Regulativ for it-sikkerhed i Københavns Kommune

Størrelse: px
Starte visningen fra side:

Download "Regulativ for it-sikkerhed i Københavns Kommune"

Transkript

1 Regulativ for it-sikkerhed i Københavns Kommune 2013

2 2. I medfør af 5 i Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning, samt i medfør af ledelsesretten udsteder Københavns Kommune følgende it-sikkerhedsregulativ for Københavns Kommune: 1. It-sikkerhedsreglerne i Københavns Kommune er samlet på kommunens intranet i en itsikkerhedshåndbog, som indeholder: It-sikkerhedspolitikken: It-sikkerhedspolitikken fastlægger det overordnede niveau for it-sikkerheden i kommunen. It-sikkerhedsregulativ for Københavns Kommune: It-sikkerhedsregulativet skal beskrive de organisatoriske rammer for kommunens håndtering af it-sikkerhedsrisici. En række uddybende It-sikkerhedsregler for Københavns Kommune: De uddybende It-sikkerhedsregler for Københavns Kommune indeholder de resterende it-sikkerhedsregler for kommunen. Stk. 2. It-sikkerhedshåndbogen baseres på ISO-standarden for informationssikkerhed (ISO om Informationsteknologi Sikkerhedsteknikker Ledelsessystemer for informationssikkerhed (ISMS) og Krav) Stk. 3. It-sikkerhedshåndbogen skal løbende tilpasses lovgivningen, den teknologiske udvikling samt internationale, statslige, fælleskommunale og regionale standarder. Stk. 4. It-sikkerhedshåndbogen gælder for alle relevante interessenter - herunder samtlige af kommunens medarbejdere. Stk. 5. It-sikkerhedshåndbogen gælder for behandling af personoplysninger og værdioplysninger i Københavns Kommune, som helt eller delvis foretages ved hjælp af elektronisk databehandling, og for ikke-elektronisk databehandling af personoplysninger, der er eller vil blive indeholdt i et manuelt register. Stk. 6. Det skal aftales med de selvejende og private institutioner mv., der har indgået driftsoverenskomst med kommunen, eller som kommunen udfører databehandling for, at disse skal efterleve it-sikkerhedshåndbogen 2. It-sikkerhedshåndbogen skal leve op til ISO-standarden for informationssikkerhed. I beslutninger om it-sikkerhed skal der gennemføres en afvejning de it-sikkerhedsmæssige risici med de forretningsmæssige behov for effektivitet i kommunen og høj borgerservice. Dette skal bl.a. sikre, at enhver elektronisk håndtering af personoplysninger og værdioplysninger i Københavns Kommune sker på en betryggende og tillidsvækkende måde i forhold til kommunens borgere og virksomheder, og at kommunen følger de regler for behandling af personoplysninger, der er fastsat i lov om behandling af personoplysninger (persondataloven) med tilhørende bekendtgørelser mv. 3. De begreber der er anvendt i Regulativ for It-sikkerhed er defineret i Bilag 1 bagest i dette regulativ.

3 3. 4. Borgerrepræsentationen vedtager kommunens it-sikkerhedspolitik og itsikkerhedsregulativ efter indstilling fra Koncernservice i Økonomiforvaltningen. Stk.2. It-sikkerhedspolitikken fastlægger det overordnede niveau for it-sikkerheden i kommunen. Stk. 3 It-sikkerhedsregulativet skal beskrive de organisatoriske rammer for kommunens håndtering af it-sikkerhedsrisici. 5. Økonomiudvalget varetager den umiddelbare forvaltning af kommunens overordnede og tværgående it-sikkerhedsforhold. Stk. 2. Økonomiudvalget er ansvarligt for at fastsætte de uddybende it-sikkerhedsregler for kommunen. Stk. 3. Ændringer i de uddybende it-sikkerhedsregler, der ikke har væsentlig indflydelse på it-sikkerhedsniveauet eller ikke har økonomiske konsekvenser for forvaltningerne, delegeres til Koncernservice i Økonomiforvaltningen. Stk. 3. It-sikkerhedsfunktionen orienterer mindst en gang årligt Økonomiudvalget om itsikkerhedsbrud og status på it-sikkerhedsarbejdet i kommunen, samt afgivne dispensationer for og ændringer af de uddybende it-sikkerhedsregler.!! 6. Overborgmesteren og den enkelte borgmester har ansvaret for it-sikkerhedsarbejdet inden for hver deres forvaltningsområde. 7. Koncernservice udgør et selvstændigt it-sikkerhedsområde under Økonomiforvaltningen. It-sikkerhedsfunktionen er for tiden placeret i Koncernservice. Koncernservice er bl.a. ansvarlig for fællessystemer, drift og It-sikkerhedsfunktionen. Stk. 2. Koncernservice udfører udvalgte myndighedsopgaver i forhold til hele kommunen. Endvidere udføres it-opgaver efter bestilling fra den øvrige del af kommunen. Stk.3. Koncernservice er ansvarlig for at it-sikkerheden på standardydelser fra Koncernservice ydelseskatalog. Ved forvaltningernes bestilling af andre ydelser hos Koncernservice er forvaltningens bestiller (eller den systemejer/projekt-ejer der er ansvarlig

4 4. for forvaltningens initiativ på området) ansvarlig for sikkerheden i forbindelse med bestilling af ydelser. herunder at der i nødvendigt omfang indgås aftale om de nærmere vilkår og it-sikkerhedskrav i forbindelse med bestilling af ydelsen. Koncernservice kan rådgive med forslag til sikkerhedsforanstaltninger og aftaler med Den Driftsansvarlige. Stk. 4. Koncernservice løser it-sikkerhedsopgaver på vegne af henholdsvis forvaltningerne, Intern Revision og Borgerrådgiverinstitutionen. Dette omfatter f.eks.: Varetagelse af systemejerskab. Varetagelse af ansvaret for kommunens fælles netværk. Endvidere står Brugeradministrationen i Koncernservice for oprettelser, lukning og ændring af autorisationer. Dog kan Servicedesken i Koncernservice give nyt password. Stk. 5 Koncernservice Direktion skal sikre, at der fastsættes uddybende It-sikkerhedsregler for Københavns Kommune. Ændringer i de uddybende It-sikkerhedsregler for Københavns Kommunen skal godkendes af Koncernservice Direktion efter forudgående høring af forvaltningerne. Dispensation fra de uddybende It-sikkerhedsregler kan kun ske på baggrund af en godkendelse fra Koncernservice direktion. Direktionen for Koncernservice har ansvar for fastlæggelse af it-sikkerhedsniveauet inden for eget område og i forhold til kommunens netværk samt netværksudstyr og servere m.v., som driftes af Koncernservice. Endvidere skal Koncernservice fastsætte retningslinjer for integration og netværkskommunikation til eksternt driftede løsninger. Stk. 6 Direktionen for Koncernservice kan udpege en Driftsansvarlig samt mindst en stedfortræder for denne. 8. It-sikkerhedsfunktionen er placeret i Koncernservice i Økonomiforvaltningen. i Københavns Kommune. Stk. 2 It-sikkerhedsfunktionen fører det daglige tilsyn med overholdelsen af kommunens itsikkerhedsbestemmelser og koordinerer kommunens it-sikkerhedsarbejde. Stk. 3. It-sikkerhedsfunktionen tilrettelægger informations- og uddannelsesaktiviteter for medarbejdere, der varetager kommunens It-sikkerhedsfunktioner. Stk. 4. It-sikkerhedsfunktionen rådgiver kommunen om it-sikkerhedsmæssige forhold. Stk. 5. It-sikkerhedsfunktionen kan afkræve enhver medarbejder i kommunen oplysninger, som har betydning for varetagelsen af tilsynsfunktionen. Stk. 6. It-sikkerhedsfunktionen skal sikre at der sker kontrol af adgangsrettigheder og autorisationer, der er givet til medarbejderne. Stk. 7. It-sikkerhedsfunktionens opgaver, jf. stk. 1-6, varetages for Brandvæsenets egne itsystemer af en it-sikkerhedsleder for Brandvæsenet. Stk. 8. It-sikkerhedsfunktionen kan komme med påbud til alle ansatte og enheder i kommunen om hvorledes man skal forholde sig i relation til it-sikkerhed. Stk. 9. Som led i den almindelige revision af kommunen skal der også foretages revision af it-sikkerheden. It-sikkerhedsfunktionen aftaler med revisor hvorledes itsikkerhedsrevisionen skal udføres. 9. Den Driftsansvarlige har ansvaret for at de teknikunderstøttende applikationer som anvendes af eller driftes af kommunen, f.eks.; netværk og kommunikation, serverdrift, print, infrastruktur. pc-support, service-management m.m. er i overensstemmelse med de itsikkerhedsmæssige krav og den til enhver tid gældende it-strategi. Stk. 2. Den Driftsansvarlige skal i samarbejde med It-sikkerhedsfunktionen, udarbejde itsikkerhedsforskrifter eller retningslinjer for it-installationer/driftsmiljø og de benyttede netværk. Stk. 3. Den Driftsansvarlige har ansvaret for sikkerheden på it-platforme. Stk. 4. Den Driftsansvarlige i Koncernservice har ansvaret for de fysiske sikringsforanstaltninger inden for eget område og i forhold til kommunens netværk samt netværksudstyr og servere m.v., som driftes af Koncernservice. Stk. 5 Den Driftsansvarlige skal sikre, at der bliver taget backup af oplysninger på serverudstyr som driftes af kommunen - efter behov på en ekstern location. Stk. 6. Den Driftsansvarlige kan dispensere hvis ikke udviklings-, test- og uddannelsesmiljøer med person eller værdi data, som driftes af kommunen holdes adskilt fra produktionsmiljøet.

5 5. Stk.7. Såfremt den Driftsansvarlige for henholdsvis Børne- og Ungdomsforvaltningen og Brandvæsnet skal træffe en beslutning vedrørende egne netværk, som kan påvirke sikkerheden i kommunens fælles netværk, skal den Driftsansvarlige i Koncernservice høres, forinden der træffes beslutning. " 10. Direktionen har inden for eget forvaltningsområde ansvar for fastlæggelse af itsikkerhedsniveauet og for gennemførelse af risikovurderinger. It-sikkerhedsniveauet skal fastlægges indenfor de rammer som er opstillet i It-sikkerhedshåndbogen. Stk. 2. Direktionen skal inden for eget område iværksætte de foranstaltninger, der er nødvendige for at opnå en tilstrækkelig it-sikkerhed, indenfor de rammer som er opstillet i It-sikkerhedshåndbogen. Stk. 3. Direktionen er inden for eget område ansvarlig for, at de medarbejdere, som arbejder med It-sikkerhedsopgaver, er i besiddelse af de nødvendige kompetencer. Stk. 4. Direktionen kan udpege en repræsentant fra ledelsen inden for eget område til at varetage koordineringen med Koncernservice inden for It-sikkerhedsområdet. Den der udpeges skal have et indgående kendskab til henholdsvis områdets organisation, opgaver og systemportefølje. Revisionschefen fra Intern Revision og Borgerrådgiveren fra Borgerrådgiverinstitutionen varetager koordineringen med Koncernservice inden for It-sikkerhedsområdet. Stk. 5. Direktionen skal inden for eget område udpege en systemejer for it-systemer forvaltningen har ansvaret for samt mindst en stedfortræder for hver systemejer, hvor intet andet er besluttet er det direktionen der er stedfortræder. Koncernservice kan efter aftale overtage systemejerskabet for systemer indenfor den enkelte forvaltnings eget område. Hvis dette sker skal Koncernservice direktion udpege systemejerne samt mindst en stedfortræder for hver af systemejerne. Direktionen for Koncernservice skal udpege en systemejer for hvert af de fællessystemer, som Koncernservice er ansvarlig for. Stk. 6. Direktionen for Børne- og Ungdomsforvaltningen kan udpege en Driftsansvarlig samt en stedfortræder for denne for forvaltningens eget pædagogiske netværk, netværksudstyr og servere m.v. Hvis Børne- og Ungdomsforvaltningen ikke har udpeget en Driftsansvarlig varetages opgaven af Koncernservice. I forbindelse med Børne- og Ungdomsforvaltningens snitflader/deling af it-ressourcer med Koncernservice og kommunens administrative net er det den driftsansvarlige i Koncernservice der har ansvaret. Stk. 7. Ledelsen for Brandvæsnet kan udpege en Driftsansvarlig samt en stedfortræder for denne for Brandvæsnets eget netværk, netværksudstyr og servere m.v. Hvis Brandvæsnet ikke har udpeget en Driftsansvarlig varetages opgaven af Koncernservice. I forbindelse med Brandvæsnets snitflader/deling af it-ressourcer med Koncernservice er det den driftsansvarlige i Koncernservice der har ansvaret. Stk. 8. Ledelsen for Brandvæsnet udpeger en it-sikkerhedsleder for Brandvæsnets egne itsystemer. It-sikkerhedsfunktionen er stedfortræder for it-sikkerhedslederen for Brandvæsnet. #$ % 11. Systemejeren skal sikre, at systemets funktionalitet og anvendelse løbende tilpasses og bedst muligt understøtter It-sikkerhedskravene samt forretningens og brugernes behov. Stk. 2. Før anskaffelse af nye systemer skal systemejeren have godkendt anskaffelsen af systemet. Dette sker i forbindelse med registreringen i kommunens fortegnelse over it-

6 6. system. I forbindelse med anskaffelsen af systemet skal der foreligge en kortfattet risikoanalyse. Systemejeren har mulighed for at få separat it-sikkerhedsgodkendelse af andet end nye systemer. Stk. 3. Systemejerskabet skal varetages ud fra kommunens forretningsmæssige behov. Systemejeren er ansvarlig for it-systemets funktionalitet, opbygning, anvendelse og sikkerhedsløsning. Der kan indgås aftale mellem forvaltningen og leverandøren/driftcentret som beskriver niveauet for service. Ændringer i systemer som har snitflader/deling af itressourcer med Koncernservice og kommunens administrative net skal ske efter Koncernservice change procedure. Stk. 4. Systemejer er ansvarlig for, at it-systemet kan anvendes mest muligt effektivt og at systemet løbende forbedres, så det bedst muligt understøtter arbejdsopgaverne og kommunens forretningsmæssige behov og lever op til kravene i It-sikkerhedshåndbogen. Der skal etableres processer, der sikre en stabil, effektiv og sikker drift af systemet. Stk.5. Systemejer er ansvarlig for, at dokumentationen af systemer og processer er ajourført og tilgængelig for relevante medarbejdere. Endvidere har systemejer ansvar for, at der indgås aftale om it-beredskab efter kriterier og retningslinjer fastlagt i it-sikkerhedshåndbogen, og systemejeren skal endvidere bidrage til kommunens it-beredskabsplan. Stk. 6. Ved brug af eksterne samarbejdspartnere/leverandører er systemejer ansvarlig for, at der indgås en databehandler-/it-sikkerhedsaftale, hvor sikkerhedsforanstaltninger i forbindelse med samarbejdet/leverancerne er beskrevet. Nye aftaler baseres på den standard, der er fastlagt i it-sikkerhedshåndbogen. Stk. 7. Systemejeren skal sikre, at it-systemet kan logge behandling af data, når det er krævet i de uddybende It-sikkerhedsregler og som følge af gældende lovgivning. Stk. 8. Hvis integration af it-systemer indebærer en øget it-sikkerhedsrisiko, skal denne risiko vurderes nærmere af systemejeren med inddragelse af den Driftsansvarlige og Itsikkerhedsfunktionen Stk. 9. Systemejer står til rådighed for kommunen med oplysninger om it-systemet så vidt som dette er sikkerhedsmæssigt forsvarligt. Stk. 10. Hvis direktionen endnu ikke har udpeget en systemejer, varetages systemejerskabet af lederen af det område, som anskaffer systemet eller af en af denne udpeget projekt-ejer, hvis ansvaret for et systemet er overdraget til en anden leder er det denne som varetager systemejers opgaver. For mindre vigtige systemer, som ikke indeholder væsentlige økonomioplysninger eller følsomme personoplysninger består systemejers rolle i at være system-kontaktperson. System-kontaktpersonens rolle, begrebet system og om der skal udpeges en systemejer for landsdækkende og tværsektorielle systemer, som anvendes af kommunen er beskrevet i de uddybende It-sikkerhedsregler for Københavns Kommune. " 12. En medarbejder kan ikke samtidig varetage funktionen som it-sikkerhedsleder, systemejer eller driftsansvarlig. 13. Den Autorisationsansvarlige varetager de opgaver der er i forbindelse med bestilling af autorisationer og rettigheder til medarbejderne. Dvs. bestilling af oprettelser, flytning, ændringer og sletninger af medarbejdere normalt hos koncernservice brugeradministration. Den autorisationsansvarlige har ansvaret for, at der bestilles de rettigheder, som medarbejderne har behov for arbejdsmæssigt.

7 7. Stk. 2 It-sikkerhedsfunktionen fører en liste over hvem der er godkendt som Autorisationsansvarlige. Den lokale leder er ofte den autorisationsansvarlige. Lederen har mulighed for at uddelegere bestillingsopgaven til en bemyndiget medarbejder, som herved bliver autorisationsansvarlig. & 14. Ledere skal på alle niveauer sikre, at det er muligt for medarbejderne at efterleve deres ansvar for at beskytte kommunens person- og værdioplysninger. Den personaleansvarlige er ansvarlig for, at medarbejderen er informeret om sine opgaver og ansvar i forhold til it-sikkerheden, inden medarbejderen får adgang til kommunens itsystemer og oplysninger. Stk. 2. Medarbejderens personaleansvarlige sikrer, at medarbejderen senest ved ansættelsesforholdets ophør afleverer it-udstyr og lignende, som tilhører kommunen, og at der sker inddragelse af medarbejderes adgangsrettigheder i henhold til en af Itsikkerhedsfunktionen nærmere fastlagt procedure. Stk. 3. Medarbejderens personaleansvarlige skal orientere medarbejderen om tavshedspligtens indhold og at tavshedspligten er gældende også efter ansættelsesforholdets ophør. Stk. 4. En leder som er ansvarlig for en omstrukturering skal - i god tid - sørge for at sikre, at der etableres de nødvendige elektroniske kommunikations tiltag. Eksempelvis skal kontorpostkasser, sikre postkasser m.m. nedlukkes hvis en enhed lukkes. Stk.5. Den lokale ledelse har inden for eget område ansvaret for, at der etableres en tilstrækkelig fysisk sikring af lokaler m.v. 15. Alle medarbejderne skal medvirke til at beskytte kommunens person- og værdioplysninger og skal agere i henhold til dette it-sikkerhedsregulativ og de uddybende it-sikkerhedsregler som fastsættes af It-sikkerhedsfunktionen. '($ 16. It-sikkerhed skal afvejes med hensynet til effektiviteten i opgaveløsningen i forvaltningerne. Stk. 2. Direktionen har inden for eget forvaltningsområde ansvar for at fastlægge et passende it-sikkerhedsniveau ud fra en risikovurdering. For så vidt angår Intern Revision og Borgerrådgiverinstitutionen og Brandvæsnet påhviler ansvaret henholdsvis Revisionschefen, Borgerrådgiveren og Beredskabschefen. Stk. 3. Direktionen for Koncernservice har ansvar for at fastlægge it-sikkerhedsniveauet inden for eget område og i forhold til kommunens netværk samt netværksudstyr og servere m.v., som driftes af Koncernservice. Som led i fastlæggelsen af it-sikkerhedsniveauet har direktionen ansvar for gennemførelse af risikovurderinger. Stk. 4. Medmindre Borgerrepræsentation konkret beslutter andet fastlægges Borgerrepræsentationens eget it-sikkerhedsniveau af direktionen for Økonomiforvaltningen. Som led i fastlæggelsen af it-sikkerhedsniveauet har Økonomiforvaltningens direktion

8 8. ansvar for gennemførelse af risikovurderinger af Borgerrepræsentationens eget sikkerhedsniveau. Stk.5. Direktionen skal tage stilling til, om it-sikkerhedsniveauet er passende. Hvis itsikkerhedsniveauet ikke er passende, skal der iværksættes tiltag, så det ønskede itsikkerhedsniveau opnås. Ledelsesrepræsentanten skal orientere vedkommende fagudvalg og It-sikkerhedsfunktionen om direktionens beslutning. Stk.6. Risikovurderinger skal udarbejdes efter It-sikkerhedsfunktionen anvisninger. Itsikkerhedsfunktionen stiller it-værktøjer m.m. til rådighed for forvaltningerne, og rådgiver forvaltningerne om udarbejdelsen af risikovurderinger, Stk. 7. Risikovurderinger skal udarbejdes inden udgangen af hvert ulige år og ved væsentlige ændringer i risikobilledet. Stk.8. It-sikkerhedsfunktionen udarbejder på baggrund af de respektive risikovurderinger en samlet risikovurdering for kommunen. Stk. 9. Den samlede risikovurdering skal udarbejdes inden udgangen af 1. kvartal i hvert ulige år. Stk. 10. På baggrund af den samlede risikovurdering træffer Borgerrepræsentationen beslutning om fastlæggelse af kommunens overordnede it-sikkerhedsniveau. Stk. 11. Som led i risikovurderingen skal It-sikkerhedsfunktionen sikre, at der til enhver tid findes en ajourført fortegnelse over alle væsentlige informationsaktiver. Stk. 12. Styring af it-sikkerhedshændelser: Ved konstatering af brud eller formodning om brud på it-sikkerhedsbestemmelserne eller andre væsentlige it-sikkerhedshændelser, skal den, der konstaterer disse sikre, at it-sikkerhedsfunktionen underrettes herom. Hvis itsikkerhedshændelsen har relation til et bestemt system, skal systemejeren også underrettes. Systemejer skal endvidere i relevant omfang orientere den lokale ledelse i forvaltningen. Stk.13. It-beredskabsstyring: It-sikkerhedsfunktionen har ansvaret for, at der foreligger procedurer, som sikrer en tværorganisatorisk styring af it-beredskabet i tilfælde af større itnedbrud mv. til uddybning af kommunens beredskabsplan. De Driftsansvarlige for Koncernservice, Børne- og Ungdomsforvaltningen og Brandvæsnet har indenfor hver deres område ansvaret for at indgå aftale om it-beredskab. )&! 17. De respektive direktioner henholdsvis Revisionschefen og Borgerrådgiveren skal inden for eget område sikre, at specifik lovgivning af betydning for it-sikkerheden og eksterne itsikkerhedskrav for det pågældende område bliver identificeret, dokumenteret og overholdt. 18. Det daglige ansvar for overholdelsen af reglerne i persondataloven i forbindelse med behandling af personoplysninger påhviler de respektive direktioner henholdsvis Revisionschefen og Borgerrådgiveren. * 19. It-sikkerhedsregulativet for Københavns Kommune træder i kraft fra godkendelsen af It-sikkerhedsregulativet i Borgerrepræsentationen. Samtidig ophæves itsikkerhedsregulativet, godkendt af Borgerrepræsentationen den 16. december 2010.

9 9. Stk. 2. Koncernservice Direktion skal sikre, at det hvert år, inden udgangen af juni måned, vurderes om der er behov for ændringer i it-sikkerhedspolitikken, i it-sikkerhedsregulativet eller de uddybende It-sikkerhedsregler. Stk. 3. Ændringer i it-sikkerhedspolitikken og it-sikkerhedsregulativet skal godkendes af Borgerrepræsentationen. Godkendt af Borgerrepræsentationen d. 23. maj 2013

10 10. Bilag 1 Definitioner I it-sikkerhedsregulativet anvendes definitionerne i persondatalovens 3, Herudover anvendes der følgende - primært organisatoriske - definitioner: Autorisationsansvarlig Bestiller Den Driftsansvarlige ISO It-chef It-sikkerhedshåndbog It-sikkerhedsfunktion Uddybende It-sikkerhedsregler Leder eller bemyndiget medarbejder, som varetager opgaver i forbindelse med bestilling af autorisationer til medarbejderne. I hver forvaltning, er der udpeget en person til at bestille større ydelser hos Koncernservice. Ledende medarbejder i Koncernservice, der har det itsikkerhedsmæssige ansvar for opbygning og anvendelse af it-driftsmiljø og kommunikationsforbindelser samt for de fysiske sikringsforanstaltninger inden for eget område og i forhold til kommunens netværk, netværksudstyr og servere m.v., som ejes af Koncernservice. Itsikkerhedsfunktionen kan kontrollere dette samt fastsætte regler for dette. Såfremt opbygning og anvendelse af itdriftsmiljø og kommunikationsforbindelser vedrører egne netværk opgaver i Børne- og Ungdomsforvaltningen henholdsvis Brandvæsnet, er den Driftsansvarlige en ledende medarbejder fra Børne- og Ungdomsforvaltningen henholdsvis Brandvæsnet, som har ansvaret herfor. International standart for it-sikkerhed. ISO 27001handler om Informationsteknologi - Sikkerhedsteknikker ledelsessystemer for informationssikkerhed(isms) krav. ISO handler om Informationsteknologi Sikkerhedsteknikker Regler for informationssikkerhed (Code of Practice for information security management). Person på minimum kontorchefniveau, der i hver forvaltning har det overordnede ansvar for forvaltningens it-udvikling og it-understøttelse af forretningsmålene. It-sikkerhedsreglerne i Kommunen er samlet i en itsikkerhedshåndbog, som indeholder: o It-sikkerhedspolitikken o It-sikkerhedsregulativ for Københavns Kommune. o En række uddybende It-sikkerhedsregler for Københavns Kommune. Enhed som i henhold til beslutning i Borgerrepræsentationen varetager kommunens itsikkerhedsopgaver i samarbejde med forvaltningerne. It-sikkerhedsregler fastsat af It-sikkerhedsfunktionen til supplering af it-sikkerhedsregulativet med samme

11 11. gyldighed som it-sikkerhedsregulativet. Der kan anvendes et ISMS (Informations sikkerhedsmæssigt ledelsessystem til styring af it-sikkerhed). De uddybende It-sikkerhedsregler er for tiden en elektronisk udgave af ISO og som fortiden findes i den software pakke som hedder Secure Aware. (ISO er defineret ovenfor). It-sikkerhedsleder It-sikkerhedsregulativet It-sikkerhedspolitik Kommunen Ledelsesrepræsentant Medarbejdere Persondataloven Projekt-ejer Sikkerhedsbekendtgørelsen System Medarbejder i It-sikkerhedsfunktionen og Brandvæsnet, som udfører opgaver af it-sikkerhedsmæssig karakter samt fører tilsyn med, at it-sikkerhedsarbejdet bliver udført i overensstemmelse med de til enhver tid gældende it-sikkerhedsbestemmelser. Regulativ for it-sikkerhed i Københavns Kommune Den af Borgerrepræsentationen vedtagne politik for kommunens it-sikkerhed. Københavns Kommune. En repræsentant for ledelsen i en forvaltning eller et itsikkerhedsområde, som varetager koordineringen med Koncernservice og sikrer, at der træffes de nødvendige itsikkerhedsmæssige beslutninger i den pågældende enhed. Medarbejdere i kommunen og virksomheder, der er brugere af kommunens it-systemer, medarbejdere i selvejende og private institutioner og virksomheder, hvor dette er aftalt, medarbejdere i eksterne virksomheder, der er vikarer eller udfører it-opgaver for kommunen, og hvor adgangen til kommunens it-systemer er aftalt, samt medlemmer af Borgerrepræsentationen. Lov nr. 429 af 31. maj 2000, med senere ændringer om behandling af personoplysninger. En projekt-ejer kan være udpeget til at varetage systemejerens funktion så længe der ikke er udpeget en systemejer. Bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning med senere ændringer. Systemer som kræver, at forvaltningerne har udpeget en selvstændig systemejer: o Administrative systemer er systemer, der understøtter forvaltningens administrative opgaver f.eks. systemer som Kør, Lønsystemet, eller Flex. o Fagsystemer er systemer, der understøtter forvaltningens kerneopgaver, f.eks. systemer som IMU, KMD BYG eller CSC omsorg.

12 12. Systemer hvor forvaltningerne - afhængig af systemets placering og vigtighed kan vælge selv at udpege en systemejer eller at aftale, at koncernservice varetager systemejeropgaven: o Desktop applikationer er lokal installeret software som understøtter forretningen, men ikke i sig selv indeholder data. o Infrastruktur elementsystemer er systemer, der understøtter kerne it-driften som f.eks. Windows styresystem, antivirus, firewall, eller CMS. o En systemplatform er en platform til at bygge andre løsninger på, men som i sig selv ikke har noget forretningsfunktionalitet. Fx Oracle SOA Suite, Oracle service bus. o Apps er små applikationer til mobile enheder som smartphones og tablets. F.eks. systemer som er hentet fra Apple App store. o Job eller batch kørsler er små systemer uden brugergrænseflade, der fx trækker data ud om natten og laver beregninger og gemmer data igen. o En systemgrænseflade er et API som andre systemer kan kommunikere med via protokoller som fx SOAP, REST o Et undermodul er en ekstra tilføjet komponent eller et delsystem af systemet. o En hjemmeside/website er en løsning der præsentere information via en browser. Systemejer Værdioplysninger Væsentlige informationsaktiver Medarbejder, der har ansvar for det pågældende itsystems sikkerhedsløsning, opbygning, anvendelse og for beskyttelse af de oplysninger, der indgår i systemet. Oplysninger, der har en væsentlig økonomisk eller forvaltningsmæssig betydning for kommunen. Aktiver, der indeholder fortrolige eller følsomme personoplysninger eller værdioplysninger.

EU-udbud af Beskæftigelsessystem og ESDHsystem

EU-udbud af Beskæftigelsessystem og ESDHsystem EU-udbud af Beskæftigelsessystem og ESDHsystem Beskæftigelses- og Integrationsforvaltningen Københavns Kommune Underbilag 2 E Regulativ for IT-sikkerhed i Københavns Kommune Indholdsfortegnelse 1. Indledning...

Læs mere

Regulativ for it-sikkerhed i Københavns Kommune

Regulativ for it-sikkerhed i Københavns Kommune Regulativ for it-sikkerhed i Københavns Kommune Ajourført september 2016 I medfør af 5 i Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger,

Læs mere

REGULATIV FOR IT-SIKKERHED

REGULATIV FOR IT-SIKKERHED REGULATIV FOR IT-SIKKERHED Kapitel 1 - Anvendelsesområde og formål 1. Styringen af informationssikkerheden i Hovedstadens Beredskab er beskrevet i en it-sikkerhedshåndbog, som indeholder: It-sikkerhedspolitikken:

Læs mere

12. Godkendelse af it sikkerhedspolitik og itsikkerhedsregulativ

12. Godkendelse af it sikkerhedspolitik og itsikkerhedsregulativ 12. Godkendelse af it sikkerhedspolitik og itsikkerhedsregulativ 09 05 2016 Bestyrelsen skal godkende en it sikkerhedspolitik og et itsikkerhedsregulativ for Hovedstadens Beredskab, der beskriver det overordnede

Læs mere

SIKRING AF BORGERNES PERSONOPLYSNINGER ENDELIG RAPPORT

SIKRING AF BORGERNES PERSONOPLYSNINGER ENDELIG RAPPORT SIKRING AF BORGERNES PERSONOPLYSNINGER ENDELIG RAPPORT BORGERRÅDGIVERENS EGEN DRIFT-UNDERSØGELSER INDHOLDSFORTEGNELSE 1. INDLEDNING 3 2. KONKLUSION OG SAMMENFATNING 4 3. KONSEKVENSER 6 4. FORSLAG, HENSTILLINGER

Læs mere

It-sikkerhedspolitik for Københavns Kommune

It-sikkerhedspolitik for Københavns Kommune Københavns Kommune Koncernservice It-sikkerhedspolitik for Københavns Kommune 2015-02-05 It-sikkerhedshåndbog for Københavns Kommune It-sikkerhedspolitik for Københavns Kommune Publiceret: 2014-07-03 Mål

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Dags dato er indgået nedenstående aftale mellem Københavns Kommune Teknik- og Miljøforvaltningen Njalsgade 13 2300 København S CVR.nr.: 64 94 22 12 (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.]

Læs mere

IT-SIKKERHEDSPOLITIK UDKAST

IT-SIKKERHEDSPOLITIK UDKAST IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Bilag K Dags dato er indgået nedenstående aftale mellem Københavns Kommune [Forvaltning] [Center] CVR.nr.: 64 94 22 12 [Adresse] (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.] [Adresse] [Postnummer

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Dags dato er indgået nedenstående aftale mellem Københavns Kommune Økonomiforvaltningen Koncernservice CVR.nr.: 64 94 22 12 Borups Allé 177 2400 København NV (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.:

Læs mere

IT-sikkerhedspolitik for

IT-sikkerhedspolitik for Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

EU-udbud af Beskæftigelsessystem og ESDHsystem

EU-udbud af Beskæftigelsessystem og ESDHsystem EU-udbud af Beskæftigelsessystem og ESDHsystem Beskæftigelses- og Integrationsforvaltningen Københavns Kommune Underbilag 2 A Københavns Kommunes IT-sikkerhedspolitik Indholdsfortegnelse 1. IT-sikkerhedspolitik

Læs mere

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014 Aarhus Kommune IT-sikkerhedspolitik Politik 25-04-2014 Indholdsfortegnelse Politik 1 Indledning 1 Formål 1 Politikkens omfang 2 Ledelsesansvar 2 IT-sikkerhedsorganisationen 2 IT-sikkerhedsniveau 3 IT-sikkerhedshåndbogen

Læs mere

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner.

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner. Juni 2011 1 Indhold 1. Indledning 3 2. Formål 4 3. Omfang 5 4. It-sikkerhedsniveau 5 5. It-sikkerhedsbevidsthed 6 6. Overtrædelse af it-sikkerhedspolitikken 6 7. Udarbejdelse og ikrafttrædelse 6 2 1 Indledning

Læs mere

Sikkerhedsregler for Kalundborg Kommune

Sikkerhedsregler for Kalundborg Kommune Bilag 19 Sikkerhedsregler for Kalundborg Kommune Sikkerhedsregler for Kalundborg Kommune i henhold til Justitsministeriets bekendtgørelse nr. 528 af den 15. juni 2000 om sikkerhedsforanstaltninger til

Læs mere

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.

Læs mere

Rammekontraktbilag M. Regulativ for it-sikkerhed

Rammekontraktbilag M. Regulativ for it-sikkerhed Rammekontraktbilag M Regulativ for it-sikkerhed 2 Indholdsfortegnelse Kapitel 1 - Regulativets anvendelsesområde, formål og omfang... 4 Kapitel 2 - Definitioner... 4 Kapitel 3 - Organisatoriske forhold...

Læs mere

Jeg fandt derfor anledning til at iværksætte nærværende konkrete egen driftsundersøgelse.

Jeg fandt derfor anledning til at iværksætte nærværende konkrete egen driftsundersøgelse. Borgerrådgiveren Økonomiforvaltningens Direktion Rådhuspladsen 77 1550 København V Sendt med e-mail Sikker e-post, forvaltningens j.nr. 2012-85563 31-07-2012 Sagsnr. 2012-72630 Dokumentnr. 2012-593196

Læs mere

Overordnet It-sikkerhedspolitik

Overordnet It-sikkerhedspolitik Overordnet It-sikkerhedspolitik Denne politik er godkendt af byrådet d. x. måned 2014 Ved udskrivning af politikken skal du være opmærksom på, at du anvender senest godkendte version. Acadre sags nr. 14-8285

Læs mere

Databehandlerinstruks

Databehandlerinstruks 1. Databehandleren handler alene efter instruks af den dataansvarlige. 2. Databehandleren forpligter sig til, til enhver tid at overholde lovgivningsmæssige krav samt denne databehandlerinstruks. 3. Databehandleren

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

Indholdsfortegnelse. Generelt 3. Formål 3. Omfang 4. Sammenhæng med IT- og forretningsstrategier 4

Indholdsfortegnelse. Generelt 3. Formål 3. Omfang 4. Sammenhæng med IT- og forretningsstrategier 4 Indholdsfortegnelse Generelt 3 Formål 3 Omfang 4 Sammenhæng med IT- og forretningsstrategier 4 Risikostyring og sikring af informationsaktiver og systemer 5 Overvågning af risici og regionens IT-sikkerhedsniveau

Læs mere

Informationssikkerhedspolitik for Vejen Kommune

Informationssikkerhedspolitik for Vejen Kommune Informationssikkerhedspolitik for Vejen Kommune Denne politik er godkendt af byrådet d. xx. Og træder i kraft d. xx. Seneste version er tilgængelig på intranettet. Indledning Vejen Byråd fastlægger med

Læs mere

Overordnet it-sikkerhedspolitik for Rødovre Kommune

Overordnet it-sikkerhedspolitik for Rødovre Kommune Overordnet it-sikkerhedspolitik for Rødovre Kommune Denne politik er godkendt af kommunalbestyrelsen januar 2016. Og træder i kraft januar 2016. Ved udskrivning af politikken skal du være opmærksom på,

Læs mere

Informationssikkerhedspolitik. Frederiksberg Kommune

Informationssikkerhedspolitik. Frederiksberg Kommune Informationssikkerhedspolitik Frederiksberg Kommune Indledning Informationssikkerhedspolitikken er den overordnede ramme for beskyttelse af information i Frederiksberg Kommune. Kommunen behandler oplysninger

Læs mere

OVERORDNET IT-SIKKERHEDSPOLITIK

OVERORDNET IT-SIKKERHEDSPOLITIK OVERORDNET IT-SIKKERHEDSPOLITIK Indholdsfortegnelse 1. Indledning....3 2. Formål...3 3. Sikkerhedspolitik...3 4. Dækningsormåde...4 5. Sikkerhedsniveau....4 6. Organisation og ansvar...4 7. Opfølgning...5

Læs mere

(Dataansvarlig og Databehandler herefter under et benævnt Parterne og enkeltvis Part )

(Dataansvarlig og Databehandler herefter under et benævnt Parterne og enkeltvis Part ) Databehandleraftale 1 Mellem: Firma: Cvr-nr.: Adresse: Postnr. ( Dataansvarlig ) By: Og: MedCom Cvr-nr.: 26919991 Forskerparken 10 5230 Odense M ( Databehandler ) (Dataansvarlig og Databehandler herefter

Læs mere

Faaborg-Midtfyn Kommunes it-sikkerhedspolitik Udkast pr. 26. maj 2009

Faaborg-Midtfyn Kommunes it-sikkerhedspolitik Udkast pr. 26. maj 2009 1. Indledning It-anvendelsen i Faaborg-Midtfyn Kommune skal understøtte kommunens vision. Samtidig ønsker Faaborg- Midtfyn Kommune, at medarbejderne har en bevidst holdning til begrebet it-sikkerhed, hvor

Læs mere

Koncessionskontrakt vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Kultur- og Fritidsforvaltningen.

Koncessionskontrakt vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Kultur- og Fritidsforvaltningen. vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Bilag 9b IT-sikkerhedsdokumenter Bilag 9b 1 1 INDHOLDSFORTEGNELSE 1. IT-sikkerhedspolitik for Københavns Kommune

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

IT-sikkerhedspolitik S i d e 1 9

IT-sikkerhedspolitik S i d e 1 9 IT-sikkerhedspolitik S i d e 1 9 Indhold 1 Læsevejledning... 3 2 Informationssikkerhedspolitik... 3 2.1 INDLEDNING... 3 2.2 SIKKERHEDSNIVEAU... 4 2.3 HOLDNINGER OG PRINCIPPER... 5 2.4 HOVEDMÅLSÆTNINGER

Læs mere

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD INDHOLD INDHOLD... 1 1. Baggrund... 2 2. Definitioner... 2 3. Behandling af personoplysninger... 3 4. Behandlinger uden instruks... 3 5. Sikkerhedsforanstaltninger... 3 6. Underdatabehandling... 4 7. Overførsel

Læs mere

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring KOMBIT har som indkøbscentral på vegne af landets kommuner indgået aftale med [leverandørnavn] (herefter Leverandøren ) om udvikling, drift,

Læs mere

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.: Databehandleraftale vedrørende brug af WinPLC og relaterede services Version 1.0 d. 1. november 2015 Parterne Kundenr.: Klinikkens navn og adresse (evt. stempel) (herefter den Dataansvarlige) og (herefter

Læs mere

Kasse- og regnskabsregulativ

Kasse- og regnskabsregulativ Kasse- og regnskabsregulativ Godkendt af Byrådet den xx maj 2014, pkt. xxx Indholdsfortegnelse 1. Indledning... 2 1.1. Formål... 2 1.2. Godkendelse og ansvar... 2 1.3. Delegation... 2 2. Økonomistyring...

Læs mere

Region Hovedstadens Ramme for Informationssikkerhed

Region Hovedstadens Ramme for Informationssikkerhed Region Hovedstadens Ramme for Informationssikkerhed Indhold Region Hovedstadens ramme for Informationssikkerhed... 3 1 Formål... 3 2 Gyldighedsområde/omfang... 4 3 Målsætninger... 4 4 Informationssikkerhedsniveau...

Læs mere

EU-udbud af Beskæftigelsessystem og ESDH-system

EU-udbud af Beskæftigelsessystem og ESDH-system EU-udbud af Beskæftigelsessystem g ESDH-system Beskæftigelses- g Integratinsfrvaltningen Københavns Kmmune Bilag 0 Ordbg Indhldsfrtegnelse 1. Indledning... 3 2. Ordliste... 3 Versin 1.0 Side 2 af 9 1.

Læs mere

INFORMATIONS- SIKKERHEDS- POLITIK

INFORMATIONS- SIKKERHEDS- POLITIK INFORMATIONS- SIKKERHEDS- POLITIK GLOSTRUP KOMMUNE 14. NOVEMBER 2012 Politik Nærværende informationssikkerhedspolitik er en generel administrativ opdatering af version 1.0 især på baggrund af organisationsændringen

Læs mere

Assens Kommune Sikkerhedspolitik for it, data og information

Assens Kommune Sikkerhedspolitik for it, data og information Assens Kommune Sikkerhedspolitik for it, data og information Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Holdninger og principper... 4 4. Omfang... 4 5. Sikkerhedsbevidsthed,

Læs mere

NOTAT. Køge Kommune It-sikkerhed Overordnede retningslinjer ITafdelingen. Fællesforvaltningen. Dato Sagsnummer Dokumentnummer

NOTAT. Køge Kommune It-sikkerhed Overordnede retningslinjer ITafdelingen. Fællesforvaltningen. Dato Sagsnummer Dokumentnummer NOTAT Fællesforvaltningen Dato Sagsnummer Dokumentnummer ITafdelingen Køge Rådhus Torvet 1 4600 Køge www.koege.dk Tlf. 56 67 67 67 Fax 56 65 54 46 Køge Kommune It-sikkerhed Overordnede retningslinjer 2010

Læs mere

IT-centeret. It-sikkerhedshåndbog. Næstved Kommune Sagsbehandler: JJ Tlf. 5577 5300 Sagsnr: Doknr: www.naestved.dk. 20. april 2009

IT-centeret. It-sikkerhedshåndbog. Næstved Kommune Sagsbehandler: JJ Tlf. 5577 5300 Sagsnr: Doknr: www.naestved.dk. 20. april 2009 It-sikkerhedshåndbog IT-centeret Næstved Kommune Sagsbehandler: JJ Tlf. 5577 5300 Sagsnr: Doknr: www.naestved.dk 20. april 2009 Version 1.3 af 20. april 2009 Indhold 1. Indledning og formål 2 2. Ansvar

Læs mere

IT sikkerhedspolitik. for. Fredericia Kommune

IT sikkerhedspolitik. for. Fredericia Kommune IT sikkerhedspolitik for Fredericia Kommune Side 1 af 17 Versionsstyring Versionsnummer Dato for version Ændring Årsag Ansvar 1.00 01.06.2013 Ny politik godkendt i byrådet PerToftdahl Side 2 af 17 Versionsstyring...

Læs mere

DATABEHANDLERAFTALE. Mellem. Svendborg Kommune Ramsherred Svendborg CVR. nr.: (herefter Kommunen ) XXXXXX xxxxxx xxxx

DATABEHANDLERAFTALE. Mellem. Svendborg Kommune Ramsherred Svendborg CVR. nr.: (herefter Kommunen ) XXXXXX xxxxxx xxxx DATABEHANDLERAFTALE Mellem Svendborg Kommune Ramsherred 5 5700 Svendborg CVR. nr.: 29189730 (herefter Kommunen ) og XXXXXX xxxxxx xxxx CVR. nr.: [XXXX] (herefter Leverandøren ) er der indgået nedenstående

Læs mere

Organisering og styring af informationssikkerhed. I Odder Kommune

Organisering og styring af informationssikkerhed. I Odder Kommune Organisering og styring af informationssikkerhed I Odder Kommune Indhold Indledning...3 Organisationens kontekst (ISO kap. 4)...3 Roller, ansvar og beføjelser i organisationen (ISO kap. 5)...4 Risikovurdering

Læs mere

Informationssikkerhedspolitik for Horsens Kommune

Informationssikkerhedspolitik for Horsens Kommune Informationssikkerhedspolitik for Horsens Kommune Senest opdateret januar 2016 Indholdsfortegnelse 1. FORMÅL... 3 2. OMFANG OG SIKKERHEDSNIVEAU... 3 3. HOVEDMÅLSÆTNINGER... 4 4. ORGANISERING OG ANSVAR...

Læs mere

Håndtering af fortrolige og følsomme personoplysninger ved Center for Misbrugsbehandling og Pleje, jf. forvaltningens sagsnummer

Håndtering af fortrolige og følsomme personoplysninger ved Center for Misbrugsbehandling og Pleje, jf. forvaltningens sagsnummer Borgerrådgiveren Socialforvaltningen Brev er d.d. fremsendt pr. e-mail. 16-11-2012 Sagsnr. 2012-98616 Dokumentnr. 2012-900691 Håndtering af fortrolige og følsomme personoplysninger ved Center for Misbrugsbehandling

Læs mere

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED DAGSORDEN _ Introduktion til informationssikkerhed _ Hvad går det egentlig ud på _ Hvilke kerneopgaver er der _ Hvor langt er vi nået? _ Hvilke

Læs mere

Databehandleraftale. Der er indgået denne Databehandlingsaftale ("Aftale") mellem

Databehandleraftale. Der er indgået denne Databehandlingsaftale (Aftale) mellem Oktober 2014 Sagsnr. 013928-0190 cen/dla Databehandleraftale Der er indgået denne Databehandlingsaftale ("Aftale") mellem Fredericia Kommune Gothersgade 20 7000 Frdericia CVR-nr.: 69116418 ("Kommunen")

Læs mere

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren ) #BREVFLET# Click here to enter text. Dokument: Neutral titel Aalborg Kommune Boulevarden 13, 9000 Aalborg Databehandleraftale mellem [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.]

Læs mere

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2 Status for ændringer Version Dato Navn Bemærkning 1.0 24-04-2007 Vedtaget i Regionsrådet 1.1 13-02-2012 IMT-Informationssikkerhed Tilpasning af terminologi 1.2 15-10-2012 IMT-Informationssikkerhed Rettelse

Læs mere

Underbilag Databehandlerinstruks

Underbilag Databehandlerinstruks Udbud nr. 2017/S 053-098025 EU-udbud af Cisco UCC i Region Syddanmark Underbilag 16.1 - Databehandlerinstruks DATABEHANDLERINSTRUKS Ad. 1. Databehandlerens ansvar Databehandleren må alene handle efter

Læs mere

IT Sikkerhedspolitik. for. Tønder kommune

IT Sikkerhedspolitik. for. Tønder kommune Udkast IT Sikkerhedspolitik for Tønder kommune Side 1 af 13 Indhold Version.... 3 Indledning... 4 Formålet med IT Sikkerhedspolitikken.... 4 Hvem er omfattet af IT Sikkerhedspolitikken.... 5 Ansvar og

Læs mere

Informationssikkerhed Version 2.0 29.09.10

Informationssikkerhed Version 2.0 29.09.10 Informationssikkerhed Version 2.0 29.09.10 Retningslinjer for retablering af systemer og data (Ændringer i forhold til tidligere version er markeret med Understregning) Disse retningslinjer beskriver de

Læs mere

BILAG 14: DATABEHANDLERAFTALE

BILAG 14: DATABEHANDLERAFTALE BILAG 14: DATABEHANDLERAFTALE Side 1/9 Aftale om databehandling mellem Kunden og Leverandøren Side 2/9 Vejledning: [Dette bilag kan ikke ændres af tilbudsgiver. Bilaget udgør således i sin helhed et mindstekrav

Læs mere

ISO27001 som ledelsesværktøj en pragmatisk tilgang. Lars Boye, lab@dubex.dk Søborg, den 6. november 2014

ISO27001 som ledelsesværktøj en pragmatisk tilgang. Lars Boye, lab@dubex.dk Søborg, den 6. november 2014 ISO27001 som ledelsesværktøj en pragmatisk tilgang Lars Boye, lab@dubex.dk Søborg, den 6. november 2014 DUBEX SECURITY & RISK MANAGEMENT SUMMIT 2014 Informationssikkerhed på dagsordenen Det seneste års

Læs mere

Rammeaftalebilag 5 - Databehandleraftale

Rammeaftalebilag 5 - Databehandleraftale Rammeaftalebilag 5 - Databehandleraftale Denne databehandleraftale (Aftale) er indgået mellem Norddjurs Kommune Torvet 3 8500 Grenaa (Kommunen) Dataansvarlig og Leverandør Adresse Postnummer CVR nr.: (Leverandøren)

Læs mere

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker Vandforsyningens håndtering af den kommende persondataforordning Danske Vandværker Praktiske spørgsmål vi modtog Hvem har ansvaret for beskyttelse af forbrugernes persondata? Er medlemslister i ringbindsmapper

Læs mere

LOGNING AF ELEKTRONISK SAGSBEHANDLING OG BORGERES ADGANG TIL INDSIGT I OPLYSNINGER

LOGNING AF ELEKTRONISK SAGSBEHANDLING OG BORGERES ADGANG TIL INDSIGT I OPLYSNINGER LOGNING AF ELEKTRONISK SAGSBEHANDLING OG BORGERES ADGANG TIL INDSIGT I OPLYSNINGER ENDELIG RAPPORT BORGERRÅDGIVERENS EGEN DRIFT-UNDERSØGELSER INDHOLDSFORTEGNELSE 1. INDLEDNING 3 2. KONKLUSION OG SAMMENFATNING

Læs mere

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren )

Databehandleraftale. mellem. [anfør kontraktpart] [anfør adresse] [anfør postnummer] [anfør cvr.nr.] (herefter benævnt Databehandleren ) #BREVFLET# Click here to enter text. Dokument: Neutral titel Rammeaftalebilag G til udbud på levering af Stomiprodukter Databehandleraftale mellem [anfør kontraktpart] [anfør adresse] [anfør postnummer]

Læs mere

MELLEM. 2300 København S. (herefter SKI )

MELLEM. 2300 København S. (herefter SKI ) BRUGERTILSLUTNINGSAFTALE SKI. dk MELLEM Staten og Kommunernes Indkøbs Service A/S Zeppelinerhallen, Islands Brygge 55 2300 København S CVR 17472437, EAN 57900002758477 (herefter SKI ) og (Herefter Kunden

Læs mere

Greve Kommune. Revision af generelle it-kontroller 2011

Greve Kommune. Revision af generelle it-kontroller 2011 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 0 30 Telefax 36 10 0 40 www.deloitte.dk Greve Kommune Revision af generelle

Læs mere

Informationssikkerhedspolitik for Sønderborg Kommune

Informationssikkerhedspolitik for Sønderborg Kommune Informationssikkerhedspolitik for Sønderborg Kommune Denne politik er godkendt af Byrådet d. 4. februar 2015 og træder i kraft d. 1. marts 2015 Seneste version er tilgængelig på intranettet 1/8 Indledning

Læs mere

Til Økonomiudvalget. Sagsnr Dokumentnr Bilag 1 til indstilling til Økonomiudvalget

Til Økonomiudvalget. Sagsnr Dokumentnr Bilag 1 til indstilling til Økonomiudvalget KØBENHAVNS KOMMUNE Økonomiforvaltningen Koncernservice NOTAT Til Økonomiudvalget Bilag 1 til indstilling til Økonomiudvalget Uddybning vedr. Købehavns Kommunens modenhed på Itsikkerhedsområdet Konklusionen

Læs mere

POLITIK FOR INFORMATIONSSIKKERHED

POLITIK FOR INFORMATIONSSIKKERHED POLITIK FOR INFORMATIONSSIKKERHED Indledning Dette er Statsbibliotekets politik for informationssikkerhed, som skal beskrive: Formål og baggrund om Statsbibliotekets hovedopgaver Mål og afgrænsning af

Læs mere

Driftskontrakt. Databehandleraftale. Bilag 14

Driftskontrakt. Databehandleraftale. Bilag 14 Databehandleraftale Bilag 14 DATABEHANDLERAFTALE mellem Danpilot Havnepladsen 3A, 3. sal 5700 Svendborg CVR-nr. 30071735 (herefter den Dataansvarlige ) og [Leverandørens navn] [adresse] [postnr. og by]

Læs mere

Hvor meget fylder IT i danske bestyrelser. 7. september 2012 Torben Nielsen

Hvor meget fylder IT i danske bestyrelser. 7. september 2012 Torben Nielsen Hvor meget fylder IT i danske bestyrelser Torben Nielsen Baggrund 25 år i finansielle sektor 15 år i Danmarks Nationalbank Bestyrelsesposter i sektorselskaber (VP-securities, NETS, BKS) Professionelt bestyrelsesmedlem

Læs mere

Halsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune.

Halsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune. Informationssikkerhedspolitik Oktober 2015 Side 1 af 5 sider Baggrund Ved informationssikkerhed forstås de samlede foranstaltninger til at sikre Fortroligheden, Tilgængeligheden og Integriteten på kommunens

Læs mere

Revisionsregulativ. for. Københavns Kommune

Revisionsregulativ. for. Københavns Kommune Revisionsregulativ for Københavns Kommune I medfør af 5, stk. 3, i Bekendtgørelse nr. 392 af 2. maj 2006 om kommunernes budget- og regnskabsvæsen, revision m.v. fastsættes: Kapitel 1 Indledning 1. Revisor

Læs mere

Til Økonomi- og Indenrigsministeriet 18. september 2017

Til Økonomi- og Indenrigsministeriet 18. september 2017 Økonomiforvaltningen NOTAT Til Økonomi- og Indenrigsministeriet 18. september 2017 Udtalelse om databeskyttelsesrådgiverens opgaver er forenelige med chefen for Intern Revisions opgaver. Københavns Kommune

Læs mere

Orientering vedrørende særlig adressebeskyttelse - 2015/2

Orientering vedrørende særlig adressebeskyttelse - 2015/2 Enhed CPR Sagsbehandler GK Sagsnr. 2014-9799 Doknr. 227177 Dato 30. april 2015 Orientering vedrørende særlig adressebeskyttelse - 2015/2 Særlig adressebeskyttelse til personer, som udsættes for trusler

Læs mere

Vejledning i informationssikkerhedspolitik. Februar 2015

Vejledning i informationssikkerhedspolitik. Februar 2015 Vejledning i informationssikkerhedspolitik Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske til:

Læs mere

Forsvarsministeriets Materiel- og Indkøbsstyrelse

Forsvarsministeriets Materiel- og Indkøbsstyrelse Bilag 8 Databehandleraftale [Vejledning til Tilbudsgiverne: Bilaget skal ikke udfyldes af Tilbudsgiver i forbindelse med afgivelse af tilbud. Bilag udfyldes i fællesskab med FMI, hvis det er nødvendigt.

Læs mere

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484 DS 484:2005 Standard for informationssikkerhed -Korte uddrag fra DS484 Informationssikkerhedsstrategi Ledelsen skal godkende en skriftlig informationssikkerhedspolitik, som skal offentliggøres og kommunikeres

Læs mere

Lovtidende A. Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler

Lovtidende A. Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler Lovtidende A Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler I medfør af 199, stk. 12, og 373, stk. 4, i lov om finansiel virksomhed, jf. lovbekendtgørelse nr. 911 af 4. august

Læs mere

Risikostyring ifølge ISO27005 v. Klaus Kongsted

Risikostyring ifølge ISO27005 v. Klaus Kongsted Risikostyring ifølge ISO27005 v. Klaus Kongsted Agenda Dubex A/S Formålet med risikovurderinger Komponenterne Risikovurderinger Dubex A/S fakta og værdier Den førende sikkerhedspartner De bedste specialister

Læs mere

Udkast til Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning i Grønland

Udkast til Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning i Grønland Lovafdelingen Dato: Kontor: Databeskyttelseskontoret Sagsbeh: André Dybdal Pape/ Marcus Nymand Sagsnr.: 2016-766-0019 Dok.: 2104838 Udkast til Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse

Læs mere

Datasikkerhedspolitik

Datasikkerhedspolitik Datasikkerhedspolitik Godkendt i Byrådet den 10.november 2008 1 Datasikkerhedspolitik Indhold 1. Indledning 2. Organisation og ansvarsfordeling 2.1 Ansvarsorganisation for datasikkerhed 2.2 Øverste og

Læs mere

UNDERBILAG 14A.1 DATABEHANDLERINSTRUKS

UNDERBILAG 14A.1 DATABEHANDLERINSTRUKS UNDERBILAG 14A.1 DATABEHANDLERINSTRUKS 1. Vedrørende Databehandlerens ansvar 1.1. Databehandleren må alene behandle personoplysninger omfattet af Databehandleraftalen efter instruks fra den Dataansvarlige

Læs mere

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Den finansielle sektor er i dag 100% afhængig af, at it-løsninger er kørende og herudover er sikret i tilfælde af, at noget

Læs mere

1. Indledende bestemmelser Formål. Område

1. Indledende bestemmelser Formål. Område 1. Indledende bestemmelser Formål 1.1 Formålet med bestemmelserne er, at den enkelte persons retsbeskyttelse og integritet ikke krænkes ved behandling af personoplysninger i Region Hovedstaden og på Steno

Læs mere

Kontraktbilag 3. Databehandleraftale

Kontraktbilag 3. Databehandleraftale Kontraktbilag 3 Databehandleraftale 1. DATABEHANDLERAFTALENS OMFANG OG FORMÅL Formålet med behandlingen af personoplysninger er overordnet set at drive en iværksætterpilotordning som nærmere fastlagt i

Læs mere

Bilag 5 Aarhus Kommune. Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0. Opbevaring/sletning af informationer

Bilag 5 Aarhus Kommune. Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0. Opbevaring/sletning af informationer Bilag 5 Aarhus Kommune Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0 Opbevaring/sletning af informationer 11-04-2011 1 Regler 7 Styring af informationsrelaterede

Læs mere

It-beredskabsstrategi for Horsens Kommune

It-beredskabsstrategi for Horsens Kommune It-beredskabsstrategi for Horsens Kommune Senest opdateret oktober 2016 1 Indholdsfortegnelse 1. FORMÅL MED IT-BEREDSKABSSTRATEGIEN... 3 2. STRATEGIENS SAMMENHÆNG TIL DET RESTERENDE BEREDSKAB... 3 3. OMFANG,

Læs mere

LOGNING AF ELEKTRONISK SAGSBEHANDLING OG BOR- GERES ADGANG TIL INDSIGT I OPLYSNINGER BILAGSRAPPORT

LOGNING AF ELEKTRONISK SAGSBEHANDLING OG BOR- GERES ADGANG TIL INDSIGT I OPLYSNINGER BILAGSRAPPORT LOGNING AF ELEKTRONISK SAGSBEHANDLING OG BOR- GERES ADGANG TIL INDSIGT I OPLYSNINGER BILAGSRAPPORT BORGERRÅDGIVERENS EGEN DRIFT-UNDERSØGELSER KØBENHAVNS KOMMUNE INDHOLDSFORTEGNELSE BILAG 1 BORGERRÅDGIVERENS

Læs mere

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser www.pwc.dk EG Cloud & Hosting Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser Januar 2016 Indhold 1. Ledelsens udtalelse...

Læs mere

DATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig )

DATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig ) DATABEHANDLERAFTALE Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig ) og Databehandler Dansk Telemedicin A/S Robert Jacobsens Vej 68 2300 København S CVR.nr.:

Læs mere

AFTALE OM BEHANDLING AF PERSONOPLYSNINGER. Mellem. [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren )

AFTALE OM BEHANDLING AF PERSONOPLYSNINGER. Mellem. [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren ) AFTALE OM BEHANDLING AF PERSONOPLYSNINGER Mellem [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren ) og Midttrafik Søren Nymarks Vej 3 8270 Højbjerg CVR-nr.: 29943176 (herefter Midttrafik

Læs mere

Bilag 5. Leverandør erklæring om tavshedspligt ITsikkerhedsregler

Bilag 5. Leverandør erklæring om tavshedspligt ITsikkerhedsregler Acadrenr. 15/27563 Bilag 5. Leverandør erklæring om tavshedspligt ITsikkerhedsregler og persondataloven for Helsingør Kommune Indledning / Introduktion It-sikkerhedsaftale med ekstern part som følger af

Læs mere

Kontraktbilag 7: Databehandleraftale

Kontraktbilag 7: Databehandleraftale Kontraktbilag 7: Databehandleraftale DATABEHANDLERAFTALE Mellem parterne: Den dataansvarlige myndighed Region Syddanmark Damhaven 12 CVR.nr.: 29190909 (herefter Dataansvarlig ) og Databehandler Leverandør

Læs mere

DATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen )

DATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen ) DATABEHANDLERAFTALE Mellem Silkeborg Kommune Søvej 1 8600 Silkeborg CVR. nr.: 29 18 96 41 (herefter Kommunen ) og [Leverandørens navn] [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Leverandøren

Læs mere

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1 Tilgængelighed, fortrolighed og integritet. Høj kvalitet i informationssikkerhed og dokumentation Hvilken betydning har principper og anbefalinger i sikkerhedsstandarden ISO 27001 for kvaliteten af dokumentationen?

Læs mere

Instrukser for brug af it

Instrukser for brug af it it sikkerhed Instrukser for brug af it Må Skal ikke Kan Januar 2010 Version 1.0 Indhold Forord................................................... 3 Resumé.................................................

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Dags dato er indgået nedenstående aftale mellem Københavns Kommune Økonomiforvaltningen Koncernservice Borups Alle 177 2400 København NV (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.] [Adresse]

Læs mere

Instrukser for brug af it

Instrukser for brug af it it IT-Afdelingen sikkerhed Instrukser i brug af IT Instrukser for brug af it Må Skal ikke Kan Januar 2010 Version 1.0 Indhold Indhold Forord.............................. 3...................... 3 Resumé

Læs mere

Politik

Politik <dato> <J.nr.> Side 1 af 5 Politik Informationssikkerhedspolitik for 1. Indledning Denne informationssikkerhedspolitik er den overordnede ramme for informationssikkerheden hos .

Læs mere

Vedtægter for Horsens Kommunes Stadsarkiv

Vedtægter for Horsens Kommunes Stadsarkiv Byrådssekretariatet Sagsbehandler: Gitte Hedemark Sagsnr. 85.08.00-A26-1-15 Dato:21.10.2015 Forslag til Vedtægter for Horsens Kommunes Stadsarkiv 1 Formål Horsens Kommunes Stadsarkiv har til formål 1.

Læs mere

Fællesregional Informationssikkerhedspolitik

Fællesregional Informationssikkerhedspolitik Udbud nr. 2016/S 199-358626 EU-udbud af Cisco UCC i Region Syddanmark Underbilag 13.1 - Fællesregional Informationssikkerhedspolitik Underbilag 13.1 Fællesregional Informationssikkerhedspolitik Side 1/6

Læs mere

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes]

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes] Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes] Det er, jf. Kontrakt om levering af Skolesystem (Læringsplatform) som servicebureauløsning, aftalt, at [leverandørnavn

Læs mere

Bekendtgørelse om offentlige arkivalier og om offentlige arkivers virksomhed

Bekendtgørelse om offentlige arkivalier og om offentlige arkivers virksomhed Bekendtgørelse nr. 591 af 26. juni 2003 Bekendtgørelse om offentlige arkivalier og om offentlige arkivers virksomhed I medfør af 9, 10, stk. 1-3, 12, stk. 2, 13, stk. 2-3, 14, 20, 21, stk. 2, 41, stk.

Læs mere