmelse med koncernens risikoappetit. 10. Kvalitetssikring Der skal udarbejdes procedurer, der sikrer tilstrækkelig kvalitetssikring af risikovurderinger, ændringer og den generelle It anvendelse. Kvalitetssikringen skal dokumenteres og logges i et omfang, der muliggør opdagelse og fejlsøgning i forbindelse med adgangsstyring, ændringsstyring, risikovurderinger og sikkerhedsbrud. 11. Brud på it sikkerhedspolitik og sikkerhedsregler I tilfælde af alvorlige brud på Sikkerhedspolitikken skal direktion og bestyrelse underrettes, og der skal reageres i forhold til omfanget af bruddet. Forholdsregler og sanktionsmuligheder i tilfælde af brud på Sikkerhedspolitikken, samt underbyggende metodebeskrivelser, rammeværk, retningslinjer og forretningsgange skal nedfældes. 12. Rapportering, kontrol og opfølgning Der skal implementeres og vedligeholdes operationelle- og verifikationskontroller, der sikrer, at It sikkerhedsniveauet er acceptabelt og modsvarer det aktuelle trussels- og It risikolandskab. Der skal løbende ske opfølgning på, hvorvidt Sikkerhedspolitikken og dens underbyggende rammeværker, metodebeskrivelser og forretningsgange i tilstrækkelig grad sikrer, at det ønskede It sikkerhedsniveau opretholdes. Bestyrelse og direktion skal løbende underrettes om It sikkerhedsniveauet i form af rapportering. 13. Dispensationer fra Sikkerhedspolitikken Der skal forefindes en centraliseret og dokumenteret dispensationsstyringsproces, som sikrer struktureret og organiseret logning af dispensationer for Sikkerhedspolitikken, dens principper eller de underliggende retningslinjer. Dispensationer skal tildeles på et risikobaseret grundlag, og altid være tidsbegrænsede. 6
7 Dispensation for sikkerhedspolitikken, dens principper eller underliggende retningslinjer kan bevilges af bestyrelsen, af direktionsmedlemmer og af afdelingsdirektøren for It sikkerhed og risikostyring. Dispensationer skal dog altid godkendes af den eller de personer, der påtager sig ansvaret for risikoen forbundet med dispensationen. It sikkerhed og risikostyring er ansvarlig for behandlingen af dispensationsanmodninger, herunder at de indeholder en tilstrækkelig risikovurdering, som understøtter beslutning på et oplyst grundlag. Rapportering omkring dispensationer varetages af It sikkerhed og risikostyring. 7
Bekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.
Bekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl. 1 I bekendtgørelse nr. 1026 af 30. juni 2016 om ledelse og styring af pengeinstitutter m.fl., som ændret ved
Læs mereIT risici og compliance. Hvad driver mig? Det gode råd med på vejen?
IT risici og compliance Hvad driver mig? Det gode råd med på vejen? Compliance Regelværk inspiration Trusler/scenarier Risikostyring IT risici Risici/kontroller Security compliance Lille tilbageblik Agenda
Læs mereSådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed
Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Den finansielle sektor er i dag 100% afhængig af, at it-løsninger er kørende og herudover er sikret i tilfælde af, at noget
Læs mereIT- og informationssikkerheds- politik (GDPR) For. Kontrapunkt Group
IT- og informationssikkerheds- politik (GDPR) For Kontrapunkt Group Versionshistorik Version Beskrivelse Dato Udarbejdet af V. 0.1 Initiel draft 26 Oktober 2018 Kontrapunkt Group V.0.2 1. Edition 13. November
Læs mereRingkøbing-Skjern Kommune. Informationssikkerhedspolitik
Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...
Læs mereInformationssikkerhedspolitik
Holbæk Kommunes Informationssikkerhedspolitik 2013 Informationssikkerhedspolitik Indhold 1. Indledning 3 2. Formål 3 3. Holdning og principper 4 4. Omfang 4 5. Informationssikkerhedsniveau 5 6. Organisering
Læs mereRingkøbing-Skjern Kommune. Informationssikkerhedspolitik
Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...
Læs mereInformationssikkerhedspolitik for Horsens Kommune
Informationssikkerhedspolitik for Horsens Kommune Senest opdateret januar 2016 Indholdsfortegnelse 1. FORMÅL... 3 2. OMFANG OG SIKKERHEDSNIVEAU... 3 3. HOVEDMÅLSÆTNINGER... 4 4. ORGANISERING OG ANSVAR...
Læs mereLedelsen har sikret, at der er etableret en hensigtsmæssig itsikkerhedsorganisation
Revisionsrapport om it-revision af Sundhedsdatanettet (SDN) 05 J.nr. 05-6070-7 5. januar 06 Ledelsens styring af it-sikkerheden Ikke opfyldt, Delvist opfyldt, Opfyldt. Nr. Kontrolmål Observation Risiko
Læs mereOverordnet Informationssikkerhedspolitik
Overordnet Informationssikkerhedspolitik Denne politik er godkendt af byrådet d. 4. juni 2018 Ved udskrivning af politikken skal du være opmærksom på, at du anvender senest godkendte version. Acadre sagsnr.
Læs mereLinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK
GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK LinkGRC A Nordic leader in all aspects of Governance, Risk and Compliance Virksomhedens informationssikkerhedspolitik er i sin enkelhed et modsvar til en virksomheds
Læs merePolitik <dato> <J.nr.>
Side 1 af 5 Politik Informationssikkerhedspolitik for 1. Indledning Denne informationssikkerhedspolitik er den overordnede ramme for informationssikkerheden hos .
Læs mereFaxe Kommune. informationssikkerhedspolitik
Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en
Læs merePræsentation af Curanets sikringsmiljø
Præsentation af Curanets sikringsmiljø Version: 1.1 Dato: 1. marts 2018 Indholdsfortegnelse Indledning: side 3 Organisering af sikkerhed: side 3 Politikker, procedurer og standarder: side 3 Medarbejdersikkerhed:
Læs mereDS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484
DS 484:2005 Standard for informationssikkerhed -Korte uddrag fra DS484 Informationssikkerhedsstrategi Ledelsen skal godkende en skriftlig informationssikkerhedspolitik, som skal offentliggøres og kommunikeres
Læs mereIT-sikkerhedspolitik S i d e 1 9
IT-sikkerhedspolitik S i d e 1 9 Indhold 1 Læsevejledning... 3 2 Informationssikkerhedspolitik... 3 2.1 INDLEDNING... 3 2.2 SIKKERHEDSNIVEAU... 4 2.3 HOLDNINGER OG PRINCIPPER... 5 2.4 HOVEDMÅLSÆTNINGER
Læs mereOverordnet It-sikkerhedspolitik
Overordnet It-sikkerhedspolitik Denne politik er godkendt af byrådet d. x. måned 2014 Ved udskrivning af politikken skal du være opmærksom på, at du anvender senest godkendte version. Acadre sags nr. 14-8285
Læs mereBilag 1 Databehandlerinstruks
Bilag 1 Databehandlerinstruks 1 1. Databehandlerens ansvar Databehandling omfattet af Databehandleraftalen skal ske i overensstemmelse med denne instruks. 2. Generelt 2.1 Databehandleren skal som minimum
Læs merePSYKIATRIFONDENS Informationssikkerhedspolitik
PSYKIATRIFONDENS Informationssikkerhedspolitik Indhold Indledning... 3 Formål... 3 Omfang og ansvar... 3 Sikkerhedsniveau... 4 Beredskab... 4 Sikkerhedsbevidsthed... 5 Brud på informationssikkerheden...
Læs mere1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet "informationer"? 2
Indhold 1 Informationssikkerhedspolitik 2 1.1 Hvorfor vil vi sikre vores informationer? 2 1.2 Hvad dækker begrebet "informationer"? 2 2 Principper 4 2.1 Styret af KU's strategiske behov 4 2.2 Implementering
Læs mereInformationssikkerhedspolitik. Frederiksberg Kommune
Informationssikkerhedspolitik Frederiksberg Kommune Indledning Informationssikkerhedspolitikken er den overordnede ramme for beskyttelse af information i Frederiksberg Kommune. Kommunen behandler oplysninger
Læs mereInformationssikkerhedspolitik. for Aalborg Kommune
Informationssikkerhedspolitik for Aalborg Kommune Indhold Formål... 2 Gyldighedsområde... 2 Målsætning... 2 Sikkerhedsniveau... 3 Organisation og ansvarsfordeling... 3 Kontrol... 4 Sikkerhedsbrud og sanktionering...
Læs mereOverordnet it-sikkerhedspolitik for Rødovre Kommune
Overordnet it-sikkerhedspolitik for Rødovre Kommune Denne politik er godkendt af kommunalbestyrelsen januar 2016. Og træder i kraft januar 2016. Ved udskrivning af politikken skal du være opmærksom på,
Læs mereIT-sikkerhedspolitik. for Social- og Sundhedsskolen Esbjerg
IT-sikkerhedspolitik for Social- og Sundhedsskolen Esbjerg Indhold IT-sikkerhedspolitik... 2 Formål... 2 Grundprincipper for sikkerhedsarbejdet... 2 Funktionsadskillelse og adgangsstyring... 2 Sikkerhedsforanstaltninger...
Læs mereIt-sikkerhedspolitik for Farsø Varmeværk
It-sikkerhedspolitik for Farsø Varmeværk Introduktion Denne it-sikkerhedspolitik, som er besluttet af bestyrelsen, udgør den overordnede ramme for at opretholde it-sikkerheden hos Farsø Varmeværk. Hermed
Læs mereInformationssikkerhedspolitik Frederiksberg Kommune
Maj 2018 Informationssikkerhedspolitik Frederiksberg Kommune Indledning Informationssikkerhedspolitikken er den overordnede ramme for beskyttelse af information i Frederiksberg Kommune. Kommunen behandler
Læs mereVer. 1.0 GENTOFTE KOMMUNES INFORMATIONSSIKKERHEDSPOLITIK
GENTOFTE KOMMUNES INFORMATIONSSIKKERHEDSPOLITIK 1 INDHOLDSFORTEGNELSE 30-04-2018 1. Indledning... 3 1.1. Formål og målsætning... 3 1.2. Gyldighedsområde... 3 1.3. Godkendelse... 3 1.4. Gentofte Kommunes
Læs mereInformationssikkerhedspolitik for <organisation>
1 Informationssikkerhedspolitik for 1. Formål informationssikkerhedspolitik beskriver vigtigheden af arbejdet med informationssikkerhed i og fastlægger
Læs mereAssens Kommune Sikkerhedspolitik for it, data og information
Assens Kommune Sikkerhedspolitik for it, data og information Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Holdninger og principper... 4 4. Omfang... 4 5. Sikkerhedsbevidsthed,
Læs mereDatabeskyttelsespolitik for DSI Midgård
Databeskyttelsespolitik for DSI Midgård Overordnet organisering af personoplysninger DSI Midgård ønsker som hovedregel at anvende databehandlersystemer og opbevaring af personoplysninger hos eksterne leverandører,
Læs mereIndholdsfortegnelse Indledning Formål Omfang Holdninger og principper... 4
Halsnæs Kommune Informationssikkerhedspolitik 2012 Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Omfang... 4 4. Holdninger og principper... 4 5. Sikkerhedsbevidsthed,
Læs mereProcedure for tilsyn af databehandleraftale
IT Projekt og Udviklingsafdeling Dato:7.2.2017 Procedure for tilsyn af databehandleraftale Reference til Retningslinjer for Informationssikkerhed: Afsnit 14.5 (Databehandleraftaler). Ved ibrugtagning af
Læs mereHvor meget fylder IT i danske bestyrelser. 7. september 2012 Torben Nielsen
Hvor meget fylder IT i danske bestyrelser Torben Nielsen Baggrund 25 år i finansielle sektor 15 år i Danmarks Nationalbank Bestyrelsesposter i sektorselskaber (VP-securities, NETS, BKS) Professionelt bestyrelsesmedlem
Læs mereVi har etableret et brancheledende informationssikkerhedsprogram. vores kunder den bedste beskyttelse og højeste grad af tillid.
Som hostingleverandør er vores vigtigste sikkerhedsopgave at passe godt på dine data og sørge for, at du til enhver tid lever op til sikkerhedskravene fra dine kunder. Sikkerhed er derfor et område, som
Læs mereSOPHIAGÅRD ELMEHØJEN
Databeskyttelsespolitik for Sophiagård Elmehøjen Overordnet organisering af personoplysninger Sophiagård Elmehøjen ønsker som hovedregel at anvende databehandlersystemer og opbevaring af personoplysninger
Læs mereStatus for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2
Status for ændringer Version Dato Navn Bemærkning 1.0 24-04-2007 Vedtaget i Regionsrådet 1.1 13-02-2012 IMT-Informationssikkerhed Tilpasning af terminologi 1.2 15-10-2012 IMT-Informationssikkerhed Rettelse
Læs mereInformationssikkerhedspolitik For Aalborg Kommune
Click here to enter text. Infor mationssi kkerhedspoliti k 2011 «ed ocaddressci vilcode» Informationssikkerhedspolitik For Aalborg Kommune Indhold Formål... 3 Gyldighedsområde... 3 Målsætning... 3 Sikkerhedsniveau...
Læs mereHjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune
Hjørring Kommune Sag nr. 85.15.00-P15-1-17 12-03-2018 Side 1. Overordnet I-sikkerhedspolitik for Hjørring Kommune Indledning Informationssikkerhedspolitikken (I-sikkerhedspolitikken) udgør den overordnede
Læs mereOverordnet organisering af personoplysninger
Databeskyttelsespolitik for Hertha Bofællesskaber & Værksteder Overordnet organisering af personoplysninger Hertha Bofællesskaber & Værksteder ønsker som hovedregel, at anvende digitale databehandlingssystemer
Læs mereSikkerhed og Revision 2015
Sikkerhed og Revision 2015 Erfaringer fra It-tilsynet med virksomhedernes brug af risikovurderinger REAL kontoret 3. sep. 2015 Velkommen til Århusgade! Fra Finanstilsynets hjemmeside Agenda Hjemmel It-tilsynets
Læs mereOverordnet organisering af personoplysninger
Databeskyttelsespolitik for Friskolen og Idrætsefterskolen UBBY Overordnet organisering af personoplysninger Friskolen og Idrætsefterskolen UBBY ønsker som hovedregel, at anvende digitale databehandlingssystemer
Læs mereIt-revision af Sundhedsdatanettet 2015 15. januar 2016
MedCom Forskerparken 10 5230 Odense M Landgreven 4 1301 København K Tlf. 33 92 84 00 rr@rigsrevisionen.dk www.rigsrevisionen.dk It-revision af Sundhedsdatanettet 2015 15. januar 2016 1. Rigsrevisionen
Læs mereKOMBIT sikkerhedspolitik
KOMBIT sikkerhedspolitik Indholdsfortegnelse INDLEDNING 3 DEL 1: ORGANISERING, ROLLER OG ANSVAR 4 DEL 2: POLITIK FOR INFORMATIONSSIKKERHED 5 DEL 3: RETNINGSLINJER OG KONTROLMÅL TIL LEVERANDØREN 6 5. INFORMATIONSSIKKERHEDSPOLITIKKER
Læs merefrcewtfrhousf(wpers ml
frcewtfrhousf(wpers ml PricewaterhouseCoopers Statsautoriseret Revisionsaktieselskab Nobelparken Jens Chr. Skous Vej I 8000 Árhus C www.pwc.dk Telefon 89 32 00 00 Telefax 89 32 00 IO Erklæring vedrørende
Læs mereBekendtgørelse om ledelse og styring af Lønmodtagernes Dyrtidsfond
Bekendtgørelse om ledelse og styring af Lønmodtagernes Dyrtidsfond I medfør af 4 b, stk. 5, 4 c, stk. 2 og 14 a, stk. 2, i lov om Lønmodtagernes Dyrtidsfond, jf. lovbekendtgørelse nr. 1109 af 9. oktober
Læs mereSikkerhedsvurderinger
Sikkerhedsvurderinger CERTA har specialiseret sig i at yde uafhængig og sagkyndig bistand til virksomheder i forbindelse med håndteringen af sikkerhedsmæssige trusler og risici. Et væsentlig element i
Læs mereKoncessionskontrakt vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Kultur- og Fritidsforvaltningen.
vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Bilag 9b IT-sikkerhedsdokumenter Bilag 9b 1 1 INDHOLDSFORTEGNELSE 1. IT-sikkerhedspolitik for Københavns Kommune
Læs mereForfatter: Carsten Stenstrøm Mail: Telefon: IT Amerika Plads København Ø
spolitik 28.02.2017 Banedanmark IT Amerika Plads 15 2100 København Ø www.banedanmark.dk Forfatter: Carsten Stenstrøm Mail: cstr@bane.dk Telefon: 41881976 Indhold Side 1 spolitik 4 1.1 Indledning 4 1.2
Læs mereDatabeskyttelsespolitik
Databeskyttelsespolitik Overordnet organisering af personoplysninger Den Miljøterapeutiske Organisation herunder Dagbehandlingsstilbuddet Hjembækskolen (herefter tilsammen benævnt som Den Miljøterapeutiske
Læs mereEksempel på KOMBITs instruks til ISAE 3000 revisionserklæring
Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring KOMBIT har som indkøbscentral på vegne af landets kommuner indgået aftale med [leverandørnavn] (herefter Leverandøren ) om udvikling, drift,
Læs mereSkanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017
Skanderborg Kommune ISMS-regler Informationssikkerhedsregler for hvert krav i ISO 27001:2017 02-04-2018 Indholdsfortegnelse 4 Organisationens kontekst 1 4.1 Forståelse af organisationen og dens kontekst
Læs mereINFORMATIONS- SIKKERHEDSPOLITIK
Halsnæs Kommune INFORMATIONS- SIKKERHEDSPOLITIK Vedtaget af Halsnæs Byråd 202. 25-09-207 FORSIDE Halsnæs Kommune Informationssikkerhedspolitik 202 INDLEDNING Denne informationssikkerhedspolitik udgør den
Læs mereIT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser
IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser INDHOLDSFORTEGNELSE 1. Baggrund og formål... 2 2. Ansvarsfordeling... 2 2.1 Jobcenterchefens ansvar... 2 2.2 Gensidig informationspligt... 3 3. Krav til
Læs mereIT sikkerhedspolitik for Business Institute A/S
IT sikkerhedspolitik for Business Institute A/S Indholdsfortegnelse OFFENTLIG SIKKERHEDSPOLITIK FOR BUSINESS INSTITUTE... 2 1. ANVENDELSESOMRÅDE... 2 Indledning og formål... 2 Roller og ansvarsområder...
Læs mereIT-sikkerhedspolitik for
Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs
Læs merePolitik for informationssikkerhed 1.2
Fredensborg Kommune Politik for informationssikkerhed 1.2 23-11-2017 Informationssikkerhedspolitik for Fredensborg Kommune Informationssikkerhedspolitik Sikkerhedspolitikken skal til enhver tid understøtte
Læs mereBekendtgørelse om ledelse og styring af Lønmodtagernes Dyrtidsfond
BEK nr 1389 af 24/11/2016 (Gældende) Udskriftsdato: 2. december 2016 Ministerium: Erhvervs- og Vækstministeriet Journalnummer: Erhvervs- og Vækstmin., Finanstilsynet, j.nr. 162-0062 Senere ændringer til
Læs mereNOTAT. Køge Kommune It-sikkerhed Overordnede retningslinjer ITafdelingen. Fællesforvaltningen. Dato Sagsnummer Dokumentnummer
NOTAT Fællesforvaltningen Dato Sagsnummer Dokumentnummer ITafdelingen Køge Rådhus Torvet 1 4600 Køge www.koege.dk Tlf. 56 67 67 67 Fax 56 65 54 46 Køge Kommune It-sikkerhed Overordnede retningslinjer 2010
Læs mereInformationssikkerhedspolitik for Sønderborg Kommune
Informationssikkerhedspolitik for Sønderborg Kommune Denne politik er godkendt af Byrådet d. 4. februar 2015 og træder i kraft d. 1. marts 2015 Seneste version er tilgængelig på intranettet 1/8 Indledning
Læs merePolitik for Datasikkerhed
Politik for Datasikkerhed i Billund Vand & Energi A/S Oktober 2015 Indhold 1 Indledning... 2 1.1 Værdier... 2 1.2 Data... 2 2 Formål... 3 3 Holdninger og principper... 4 4 Omfang... 5 5 Sikkerhedsniveau...
Læs mereInformationssikkerhedspolitik for Region Midtjylland
Regionshuset Viborg Regionssekretariatet Skottenborg 26 Postboks 21 DK-8800 Viborg Tel. +45 8728 5000 kontakt@rm.dk www.rm.dk Informationssikkerhedspolitik for Region Midtjylland 1. Indledning Denne informationssikkerhedspolitik
Læs mereRegion Hovedstadens Ramme for Informationssikkerhed
Region Hovedstadens Ramme for Informationssikkerhed Indhold Region Hovedstadens ramme for Informationssikkerhed... 3 1 Formål... 3 2 Gyldighedsområde/omfang... 4 3 Målsætninger... 4 4 Informationssikkerhedsniveau...
Læs mereOVERORDNET IT-SIKKERHEDSPOLITIK
OVERORDNET IT-SIKKERHEDSPOLITIK Indholdsfortegnelse 1. Indledning....3 2. Formål...3 3. Sikkerhedspolitik...3 4. Dækningsormåde...4 5. Sikkerhedsniveau....4 6. Organisation og ansvar...4 7. Opfølgning...5
Læs mereVejledning om funktionsbeskrivelse for intern revision
Vejledning om funktionsbeskrivelse for intern revision Eksempel på funktionsbeskrivelse for intern revision Version 1.0 Indhold Forord... 3 Funktionsbeskrivelse for intern revision... 4 1. Arbejdets formål
Læs mereDATABESKYTTELSESPOLITIK
DATABESKYTTELSESPOLITIK for Opholdsstedet Bustrup Opholdsstedet Udsigten Opholdsstedet Jupiter Dagskolen Bustrup 1. Overordnet håndtering af personoplysninger Bustrup benytter både eksterne løsninger såvel
Læs mereLovtidende A 2010 Udgivet den 22. december 2010
Lovtidende A 2010 Udgivet den 22. december 2010 15. december 2010. Nr. 1576. Bekendtgørelse om ledelse og styring af Lønmodtagernes Dyrtidsfond I medfør af 4 b, stk. 5, 4 c, stk. 2 og 14 a, stk. 2, i lov
Læs mereSystemforvaltning for SDN Temadag om SDN og VDX den 9. november Peder Illum, konsulent,
Systemforvaltning for SDN Temadag om SDN og VDX den 9. november 2016 Peder Illum, konsulent, pi@medcom.dk Agenda Vi fik besøg af Rigsrevisionen.. Hvordan forløb det, hvordan var det, og hvad blev resultatet?
Læs mereÅrshjul. Kort sagt beskrives og planlægges mange af de opgaver, der efterfølgende kontrolleres/følges op på i årshjulet, i årsplanen.
Årshjul Formål For at styre informationssikkerheden og for at sikre, at ledelsen har de rette styringsværktøjer, gentages en række aktiviteter løbende år efter år, men andre er enkeltstående aktiviteter.
Læs mereInformationssikkerhedspolitik for Vejen Kommune
Informationssikkerhedspolitik for Vejen Kommune Denne politik er godkendt af byrådet d. xx. Og træder i kraft d. xx. Seneste version er tilgængelig på intranettet. Indledning Vejen Byråd fastlægger med
Læs mereHalsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune.
Informationssikkerhedspolitik Oktober 2015 Side 1 af 5 sider Baggrund Ved informationssikkerhed forstås de samlede foranstaltninger til at sikre Fortroligheden, Tilgængeligheden og Integriteten på kommunens
Læs mereLovtidende A 2010 Udgivet den 22. december 2010
Lovtidende A 2010 Udgivet den 22. december 2010 15. december 2010. Nr. 1578. Bekendtgørelse om ledelse og styring af Arbejdsmarkedets Tillægspension I medfør af 23, stk. 12, 23 b, stk. 2, og 32 a, stk.
Læs mereMedComs informationssikkerhedspolitik. Version 2.2
MedComs informationssikkerhedspolitik Version 2.2 Revisions Historik Version Forfatter Dato Bemærkning 2.2 20.02.17 MedComs Informationssikkerhedspolitik Side 2 af 7 INDHOLDSFORTEGNELSE 1 INDLEDNING...
Læs mereDatabeskyttelsespolitik for Netværket Smedegade, en social institution, der primært hoster data og programmer hos databehandlere
Databeskyttelsespolitik for Netværket Smedegade, en social institution, der primært hoster data og programmer hos databehandlere Overordnet organisering af personoplysninger Netværket Smedegade ønsker
Læs mereVersion: 1.0 Maj Informationssikkerhedspolitik for Struer Statsgymnasium
Version: 1.0 Maj 2019 Informationssikkerhedspolitik for Struer Statsgymnasium Indholdsfortegnelse 1.1 Indledning:... 1 1.2 Omfang og ansvar:... 1 1.3 Sikkerhedsniveau:... 1 1.4 Sikkerhedsbevidsthed:...
Læs mereFredericia Kommunes Informationssikkerhedspolitik 1 FREDERICIA KOMMUNE AFDELING TITEL PÅ POWERPOINT
Fredericia Kommunes Informationssikkerhedspolitik 2018 1 FREDERICIA KOMMUNE AFDELING TITEL PÅ POWERPOINT 12-11-2018 Indholdsfortegnelse Indledning Hvad og hvem er omfattet? Ansvar og konsekvens Vision,
Læs mereBallerup Kommune Politik for databeskyttelse
BALLERUP KOMMUNE Dato: 31. maj 2018 Ballerup Kommune Politik for databeskyttelse 85.15.00-P30-1-18 Politik for databeskyttelse i Ballerup Kommune Denne databeskyttelsespolitik er den overordnede ramme
Læs mereIt-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner.
Juni 2011 1 Indhold 1. Indledning 3 2. Formål 4 3. Omfang 5 4. It-sikkerhedsniveau 5 5. It-sikkerhedsbevidsthed 6 6. Overtrædelse af it-sikkerhedspolitikken 6 7. Udarbejdelse og ikrafttrædelse 6 2 1 Indledning
Læs mereOverordnet Informationssikkerhedsstrategi. for Odder Kommune
Overordnet Informationssikkerhedsstrategi for Odder Kommune Indhold Indledning...3 Mål for sikkerhedsniveau...3 Holdninger og principper...4 Gyldighed og omfang...5 Organisering, ansvar og godkendelse...5
Læs mereHovmosegaard - Skovmosen
Databeskyttelsespolitik for Hovmosegaard STU og bostedet Skovmosen, sociale institutioner, der primært hoster data og programmer hos databehandlere. Overordnet organisering af personoplysninger Hovmosegaard
Læs mereIT-sikkerhedspolitik for Lyngby Tandplejecenter
IT-sikkerhedspolitik for Lyngby Tandplejecenter 1 Indledning Formål med IT-sikkerhedspolitikken Lyngby tandplejecenters IT-sikkerhedspolitik er vores sikkerhedsgrundlag og vores fælles forståelse af, hvad
Læs mereRetningslinjer for håndtering af sikkerhedsbrud vedrørende personoplysninger
Retningslinjer for håndtering af sikkerhedsbrud vedrørende personoplysninger R E T N I N G S L I N J E R F O R H Å N D T E R I N G A F S I K K E R H E D S B R U D V E D R Ø R E N D E P E R S O N O P L
Læs mereDE 4 NØGLEFUNKTIONER UNDER SOLVENS II A PUBLICATION BY FCG THE FINANCIAL COMPLIANCE GROUP
DE 4 NØGLEFUNKTIONER UNDER SOLVENS II A PUBLICATION BY FCG THE FINANCIAL COMPLIANCE GROUP Made simple Solvens II udgør den mest omfattende reform af de fælleseuropæiske regler for forsikringsselskaber,
Læs mereVejledning i informationssikkerhedspolitik. Februar 2015
Vejledning i informationssikkerhedspolitik Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske til:
Læs mereForslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed
Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.
Læs mereHøring over bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.
Høring over bekendtgørelse om ledelse og styring af pengeinstitutter m.fl. Finanstilsynet har i dag sendt udkast til bekendtgørelse om ledelse og styring af pengeinstitutter m.fl. i høring. Bekendtgørelsen
Læs mereBilag marts 2004 E Glentevej København NV. Til orientering for: Kt.chef Niels R. Korsby Videnskabsministeriet
Bilag 9 IT-universitetet i København Glentevej 67 2400 København NV 11. marts 2004 E2 2004-1451-1 MK 33 92 86 32 Til orientering for: Kt.chef Niels R. Korsby Videnskabsministeriet 1. Rigsrevisionen har
Læs mereR E T N I N G S L I N J E R F O R H Å N D T E R I N G A F S I K K E R H E D S B R U D V E D R Ø R E N D E P E R S O N O P L Y S N I N G E R
R E T N I N G S L I N J E R F O R H Å N D T E R I N G A F S I K K E R H E D S B R U D V E D R Ø R E N D E P E R S O N O P L Y S N I N G E R Afsnit 1: Indledning... side 1 Afsnit 2: Generelt om sikkerhedsbrud...
Læs mereFront-data Danmark A/S
Front-data Danmark A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Hostingcenter. December 2010 1. erklæringsår R, s Kalvebod Brygge 45, 2., 1560
Læs mereIT-SIKKERHEDSPOLITIK UDKAST
IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens
Læs merePolitik for Informationssikkerhed i Arbejdsmarkedets Tillægspension
Politik for Informationssikkerhed i Arbejdsmarkedets Tillægspension 1 Formål 1.1 Fastsættelsen af en bestyrelsesvedtaget politik for Informationssikkerhed har som formål at fastlægge de overordnede strategiske
Læs mereR E T N I N G S L I N J E R F O R H Å N D T E R I N G A F S I K K E R H E D S B R U D V E D R Ø R E N D E P E R S O N O P L Y S N I N G E R
R E T N I N G S L I N J E R F O R H Å N D T E R I N G A F S I K K E R H E D S B R U D V E D R Ø R E N D E P E R S O N O P L Y S N I N G E R 1 INDLEDNING 1.1 Disse retningslinjer vedrører UBSBOLIG A/S (herefter
Læs mereOffentliggørelse af oplysninger vedrørende overholdelse af ledelseskrav.
Offentliggørelse af oplysninger vedrørende overholdelse af ledelseskrav. Med baggrund i 80 c i Lov om Finansiel Virksomhed skal pengeinstitutter på hjemmesiden redegøre for efterlevelse af en række centrale
Læs merePolitik for informationssikkerheddatabeskyttelse
BALLERUP KOMMUNE Dato: 31. maj 2018 Ballerup Kommune Politik for informationssikkerheddatabeskyttelse Politik for databeskyttelse i Ballerup Kommune Denne informationssikkerhedspolitikdatabeskyttelsespolitik
Læs mereIt-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015
It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat
Læs mereBilag til management letter om it-revision af Sundhedsdatanettet (SDN) hos MedCom 2018 J.nr juni 2018
Bilag til management letter om it-revision af Sundhedsdatanettet (SDN) hos MedCom 2018 J.nr. 85249 18. juni 2018 MedComs styring af SDN Vi har undersøgt, om ledelsen har etableret en effektiv styring af
Læs mereFSOR. Årsberetning 2016 FINANSIELT SEKTORFORUM FOR OPERATIONEL ROBUSTHED
FSOR FINANSIELT SEKTORFORUM FOR OPERATIONEL ROBUSTHED 3. MARTS 2017 Årsberetning 2016 I foråret 2016 tog Nationalbanken initiativ til at etablere et finansielt sektorforum for operationel robusthed også
Læs mere2. marts Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret
2. marts 2015 Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret 2014 Økonomichef Jani Hansen Langeland Kommune Fredensvej 1 5900 Langeland 2.marts 2015 Formål
Læs mereOverordnet informationssikkerhedsstrategi
Overordnet informationssikkerhedsstrategi 1/2018 2 Indhold Indledning...4 Mål for sikkerhedsniveau...5 Holdninger og principper...5 Gyldighed og omfang...6 Organisering, ansvar og godkendelse...7 Sikkerhedsbevidsthed...7
Læs mereUdkast til svar på Rigsrevisionens rapport om it-sikkerheden på SDN [Godkendt af MedComs styregruppe den 12. februar 2016]
Udkast til svar på Rigsrevisionens rapport om it-sikkerheden på SDN [Godkendt af MedComs styregruppe den 12. februar 2016] Indhold 1. Indledning... 2 2. Kommentarer til de enkelte punkter... 2 2.1. Hensigtsmæssig
Læs mereBeredskabspolitik for Dahmlos Security [OFF] Gyldig fra d INDLEDNING TILTAG FOR AT OPFYLDE POLITIKKENS FORMÅL...
BEREDSKABSPOLITIK Gyldig fra d. 01-12-2017 Indhold 1 INDLEDNING... 2 1.1 FORMÅLET MED BEREDSKABSPOLITIKKEN... 2 1.2 GYLDIGHEDSOMRÅDE... 2 1.3 VÆRDIGRUNDLAG OG PRINCIPPER... 2 2 TILTAG FOR AT OPFYLDE POLITIKKENS
Læs mere