Sikring af Microsofts cloud Infrastruktur

Størrelse: px
Starte visningen fra side:

Download "Sikring af Microsofts cloud Infrastruktur"

Transkript

1 Sikring af Microsofts cloud Infrastruktur I dette dokument introduceres læseren til Online Services Security and Compliance-teamet, som er den del af Global Foundation Services-divisionen, der står for sikkerheden i Microsofts cloud-infrastruktur. Læserne vil opnå forståelse af, hvad Microsoft cloud computing betyder i dag, og hvordan Microsoft leverer en pålidelig cloud computing-infrastruktur. Udgivet: Maj

2 Indhold Resumé... 3 Sikkerhedsudfordringer ved cloud computing... 4 Hvordan håndterer Microsoft disse udfordringer?... 5 Hvad er Microsoft cloud computing?... 6 Online Services Security and Compliance-team... 6 Trustworthy Computing hos Microsoft... 7 Beskyttelse af personlige oplysninger... 8 Sikkerhed... 9 Information Security Program... 9 Risikostyringsprocesser Styring af forretningskontinuitet Styring af sikkerhedshændelser Global Criminal Compliance Overholdelse af driftsmæssige regler og standarder En "defense-in-depth"-indfaldsvinkel Fysisk sikkerhed Netværkssikkerhed Datasikkerhed Administration af identitet og adgang Programsikkerhed Overvågning og rapportering af værtssikkerhed Konklusion Yderligere oplysninger

3 Resumé I den seneste forskning inden for nye definitioner af "Cloud", "cloud computing" og "cloud-miljø" har man forsøgt at identificere, hvad kunder forventer af cloud computing-udbydere, og at finde måder til at kategorisere, hvad disse udbydere kan tilbyde. Ideen om, at man ved at købe tjenester fra et cloud computing-miljø kan gøre det muligt for dem, der træffer de teknologiske beslutninger i virksomhederne, at spare penge og tillade virksomhederne at fokusere på deres kerneområder, er et tiltalende forslag i det nuværende økonomiske klima. Mange analytikere ser de nye muligheder for prisfastsættelse og for levering af tjenester online som værende forstyrrende for markedsforholdene. Disse markedsundersøgelser og efterfølgende dialoger mellem potentielle kunder og serviceudbydere afslører, at bestemte temaer dukker frem som mulige hindringer for en hurtig indførelse af cloud computing. Bekymringer over sikkerhed, beskyttelse af personlige oplysninger, pålidelighed og driftsmæssig styring står øverst på listen over mulige hindringer. Microsoft anerkender, at beslutningstagerne i virksomhederne har mange spørgsmål vedrørende disse problemstillinger, også et behov for at vide, hvordan de håndteres i cloud computing-miljøet hos Microsoft og konsekvenserne for egne risici og driftsmæssige beslutninger. I dette dokument demonstreres det, hvordan koordineret og strategisk brug af medarbejdere, processer, teknologier og erfaringer resulterer i fortsatte forbedringer af Microsoft cloud computing. Online Services Security and Complianceteamet (OSSC) i Global Foundation Services-divisionen (GFS) er dannet ud fra samme sikkerhedsprincipper og -processer, som dem Microsoft har udviklet gennem årelang erfaring med styring af sikkerhedsrisici i traditionelle udviklings- og driftsmiljøer. 3

4 Sikkerhedsudfordringer ved cloud computing It-branchen står over for udfordringer, der er opstået som følge af de muligheder, som cloud computing åbner op for. Microsoft har i mere end 15 år håndteret følgende udfordringer i forbindelse med levering af onlinetjenester: De nye cloud-forretningsmodeller skaber en voksende indbyrdes afhængighed mellem enheder i den offentlige og private sektor og de personer, de leverer tjenester til denne type organisationer og deres kunder vil blive stadig mere afhængige af hinanden via brug af cloud. Med disse nye afhængigheder følger gensidige forventninger om, at platformtjenester og hostede applikationer er sikre og tilgængelige. Microsoft leverer en infrastruktur, man kan have tillid til, platform, som enheder inden for den offentlige og private sektor og deres partnere kan bruge til at skabe en pålidelig oplevelse for deres brugere. Microsoft arbejder aktivt sammen med disse grupper og udviklingsmiljøet generelt for at fremme implementering af processer til risikostyring, der er centreret omkring sikkerhed. Hurtigere implementering af cloud computing, inklusive fortsat udvikling af teknologier og forretningsmodeller, skaber et dynamisk værtsmiljø, som i sig selv er en sikkerhedsudfordring hvis det skal være muligt at holde trit med væksten og forudsige fremtidige behov, er det af afgørende vigtighed, at der køres et effektivt sikkerhedsprogram. Den seneste bølge af ændringer er allerede startet i form af hurtig overgang til virtualisering og en stigende indførelse af Microsofts Software-plus-services-strategi, der kombinerer styrken og funktionaliteten i computere, mobile enheder, onlinetjenester og virksomhedssoftware. Cloud computing-platforme gør det muligt at udvikle brugerdefinerede programmer fra tredjeparter, som hostes i Microsofts cloud. Via Information Security Program til onlinetjenester, der er beskrevet mere detaljeret senere i dette dokument, bevarer Microsoft stærke interne partnerskaber mellem teams, der står for sikkerhed, produkter og levering af tjenester, med det formål at levere et pålideligt Microsoft cloud computing-miljø, mens disse ændringer finder sted. Forsøg på at infiltrere eller forstyrre online services bliver stadig mere avancerede, efterhånden som stadig flere handler og forretningsmæssige aktiviteter foregår her selvom hackere stadig søger opmærksomhed via en lang række teknikker, der omfatter domain squatting og man-in-the-middle-angreb, er der fremkommet mere avancerede, ondsindede forsøg på at hente id'er eller blokere for adgang til følsomme virksomhedsdata, sammen med et mere organiseret undergrundsmarked for stjålne data. Microsoft arbejder tæt sammen med relevante myndigheder, partnere og ligestillede i branchen og forskningsgrupper for at kunne forstå og reagere på dette trusselslandskab, der er ved at fremkomme. Derudover introduceres der i Microsoft Security Development Lifecycle, som er beskrevet senere i dokumentet, sikkerhed og beskyttelse af personlige oplysninger tidligt i udviklingsprocessen og hele vejen gennem den. Der skal tages stilling til komplekse krav til overholdelse af regler og standarder, efterhånden som nye og eksisterende tjenester leveres globalt. Overholdelse af regler og standarder, som kan være lovgivningsmæssige eller branchebestemte (i resten af dokumentet omtalt som "lovgivningsmæssige") er et yderst komplekst område. En af grundene er at hvert enkelt land kan introducere egne love, som regulerer anskaffelse og brug af onlinemiljøer. Microsoft skal være i stand til at overholde myriader af lovgivningsmæssige forpligtelser, fordi vi har datacentre i en lang række lande og tilbyder onlinetjenester til en global kundebase. Derudover pålægges der også krav fra mange brancher. Microsoft har implementeret en struktur for overholdelse af regler og standarder (beskrevet senere i dokumentet), som følges for at opnå effektiv håndtering af forskellige forpligtelser mht. overholdelse af regler og standarder, uden at dette skaber unødige byrder for virksomheden. 4

5 Hvordan håndterer Microsoft disse udfordringer? Siden MSN blev lanceret i 1994, har Microsoft opbygget og kørt onlinetjenester. GFS-divisionen håndterer cloudinfrastrukturen og -platformen til Microsofts onlinetjenester og sikrer også tilgængelighed for flere hundrede millioner kunder over hele verden døgnet rundt, alle dage. Mere end 200 af virksomhedens onlinetjenester og webportaler hostes i denne cloud-infrastruktur. Det gælder også velkendte forbrugerorienterede tjenester som Windows Live Hotmail og Live Search samt virksomhedsorienterede tjenester som Microsoft Dynamics CRM Online og Microsoft Business Productivity Online Standard Suite fra Microsoft Online Services. Uanset om en kundes personlige oplysninger er gemt på kundens egen computer eller online, eller om en organisations forretningskritiske data lagres internt eller på en hosted server og sendes via internettet, ved Microsoft, at alle disse platforme skal kunne levere en Trustworthy Computing-oplevelse. Som virksomhed er Microsoft i den enestående position at kunne levere både vejledning og teknologiske løsninger, der kan tilbyde en mere sikker onlineoplevelse. For at hjælpe kunderne til at undgå finansielle tab og andre konsekvenser af opportunistiske og målrettede onlineangreb og som en del af en urokkelig forpligtelse til Trustworthy Computing sikrer Microsoft, at de medarbejdere, processer og teknologier, der findes i virksomheden, benytter sikre aktiviteter, produkter og tjenester, som også fremmer beskyttelse af personlige oplysninger. Microsoft leverer pålidelig cloud computing via fokus på tre områder: Brug af et risikobaseret informationssikkerhedsprogram, der vurderer og prioriterer sikkerhed og driftsmæssige trusler mod virksomheden Vedligeholdelse og opdatering af et detaljeret sæt sikkerhedskontrolfunktioner, der afhjælper risici. Brug af en struktur for overholdelse af standarder og regler, som sikrer, at kontrolfunktioner designes hensigtsmæssigt og bruges effektivt. I dette dokument beskrives det, hvordan Microsoft beskytter kundedata og virksomhedsoperationer via et omfattende Information Security Program og en veludviklet metode til styring af politikker og overholdelse af regler og standarder, hyppig intern og ekstern evaluering af fremgangsmåder og funktionaliteter og stærke sikkerhedskontrolfunktioner på tværs af alle service-lag. Disse processer og mekanismer er den måde, Microsoft overholder branchestandarder og sikrer overholdelse af alle relevante love, direktiver, vedtægter og bekendtgørelser, når der leveres tjenester online til en global kundebase. Selvom politikker til beskyttelse af personlige oplysninger er nævnt i dette dokument, er det ikke hensigten, at det skal være en dybtgående diskussion af disse politikker, ligesom dokumentet heller ikke skal ses som en brugervejledning til beskyttelse af personlige oplysninger. Oplysninger om, hvordan Microsoft håndterer beskyttelse af personlige oplysninger findes på Microsoft Trustworthy Computing Privacy-siden. 5

6 Hvad er Microsoft cloud computing? Microsoft cloud computing-miljøet er den fysiske og logiske infrastruktur samt de hostede programmer og platformtjenester. GFS leverer den fysiske og logiske cloud-infrastruktur hos Microsoft inklusive mange platformtjenester. Den fysiske infrastruktur omfatter selve datacenterfaciliteterne og den hardware og de komponenter, der understøtter tjenester og netværk. Hos Microsoft består den logiske infrastruktur af instanser af operativsystemet, distribuerede netværk og ikke-strukturerede datalagre, uanset om det afvkles på virtuelle eller fysiske objekter. Platformtjenester omfatter computer runtimes (f.eks. Internet Information Services,.NET Framework, Microsoft SQL Server ), id- og mappelagre (f.eks. Active Directory og Windows Live ID), navnetjenester (DNS) og andre avancerede funktioner, der bruges i onlinetjenester. Microsofts cloud-platformtjenester, f.eks. infrastrukturtjenester, kan være virtuelle eller faktiske. Onlineprogrammer, der kører i Microsoft cloud, omfatter enkle og komplekse produkter, der er udformet til en bred vifte af kunder. Disse onlinetjenester og de tilsvarende krav til sikkerhed og beskyttelse af personlige oplysninger kan groft inddeles som: Services til forbrugere og mindre virksomheder disse eksempler omfatter Windows Live Messenger, Windows Live Hotmail, Live Search, Xbox LIVE og Microsoft Office Live. Enterprise Services f.eks. Microsoft Dynamics CRM Online og Microsoft Business Productivity Online Standard Suite inklusive Exchange Online, SharePoint Online og Office Live Meeting. Tredjeparts hostede løsninger omfatter webbaserede applikationer og løsninger, der udvikles og bruges af tredjeparter vha. platformstjenester, som er stillet til rådighed via Microsofts cloud computing-miljø. Online Services Security and Compliance-team OSSC-teamet i GFS er ansvarlig for Microsofts Information Security Program for cloud-infrastrukturen, inklusive politikker og programmer der bruges til at håndtere onlinesikkerhedsrisici. OSSC's mission er at gøre det muligt at få pålidelige onlinetjenester, der giver Microsoft og Microsofts kunder en konkurrencemæssig fordel. Når denne funktion placeres i et Cloud computing infrastrukturlag, kan alle Microsofts cloud computing-tjenester få glæde af stordriftsfordele og reduceret kompleksitet via brug af delte sikkerhedsløsninger. Tilgangen til denne standard betyder også, at hvert af Microsofts serviceteams kan fokusere på deres kunders unikke sikkerhedsbehov. OSSC-teamet fører an i arbejdet med at levere pålidelige Cloud computing aktiviteter via Microsofts Information Security Program med brug af en risikobaseret driftsmodel og en "defense-in-depth"-tilgang til kontrolfunktioner. Dette omfatter regelmæssig gennemgang af risikostyring, udvikling og vedligeholdelse af en sikkerhedskontrolstruktur og fortløbende arbejde med at sikre overholdelse af regler og standarder inden for en række aktiviteter lige fra udvikling af 6

7 datacentre til svar på anmodninger fra myndigheder i hele verden. Teamet benytter best practice-processer, som omfatter mange forskellige former for intern og ekstern gennemgang af onlinetjenesternes og det enkelte elements levetid i infrastrukturen. Disse tætte arbejdsrelationer med andre Microsoft-teams resulterer i en vidtfavnende indfaldsvinkel til sikring af Microsoft Cloud computing- applikationer. Med driften af en global cloud computing-infrastruktur, der omfatter mange virksomheder, følger behovet for at sikre overensstemmelse af regler og standarder og revision fra eksterne revisorer. Overvågningskrav stammer fra enheder med bemyndigelse fra offentlige instanser og branchen, interne politikker og branchens best practices. OSSCprogrammet sikrer, at forventninger til overholdelse af regler og standarder kontinuerligt evalueres og indarbejdes. Som resultat af Information Security Program er Microsoft i stand til at opnå vigtige certificeringer som Den Internationale Standardiseringsorganisation / International Society of Electrochemistry 27001:2005 (ISO/IEC 27001:2005) og Statement of Auditing Standard (SAS) 70 Type I- og Type II-attestationer og til mere effektivt at klare regelmæssige revisioner fra uafhængige tredjeparter. Trustworthy Computing hos Microsoft Den centrale drivkraft til at oprette et effektivt sikkerhedsprogram er at have en kultur, hvor man er opmærksom på sikkerhed og prioriterer den højt. Microsoft anerkender, at en sådan kultur skal bemyndiges og støttes af virksomhedens ledere. Microsofts lederteam har længe arbejdet dedikeret på at foretage de rigtige investeringer og bruge de rette incitamenter til at fremme sikker adfærd. Microsoft skabte Trustworthy Computing-initiativet i 2002, hvor Bill Gates forpligtede Microsoft til grundlæggende ændringer af virksomhedens mål og strategi inden for nøgleområder. I dag er Trustworthy Computing en virksomhedsmæssig kerneværdi hos Microsoft, der fungerer som en rettesnor for næsten alt, hvad virksomheden foretager sig. Dette initiativ er baseret på fire grundsten: beskyttelse af personlige oplysninger, sikkerhed, pålidelighed og forretningsprincipper. Du kan læse mere om Trustworthy Computing på Microsoft Trustworthy Computing-siden. Microsoft ved, at succes med hurtigt skiftende aktiviteter inden for onlinetjenester afhænger af sikkerheden for kundens data og beskyttelse af dem og tilgængeligheden og smidigheden af de tjenester, Microsoft tilbyder. Microsoft udformer og tester omhyggeligt programmer og infrastruktur efter internationalt anerkendte standarder for at kunne påvise disses funktionalitet og overensstemmelse med lovgivningen og med interne politikker for sikkerhed og beskyttelse af personlige oplysninger. Resultatet er, at Microsofts kunder kan nyde godt af mere fokuseret test og overvågning, automatisk levering af programrettelser, stordriftsfordele, der giver omkostningsbesparelser og fortløbende forbedringer af sikkerheden. 7

8 Beskyttelse af personlige oplysninger Microsofts arbejde med at beskytte kundernes personlige oplysninger og sikkerhed, overholde al relevant lovgivning om beskyttelse af personlige oplysninger og følge de stringente principper bag databeskyttelse er detaljeret beskrevet i Microsofts erklæringer om beskyttelse af personlige oplysninger. For at sikre at kunderne altid kan have tillid til Microsoft, udvikler Microsoft software, løsninger og processer med beskyttelse af personlige oplysninger for øje. Microsofts team arbejder konstant med at sikre overholdelse af global lovgivning om beskyttelse af private oplysninger, og virksomhedens egne principper for beskyttelse af personlige oplysninger er til dels udledt af databeskyttelseslovgivning rundt omkring i verden. Microsoft følger den retning, der er angivet i disse forskellige former for lovgivning om beskyttelse af personlige oplysninger og anvender disse standarder globalt. Microsoft beskytter sikkerheden for personlige oplysninger. De teams, der leverer onlinetjenester, benytter en lang række sikkerhedsteknologier og -procedurer til at beskytte personlige oplysninger mod ikke-godkendt adgang, brug eller offentliggørelse. Microsofts softwareudviklingsteam anvender de PD3+C-principper, der er defineret i Security Development Lifecycle (SDL), overalt i virksomhedens udviklings- og driftsprincipper: Privacy by Design Microsoft bruger dette princip på mange måder under udvikling, frigivelse og vedligeholdelse af programmer for at sikre, at de data, der er indsamlet fra kunderne, er til et bestemt formål, og at kunden får passende varsel til at kunne træffe en velfunderet beslutning. Når data, der skal indsamles, klassificeres som værende yderst følsomme, kan der træffes yderligere sikkerhedsforanstaltninger i form af kryptering under overførsel, mens de ligger stille eller begge dele. Beskyttelse af personlige oplysninger som udgangspunkt i al kommunikation med Microsoft bliver kunden spurgt om tilladelse, før følsomme data indsamles eller overføres. Når der er indhentet godkendelse, beskyttes disse data af f.eks. adgangskontrollister kombineret med mekanismer til identitetsgodkendelse. Beskyttelse af personlige oplysninger ved installation Alle relevante mekanismer til beskyttelse af personlige oplysninger fremlægges over for virksomhedskunder, så de kan etablere relevante politikker til beskyttelse af personlige oplysninger og sikkerhed for deres brugere. Kommunikation Microsoft inddrager aktivt offentligheden via udgivelse af politikker til beskyttelse af personlige oplysninger, white papers og anden dokumentation vedrørende beskyttelse af personlige oplysninger. Du kan finde flere oplysninger om Microsofts engagement inden for beskyttelse af personlige oplysninger på Microsoft Trustworthy Computing Privacy -siden. 8

9 Sikkerhed Microsoft tilpasser hele tiden virksomhedens cloud computing-infrastruktur for at drage fordel af nye teknologier, f.eks. virtualisering. Disse fremskridt resulterer i adskillelse af informationsaktiver fra en fælles fysisk infrastruktur for mange typer kundeobjekter. Selvom softwareudviklingsprocessen for programmer, der er hosted online, ofte er mere fleksibel med hyppigere opdateringer, er det nødvendigt at tilpasse risikostyringen i forbindelse med informationssikkerheden, for at sikre det vi kalder Trustworthy Computing. Nedenfor i dokumentet følger en detaljeret gennemgang af, hvordan Microsoft OSSC-teamet anvender grundlæggende sikkerhedselementer, og det arbejde hele virksomheden lægger i at styre risici i Microsofts cloud computinginfrastruktur. Desuden følger en gennemgang af, hvad "defense-in-depth"-tilgangen til sikkerhed for onlinetjenester betyder, og hvordan cloud computing resulterer i nye indfaldsvinkler til sikkerhedsforanstaltninger. Information Security Program Dette onlineinformationssikkerhedsprogram fra Microsoft definerer, hvordan OSSC fungerer. Programmet er selvstændigt certificeret af British Standards Institute (BSI) Management Systems America som værende i overensstemmelse med ISO/IEC 27001:2005. Du kan se ISO/IEC 27001:2005-certificeringer på Certificate/Client Directory Search Results-siden. Ifølge Information Security Program organiseres sikkerhedskrav i tre områder på øverste niveau: administrativt, teknisk og fysisk. Kriterierne i disse områder repræsenterer det grundlag, som risici styres ud fra. Med udgangspunkt i de sikkerhedsforanstaltninger og kontrolfunktioner, der er identificeret i områderne og disses underkategorier, følger Information Security Program strukturen i ISO/IEC27001:2005, der angiver "planlæg, udfør, kontrollér, reager". 9

10 OSSC definerer yderligere fire trin i den traditionelle planlæg-udfør-kontrollér-reager-struktur i et ISOinformationssikkerhedsprogram som følger: Planlæg a. Risikobaseret beslutningstagning OSSC er drivkraften bag prioritering af nøgleaktiviteter og allokering af ressourcer og udarbejder en plan for sikkerhedsaktiviteter baseret på risikovurderinger. De organisationsmæssige og individuelle mål, der fastholdes i denne plan, er rettet mod opdateringer til politikker, driftsstandarder og sikkerhedskontrol i GFS og mange produktgrupper. b. Dokumentkrav OSSC definerer klare forventninger, der udstikker linjerne for de attestationer og certificeringer, der skal indhentes fra tredjeparter, via en dokumenteret kontrolstruktur. Denne struktur definerer kravene på en klar, ensartet og præcis måde. Udfør a. Implementer relevante sikkerhedsforanstaltninger sikkerhedsforanstaltninger, der er baseret på en plan for sikkerhedsaktiviteter, der udarbejdes af de teams, der står bag drift, produkter og levering af løsninger. b. Styr sikkerhedsforanstaltninger OSSC implementerer og håndterer mange sikkerhedsforanstaltninger, f.eks. dem, der bruges til at sikre Global Criminal Compliance, til at styre trusler mod infrastrukturen og til at sikre datacentre fysisk. Andre forholdsregler gennemføres og vedligeholdes via de teams, der står bag drift, produkter og levering af løsninger. Kontrollér a. Mål og gør bedre OSSC vurderer kontinuerligt sikkerhedsforanstaltningerne Ekstra sikkerhedsforanstaltninger kan tilføjes, eller eksisterende kan redigeres for at sikre, at de mål, der er udstukket i Information Security Policy og kontrolstrukturen, opfyldes. Reager a. Valider programeffektivitet såvel interne som eksterne revisorer gennemgår med regelmæssige mellemrum Information Security Program som en del af det fortløbende arbejde med at sikre programmets effektivitet. b. Juster for at bevare relevans OSSC evaluerer Information Security Program og dets kontrolstruktur i forhold til relevante krav og standarder fra myndigheder, virksomheder og branchen for at identificere de områder, der kan forbedres, og for at kontrollere, at målene er nået. Microsofts teknologi og forretningsplaner opdateres følgelig for at kunne håndtere virkningen af de driftsmæssige ændringer. Et sikkerhedsprogram er ikke komplet, hvis der ikke tages hånd om behovet for uddannelse af medarbejderne. Microsoft udarbejder og leverer sikkerhedstræning for at sikre, at alle grupper, der er involveret i at oprette, installere, drive og yde support til onlinetjenester, der er hosted i cloud computing-infrastrukturen, forstår deres ansvar i forhold til Information Security Policy for onlinetjenester fra Microsoft. I dette kursusprogram undervises der i vigtige retningslinjer, som bør anvendes, når der tages udgangspunkt i det enkelte lag i Microsofts "defense-in-depth"-indfaldsvinkel for at sikre onlinetjenester. Microsoft opfordrer desuden virksomhedskunder og udviklere af tredjepartsoftware til at anvende samme principper i udviklingen af programmer og levering af tjenester med brug af Microsofts cloud computing-infrastruktur. 10

11 Risikostyringsprocesser Analyse og løsning af sikkerhedsrisici i onlinesystemer, der er indbyrdes afhængige, er mere kompleks og kan være mere tidskrævende end det, der normalt kræves i traditionelle it-systemer. Risikostyring og tilsvarende gennemgang skal tilpasses i dette dynamiske miljø. Microsoft anvender gennemarbejdede processer, der er baseret på stor erfaring med levering af tjenester til internettet til håndtering af disse nye risici. OSSC-medarbejderne arbejder sammen med driftsteam og virksomhedsejere i mange produkt- og serviceleveringsgrupper inden for Microsoft om at styre disse risici. Information Security Program fastlægger standardprocesser og dokumentationskrav til udførelse af beslutningstagning der tager højde for risici. Via Security Risk Management Program (SRMP) foregår risikovurderingerne på en lang række niveauer, og der informeres om prioritering inden for områder som produktversionsplaner, vedligeholdelse af politikker og ressourceallokering. Hvert år foretages en omfattende vurdering af trusler mod Microsofts cloud computing-infrastruktur, som fører til yderligere gennemgange i løbet af året. I løbet af året fokuseres der på de trusler, der kan være mest alvorlige Via denne proces foretager Microsoft prioritering og giver vejledning i udvikling af sikkerhedsforanstaltninger og relaterede aktiviteter. I SRMPmetoden vurderes effektiviteten af kontrollen i forhold til trusler ved at: Identificere trusler og risici Beregne risici Rapportere risici for Microsofts cloud computing Håndtere risici baseret på vurdering af effekt og det tilknyttede forretningsmæssige aspekt Afprøve effektiviteten af afhjælpning og den tilbageværende risiko Foretage løbende styring af risici Styring af forretningskontinuitet Mange organisationer, der overvejer brug af cloud-applikationer, stiller spørgsmål om tjenesternes tilgængelighed og fleksibilitet. Hosting af applikationer og lagring af data i et cloud computing-miljø giver nye muligheder for tilgængelighed og fleksibilitet samt mulighed for sikkerhedskopiering og gendannelse af data. I Microsofts Business Continuity Program anvendes branchens best practices til at oprette og tilpasse funktioner inden for dette område for at håndtere nye applikationer, efterhånden som de bliver tilgængelige i Microsofts cloud computing-miljø. Microsoft anvender en løbende administrations- og ledelsesproces til at sikre, at der tages de nødvendige trin til at kortlægge virkningen af mulige tab, bevare effektive strategier og planer for backup samt sikre kontinuitet i produkter og tjenester. Det er af afgørende betydning at vide, hvilke ressourcer - medarbejdere, udstyr og systemer - der er behov for til at udføre en opgave eller køre en proces, så der kan udarbejdes en relevant plan, når uheldet rammer. Manglende gennemgang, vedligeholdelse eller afprøvning af planen er en af de største risici forbundet med muligheden for at opleve et katastrofalt tab, og derfor gør programmet mere end bare registrere procedurer til gendannelse. Microsoft bruger Business Continuity Management Plan Development Lifecycle til at oprette og vedligeholde planer for gendannelse ved nedbrud via brug af seks faser som vist i følgende illustration: 11

12 Microsoft håndterer gendannelse af tjenester og data efter at have fuldført en afhængighedsanalyse, hvor to mål identificeres i forhold til gendannelsen af aktiverne: Recovery Time Objective (RTO) den tid, der maksimalt må gå ved tab af en kritisk proces, funktion eller ressource, før det kan afstedkomme alvorlige negative virkninger for virksomheden. Recovery Point Objective (RPO) det datatab, der maksimalt kan klares under en hændelse, som regel set i forhold til tiden mellem den seneste datasikkerhedskopiering og tidspunktet, hvor afbrydelsen opstod. Da identifikation og klassificering af aktiver er en fortløbende proces som en del af styringen af risici for Microsofts cloud computing-infrastrukturen, betyder planen for gendannelse ved nedbrud, at disse mål lettere kan bruges til at evaluere, om der skal implementeres gendannelsesstrategier i en nedbrudssituation eller ej. Microsoft validerer disse strategier yderligere ved at udføre øvelser, der involverer gennemgang, test, træning og vedligeholdelse. 12

13 Styring af sikkerhedshændelser Processerne til sikkerhedskontrol og risikostyring, som Microsoft har implementeret for at sikre cloud-infrastrukturen, reducerer risikoen for sikkerhedshændelser, men alligevel vil det være naivt at tro, at der ikke vil forekomme ondsindede angreb fremover. Security Incident Management-teamet (SIM) i OSSC reagerer på disse problemer, når de opstår, og de er i gang døgnet rundt alle ugens dage. SIM's mål er hurtigt og præcist at vurdere og afhjælpe sikkerhedshændelser, der involverer Microsofts Online Services, samtidig med at relevante informationer tydeligt kommunikeres til den overordnede ledelse og andre interesserede parter i Microsoft. Der er seks faser i SIM-processen til reaktion på hændelser: Forberedelse SIM-medarbejderne gennemfører fortløbende kurser for at være klar til at reagere, når der opstår en sikkerhedshændelse. Identifikation søgning efter årsagen til en hændelse, uanset om den er overlagt eller ej, betyder ofte, at problemet skal spores gennem flere lag i Microsofts cloud computing-miljø. SIM samarbejder med medlemmer fra andre interne Microsoft-teams, når oprindelsen til en bestemt sikkerhedshændelse skal diagnosticeres. Inddæmning når årsagen til hændelsen er fundet, arbejder SIM sammen med alle nødvendige teams for at begrænse hændelsen. Den måde, inddæmningen foregår på, afhænger af den forretningsmæssige effekt, som hændelsen har. Afhjælpning SIM koordinerer med de relevante produkt- og tjenesteleveringsteams for at reducere risikoen for, at hændelsen forekommer igen. Gendannelse SIM bistår i processen til gendannelse af tjenesten, mens der fortsat samarbejdes med andre grupper efter behov. Deling af erfaringer når sikkerhedshændelsen er løst, indkalder SIM til et fællesmøde med alle involverede medarbejdere for at evaluere, hvad der er sket, og for at registrere den viden, der er erhvervet, mens der blev reageret på hændelsen. SIM er i stand til at registrere problemer tidligt og til at afhjælpe afbrydelse af tjenester takket være tværgående teamsamarbejder. SIM er f.eks. i tæt kontakt med driftsteam, inklusive Microsoft Security Response Center (du kan læse mere om dette på Microsoft Security Response Center-siden). Disse relationer sætter SIM i stand til hurtigt at få et holistisk driftsmæssigt overblik over en hændelse, når den indtræffer. SIM konsulterer også ejere af aktiver for at fastlægge alvoren af hændelsen baseret på en række forskellige faktorer, inklusive potentielle eller yderligere afbrydelser af tjenester og risiko for skadet omdømme. Global Criminal Compliance OSSC's Global Criminal Compliance-program (GCC) er involveret i fastlæggelse af politikker og tilvejebringelse af kurser, der omhandler Microsofts sikkerhedsproces. GCC besvarer desuden gyldige forespørgsler om data. GCC har juridiske repræsentanter i mange lande, der evaluerer og om nødvendigt oversætter anmodningen. En af årsagerne til, at GCC af mange internationale myndigheder anses for at have det "bedste sikkerhedsprogram" er, at GCC stiller en sikkerhedsprotal til rådighed, der tilbyder vejledning på mange sprog til godkendte medarbejdere inden for sikkerhed om afsendelse af en gyldig forespørgsel til Microsoft. 13

14 GCC's kursusmål omfatter kurser til fagfolk inden for sikkerhed. GCC sørger desuden for kurser til medarbejdere på alle niveauer hos Microsoft om ansvar for dataopbevarelse og beskyttelse af personlige oplysninger Interne kurser og arbejde med politikker udvikles fortsat, efterhånden som Microsoft tilføjer internationale datacentre og på den måde udvider omfanget af internationale lovgivningsmæssige krav. GCC spiller en afgørende rolle for forståelses- og implementeringspolitikker, der tager højde for forskellige internationale lovgivninger og deres indvirkning på forbrugere eller forretningskunder, som bruger Microsofts onlinetjenester. Overholdelse af driftsmæssige regler og standarder Microsofts Online Services-miljø skal overholde en lang række offentligt pålagte og branchespecifikke sikkerhedskrav ud over Microsofts egne forretningsbestemte specifikationer. Som Microsofts onlinevirksomhed fortsat vokser og ændres, og nye onlinetjenester introduceres i Microsofts cloud, forventes yderligere krav, som kan omfatte regionale og landespecifikke datasikkerhedsstandarder. Teamet bag overholdelse af driftsmæssige regler og standarder arbejder på tværs af de teams, der står bag drift, produkter og levering af tjenester, og med interne og eksterne revisorer om at sikre, at Microsoft overholder relevante standarder og lovgivningsmæssige forpligtelser. Følgende liste viser en oversigt over nogle af de tests og vurderinger, som Microsofts cloud computing-miljø regelmæssigt underkastes: Standard for datasikkerhed inden for betalingskortbranchen kræver årlig gennemgang og validering af sikkerhedsforanstaltninger i forbindelse med kreditkorttransaktioner. Media Ratings Council vedrører integriteten af oprettelse og behandling af systemdata inden for reklamebranchen. Sarbanes-Oxley udvalgte systemer revideres årligt for at validere overholdelse af processer i forhold til den finansielle rapporteringsintegritet.. Health Insurance Portability and Accountability Act i denne lov specificeres beskyttelse af personlige oplysninger, sikkerhed og retningslinjer for gendannelse ved nedbrud for elektronisk lagring af sygejournaler. Intern revision og vurdering af beskyttelsen af personlige oplysninger vurderingerne finder sted i løbet af året. Overholdelse af alle disse revisionsforpligtelser blev en væsentlig udfordring hos Microsoft. Ved gennemgang af kravene fastlagde Microsoft, at mange af revisionerne og vurderingerne krævede evaluering af samme driftsmæssige kontrolforanstaltninger og processer. OSSC indså, at der var en betydelig chance for at fjerne overflødige aktiviteter, strømline processer og håndtere forventninger til overholdelse af regler og standarder proaktivt og udviklede derfor en samlet struktur for overholdelse af regler og standarder. Denne struktur og tilknyttede processer er baseret på en metode med fem trin, som vises i følgende illustration: 14

15 Identificer og integrer krav omfang og relevante kontrolfunktioner defineres. Standard Operating Procedures (SOP) og procesdokumenter indsamles og gennemgås. Vurder og afhjælp uregelmæssigheder uregelmæssigheder i proces- eller teknologisikkerhedsforanstaltninger identificeres og afhjælpes. Test effektivitet, og vurder risiko effektiviteten af sikkerhedsforanstaltninger måles og rapporteres. Opfyld certificeringer og attestationer i samarbejde med tredjeparts certificeringsmyndigheder og revisorer finder sted. Forbedr og optimer hvis der ikke findes overensstemmelse med regler og standarder, dokumenteres og vurderes den grundlæggende årsag yderligere. Der følges op på disse resultater, indtil de er afhjulpet fuldt ud. Denne fase omfatter fortsat optimering af sikkerhedsforanstaltninger på tværs af sikkerhedsdomæner, så der opnås effektivitet i gennemførelsen af fremtidig overvågning og certificering. En af målestokkene for succesen ved implementeringen af dette program er, at Microsofts cloud computinginfrastruktur har opnået både SAS 70 Type I- og Type II-attestationer og ISO/IEC 27001:2005-certificering. Denne anerkendelse viser Microsofts forpligtelse til at levere en pålidelig cloud computing-infrastruktur, fordi: ISO/IEC 27001:2005-certifikatet bekræfter, at Microsoft har implementeret de internationalt anerkendte sikkerhedsforanstaltninger til informationssikkerhed, der er defineret i denne standard SAS 70-attestationer viser, at Microsoft er parat til at åbne interne sikkerhedsprogrammer og lade dem analysere af udefrakommende. 15

16 En "defense-in-depth"-indfaldsvinkel En "defense-in-depth"-indfaldsvinkel er et grundlæggende element i den måde, Microsoft leverer en pålidelig cloud computing-infrastruktur. Brug af sikkerhedsforanstaltninger i flere lag involverer brug af beskyttelsesmekanismer, udvikling af strategier for risikoafhjælpning og mulighed for at reagere på angreb, når disse optræder. Brug af flere sikkerhedsforanstaltninger af varierende styrke - afhængigt af følsomheden af det aktiv, der beskyttes - resulterer i forbedret evne til at forhindre brud eller til at mindske effekten af en sikkerhedshændelse. Overgangen til cloud computing ændrer ikke dette princip - at sikkerhedsforanstaltningens styrke udledes af aktivets følsomhed - eller hvor grundlæggende vigtigt det er at styre sikkerhedsrisici. Det faktum, at de fleste aktiver kan virtualiseres i et cloud computing-miljø, resulterer i skift i analysen af risici og den måde sikkerhedsforanstaltninger anvendes på i de traditionelle defense-in-depth-lag (fysisk, netværk, data, identitetsadgang, adgangsrettigheder og godkendelse og vært). Onlinetjenester, inklusive infrastrukturen og de platformtjenester, der stilles til rådighed af GFS, udnytter fordelene ved virtualisering. Resultatet er, at kunder, der bruger tjenester, som er hosted af Microsoft, kan have aktiver, der ikke længere let kan tilknyttes en fysisk tilstedeværelse. Data kan lagres virtuelt og fordeles til mange steder. Dette grundlæggende faktum betyder, at der skal udvikles identifikation af sikkerhedsforanstaltninger, og det skal fastlægges, hvordan de kan bruges til at implementere en opdelt tilgang til beskyttelse af aktiver. Der skal naturligvis stadig træffes fysiske forholdsregler og foranstaltninger til netværkssikkerhed. Risikostyring, kommer imidlertid stadig tættere på objektniveauet, altså på de elementer, der bruges i cloud computing-miljøet: f.eks. de statiske eller dynamiske data lagre, de virtuelle maskiner og det kørselsmiljø, som beregninger foregår i. De forskellige sikkerhedsforanstaltninger gør brug af mange traditionelle fysiske og netværksrelaterede sikkerhedsmetoder og enheder for at sikre, at enheden, hvad enten det er en person, der ønsker adgang til en bygning, der huser et datacenter, eller en beregningsproces, der anmoder om adgang til kundedata, som er lagret dynamisk i Microsofts cloud computing-miljø, er ægte og godkendt til den adgang, der anmodes om. Der er desuden fastlagt forholdsregler for at sikre, at servere og virtuelle operativsystemer, der kører i Microsofts cloud computing-infrastruktur, er forberedt på angreb. Dette afsnit indeholder en oversigt over nogle af de processer og kontrolfunktioner, som Microsoft bruger til at håndtere sikkerheden i datacentre, netværkshardware og -kommunikation og serviceværter. Fysisk sikkerhed Brug af tekniske systemer til at automatisere adgangsrettigheder og godkendelse til bestemte sikkerhedsforanstaltninger er én af de måder, fysisk sikkerhed er ændret på som følge af teknologiske fremskridt inden for sikkerhed. Skiftet fra brug af traditionelle Enterprise applikationer, der er installeret i computerhardware og software, der fysisk er placeret i virksomheden, til brug af Software-as-a-Service og Software-plus-services er et andet. Disse ændringer nødvendiggør yderligere justeringer af den måde, organisationer sikrer, at deres aktiver er sikret. OSSC-ledere håndterer den fysiske sikkerhed i alle Microsofts datacentre, hvilket er af afgørende vigtighed for driften af faciliteterne samt beskyttelse af kundedata. Til hver enkelt facilitet anvendes etablerede, præcise procedurer til sikkerhedsdesign og drift. Microsoft sørger for fastlæggelse af ydre og indre grænser med øgede kontrolfunktioner gennem hvert enkelt afgrænsningslag. I sikkerhedssystemet gøres der brug af en kombination af teknologiske løsninger inklusive kameraer, biometri, kortlæsere og 16

17 alarmer og traditionelle sikkerhedsforholdsregler som låse og nøgler. Der er inkorporeret driftsmæssige sikkerhedsforanstaltninger, der bidrager til den automatiske overvågning og hurtige underretning, hvis der opstår brud eller problemer, og gør det muligt at opnå pålidelighed via dokumentation af datacenterets fysiske sikkerhedsprogram. Nedenstående liste indeholder flere eksempler på, hvordan Microsoft anvender sikkerhedsforanstaltninger til fysisk sikkerhed: Adgangsbegrænsning for medarbejdere i datacentre Microsoft leverer sikkerhedskrav, der bruges som grundlag for vurdering af medarbejdere og leverandører til datacentre. Ud over de kontraktmæssige bestemmelser om medarbejdere på et sted, anvendes der endnu et sikkerhedslag i datacenteret for personale, der driver faciliteten. Adgang er begrænset til det absolut mest nødvendige personale, der godkendes til at håndtere kundernes applikationer og tjenester. Håndtering af krav til data med stor forretningsmæssig effekt Microsoft har udviklet flere stringente minimumkrav til aktiver, der er kategoriseret som værende yderst følsomme, end til dem med lav eller moderat følsomhed i de datacentre, der bruges til at levere onlinetjenester. Standardsikkerhedsprotokoller vedrørende identifikation, adgangs-tokens og logføring og overvågning af steder, afgør hvilken type godkendelse der kræves for at få adgang. I tilfælde med adgang til meget følsomme aktiver, kræves godkendelse med flere faktorer. Centralisering af adgangsstyring til fysiske aktiver Efterhånden som Microsoft er fortsat med at udvide antallet af datacentre, der leverer onlinetjenester, er der udviklet et værktøj, som håndterer styringen af adgang til fysiske aktiver, og som også leverer overvågede registreringer via centralisering af arbejdsprocesser til anmodning om, godkendelse og provisionering af adgang til datacentre. Dette værktøj fungerer ud fra princippet om at levere den minimumadgang, der er behov for, og indarbejde arbejdsprocesser til indhentning af godkendelser fra flere godkendelsesparter. Det kan konfigureres efter stedets forhold og giver mere effektiv adgang til historiske data til rapportering og overholdelse af revisioner. Netværkssikkerhed Microsoft anvender mange sikkerhedsniveauer alt efter behov for datacenterenheder og netværksforbindelser. Der anvendes f.eks. sikkerhedsforanstaltninger på både kontrol- og ledelsesplan. Specialiseret hardware som justering af belastning, firewalls, og enheder til forebyggelse af indtrængen anvendes for at håndtere volumenbaserede DoS-angreb (Denial of service). Netværksstyringsteamet anvender niveaudelte adgangskontrollister til segmenterede VLAN'er (virtual local area networks) og applikationer efter behov. Via netværkshardware anvender Microsoft program-gatewayfunktioner til at udføre deep packet-kontrol og udføre handlinger som afsendelse af advarsler baseret på - eller for at spærre for - mistænkelig netværkstrafik. En globalt redundant intern og ekstern DNS-infrastruktur er indarbejdet til Microsoft cloud computing-miljøet. Redundans giver fejltolerance og opnås via klyngedannelse af DNS-servere. Yderligere kontrolfunktioner afhjælper DDoS (distributed denial of service) og cache poisoning eller pollution-angreb. F.eks. begrænser adgangskontrollister i DNSservere og DNS-zoner skriveadgangen til DNS-registreringer for godkendt personale. Nye sikkerhedsfunktioner som tilfældighed i forespørgsels-id'er fra den seneste sikre DNS-software bruges på alle DNS-servere. DNS-klynger overvåges kontinuerligt med henblik på ikke-godkendt software, og konfigurationen af DNS-zoner ændres også for andre forstyrrende servicehændelser. DNS er del af det globalt forbundne internet og kræver deltagelse af mange organisationer, for at denne tjeneste kan leveres. Microsoft deltager i mange af disse, f.eks. DNS Operations Analysis and Research Consortium (DNS-OARC), som består af DNS-eksperter fra hele verden. 17

18 Datasikkerhed Microsoft klassificerer aktiver for at bestemme styrken af de sikkerhedsforanstaltninger, der skal anvendes. Kategorierne tager højde for de relative muligheder for finansiel skade og skade af omdømme, hvis aktivet er omfattet af en sikkerhedshændelse. Efter klassificeringen benyttes en "defense-in-depth"-tilgang for at fastlægge, hvilke former for beskyttelse der er behov for. Dataaktiver, der tilhører kategorien af data med moderat effekt, er f.eks. underlagt krav om kryptering, når de findes på flytbare medier, eller når de er involveret i eksterne netværksoverførsler. Data med høj effekt er, ud over disse krav, også underlagt krypteringskrav i forbindelse med lagring og interne system- og netværksoverførsler. Alle Microsoft-produkter skal opfylde de SDL-kryptografiske standarder, som angiver acceptable og ikke-acceptable kryptografiske algoritmer. Der kræves f.eks. nøgler, som er længere end 128 bit til symmetrisk kryptering. Når der bruges asymmetriske algoritmer, kræves der nøgler på bit eller længere. Administration af identitet og adgang Microsoft benytter en need-to-know-model og en model med minimumrettigheder til at styre adgangen til aktiver. Hvor det er muligt, bruges der rollebaseret adgangskontrol til at allokere logisk adgang til bestemte jobfunktioner eller ansvarsområder i stedet for til enkeltpersoner. Disse politikker dikterer, at adgang, der ikke udtrykkeligt er tildelt af aktivets ejer baseret på et påvist forretningsmæssigt krav, som standard afvises. Enkeltpersoner, som har adgangsrettigheder til et vilkårligt aktiv, skal benytte de relevante forholdsregler til at opnå adgang. Meget følsomme aktiver kræver godkendelse med flere faktorer, bl.a. forholdsregler som adgangskode, hardware-tokens, chipkort eller biometri. Afstemning af brugerkonti mod godkendelser til brug finder løbende sted for at sikre, at brug af et aktiv er relevant og nødvendig for at færdiggøre en bestemt aktivitet. Konti, der ikke længere behøver adgang til et bestemt aktiv, deaktiveres. Programsikkerhed Programsikkerhed er et nøgleelement i Microsofts tilgang til sikring af cloud computing-miljøet. Den strenge sikkerhedspraksis, der anvendes af Microsofts udviklingsteam, blev i 2004 formaliseret til en proces kaldet Security Development Lifecycle (SDL). SDL-processen er agnostisk mht. udviklingsmetoden og er fuldt ud integreret med livscyklussen for programudvikling fra design til svar og er ikke en erstatning for softwareudviklingsmetoder som f.eks. waterfall eller Agile. I forskellige faser af SDL-processen lægges der vægt på uddannelse og kurser, og det kræves også, at bestemte aktiviteter og processer skal anvendes efter behov for hver fase i softwareudviklingen. Den øverste ledelse i Microsoft støtter fortsat kravet om, at SDL skal anvendes i udviklingen af Microsoft-produkter, inklusive levering af onlinetjenester. OSSC spiller en central rolle i at sikre, at SDL både nu og fremover anvendes til oprettelse af applikationer, der skal hostes i Microsofts cloud computing-infrastruktur. 18

19 SDL-processen vises i følgende illustration: Med udgangspunkt i kravsfasen omfatter SDL-processen en række specifikke aktiviteter, der skal overvejes i forbindelse med udvikling af cloud computing-applikationer, der skal hostes hos Microsoft: Krav det primære mål i denne fase er at identificere vigtige sikkerhedsmålsætninger og ellers maksimere softwaresikkerheden, samtidig med minimering i afbrydelser af kundens brugsmuligheder. Denne aktivitet kan omfatte en driftsmæssig gennemgang i forbindelse med håndtering af hostede programmer, der fokuserer på at definere, hvordan tjenesten vil gøre brug af netværksforbindelser og meddelelsestransporter. Design kritiske sikkerhedstrin i denne fase omfatter dokumentation af den mulige angrebsflade og udarbejdelse af trusselsmodeller. Som det er tilfældet med kravsspecifkationen, kan der identificeres miljømæssige kriterier, når denne proces til et hosted program gennemgås. Implementering kodning og test foregår i denne fase. Under implementering er det vigtig at undgå at oprette kode med sikkerhedsrisici og at træffe forholdsregler til at fjerne sådanne problemer, hvis de optræder. Godkendelse betafasen er det tidspunkt, hvor nye applikationer anses for at være funktionelt komplette. I løbet af denne fase er opmærksomheden især rettet mod fastlæggelse af, hvilke sikkerhedsrisici der findes, når applikationen installeres i et virkeligt scenarie, og hvilke trin der skal tages for at fjerne eller afhjælpe sikkerhedsrisici. Frigivelse den endelige sikkerhedsgennemgang (FSR - Final Security Review) sker i løbet af denne fase. Hvis der er behov for det, udføres der også en driftsmæssig sikkerhedsgennemgang (OSR - Operational Security Review), før det nye program frigives i Microsofts cloud-miljø. Svar I forbindelse med Microsofts cloud computing-miljø fører SIM-teamet an ved svar på sikkerhedshændelser, og teamet arbejder tæt sammen med teams, der står bag produkter og levering af tjenester, og medlemmer af Microsoft Security Response Center om at prioritere, udforske og afhjælpe rapporterede hændelser. Du kan læse mere om SDL på Microsoft Security Development Lifecycle (SDL)-siden. 19

20 OSSC håndterer FSR-processen, en obligatorisk SDL-gennemgang, for Microsofts onlinetjenester for at sikre, at de relevante sikkerhedskrav er opfyldt, før nye programmer installeres i Microsoft cloud computing-infrastrukturen. FSR er gennemgang af et teams overholdelse af SDL i hele udviklingsprocessen. Under FSR håndterer OSSC følgende opgaver: Koordinering med produktteamet spørgeskemaer og anden dokumentation skal udfyldes af produktudviklingsteamet. Disse informationer bruges af OSSC til at sikre, at SDL har været anvendt korrekt under udviklingen. Gennemgang af trusselsmodeller Microsoft anser trusselsmodeller for at være yderst vigtige for udviklingen af sikker software. OSSC analyserer de trusselsmodeller, der er oprettet af produktteam, for at verificere, at de er komplette og ajourførte. Validering af, at der er implementeret kontrolfunktioner til afhjælpning, der skal håndtere alle identificerede risici, finder også sted som en del af denne gennemgang. Gennemgang af sikkerhedsfejl alle fejl, der identificeres under design, udvikling og test, gennemgås for at sikre, at fejl, der vil påvirke sikkerheden eller beskyttelsen af kundens data, håndteres. Validering af brug af værktøjer Microsofts udviklings- og testteam bruger værktøjer til softwaresikkerhed og dokumenterede kodemønstre og -principper som del af udviklingsprocessen. Dette kan forbedre softwaresikkerheden markant, fordi almindeligt forekommende risici elimineres. OSSC sikrer, at produktteams har anvendt korrekte værktøjer samt dokumenteret den kode og de mønstre og principper, der er til rådighed for dem. Ud over at styre FSR-processen styrer OSSC også en proces til driftsmæssig sikkerhedsgennemgang kaldet OSR (Operational Security Review). OSR består af gennemgang af tilknyttet netværkskommunikation, platform, systemkonfiguration og overvågningsfunktioner mod etablerede sikkerhedsstandarder og grundlinjer OSR-processen sikrer, at relevante sikkerhedskontrolfunktioner er del af driftsplanerne, før der gives tilladelse til installation i cloud computing-infrastrukturen. Overvågning og rapportering af værtssikkerhed Voksende miljømæssigt omfang og kompleksitet skal håndteres, så der kan leveres pålidelige og sikre tjenester med applikationsrettelser. Daglig scanning af aktiver i infrastrukturen giver en aktuel visning af værtssystemets risici og giver OSSC mulighed for at arbejde sammen med produkt- og tjenesteleveringsgrupper for at håndtere de tilknyttede risici, uden at det forårsager unødvendige afbrydelser af Microsofts drift af onlinetjenester. Indtrængningstest udført af interne og eksterne parter giver et vigtigt indblik i effektiviteten af sikkerhedsforanstaltningerne for Microsofts cloud computing-infrastruktur. Resultatet af disse gennemgange og løbende evalueringer af de sikkerhedsforanstaltninger, der er resultatet, anvendes i efterfølgende scanning, overvågning og aktiviteter til afhjælpning af risici. Automatisk installation af operativsystembilleder sammen med aktiv brug af kontrolfunktioner til værtspolitik, f.eks. Group Policy, giver Microsoft mulighed for at styre tilføjelsen af servere i Microsofts cloud-infrastruktur. Efter installation giver Microsofts processer til driftsgennemgange og program til styring af patches løbende afhjælpning af sikkerhedsrisici for værtssystemerne. 20

Installation, håndtering og opdatering af Windows Server med System Center

Installation, håndtering og opdatering af Windows Server med System Center Automatiseret og centraliseret installation, håndtering og opdatering af Windows Server Installation og vedligeholdelse af Windows Server - operativsystemerne i datacentre og på tværs af it-miljøer kan

Læs mere

STYRKEN I DET ENKLE. Business Suite

STYRKEN I DET ENKLE. Business Suite STYRKEN I DET ENKLE Business Suite TRUSLEN ER REEL Onlinetrusler mod din virksomhed er reelle, uanset hvad du laver. Hvis du har data eller penge, er du et mål. Sikkerhedshændelser stiger kraftigt, med

Læs mere

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet Sammenfatning Denne vejledning adresserer risikoen for industrispionage fra statssponserede aktører i udlandet mod

Læs mere

Hos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke:

Hos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke: ISO 9001:2015 Side 1 af 8 Så ligger det færdige udkast klar til den kommende version af ISO 9001:2015. Standarden er planlagt til at blive implementeret medio september 2015. Herefter har virksomhederne

Læs mere

CLOUD COMPUTING VEJLEDNING I STORT OG SMÅT NÅR DU OVERVEJER AT GÅ I SKYEN

CLOUD COMPUTING VEJLEDNING I STORT OG SMÅT NÅR DU OVERVEJER AT GÅ I SKYEN CLOUD COMPUTING VEJLEDNING I STORT OG SMÅT NÅR DU OVERVEJER AT GÅ I SKYEN WWW.JCD.DK HVAD ER CLOUD COMPUTING? Cloud er en fælles betegnelse for en række netbaserede løsninger løsninger du tidligere har

Læs mere

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015 Databeskyttelse: Afrunding Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015 Der er to typer virksomheder Der er to typer virksomheder: Dem, der ved at de er blevet hacket og dem der ikke ved at

Læs mere

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484 DS 484:2005 Standard for informationssikkerhed -Korte uddrag fra DS484 Informationssikkerhedsstrategi Ledelsen skal godkende en skriftlig informationssikkerhedspolitik, som skal offentliggøres og kommunikeres

Læs mere

Vi introducerer KASPERSKY ENDPOINT SECURITY FOR BUSINESS

Vi introducerer KASPERSKY ENDPOINT SECURITY FOR BUSINESS Vi introducerer KASPERSKY ENDPOINT SECURITY FOR BUSINESS 1 Virksomhedsfaktorer og deres indvirkning på it MANØVREDYG- TIGHED EFFEKTIVITET PRODUKTIVITET Hurtighed, smidighed og fleksibilitet Reduktion af

Læs mere

SAXOTECH Cloud Publishing

SAXOTECH Cloud Publishing SAXOTECH Cloud Publishing Fuld hosted infrastruktur til mediebranchen Stol på flere års erfaringer med hosting til mediehuse Fuld tillid til et dedikeret team af hostingeksperter Opnå omkostningsbesparelser

Læs mere

EFFEKTIV OG SKALERBAR HÅNDTERING AF SÅRBARHEDER. F-Secure Radar

EFFEKTIV OG SKALERBAR HÅNDTERING AF SÅRBARHEDER. F-Secure Radar EFFEKTIV OG SKALERBAR HÅNDTERING AF SÅRBARHEDER F-Secure Radar 48% flere sikkerhedshændelser 1 22,000,000 42,000,000 TRUSLEN ER VIRKELIG Hackerne giver ikke op. Truslen mod jeres virksomheds it-sikkerhed

Læs mere

Security & Risk Management Summit

Security & Risk Management Summit Security & Risk Management Summit Hvor og hvornår skaber Managed Security Services værdi? Business Development Manager Martin Jæger Søborg, 6. november 2014 DUBEX SECURITY & RISK MANAGEMENT SUMMIT 2014

Læs mere

Hos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke:

Hos Lasse Ahm Consult vurderer vi at følgende krav i de enkelte kravelementer er væsentlige at bemærke: ISO 9001:2015 Side 1 af 8 Så blev den nye version af ISO 9001 implementeret. Det skete den 23. september 2015 og herefter har virksomhederne 36 måneder til at implementere de nye krav i standarden. At

Læs mere

Risikostyring ifølge ISO27005 v. Klaus Kongsted

Risikostyring ifølge ISO27005 v. Klaus Kongsted Risikostyring ifølge ISO27005 v. Klaus Kongsted Agenda Dubex A/S Formålet med risikovurderinger Komponenterne Risikovurderinger Dubex A/S fakta og værdier Den førende sikkerhedspartner De bedste specialister

Læs mere

Online Backup. ndgå hovedbrud hvis uheldet er ude! fra kr. 125 pr. md

Online Backup. ndgå hovedbrud hvis uheldet er ude! fra kr. 125 pr. md Online Backup U ndgå hovedbrud hvis uheldet er ude! Med en hosted online backup løsning hos, er dine data i sikkerhed. Du kan derfor glemme alt om båndskifte og opbevaring af backup-bånd. Med online backup

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

Sikkerhedspolitik Version 4.0506 d. 6. maj 2014

Sikkerhedspolitik Version 4.0506 d. 6. maj 2014 Nærværende dokument beskriver de sikkerhedsforanstaltninger, som leverandøren har opstillet til den interne fysiske sikkerhed, datasikkerhed, logisk sikkerhed og sikkerhed i forbindelse med netværk, firewall

Læs mere

Hos Lasse Ahm Consult vurderer vi at følgende supplerende krav i de enkelte kravelementer er væsentlige at bemærke:

Hos Lasse Ahm Consult vurderer vi at følgende supplerende krav i de enkelte kravelementer er væsentlige at bemærke: ISO 9001:2015 (Draft) Side 1 af 9 Så ligger udkastet klar til den kommende version af ISO 9001. Der er sket en række strukturelle ændringer i form af standardens opbygning ligesom kravene er blevet yderligere

Læs mere

22. juni 2010 KMD A/S DIAS 1. Infrastructure Optimization. Greve Kommune. Jesper Skov Hansen Løsningsarkitekt KMD A/S jhs@kmd.dk

22. juni 2010 KMD A/S DIAS 1. Infrastructure Optimization. Greve Kommune. Jesper Skov Hansen Løsningsarkitekt KMD A/S jhs@kmd.dk DIAS 1 Infrastructure Optimization Greve Kommune Jesper Skov Hansen Løsningsarkitekt KMD A/S jhs@kmd.dk Agenda DIAS 2 _ Formål med IO _ Gennemgang af IO modellen _ IO analyse hos Greve Kommune _ Opsummering

Læs mere

Privatlivspolitik. Coverwise Limited deler en forpligtelse til at beskytte dit privatliv og holde dine personlige oplysninger sikre.

Privatlivspolitik. Coverwise Limited deler en forpligtelse til at beskytte dit privatliv og holde dine personlige oplysninger sikre. Privatlivspolitik Denne hjemmeside opererer internationalt og er i overensstemmelse med den lokale lovgivning og regler i de pågældende lande. Denne privatlivspolitik omhandler hvordan vi bruger og behandler

Læs mere

Overordnet it-sikkerhedspolitik for Rødovre Kommune

Overordnet it-sikkerhedspolitik for Rødovre Kommune Overordnet it-sikkerhedspolitik for Rødovre Kommune Denne politik er godkendt af kommunalbestyrelsen januar 2016. Og træder i kraft januar 2016. Ved udskrivning af politikken skal du være opmærksom på,

Læs mere

Praesideo digitalt lydsystem til højttaleranlæg og talevarslingsanlæg Få alle meddelelserne ud - uanset hvad

Praesideo digitalt lydsystem til højttaleranlæg og talevarslingsanlæg Få alle meddelelserne ud - uanset hvad Praesideo digitalt lydsystem til højttaleranlæg og talevarslingsanlæg Få alle meddelelserne ud - uanset hvad 2 Praesideo lydsystemer til højttaleranlæg og talevarslingsanlæg fra Bosch Hold offentligheden

Læs mere

BESKYT DIN VIRKSOMHED UANSET HVOR DEN FØRER DIG HEN. Protection Service for Business

BESKYT DIN VIRKSOMHED UANSET HVOR DEN FØRER DIG HEN. Protection Service for Business BESKYT DIN VIRKSOMHED UANSET HVOR DEN FØRER DIG HEN Protection Service for Business VI LEVER I EN MOBIL VERDEN Wi-fi I dag bruger vi flere forskellige enheder via flere forbindelser end nogensinde før.

Læs mere

Informationssikkerhedspolitik for

Informationssikkerhedspolitik for <organisation> 1 Informationssikkerhedspolitik for 1. Formål informationssikkerhedspolitik beskriver vigtigheden af arbejdet med informationssikkerhed i og fastlægger

Læs mere

Lumia med Windows Phone

Lumia med Windows Phone Lumia med Windows Phone Født til jobbet microsoft.com/da-dk/mobile/business/lumia-til-erhverv/ 103328+103329_Lumia-Brochure+10reasons_danish.indd 1 19.11.2014 14.43 Office 365 på arbejde Giv dine medarbejdere

Læs mere

GENERELLE VILKÅR COOKIEINFORMATIONSLØSNING

GENERELLE VILKÅR COOKIEINFORMATIONSLØSNING GENERELLE VILKÅR COOKIEINFORMATIONSLØSNING Cookieinformationsløsningen opsættes af Sitemorse Danmark til kunden. Service og sikkerhed Oppetid Sitemorse hoster løsningen samt relaterede komponenter og indhold

Læs mere

DUBEX SECURITY & RISK MANAGEMENT SUMMIT Søren Kromann, Forvaltningsdirektør, KOMBIT

DUBEX SECURITY & RISK MANAGEMENT SUMMIT Søren Kromann, Forvaltningsdirektør, KOMBIT DUBEX SECURITY & RISK MANAGEMENT SUMMIT 2016 Søren Kromann, Forvaltningsdirektør, KOMBIT Om KOMBIT KOMBIT er et aktieselskab, som er 100% ejet af KL (kommunerne) Finansielt skal KOMBIT hvile i sig selv

Læs mere

Erfaringer med Information Management. Charlottehaven Jens Nørgaard, NNIT A/S jnqr@nnit.com

Erfaringer med Information Management. Charlottehaven Jens Nørgaard, NNIT A/S jnqr@nnit.com Erfaringer med Information Management Charlottehaven Jens Nørgaard, NNIT A/S jnqr@nnit.com Agenda Hvor ligger virksomhedens information gemt og hvor opstår kravet til at finde denne information. Find Find

Læs mere

KURSER INDENFOR SOA, WEB SERVICES OG SEMANTIC WEB

KURSER INDENFOR SOA, WEB SERVICES OG SEMANTIC WEB KURSER INDENFOR SOA, WEB SERVICES OG SEMANTIC WEB Det er Web Services, der rejser sig fra støvet efter Dot Com boblens brag. INTRODUKTION Dette dokument beskriver forslag til fire moduler, hvis formål

Læs mere

Hvordan griber du moderniseringsprocessen an? Peter Janum Sode Senior Security Consultant pso@dubex.dk

Hvordan griber du moderniseringsprocessen an? Peter Janum Sode Senior Security Consultant pso@dubex.dk Hvordan griber du moderniseringsprocessen an? Peter Janum Sode Senior Security Consultant pso@dubex.dk Overordnet fremgangsmåde Identificér områder der hører under fundamental sikkerhed i risikovurderingen.

Læs mere

NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER

NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER NOTAT OM INFORMATIONSSIKKERHED OG DIGITALISERING 2014 2008 2014 Notatet er udarbejdet for: Oktober 2014 INDLEDNING Digitaliseringen i

Læs mere

XProtect-klienter Tilgå din overvågning

XProtect-klienter Tilgå din overvågning XProtect-klienter Tilgå din overvågning Tre måder at se videoovervågning på For at skabe nem adgang til videoovervågning tilbyder Milestone tre fleksible brugergrænseflader: XProtect Smart Client, XProtect

Læs mere

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD INDHOLD INDHOLD... 1 1. Baggrund... 2 2. Definitioner... 2 3. Behandling af personoplysninger... 3 4. Behandlinger uden instruks... 3 5. Sikkerhedsforanstaltninger... 3 6. Underdatabehandling... 4 7. Overførsel

Læs mere

ALMINDELIGE BETINGELSER

ALMINDELIGE BETINGELSER ALMINDELIGE BETINGELSER Lovgivning Enhver aftale som indgås med Sitemorse Danmark er omfattet af de til enhver tid gældende almindelige betingelser samt gældende dansk og international lovgivning. Kunden

Læs mere

APPLIKATIONSARKITEKTUR ERP INFRASTRUKTUR. EG Copyright

APPLIKATIONSARKITEKTUR ERP INFRASTRUKTUR. EG Copyright APPLIKATIONSARKITEKTUR ERP INFRASTRUKTUR EG Copyright Infrastruktur er mere end nogle servere... Den Mentale Infrastruktur Den Fysiske Infrastruktur Den Mentale Infrastruktur Vi vil jo gerne have vores

Læs mere

Skyen der er skræddersyet til din forretning.

Skyen der er skræddersyet til din forretning. Skyen der er skræddersyet til din forretning. Dette er Microsoft Cloud. Alle virksomheder er unikke. Fra sundhedsvæsen til detail, produktion eller finans der er ikke to virksomheder, der opererer på samme

Læs mere

Sikkerhedsvurderinger

Sikkerhedsvurderinger Sikkerhedsvurderinger CERTA har specialiseret sig i at yde uafhængig og sagkyndig bistand til virksomheder i forbindelse med håndteringen af sikkerhedsmæssige trusler og risici. Et væsentlig element i

Læs mere

Service Level Agreement Version 2.0 d. 1. april 2014

Service Level Agreement Version 2.0 d. 1. april 2014 Service Level Agreement Version 2.0 d. 1. april 2014 EDB-Eksperten.dk 1. Præambel... 3 1.1. Definitioner... 3 1.2. Produktomfang... 3 2. Driftsvindue og tider... 3 2.1. Driftsvindue... 3 2.2. Åbningstid...

Læs mere

STOFA VEJLEDNING SAFESURF INSTALLATION

STOFA VEJLEDNING SAFESURF INSTALLATION STOFA VEJLEDNING SAFESURF INSTALLATION Denne vejledning gennemgår installationsproceduren af SafeSurf, og herefter de tilpasningsmuligheder man kan benytte sig af. Trin 1 Installationen starter med at

Læs mere

De nye standarder for kundeengagement

De nye standarder for kundeengagement De nye standarder for kundeengagement : Sammenfattende rapport April 2015 www.decisioningvision.com Indledning Hvordan kan du vide, om din forretningsmodel er velegnet i dag, og om fem år? Den teknologiske

Læs mere

Sikker Drift. Inventio.IT s Sikker Drift sikrer proaktivt driften af dine medarbejders arbejdsstationer og virksomhedens IT.

Sikker Drift. Inventio.IT s Sikker Drift sikrer proaktivt driften af dine medarbejders arbejdsstationer og virksomhedens IT. 21. september 2016 Inventio.IT s Sikker Drift sikrer proaktivt driften af dine medarbejders arbejdsstationer og virksomhedens IT. Sikker Drift Tryghed for optimal drift af virksomhedens servere og medarbejderes

Læs mere

Sikker Drift. Inventio.IT s Sikker Drift sikrer proaktivt driften af dine medarbejders arbejdsstationer og virksomhedens IT.

Sikker Drift. Inventio.IT s Sikker Drift sikrer proaktivt driften af dine medarbejders arbejdsstationer og virksomhedens IT. Inventio.IT s Sikker Drift sikrer proaktivt driften af dine medarbejders arbejdsstationer og virksomhedens IT. Sikker Drift Tryghed for optimal drift af virksomhedens servere og medarbejderes arbejdsstationer

Læs mere

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør Dagsorden 1. Præsentation 2. Roskilde Universitet 3. Risikostyring - hvorfor? 4. Ledelsesopbakning 5. ISO27001 6. Forretningsorienteret risikostyring 7. It-teknisk sikkerhedsstyring 8. Hvordan bruges risikostyring

Læs mere

Ruko ARX Access. Total tryghed og sikkerhed med online adgangskontrol STAND OFF ALONE LINE LINE

Ruko ARX Access. Total tryghed og sikkerhed med online adgangskontrol STAND OFF ALONE LINE LINE Access STAND ALONE OFF ON Total tryghed og sikkerhed med online adgangskontrol ASSA ABLOY, the global leader in door opening solutions Løsninger til ethvert behov Access indgår som toppen af kransekagen

Læs mere

Service Level Agreement

Service Level Agreement Nærværende dokument klarlægger de serviceforpligtelser, som Leverandøren har over for Kunden, i forbindelse med deres indbyrdes aftaleforhold. Forpligtelserne er gældende såfremt den tilhørende hostingaftale

Læs mere

Microsoft Windows 7 / Vista / XP / 2000 / Home Server. Startvejledning

Microsoft Windows 7 / Vista / XP / 2000 / Home Server. Startvejledning Microsoft Windows 7 / Vista / XP / 2000 / Home Server Startvejledning ESET Smart Security leverer avanceret beskyttelse af din computer mod skadelig kode. Baseret på ThreatSense -scanningsmotoren, som

Læs mere

Sikkerhedsanbefaling. Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded

Sikkerhedsanbefaling. Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded Sikkerhedsanbefaling Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded Juli 2014 Indledning Microsoft har annonceret, at selskabet den 31. december 2016 frigiver den sidste serviceopdatering

Læs mere

Partner session 1. Mamut One Temadag. 12. & 13. august 2009. Antonio Bibovski

Partner session 1. Mamut One Temadag. 12. & 13. august 2009. Antonio Bibovski Partner session 1 Mamut One Temadag 12. & 13. august 2009 Antonio Bibovski Agenda Mamut ONE Leverance En god investering for dine kunder Mamut Online Desktop Installation i praksis Mamut Validis Analyseværktøj

Læs mere

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.: Databehandleraftale vedrørende brug af WinPLC og relaterede services Version 1.0 d. 1. november 2015 Parterne Kundenr.: Klinikkens navn og adresse (evt. stempel) (herefter den Dataansvarlige) og (herefter

Læs mere

Sikkerhed i cloud computing

Sikkerhed i cloud computing Sikkerhed i cloud computing Databeskyttelsesdagen 2012 Morten Jørsum Center for Digitalisering Digitaliseringsstyrelsen mjrsm@digst.dk Hvad er cloud computing It som en service: Leveres og betales efter

Læs mere

Version 8.0. BullGuard. Backup

Version 8.0. BullGuard. Backup Version 8.0 BullGuard Backup 0GB 1 2 INSTALLATIONSVEJLEDNING WINDOWS VISTA, XP & 2000 (BULLGUARD 8.0) 1 Luk alle åbne programmer, bortset fra Windows. 2 3 Følg instrukserne på skærmen for at installere

Læs mere

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet "informationer"? 2

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet informationer? 2 Indhold 1 Informationssikkerhedspolitik 2 1.1 Hvorfor vil vi sikre vores informationer? 2 1.2 Hvad dækker begrebet "informationer"? 2 2 Principper 4 2.1 Styret af KU's strategiske behov 4 2.2 Implementering

Læs mere

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Den finansielle sektor er i dag 100% afhængig af, at it-løsninger er kørende og herudover er sikret i tilfælde af, at noget

Læs mere

Overordnet It-sikkerhedspolitik

Overordnet It-sikkerhedspolitik Overordnet It-sikkerhedspolitik Denne politik er godkendt af byrådet d. x. måned 2014 Ved udskrivning af politikken skal du være opmærksom på, at du anvender senest godkendte version. Acadre sags nr. 14-8285

Læs mere

BRIDGESTONE FIRESTONE FORTROLIGHEDSPOLITIK

BRIDGESTONE FIRESTONE FORTROLIGHEDSPOLITIK BRIDGESTONE FIRESTONE FORTROLIGHEDSPOLITIK Det glæder os, at du er i interesseret i vores selskab. Det er os meget magtpåliggende at beskytte vores besøgendes privatliv. Vi gør derfor alt, hvad vi kan,

Læs mere

KOMBIT sikkerhedspolitik

KOMBIT sikkerhedspolitik KOMBIT sikkerhedspolitik Indholdsfortegnelse INDLEDNING 3 DEL 1: ORGANISERING, ROLLER OG ANSVAR 4 DEL 2: POLITIK FOR INFORMATIONSSIKKERHED 5 DEL 3: RETNINGSLINJER OG KONTROLMÅL TIL LEVERANDØREN 6 5. INFORMATIONSSIKKERHEDSPOLITIKKER

Læs mere

Andersen & Martini A/S

Andersen & Martini A/S Udkast til kommissorium for revisionsudvalget 1. Formål Revisionsudvalget udpeges af bestyrelsen til at bistå denne i udførelsen af bestyrelsens tilsynsopgaver. Revisionsudvalget overvåger: Effektiviteten

Læs mere

Styring af testmiljøer almindelig god praksis

Styring af testmiljøer almindelig god praksis White paper Styring af testmiljøer almindelig god praksis Søren Beyer Nielsen Ph.D., M.Sc. Pragmatic Consult A/S v. 1.2 Pragmatic Consult A/S Stadagervej 42 2730 Herlev Danmark Tel: 44 92 23 77 Fax: 44

Læs mere

Service Level Agreement

Service Level Agreement Service Level Agreement Dette dokument vil gennemgå de serviceforpligtelser, som leverandøren har til kunden i forbindelse med en købsaftale, forudsat der specifikt er henvist til den korrekte versionering

Læs mere

Comendo Remote Backup. Service Level Agreement

Comendo Remote Backup. Service Level Agreement Comendo Remote Backup Service Level Agreement Side 2 af 7 Indholdsfortegnelse Service Level Agreement... 1 Indholdsfortegnelse... 2 Introduktion... 3 Comendo Remote Backup ansvar og forpligtelser... 3

Læs mere

Informationssikkerhed Version 2.0 29.09.10

Informationssikkerhed Version 2.0 29.09.10 Informationssikkerhed Version 2.0 29.09.10 Retningslinjer for retablering af systemer og data (Ændringer i forhold til tidligere version er markeret med Understregning) Disse retningslinjer beskriver de

Læs mere

Skyen som platform. En guide til små og mellemstore virksomheder

Skyen som platform. En guide til små og mellemstore virksomheder Skyen som platform En guide til små og mellemstore virksomheder Efterhånden som skyen udvikler sig fra grundlæggende onlinesoftware til en fuld platform til virksomheder, kan den give din virksomhed mulighed

Læs mere

Business Continuity og Cloud

Business Continuity og Cloud Business Continuity og Cloud af: Michael Christensen, Certified Business Continuity and IT-security Consultant, CISSP, CSSLP, CISM, CRISC, CCM, CPSA, ISTQB, PRINCE2, COBIT5 For rigtig mange danske virksomheder

Læs mere

spørgsmål vedrørende privatlivets fred

spørgsmål vedrørende privatlivets fred Problemidentificerende spørgsmål vedrørende privatlivets fred Appendiks 4 Håndbog i: Privatlivsimplikationsanalyse IT og Telestyrelsen INDHOLDSFORTEGNELSE Brug af problemidentificerende spørgsmål... 3

Læs mere

Arbejdsmiljøcertificering Selvevaluering i forhold til DS/OHSAS og bek. 87

Arbejdsmiljøcertificering Selvevaluering i forhold til DS/OHSAS og bek. 87 Arbejdsmiljøcertificering Selvevaluering i forhold til DS/OHSAS 18001 og bek. 87 Punkt Emne Bemærkninger Handlingsplan 4.1 Generelle krav Organisationen skal etablere og vedligeholde et arbejdsmiljøledelses-system

Læs mere

Mere end flådestyring

Mere end flådestyring www.toyota-forklifts.dk TOYOTA I_SITE Mere end flådestyring Hvordan kan jeg reducere omkostninger i forbindelse med skader? Hvad er min optimale flådestørrelse? Hvordan kan jeg øge min udnyttelsesgrad?

Læs mere

Dynamics AX hos Columbus

Dynamics AX hos Columbus Dynamics AX hos Columbus Dynamics AX er ikke længere bare Dynamics AX Stop lige op, før du vælger at opgradere Vejen til produktivitet er Rollecentre Henrik fortæller dig, hvordan det er at være kunde

Læs mere

Mariendal IT - Hostingcenter

Mariendal IT - Hostingcenter ariendal IT - Hostingcenter ariendal IT - Hostingcenter ed vores topsikrede og professionelle hostingcenter tilbyder vi flere forskellige hostede løsninger I denne brochure kan du danne dig et overblik

Læs mere

Vejledning til leverandører Achilles Facilities & Building Services (FBS) netværk

Vejledning til leverandører Achilles Facilities & Building Services (FBS) netværk Vejledning til leverandører Achilles Facilities & Building Services (FBS) netværk 2015-02-16 Version 3.0 Side 1 af 14 Indhold Oversigt... 4 Hvorfor har Coor indgået partnerskab med Achilles?... 4 Hvad

Læs mere

Identity Access Management

Identity Access Management Identity Access Management Traditionel tilgang til Identity & Access Governance-projekter, udfordringer og muligheder Alex Sinvani ais@dubex.dk Dubex A/S Formålet Opbygge en god konceptuel baggrund for

Læs mere

Hvad er cloud computing?

Hvad er cloud computing? Hvad er cloud computing? Carsten Jørgensen cjo@devoteam.dk Devoteam Consulting COPYRIGHT 11/05/2010 Architecture & Information Simplificering af it og effektiv it til forretningen Business Intelligence

Læs mere

LinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK

LinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK LinkGRC A Nordic leader in all aspects of Governance, Risk and Compliance Virksomhedens informationssikkerhedspolitik er i sin enkelhed et modsvar til en virksomheds

Læs mere

Guide til SoA-dokumentet - Statement of Applicability. August 2014

Guide til SoA-dokumentet - Statement of Applicability. August 2014 Guide til SoA-dokumentet - Statement of Applicability August 2014 Guide til SoA-dokumentet - Statement of Applicability Udgivet august 2014 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet

Læs mere

TILLÆG TIL BLACKBERRY SOLUTION LICENSAFTALE FOR BLACKBERRY ENTERPRISE SERVICE 12 CLOUD ("Tillægget")

TILLÆG TIL BLACKBERRY SOLUTION LICENSAFTALE FOR BLACKBERRY ENTERPRISE SERVICE 12 CLOUD (Tillægget) TILLÆG TIL BLACKBERRY SOLUTION LICENSAFTALE FOR BLACKBERRY ENTERPRISE SERVICE 12 CLOUD ("Tillægget") VIGTIGE MEDDELELSER: For at få adgang til og / eller bruge denne Cloud service (som defineret nedenfor)

Læs mere

"SAP" betyder det SAP-selskab, med hvem du indgik kontrakt om tjenesten.

SAP betyder det SAP-selskab, med hvem du indgik kontrakt om tjenesten. Serviceaftaleprogram for Ariba Cloud Services Garanti for Tjenestens tilgængelighed Sikkerhed Diverse 1. Garanti for Tjenestens tilgængelighed a. Anvendelighed. Garantien for tjenestens tilgængelighed

Læs mere

Softwareserviceudbyder leverer rentabel løsning til digital forvaltning

Softwareserviceudbyder leverer rentabel løsning til digital forvaltning Windows Azure Kundeløsning Softwareserviceudbyder leverer rentabel løsning til digital forvaltning Oversigt Land: Indien Branche: It Kundeprofil leverer softwareproduktudviklingstjenester til virksomheder

Læs mere

DAU REMOTE ACCESS LØSNINGSMULIGHEDER OG TEKNOLOGIER MED REMOTE ACCESS JOHN AMMENTORP

DAU REMOTE ACCESS LØSNINGSMULIGHEDER OG TEKNOLOGIER MED REMOTE ACCESS JOHN AMMENTORP DAU REMOTE ACCESS LØSNINGSMULIGHEDER OG TEKNOLOGIER MED REMOTE ACCESS JOHN AMMENTORP AGENDA 01 Kort præsentation 02 Behov i forbindelse med de 4 dimensioner 03 Koncept for sikker forbindelser 04 Netværkssikkerhed

Læs mere

Toshiba EasyGuard i brug:

Toshiba EasyGuard i brug: Toshiba EasyGuard: i brug Toshiba EasyGuard i brug: portégé m400 DEN ULTRABÆRBARE TABLET PC, DER KLARER DET HELE. Toshiba EasyGuard indeholder en række funktioner, der hjælper mobile erhvervskunder med

Læs mere

Cloud i brug. Migrering af Digitalisér.dk til cloud computing infrastruktur

Cloud i brug. Migrering af Digitalisér.dk til cloud computing infrastruktur Cloud i brug Migrering af Digitalisér.dk til cloud computing infrastruktur 02 Indhold > Executive Summary............................................................... 03 Digitaliser.dk.....................................................................

Læs mere

Bring lys over driften af belysningen

Bring lys over driften af belysningen Bring lys over driften af belysningen CityTouch LightPoint Asset Management system for belysning CityTouch LightPoint / Asset Management 3 Velkommen til den nye intelligens inden for belysning. Professionel

Læs mere

Prøv en sky IT og Telestyrelsen København 9. november 2010. Peter Lunding Smith ProActive peter.smith@proactive.com

Prøv en sky IT og Telestyrelsen København 9. november 2010. Peter Lunding Smith ProActive peter.smith@proactive.com Prøv en sky IT og Telestyrelsen København 9. november 2010 Peter Lunding Smith ProActive peter.smith@proactive.com Jesper Osgaard Microsoft josgaard@microsoft.com Introduktion Hostede IT-løsninger til

Læs mere

Gør din virksomhed mobil. med Microsoft Office 365 GØR DIN VIRKSOMHED MOBIL MED OFFICE 365 1

Gør din virksomhed mobil. med Microsoft Office 365 GØR DIN VIRKSOMHED MOBIL MED OFFICE 365 1 Gør din virksomhed mobil med Microsoft Office 365 GØR DIN VIRKSOMHED MOBIL MED OFFICE 365 1 Vi må se det i øjnene: de fleste kunder og medarbejdere er allerede mobile. Ideen om at sidde ved sit skrivebord

Læs mere

Sotea A/S 19. april 2016 version 1.0 1

Sotea A/S 19. april 2016 version 1.0 1 version 1.0 1 1.... 3 2.... 3 3.... 4 4.... 5 5.... 5 6.... 6 7.... 6 version 1.0 2 1. Nærværende Service Level Agreement dokumenterer det aftalte serviceniveau, og beskriver kundens garanti i forbindelse

Læs mere

TEKNISK ARTIKEL MERE END DATASIKKERHED MERE END DATASIKKERHED

TEKNISK ARTIKEL MERE END DATASIKKERHED MERE END DATASIKKERHED TEKNISK ARTIKEL MERE END DATASIKKERHED MERE END DATASIKKERHED TECH-2005-09-Data-Security-DK 1 TPM (TRUSTED PLATFORM MODULE, PÅLIDELIGT PLATFORMSMODUL) REPRÆSENTERER DET NYESTE INDEN FOR SIKKERHEDSTEKNOLOGIER.

Læs mere

Business Data A/S. Service Level Agreement for Business Datas levering af cloud-løsninger og andre it-ydelser

Business Data A/S. Service Level Agreement for Business Datas levering af cloud-løsninger og andre it-ydelser Business Data A/S Service Level Agreement for Business Datas levering af cloud-løsninger og andre it-ydelser Version 3.0.1 (senest redigeret 20. november 2014) Indhold 1. Generelt... 2 2. Definitioner...

Læs mere

Et visionært teknologidesign

Et visionært teknologidesign Christian Damsgaard Jensen DTU Informatik Danmarks Tekniske Universitet Christian.Jensen@imm.dtu.dk Opsamling af personlige data 2 DTU Informatik, Danmarks Tekniske Universitet Privatlivets fred er truet

Læs mere

Hvad du søgte efter Identiteten på det websted, du besøgte umiddelbart før vores websted (henvisende websted).

Hvad du søgte efter Identiteten på det websted, du besøgte umiddelbart før vores websted (henvisende websted). Brugervilkår og andre gode ting, som du bør vide for at være sikker online. Sikkerhed er alles ansvar En del af IKEA ånden er "jeg gør min del, du gør din del, og sammen gør vi en masse." Dette gælder

Læs mere

Yderligere information om IRM Her kan du finde en online demo af programmet, brugervejledninger, whitepapers, teknisk information mv.

Yderligere information om IRM Her kan du finde en online demo af programmet, brugervejledninger, whitepapers, teknisk information mv. Oracle Information Rights Management (IRM) Oracle - Information Rights Management (IRM) er en nyere form for informationssikkerhedsteknologi, der kan sikre og spore fortrolige digitale data overalt hvor

Læs mere

as a Service Dynamisk infrastruktur

as a Service Dynamisk infrastruktur Dynamisk infrastruktur Vi bygger dynamisk infrastruktur...... og holder den kørende Om jeres it-infrastruktur fungerer optimalt, er i bund og grund et spørgsmål om kapacitet. Og så er det et spørgsmål

Læs mere

Beskyttelse af personlige oplysninger

Beskyttelse af personlige oplysninger Beskyttelse af personlige oplysninger Kelly Services, Inc. og dens datterselskaber (herefter kaldet "Kelly Services" eller Kelly ) respekterer dit privatliv, og vi anerkender, at du har rettigheder i forbindelse

Læs mere

Kommissorium for revisionsudvalget i TDC A/S

Kommissorium for revisionsudvalget i TDC A/S 2. februar 2012 Kommissorium for revisionsudvalget i TDC A/S 1. Status og kommissorium Revisionsudvalget er et udvalg under bestyrelsen, der er nedsat i overensstemmelse med 15.1 i forretningsordenen for

Læs mere

POLITIK FOR DATABESKYTTELSE

POLITIK FOR DATABESKYTTELSE POLITIK FOR DATABESKYTTELSE Disse retningslinjer for databeskyttelse beskriver, hvordan vi bruger og beskytter oplysninger, som du afgiver i forbindelse med brug af vores hjemmeside. Vi har forpligtet

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

POLITIK FOR BESKYTTELSE AF PERSONLIGE OPLYSNINGER

POLITIK FOR BESKYTTELSE AF PERSONLIGE OPLYSNINGER POLITIK FOR BESKYTTELSE AF PERSONLIGE OPLYSNINGER Ikrafttrædelsesdato: 1/1/2013 Nærværende Politik for beskyttelse af personlige oplysninger forklarer, hvordan vi håndterer de personlige oplysninger, som

Læs mere

ESET NOD32 ANTIVIRUS 9

ESET NOD32 ANTIVIRUS 9 ESET NOD32 ANTIVIRUS 9 Microsoft Windows 10 / 8.1 / 8 / 7 / Vista / XP Startvejledning Klik her for at overføre den seneste version af dette dokument ESET NOD32 Antivirus leverer avanceret beskyttelse

Læs mere

Re-definér produktivitet med Microsoft Dynamics

Re-definér produktivitet med Microsoft Dynamics Re-definér produktivitet med Microsoft Dynamics Transformér automatiske virksomhedsprocesser og medarbejdernes produktivitet med Microsoft Dynamics og Microsoft Cloud TJENESTER DRIFT REGNSKAB SALG Hold

Læs mere

MainBrain White Paper: 3 Ukendte Risici Associeret med Førende Skyløsninger. Februar 2016

MainBrain White Paper: 3 Ukendte Risici Associeret med Førende Skyløsninger. Februar 2016 MainBrain White Paper: 3 Ukendte Risici Associeret med Førende Skyløsninger Februar 2016 Introduktion I løbet af de sidste par år er en voksende del af virksomhedsinformation flyttet til skyen. Løsninger

Læs mere

CERTAINTY INGENUITY ADVANTAGE. Computershare Din globale leverandør af investorservices

CERTAINTY INGENUITY ADVANTAGE. Computershare Din globale leverandør af investorservices CERTAINTY INGENUITY ADVANTAGE Computershare Din globale leverandør af investorservices Lokal ekspertise med global rækkevidde Computershares innovative investorservices sikrer value for money for dit selskab,

Læs mere

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) 1 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-951-4 0.05.12

Læs mere

Sæt it-sikkerheden på autopilot

Sæt it-sikkerheden på autopilot Sæt it-sikkerheden på autopilot POLICY MANAGER Det har aldrig været nemmere at centralisere sikkerhedsadministrationen F-Fecure Policy Manager indeholder værktøjer til at automatisere de fleste daglige

Læs mere

Arbejdsgruppen vedrørende Beskyttelse af Personer i forbindelse med Behandling af Personoplysninger. Henstilling 1/99

Arbejdsgruppen vedrørende Beskyttelse af Personer i forbindelse med Behandling af Personoplysninger. Henstilling 1/99 5093/98/DA/endelig udg. WP 17 Arbejdsgruppen vedrørende Beskyttelse af Personer i forbindelse med Behandling af Personoplysninger Henstilling 1/99 om usynlig og elektronisk behandling af personoplysninger

Læs mere