SIKKERHEDSREGLER. 5. Informationssikkerhedspolitikker

Save this PDF as:
 WORD  PNG  TXT  JPG

Størrelse: px
Starte visningen fra side:

Download "SIKKERHEDSREGLER. 5. Informationssikkerhedspolitikker"

Transkript

1 SIKKERHEDSREGLER. 5. Informationssikkerhedspolitikker Retningslinjer for styring af informationssikkerhed Politikker for informationssikkerhed Informationssikkerhed defineres som de samlede foranstaltninger til at sikre fortrolighed, tilgængelighed og integritet. Foranstaltningerne omfatter tekniske og administrative sikringstiltag. Den overordnede sikkerhedspolitik udarbejdes og vedligeholdes løbende af IT & Digitalisering. Reglerne for informationssikkerhed udarbejdes og vedligeholdes af IT & Digitalisering. Procedurer der understøtter reglerne udarbejdes og vedligeholdes af IT-sikkerhedslederen. 6. Organisering af informationssikkerhed Intern organisering Roller og ansvarsområder for informationssikkerhed Systemejer er ansvarlig for at ethvert formaliseret eksternt samarbejde skal være baseret på en samarbejdsaftale der inkluderer informationssikkerhed Funktionsadskillelse Systemejer sikrer funktionsadskillelse henholdsvis i udviklings-, test- og driftsmiljøet, i størst muligt omfang. Endvidere sikres at der i forretningskritiske systemer indarbejdes funktionsadskillelse, i størst muligt omfang Kontakt med myndigheder IT-sikkerhedsleder varetager kontakt til eksterne myndigheder i forbindelse med spørgsmål vedr. informationssikkerhed Kontakt med særlige interessegrupper Systemejer er ansvarlig for at holde sig opdateret på hvilke trusler og sårbarheder der er relevante i forhold til de systemer de er systemejer. IT & Digitalisering skal informere systemejer om nye trusler, som potentielt kan berøre de pågældende forretningsenheder Mobilt udstyr og fjernarbejdspladser Politik for mobilt udstyr IT & Digitalisering sikrer at mobile enheder beskyttes med antivirus, firewall og log-on funktioner Fjernarbejdspladser Det er udelukkende kommunens computere der må benyttes som fjernarbejdsplads, og forbindelsen til kommunens netværk skal være krypteret. Endvidere er det ikke tilladt at data fra kommunens it-systemer gemmes på lokale harddiske eller andre medier tilknyttet fjernarbejdspladsen. Det er tilladt at benytte produktet til fjernadministration, såfremt produktet er sikkerhedsgodkendt af ITsikkerhedsleder. Fjernadgang til brug for leverandører og anden form for ekstern support, skal overvåges af medarbejdere mens de benyttes. 7. Personalesikkerhed Før ansættelsen Screening Lederen for den ansættende enhed er ansvarlig for at indhente referencer på den eller de medarbejder som tilbydes stilling. IT & Digitalisering udfører et forsvarligt baggrundscheck af medarbejdere med ansvar for forretningskritiske arbejdsområder og indhenter om nødvendigt straffeattest

2 efter reglerne i Odense Kommunes personalehåndbog Ansættelsesvilkår og -betingelser Alle medarbejdere skal acceptere en tavshedserklæring ved ansættelsestidspunktet. Konsulenter skal acceptere en tavshedserklæring enten via en virksomhedsaccept eller individuelt, ved samarbejde med Odense Kommune. Procedurer Tavshedserklæring Under ansættelsen Ledelsesansvar Det er den enkelte leders ansvar at alle medarbejdere er informeret om, at de ikke må søge eller indhente oplysninger som ikke er relevante for deres opgaveløsning Bevidsthed om, uddannelse og træning i informationssikkerhed Det er IT & Digitaliseringansvar, at alle it-medarbejdere specifikt uddannes i sikkerhedsaspekter, for at minimere risikoen for sikkerhedshændelser og at alle nye medarbejdere modtager Odense Kommunes informationssikkerhedshåndbog. Alle medarbejdere skal læse Odense Kommunes informationssikkerhedshåndbog Sanktioner IT & Digitalisering udarbejder en sanktionsprocedure for medarbejdere, der bryder Odense Kommunes informationssikkerhedshåndbog. Det er leders ansvar, at sanktioner håndhæves i overensstemmelse med gældende lovgivning Ansættelsesforholdets ophør eller ændring Ansættelsesforholdets ophør eller ændring Det er den enkelte leders ansvar at rettigheder tilknyttet en person der får sin ansættelse eller midlertidige kontrakt ophævet inddrages. Det er den enkelte leders ansvar at ID-kort, it-udstyr og lignende inddrages fra opsagte medarbejdere, da dette er forudsætning for sidste lønudbetaling. 8. Styring af aktiver Ansvar for aktiver Fortegnelse over aktiver IT & Digitalisering er ansvarlig for at alt it-udstyr er registreret med ejer, bruger, serienummer og placering. IT & Digitalisering er ansvarlig for administration af kommunens domænenavne. Administration af domænenavne sker i henhold til procedure, udarbejdet af IT & Digitalisering Accepteret brug af aktiver It-systemer i Odense Kommune må alene anvendes til kommunale formål. Systemejer skal udarbejde retningsliner for anvendelse hvis dette er påkrævet i forhold til systemets kritikalitet. Kommunens informationer må aldrig deles på et socialt medie, med mindre det er offentlige eller u- klassificerede informationer. Persondata må aldrig deles på sociale netværk. Ved deling af information skal du være sikker på ophavsretten ikke krænkes. Personlig brug af sociale medier skal fortrinsvis lægges uden for almindelig arbejdstid eller i pauser. Datatrafik til sociale medier bliver overvåget af IT & Digitalisering Accepteret brug af aktiver IT & Digitalisering er ansvarlig for at kun godkendte internettjeneste kan anvendes. Kommunens internetadgang er beregnet til arbejdsrelateret brug, men må i begrænset omfang anvendes til private formål, dog under forudsætning af at arbejdsrelateret brug ikke generes. Internettet må dog kun benyttes med de godkendte internettjenester Filer og programmer må gerne downloades til arbejdsrelateret brug, og i begrænset omfang til privat

3 brug. Det er tilladt at: - downloade filer og programmer - streame indhold, f.eks. lyd eller billede fra radio- og tv-tjenester og film. - bruge browserbaserede programmer (f.eks. NetBank) på de godkendte webbrowsere (sikkerhedsindstillingerne i webbrowsere må ikke forringes ifm. brug) - bruge og messenger-programmer (dog kun til informationer klassificerede til eksternt brug eller er u-klassificeret) og til at udveksle filer og links (Vejledning ved brug af internettet) Accepteret brug af aktiver IT & Digitalisering skal blokere for filtyper som IT & Digitalisering vurderer farlige eller uhensigtsmæssige. Modtaget og afsendt skal journaliseres og behandles efter samme principper som gælder for almindelig brevpost og fax. Kommunen tillader brug af til privat brug i begrænset omfang. Mailen skal markeres med teksten 'privat' i emne-feltet, og gemmes som private i en folder hvor teksten 'privat' indgår i folderens navn. Kommunen forbeholder sig ret til at skaffe sig adgang for medarbejdere, hvis dette sker af drifts- eller sikkerhedshensyn. med følsomt indhold skal krypteres med digital signatur. Dette gælder især for fortrolig eller følsom persondata, der sendes til eksterne personer/myndigheder Accepteret brug af aktiver Det er tilladt at opbevare fortrolig information på mobile enheder, såfremt disse er beskyttet med et sikkerhedsgodkendt produkt. Det er tilladt at opbevare personhenførbare information på mobile enheder, såfremt den mobile enhed er godkendt til formålet af IT & Digitalisering Tilbagelevering af aktiver Medarbejdere skal aflevere Odense Kommunes ejendom ved samarbejdets ophør Klassifikation af information Klassifikation af information Informationer klassificeres efter følgende opdeling: Eksternt brug: Materiale, der frit må udleveres til eksterne parter uden at fortrolighedsaftaler kræves. Internt brug: Materiale, der er tilgængeligt for alle internt i kommunen Fortroligt: Materiale, der er tilgængeligt for en begrænset gruppe personer. IT & Digitalisering er ansvarlig for at it-systemer klassificeres. Klassifikationen skal fremgå i oversigten over it-systemer Klassifikation af information IT & Digitalisering er ansvarlig for at alle informationsaktiver bliver tildelt en systemejer, og disse er informeret om deres rolle. Systemejer er ansvarlig for følgende forhold: - fastlægge og løbende revurdere adgangsrettigheder - klassificering i forhold til kritikalitet - tilstrækkelig beskyttelse af informationsaktivet Håndtering af aktiver IT & Digitalisering udarbejder en procedure for anvendelse af kryptering af datamedier med fortrolige/følsomme informationer Mediehåndtering Styring af bærbare medier IT & Digitalisering sikrer at datamedier slettes uden mulighed for genskabelse eller destrueres inden genbrug eller bortskaffelse. 9. Adgangsstyring Forretningsmæssige krav til adgangsstyring Politik for adgangsstyring Systemejer har ansvar for at etablere og vedligeholde en procedure adgangsstyring for hvert it-system Politik for adgangsstyring

4 Systemejer har ansvar for at etablere og vedligeholde en procedure adgangsstyring for hvert it-system. IT & Digitalisering sikre at eksterne brugerprofiler skal være tydeligt adskilt fra fastansattes brugerprofiler, gennem konsistent navngivning. Endvidere skal at standardadgangskode og standard bruger-id ikke anvendes Politik for adgangsstyring IT & Digitalisering sikre at eksterne brugerprofiler skal være tydeligt adskilt fra fastansattes brugerprofiler, gennem konsistent navngivning. Endvidere skal at standardadgangskode og standard bruger-id ikke anvendes Adgang til netværk og netværkstjenester Det er ikke tilladt at installere netværksudstyr uden forudgående godkendelse fra IT & Digitalisering Adgang til netværk og netværkstjenester Det er tilladt at forbinde sig til fremmede trådløse netværk, forudsat at der er en firewall er aktiveret på din enhed Administration af brugeradgang Brugerregistrering og -afmelding IT & Digitalisering sikrer at alle brugere tildeles et unikt bruger-id samt verificerer rettigheder tildelt brugere og ajourfører bruger/rettighedsfortegnelser for it-systemet årligt Brugerregistrering og -afmelding IT & Digitalisering sikrer at alle brugere tildeles et unikt bruger-id Tildeling af brugeradgang IT & Digitalisering verificerer rettigheder tildelt brugere og ajourfører bruger/rettighedsfortegnelser for it-systemet årligt Styring af privilegerede adgangsrettigheder IT & Digitalisering må kun tildele udvidede adgangsrettigheder i begrænset omfang og alene ud fra et arbejdsbetinget behov. Såfremt det er muligt skal der forsøges at implementere systemtekniske processer for at begrænse behovet for tildeling af udvidede rettigheder. Endvidere sikres at brugeridentiteter med udvidede rettigheder er tydeligt adskilt fra øvrige brugeridentiteter Styring af hemmelig autentifikationsinformation om brugere Adgangskoder til forretningskritiske systemer må aldrig forekomme i klartekst Inddragelse eller justering af adgangsrettigheder IT & Digitalisering udarbejder en procedure for inddragelse af brugerrettigheder i forbindelse med fratrædelse eller afskedigelse af personale. Proceduren indeholder bla. en liste over funktioner og personer, der skal informeres i forbindelse med fratrædelsen. Adgangsrettigheder skal inddrages af IT & Digitalisering Brugernes ansvar Brug af hemmelig autentifikationsinformation Det er ikke tilladt at benytte systemer, hvor adgangskoder gemmes i genveje, på funktionstaster eller lign. form for automatisk gemmefunktion. Det er ikke tilladt at anvende den samme adgangskode(r) på interne itsystemer og eksterne systemer f.eks. internet-websteder, netbank og lign. Adgangskoder skal indeholde følgende: - mindst 8 tegn - kombinationer fra mindst tre af følgende kategorier: store bogstaver, små bogstaver, tal og specialtegn og skiftes efter højst 90 dage Styring af system- og applikationsadgang Procedurer for sikker log-on Adgang til systemer beskyttes af en log-on funktion, hvor bruger-id bliver anvendt til at identificere personen der logger ind. Denne person er ansvarlig

5 for den aktivitet der bliver udført i it-systemet under det pågældende log-in. 10. Kryptografi Kryptografiske kontroller Politik for anvendelse af kryptografi IT & Digitalisering skal ajourføre en liste over godkendte krypteringsløsninger mindst én gang årligt. Endvidere sikres at indholdet af harddiske på bærbare computere altid krypteres. Forbindelser, der benyttes til it-administration, skal krypteres, hvis de benytter offentlige eller usikre netværk, f.eks. internettet Administration af nøgler IT & Digitalisering skal etablere og ajourføre et nøglehåndteringssystem, som understøtter virksomhedens anvendelse af kryptografi. 11. Fysisk sikring og miljøsikring Sikre områder Fysisk perimetersikring IT & Digitalisering sikrer at alle serverrum og udvalgte krydsfelter er aflåst. Endvidere sikres anvendelse af alarmsystemer på relevante bygninger og lokaler samt udarbejdese en procedure for aflåsning af alle døre og vinduer, således at kontorer er forsvarligt aflukket Fysisk adgangskontrol IT & Digitalisering sikrer, at serviceleverandører kun får adgang til sikre områder, når dette er påkrævet og at gæster kun færdes i sikre område, under ledsagelse af en medarbejder samt sikrer at adgang til serverrum og udvalgte krydsfelter kun tillades med godkendelse Sikring af kontorer, lokaler og faciliteter IT & Digitalisering udarbejder en procedure for passende fysisk sikring af kontorer, lokaler og perifert udstyr Beskyttelse mod eksterne og miljømæssige trusler IT & Digitalisering sikrer at Serverrum er sikret med godkendt brandslukningsudstyr og ikke benyttes som lager for brændbare materialer Beskyttelse mod eksterne og miljømæssige trusler IT & Digitalisering sikrer at datamedier til retablering af forretningskritiske systemer opbevares på et eksternt opbevaringssted. Endvidere at den fysiske sikkerhed på opbevarings-lokaliteten er sikret Udstyr Placering og beskyttelse af udstyr IT & Digitalisering udarbejder en procedure for placering af centralt it-udstyr og forretningskritisk it-udstyr. Ligeledes sikres at serverrum og udvalgte krydsfelter er beskyttet mod utilsigtet fysisk påvirkninger. Det er ikke tilladt at medbringe mad og drikke i serverrum eller på steder med centralt placeret forretningskritisk it-udstyr. Lokaler med væsentlige mængder af it-udstyr sikres kølet med aircondition. Lokaler med forretningskritisk it-udstyr sikres med redundant aircondition. Alt it-udstyr af væsentlig værdi sikres med tydeligt tyverimærket Understøttende forsyninger (forsyningssikkerhed) IT & Digitalisering sikrer; - at alle forsyninger som elektricitet, vand, kloak, varme og ventilation, har den fornødne kapacitet og eventuel redundans. - at alt forretningskritisk it-udstyr beskyttes med UPS nødstrømsanlæg til minimum 30 min. drift og efterfølgende kontrolleret nedlukning Vedligeholdelse af udstyr IT & Digitalisering sikrer at kritiske/følsomme informationer beskyttes, inden det sendes til reparation.

6 Sikring af udstyr og aktiver uden for organisationen Mobile enheder må ikke efterlades uden opsyn i uaflåste rum uden for kommunens ejendomme Sikker bortskaffelse eller genbrug af udstyr IT & Digitalisering sikrer ved genbrug eller bortskaffelse af it-udstyr at kritiske/følsomme informationer og licensbelagt software fjernes Brugerudstyr uden opsyn Medarbejdere skal aktivere skærmlås med adgangskodebeskyttelse, når arbejdsstationen forlades. IT & Digitalisering sikrer at arbejdsstationer automatisk aktiverer skærmlås efter 10 minutters inaktivitet Politik for ryddeligt skrivebord og blank skærm IT & Digitalisering sikrer at printere, som benyttes til udskrivning af fortrolige informationer placeres i lokaler, der ikke er tilgængelige for andre end kommunens medarbejdere. Medarbejdere skal sikre at skriveborde er ryddet for fortrolige dokumenter/informationer senest ved arbejdsdagens afslutning. Fortrolige dokumenter må dog gerne ligge fremme, såfremt kontorlokaler er aflåste. Dokumenter med personhenførbare oplysninger må ikke ligge med forsiden opad, når skrivebord/arbejdsstation forlades. 12. Driftssikkerhed Driftsprocedurer og ansvarsområder Ændringsstyring IT & Digitalisering af it service udarbejder procedurer for ændringsstyring for alle software- og systemkonfigurationsændringer, også indeholdende en entydig identifikation og registrering. Endvidiere sikres at ændringer planlægges, vurderes og testes inden idriftsættelse, og at der forefindes en plan for tilbagerulning af ændringer Kapacitetsstyring IT & Digitalisering sikrer at forretningskritiske it-systemer løbende overvåges med hensyn til tilstrækkelig kapacitet Adskillelse af udviklings-, test- og driftsmiljøer IT & Digitalisering sikrer at udviklings-, test- og driftsmiljøer er systemteknisk eller fysisk adskilte. Endvidere udarbejdes procedurer for migrering fra udvikling til test og til driftsmiljø, således at it-systemerne testes og kontrolleres på drift, sikkerhed og brugbarhed. (Procedure for miljø migrering af it-systemer) IT & Digitalisering er ansvarlig for sikkerheden i udvikling- og testmiljøer. Systemejer godkender brug af fortrolige/følsomme data til anvendelse i udvikling- og testmiljøer Beskyttelse mod malware Kontroller mod malware IT & Digitalisering er ansvarlig for at ind/udgående mails scannes for virus, spam og phishing. Ved fund af denne type skal disse automatisk sættes i karantæne. Endvidere sikres at der er installeret antivirus på alle servere og klienter, og at der fortages regelmæssigt scanning mod virus og lign Kontroller mod malware Beskyttelse med computervirus og lignende former for angreb forsøges modvirket ved installation af antivirus på enheder der tilkobles kommunens netværk. IT & Digitalisering er ansvarlig for at antivirus fungerer og løbende bliver opdateret og at der regelmæssigt scannes for adware på alle arbejdsstationer Backup Backup af information IT & Digitalisering udarbejder en procedure for backup, hvori det sikres at backupmedie til forretningskritiske it-systemer opbevares på et andet sted end de primære data. Endvideres sikres at reetablering af data fra backup-

7 systemer afprøves i et testmiljø minimum hvert andet år Logning og overvågning Hændelseslogning IT & Digitalisering sikrer at der opbevares log for sikkerhedshændelser, brugeraktiviteter og fejlhændelser på forretningskritiske it-systemer i mindst 3 måneder Administrator- og operatørlog IT & Digitalisering sikrer at der fortages logning af administratorers adgang og aktiviteter på it-systemer Styring af driftssoftware Softwareinstallation på driftssystemer IT & Digitalisering sikre en procedure der beskriver adskillelse af test og produktionsmiljø. Skal ligeledes holde sig informeret om alle programrettelser til alle programmer, der anvendes i kommunen og er ansvarlige for, at der løbende sker regelmæssig opdatering af anvendt software. Endvideree sikres at alle ændringer i forretningskritiske systemer udføres efter en godkendt ændringsarbejdsgang. Alle ændringsarbejdsgange skal indeholde en plan til retablering såfremt ændringen fejler Sårbarhedsstyring Styring af tekniske sårbarheder IT & Digitalisering er ansvarlig for eksternt samarbejde med samarbejdspartnere der kan bibringe de fornødne informationer i henhold til viden om trusler og skal etablere en procedure for identifikation af nye sårbarheder. Endvidere informere relevante personer i ledelsen om nye trusler, som potentielt kan berøre de pågældendes forretningsprocesser 13. Kommunikationssikkerhed Styring af netværkssikkerhed Netværksstyring Gæster og konsulenter må kun anvende det trådløse netværk til internetadgang, og ikke til adgang til interne systemer. For begge grupper gælder at de skal acceptere at deres brug overvåges før der gives adgang til kommunens trådløse netværk. IT & Digitalisering er ansvarlig for logisk beskyttelse af it-systemer, der er eksponeret mod internettet, f.eks. og web-servere, mod brud på tilgængelighed, integritet og fortrolighed Netværksstyring Det er ikke tilladt at installere udstyr, der giver trådløs netadgang Informationsoverførsel Politikker og procedurer for informationsoverførsel Medarbejdere skal sikre at og anden form for data/information, der indeholder fortrolige/følsomme informationer, altid er krypteret under transmission på eksterne forbindelser f.eks. internettet Fortroligheds- og hemmeligholdelsesaftaler IT & Digitalisering er ansvarlig for at ethvert formaliseret eksternt samarbejde er baseret på en samarbejdsaftale, og at der informeres om krav til efterlevelse af informationssikkerheden i kommunen Samtidig ansvarlig for at tredjepart, der kan få adgang til kommunens data, har underskrevet en tavshed og fortrolighedserklæring. IT & Digitalisering er ansvarlig for at alle medarbejdere accepterer en tavshedserklæring senest ved ansættelsestidspunktet. 14. Anskaffelse, udvikling og vedligeholdelse af systemer Sikkerhedskrav til informationssystemer Analyse og specifikation af informationssikkerhedskrav

8 IT-sikkerhedsleder sikrer at kommunens krav til nye såvel som bestående systemer skal indeholde krav til sikkerheden med udgangspunkt i en risikovurdering Sikkerhed i udviklings- og hjælpeprocesser Procedurer for styring af systemændringer IT & Digitalisering er ansvarlig for procedure for ændringsstyring og er ansvarlig for at migrering fra udvikling til produktionsmiljø følger procedure for ændringsstyring Outsourcet udvikling Odense Kommune; - kan kræve adgang til at overvåge udviklingsprocessen baseret på en individuel vurdering, hos eksterne leverandører. - kræver afleveringstest, hos eksterne leverandører - kræver dokumenteret løbende kvalitetssikring, hos eksterne leverandører - kan kræve deponering af kildekode baseret på individuel vurdering, hos eksterne leverandører - kan kræve ophavsrettighed på kildekode efter individuel vurdering, hos eksterne leverandører Testdata Sikring af testdata IT & Digitalisering er ansvarlig for at data til test udvælges, kontrolleres og beskyttes omhyggeligt og i henhold til deres klassifikation. Endvidere sikres at produktionsdata ikke benyttes i udviklings- eller testmiljøet. 15. Leverandørforhold Styring af leverandørydelser Overvågning og gennemgang af leverandørydelser Systemejer skal minimum hvert år, fortage en gennemgang af leverandøren og sikre at de overholder de sikkerhedskrav Odense Kommune stiller, og eventuelle ændringer til leverandøraftaler skal dokumenteres. 16. Styring af informationssikkerhedsbrud Styring af informationssikkerhedsbrud og forbedringer Ansvar og procedurer IT & Digitalisering er ansvarlig for at fastlægge procedure for håndtering af sikkerhedsbrud Rapportering af informationssikkerhedshændelser IT & Digitalisering sikrer at alle systemer med kritiske informationer løbende overvåges for tilstrækkelig kapacitet for at sikre pålidelig drift og tilgængelighed. Brud på sikkerheden i form af uautoriseret adgang og forsøg på uautoriseret adgang til systemer, informationer og data skal registreres som informationssikkerhedshændelser. IT & Digitalisering er ansvarlig for en procedure, der sikrer indrapportering af informationssikkerhedshændelser med betydning for kommunens informationssikkerhed Rapportering af informationssikkerhedssvagheder Medarbejdere og brugere, der observerer programfejl skal rapportere dette som en informationssikkerhedshændelser. Medarbejdere og brugere skal ved konstatering af brud eller mistanke om brud på sikringsforanstaltninger rapporterer det som en informationssikkerhedshændelser til IT & Digitalisering Erfaring fra informationssikkerhedsbrud IT-sikkerhedsleder er ansvarlig for at indsamle statistik for rapporterede sikkerhedshændelser. Mindst en gang hvert kvartal skal it-sikkerhedslederen gennemgå den forgangne periodes hændelser Indsamling af beviser Hvis et sikkerhedsbrud afstedkommer et retsligt efterspil - uanset om sikkerhedsbruddet er foretaget af en person eller en virksomhed - skal IT &

9 Digitalisering indsamle, opbevare og præsentere et fyldestgørende bevismateriale. 17. Informationssikkerhedsaspekter ved nød-, beredskabs- og reetableringsstyring Informationssikkerhedskontinuitet Implementering af beredskab IT & Digitalisering er ansvarlig for udarbejdelse og vedligeholdelse af en overordnet beredskabsplan. Der blandt andet indeholder: - hvem der har ansvaret for aktivering af beredskabsplanen - medarbejdere der indgår i beredskabsplanen er informeret om deres ansvar - alle medarbejdere skal være informeret om beredskabsplanernes eksistens - ansvarlig for, at der foregår tilstrækkelig uddannelse af medarbejdere der er involveret i kommunens it-beredskabs Implementering af beredskab IT-sikkerhedslederen er ansvarlig for at lave en statusrapport over itberedskabet til Operationel forum for digitalisering og velfærdsteknologi hvert år Verificer, gennemgå og evaluer beredskab IT-sikkerhedslederen sikrer at den overordnede beredskabsplan med tilhørende dokumenter opdateres mindst én gang årligt 18. Overensstemmelse Overensstemmelse med lov- og kontraktkrav Identifikation af gældende lovgivning og kontraktkrav IT & Digitalisering er ansvarlig for at kommunen overholder gældende lovgivning og er ansvarlig for, at alle eksterne sikkerhedskrav rettet mod kommunen klarlægges, dokumenteres og løbende vedligeholdes. ITsikkerhedslederen skal, sammen med lovgruppen, HR og sikkerhedschefen, gennemgå it-sikkerhedshåndbogen og verificere at denne overholder gældende lovgivning Immaterielle rettigheder IT & Digitalisering har det overordnede ansvar for, at medarbejderne fastholder opmærksomheden på ikke at krænke tredjeparts ophavsrettigheder og skal vedligeholde oversigt og dokumentation for ejendomsretten af software-licensaftaler, at der er et tilstrækkeligt antal og at ophavsretten ikke brydes. Endvidere skal de tilse, at kun kendt software, med et defineret formål, anskaffes og sættes i drift og skal indkøbe eller godkende indkøb af software, samt godkende software, der er installeret på kommunens systemer. IT & Digitalisering skal vedligeholde en liste over tilladte programmer. og er udelukkende dem der må installere it programmer. Brugere må installere programmer på kommunens arbejdsstationer forudsat at IT & Digitalisering har godkendt dispensationsansøgning. Medarbejdere må ikke forpligte kommunen ved at acceptere licensvilkår i software, som ikke er accepteret af IT & Digitalisering Beskyttelse af registreringer IT & Digitalisering sikrer at behandling af personrelaterede informationer logges automatisk. IT-sikkerhedslederen er ansvarlig for at overholdelse af persondatalovgivning finder sted i kommunen. Mail med følsomme oplysninger skal slettes senest efter 30 dage. Gerne efter journalisering. Det er ikke tillad at behandles personoplysninger af fortrolig karakter på en privat pc Privatlivets fred og beskyttelse af personoplysninger IT & Digitalisering sikrer at behandling af personrelaterede informationer logges automatisk. IT-sikkerhedslederen er ansvarlig for at overholdelse af persondatalovgivning finder sted i kommunen. Mail med følsomme

10 oplysninger skal slettes senest efter 30 dage. Gerne efter journalisering. Det er ikke tillad at behandles personoplysninger af fortrolig karakter på en privat pc Regulering af kryptografi Alle medarbejderes brug af kommunens it-systemer logges og derved har kommunen mulighed for at få indsigt i den enkelte medarbejders aktiviteter Gennemgang af informationssikkerhed Uafhængig gennemgang af informationssikkerhed IT-sikkerhedsleder sikre at outsourcing-partnere fremsender ekstern revisionsrapport, mindst en gang om året, med mindre kommunens risikovurdering ikke tilsiger dette Overensstemmelse med sikkerhedspolitikker og sikkerhedsstandarder IT & Digitalisering er ansvarlig for at der mindst en gang årligt udføres systematisk opfølgning på overholdelse af sikkerhedspolitikken i hele kommunen. Resultatet skal rapporteres til Operationelt forum for digitalisering og velfærdsteknologi. Hver enkelt leder skal løbende sikre at sikkerhedspolitikken bliver overholdt inden for eget ansvarsområde. ITsikkerhedslederen skal kontrollere, at sikkerhedspolitikken er indarbejdet i organisationen og overholdes. Kontrollen skal foretages mindst en gang årligt Undersøgelse af teknisk overensstemmelse IT & Digitalisering er ansvarlig for at der mindst to gange om året udføres uddybende sikkerhedstests af sikkerhedsniveauet D netværksudstyr og servere. Mindst en gang om året skal der udføres uddybende sikkerhedstest af sikkerhedsniveauet i internt netværksudstyr og servere der er tilgængelige fra internettet.

Bilag 5 Aarhus Kommune. Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0. Opbevaring/sletning af informationer

Bilag 5 Aarhus Kommune. Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0. Opbevaring/sletning af informationer Bilag 5 Aarhus Kommune Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0 Opbevaring/sletning af informationer 11-04-2011 1 Regler 7 Styring af informationsrelaterede

Læs mere

Informationssikkerhedspolitik

Informationssikkerhedspolitik Folder om Informationssikkerhedspolitik ansatte og byrådsmedlemmer 25-11-2013 Indledning Faxe Kommune har en overordnet Informationssikkerhedspolitik. Denne folder er et uddrag, der kort fortæller hvad

Læs mere

Hørsholm Kommune. Regler 3.3. Slutbruger

Hørsholm Kommune. Regler 3.3. Slutbruger Hørsholm Kommune Regler 3.3 Slutbruger 17-11-2016 Indholdsfortegnelse 6 Organisering af informationssikkerhed 1 6.1 Interne organisatoriske forhold 1 6.1.4 Godkendelsesprocedure ved anskaffelser 1 6.1.5

Læs mere

INFORMATIONSSIKKERHEDSPOLITIK. Informationssikkerhedspolitik

INFORMATIONSSIKKERHEDSPOLITIK. Informationssikkerhedspolitik Informationssikkerhedspolitik Er informationssikkerhed aktuel? Hvorfor arbejder vi med informationssikkerhedspolitik? EU direktiv 95/46/EF Persondataloven Sikkerhedsbekendtgørelsen Datatilsynet Hvorfor

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

It-revision af Sundhedsdatanettet 2015 15. januar 2016

It-revision af Sundhedsdatanettet 2015 15. januar 2016 MedCom Forskerparken 10 5230 Odense M Landgreven 4 1301 København K Tlf. 33 92 84 00 rr@rigsrevisionen.dk www.rigsrevisionen.dk It-revision af Sundhedsdatanettet 2015 15. januar 2016 1. Rigsrevisionen

Læs mere

KOMBIT sikkerhedspolitik

KOMBIT sikkerhedspolitik KOMBIT sikkerhedspolitik Indholdsfortegnelse INDLEDNING 3 DEL 1: ORGANISERING, ROLLER OG ANSVAR 4 DEL 2: POLITIK FOR INFORMATIONSSIKKERHED 5 DEL 3: RETNINGSLINJER OG KONTROLMÅL TIL LEVERANDØREN 6 5. INFORMATIONSSIKKERHEDSPOLITIKKER

Læs mere

Almindelig sund fornuft med IT Gode råd og regler om IT sikkerhed

Almindelig sund fornuft med IT Gode råd og regler om IT sikkerhed Almindelig sund fornuft med IT Gode råd og regler om IT sikkerhed Langeland Kommune Sikkerhed i Langeland Kommune Sikkerhed er noget vi alle skal tænke over. Vi behandler følsomme informationer om vores

Læs mere

NOTAT. Køge Kommune It-sikkerhed Overordnede retningslinjer ITafdelingen. Fællesforvaltningen. Dato Sagsnummer Dokumentnummer

NOTAT. Køge Kommune It-sikkerhed Overordnede retningslinjer ITafdelingen. Fællesforvaltningen. Dato Sagsnummer Dokumentnummer NOTAT Fællesforvaltningen Dato Sagsnummer Dokumentnummer ITafdelingen Køge Rådhus Torvet 1 4600 Køge www.koege.dk Tlf. 56 67 67 67 Fax 56 65 54 46 Køge Kommune It-sikkerhed Overordnede retningslinjer 2010

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484 DS 484:2005 Standard for informationssikkerhed -Korte uddrag fra DS484 Informationssikkerhedsstrategi Ledelsen skal godkende en skriftlig informationssikkerhedspolitik, som skal offentliggøres og kommunikeres

Læs mere

Kære medarbejder og leder

Kære medarbejder og leder Kære medarbejder og leder Adgang til informationer i it-systemer og elektronisk kommunikation er for de fleste medarbejdere i Region Hovedstaden en selvfølgelig del af arbejdsdagen. Hvis vi ikke har adgang

Læs mere

Informationssikkerhedspolitik. Frederiksberg Kommune

Informationssikkerhedspolitik. Frederiksberg Kommune Informationssikkerhedspolitik Frederiksberg Kommune Indledning Informationssikkerhedspolitikken er den overordnede ramme for beskyttelse af information i Frederiksberg Kommune. Kommunen behandler oplysninger

Læs mere

Instrukser for brug af it

Instrukser for brug af it it IT-Afdelingen sikkerhed Instrukser i brug af IT Instrukser for brug af it Må Skal ikke Kan Januar 2010 Version 1.0 Indhold Indhold Forord.............................. 3...................... 3 Resumé

Læs mere

Middelfart Kommune IT-SIKKERHEDSPOLITIK. IT-sikkerhedspolitik for Middelfart Kommune. Regler

Middelfart Kommune IT-SIKKERHEDSPOLITIK. IT-sikkerhedspolitik for Middelfart Kommune. Regler Middelfart Kommune IT-SIKKERHEDSPOLITIK IT-sikkerhedspolitik for Middelfart Kommune Regler 11-10-2007 Organisation og implementering Placering af ansvar er vitalt for at sikre opmærksomhed på Middelfart

Læs mere

Informationssikkerhed regler og råd

Informationssikkerhed regler og råd Informationssikkerhed regler og råd TAP-området Kære kollegaer Formålet med denne folder er at oplyse dig om RMCs regler og råd inden for informationssikkerhed. Folderen skal være med til at sikre, at

Læs mere

Skanderborg Kommune. Regler. Nedenstående regler er udfærdiget på kravene i ISO. Udkast 27002:2005. Udkast: 2014-02-12

Skanderborg Kommune. Regler. Nedenstående regler er udfærdiget på kravene i ISO. Udkast 27002:2005. Udkast: 2014-02-12 Skanderborg Kommune Regler Nedenstående regler er udfærdiget på kravene i ISO 27002:2005 : 2014-02-12 Indholdsfortegnelse 4 Risikovurdering og -håndtering 4.1 Vurdering af sikkerhedsrisici 4.2 Risikohåndtering

Læs mere

Syddansk Universitet. Dataklassificering på. Version 1.8 Sidst revideret d. 29. november 2007 Side 1 af 13

Syddansk Universitet. Dataklassificering på. Version 1.8 Sidst revideret d. 29. november 2007 Side 1 af 13 Dataklassificering på Version 1.8 Sidst revideret d. 29. november 2007 Side 1 af 13 Indeks Indeks... 2 Introduktion... 3 Formål... 3 Interessenter... 3 Dokument struktur... 3 Revision af dokumentet...

Læs mere

KÆRE MEDARBEJDER OG LEDER

KÆRE MEDARBEJDER OG LEDER Region Hovedstaden 1 KÆRE MEDARBEJDER OG LEDER Adgang til informationer i it-systemer og elektronisk kommunikation er for de fleste medarbejdere i Region Hovedstaden en selvfølgelig del af arbejdsdagen.

Læs mere

Assens Kommune Sikkerhedspolitik for it, data og information

Assens Kommune Sikkerhedspolitik for it, data og information Assens Kommune Sikkerhedspolitik for it, data og information Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Holdninger og principper... 4 4. Omfang... 4 5. Sikkerhedsbevidsthed,

Læs mere

Instrukser for brug af it

Instrukser for brug af it it sikkerhed Instrukser for brug af it Må Skal ikke Kan Januar 2010 Version 1.0 Indhold Forord................................................... 3 Resumé.................................................

Læs mere

DS 484 Den fællesstatslige standard for informationssikkerhed. Sikkerhedsaspekter ved Mobilitet og Distancearbejde

DS 484 Den fællesstatslige standard for informationssikkerhed. Sikkerhedsaspekter ved Mobilitet og Distancearbejde DS 484 Den fællesstatslige standard for informationssikkerhed Sikkerhedsaspekter ved Mobilitet og Distancearbejde * Velkomst og dagens program Hvorfor er vi her Dagens formål og succeskriterier Disponeringen

Læs mere

Procedure for tilsyn af databehandleraftale

Procedure for tilsyn af databehandleraftale IT Projekt og Udviklingsafdeling Dato:7.2.2017 Procedure for tilsyn af databehandleraftale Reference til Retningslinjer for Informationssikkerhed: Afsnit 14.5 (Databehandleraftaler). Ved ibrugtagning af

Læs mere

Informationssikkerhed Version 2.0 29.09.10

Informationssikkerhed Version 2.0 29.09.10 Informationssikkerhed Version 2.0 29.09.10 Retningslinjer for retablering af systemer og data (Ændringer i forhold til tidligere version er markeret med Understregning) Disse retningslinjer beskriver de

Læs mere

Politik

Politik <dato> <J.nr.> Side 1 af 5 Politik Informationssikkerhedspolitik for 1. Indledning Denne informationssikkerhedspolitik er den overordnede ramme for informationssikkerheden hos .

Læs mere

En introduktion til. IT-sikkerhed 16-12-2015

En introduktion til. IT-sikkerhed 16-12-2015 En introduktion til 16-12-2015 1 En rettesnor for din brug af IT I Dansk Supermarked Group forventer vi, at du er orienteret om, hvordan du skal bruge IT, når du er ansat hos os. I denne guide kan du læse

Læs mere

Procedure om IT brug og IT sikkerhed

Procedure om IT brug og IT sikkerhed Procedure om IT brug og IT sikkerhed Godkendt i MED-Hovedudvalget den 28. september 2015 1 Procedure om IT brug og IT sikkerhed Denne procedure omhandler den overordnede tilgang til håndtering af IT- brug

Læs mere

REGIONERNES POLITISKE LINJE FOR INFORMATIONSSIKKERHED

REGIONERNES POLITISKE LINJE FOR INFORMATIONSSIKKERHED 11101010100010 10101001011011 10101001101010 10101010001010 10100101101110 10100110101010 10101000101010 10010110111010 10011010101010 10100010101010 01011011101010 01101010101001 10001010101001 REGIONERNES

Læs mere

IT-centeret. It-sikkerhedshåndbog. Næstved Kommune Sagsbehandler: JJ Tlf. 5577 5300 Sagsnr: Doknr: www.naestved.dk. 20. april 2009

IT-centeret. It-sikkerhedshåndbog. Næstved Kommune Sagsbehandler: JJ Tlf. 5577 5300 Sagsnr: Doknr: www.naestved.dk. 20. april 2009 It-sikkerhedshåndbog IT-centeret Næstved Kommune Sagsbehandler: JJ Tlf. 5577 5300 Sagsnr: Doknr: www.naestved.dk 20. april 2009 Version 1.3 af 20. april 2009 Indhold 1. Indledning og formål 2 2. Ansvar

Læs mere

Informationssikkerhedspolitik for

Informationssikkerhedspolitik for <organisation> 1 Informationssikkerhedspolitik for 1. Formål informationssikkerhedspolitik beskriver vigtigheden af arbejdet med informationssikkerhed i og fastlægger

Læs mere

Region Hovedstadens Ramme for Informationssikkerhed

Region Hovedstadens Ramme for Informationssikkerhed Region Hovedstadens Ramme for Informationssikkerhed Indhold Region Hovedstadens ramme for Informationssikkerhed... 3 1 Formål... 3 2 Gyldighedsområde/omfang... 4 3 Målsætninger... 4 4 Informationssikkerhedsniveau...

Læs mere

INFORMATIONSSIKKERHED. UCC s sikkerhedshåndbog

INFORMATIONSSIKKERHED. UCC s sikkerhedshåndbog INFORMATIONSSIKKERHED UCC s sikkerhedshåndbog Gældende udgave, opdateret september 2015 Indholdsfortegnelse Indledning... 5 1 Etablering af informationssikkerheds-styringssystem... 6 1.1 Etablering af

Læs mere

LinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK

LinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK LinkGRC A Nordic leader in all aspects of Governance, Risk and Compliance Virksomhedens informationssikkerhedspolitik er i sin enkelhed et modsvar til en virksomheds

Læs mere

Sotea A/S. CVR nr.: 10 08 52 25. Marts 2016

Sotea A/S. CVR nr.: 10 08 52 25. Marts 2016 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hosting-ydelse i perioden 01-02-2015 til 31-01-2016 Sotea A/S CVR nr.: 10

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

Persondata og IT-sikkerhed. Vejledning i sikker anvendelse og opbevaring af persondata

Persondata og IT-sikkerhed. Vejledning i sikker anvendelse og opbevaring af persondata Persondata og IT-sikkerhed Vejledning i sikker anvendelse og opbevaring af persondata December 2015 Indledning Denne vejledning har til formål, at hjælpe ansatte på IT-Center Fyns partnerskoler med at

Læs mere

Frederiksberg Kommunes It-sikkerhedsregler (baseret på ISO 27001)

Frederiksberg Kommunes It-sikkerhedsregler (baseret på ISO 27001) Frederiksberg Kommunes It-sikkerhedsregler (baseret på ISO 27001) Indhold 1. Informationsksikkerhedspolitikker 4 1.1 Retningslinjer for styring af informationssikkerhed 4 1.1.1 Politikker for informationssikkerhed

Læs mere

Security & Risk Management Summit 2016

Security & Risk Management Summit 2016 Security & Risk Management Summit 2016 DGI Byen, den 3. november 2016 Premium partner: Partnere: Sikkerhedsanalyse - fundamentet for din sikkerhed! John Wiingaard og Lars Boye, Senior GRC Consultants,

Læs mere

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring KOMBIT har som indkøbscentral på vegne af landets kommuner indgået aftale med [leverandørnavn] (herefter Leverandøren ) om udvikling, drift,

Læs mere

Dette er en papirudgave af alle de uddybende itsikkerhedsregler.

Dette er en papirudgave af alle de uddybende itsikkerhedsregler. 1 30. november 2012 Klassifikation: Interne data Uddybende it-sikkerhedsregler for Københavns Kommune. Dette er en papirudgave af alle de uddybende itsikkerhedsregler. De uddybende it-sikkerhedsregler

Læs mere

1. Ledelsens udtalelse

1. Ledelsens udtalelse www.pwc.dk Sonlinc A/S ISAE 3000-erklæring fra uafhængig revisor vedrørende udvalgte generelle it-kontroller i Sonlinc A/S og udvalgte applikationskontroller i tilknytning til SonWin Billing for perioden

Læs mere

Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6

Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6 Indholdsfortegnelse Generelt 3 Formål 3 Omfang 4 It-sikkerhedsniveau 4 Styring 5 Sikkerhedsbevidsthed 6 Brud på it-sikkerheden 6 Anvendelse af politik for it-sikkerhed i praksis 6 Bilag 1. Anvendelse af

Læs mere

Informationssikkerhedspolitik for Region Midtjylland

Informationssikkerhedspolitik for Region Midtjylland Regionshuset Viborg Regionssekretariatet Skottenborg 26 Postboks 21 DK-8800 Viborg Tel. +45 8728 5000 kontakt@rm.dk www.rm.dk Informationssikkerhedspolitik for Region Midtjylland 1. Indledning Denne informationssikkerhedspolitik

Læs mere

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2 Status for ændringer Version Dato Navn Bemærkning 1.0 24-04-2007 Vedtaget i Regionsrådet 1.1 13-02-2012 IMT-Informationssikkerhed Tilpasning af terminologi 1.2 15-10-2012 IMT-Informationssikkerhed Rettelse

Læs mere

Guide til sikker it. Daglig brug Programmer E-mail Internet Databehandling

Guide til sikker it. Daglig brug Programmer E-mail Internet Databehandling Guide til sikker it Daglig brug Programmer E-mail Internet Databehandling Hvilke retningslinjer skal du følge som it-bruger i Hillerød Kommune? Indhold Daglig brug af din computer 4 Computere, programmer

Læs mere

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09 Aabenraa Kommune Informationspolitik : 2014-04-09 Aabenraa Kommune 29. august 2012 Informationspolitik Overordnet Informationssikkerhedspolitik for Aabenraa Kommune Velkommen til Aabenraa Komune s overordnede

Læs mere

Hvilke retningslinjer skal du følge som bruger i Norddjurs Kommune?

Hvilke retningslinjer skal du følge som bruger i Norddjurs Kommune? Hvilke retningslinjer skal du følge som bruger i Norddjurs Kommune? Som bruger i Norddjurs Kommune er du ansvarlig for det, du foretager dig på din computer og for de oplysninger, som du gemmer. Det betyder,

Læs mere

FYSISK SIKKERHED. Bilag 10-1

FYSISK SIKKERHED. Bilag 10-1 FYSISK SIKKERHED Bilag 10-1 Indholdsfortegnelse 1. FYSISK SIKKERHED... 3 1.1. SIKRE OMRÅDER... 3 1.2. BESKYTTELSE AF UDSTYR... 4 Bilag 10-1 FYSISK SIKKERHED Kunden, side 2 af 6 1. FYSISK SIKKERHED Kundens

Læs mere

Albertslund Kommune. Albertslund. Samlet politik Virksomhedens samlede it-sikkerhedshåndbog 1.0

Albertslund Kommune. Albertslund. Samlet politik Virksomhedens samlede it-sikkerhedshåndbog 1.0 Albertslund Kommune Albertslund Samlet politik Virksomhedens samlede it-sikkerhedshåndbog 1.0 03-05-2011 Indholdsfortegnelse Politik 2 Indledning 2 Overordnet Informationssikkerhedspolitik for Albertslund

Læs mere

Instrukser for brug af dataudstyr ved OUH

Instrukser for brug af dataudstyr ved OUH Skal Kan Må ikke Instrukser for brug af dataudstyr ved OUH Afdelingen for Driftsoptimering og IT Vi er til for borgerne, og bruger dataudstyr for at sikre effektivitet og kvalitet. Vi skal have en høj

Læs mere

Overordnet it-sikkerhedspolitik for Rødovre Kommune

Overordnet it-sikkerhedspolitik for Rødovre Kommune Overordnet it-sikkerhedspolitik for Rødovre Kommune Denne politik er godkendt af kommunalbestyrelsen januar 2016. Og træder i kraft januar 2016. Ved udskrivning af politikken skal du være opmærksom på,

Læs mere

Agenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)

Agenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001) IT-sikkerhed med Agenda Introduktion: Rasmus & CyberPilot Eksempler fra det virkelig verden Persondataforordningen & IT-sikkerhed (hint: ISO27001) Risikovurdering som værktøj til at vælge tiltag Tiltag

Læs mere

Tilladelsen gives på følgende vilkår:

Tilladelsen gives på følgende vilkår: Amgros I/S Dampfærgevej 22 2100 København Ø Sendt til: amgros@amgros.dk og cch@amgros.dk 6. april 2016 Vedrørende anmeldelse af behandlingen "Behandling af ESPD dokumentation" Datatilsynet Borgergade 28,

Læs mere

It-sikkerhed i Dansk Supermarked

It-sikkerhed i Dansk Supermarked It-sikkerhed i Dansk en kort introduktion It-sikkerhed i Dansk 1 Velkommen som it-bruger i Dansk Kære medarbejder Brug af it er for mange i Dansk en naturlig del af arbejdsdagen. Hvis vi skal sikre vores

Læs mere

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014 Aarhus Kommune IT-sikkerhedspolitik Politik 25-04-2014 Indholdsfortegnelse Politik 1 Indledning 1 Formål 1 Politikkens omfang 2 Ledelsesansvar 2 IT-sikkerhedsorganisationen 2 IT-sikkerhedsniveau 3 IT-sikkerhedshåndbogen

Læs mere

F-Secure Mobile Security for S60

F-Secure Mobile Security for S60 F-Secure Mobile Security for S60 1. Installation og aktivering Tidligere version Installation Du behøver ikke at fjerne den forrige version af F-Secure Mobile Anti-Virus. Kontroller indstillingerne for

Læs mere

Sikker IT-Brug. En kort introduktion til et sikkert online arbejdsmiljø og gode IT-vaner i Sanistål. sanistaal.com

Sikker IT-Brug. En kort introduktion til et sikkert online arbejdsmiljø og gode IT-vaner i Sanistål. sanistaal.com Sikker IT-Brug En kort introduktion til et sikkert online arbejdsmiljø og gode IT-vaner i Sanistål sanistaal.com Indhold 2 Kære kollega 4 Kom godt i gang 5 Logning 6 Kodeord 7 Mobile enheder 9 Dataopbevaring

Læs mere

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.: Databehandleraftale vedrørende brug af WinPLC og relaterede services Version 1.0 d. 1. november 2015 Parterne Kundenr.: Klinikkens navn og adresse (evt. stempel) (herefter den Dataansvarlige) og (herefter

Læs mere

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED DAGSORDEN _ Introduktion til informationssikkerhed _ Hvad går det egentlig ud på _ Hvilke kerneopgaver er der _ Hvor langt er vi nået? _ Hvilke

Læs mere

Informationssikkerhedspolitik for Horsens Kommune

Informationssikkerhedspolitik for Horsens Kommune Informationssikkerhedspolitik for Horsens Kommune Senest opdateret januar 2016 Indholdsfortegnelse 1. FORMÅL... 3 2. OMFANG OG SIKKERHEDSNIVEAU... 3 3. HOVEDMÅLSÆTNINGER... 4 4. ORGANISERING OG ANSVAR...

Læs mere

Halsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune.

Halsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune. Informationssikkerhedspolitik Oktober 2015 Side 1 af 5 sider Baggrund Ved informationssikkerhed forstås de samlede foranstaltninger til at sikre Fortroligheden, Tilgængeligheden og Integriteten på kommunens

Læs mere

Privatlivspolitik for studerende

Privatlivspolitik for studerende UNIVERSITY COLLEGE LILLEBÆLT Privatlivspolitik for studerende Retningslinjer for registrering, håndtering og anvendelse af data om studerende hos UCL Vedtaget på HSU den 16. november 2015 Indhold 1. Formål...

Læs mere

Informationssikkerhedspolitik

Informationssikkerhedspolitik Faxe Kommune Informationssikkerhedspolitik Regler 14-07-2014 Indholdsfortegnelse Regler 2 1 Overordnede retningslinjer 2 1.1 Informationssikkerhedspolitik 2 1.1.1 Formulering af informationssikkerhedspolitik

Læs mere

IT-retningslinier og sikkerhedspolitik for Viborg Kommunes Skole IT. - gældende for undervisere

IT-retningslinier og sikkerhedspolitik for Viborg Kommunes Skole IT. - gældende for undervisere IT-retningslinier og sikkerhedspolitik for Viborg Kommunes Skole IT - gældende for undervisere August 2009 IT retningslinier og sikkerhedspolitik for Viborg kommunes Skole IT - gældende for undervisere

Læs mere

Retningslinier for adgangsstyring til Banedanmarks informationsaktiver.

Retningslinier for adgangsstyring til Banedanmarks informationsaktiver. Informationssikkerhed Vers.3.0 Retningslinier for adgangsstyring til Banedanmarks informationsaktiver. 19.04.2010 Informationsaktiver omhandler alle informationer hvad enten de er elektroniske, papirbaserede

Læs mere

Vejledning i informationssikkerhedspolitik. Februar 2015

Vejledning i informationssikkerhedspolitik. Februar 2015 Vejledning i informationssikkerhedspolitik Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske til:

Læs mere

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet "informationer"? 2

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet informationer? 2 Indhold 1 Informationssikkerhedspolitik 2 1.1 Hvorfor vil vi sikre vores informationer? 2 1.2 Hvad dækker begrebet "informationer"? 2 2 Principper 4 2.1 Styret af KU's strategiske behov 4 2.2 Implementering

Læs mere

hos statslige myndigheder

hos statslige myndigheder IT-Universitetet i København Rued Langgaards Vej 7 2300 København S Sendt til: itu@itu.dk 25. juni 2015 Udtalelse til anmeldelsen Videnskabelige og statistiske undersøgelser hos statslige myndigheder Datatilsynet

Læs mere

IT-sikkerhed i Køge Kommune. IT med omtanke

IT-sikkerhed i Køge Kommune. IT med omtanke IT-sikkerhed i Køge Kommune Indhold Din pc 4 Adgangskode 5 Virus 6 Sikkerhedskopiering 7 Medarbejder signatur 7 E-mail og sikkerhed 8 Internettet 9 Dine bærbare enheder 10 Mere om følsomme data 11 Denne

Læs mere

Skabelon: Regler for medarbejderes brug af it

Skabelon: Regler for medarbejderes brug af it Notat Skabelon: Regler for medarbejderes brug af it I dag er det en naturlig ting, at medarbejderen i en virksomhed har en pc til sin rådighed til at udføre sit arbejde. Pc en har typisk adgang til internettet

Læs mere

ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015

ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015 ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015 Udfordringer mht. persondata eksempler For mange brugere har adgang til

Læs mere

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet Sammenfatning Denne vejledning adresserer risikoen for industrispionage fra statssponserede aktører i udlandet mod

Læs mere

Informationssikkerhedspolitik for

Informationssikkerhedspolitik for <organisation> 1 Informationssikkerhedspolitik for Indholdsfortegnelse Side 1. Indledning 4 1.1 Formål med informationssikkerhedspolitikken 4 1.2 Hovedmålsætninger i informationssikkerhedspolitikken 4

Læs mere

Overordnet It-sikkerhedspolitik

Overordnet It-sikkerhedspolitik Overordnet It-sikkerhedspolitik Denne politik er godkendt af byrådet d. x. måned 2014 Ved udskrivning af politikken skal du være opmærksom på, at du anvender senest godkendte version. Acadre sags nr. 14-8285

Læs mere

Om denne hjemmeside. Om denne hjemmeside og persondatapolitik. Denne hjemmeside www.rygestop-udfordringen.dk er ejet af: Pfizer ApS.

Om denne hjemmeside. Om denne hjemmeside og persondatapolitik. Denne hjemmeside www.rygestop-udfordringen.dk er ejet af: Pfizer ApS. Om denne hjemmeside Om denne hjemmeside og persondatapolitik Denne hjemmeside www.rygestop-udfordringen.dk er ejet af: Pfizer ApS Lautrupvang 8 2750 Ballerup Danmark CVR. nr.: 66 35 19 12 Telefonnummer:

Læs mere

Informationssikkerhedspolitik for Norddjurs Kommune

Informationssikkerhedspolitik for Norddjurs Kommune Norddjurs Kommune Informationssikkerhedspolitik for Norddjurs Kommune Regler Kommunens regler for informationssikkerhed 24-11-2011 Indholdsfortegnelse Regler 2 4 Risikovurdering og -håndtering 2 4.1 Vurdering

Læs mere

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser INDHOLDSFORTEGNELSE 1. Baggrund og formål... 2 2. Ansvarsfordeling... 2 2.1 Jobcenterchefens ansvar... 2 2.2 Gensidig informationspligt... 3 3. Krav til

Læs mere

Sikkerhed. Brugervejledning

Sikkerhed. Brugervejledning Sikkerhed Brugervejledning Copyright 2006 Hewlett-Packard Development Company, L.P. Microsoft og Windows er amerikanskregistrerede varemærker tilhørende Microsoft Corporation. Oplysningerne i dette dokument

Læs mere

AFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN

AFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN AFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN Mellem Norddjurs Kommune Torvet 3 8500 Grenaa (i det følgende benævnt Dataansvarlige ) og Leverandør

Læs mere

ISO27001 som ledelsesværktøj en pragmatisk tilgang. Lars Boye, lab@dubex.dk Søborg, den 6. november 2014

ISO27001 som ledelsesværktøj en pragmatisk tilgang. Lars Boye, lab@dubex.dk Søborg, den 6. november 2014 ISO27001 som ledelsesværktøj en pragmatisk tilgang Lars Boye, lab@dubex.dk Søborg, den 6. november 2014 DUBEX SECURITY & RISK MANAGEMENT SUMMIT 2014 Informationssikkerhed på dagsordenen Det seneste års

Læs mere

REGLER FOR IT-BRUG. Med venlig hilsen Ole Jakobsen Øverste ansvarlige for IT-sikkerheden IT-SIKKERHED FOR GULDBORGSUND KOMMUNE

REGLER FOR IT-BRUG. Med venlig hilsen Ole Jakobsen Øverste ansvarlige for IT-sikkerheden IT-SIKKERHED FOR GULDBORGSUND KOMMUNE IT-SIKKERHED 1 REGLER FOR IT-BRUG I dagligdagen tænker de fleste nok mest på, hvad vi kan bruge vores IT til - og knapt så meget på, hvordan vi bruger det. Men af hensyn til sikkerheden er det vigtigt

Læs mere

Sikker Drift. Sikker Drift Light inkluderer. Sikker Drift Standard inkluderer

Sikker Drift. Sikker Drift Light inkluderer. Sikker Drift Standard inkluderer Inventio.IT s Sikker Drift sikrer proaktivt driften af dine medarbejders arbejdsstationer (PC og Mac) samt virksomhedens servere og IT-infrastruktur. Sikker Drift Med Sikker Drift Standard varetager Inventio.IT

Læs mere

Hvilke retningslinjer skal du følge som bruger i Norddjurs Kommune?

Hvilke retningslinjer skal du følge som bruger i Norddjurs Kommune? Hvilke retningslinjer skal du følge som bruger i Norddjurs Kommune? Som bruger i Norddjurs Kommune er du ansvarlig for det, du foretager dig på din computer og for de oplysninger, som du gemmer. Det betyder,

Læs mere

Datatilsynets udtalelse vedrørende Region Midtjyllands fælles elektronisk patientjournal (MidtEPJ)

Datatilsynets udtalelse vedrørende Region Midtjyllands fælles elektronisk patientjournal (MidtEPJ) Regionshuset Viborg Regionssekretariatet Datatilsynets udtalelse vedrørende Region Midtjyllands fælles elektronisk patientjournal (MidtEPJ) Skottenborg 26 Postboks 21 DK-8800 Viborg Tel. +45 7841 0000

Læs mere

IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR

IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR 1 HUSK n Adgangskoder må ikke videregives til andre. n Andre må ikke anvende din personlige bruger-id. n Ved mistanke om, at andre har fået kendskab

Læs mere

IT-sikkerhedspolitik for

IT-sikkerhedspolitik for Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs

Læs mere

Informationssikkerhedshåndbog

Informationssikkerhedshåndbog Region Midtjylland Informationssikkerhedshåndbog Retningslinjer Region Midtjyllands regler for informationssikkerhed 1.0 11-03-2013 Indholdsfortegnelse Retningslinjer 2 1 Indledning 2 2 Termer og definitioner

Læs mere

Rammeaftalebilag 5 - Databehandleraftale

Rammeaftalebilag 5 - Databehandleraftale Rammeaftalebilag 5 - Databehandleraftale Denne databehandleraftale (Aftale) er indgået mellem Norddjurs Kommune Torvet 3 8500 Grenaa (Kommunen) Dataansvarlig og Leverandør Adresse Postnummer CVR nr.: (Leverandøren)

Læs mere

Underbilag Databehandlerinstruks

Underbilag Databehandlerinstruks Udbud nr. 2017/S 053-098025 EU-udbud af Cisco UCC i Region Syddanmark Underbilag 16.1 - Databehandlerinstruks DATABEHANDLERINSTRUKS Ad. 1. Databehandlerens ansvar Databehandleren må alene handle efter

Læs mere

Dragør Kommune. Operationelle bilag til IT-sikkerhedspolitikken. Bilag 7. Retningslinjer for IT-medarbejdere

Dragør Kommune. Operationelle bilag til IT-sikkerhedspolitikken. Bilag 7. Retningslinjer for IT-medarbejdere Dragør Kommune Operationelle bilag til IT-sikkerhedspolitikken IT-sikkerhedspolitik Side 2 Retningslinjer for IT-medarbejdere Samtlige medarbejdere beskæftiget med driften af kommunens IT-installation,

Læs mere

CYBER RISIKOAFDÆKNING

CYBER RISIKOAFDÆKNING CYBER RISIKOAFDÆKNING Den 4 september 2015 Kort om Willis WILLIS ER DANMARKS STØRSTE FORSIKRINGSMÆGLER OG BLANDT VERDENS FØRENDE VIRKSOMHEDER MED SPECIALE I RISIKOSTYRING. VI ER PÅ VERDENSPLAN 17.000 ANSATTE

Læs mere

// Mamut Business Software Installationsguide: Basis

// Mamut Business Software Installationsguide: Basis // Mamut Business Software Installationsguide: Basis Introduktion Indhold Denne guide forenkler installationen og førstegangsopstarten af Mamut Business Software. Hovedfokus i denne guide er enkeltbrugerinstallationer.

Læs mere

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) 1 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-951-4 0.05.12

Læs mere

Understøttelse af LSS til NemID i organisationen

Understøttelse af LSS til NemID i organisationen Understøttelse af LSS til NemID i organisationen Table of contents 1 Dette dokuments formål og målgruppe... 3 2 Introduktion til LSS til NemID... 4 2.1 Forudsætninger hos organisationen... 5 2.1.1 SSL

Læs mere

Databehandlerinstruks

Databehandlerinstruks 1. Databehandleren handler alene efter instruks af den dataansvarlige. 2. Databehandleren forpligter sig til, til enhver tid at overholde lovgivningsmæssige krav samt denne databehandlerinstruks. 3. Databehandleren

Læs mere

it-sikkerhed i produktionen DE 5 TRIN

it-sikkerhed i produktionen DE 5 TRIN it-sikkerhed i produktionen DE 5 TRIN Hvem er jeg? Tina Henriette Christensen Ingeniør med 18 års erfaring IPMA certificeret Projektleder Projektledelse af it-projekter Større integrationsprojekter Arbejder

Læs mere

Retsudvalget 2013-14 REU Alm.del Bilag 364 Offentligt

Retsudvalget 2013-14 REU Alm.del Bilag 364 Offentligt Retsudvalget 2013-14 REU Alm.del Bilag 364 Offentligt Folketinget Udvalgssekretariatet Christiansborg 1240 København K Sendt til: Birgitte.Toft-Petersen@ft.dk 29. august 2014 Vedrørende høring over beretning

Læs mere

Dokumentation af sikkerhed i forbindelse med databehandling

Dokumentation af sikkerhed i forbindelse med databehandling - Dokumentation af sikkerhed i forbindelse med databehandling Al databehandling, der er underlagt persondataloven, skal overholde de tekniske krav, der er opstillet i Datatilsynets bekendtgørelse 528 (sikkerhedsbekendtgørelsen).

Læs mere

DFF-EDB a.m.b.a CVR nr.:

DFF-EDB a.m.b.a CVR nr.: Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og implementering i forbindelse med hosting og drift af Citrix-platformen pr. 22. juni 2015 ISAE 3402, type I

Læs mere