Sikring af Microsofts cloud Infrastruktur

Størrelse: px
Starte visningen fra side:

Download "Sikring af Microsofts cloud Infrastruktur"

Transkript

1 Sikring af Microsofts cloud Infrastruktur I dette dokument introduceres læseren til Online Services Security and Compliance-teamet, som er den del af Global Foundation Services-divisionen, der står for sikkerheden i Microsofts cloud-infrastruktur. Læserne vil opnå forståelse af, hvad Microsoft cloud computing betyder i dag, og hvordan Microsoft leverer en pålidelig cloud computing-infrastruktur. Udgivet: Maj

2 Indhold Resumé... 3 Sikkerhedsudfordringer ved cloud computing... 4 Hvordan håndterer Microsoft disse udfordringer?... 5 Hvad er Microsoft cloud computing?... 6 Online Services Security and Compliance-team... 6 Trustworthy Computing hos Microsoft... 7 Beskyttelse af personlige oplysninger... 8 Sikkerhed... 9 Information Security Program... 9 Risikostyringsprocesser Styring af forretningskontinuitet Styring af sikkerhedshændelser Global Criminal Compliance Overholdelse af driftsmæssige regler og standarder En "defense-in-depth"-indfaldsvinkel Fysisk sikkerhed Netværkssikkerhed Datasikkerhed Administration af identitet og adgang Programsikkerhed Overvågning og rapportering af værtssikkerhed Konklusion Yderligere oplysninger

3 Resumé I den seneste forskning inden for nye definitioner af "Cloud", "cloud computing" og "cloud-miljø" har man forsøgt at identificere, hvad kunder forventer af cloud computing-udbydere, og at finde måder til at kategorisere, hvad disse udbydere kan tilbyde. Ideen om, at man ved at købe tjenester fra et cloud computing-miljø kan gøre det muligt for dem, der træffer de teknologiske beslutninger i virksomhederne, at spare penge og tillade virksomhederne at fokusere på deres kerneområder, er et tiltalende forslag i det nuværende økonomiske klima. Mange analytikere ser de nye muligheder for prisfastsættelse og for levering af tjenester online som værende forstyrrende for markedsforholdene. Disse markedsundersøgelser og efterfølgende dialoger mellem potentielle kunder og serviceudbydere afslører, at bestemte temaer dukker frem som mulige hindringer for en hurtig indførelse af cloud computing. Bekymringer over sikkerhed, beskyttelse af personlige oplysninger, pålidelighed og driftsmæssig styring står øverst på listen over mulige hindringer. Microsoft anerkender, at beslutningstagerne i virksomhederne har mange spørgsmål vedrørende disse problemstillinger, også et behov for at vide, hvordan de håndteres i cloud computing-miljøet hos Microsoft og konsekvenserne for egne risici og driftsmæssige beslutninger. I dette dokument demonstreres det, hvordan koordineret og strategisk brug af medarbejdere, processer, teknologier og erfaringer resulterer i fortsatte forbedringer af Microsoft cloud computing. Online Services Security and Complianceteamet (OSSC) i Global Foundation Services-divisionen (GFS) er dannet ud fra samme sikkerhedsprincipper og -processer, som dem Microsoft har udviklet gennem årelang erfaring med styring af sikkerhedsrisici i traditionelle udviklings- og driftsmiljøer. 3

4 Sikkerhedsudfordringer ved cloud computing It-branchen står over for udfordringer, der er opstået som følge af de muligheder, som cloud computing åbner op for. Microsoft har i mere end 15 år håndteret følgende udfordringer i forbindelse med levering af onlinetjenester: De nye cloud-forretningsmodeller skaber en voksende indbyrdes afhængighed mellem enheder i den offentlige og private sektor og de personer, de leverer tjenester til denne type organisationer og deres kunder vil blive stadig mere afhængige af hinanden via brug af cloud. Med disse nye afhængigheder følger gensidige forventninger om, at platformtjenester og hostede applikationer er sikre og tilgængelige. Microsoft leverer en infrastruktur, man kan have tillid til, platform, som enheder inden for den offentlige og private sektor og deres partnere kan bruge til at skabe en pålidelig oplevelse for deres brugere. Microsoft arbejder aktivt sammen med disse grupper og udviklingsmiljøet generelt for at fremme implementering af processer til risikostyring, der er centreret omkring sikkerhed. Hurtigere implementering af cloud computing, inklusive fortsat udvikling af teknologier og forretningsmodeller, skaber et dynamisk værtsmiljø, som i sig selv er en sikkerhedsudfordring hvis det skal være muligt at holde trit med væksten og forudsige fremtidige behov, er det af afgørende vigtighed, at der køres et effektivt sikkerhedsprogram. Den seneste bølge af ændringer er allerede startet i form af hurtig overgang til virtualisering og en stigende indførelse af Microsofts Software-plus-services-strategi, der kombinerer styrken og funktionaliteten i computere, mobile enheder, onlinetjenester og virksomhedssoftware. Cloud computing-platforme gør det muligt at udvikle brugerdefinerede programmer fra tredjeparter, som hostes i Microsofts cloud. Via Information Security Program til onlinetjenester, der er beskrevet mere detaljeret senere i dette dokument, bevarer Microsoft stærke interne partnerskaber mellem teams, der står for sikkerhed, produkter og levering af tjenester, med det formål at levere et pålideligt Microsoft cloud computing-miljø, mens disse ændringer finder sted. Forsøg på at infiltrere eller forstyrre online services bliver stadig mere avancerede, efterhånden som stadig flere handler og forretningsmæssige aktiviteter foregår her selvom hackere stadig søger opmærksomhed via en lang række teknikker, der omfatter domain squatting og man-in-the-middle-angreb, er der fremkommet mere avancerede, ondsindede forsøg på at hente id'er eller blokere for adgang til følsomme virksomhedsdata, sammen med et mere organiseret undergrundsmarked for stjålne data. Microsoft arbejder tæt sammen med relevante myndigheder, partnere og ligestillede i branchen og forskningsgrupper for at kunne forstå og reagere på dette trusselslandskab, der er ved at fremkomme. Derudover introduceres der i Microsoft Security Development Lifecycle, som er beskrevet senere i dokumentet, sikkerhed og beskyttelse af personlige oplysninger tidligt i udviklingsprocessen og hele vejen gennem den. Der skal tages stilling til komplekse krav til overholdelse af regler og standarder, efterhånden som nye og eksisterende tjenester leveres globalt. Overholdelse af regler og standarder, som kan være lovgivningsmæssige eller branchebestemte (i resten af dokumentet omtalt som "lovgivningsmæssige") er et yderst komplekst område. En af grundene er at hvert enkelt land kan introducere egne love, som regulerer anskaffelse og brug af onlinemiljøer. Microsoft skal være i stand til at overholde myriader af lovgivningsmæssige forpligtelser, fordi vi har datacentre i en lang række lande og tilbyder onlinetjenester til en global kundebase. Derudover pålægges der også krav fra mange brancher. Microsoft har implementeret en struktur for overholdelse af regler og standarder (beskrevet senere i dokumentet), som følges for at opnå effektiv håndtering af forskellige forpligtelser mht. overholdelse af regler og standarder, uden at dette skaber unødige byrder for virksomheden. 4

5 Hvordan håndterer Microsoft disse udfordringer? Siden MSN blev lanceret i 1994, har Microsoft opbygget og kørt onlinetjenester. GFS-divisionen håndterer cloudinfrastrukturen og -platformen til Microsofts onlinetjenester og sikrer også tilgængelighed for flere hundrede millioner kunder over hele verden døgnet rundt, alle dage. Mere end 200 af virksomhedens onlinetjenester og webportaler hostes i denne cloud-infrastruktur. Det gælder også velkendte forbrugerorienterede tjenester som Windows Live Hotmail og Live Search samt virksomhedsorienterede tjenester som Microsoft Dynamics CRM Online og Microsoft Business Productivity Online Standard Suite fra Microsoft Online Services. Uanset om en kundes personlige oplysninger er gemt på kundens egen computer eller online, eller om en organisations forretningskritiske data lagres internt eller på en hosted server og sendes via internettet, ved Microsoft, at alle disse platforme skal kunne levere en Trustworthy Computing-oplevelse. Som virksomhed er Microsoft i den enestående position at kunne levere både vejledning og teknologiske løsninger, der kan tilbyde en mere sikker onlineoplevelse. For at hjælpe kunderne til at undgå finansielle tab og andre konsekvenser af opportunistiske og målrettede onlineangreb og som en del af en urokkelig forpligtelse til Trustworthy Computing sikrer Microsoft, at de medarbejdere, processer og teknologier, der findes i virksomheden, benytter sikre aktiviteter, produkter og tjenester, som også fremmer beskyttelse af personlige oplysninger. Microsoft leverer pålidelig cloud computing via fokus på tre områder: Brug af et risikobaseret informationssikkerhedsprogram, der vurderer og prioriterer sikkerhed og driftsmæssige trusler mod virksomheden Vedligeholdelse og opdatering af et detaljeret sæt sikkerhedskontrolfunktioner, der afhjælper risici. Brug af en struktur for overholdelse af standarder og regler, som sikrer, at kontrolfunktioner designes hensigtsmæssigt og bruges effektivt. I dette dokument beskrives det, hvordan Microsoft beskytter kundedata og virksomhedsoperationer via et omfattende Information Security Program og en veludviklet metode til styring af politikker og overholdelse af regler og standarder, hyppig intern og ekstern evaluering af fremgangsmåder og funktionaliteter og stærke sikkerhedskontrolfunktioner på tværs af alle service-lag. Disse processer og mekanismer er den måde, Microsoft overholder branchestandarder og sikrer overholdelse af alle relevante love, direktiver, vedtægter og bekendtgørelser, når der leveres tjenester online til en global kundebase. Selvom politikker til beskyttelse af personlige oplysninger er nævnt i dette dokument, er det ikke hensigten, at det skal være en dybtgående diskussion af disse politikker, ligesom dokumentet heller ikke skal ses som en brugervejledning til beskyttelse af personlige oplysninger. Oplysninger om, hvordan Microsoft håndterer beskyttelse af personlige oplysninger findes på Microsoft Trustworthy Computing Privacy-siden. 5

6 Hvad er Microsoft cloud computing? Microsoft cloud computing-miljøet er den fysiske og logiske infrastruktur samt de hostede programmer og platformtjenester. GFS leverer den fysiske og logiske cloud-infrastruktur hos Microsoft inklusive mange platformtjenester. Den fysiske infrastruktur omfatter selve datacenterfaciliteterne og den hardware og de komponenter, der understøtter tjenester og netværk. Hos Microsoft består den logiske infrastruktur af instanser af operativsystemet, distribuerede netværk og ikke-strukturerede datalagre, uanset om det afvkles på virtuelle eller fysiske objekter. Platformtjenester omfatter computer runtimes (f.eks. Internet Information Services,.NET Framework, Microsoft SQL Server ), id- og mappelagre (f.eks. Active Directory og Windows Live ID), navnetjenester (DNS) og andre avancerede funktioner, der bruges i onlinetjenester. Microsofts cloud-platformtjenester, f.eks. infrastrukturtjenester, kan være virtuelle eller faktiske. Onlineprogrammer, der kører i Microsoft cloud, omfatter enkle og komplekse produkter, der er udformet til en bred vifte af kunder. Disse onlinetjenester og de tilsvarende krav til sikkerhed og beskyttelse af personlige oplysninger kan groft inddeles som: Services til forbrugere og mindre virksomheder disse eksempler omfatter Windows Live Messenger, Windows Live Hotmail, Live Search, Xbox LIVE og Microsoft Office Live. Enterprise Services f.eks. Microsoft Dynamics CRM Online og Microsoft Business Productivity Online Standard Suite inklusive Exchange Online, SharePoint Online og Office Live Meeting. Tredjeparts hostede løsninger omfatter webbaserede applikationer og løsninger, der udvikles og bruges af tredjeparter vha. platformstjenester, som er stillet til rådighed via Microsofts cloud computing-miljø. Online Services Security and Compliance-team OSSC-teamet i GFS er ansvarlig for Microsofts Information Security Program for cloud-infrastrukturen, inklusive politikker og programmer der bruges til at håndtere onlinesikkerhedsrisici. OSSC's mission er at gøre det muligt at få pålidelige onlinetjenester, der giver Microsoft og Microsofts kunder en konkurrencemæssig fordel. Når denne funktion placeres i et Cloud computing infrastrukturlag, kan alle Microsofts cloud computing-tjenester få glæde af stordriftsfordele og reduceret kompleksitet via brug af delte sikkerhedsløsninger. Tilgangen til denne standard betyder også, at hvert af Microsofts serviceteams kan fokusere på deres kunders unikke sikkerhedsbehov. OSSC-teamet fører an i arbejdet med at levere pålidelige Cloud computing aktiviteter via Microsofts Information Security Program med brug af en risikobaseret driftsmodel og en "defense-in-depth"-tilgang til kontrolfunktioner. Dette omfatter regelmæssig gennemgang af risikostyring, udvikling og vedligeholdelse af en sikkerhedskontrolstruktur og fortløbende arbejde med at sikre overholdelse af regler og standarder inden for en række aktiviteter lige fra udvikling af 6

7 datacentre til svar på anmodninger fra myndigheder i hele verden. Teamet benytter best practice-processer, som omfatter mange forskellige former for intern og ekstern gennemgang af onlinetjenesternes og det enkelte elements levetid i infrastrukturen. Disse tætte arbejdsrelationer med andre Microsoft-teams resulterer i en vidtfavnende indfaldsvinkel til sikring af Microsoft Cloud computing- applikationer. Med driften af en global cloud computing-infrastruktur, der omfatter mange virksomheder, følger behovet for at sikre overensstemmelse af regler og standarder og revision fra eksterne revisorer. Overvågningskrav stammer fra enheder med bemyndigelse fra offentlige instanser og branchen, interne politikker og branchens best practices. OSSCprogrammet sikrer, at forventninger til overholdelse af regler og standarder kontinuerligt evalueres og indarbejdes. Som resultat af Information Security Program er Microsoft i stand til at opnå vigtige certificeringer som Den Internationale Standardiseringsorganisation / International Society of Electrochemistry 27001:2005 (ISO/IEC 27001:2005) og Statement of Auditing Standard (SAS) 70 Type I- og Type II-attestationer og til mere effektivt at klare regelmæssige revisioner fra uafhængige tredjeparter. Trustworthy Computing hos Microsoft Den centrale drivkraft til at oprette et effektivt sikkerhedsprogram er at have en kultur, hvor man er opmærksom på sikkerhed og prioriterer den højt. Microsoft anerkender, at en sådan kultur skal bemyndiges og støttes af virksomhedens ledere. Microsofts lederteam har længe arbejdet dedikeret på at foretage de rigtige investeringer og bruge de rette incitamenter til at fremme sikker adfærd. Microsoft skabte Trustworthy Computing-initiativet i 2002, hvor Bill Gates forpligtede Microsoft til grundlæggende ændringer af virksomhedens mål og strategi inden for nøgleområder. I dag er Trustworthy Computing en virksomhedsmæssig kerneværdi hos Microsoft, der fungerer som en rettesnor for næsten alt, hvad virksomheden foretager sig. Dette initiativ er baseret på fire grundsten: beskyttelse af personlige oplysninger, sikkerhed, pålidelighed og forretningsprincipper. Du kan læse mere om Trustworthy Computing på Microsoft Trustworthy Computing-siden. Microsoft ved, at succes med hurtigt skiftende aktiviteter inden for onlinetjenester afhænger af sikkerheden for kundens data og beskyttelse af dem og tilgængeligheden og smidigheden af de tjenester, Microsoft tilbyder. Microsoft udformer og tester omhyggeligt programmer og infrastruktur efter internationalt anerkendte standarder for at kunne påvise disses funktionalitet og overensstemmelse med lovgivningen og med interne politikker for sikkerhed og beskyttelse af personlige oplysninger. Resultatet er, at Microsofts kunder kan nyde godt af mere fokuseret test og overvågning, automatisk levering af programrettelser, stordriftsfordele, der giver omkostningsbesparelser og fortløbende forbedringer af sikkerheden. 7

8 Beskyttelse af personlige oplysninger Microsofts arbejde med at beskytte kundernes personlige oplysninger og sikkerhed, overholde al relevant lovgivning om beskyttelse af personlige oplysninger og følge de stringente principper bag databeskyttelse er detaljeret beskrevet i Microsofts erklæringer om beskyttelse af personlige oplysninger. For at sikre at kunderne altid kan have tillid til Microsoft, udvikler Microsoft software, løsninger og processer med beskyttelse af personlige oplysninger for øje. Microsofts team arbejder konstant med at sikre overholdelse af global lovgivning om beskyttelse af private oplysninger, og virksomhedens egne principper for beskyttelse af personlige oplysninger er til dels udledt af databeskyttelseslovgivning rundt omkring i verden. Microsoft følger den retning, der er angivet i disse forskellige former for lovgivning om beskyttelse af personlige oplysninger og anvender disse standarder globalt. Microsoft beskytter sikkerheden for personlige oplysninger. De teams, der leverer onlinetjenester, benytter en lang række sikkerhedsteknologier og -procedurer til at beskytte personlige oplysninger mod ikke-godkendt adgang, brug eller offentliggørelse. Microsofts softwareudviklingsteam anvender de PD3+C-principper, der er defineret i Security Development Lifecycle (SDL), overalt i virksomhedens udviklings- og driftsprincipper: Privacy by Design Microsoft bruger dette princip på mange måder under udvikling, frigivelse og vedligeholdelse af programmer for at sikre, at de data, der er indsamlet fra kunderne, er til et bestemt formål, og at kunden får passende varsel til at kunne træffe en velfunderet beslutning. Når data, der skal indsamles, klassificeres som værende yderst følsomme, kan der træffes yderligere sikkerhedsforanstaltninger i form af kryptering under overførsel, mens de ligger stille eller begge dele. Beskyttelse af personlige oplysninger som udgangspunkt i al kommunikation med Microsoft bliver kunden spurgt om tilladelse, før følsomme data indsamles eller overføres. Når der er indhentet godkendelse, beskyttes disse data af f.eks. adgangskontrollister kombineret med mekanismer til identitetsgodkendelse. Beskyttelse af personlige oplysninger ved installation Alle relevante mekanismer til beskyttelse af personlige oplysninger fremlægges over for virksomhedskunder, så de kan etablere relevante politikker til beskyttelse af personlige oplysninger og sikkerhed for deres brugere. Kommunikation Microsoft inddrager aktivt offentligheden via udgivelse af politikker til beskyttelse af personlige oplysninger, white papers og anden dokumentation vedrørende beskyttelse af personlige oplysninger. Du kan finde flere oplysninger om Microsofts engagement inden for beskyttelse af personlige oplysninger på Microsoft Trustworthy Computing Privacy -siden. 8

9 Sikkerhed Microsoft tilpasser hele tiden virksomhedens cloud computing-infrastruktur for at drage fordel af nye teknologier, f.eks. virtualisering. Disse fremskridt resulterer i adskillelse af informationsaktiver fra en fælles fysisk infrastruktur for mange typer kundeobjekter. Selvom softwareudviklingsprocessen for programmer, der er hosted online, ofte er mere fleksibel med hyppigere opdateringer, er det nødvendigt at tilpasse risikostyringen i forbindelse med informationssikkerheden, for at sikre det vi kalder Trustworthy Computing. Nedenfor i dokumentet følger en detaljeret gennemgang af, hvordan Microsoft OSSC-teamet anvender grundlæggende sikkerhedselementer, og det arbejde hele virksomheden lægger i at styre risici i Microsofts cloud computinginfrastruktur. Desuden følger en gennemgang af, hvad "defense-in-depth"-tilgangen til sikkerhed for onlinetjenester betyder, og hvordan cloud computing resulterer i nye indfaldsvinkler til sikkerhedsforanstaltninger. Information Security Program Dette onlineinformationssikkerhedsprogram fra Microsoft definerer, hvordan OSSC fungerer. Programmet er selvstændigt certificeret af British Standards Institute (BSI) Management Systems America som værende i overensstemmelse med ISO/IEC 27001:2005. Du kan se ISO/IEC 27001:2005-certificeringer på Certificate/Client Directory Search Results-siden. Ifølge Information Security Program organiseres sikkerhedskrav i tre områder på øverste niveau: administrativt, teknisk og fysisk. Kriterierne i disse områder repræsenterer det grundlag, som risici styres ud fra. Med udgangspunkt i de sikkerhedsforanstaltninger og kontrolfunktioner, der er identificeret i områderne og disses underkategorier, følger Information Security Program strukturen i ISO/IEC27001:2005, der angiver "planlæg, udfør, kontrollér, reager". 9

10 OSSC definerer yderligere fire trin i den traditionelle planlæg-udfør-kontrollér-reager-struktur i et ISOinformationssikkerhedsprogram som følger: Planlæg a. Risikobaseret beslutningstagning OSSC er drivkraften bag prioritering af nøgleaktiviteter og allokering af ressourcer og udarbejder en plan for sikkerhedsaktiviteter baseret på risikovurderinger. De organisationsmæssige og individuelle mål, der fastholdes i denne plan, er rettet mod opdateringer til politikker, driftsstandarder og sikkerhedskontrol i GFS og mange produktgrupper. b. Dokumentkrav OSSC definerer klare forventninger, der udstikker linjerne for de attestationer og certificeringer, der skal indhentes fra tredjeparter, via en dokumenteret kontrolstruktur. Denne struktur definerer kravene på en klar, ensartet og præcis måde. Udfør a. Implementer relevante sikkerhedsforanstaltninger sikkerhedsforanstaltninger, der er baseret på en plan for sikkerhedsaktiviteter, der udarbejdes af de teams, der står bag drift, produkter og levering af løsninger. b. Styr sikkerhedsforanstaltninger OSSC implementerer og håndterer mange sikkerhedsforanstaltninger, f.eks. dem, der bruges til at sikre Global Criminal Compliance, til at styre trusler mod infrastrukturen og til at sikre datacentre fysisk. Andre forholdsregler gennemføres og vedligeholdes via de teams, der står bag drift, produkter og levering af løsninger. Kontrollér a. Mål og gør bedre OSSC vurderer kontinuerligt sikkerhedsforanstaltningerne Ekstra sikkerhedsforanstaltninger kan tilføjes, eller eksisterende kan redigeres for at sikre, at de mål, der er udstukket i Information Security Policy og kontrolstrukturen, opfyldes. Reager a. Valider programeffektivitet såvel interne som eksterne revisorer gennemgår med regelmæssige mellemrum Information Security Program som en del af det fortløbende arbejde med at sikre programmets effektivitet. b. Juster for at bevare relevans OSSC evaluerer Information Security Program og dets kontrolstruktur i forhold til relevante krav og standarder fra myndigheder, virksomheder og branchen for at identificere de områder, der kan forbedres, og for at kontrollere, at målene er nået. Microsofts teknologi og forretningsplaner opdateres følgelig for at kunne håndtere virkningen af de driftsmæssige ændringer. Et sikkerhedsprogram er ikke komplet, hvis der ikke tages hånd om behovet for uddannelse af medarbejderne. Microsoft udarbejder og leverer sikkerhedstræning for at sikre, at alle grupper, der er involveret i at oprette, installere, drive og yde support til onlinetjenester, der er hosted i cloud computing-infrastrukturen, forstår deres ansvar i forhold til Information Security Policy for onlinetjenester fra Microsoft. I dette kursusprogram undervises der i vigtige retningslinjer, som bør anvendes, når der tages udgangspunkt i det enkelte lag i Microsofts "defense-in-depth"-indfaldsvinkel for at sikre onlinetjenester. Microsoft opfordrer desuden virksomhedskunder og udviklere af tredjepartsoftware til at anvende samme principper i udviklingen af programmer og levering af tjenester med brug af Microsofts cloud computing-infrastruktur. 10

11 Risikostyringsprocesser Analyse og løsning af sikkerhedsrisici i onlinesystemer, der er indbyrdes afhængige, er mere kompleks og kan være mere tidskrævende end det, der normalt kræves i traditionelle it-systemer. Risikostyring og tilsvarende gennemgang skal tilpasses i dette dynamiske miljø. Microsoft anvender gennemarbejdede processer, der er baseret på stor erfaring med levering af tjenester til internettet til håndtering af disse nye risici. OSSC-medarbejderne arbejder sammen med driftsteam og virksomhedsejere i mange produkt- og serviceleveringsgrupper inden for Microsoft om at styre disse risici. Information Security Program fastlægger standardprocesser og dokumentationskrav til udførelse af beslutningstagning der tager højde for risici. Via Security Risk Management Program (SRMP) foregår risikovurderingerne på en lang række niveauer, og der informeres om prioritering inden for områder som produktversionsplaner, vedligeholdelse af politikker og ressourceallokering. Hvert år foretages en omfattende vurdering af trusler mod Microsofts cloud computing-infrastruktur, som fører til yderligere gennemgange i løbet af året. I løbet af året fokuseres der på de trusler, der kan være mest alvorlige Via denne proces foretager Microsoft prioritering og giver vejledning i udvikling af sikkerhedsforanstaltninger og relaterede aktiviteter. I SRMPmetoden vurderes effektiviteten af kontrollen i forhold til trusler ved at: Identificere trusler og risici Beregne risici Rapportere risici for Microsofts cloud computing Håndtere risici baseret på vurdering af effekt og det tilknyttede forretningsmæssige aspekt Afprøve effektiviteten af afhjælpning og den tilbageværende risiko Foretage løbende styring af risici Styring af forretningskontinuitet Mange organisationer, der overvejer brug af cloud-applikationer, stiller spørgsmål om tjenesternes tilgængelighed og fleksibilitet. Hosting af applikationer og lagring af data i et cloud computing-miljø giver nye muligheder for tilgængelighed og fleksibilitet samt mulighed for sikkerhedskopiering og gendannelse af data. I Microsofts Business Continuity Program anvendes branchens best practices til at oprette og tilpasse funktioner inden for dette område for at håndtere nye applikationer, efterhånden som de bliver tilgængelige i Microsofts cloud computing-miljø. Microsoft anvender en løbende administrations- og ledelsesproces til at sikre, at der tages de nødvendige trin til at kortlægge virkningen af mulige tab, bevare effektive strategier og planer for backup samt sikre kontinuitet i produkter og tjenester. Det er af afgørende betydning at vide, hvilke ressourcer - medarbejdere, udstyr og systemer - der er behov for til at udføre en opgave eller køre en proces, så der kan udarbejdes en relevant plan, når uheldet rammer. Manglende gennemgang, vedligeholdelse eller afprøvning af planen er en af de største risici forbundet med muligheden for at opleve et katastrofalt tab, og derfor gør programmet mere end bare registrere procedurer til gendannelse. Microsoft bruger Business Continuity Management Plan Development Lifecycle til at oprette og vedligeholde planer for gendannelse ved nedbrud via brug af seks faser som vist i følgende illustration: 11

12 Microsoft håndterer gendannelse af tjenester og data efter at have fuldført en afhængighedsanalyse, hvor to mål identificeres i forhold til gendannelsen af aktiverne: Recovery Time Objective (RTO) den tid, der maksimalt må gå ved tab af en kritisk proces, funktion eller ressource, før det kan afstedkomme alvorlige negative virkninger for virksomheden. Recovery Point Objective (RPO) det datatab, der maksimalt kan klares under en hændelse, som regel set i forhold til tiden mellem den seneste datasikkerhedskopiering og tidspunktet, hvor afbrydelsen opstod. Da identifikation og klassificering af aktiver er en fortløbende proces som en del af styringen af risici for Microsofts cloud computing-infrastrukturen, betyder planen for gendannelse ved nedbrud, at disse mål lettere kan bruges til at evaluere, om der skal implementeres gendannelsesstrategier i en nedbrudssituation eller ej. Microsoft validerer disse strategier yderligere ved at udføre øvelser, der involverer gennemgang, test, træning og vedligeholdelse. 12

13 Styring af sikkerhedshændelser Processerne til sikkerhedskontrol og risikostyring, som Microsoft har implementeret for at sikre cloud-infrastrukturen, reducerer risikoen for sikkerhedshændelser, men alligevel vil det være naivt at tro, at der ikke vil forekomme ondsindede angreb fremover. Security Incident Management-teamet (SIM) i OSSC reagerer på disse problemer, når de opstår, og de er i gang døgnet rundt alle ugens dage. SIM's mål er hurtigt og præcist at vurdere og afhjælpe sikkerhedshændelser, der involverer Microsofts Online Services, samtidig med at relevante informationer tydeligt kommunikeres til den overordnede ledelse og andre interesserede parter i Microsoft. Der er seks faser i SIM-processen til reaktion på hændelser: Forberedelse SIM-medarbejderne gennemfører fortløbende kurser for at være klar til at reagere, når der opstår en sikkerhedshændelse. Identifikation søgning efter årsagen til en hændelse, uanset om den er overlagt eller ej, betyder ofte, at problemet skal spores gennem flere lag i Microsofts cloud computing-miljø. SIM samarbejder med medlemmer fra andre interne Microsoft-teams, når oprindelsen til en bestemt sikkerhedshændelse skal diagnosticeres. Inddæmning når årsagen til hændelsen er fundet, arbejder SIM sammen med alle nødvendige teams for at begrænse hændelsen. Den måde, inddæmningen foregår på, afhænger af den forretningsmæssige effekt, som hændelsen har. Afhjælpning SIM koordinerer med de relevante produkt- og tjenesteleveringsteams for at reducere risikoen for, at hændelsen forekommer igen. Gendannelse SIM bistår i processen til gendannelse af tjenesten, mens der fortsat samarbejdes med andre grupper efter behov. Deling af erfaringer når sikkerhedshændelsen er løst, indkalder SIM til et fællesmøde med alle involverede medarbejdere for at evaluere, hvad der er sket, og for at registrere den viden, der er erhvervet, mens der blev reageret på hændelsen. SIM er i stand til at registrere problemer tidligt og til at afhjælpe afbrydelse af tjenester takket være tværgående teamsamarbejder. SIM er f.eks. i tæt kontakt med driftsteam, inklusive Microsoft Security Response Center (du kan læse mere om dette på Microsoft Security Response Center-siden). Disse relationer sætter SIM i stand til hurtigt at få et holistisk driftsmæssigt overblik over en hændelse, når den indtræffer. SIM konsulterer også ejere af aktiver for at fastlægge alvoren af hændelsen baseret på en række forskellige faktorer, inklusive potentielle eller yderligere afbrydelser af tjenester og risiko for skadet omdømme. Global Criminal Compliance OSSC's Global Criminal Compliance-program (GCC) er involveret i fastlæggelse af politikker og tilvejebringelse af kurser, der omhandler Microsofts sikkerhedsproces. GCC besvarer desuden gyldige forespørgsler om data. GCC har juridiske repræsentanter i mange lande, der evaluerer og om nødvendigt oversætter anmodningen. En af årsagerne til, at GCC af mange internationale myndigheder anses for at have det "bedste sikkerhedsprogram" er, at GCC stiller en sikkerhedsprotal til rådighed, der tilbyder vejledning på mange sprog til godkendte medarbejdere inden for sikkerhed om afsendelse af en gyldig forespørgsel til Microsoft. 13

14 GCC's kursusmål omfatter kurser til fagfolk inden for sikkerhed. GCC sørger desuden for kurser til medarbejdere på alle niveauer hos Microsoft om ansvar for dataopbevarelse og beskyttelse af personlige oplysninger Interne kurser og arbejde med politikker udvikles fortsat, efterhånden som Microsoft tilføjer internationale datacentre og på den måde udvider omfanget af internationale lovgivningsmæssige krav. GCC spiller en afgørende rolle for forståelses- og implementeringspolitikker, der tager højde for forskellige internationale lovgivninger og deres indvirkning på forbrugere eller forretningskunder, som bruger Microsofts onlinetjenester. Overholdelse af driftsmæssige regler og standarder Microsofts Online Services-miljø skal overholde en lang række offentligt pålagte og branchespecifikke sikkerhedskrav ud over Microsofts egne forretningsbestemte specifikationer. Som Microsofts onlinevirksomhed fortsat vokser og ændres, og nye onlinetjenester introduceres i Microsofts cloud, forventes yderligere krav, som kan omfatte regionale og landespecifikke datasikkerhedsstandarder. Teamet bag overholdelse af driftsmæssige regler og standarder arbejder på tværs af de teams, der står bag drift, produkter og levering af tjenester, og med interne og eksterne revisorer om at sikre, at Microsoft overholder relevante standarder og lovgivningsmæssige forpligtelser. Følgende liste viser en oversigt over nogle af de tests og vurderinger, som Microsofts cloud computing-miljø regelmæssigt underkastes: Standard for datasikkerhed inden for betalingskortbranchen kræver årlig gennemgang og validering af sikkerhedsforanstaltninger i forbindelse med kreditkorttransaktioner. Media Ratings Council vedrører integriteten af oprettelse og behandling af systemdata inden for reklamebranchen. Sarbanes-Oxley udvalgte systemer revideres årligt for at validere overholdelse af processer i forhold til den finansielle rapporteringsintegritet.. Health Insurance Portability and Accountability Act i denne lov specificeres beskyttelse af personlige oplysninger, sikkerhed og retningslinjer for gendannelse ved nedbrud for elektronisk lagring af sygejournaler. Intern revision og vurdering af beskyttelsen af personlige oplysninger vurderingerne finder sted i løbet af året. Overholdelse af alle disse revisionsforpligtelser blev en væsentlig udfordring hos Microsoft. Ved gennemgang af kravene fastlagde Microsoft, at mange af revisionerne og vurderingerne krævede evaluering af samme driftsmæssige kontrolforanstaltninger og processer. OSSC indså, at der var en betydelig chance for at fjerne overflødige aktiviteter, strømline processer og håndtere forventninger til overholdelse af regler og standarder proaktivt og udviklede derfor en samlet struktur for overholdelse af regler og standarder. Denne struktur og tilknyttede processer er baseret på en metode med fem trin, som vises i følgende illustration: 14

15 Identificer og integrer krav omfang og relevante kontrolfunktioner defineres. Standard Operating Procedures (SOP) og procesdokumenter indsamles og gennemgås. Vurder og afhjælp uregelmæssigheder uregelmæssigheder i proces- eller teknologisikkerhedsforanstaltninger identificeres og afhjælpes. Test effektivitet, og vurder risiko effektiviteten af sikkerhedsforanstaltninger måles og rapporteres. Opfyld certificeringer og attestationer i samarbejde med tredjeparts certificeringsmyndigheder og revisorer finder sted. Forbedr og optimer hvis der ikke findes overensstemmelse med regler og standarder, dokumenteres og vurderes den grundlæggende årsag yderligere. Der følges op på disse resultater, indtil de er afhjulpet fuldt ud. Denne fase omfatter fortsat optimering af sikkerhedsforanstaltninger på tværs af sikkerhedsdomæner, så der opnås effektivitet i gennemførelsen af fremtidig overvågning og certificering. En af målestokkene for succesen ved implementeringen af dette program er, at Microsofts cloud computinginfrastruktur har opnået både SAS 70 Type I- og Type II-attestationer og ISO/IEC 27001:2005-certificering. Denne anerkendelse viser Microsofts forpligtelse til at levere en pålidelig cloud computing-infrastruktur, fordi: ISO/IEC 27001:2005-certifikatet bekræfter, at Microsoft har implementeret de internationalt anerkendte sikkerhedsforanstaltninger til informationssikkerhed, der er defineret i denne standard SAS 70-attestationer viser, at Microsoft er parat til at åbne interne sikkerhedsprogrammer og lade dem analysere af udefrakommende. 15

16 En "defense-in-depth"-indfaldsvinkel En "defense-in-depth"-indfaldsvinkel er et grundlæggende element i den måde, Microsoft leverer en pålidelig cloud computing-infrastruktur. Brug af sikkerhedsforanstaltninger i flere lag involverer brug af beskyttelsesmekanismer, udvikling af strategier for risikoafhjælpning og mulighed for at reagere på angreb, når disse optræder. Brug af flere sikkerhedsforanstaltninger af varierende styrke - afhængigt af følsomheden af det aktiv, der beskyttes - resulterer i forbedret evne til at forhindre brud eller til at mindske effekten af en sikkerhedshændelse. Overgangen til cloud computing ændrer ikke dette princip - at sikkerhedsforanstaltningens styrke udledes af aktivets følsomhed - eller hvor grundlæggende vigtigt det er at styre sikkerhedsrisici. Det faktum, at de fleste aktiver kan virtualiseres i et cloud computing-miljø, resulterer i skift i analysen af risici og den måde sikkerhedsforanstaltninger anvendes på i de traditionelle defense-in-depth-lag (fysisk, netværk, data, identitetsadgang, adgangsrettigheder og godkendelse og vært). Onlinetjenester, inklusive infrastrukturen og de platformtjenester, der stilles til rådighed af GFS, udnytter fordelene ved virtualisering. Resultatet er, at kunder, der bruger tjenester, som er hosted af Microsoft, kan have aktiver, der ikke længere let kan tilknyttes en fysisk tilstedeværelse. Data kan lagres virtuelt og fordeles til mange steder. Dette grundlæggende faktum betyder, at der skal udvikles identifikation af sikkerhedsforanstaltninger, og det skal fastlægges, hvordan de kan bruges til at implementere en opdelt tilgang til beskyttelse af aktiver. Der skal naturligvis stadig træffes fysiske forholdsregler og foranstaltninger til netværkssikkerhed. Risikostyring, kommer imidlertid stadig tættere på objektniveauet, altså på de elementer, der bruges i cloud computing-miljøet: f.eks. de statiske eller dynamiske data lagre, de virtuelle maskiner og det kørselsmiljø, som beregninger foregår i. De forskellige sikkerhedsforanstaltninger gør brug af mange traditionelle fysiske og netværksrelaterede sikkerhedsmetoder og enheder for at sikre, at enheden, hvad enten det er en person, der ønsker adgang til en bygning, der huser et datacenter, eller en beregningsproces, der anmoder om adgang til kundedata, som er lagret dynamisk i Microsofts cloud computing-miljø, er ægte og godkendt til den adgang, der anmodes om. Der er desuden fastlagt forholdsregler for at sikre, at servere og virtuelle operativsystemer, der kører i Microsofts cloud computing-infrastruktur, er forberedt på angreb. Dette afsnit indeholder en oversigt over nogle af de processer og kontrolfunktioner, som Microsoft bruger til at håndtere sikkerheden i datacentre, netværkshardware og -kommunikation og serviceværter. Fysisk sikkerhed Brug af tekniske systemer til at automatisere adgangsrettigheder og godkendelse til bestemte sikkerhedsforanstaltninger er én af de måder, fysisk sikkerhed er ændret på som følge af teknologiske fremskridt inden for sikkerhed. Skiftet fra brug af traditionelle Enterprise applikationer, der er installeret i computerhardware og software, der fysisk er placeret i virksomheden, til brug af Software-as-a-Service og Software-plus-services er et andet. Disse ændringer nødvendiggør yderligere justeringer af den måde, organisationer sikrer, at deres aktiver er sikret. OSSC-ledere håndterer den fysiske sikkerhed i alle Microsofts datacentre, hvilket er af afgørende vigtighed for driften af faciliteterne samt beskyttelse af kundedata. Til hver enkelt facilitet anvendes etablerede, præcise procedurer til sikkerhedsdesign og drift. Microsoft sørger for fastlæggelse af ydre og indre grænser med øgede kontrolfunktioner gennem hvert enkelt afgrænsningslag. I sikkerhedssystemet gøres der brug af en kombination af teknologiske løsninger inklusive kameraer, biometri, kortlæsere og 16

17 alarmer og traditionelle sikkerhedsforholdsregler som låse og nøgler. Der er inkorporeret driftsmæssige sikkerhedsforanstaltninger, der bidrager til den automatiske overvågning og hurtige underretning, hvis der opstår brud eller problemer, og gør det muligt at opnå pålidelighed via dokumentation af datacenterets fysiske sikkerhedsprogram. Nedenstående liste indeholder flere eksempler på, hvordan Microsoft anvender sikkerhedsforanstaltninger til fysisk sikkerhed: Adgangsbegrænsning for medarbejdere i datacentre Microsoft leverer sikkerhedskrav, der bruges som grundlag for vurdering af medarbejdere og leverandører til datacentre. Ud over de kontraktmæssige bestemmelser om medarbejdere på et sted, anvendes der endnu et sikkerhedslag i datacenteret for personale, der driver faciliteten. Adgang er begrænset til det absolut mest nødvendige personale, der godkendes til at håndtere kundernes applikationer og tjenester. Håndtering af krav til data med stor forretningsmæssig effekt Microsoft har udviklet flere stringente minimumkrav til aktiver, der er kategoriseret som værende yderst følsomme, end til dem med lav eller moderat følsomhed i de datacentre, der bruges til at levere onlinetjenester. Standardsikkerhedsprotokoller vedrørende identifikation, adgangs-tokens og logføring og overvågning af steder, afgør hvilken type godkendelse der kræves for at få adgang. I tilfælde med adgang til meget følsomme aktiver, kræves godkendelse med flere faktorer. Centralisering af adgangsstyring til fysiske aktiver Efterhånden som Microsoft er fortsat med at udvide antallet af datacentre, der leverer onlinetjenester, er der udviklet et værktøj, som håndterer styringen af adgang til fysiske aktiver, og som også leverer overvågede registreringer via centralisering af arbejdsprocesser til anmodning om, godkendelse og provisionering af adgang til datacentre. Dette værktøj fungerer ud fra princippet om at levere den minimumadgang, der er behov for, og indarbejde arbejdsprocesser til indhentning af godkendelser fra flere godkendelsesparter. Det kan konfigureres efter stedets forhold og giver mere effektiv adgang til historiske data til rapportering og overholdelse af revisioner. Netværkssikkerhed Microsoft anvender mange sikkerhedsniveauer alt efter behov for datacenterenheder og netværksforbindelser. Der anvendes f.eks. sikkerhedsforanstaltninger på både kontrol- og ledelsesplan. Specialiseret hardware som justering af belastning, firewalls, og enheder til forebyggelse af indtrængen anvendes for at håndtere volumenbaserede DoS-angreb (Denial of service). Netværksstyringsteamet anvender niveaudelte adgangskontrollister til segmenterede VLAN'er (virtual local area networks) og applikationer efter behov. Via netværkshardware anvender Microsoft program-gatewayfunktioner til at udføre deep packet-kontrol og udføre handlinger som afsendelse af advarsler baseret på - eller for at spærre for - mistænkelig netværkstrafik. En globalt redundant intern og ekstern DNS-infrastruktur er indarbejdet til Microsoft cloud computing-miljøet. Redundans giver fejltolerance og opnås via klyngedannelse af DNS-servere. Yderligere kontrolfunktioner afhjælper DDoS (distributed denial of service) og cache poisoning eller pollution-angreb. F.eks. begrænser adgangskontrollister i DNSservere og DNS-zoner skriveadgangen til DNS-registreringer for godkendt personale. Nye sikkerhedsfunktioner som tilfældighed i forespørgsels-id'er fra den seneste sikre DNS-software bruges på alle DNS-servere. DNS-klynger overvåges kontinuerligt med henblik på ikke-godkendt software, og konfigurationen af DNS-zoner ændres også for andre forstyrrende servicehændelser. DNS er del af det globalt forbundne internet og kræver deltagelse af mange organisationer, for at denne tjeneste kan leveres. Microsoft deltager i mange af disse, f.eks. DNS Operations Analysis and Research Consortium (DNS-OARC), som består af DNS-eksperter fra hele verden. 17

18 Datasikkerhed Microsoft klassificerer aktiver for at bestemme styrken af de sikkerhedsforanstaltninger, der skal anvendes. Kategorierne tager højde for de relative muligheder for finansiel skade og skade af omdømme, hvis aktivet er omfattet af en sikkerhedshændelse. Efter klassificeringen benyttes en "defense-in-depth"-tilgang for at fastlægge, hvilke former for beskyttelse der er behov for. Dataaktiver, der tilhører kategorien af data med moderat effekt, er f.eks. underlagt krav om kryptering, når de findes på flytbare medier, eller når de er involveret i eksterne netværksoverførsler. Data med høj effekt er, ud over disse krav, også underlagt krypteringskrav i forbindelse med lagring og interne system- og netværksoverførsler. Alle Microsoft-produkter skal opfylde de SDL-kryptografiske standarder, som angiver acceptable og ikke-acceptable kryptografiske algoritmer. Der kræves f.eks. nøgler, som er længere end 128 bit til symmetrisk kryptering. Når der bruges asymmetriske algoritmer, kræves der nøgler på bit eller længere. Administration af identitet og adgang Microsoft benytter en need-to-know-model og en model med minimumrettigheder til at styre adgangen til aktiver. Hvor det er muligt, bruges der rollebaseret adgangskontrol til at allokere logisk adgang til bestemte jobfunktioner eller ansvarsområder i stedet for til enkeltpersoner. Disse politikker dikterer, at adgang, der ikke udtrykkeligt er tildelt af aktivets ejer baseret på et påvist forretningsmæssigt krav, som standard afvises. Enkeltpersoner, som har adgangsrettigheder til et vilkårligt aktiv, skal benytte de relevante forholdsregler til at opnå adgang. Meget følsomme aktiver kræver godkendelse med flere faktorer, bl.a. forholdsregler som adgangskode, hardware-tokens, chipkort eller biometri. Afstemning af brugerkonti mod godkendelser til brug finder løbende sted for at sikre, at brug af et aktiv er relevant og nødvendig for at færdiggøre en bestemt aktivitet. Konti, der ikke længere behøver adgang til et bestemt aktiv, deaktiveres. Programsikkerhed Programsikkerhed er et nøgleelement i Microsofts tilgang til sikring af cloud computing-miljøet. Den strenge sikkerhedspraksis, der anvendes af Microsofts udviklingsteam, blev i 2004 formaliseret til en proces kaldet Security Development Lifecycle (SDL). SDL-processen er agnostisk mht. udviklingsmetoden og er fuldt ud integreret med livscyklussen for programudvikling fra design til svar og er ikke en erstatning for softwareudviklingsmetoder som f.eks. waterfall eller Agile. I forskellige faser af SDL-processen lægges der vægt på uddannelse og kurser, og det kræves også, at bestemte aktiviteter og processer skal anvendes efter behov for hver fase i softwareudviklingen. Den øverste ledelse i Microsoft støtter fortsat kravet om, at SDL skal anvendes i udviklingen af Microsoft-produkter, inklusive levering af onlinetjenester. OSSC spiller en central rolle i at sikre, at SDL både nu og fremover anvendes til oprettelse af applikationer, der skal hostes i Microsofts cloud computing-infrastruktur. 18

19 SDL-processen vises i følgende illustration: Med udgangspunkt i kravsfasen omfatter SDL-processen en række specifikke aktiviteter, der skal overvejes i forbindelse med udvikling af cloud computing-applikationer, der skal hostes hos Microsoft: Krav det primære mål i denne fase er at identificere vigtige sikkerhedsmålsætninger og ellers maksimere softwaresikkerheden, samtidig med minimering i afbrydelser af kundens brugsmuligheder. Denne aktivitet kan omfatte en driftsmæssig gennemgang i forbindelse med håndtering af hostede programmer, der fokuserer på at definere, hvordan tjenesten vil gøre brug af netværksforbindelser og meddelelsestransporter. Design kritiske sikkerhedstrin i denne fase omfatter dokumentation af den mulige angrebsflade og udarbejdelse af trusselsmodeller. Som det er tilfældet med kravsspecifkationen, kan der identificeres miljømæssige kriterier, når denne proces til et hosted program gennemgås. Implementering kodning og test foregår i denne fase. Under implementering er det vigtig at undgå at oprette kode med sikkerhedsrisici og at træffe forholdsregler til at fjerne sådanne problemer, hvis de optræder. Godkendelse betafasen er det tidspunkt, hvor nye applikationer anses for at være funktionelt komplette. I løbet af denne fase er opmærksomheden især rettet mod fastlæggelse af, hvilke sikkerhedsrisici der findes, når applikationen installeres i et virkeligt scenarie, og hvilke trin der skal tages for at fjerne eller afhjælpe sikkerhedsrisici. Frigivelse den endelige sikkerhedsgennemgang (FSR - Final Security Review) sker i løbet af denne fase. Hvis der er behov for det, udføres der også en driftsmæssig sikkerhedsgennemgang (OSR - Operational Security Review), før det nye program frigives i Microsofts cloud-miljø. Svar I forbindelse med Microsofts cloud computing-miljø fører SIM-teamet an ved svar på sikkerhedshændelser, og teamet arbejder tæt sammen med teams, der står bag produkter og levering af tjenester, og medlemmer af Microsoft Security Response Center om at prioritere, udforske og afhjælpe rapporterede hændelser. Du kan læse mere om SDL på Microsoft Security Development Lifecycle (SDL)-siden. 19

20 OSSC håndterer FSR-processen, en obligatorisk SDL-gennemgang, for Microsofts onlinetjenester for at sikre, at de relevante sikkerhedskrav er opfyldt, før nye programmer installeres i Microsoft cloud computing-infrastrukturen. FSR er gennemgang af et teams overholdelse af SDL i hele udviklingsprocessen. Under FSR håndterer OSSC følgende opgaver: Koordinering med produktteamet spørgeskemaer og anden dokumentation skal udfyldes af produktudviklingsteamet. Disse informationer bruges af OSSC til at sikre, at SDL har været anvendt korrekt under udviklingen. Gennemgang af trusselsmodeller Microsoft anser trusselsmodeller for at være yderst vigtige for udviklingen af sikker software. OSSC analyserer de trusselsmodeller, der er oprettet af produktteam, for at verificere, at de er komplette og ajourførte. Validering af, at der er implementeret kontrolfunktioner til afhjælpning, der skal håndtere alle identificerede risici, finder også sted som en del af denne gennemgang. Gennemgang af sikkerhedsfejl alle fejl, der identificeres under design, udvikling og test, gennemgås for at sikre, at fejl, der vil påvirke sikkerheden eller beskyttelsen af kundens data, håndteres. Validering af brug af værktøjer Microsofts udviklings- og testteam bruger værktøjer til softwaresikkerhed og dokumenterede kodemønstre og -principper som del af udviklingsprocessen. Dette kan forbedre softwaresikkerheden markant, fordi almindeligt forekommende risici elimineres. OSSC sikrer, at produktteams har anvendt korrekte værktøjer samt dokumenteret den kode og de mønstre og principper, der er til rådighed for dem. Ud over at styre FSR-processen styrer OSSC også en proces til driftsmæssig sikkerhedsgennemgang kaldet OSR (Operational Security Review). OSR består af gennemgang af tilknyttet netværkskommunikation, platform, systemkonfiguration og overvågningsfunktioner mod etablerede sikkerhedsstandarder og grundlinjer OSR-processen sikrer, at relevante sikkerhedskontrolfunktioner er del af driftsplanerne, før der gives tilladelse til installation i cloud computing-infrastrukturen. Overvågning og rapportering af værtssikkerhed Voksende miljømæssigt omfang og kompleksitet skal håndteres, så der kan leveres pålidelige og sikre tjenester med applikationsrettelser. Daglig scanning af aktiver i infrastrukturen giver en aktuel visning af værtssystemets risici og giver OSSC mulighed for at arbejde sammen med produkt- og tjenesteleveringsgrupper for at håndtere de tilknyttede risici, uden at det forårsager unødvendige afbrydelser af Microsofts drift af onlinetjenester. Indtrængningstest udført af interne og eksterne parter giver et vigtigt indblik i effektiviteten af sikkerhedsforanstaltningerne for Microsofts cloud computing-infrastruktur. Resultatet af disse gennemgange og løbende evalueringer af de sikkerhedsforanstaltninger, der er resultatet, anvendes i efterfølgende scanning, overvågning og aktiviteter til afhjælpning af risici. Automatisk installation af operativsystembilleder sammen med aktiv brug af kontrolfunktioner til værtspolitik, f.eks. Group Policy, giver Microsoft mulighed for at styre tilføjelsen af servere i Microsofts cloud-infrastruktur. Efter installation giver Microsofts processer til driftsgennemgange og program til styring af patches løbende afhjælpning af sikkerhedsrisici for værtssystemerne. 20

Installation, håndtering og opdatering af Windows Server med System Center

Installation, håndtering og opdatering af Windows Server med System Center Automatiseret og centraliseret installation, håndtering og opdatering af Windows Server Installation og vedligeholdelse af Windows Server - operativsystemerne i datacentre og på tværs af it-miljøer kan

Læs mere

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet Sammenfatning Denne vejledning adresserer risikoen for industrispionage fra statssponserede aktører i udlandet mod

Læs mere

STYRKEN I DET ENKLE. Business Suite

STYRKEN I DET ENKLE. Business Suite STYRKEN I DET ENKLE Business Suite TRUSLEN ER REEL Onlinetrusler mod din virksomhed er reelle, uanset hvad du laver. Hvis du har data eller penge, er du et mål. Sikkerhedshændelser stiger kraftigt, med

Læs mere

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015 Databeskyttelse: Afrunding Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015 Der er to typer virksomheder Der er to typer virksomheder: Dem, der ved at de er blevet hacket og dem der ikke ved at

Læs mere

SAXOTECH Cloud Publishing

SAXOTECH Cloud Publishing SAXOTECH Cloud Publishing Fuld hosted infrastruktur til mediebranchen Stol på flere års erfaringer med hosting til mediehuse Fuld tillid til et dedikeret team af hostingeksperter Opnå omkostningsbesparelser

Læs mere

Sikkerhedspolitik Version 4.0506 d. 6. maj 2014

Sikkerhedspolitik Version 4.0506 d. 6. maj 2014 Nærværende dokument beskriver de sikkerhedsforanstaltninger, som leverandøren har opstillet til den interne fysiske sikkerhed, datasikkerhed, logisk sikkerhed og sikkerhed i forbindelse med netværk, firewall

Læs mere

Security & Risk Management Summit

Security & Risk Management Summit Security & Risk Management Summit Hvor og hvornår skaber Managed Security Services værdi? Business Development Manager Martin Jæger Søborg, 6. november 2014 DUBEX SECURITY & RISK MANAGEMENT SUMMIT 2014

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

Hos Lasse Ahm Consult vurderer vi at følgende supplerende krav i de enkelte kravelementer er væsentlige at bemærke:

Hos Lasse Ahm Consult vurderer vi at følgende supplerende krav i de enkelte kravelementer er væsentlige at bemærke: ISO 9001:2015 (Draft) Side 1 af 9 Så ligger udkastet klar til den kommende version af ISO 9001. Der er sket en række strukturelle ændringer i form af standardens opbygning ligesom kravene er blevet yderligere

Læs mere

Vi introducerer KASPERSKY ENDPOINT SECURITY FOR BUSINESS

Vi introducerer KASPERSKY ENDPOINT SECURITY FOR BUSINESS Vi introducerer KASPERSKY ENDPOINT SECURITY FOR BUSINESS 1 Virksomhedsfaktorer og deres indvirkning på it MANØVREDYG- TIGHED EFFEKTIVITET PRODUKTIVITET Hurtighed, smidighed og fleksibilitet Reduktion af

Læs mere

Service Level Agreement Version 2.0 d. 1. april 2014

Service Level Agreement Version 2.0 d. 1. april 2014 Service Level Agreement Version 2.0 d. 1. april 2014 EDB-Eksperten.dk 1. Præambel... 3 1.1. Definitioner... 3 1.2. Produktomfang... 3 2. Driftsvindue og tider... 3 2.1. Driftsvindue... 3 2.2. Åbningstid...

Læs mere

Risikostyring ifølge ISO27005 v. Klaus Kongsted

Risikostyring ifølge ISO27005 v. Klaus Kongsted Risikostyring ifølge ISO27005 v. Klaus Kongsted Agenda Dubex A/S Formålet med risikovurderinger Komponenterne Risikovurderinger Dubex A/S fakta og værdier Den førende sikkerhedspartner De bedste specialister

Læs mere

Lumia med Windows Phone

Lumia med Windows Phone Lumia med Windows Phone Født til jobbet microsoft.com/da-dk/mobile/business/lumia-til-erhverv/ 103328+103329_Lumia-Brochure+10reasons_danish.indd 1 19.11.2014 14.43 Office 365 på arbejde Giv dine medarbejdere

Læs mere

APPLIKATIONSARKITEKTUR ERP INFRASTRUKTUR. EG Copyright

APPLIKATIONSARKITEKTUR ERP INFRASTRUKTUR. EG Copyright APPLIKATIONSARKITEKTUR ERP INFRASTRUKTUR EG Copyright Infrastruktur er mere end nogle servere... Den Mentale Infrastruktur Den Fysiske Infrastruktur Den Mentale Infrastruktur Vi vil jo gerne have vores

Læs mere

Mariendal IT - Hostingcenter

Mariendal IT - Hostingcenter ariendal IT - Hostingcenter ariendal IT - Hostingcenter ed vores topsikrede og professionelle hostingcenter tilbyder vi flere forskellige hostede løsninger I denne brochure kan du danne dig et overblik

Læs mere

Service Level Agreement

Service Level Agreement Service Level Agreement Dette dokument vil gennemgå de serviceforpligtelser, som leverandøren har til kunden i forbindelse med en købsaftale, forudsat der specifikt er henvist til den korrekte versionering

Læs mere

Service Level Agreement

Service Level Agreement Nærværende dokument klarlægger de serviceforpligtelser, som Leverandøren har over for Kunden, i forbindelse med deres indbyrdes aftaleforhold. Forpligtelserne er gældende såfremt den tilhørende hostingaftale

Læs mere

22. juni 2010 KMD A/S DIAS 1. Infrastructure Optimization. Greve Kommune. Jesper Skov Hansen Løsningsarkitekt KMD A/S jhs@kmd.dk

22. juni 2010 KMD A/S DIAS 1. Infrastructure Optimization. Greve Kommune. Jesper Skov Hansen Løsningsarkitekt KMD A/S jhs@kmd.dk DIAS 1 Infrastructure Optimization Greve Kommune Jesper Skov Hansen Løsningsarkitekt KMD A/S jhs@kmd.dk Agenda DIAS 2 _ Formål med IO _ Gennemgang af IO modellen _ IO analyse hos Greve Kommune _ Opsummering

Læs mere

Comendo Remote Backup. Service Level Agreement

Comendo Remote Backup. Service Level Agreement Comendo Remote Backup Service Level Agreement Side 2 af 7 Indholdsfortegnelse Service Level Agreement... 1 Indholdsfortegnelse... 2 Introduktion... 3 Comendo Remote Backup ansvar og forpligtelser... 3

Læs mere

Partner session 1. Mamut One Temadag. 12. & 13. august 2009. Antonio Bibovski

Partner session 1. Mamut One Temadag. 12. & 13. august 2009. Antonio Bibovski Partner session 1 Mamut One Temadag 12. & 13. august 2009 Antonio Bibovski Agenda Mamut ONE Leverance En god investering for dine kunder Mamut Online Desktop Installation i praksis Mamut Validis Analyseværktøj

Læs mere

Erfaringer med Information Management. Charlottehaven Jens Nørgaard, NNIT A/S jnqr@nnit.com

Erfaringer med Information Management. Charlottehaven Jens Nørgaard, NNIT A/S jnqr@nnit.com Erfaringer med Information Management Charlottehaven Jens Nørgaard, NNIT A/S jnqr@nnit.com Agenda Hvor ligger virksomhedens information gemt og hvor opstår kravet til at finde denne information. Find Find

Læs mere

Sikkerhed i cloud computing

Sikkerhed i cloud computing Sikkerhed i cloud computing Databeskyttelsesdagen 2012 Morten Jørsum Center for Digitalisering Digitaliseringsstyrelsen mjrsm@digst.dk Hvad er cloud computing It som en service: Leveres og betales efter

Læs mere

Softwareserviceudbyder leverer rentabel løsning til digital forvaltning

Softwareserviceudbyder leverer rentabel løsning til digital forvaltning Windows Azure Kundeløsning Softwareserviceudbyder leverer rentabel løsning til digital forvaltning Oversigt Land: Indien Branche: It Kundeprofil leverer softwareproduktudviklingstjenester til virksomheder

Læs mere

Business Continuity og Cloud

Business Continuity og Cloud Business Continuity og Cloud af: Michael Christensen, Certified Business Continuity and IT-security Consultant, CISSP, CSSLP, CISM, CRISC, CCM, CPSA, ISTQB, PRINCE2, COBIT5 For rigtig mange danske virksomheder

Læs mere

"SAP" betyder det SAP-selskab, med hvem du indgik kontrakt om tjenesten.

SAP betyder det SAP-selskab, med hvem du indgik kontrakt om tjenesten. Serviceaftaleprogram for Ariba Cloud Services Garanti for Tjenestens tilgængelighed Sikkerhed Diverse 1. Garanti for Tjenestens tilgængelighed a. Anvendelighed. Garantien for tjenestens tilgængelighed

Læs mere

Din virksomhed. Microsoft Dynamics NAV 2009 - med dine medarbejdere i hovedrollerne

Din virksomhed. Microsoft Dynamics NAV 2009 - med dine medarbejdere i hovedrollerne Din virksomhed Microsoft Dynamics NAV 2009 - med dine medarbejdere i hovedrollerne Lars Forsendelse og modtagelse Lars holder styr på forsendelser og modtagelser af varer. Han er også team leder for for

Læs mere

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør Dagsorden 1. Præsentation 2. Roskilde Universitet 3. Risikostyring - hvorfor? 4. Ledelsesopbakning 5. ISO27001 6. Forretningsorienteret risikostyring 7. It-teknisk sikkerhedsstyring 8. Hvordan bruges risikostyring

Læs mere

SLA Service Level Agreement

SLA Service Level Agreement SLA Service Level Agreement Indholdsfortegnelse 1 Service Level Agreement... 1 2 Driftsvindue og oppetid... 1 2.1 Servicevindue... 1 2.1.1 Ekstraordinær service... 1 2.1.2 Patch Management... 1 2.1.3 Åbningstid...

Læs mere

> hvidbog. Beskytter du dine kunders og dine egne data godt nok?

> hvidbog. Beskytter du dine kunders og dine egne data godt nok? > hvidbog Beskytter du dine kunders og dine egne data godt nok? HVAD BETYDER DET? DU ER ALDRIG FOR STOR TIL AT BLIVE HACKET ELLER FOR LILLE Går man ti år tilbage var teknologi knyttet tæt sammen med vores

Læs mere

XProtect-klienter Tilgå din overvågning

XProtect-klienter Tilgå din overvågning XProtect-klienter Tilgå din overvågning Tre måder at se videoovervågning på For at skabe nem adgang til videoovervågning tilbyder Milestone tre fleksible brugergrænseflader: XProtect Smart Client, XProtect

Læs mere

Henkel Norden AB ("Henkel") er en del af Henkel Corporation, og i henhold til DPA, er Jörg Heine, den dataansvarlige: schwarzkopf.dk@henkel.

Henkel Norden AB (Henkel) er en del af Henkel Corporation, og i henhold til DPA, er Jörg Heine, den dataansvarlige: schwarzkopf.dk@henkel. HENKEL FORTROLIGHEDSPOLITIK Vi, hos Henkel, tager vores forpligtelser i henhold til dansk lov om databeskyttelse (persondataloven) alvorligt og er forpligtet til at beskytte dit privatliv. Denne fortrolighedserklæring

Læs mere

Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk

Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk 9. april 2013 Dokumentnr.: CKG Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk Indhold: 1. Organisation...2 2. Serviceydelser...3 3. Teknik...6 4. Gældende regler...9 1/9 1. Organisation

Læs mere

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) 1 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-951-4 0.05.12

Læs mere

Andersen & Martini A/S

Andersen & Martini A/S Udkast til kommissorium for revisionsudvalget 1. Formål Revisionsudvalget udpeges af bestyrelsen til at bistå denne i udførelsen af bestyrelsens tilsynsopgaver. Revisionsudvalget overvåger: Effektiviteten

Læs mere

Beskyttelse af personlige oplysninger

Beskyttelse af personlige oplysninger Beskyttelse af personlige oplysninger Kelly Services, Inc. og dens datterselskaber (herefter kaldet "Kelly Services" eller Kelly ) respekterer dit privatliv, og vi anerkender, at du har rettigheder i forbindelse

Læs mere

Skyen der er skræddersyet til din forretning.

Skyen der er skræddersyet til din forretning. Skyen der er skræddersyet til din forretning. Dette er Microsoft Cloud. Alle virksomheder er unikke. Fra sundhedsvæsen til detail, produktion eller finans der er ikke to virksomheder, der opererer på samme

Læs mere

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Den finansielle sektor er i dag 100% afhængig af, at it-løsninger er kørende og herudover er sikret i tilfælde af, at noget

Læs mere

Informationssikkerhed Version 2.0 29.09.10

Informationssikkerhed Version 2.0 29.09.10 Informationssikkerhed Version 2.0 29.09.10 Retningslinjer for retablering af systemer og data (Ændringer i forhold til tidligere version er markeret med Understregning) Disse retningslinjer beskriver de

Læs mere

STOFA VEJLEDNING SAFESURF INSTALLATION

STOFA VEJLEDNING SAFESURF INSTALLATION STOFA VEJLEDNING SAFESURF INSTALLATION Denne vejledning gennemgår installationsproceduren af SafeSurf, og herefter de tilpasningsmuligheder man kan benytte sig af. Trin 1 Installationen starter med at

Læs mere

Version 8.0. BullGuard. Backup

Version 8.0. BullGuard. Backup Version 8.0 BullGuard Backup 0GB 1 2 INSTALLATIONSVEJLEDNING WINDOWS VISTA, XP & 2000 (BULLGUARD 8.0) 1 Luk alle åbne programmer, bortset fra Windows. 2 3 Følg instrukserne på skærmen for at installere

Læs mere

Ruko ARX Access. Total tryghed og sikkerhed med online adgangskontrol STAND OFF ALONE LINE LINE

Ruko ARX Access. Total tryghed og sikkerhed med online adgangskontrol STAND OFF ALONE LINE LINE Access STAND ALONE OFF ON Total tryghed og sikkerhed med online adgangskontrol ASSA ABLOY, the global leader in door opening solutions Løsninger til ethvert behov Access indgår som toppen af kransekagen

Læs mere

Sikkerhedsanbefaling. Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded

Sikkerhedsanbefaling. Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded Sikkerhedsanbefaling Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded Juli 2014 Indledning Microsoft har annonceret, at selskabet den 31. december 2016 frigiver den sidste serviceopdatering

Læs mere

Hosting. Managed Hosting - Læg jeres IT ud af huset - og spar tid og besvær.

Hosting. Managed Hosting - Læg jeres IT ud af huset - og spar tid og besvær. Hosting Managed Hosting - Læg jeres IT ud af huset - og spar tid og besvær. Mange virksomheder bruger i dag alt for mange ressourcer på at vedligeholde egne servere og IT-løsninger. Men faktisk er hosting

Læs mere

Hvad er cloud computing?

Hvad er cloud computing? Hvad er cloud computing? Carsten Jørgensen cjo@devoteam.dk Devoteam Consulting COPYRIGHT 11/05/2010 Architecture & Information Simplificering af it og effektiv it til forretningen Business Intelligence

Læs mere

Hvad du søgte efter Identiteten på det websted, du besøgte umiddelbart før vores websted (henvisende websted).

Hvad du søgte efter Identiteten på det websted, du besøgte umiddelbart før vores websted (henvisende websted). Brugervilkår og andre gode ting, som du bør vide for at være sikker online. Sikkerhed er alles ansvar En del af IKEA ånden er "jeg gør min del, du gør din del, og sammen gør vi en masse." Dette gælder

Læs mere

DAU REMOTE ACCESS LØSNINGSMULIGHEDER OG TEKNOLOGIER MED REMOTE ACCESS JOHN AMMENTORP

DAU REMOTE ACCESS LØSNINGSMULIGHEDER OG TEKNOLOGIER MED REMOTE ACCESS JOHN AMMENTORP DAU REMOTE ACCESS LØSNINGSMULIGHEDER OG TEKNOLOGIER MED REMOTE ACCESS JOHN AMMENTORP AGENDA 01 Kort præsentation 02 Behov i forbindelse med de 4 dimensioner 03 Koncept for sikker forbindelser 04 Netværkssikkerhed

Læs mere

EDI til Microsoft Dynamics

EDI til Microsoft Dynamics EDI til Microsoft Dynamics EDI til Microsoft Dynamics Anvend EDI og udnyt potentialet fuldt ud i økonomisystemer fra Microsoft Dynamics herved opnår din virksomhed et mindre ressourceforbrug og færre fejl.

Læs mere

Stiller krav til organisatorisk robustheds-ledelsessystemer (organizational resilence OR management systems)

Stiller krav til organisatorisk robustheds-ledelsessystemer (organizational resilence OR management systems) DS 3001 Organisatorisk robusthed. Sikkerhed, beredskab og kontinuitet. Formål og anvendelsesområde Stiller krav til organisatorisk robustheds-ledelsessystemer (organizational resilence OR management systems)

Læs mere

Identity Access Management

Identity Access Management Identity Access Management Traditionel tilgang til Identity & Access Governance-projekter, udfordringer og muligheder Alex Sinvani ais@dubex.dk Dubex A/S Formålet Opbygge en god konceptuel baggrund for

Læs mere

Integrationsvejledning til Management Reporter til Microsoft Dynamics GP

Integrationsvejledning til Management Reporter til Microsoft Dynamics GP Microsoft Dynamics Integrationsvejledning til Management Reporter til Microsoft Dynamics GP Oktober 2012 Find opdateringer til denne dokumentation på følgende placering: http://go.microsoft.com/fwlink/?linkid=162565

Læs mere

PROfessiOnel RisikOstyRing med RamRisk

PROfessiOnel RisikOstyRing med RamRisk 4 Professionel risikostyring med ramrisk www.ramrisk.dk Risikostyring med RamRisk Rettidig håndtering af risici og muligheder er afgørende for enhver organisation og for succesfuld gennemførelse af ethvert

Læs mere

POLITIK FOR DATABESKYTTELSE

POLITIK FOR DATABESKYTTELSE POLITIK FOR DATABESKYTTELSE Disse retningslinjer for databeskyttelse beskriver, hvordan vi bruger og beskytter oplysninger, som du afgiver i forbindelse med brug af vores hjemmeside. Vi har forpligtet

Læs mere

Navit sp/f. Del A Gennemførelse

Navit sp/f. Del A Gennemførelse Den Internationale Kode for Sikker Drift af Skibe og Forebyggelse af Forurening (International Safety Management-koden (ISM-koden)) Med rettelser gældende pr. 1. juli 2010 Del A Gennemførelse 1. Generelt

Læs mere

CERTAINTY INGENUITY ADVANTAGE. Computershare Din globale leverandør af investorservices

CERTAINTY INGENUITY ADVANTAGE. Computershare Din globale leverandør af investorservices CERTAINTY INGENUITY ADVANTAGE Computershare Din globale leverandør af investorservices Lokal ekspertise med global rækkevidde Computershares innovative investorservices sikrer value for money for dit selskab,

Læs mere

ESET NOD32 ANTIVIRUS 7

ESET NOD32 ANTIVIRUS 7 ESET NOD32 ANTIVIRUS 7 Microsoft Windows 8.1 / 8 / 7 / Vista / XP / Home Server 2003 / Home Server 2011 Startvejledning Klik her for at overføre den seneste version af dette dokument ESET NOD32 Antivirus

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

Toshiba EasyGuard i brug:

Toshiba EasyGuard i brug: Toshiba EasyGuard i brug Toshiba EasyGuard i brug: tecra a5 Få mobil produktivitet i helt nye dimensioner. Toshiba EasyGuard indeholder en række funktioner, der hjælper mobile erhvervskunder med at opfylde

Læs mere

Hosted løsning... 3. Hosted produkter... 4. Dedikeret server hosting... 5. Virtuel server hosting... 6. Shared Office hosting... 7

Hosted løsning... 3. Hosted produkter... 4. Dedikeret server hosting... 5. Virtuel server hosting... 6. Shared Office hosting... 7 2011 Indhold Hosted løsning... 3 Hosted produkter... 4 Dedikeret server hosting... 5 Virtuel server hosting... 6 Shared Office hosting... 7 Exchange hosting... 8 Remote Backup... 9 Hosted løsning Hosting

Læs mere

Bring lys over driften af belysningen

Bring lys over driften af belysningen Bring lys over driften af belysningen CityTouch LightPoint Asset Management system for belysning CityTouch LightPoint / Asset Management 3 Velkommen til den nye intelligens inden for belysning. Professionel

Læs mere

Cloud i brug. Migrering af Digitalisér.dk til cloud computing infrastruktur

Cloud i brug. Migrering af Digitalisér.dk til cloud computing infrastruktur Cloud i brug Migrering af Digitalisér.dk til cloud computing infrastruktur 02 Indhold > Executive Summary............................................................... 03 Digitaliser.dk.....................................................................

Læs mere

Enkelt Nemt Effektivt Skalérbart

Enkelt Nemt Effektivt Skalérbart Enkelt Nemt Effektivt Skalérbart Overvåg hele din IT infrastruktur med ét værktøj Som IT ansvarlig er din infrastruktur lig med dit image over for interne som eksterne kunder. Din mulighed for at reagere

Læs mere

Kultur og adfærd Skab tillid til virksomhedens største aktiv

Kultur og adfærd Skab tillid til virksomhedens største aktiv www.pwc.dk Kultur og adfærd Skab tillid til virksomhedens største aktiv Medarbejderne er virksomhedens største aktiv og udgør samtidig dens største, potentielle risiko. En virksomheds kultur er defineret

Læs mere

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser INDHOLDSFORTEGNELSE 1. Baggrund og formål... 2 2. Ansvarsfordeling... 2 2.1 Jobcenterchefens ansvar... 2 2.2 Gensidig informationspligt... 3 3. Krav til

Læs mere

OPDATERET DEC 2011 Microsoft Office 365. De 10 største fordele til mindre virksomheder og selvstændige (plan P1)

OPDATERET DEC 2011 Microsoft Office 365. De 10 største fordele til mindre virksomheder og selvstændige (plan P1) OPDATERET DEC 2011 Microsoft Office 365 til mindre virksomheder og selvstændige (plan P1) Indhold ved...3 1 Adgang stort set når som helst og hvor som helst...4 2 Ddin virksomhed får et professionelt look

Læs mere

Applikations Virtualisering. Anders Keis Hansen Anders.keis.hansen@atea.dk

Applikations Virtualisering. Anders Keis Hansen Anders.keis.hansen@atea.dk Applikations Virtualisering Anders Keis Hansen Anders.keis.hansen@atea.dk Hvem er jeg Anders Keis Hansen Arbejder i Ateas konsulent afdeling Baggrund som System administrator, IT Arkitekt primært med fokus

Læs mere

Virksomhed reducerer antallet af servere fra 650 til 22 og nedsætter energiforbruget med 90 % vha. virtualisering

Virksomhed reducerer antallet af servere fra 650 til 22 og nedsætter energiforbruget med 90 % vha. virtualisering Microsoft Infrastructure Optimization Case-study med kundeløsning Virksomhed reducerer antallet af servere fra 650 til 22 og nedsætter energiforbruget med 90 % vha. virtualisering Oversigt Land: USA Branche:

Læs mere

Har det en værdi og hvordan kommer du i gang?

Har det en værdi og hvordan kommer du i gang? Virtualisering? Har det en værdi og hvordan kommer du i gang? Torben Vig Nelausen Produktchef Windows Server, Microsoft og Claus Petersen Senior Partner Technology Specialist, Microsoft Agenda Hvad er

Læs mere

Én IT løsning, mange fordele AX TRAVEL. - fremtidens rejsebureauløsning

Én IT løsning, mange fordele AX TRAVEL. - fremtidens rejsebureauløsning Én IT løsning, mange fordele - fremtidens rejsebureauløsning Privatejet virksomhed Etableret i 1987 100 % danskejet Hovedkontor i Allerød og kontor i Århus +80 medarbejdere Solid og positiv økonomi gennem

Læs mere

Leverings- og vedligeholdelsesvilkår for Moderniseringsstyrelsen lokale datavarehus LDV

Leverings- og vedligeholdelsesvilkår for Moderniseringsstyrelsen lokale datavarehus LDV Leverings- og vedligeholdelsesvilkår for Moderniseringsstyrelsen lokale datavarehus LDV Indhold 1. DEFINITIONER... 2 2. BAGGRUND OG FORMÅL... 2 3. MODERNISERINGSSTYRELSENS YDELSER... 3 4. INSTITUTIONENS

Læs mere

One Step Ahead 2011: Fremsyn

One Step Ahead 2011: Fremsyn One Step Ahead 2011: Fremsyn 2 ONE STEP AHEAD 14. og 15. marts 2011 Infrastruktur Cloud Lars Nygaard, divisionschef Server & Cloud Microsoft Danmark ONE STEP AHEAD 14. og 15. marts 2011 Hvad er cloud?

Læs mere

LÆS VENLIGST VILKÅRENE OMHYGGELIGT, FØR DU BRUGER DENNE HJEMMESIDE.

LÆS VENLIGST VILKÅRENE OMHYGGELIGT, FØR DU BRUGER DENNE HJEMMESIDE. LÆS VENLIGST VILKÅRENE OMHYGGELIGT, FØR DU BRUGER DENNE HJEMMESIDE. BRUGSVILKÅR FOR HJEMMESIDE Disse brugsvilkår angiver sammen med de øvrige retningslinjer, som der heri henvises til vilkårene for brug

Læs mere

Reglerne Om Behandling Af Personlige Oplysninger

Reglerne Om Behandling Af Personlige Oplysninger Reglerne Om Behandling Af Personlige Oplysninger Sådan bruger og beskytter vi personlige oplysninger Hos Genworth Financial ligger det os stærkt på sinde at beskytte dit privatliv og dine personlige oplysninger.

Læs mere

Kommissorium for Revisions- og Risikokomiteen i DONG Energy A/S

Kommissorium for Revisions- og Risikokomiteen i DONG Energy A/S Kommissorium for Revisions- og Risikokomiteen i DONG Energy A/S Generelt Revisions- og Risikokomiteen er et udvalg under Bestyrelsen, der er nedsat i overensstemmelse med forretningsordenen for Bestyrelsen.

Læs mere

Spillemyndighedens krav til akkrediterede testvirksomheder. Version 1.3.0 af 1. juli 2012

Spillemyndighedens krav til akkrediterede testvirksomheder. Version 1.3.0 af 1. juli 2012 Version 1.3.0 af 1. juli 2012 Indhold 1 Indledning... 4 1.1 Myndighed... 4 1.2 Formål... 4 1.3 Målgruppe... 4 1.4 Version... 4 1.5 Henvendelser... 4 2 Certificering... 5 2.1 Rammer for certificering...

Læs mere

Erklæring om beskyttelse af personlige oplysninger for Microsoft Dynamics AX 2012

Erklæring om beskyttelse af personlige oplysninger for Microsoft Dynamics AX 2012 Erklæring om beskyttelse af personlige oplysninger for Microsoft Dynamics AX 2012 Sidst opdateret: november 2012 Hos Microsoft bestræber vi os på at beskytte dine personlige oplysninger, samtidig med at

Læs mere

Spillemyndighedens certificeringsprogram. Ledelsessystem for informationssikkerhed SCP.03.00.DK.1.0

Spillemyndighedens certificeringsprogram. Ledelsessystem for informationssikkerhed SCP.03.00.DK.1.0 SCP.03.00.DK.1.0 Indhold Indhold... 2 1 Formålet med ledelsessystem for informationssikkerhed... 3 1.1 Overblik over dette dokument... 3 1.2 Version... 3 2 Certificering... 3 2.1 Certificeringsfrekvens...

Læs mere

HELLO INSTALLATIONS GUIDE - DANSK RACKPEOPLE

HELLO INSTALLATIONS GUIDE - DANSK RACKPEOPLE HELLO INSTALLATIONS GUIDE - DANSK RACKPEOPLE 1 Tekniske Krav 1.1 Hardware krav: En skærm gerne med touch Hvis skærmen ikke har touch, skal du bruge et tastatur og en mus Webcam Gerne i HD En ekstern lydenhed

Læs mere

Johnson Controls' Binding Corporate Rules (bindende virksomhedsregler)

Johnson Controls' Binding Corporate Rules (bindende virksomhedsregler) Johnson Controls' Binding Corporate Rules (bindende virksomhedsregler) Indhold 1. Introduktion 2. Område og anvendelse 3. Gennemsigtighed og underretning 4. Rimelig behandling og afgrænsning af formål

Læs mere

Internet Information Services (IIS)

Internet Information Services (IIS) Internet Information Services (IIS) Casper Simonsen & Yulia Sadovskaya H1we080113 06-11-2013 Indholdsfortegnelse Problemformulering... 2 Hvorfor:... 2 Hvad:... 2 Hvordan:... 2 Problembehandling... 3 Introduktion...

Læs mere

It-sikkerhedsstrategi i kommuner hvad giver mening at varetage internt og hvad kan outsources?

It-sikkerhedsstrategi i kommuner hvad giver mening at varetage internt og hvad kan outsources? It-sikkerhedsstrategi i kommuner hvad giver mening at varetage internt og hvad kan outsources? Klaus Kongsted, CRO, Dubex A/S Dubex A/S, den 5. maj 2015 Krav og udfordringer Avanceret infrastruktur og

Læs mere

Vilkår for hosting. 6. revision 7. maj 2005. CompuSoft A/S Anderupvej 16 5270 Odense N CVR-nr. 21774774 (i det følgende kaldet leverandøren)

Vilkår for hosting. 6. revision 7. maj 2005. CompuSoft A/S Anderupvej 16 5270 Odense N CVR-nr. 21774774 (i det følgende kaldet leverandøren) Vilkår for hosting 6. revision 7. maj 2005 CompuSoft A/S Anderupvej 16 5270 Odense N CVR-nr. 21774774 (i det følgende kaldet leverandøren) CompuSoft A/S, Anderupvej 16, DK 5270 Odense N, Tlf. +45 6318

Læs mere

SERVICE LEVEL AGREEMENT for levering af In & Outbound Datacenters IT-Ydelser

SERVICE LEVEL AGREEMENT for levering af In & Outbound Datacenters IT-Ydelser SERVICE LEVEL AGREEMENT for levering af In & Outbound Datacenters IT-Ydelser iodc (In & Outbound Datacenter) Hvidovrevej 80D 2610 Rødovre CVR 35963634 ( IODC ) Version 1.0 1 1. Forudsætninger... 3 2. Ansvar

Læs mere

DK CERT Sårbarhedsdatabase. Brugervejledning

DK CERT Sårbarhedsdatabase. Brugervejledning DK CERT Sårbarhedsdatabase Brugervejledning Februar 2003 Indhold Velkommen til DK CERTs sårbarhedsdatabase...3 Kom hurtigt i gang...4 Gode råd om masker...7 Mangler jeres applikation?...8 Generel vejledning...9

Læs mere

Få kontrol over omkostninger, indkøb og overblik over likviditet. Purchase-to-Pay Canon Business Solutions

Få kontrol over omkostninger, indkøb og overblik over likviditet. Purchase-to-Pay Canon Business Solutions Få kontrol over omkostninger, indkøb og overblik over likviditet Purchase-to-Pay Canon Business Solutions Purchase-to-Pay automatisering giver et samlet styresystem for både indkøbs- og økonomiafdelingen

Læs mere

Sikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005

Sikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005 Sikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005 INDHOLDSFORTEGNELSE 1. INTRODUKTION... 3 1.1 FORMÅL... 3 2 FYSISK SIKKERHED... 4 2.1 MILJØ OG SIKRING... 4 2.2 ADGANGSKONTROL... 5 3 HARDWARE...

Læs mere

Databehandleraftale. Der er indgået denne Databehandlingsaftale ("Aftale") mellem

Databehandleraftale. Der er indgået denne Databehandlingsaftale (Aftale) mellem Oktober 2014 Sagsnr. 013928-0190 cen/dla Databehandleraftale Der er indgået denne Databehandlingsaftale ("Aftale") mellem Fredericia Kommune Gothersgade 20 7000 Frdericia CVR-nr.: 69116418 ("Kommunen")

Læs mere

Opgradere fra Windows Vista til Windows 7 (brugerdefineret installation)

Opgradere fra Windows Vista til Windows 7 (brugerdefineret installation) Opgradere fra Windows Vista til Windows 7 (brugerdefineret installation) Hvis du ikke kan opgradere computeren, som kører Windows Vista, til Windows 7, så skal du foretage en brugerdefineret installation.

Læs mere

as a Service Dynamisk infrastruktur

as a Service Dynamisk infrastruktur Dynamisk infrastruktur Vi bygger dynamisk infrastruktur...... og holder den kørende Om jeres it-infrastruktur fungerer optimalt, er i bund og grund et spørgsmål om kapacitet. Og så er det et spørgsmål

Læs mere

Spillemyndighedens certificeringsprogram Program for styring af systemændringer

Spillemyndighedens certificeringsprogram Program for styring af systemændringer SCP.06.00.DK.1.0 Indhold Indhold... 2 1 Formålet med program for styring af systemændringer... 3 1.1 Overblik over dette dokument... 3 1.2 Version... 3 2 Certificering... 4 2.1 Certificeringsfrekvens...

Læs mere

Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens:

Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens: DS/ISO 31000 Risikoledelse ISO 31000 - Risikoledelse Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens: overordnede

Læs mere

Digital Signatur OCES en fælles offentlig certifikat-standard

Digital Signatur OCES en fælles offentlig certifikat-standard Digital Signatur OCES en fælles offentlig certifikat-standard IT- og Telestyrelsen December 2002 Resumé Ministeriet for Videnskab, Teknologi og Udvikling har udarbejdet en ny fælles offentlig standard

Læs mere

KURSER INDENFOR SOA, WEB SERVICES OG SEMANTIC WEB

KURSER INDENFOR SOA, WEB SERVICES OG SEMANTIC WEB KURSER INDENFOR SOA, WEB SERVICES OG SEMANTIC WEB Det er Web Services, der rejser sig fra støvet efter Dot Com boblens brag. INTRODUKTION Dette dokument beskriver forslag til fire moduler, hvis formål

Læs mere

Energy Operation skræddersyet hosted løsning til energioptimering. Jens Ellevang Energi Management Konsulent

Energy Operation skræddersyet hosted løsning til energioptimering. Jens Ellevang Energi Management Konsulent Energy Operation skræddersyet hosted løsning til energioptimering Jens Ellevang Energi Management Konsulent Emne Schneider Electric Danmark A/S - Name Date 2 Fra energidata til energi management Har du

Læs mere

SystemGruppen KOMPETENCE OG SERVICE

SystemGruppen KOMPETENCE OG SERVICE SystemGruppen KOMPETENCE OG SERVICE Velkommen til System Gruppen Hos SystemGruppen sætter vi meget stor pris på vores kunder. Vi vil gerne sørge for, at du føler dig kompetent serviceret og godt hjulpet.

Læs mere

Advarsel: Den private nøglefil skal beskyttes.

Advarsel: Den private nøglefil skal beskyttes. Symantecs vejledning om optimal sikkerhed med pcanywhere Dette dokument gennemgår sikkerhedsforbedringerne i pcanywhere 12.5 SP4 og pcanywhere Solution 12.6.7, hvordan de vigtigste dele af forbedringerne

Læs mere

Forår 2012 - Firewalls

Forår 2012 - Firewalls Syddansk Universitet DM830 - Netværkssikkerhed Imada - Institut for matematik og datalogi Forår 2012 - Firewalls Forfatter: Daniel Fentz Johansen Alexei Mihalchuk Underviser: Prof. Joan Boyar Indhold 1

Læs mere

Basis Abonnement 28 dage @ 2 fps (Billede-Serie) Gyldig fra 01. Maj 2011 Kamera overvågning - Axis Kameraer and NAS tilsluttet gennem Internettet.

Basis Abonnement 28 dage @ 2 fps (Billede-Serie) Gyldig fra 01. Maj 2011 Kamera overvågning - Axis Kameraer and NAS tilsluttet gennem Internettet. Basis Abonnement 28 dage @ 2 fps (Billede-Serie) Gyldig fra 01. Maj 2011 Kamera overvågning - Axis Kameraer and NAS tilsluttet gennem Internettet. Funktion Kapacitet Kamera Ekstra Kamera Live. Max antal

Læs mere

Spillemyndighedens certificeringsprogram. Teststandarder for online væddemål SCP.01.01.DK.1.0

Spillemyndighedens certificeringsprogram. Teststandarder for online væddemål SCP.01.01.DK.1.0 SCP.01.01.DK.1.0 Indhold Indhold... 2 1 Formålet med teststandarderne... 3 1.1 Overblik over dette dokument... 3 1.2 Version... 3 2 Certificering... 3 2.1 Certificeringsfrekvens... 3 2.1.1 Første certificering...

Læs mere

ITIL Foundation-eksamen

ITIL Foundation-eksamen ITIL Foundation-eksamen Prøveopgave A, version 5.1 Multiple choice Vejledning 1. Alle 40 spørgsmål bør forsøges besvaret. 2. Alle svar skal markeres på det vedlagte svarark. 3. Du har 1 time til at løse

Læs mere