Sikker. Inform. Informationssikkerhedspolitik og regler Version 2.0. Informationssikkerhed

Størrelse: px
Starte visningen fra side:

Download "Sikker. Inform. Informationssikkerhedspolitik og regler Version 2.0. Informationssikkerhed"

Transkript

1 Sikker Inform hed ations Informationssikkerhed Informationssikkerhedspolitik og regler Version 2.0 Dataklassifikation: Offentlig Aarhus Unversitet 2013 Aarhus Universitet 2013

2 Indholdsfortegnelse Rektors forord... 4 Informationssikkerheds-politik for Aarhus Universitet... 5 Indledning... 5 Formål... 5 Omfang... 5 Organisering af informationssikkerhedsarbejdet... 5 Sikkerhedsniveau... 6 Sikkerhedsbevidsthed... 6 Brud på informationssikkerheden... 7 Årshjul for informationssikkerhedsarbejdet... 7 Informationssikkerhedsregler for Aarhus Universitet... 9 Indledning Organisation og implementering Risikobevidsthed Informationssikkerhedspolitik Sikkerhedsimplementering Outsourcing Sikkerhed i tredjeparts adgang Identifikation, klassifikation og ansvar for aktiver Håndtering af informationer og aktiver Klassifikation af informationer og data Ejere af systemer og data Dataintegritet Identifikation og registering af aktiver Personalesikkerhed og brugeradfærd Ansættelses og fratrædelse Funktionsadskillelse Ledelsens ansvar Uddannelse Logning og overvågning Adfærdsregler Adfærdsregler for brug af adgangskode Adfærdsregler for brug af internet

3 3.6.3 Adfærdsregler for brug af Adfærdsregler for brug af trådløse netværk Adfærdsregler for databeskyttelse Adfærdsregler for brug af sociale netværkstjenester Adfærdsregler for overholdelse af licensregler Adfærdsregler for mobile enheder Adfærdsregler for brug af cloud tjenester Fysisk sikkerhed Tekniske sikringsforanstaltninger Beskyttelsesanlæg Sikre områder Udstyrssikkerhed Gæster It- og netværksdrift Daglig administration Håndtering af datamedier Operationelle procedurer og ansvarsområder Systemplanlægning Overvågning af systemer Styring af ændringer - Change Management Beskyttelse mod skadelige programmer Indholdsfiltrering Styring af netværk Trådløse netværk Forbindelser med andre netværk Overvågning af systemadgang og brug Mobile arbejdspladser og hjemmearbejdspladser Netværkstjenester med login Brug af kryptografi Adgangskontrol og metoder Adgangskontrol til operativsystemer Adgangskontrol for applikationer Logisk adgangskontrol Administration af adgangskontrol

4 6.5 Adgangskontrol til netværk Udvikling, anskaffelse og vedligeholdelse Sikkerhedskrav ved anskaffelser Sikkerhed i softwareudviklingsmiljø Integritet for programmer og data Styring af sikkerhedshændelser Opdagelse og rapportering af hændelser Reaktion på sikkerhedsmæssige hændelser Opfølgning på hændelser Beredskabsplanlægning og fortsat drift Beredskabsplaner Sikkerhedskopiering Lovgivning, kontrakter og etik Overholdelse af lovmæssige krav Ophavsret Identificerede love og regelsæt Kontrol, revision og afprøvning

5 Rektors forord Kære medarbejdere og studerende ved Aarhus Universitet. Aarhus Universitet er en vidensvirksomhed. En stadig større del af vores viden skabes, behandles og gemmes på IT-systemer. Derfor skal alle, der har deres virke på AU, såvel forskere, undervisere og teknisk/administrativt personale som studerende have den størst mulige fokus på informationssikkerhed. Informationssikkerhed betyder forskellige ting for forskellige mennesker. Denne håndbog prøver at komme rundt om alle væsentlige områder. Hvis du troede, at infomationssikkerhed bare er noget om vira og hackere, bør du studere politikken, reglerne og procedurerne nøje, der er langt flere aspekter. Det systematiske infomationssikkerhedsarbejde hviler på 3 hovedsøjler - tilgængelighed, integritet og fortrolighed. At tilgængeligheden skal sikres bedst muligt er vist indlysende for alle. Et universitet - på linie med snart sagt alle moderne virksomheder - er nærmest paralyseret hvis IT-systemerne er nede. Tilsvarende er hele Universitetets virke baseret på vores integritet - der må ikke kunne stilles spørgsmålstegn ved den, så vores IT-systemer skal altid være retvisende. Og endelig må vi, selvom vi er sat i verden til at formidle viden, ikke være blinde for at betydelige dele af vores data indeholder følsomme eller fortrolige oplysninger som skal beskyttes. Det gælder f.eks. forskningsdata med følsomme personoplysninger eller fortrolige informationer til rådgivning og myndighedsbetjening Så uanset hvad vores arbejde på Aarhus Universitet er - det være sig inden for forskning, uddannelse, overvågning, rådgivning, information eller administration - skal vi altid have øje for informationssikkerheden. Informationssikkerhedshåndbogen for Aarhus Universitet udstikker spillereglerne for informationssikkerheden. Den udgør en integreret del af de regler og forordninger alle skal kende og overholde som betingelse for at være ansat eller indskrevet ved Universitetet. Meget af det der står på disse sider er almindelig sund fornuft. Ting man godt ved i forvejen. Nu er det skrevet ned i en håndbog, som alle har pligt til at kende og efterleve. Med venlig hilsen Lauritz B. Holm-Nielsen Rektor 4

6 Informationssikkerheds-politik for Aarhus Universitet Indledning Denne informationssikkerhedspolitik er den overordnede ramme for informationssikkerheden hos Aarhus Universitet. Som et led i den overordnede sikkerhedsstyring tager ledelsen på grundlag af den løbende overvågning og rapportering informationssikkerhedspolitikken op til revurdering minimum en gang om året. Politikken omfatter Aarhus Universitets informationer, som er enhver information, der tilhører Aarhus Universitet herudover også informationer, som ikke tilhører Aarhus Universitet, men som Aarhus Universitet kan gøres ansvarlig for. Dette inkluderer fx alle data om personale, data om finansielle forhold, alle data, som bidrager til administrationen af Aarhus Universitet, samt informationer som er overladt Aarhus Universitet af andre, herunder forsøgs- og forskningsdata. Denne politik omfatter alle Aarhus Universitets informationer, ligegyldigt hvilken form de opbevares og formidles på. Formål Informationer og informationsaktiver er nødvendige og livsvigtige for Aarhus Universitet, og informationssikkerheden har derfor stor betydning for Aarhus Universitets troværdighed og funktionsdygtighed. Formålet med informationssikkerhedspolitikken er at definere en ramme for beskyttelse af Aarhus Universitets informationer og særligt at sikre, at kritiske og følsomme informationer og informationsaktiver bevarer deres fortrolighed, integritet og tilgængelighed. Derfor har Aarhus Universitets ledelse besluttet sig for et beskyttelsesniveau, der er afstemt efter risiko og væsentlighed samt overholder lovkrav og indgåede aftaler, herunder licensbetingelser. Ledelsen vil oplyse medarbejdere og studerende om ansvarlighed i relation til Aarhus Universitets informationer og informationsaktiver. Hensigten med informationssikkerhedspolitikken er endvidere at tilkendegive over for alle, som har en relation til Aarhus Universitet, at anvendelse af informationer og informationsaktiver er underkastet standarder og retningslinjer. På den måde kan sikkerhedsproblemer forebygges, eventuelle skader kan begrænses, og retablering af informationer kan sikres. Omfang Denne politik gælder for alle ansatte uden undtagelse, både fastansatte og personer, som midlertidigt arbejder for Aarhus Universitet. Alle disse personer bliver her betegnet som medarbejderne. Politikken gælder endvidere for studerende, der i forbindelse med deres studie anvender informationer og/eller informationsaktiver tilhørende Aarhus Universitet. Ved udlicitering af dele af eller hele IT-driften skal det sikre, at Aarhus Universitets sikkerhedsniveau fastholdes, således at serviceleverandøren, dennes faciliteter og de medarbejdere, som har adgang til Aarhus Universitets informationer, mindst lever op til Aarhus Universitets informationssikkerhedsniveau. Organisering af informationssikkerhedsarbejdet 5

7 Aarhus Universitet har organiseret sit informationssikkerhedsarbejde gennem en række informationssikkerhedsudvalg, jf. Figur 1. Figur 1 - Organisering af informationssikkerhedsarbejdet Det operationelle ansvar for den daglige styring af informationssikkerhedsindsatsen er placeret hos informationssikkerhedschefen. Denne sikrer i samarbejde med primært sikkerhedsudvalgene og sekundært vicedirektøren for it, at de aktiviteter, standarder, retningslinjer, kontroller og foranstaltninger, der er beskrevet i sikkerhedshåndbogen, gennemføres og efterleves. Ligeledes er det væsentligt, at informationssikkerhed integreres i alle forretningsgange, driftsopgaver og projekter. De lokale informationssikkerhedsudvalg er ansvarlige for gennemførelsen af det arbejde som ligger i årshjulet, der er beskrevet i afsnit 1.8 Sikkerhedsniveau Det er Aarhus Universitets politik at beskytte sine informationer og udelukkende tillade brug, adgang og offentliggørelse af informationer i overensstemmelse med Aarhus Universitets retningslinjer og under hensyntagen til den til enhver tid gældende lovgivning. Aarhus Universitet fastlægger på baggrund af en risikovurdering et sikkerhedsniveau som svarer til betydningen af de pågældende informationer. Der gennemføres mindst en gang årligt en risikovurdering, så ledelsen kan holde sig informeret om det aktuelle risikobillede. Der foretages ligeledes en risikovurdering ved større forandringer i organisationen, som har indflydelse på det samlede risikobillede. Sikkerhedsniveauet fastlægges i det enkelte tilfælde under hensyntagen til arbejdets gennemførelse og økonomiske ressourcer. Målsætningen om et højt sikkerhedsniveau afvejes med ønsket om en hensigtsmæssig og brugervenlig anvendelse af it, samt det forhold at Universitetet har en samfundsrolle som leverandør af frit tilgængelig information. Sikkerhedsbevidsthed Informationssikkerhed vedrører Aarhus Universitets samlede informationsflow, og 6

8 gennemførelse af en informationssikkerhedspolitik kan ikke foretages af ledelsen alene. Alle medarbejdere og studerende har et ansvar for at bidrage til at beskytte Aarhus Universitets informationer mod uautoriseret adgang, ændring og ødelæggelse samt tyveri. Alle medarbejdere og studerende skal derfor løbende have information om informationssikkerhed i relevant omfang. Ansatte og studerende har ligeledes et ansvar for at behandle de informationsaktiver, der stilles til rådighed på en hensigtsmæssig måde. Som brugere af Aarhus Universitets informationer skal alle medarbejdere og studerende følge informationssikkerhedspolitikken og de retningslinjer, der er afledt heraf. Medarbejderne og de studerende må kun anvende Aarhus Universitets informationer i overensstemmelse med det arbejde, de udfører for Aarhus Universitet, og skal beskytte informationerne på en måde, som er i overensstemmelse med informationernes klassifikation. Brud på informationssikkerheden Såfremt en medarbejder eller en studerende opdager trusler mod informationssikkerheden eller brud på denne, skal dette meddeles til informationssikkerhedsafdelingen. Overtrædelse af informationssikkerhedspolitikken, eller heraf afledte regler og retningslinier, indrapporteres til informationssikerhedsafdelingen, som i samarbejde med nærmeste leder og HR-afdelingen træffer afgørelse om eventuelle videre foranstaltninger. Det er lederens ansvar, at et eventuelt videre forløb sker i overensstemmelse med de almindelige fagretlige regler, herunder bl.a. at de relevante tillidsrepræsentanter inddrages. Hvis overtrædelsen er udført af en studerende, behandles sagen som enhver anden disciplinærsag. Hvis overtrædelsen har karakter af strafferetlig, erstatningsretlig eller anden strafbar overtrædelse, vil der blive foretaget politianmeldelse. Årshjul for informationssikkerhedsarbejdet Aarhus Universitet har opstillet et årshjul som beskriver arbejdet med informationssikkerheden. Dette årshjul ser ud som følger: 7

9 Årshjulet omfatter 5 aktiviteter: 1. System- og dataklassifikation 2. Risikovurderinger 3. Beredskabsplanlægning og test 4. Opfølgning, revision m.v. 5. Awareness Ansvaret for udførelsen af opgaverne ligger hos de lokale informationssikkerhedsudvalg på fakulteterne/administrationen. Informationssikkerhedsafdelingen kan facilitere processen, og stille relevante værktøjer til rådighed, men udførelsen ligger hos hovedområderne. Da det kræver et godt kendskab til de lokale forhold, anbefales det at arbejdet forankres på institutter og/eller forskningsgrupper m.v. Alle aktiviteter i hjulet gennemføres en gang årligt, startende med system- og dataklassifikationen. Awareness er en central del af arbejdet, som skal køre hele året. Denne del varetages af informationssikkerhedsafdelingen, i samarbejde med informationssikkerhedsudvalgene. 8

10 Informationssikkerhedsregler for Aarhus Universitet Indledning Baggrund for arbejdet med informationssikkerhed på AU Aarhus Universitet skal i lighed med andre statslige organisationer overholde standarden DS484:2005, som definerer en række krav til informationssikkerheden på universitetet. Kravet om overholdelse af DS484:2005 trådte i kraft d. 1. januar Fremadrettet bliver kravet, at man overholder ISO27001 standarden, og AU er derfor ved at skifte fokus fra DS484:2005 til de standarder, der findes i ISO27000 serien. Definition på Informationssikkerhed Informationssikkerhed defineres som de samlede foranstaltninger til at sikre fortrolighed, tilgængelighed og intregritet af universitetets informationer, aktiver og data. Ordforklaringer Bør: Ordet bør anvendes flere steder i denne håndbog. Generelt gælder det at bør = skal, medmindre der er givet dispensation herfor, eller omkostningerne ved gennemførelse overstiger gevinsten. Hvis man fraviger fra anbefalingen skal man således enten søge dispensation, eller godtgøre at det ikke kan betale sig. Arbejdsmæssig brug: Formuleringen "arbejdsmæssig brug", dækker, hvor intet andet er nævnt, også over studerendes studiemæssige brug. Det samme gælder for formuleringen "arbejdsrelateret brug". Outsoucing: Ordet outsourcing dækker over de tilfælde, hvor hele eller dele af itunderstøttelsen drives af et eksternt firma. Outsourcing dækker således også over Cloud Computing, hvor man køber sig til ydelser hos 3.mand, fx , webservere, regnekraft m.v. Mobile enheder: Mobile enheder anvendes som en samlet betegnelse for 9

11 mobiltelefoner, smartphones, tablets o.lign. Bærbare pc'er, netbooks, laptops o.lign. er er ikke dækket af ordet mobile enheder, men benævnes i stedet bærbare pc'er. Informationsaktiver: Informationsaktiver er alle de systemer m.v. som indeholder, genererer eller bearbejder informationer. Det gælder fx pc'er, servere, mobile enheder, bærbare pc'er, frysebokse, kølerum, serverrum o.s.v. 1. Organisation og implementering Placering af ansvar er nødvendigt for at sikre opmærksomhed på Universitetets informationsaktiver. Organisationsstrukturen på Universitetet og samarbejde med eksterne partnere er vigtig for at opretholde et tidssvarende sikkerhedsniveau. Kontrakter med partnere og andre aftaler er ligeledes et område, der har indflydelse på informationssikkerheden. 1.1 Risikobevidsthed Risikoanalyse Konsekvensvurdering Overordnet risikovurdering Aarhus Universitet klassificerer sine systemer i A, B og C systemer. For type A systemer skal der udarbejdes både en risikoanalyse og en beredskabsplan, for type B systemer skal der udarbejdes en risikoanalyse, mens type C systemer ikke kræver hverken beredskabsplaner eller risikoanalyser. Alle identificerede informationsaktiver skal i forbindelse med registreringen gennemgå en klassificering. Systemklassifikationen bestemmes ud fra dataklassifikationen og betydningsvurderingen af det enkelte aktiv. Konsekvenser af hændelser i mod informationsaktiver skal løbende vurderes. Der skal udføres en overordnet risikovurdering af trusselsbilledet for Universitetet. Den overordnede risikovurdering skal indeholde konsekvensvurdering og 10

12 sårbarhedsvurdering. Risikovurderingen skal opdateres ved alle væsentlige ændringer i risikobilledet, dog mindst en gang om året. Information om nye trusler, virus og sårbarheder Håndtering af sikkerhedsrisici AU IT skal etablere en proces for identifikation af nye sårbarheder. Der skal udpeges en ansvarlig person eller gruppe for dette. AU IT skal holde sig orienteret om sikkerheden inden for de benyttede operativsystemer, samt de anvendte systemer og applikationer på både klientog serversiden. AU IT skal gennem det centrale informationssikkerhedsudvalg informere relevante personer i ledelsen om nye trusler, som potentielt kan berøre de pågældende forretningsenheder med henblik på at tilpasse forretningsgange og tilvejebringe de fornødne ressourcer for at modvirke truslerne. Når risikovurderingerne afdækker sikkerhedsbehov, som ikke pt. honoreres af de tilgængelige sikringsmekanismer og procedurer skal informationssikkerhedschefen bringe emnet op i det centrale informationssikkerhedsudvalg. Såfremt der er tale om en væsentlig/kritisk risiko, kan informationssikkerhedsudvalget pålægge ejerne af det/de berørte aktiver, at identificere mulige løsningsmodeller, og om at opprioritere implementeringen. Ved ikke kritiske risici, skal løsningen indgå i den normale prioritering af opgaver og projekter på AU. 1.2 Informationssikkerhedspolitik Dispensation for krav i sikkerhedspolitikken Dispensation for efterlevelsen af sikkerhedspolitikkerne er kun muligt, hvis det er forretningsmæssigt velbegrundet, og de respektive system- og procesejere står inde for at det er forsvarligt. 11

13 Dispensation gives af det centrale informationssikkerhedsudvalg. En dispensation er altid skriftlig, og med en tidsbegrænset varighed - typisk 1 år. Det er brugerens ansvar at sikre sig en evt. forlængelse af dispensationen. Informationssikkerhedschefen vedligeholder en oversigt over de givne dispensationer. Den relevante systemog/eller procesejer er ansvarlig for enhver sikkerhedshændelse, der sker som en direkte konsekvens af dispensationen. Offentliggørelse af sikkerhedspolitik Godkendelse af sikkerhedspolitik Opfølgning på implementering af sikkerhedspolitikken Vedligeholdelse af sikkerhedspolitik Sikkerhedspolitikken skal offentliggøres og alle relevante interessenter, herunder alle medarbejdere og studerende, skal gøres opmærksomme på politikken. informationssikkerhedspolitikken skal ved ændringer godkendes af Universitetsledelsen efter indstilling fra det centrale informationssikkerhedsudvalg. Hver enkelt leder skal løbende sikre, at sikkerhedspolitikken bliver overholdt inden for eget ansvarsområde. Universitetets informationssikkerhedspolitik, regler, procedurer og deraf afledt dokumentation skal vedligeholdes af informationssikkerhedschefen, i samarbejde med relevante parter, herunder AU IT, informationssikkerhedsudvalgene, de studerende og universitetsledelsen. 1.3 Sikkerhedsimplementering Ledelsens rolle Koordination af Ledelsen skal støtte Universitetets informationssikkerhed ved at udlægge klare retningslinier, udvise synligt engagement samt sikre en præcis placering af ansvar. Ansvaret for koordination af sikkerheden 12

14 informationssikkerheden på tværs i organisationen varetages af informationssikkerhedschefen. 1.4 Outsourcing Outsourcingpartnere Sikkerhed ved outsourcing Overvågning af serviceleverandøren Sikkerhedsniveauet hos alle outsourcingpartnere skal være acceptabelt. Alle outsourcingpartnere skal af hensyn til AUs it-arkitektur og driftshensyn godkendes af Vicedirektøren for IT og informationssikkerhedschefen. Ved outsourcing af områder, der omhandler persondata, skal man være opmærksomme på kravene i persondataloven og retningslinjerne som udstikkes af datatilsynet. AUs sikkerhed må samlet set ikke ikke forringes af outsourcing. Ved outsourcing af IT-systemer skal der inden indgåelse af kontrakt indhentes information om sikkerhedsniveau fra outsourcingpartner, herunder dennes sikkerhedspolitik. Den aftale ansvarlige skal regelmæssigt overvåge serviceleverandøren. Det kan ske via rapportering og statusmøder, men ved større aftaler bør man forbeholde sig ret til at lave inspektion og revision af leverandøren. Ved outsourcing bør der stilles krav om en revisionserklæring, eller certificering efter DS484, ISO27001 e.lign. 1.5 Sikkerhed i tredjeparts adgang Samarbejdsaftaler Aftaler om informationsudveksling Der må ikke gives adgang mellem Universitetets og eksterne parters informationsaktiver, før der er indgået en samarbejdsaftale, der som minimum skal indeholde en fortrolighedserklæring. Ved udveksling af følsomme eller fortrolige informationer og data imellem AU og evt. 13

15 tredje part skal der foreligge en skriftlig aftale herom. Lovgivningen stiller desuden krav om en databehandler aftale, såfremt der er tale om behandling for personfølsomme oplysninger. Indhold af fortrolighedserklæringerne Sikkerhed ved samarbejde med partnere Information til eksterne partnere Fortrolighedserklæring for studerende Definition af de informationer, der er omfattet. En fastlagt løbetid. Beskrivelse af hvad der skal ske, når aftalen udløber. Underskriverens ansvar for at undgå brud på den aftalte fortrolighed. Information om omfattede ophavsrettigheder. Beskrivelse af hvordan informationerne må anvendes, for eksempel hvilke brugsrettigheder til informationerne underskriveren får. Universitetets ret til overvågning af og opfølgning på overholdelse af fortrolighedspligten. Procedure for advisering og rapportering af brud på fortroligheden. Betingelser for returnering eller destruktion af informationsaktiver ved aftalens ophør. Sanktioner ved brud på fortrolighedspligten. Ved integration af AUs systemer og processer med tredjepart skal systemejeren sikre, at sikkerhedsrisici vurderes og dokumenteres. Det skal sikres, at tredjepart gøres opmærksom på det forventede sikkerhedsniveau, herunder adgang til beskrevne politikker. Det skal sikres, at studerende, der tildeles adgang til Universitetets følsomme og/eller fortrolige data, afgiver en 14

16 fortrolighedserklæring. 2. Identifikation, klassifikation og ansvar for aktiver Informationsaktiver skal beskyttes, uanset om det er fysiske aktiver som dokumenter, der er udskrevet, produktionsudstyr eller it-systemer. Det er derfor nødvendigt at identificere, klassificere og placere ejerskab for alle aktiver. 2.1 Håndtering af informationer og aktiver Accepteret brug af informationsaktiver Opbevaring af følsomme eller fortrolige informationer på privat udstyr Brug af bærbare medier til følsomme og fortrolige data Systemejere skal lave retningslinier for accepteret brug af AUs informationsaktiver. Personligt ejet IT-udstyr som pc, tablet, bærbare harddiske, memorysticks, CDeller DVD-brændere må ikke anvendes til opbevaring af følsomme eller fortrolige data. Følsomme og fortrolige informationer skal krypteres, når de opbevares eller transporteres på bærbare medier, fx USBnøgler, tablets, mobiltelefoner, CD'er eller DVD'er. 2.2 Klassifikation af informationer og data Kontrol med klassificerede informationer Det centrale informationssikkerhedsudvalg er ansvarlig for at definere et fast sæt af egnede og relevante sikkerhedskontroller til beskyttelse af de enkelte informationskategorier. Vicedirektøren for IT skal sikre, at de nødvendige forholdsregler, procedurer og kontroller implementeres i IT-afdelingen. Den lokale ledelse, skal sikre, at de nødvendige forholdsregler, procedurer og kontroller implementeres på hovedområderne. Ansvar for dataklassifikation Det er ejeren, som har ansvaret for at dataklassificere det enkelte aktiv og tilse, at det sikres på behørig vis i overensstemmelse med klassifikationen. 15

17 Klassifikation af data og andre informationer AUs data og informationer, i det følgende "data", skal klassificeres efter følgende skala: Offentlige data: Defineret som data, som alle, der udtrykker et ønske om det, har eller kan få adgang til. Det kan fx være data på offentlige hjemmesider, uddannelsesbrochurer m.v. Disse data kræver som udgangspunkt ikke nogen særlig beskyttelse, dog skal man sikre, at kun godkendte personer kan redigere i disse data. Interne data: Defineret som data, der kun må anvendes og kommunikeres internt, og som i den daglige drift er nødvendige for de brugere, der skal anvende dem. Det kan fx dreje sig om mødereferater, blanketter, fakturaer mv. Interne data kræver en vis grad af beskyttelse. Som minimum skal man sikre, at kun godkendte personer har adgang til både at læse og ændre data. Fortrolige data: Defineret som de data, som kun særligt betroede brugere kan få adgang til for at kunne udøve deres arbejdsfunktioner, og hvor et brud på fortroligheden kan være skadelig for AU eller vores samarbejdspartnere. Det kan fx dreje sig om ansøgninger, kontrakter, regnskabsdata mv. Fortrolige data kræver en høj grad af beskyttelse. Adgangen skal begrænses til godkendte personer, og anvendelse af kryptering bør overvejes, specielt ved overførsel til eksterne medier eller tjenester. Fortrolige data data må aldrig opbevares eller behandles på privat udstyr. Følsomme data: Defineret som data, der er omfattet af Lov om behandling af personoplysninger. Følsomme data kræver ekstra høj grad af beskyttelse. Adgangen skal begrænses til så få godkendte personer som muligt, og kryptering skal overvejes. Følsomme data må aldrig opbevares eller behandles på privat udstyr, og hvis data flyttes til eksterne 16

18 medier, skal der anvendes kryptering. Vær også opmærksom på, at der kan være behov for indgåelse af databehandler aftaler og anmeldelse til datatilsynet. Se mere på datatilsynets hjemmeside. Relaterede Procedurer Klassifikation af data Ansvar for betydningsvurderingen Informationsaktiver skal betydningsvurderes Det er ejeren, som har ansvaret for at betydningsvurdere det enkelte informationsaktiv og tilse, at det sikres på behørig vis i overensstemmelse med dets betydning for AU. Informationsaktiver skal betydningsvurderes i henhold til den på AU gældende standard. Et aktiv skal altid vurderes som den højeste af værdi af de relevante kategorier. Relaterede Procedurer Betydningsvurdering af informationsaktiver 2.3 Ejere af systemer og data Juridisk ejerskab Det juridiske ejerskab til data på AUs computere (servere, stationære PCer, Bærbare PCer etc.) tilfalder som udgangspunkt Universitetet. Det gælder dog ikke i følgende tilfælde: - Der er lavet en skriftlig aftale - Det følger af gældende lovgivning, fx regler om ophavsret m.v. - Der er tale om private data, fx private digitale billeder - Der er tale om forskningsdata, som 3.mand stiller til rådighed for AU. Indholdet af studerendes netværksdrev anses som udgangspunkt for at være privat ejendom, medmindre den studerende har et ansættelsesforhold ved AU. Netværksdrev må kun anvendes til studiemæssig brug, og AU forbeholder sig 17

19 retten til at overvåge brugen, og analysere på indholdet med henblik på at hindre misbrug. Retten til at disponere over udstyr Udpegelse af administrativ ejer Persondata-ansvarlig Ansvar for adgangsrettigheder Administration af Internetdomænenavne Uanset om data ejes af AU, en medarbejder, eller 3. mand, kan AU frit disponere over eget udstyr. Dette betyder at AU må slette indholdet af en computer, et netværksdrev, en memorystick o.s.v hvis en medarbejder har forladt universitetet, uden at konsultere medarbejderen først. Tilsvarende må AU nulstille mobiltelefoner og tablets. AU kan ikke gøres ansvarlig for evt. tab som følge af ovenstående. Alle informationsaktiver skal have udpeget en administrativ ejer. Ejerskab defineres hos AU som en jobfunktion, som kan pålægges den enkelte medarbejder. Ejerskab i AU er hierakisk nedarvet fra Rektor gennem enten Dekanerne og Institut-/centerlederne, eller Universitetsdirektøren og Vicedirektørerne til de enkelte medarbejdere. Ved fratræden eller andet fravær tilbagegår ejerskabet altid til den foregående person i kæden, indtil en ny ejer er udpeget. Systemejeren til aktiver som indeholder data, der er omfattet af persondataloven, er persondata-ansvarlig. Aktivets ejer har ansvaret for at fastlægge og løbende revurdere adgangsrettigheder. Tildeling af adgang skal ske i overensstemmelse med gældende regler om fx password o.lign. Der skal forefindes en liste over AUs registrerede domænenavne, status for brug, betalingsoplysninger og dato for fornyelse. Ansvaret for registrering af de primære 18

20 domænenavne ligger hos AU IT. Ansvaret for projektorienterede domænenavne kan ligge decentralt, men domænerne skal være centralt kendt. Ansvarlige for data på mobile enheder På mobile enheder med en primær ejer er pågældende ansvarlig for data. På mobile enheder uden en primær ejer er seneste bruger ansvarlig for at data fjernes fra enheden efter brug. Brugere af Universitetets mobile enheder er ansvarlige for at beskytte de data, der behandles på disse, samt enhederne selv. 2.4 Dataintegritet Opbevaring og behandling af data Data skal altid opbevares og behandles således, at dataintegriteten bevares. Der kan være lovkrav e.lign. som stiller særlige krav til dokumentation af informationer/datas integritet. 2.5 Identifikation og registering af aktiver Identifikation af informationsaktiver Alle Universitetets informationsaktiver skal identificeres og klassificeres. Se afsnit Personalesikkerhed og brugeradfærd Informationssikkerheden i virksomheden afhænger i høj grad af medarbejderne. Det er nødvendigt at sikre virksomheden gennem ansættelse af de rigtige medarbejdere, uddanne medarbejdere i jobfunktioner og sikkerhed - samt sætte regler for, hvordan man skal agere i forhold til sikkerhedshændelser og -risici. 3.1 Ansættelses og fratrædelse Baggrundscheck af ansatte HR afdelingen skal i samarbejde med Vicedirektøren for IT tilse, at der sker forsvarligt baggrundscheck af ITmedarbejdere. HR afdelingen skal, i samarbejde med den ansættende enhed, tilse, at der sker forsvarligt baggrundscheck af medarbejdere i særligt betroede stillinger, herunder lederstillinger. 19

Politik

Politik <dato> <J.nr.> Side 1 af 5 Politik Informationssikkerhedspolitik for 1. Indledning Denne informationssikkerhedspolitik er den overordnede ramme for informationssikkerheden hos .

Læs mere

Informationssikkerhedshåndbog

Informationssikkerhedshåndbog Aarhus Universitet Informationssikkerhedshåndbog Regler 1.0.4 13-10-2011 Indholdsfortegnelse Politik 2 Rektors forord 2 Informationssikkerhedspolitik - Aarhus Universitet 3 Regler 8 Indledning 8 1. Organisation

Læs mere

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09 Aabenraa Kommune Informationspolitik : 2014-04-09 Aabenraa Kommune 29. august 2012 Informationspolitik Overordnet Informationssikkerhedspolitik for Aabenraa Kommune Velkommen til Aabenraa Komune s overordnede

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

Instrukser for brug af it

Instrukser for brug af it it sikkerhed Instrukser for brug af it Må Skal ikke Kan Januar 2010 Version 1.0 Indhold Forord................................................... 3 Resumé.................................................

Læs mere

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484 DS 484:2005 Standard for informationssikkerhed -Korte uddrag fra DS484 Informationssikkerhedsstrategi Ledelsen skal godkende en skriftlig informationssikkerhedspolitik, som skal offentliggøres og kommunikeres

Læs mere

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2 Status for ændringer Version Dato Navn Bemærkning 1.0 24-04-2007 Vedtaget i Regionsrådet 1.1 13-02-2012 IMT-Informationssikkerhed Tilpasning af terminologi 1.2 15-10-2012 IMT-Informationssikkerhed Rettelse

Læs mere

Bilag 5 Aarhus Kommune. Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0. Opbevaring/sletning af informationer

Bilag 5 Aarhus Kommune. Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0. Opbevaring/sletning af informationer Bilag 5 Aarhus Kommune Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0 Opbevaring/sletning af informationer 11-04-2011 1 Regler 7 Styring af informationsrelaterede

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

Assens Kommune Sikkerhedspolitik for it, data og information

Assens Kommune Sikkerhedspolitik for it, data og information Assens Kommune Sikkerhedspolitik for it, data og information Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Holdninger og principper... 4 4. Omfang... 4 5. Sikkerhedsbevidsthed,

Læs mere

Informationssikkerhedspolitik for Region Midtjylland

Informationssikkerhedspolitik for Region Midtjylland Regionshuset Viborg Regionssekretariatet Skottenborg 26 Postboks 21 DK-8800 Viborg Tel. +45 8728 5000 kontakt@rm.dk www.rm.dk Informationssikkerhedspolitik for Region Midtjylland 1. Indledning Denne informationssikkerhedspolitik

Læs mere

Kære medarbejder og leder

Kære medarbejder og leder Kære medarbejder og leder Adgang til informationer i it-systemer og elektronisk kommunikation er for de fleste medarbejdere i Region Hovedstaden en selvfølgelig del af arbejdsdagen. Hvis vi ikke har adgang

Læs mere

IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR

IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR 1 HUSK n Adgangskoder må ikke videregives til andre. n Andre må ikke anvende din personlige bruger-id. n Ved mistanke om, at andre har fået kendskab

Læs mere

BILAG 5 DATABEHANDLERAFTALE

BILAG 5 DATABEHANDLERAFTALE BILAG 5 DATABEHANDLERAFTALE INDHOLDSFORTEGNELSE 1. Formål og omfang... 5 2. Databehandlers opgave... 5 3. Instruks... 5 4. Brug af ekstern Databehandler eller underleverandør... 5 5. Behandling i udlandet...

Læs mere

IT-sikkerhedspolitik for

IT-sikkerhedspolitik for Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs

Læs mere

Informationssikkerhed regler og råd

Informationssikkerhed regler og råd Informationssikkerhed regler og råd TAP-området Kære kollegaer Formålet med denne folder er at oplyse dig om RMCs regler og råd inden for informationssikkerhed. Folderen skal være med til at sikre, at

Læs mere

It-sikkerhed i Dansk Supermarked

It-sikkerhed i Dansk Supermarked It-sikkerhed i Dansk en kort introduktion It-sikkerhed i Dansk 1 Velkommen som it-bruger i Dansk Kære medarbejder Brug af it er for mange i Dansk en naturlig del af arbejdsdagen. Hvis vi skal sikre vores

Læs mere

Almindelig sund fornuft med IT Gode råd og regler om IT sikkerhed

Almindelig sund fornuft med IT Gode råd og regler om IT sikkerhed Almindelig sund fornuft med IT Gode råd og regler om IT sikkerhed Langeland Kommune Sikkerhed i Langeland Kommune Sikkerhed er noget vi alle skal tænke over. Vi behandler følsomme informationer om vores

Læs mere

INFORMATIONS- SIKKERHEDS- POLITIK

INFORMATIONS- SIKKERHEDS- POLITIK INFORMATIONS- SIKKERHEDS- POLITIK GLOSTRUP KOMMUNE 14. NOVEMBER 2012 Politik Nærværende informationssikkerhedspolitik er en generel administrativ opdatering af version 1.0 især på baggrund af organisationsændringen

Læs mere

Guide til sikker it. Daglig brug Programmer E-mail Internet Databehandling

Guide til sikker it. Daglig brug Programmer E-mail Internet Databehandling Guide til sikker it Daglig brug Programmer E-mail Internet Databehandling Hvilke retningslinjer skal du følge som it-bruger i Hillerød Kommune? Indhold Daglig brug af din computer 4 Computere, programmer

Læs mere

Instrukser for brug af dataudstyr ved OUH

Instrukser for brug af dataudstyr ved OUH Skal Kan Må ikke Instrukser for brug af dataudstyr ved OUH Afdelingen for Driftsoptimering og IT Vi er til for borgerne, og bruger dataudstyr for at sikre effektivitet og kvalitet. Vi skal have en høj

Læs mere

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet "informationer"? 2

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet informationer? 2 Indhold 1 Informationssikkerhedspolitik 2 1.1 Hvorfor vil vi sikre vores informationer? 2 1.2 Hvad dækker begrebet "informationer"? 2 2 Principper 4 2.1 Styret af KU's strategiske behov 4 2.2 Implementering

Læs mere

Informationssikkerhedspolitik

Informationssikkerhedspolitik Folder om Informationssikkerhedspolitik ansatte og byrådsmedlemmer 25-11-2013 Indledning Faxe Kommune har en overordnet Informationssikkerhedspolitik. Denne folder er et uddrag, der kort fortæller hvad

Læs mere

Instrukser for brug af it

Instrukser for brug af it it IT-Afdelingen sikkerhed Instrukser i brug af IT Instrukser for brug af it Må Skal ikke Kan Januar 2010 Version 1.0 Indhold Indhold Forord.............................. 3...................... 3 Resumé

Læs mere

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.: Databehandleraftale vedrørende brug af WinPLC og relaterede services Version 1.0 d. 1. november 2015 Parterne Kundenr.: Klinikkens navn og adresse (evt. stempel) (herefter den Dataansvarlige) og (herefter

Læs mere

Informationssikkerhedspolitik. Frederiksberg Kommune

Informationssikkerhedspolitik. Frederiksberg Kommune Informationssikkerhedspolitik Frederiksberg Kommune Indledning Informationssikkerhedspolitikken er den overordnede ramme for beskyttelse af information i Frederiksberg Kommune. Kommunen behandler oplysninger

Læs mere

KÆRE MEDARBEJDER OG LEDER

KÆRE MEDARBEJDER OG LEDER Region Hovedstaden 1 KÆRE MEDARBEJDER OG LEDER Adgang til informationer i it-systemer og elektronisk kommunikation er for de fleste medarbejdere i Region Hovedstaden en selvfølgelig del af arbejdsdagen.

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

Region Hovedstadens Ramme for Informationssikkerhed

Region Hovedstadens Ramme for Informationssikkerhed Region Hovedstadens Ramme for Informationssikkerhed Indhold Region Hovedstadens ramme for Informationssikkerhed... 3 1 Formål... 3 2 Gyldighedsområde/omfang... 4 3 Målsætninger... 4 4 Informationssikkerhedsniveau...

Læs mere

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD INDHOLD INDHOLD... 1 1. Baggrund... 2 2. Definitioner... 2 3. Behandling af personoplysninger... 3 4. Behandlinger uden instruks... 3 5. Sikkerhedsforanstaltninger... 3 6. Underdatabehandling... 4 7. Overførsel

Læs mere

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser INDHOLDSFORTEGNELSE 1. Baggrund og formål... 2 2. Ansvarsfordeling... 2 2.1 Jobcenterchefens ansvar... 2 2.2 Gensidig informationspligt... 3 3. Krav til

Læs mere

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring KOMBIT har som indkøbscentral på vegne af landets kommuner indgået aftale med [leverandørnavn] (herefter Leverandøren ) om udvikling, drift,

Læs mere

Informationssikkerhedspolitik for

Informationssikkerhedspolitik for <organisation> 1 Informationssikkerhedspolitik for 1. Formål informationssikkerhedspolitik beskriver vigtigheden af arbejdet med informationssikkerhed i og fastlægger

Læs mere

Overordnet it-sikkerhedspolitik for Rødovre Kommune

Overordnet it-sikkerhedspolitik for Rødovre Kommune Overordnet it-sikkerhedspolitik for Rødovre Kommune Denne politik er godkendt af kommunalbestyrelsen januar 2016. Og træder i kraft januar 2016. Ved udskrivning af politikken skal du være opmærksom på,

Læs mere

Tænk når du taster. kom nærmere

Tænk når du taster. kom nærmere Tænk når du taster kom nærmere Regler for medarbejdernes brug af TDC s pc-arbejdspladser Nedenfor kan du læse om de regler, TDC s Direktion har vedtaget for brugen af koncernens*) pc-arbejdspladser Reglerne

Læs mere

INFORMATIONSSIKKERHEDSPOLITIK. Informationssikkerhedspolitik

INFORMATIONSSIKKERHEDSPOLITIK. Informationssikkerhedspolitik Informationssikkerhedspolitik Er informationssikkerhed aktuel? Hvorfor arbejder vi med informationssikkerhedspolitik? EU direktiv 95/46/EF Persondataloven Sikkerhedsbekendtgørelsen Datatilsynet Hvorfor

Læs mere

Skabelon: Regler for medarbejderes brug af it

Skabelon: Regler for medarbejderes brug af it Notat Skabelon: Regler for medarbejderes brug af it I dag er det en naturlig ting, at medarbejderen i en virksomhed har en pc til sin rådighed til at udføre sit arbejde. Pc en har typisk adgang til internettet

Læs mere

Politik for It-brugeradfærd For Aalborg Kommune

Politik for It-brugeradfærd For Aalborg Kommune Click here to enter text. Politi k for It- bruger adfærd 2011 «ed ocaddressci vilcode» Politik for It-brugeradfærd For Aalborg Kommune Kolofon: It-sikkerhedsgruppen / IT- og Personalekontoret Godkendt

Læs mere

Konference 27. januar 2011 Personale og IT-sikkerhed. /ved chefkonsulent, cand. jur. Helle Groth Christensen KL s Juridiske Kontor

Konference 27. januar 2011 Personale og IT-sikkerhed. /ved chefkonsulent, cand. jur. Helle Groth Christensen KL s Juridiske Kontor Konference 27. januar 2011 Personale og IT-sikkerhed /ved chefkonsulent, cand. jur. Helle Groth Christensen KL s Juridiske Kontor Hvordan sikrer I, at medarbejderne iagttager og overholder IT-sikkerheden?

Læs mere

Studér denne folder for vores sikkerheds skyld

Studér denne folder for vores sikkerheds skyld Studér denne folder for vores sikkerheds skyld Pas på vores værdifulde viden Vi fremskaffer og formidler viden. Elektronisk, skriftligt og mundtligt. Det er Københavns Universitets væsentligste aktivitet

Læs mere

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.

Læs mere

Rammeaftalebilag 5 - Databehandleraftale

Rammeaftalebilag 5 - Databehandleraftale Rammeaftalebilag 5 - Databehandleraftale Denne databehandleraftale (Aftale) er indgået mellem Norddjurs Kommune Torvet 3 8500 Grenaa (Kommunen) Dataansvarlig og Leverandør Adresse Postnummer CVR nr.: (Leverandøren)

Læs mere

BILAG 14: DATABEHANDLERAFTALE

BILAG 14: DATABEHANDLERAFTALE BILAG 14: DATABEHANDLERAFTALE Side 1/9 Aftale om databehandling mellem Kunden og Leverandøren Side 2/9 Vejledning: [Dette bilag kan ikke ændres af tilbudsgiver. Bilaget udgør således i sin helhed et mindstekrav

Læs mere

Privatlivspolitik for studerende

Privatlivspolitik for studerende UNIVERSITY COLLEGE LILLEBÆLT Privatlivspolitik for studerende Retningslinjer for registrering, håndtering og anvendelse af data om studerende hos UCL Vedtaget på HSU den 16. november 2015 Indhold 1. Formål...

Læs mere

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet Sammenfatning Denne vejledning adresserer risikoen for industrispionage fra statssponserede aktører i udlandet mod

Læs mere

IT-regler gældende for Danmarks Medie- og Journalisthøjskole

IT-regler gældende for Danmarks Medie- og Journalisthøjskole IT-regler gældende for Danmarks Medie- og Journalisthøjskole Retningslinjer for studerende og medarbejdere ved Danmarks Medie- og Journalisthøjskole vedrørende brugen af organisationens IT-ressourcer 1

Læs mere

AFTALE OM BEHANDLING AF PERSONOPLYSNINGER. Mellem. [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren )

AFTALE OM BEHANDLING AF PERSONOPLYSNINGER. Mellem. [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren ) AFTALE OM BEHANDLING AF PERSONOPLYSNINGER Mellem [X] [Adresse] [Postnr. + By] CVR. nr.: [xxxxxxxx] (herefter Leverandøren ) og Midttrafik Søren Nymarks Vej 3 8270 Højbjerg CVR-nr.: 29943176 (herefter Midttrafik

Læs mere

IT-retningslinier og sikkerhedspolitik for Viborg Kommunes Skole IT. - gældende for undervisere

IT-retningslinier og sikkerhedspolitik for Viborg Kommunes Skole IT. - gældende for undervisere IT-retningslinier og sikkerhedspolitik for Viborg Kommunes Skole IT - gældende for undervisere August 2009 IT retningslinier og sikkerhedspolitik for Viborg kommunes Skole IT - gældende for undervisere

Læs mere

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven).

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven). Bilag 6 Databehandleraftale og databehandlerinstruks 1. Leverandøren overholder de til enhver tid gældende regler og forskrifter for behandling af personoplysninger under Kontrakten, herunder: lov nr.

Læs mere

Hvilke retningslinjer skal du følge som bruger i Norddjurs Kommune?

Hvilke retningslinjer skal du følge som bruger i Norddjurs Kommune? Hvilke retningslinjer skal du følge som bruger i Norddjurs Kommune? Som bruger i Norddjurs Kommune er du ansvarlig for det, du foretager dig på din computer og for de oplysninger, som du gemmer. Det betyder,

Læs mere

Dragør Kommune. Operationelle bilag til IT-sikkerhedspolitikken. Bilag 7. Retningslinjer for IT-medarbejdere

Dragør Kommune. Operationelle bilag til IT-sikkerhedspolitikken. Bilag 7. Retningslinjer for IT-medarbejdere Dragør Kommune Operationelle bilag til IT-sikkerhedspolitikken IT-sikkerhedspolitik Side 2 Retningslinjer for IT-medarbejdere Samtlige medarbejdere beskæftiget med driften af kommunens IT-installation,

Læs mere

UNIVERSITY COLLEGE LILLEBÆLT. IT-Politik. Retningslinier for brug af ITfaciliteter

UNIVERSITY COLLEGE LILLEBÆLT. IT-Politik. Retningslinier for brug af ITfaciliteter UNIVERSITY COLLEGE LILLEBÆLT IT-Politik Retningslinier for brug af ITfaciliteter hos UCL Godkendt november 2015 Indhold 1) Indledning...3 2) Formål med IT-politikken...3 3) Gyldighedsområde...3 4) Gode

Læs mere

Databehandleraftale. Der er indgået denne Databehandlingsaftale ("Aftale") mellem

Databehandleraftale. Der er indgået denne Databehandlingsaftale (Aftale) mellem Oktober 2014 Sagsnr. 013928-0190 cen/dla Databehandleraftale Der er indgået denne Databehandlingsaftale ("Aftale") mellem Fredericia Kommune Gothersgade 20 7000 Frdericia CVR-nr.: 69116418 ("Kommunen")

Læs mere

Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. (Herefter benævnt Dataansvarlig)

Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. (Herefter benævnt Dataansvarlig) Databehandleraftale Mellem Egedal Kommune Dronning Dagmars Vej 200 3650 Ølstykke (Herefter benævnt Dataansvarlig) Og (Herefter benævnt Databehandler) side 1 af 5 Generelt Databehandleren indestår for at

Læs mere

KOMBIT sikkerhedspolitik

KOMBIT sikkerhedspolitik KOMBIT sikkerhedspolitik Indholdsfortegnelse INDLEDNING 3 DEL 1: ORGANISERING, ROLLER OG ANSVAR 4 DEL 2: POLITIK FOR INFORMATIONSSIKKERHED 5 DEL 3: RETNINGSLINJER OG KONTROLMÅL TIL LEVERANDØREN 6 5. INFORMATIONSSIKKERHEDSPOLITIKKER

Læs mere

Retningslinjer om brugeransvar

Retningslinjer om brugeransvar Retningslinjer om brugeransvar April 2015 Movia Design/Mette Malling 04.15. Fotos: Movia Indhold Pas på vores Movia 5 Movias målsætninger 6 Hvem har ansvaret? 8 Fortrolighed 9 Movias omdømme 11 Pas på

Læs mere

IT-sikkerhedsbestemmelser for anvendelse af e-post

IT-sikkerhedsbestemmelser for anvendelse af e-post Bilag 8 IT-sikkerhedsbestemmelser for anvendelse af e-post Formålet med sikkerhedsbestemmelserne er at beskrive, hvordan medarbejdere i Randers Kommune, som anvender e-post via kommunens udstyr og e-postadresser,

Læs mere

Informationssikkerhedspolitik for Vejen Kommune

Informationssikkerhedspolitik for Vejen Kommune Informationssikkerhedspolitik for Vejen Kommune Denne politik er godkendt af byrådet d. xx. Og træder i kraft d. xx. Seneste version er tilgængelig på intranettet. Indledning Vejen Byråd fastlægger med

Læs mere

Sikkerhedspolitik. Informationssikkerhedspolitik for DIFO og DK Hostmaster. DK Hostmaster. Godkendt Version / ID 11.1.

Sikkerhedspolitik. Informationssikkerhedspolitik for DIFO og DK Hostmaster. DK Hostmaster. Godkendt Version / ID 11.1. Sikkerhedspolitik Informationssikkerhedspolitik for DIFO og DK Hostmaster Gruppe Sikkerhedspolitik Godkendt af Jakob Bring Truelsen Godkendt 05.07.2016 Ansvarlig Erwin Lansing Version / ID 11.1.0 / 00002

Læs mere

Syddansk Universitet. Dataklassificering på. Version 1.8 Sidst revideret d. 29. november 2007 Side 1 af 13

Syddansk Universitet. Dataklassificering på. Version 1.8 Sidst revideret d. 29. november 2007 Side 1 af 13 Dataklassificering på Version 1.8 Sidst revideret d. 29. november 2007 Side 1 af 13 Indeks Indeks... 2 Introduktion... 3 Formål... 3 Interessenter... 3 Dokument struktur... 3 Revision af dokumentet...

Læs mere

IT-SIKKERHEDSPOLITIK UDKAST

IT-SIKKERHEDSPOLITIK UDKAST IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens

Læs mere

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014 Aarhus Kommune IT-sikkerhedspolitik Politik 25-04-2014 Indholdsfortegnelse Politik 1 Indledning 1 Formål 1 Politikkens omfang 2 Ledelsesansvar 2 IT-sikkerhedsorganisationen 2 IT-sikkerhedsniveau 3 IT-sikkerhedshåndbogen

Læs mere

It-revision af Sundhedsdatanettet 2015 15. januar 2016

It-revision af Sundhedsdatanettet 2015 15. januar 2016 MedCom Forskerparken 10 5230 Odense M Landgreven 4 1301 København K Tlf. 33 92 84 00 rr@rigsrevisionen.dk www.rigsrevisionen.dk It-revision af Sundhedsdatanettet 2015 15. januar 2016 1. Rigsrevisionen

Læs mere

En introduktion til. IT-sikkerhed 16-12-2015

En introduktion til. IT-sikkerhed 16-12-2015 En introduktion til 16-12-2015 1 En rettesnor for din brug af IT I Dansk Supermarked Group forventer vi, at du er orienteret om, hvordan du skal bruge IT, når du er ansat hos os. I denne guide kan du læse

Læs mere

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser www.pwc.dk EG Cloud & Hosting Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser Januar 2016 Indhold 1. Ledelsens udtalelse...

Læs mere

Hvordan styrer vi leverandørerne?

Hvordan styrer vi leverandørerne? Hvordan styrer vi leverandørerne? DI Digital 26. September 2016 DKCERT www.cert.dk Henrik Larsen Email: henrik.larsen@cert.dk Agenda Hvem er jeg? DKCERT Hvem er vi og hvad gør vi? Hvordan styrer universitetssektoren

Læs mere

Vejledning til håndtering af fund af børnepornografisk materiale på arbejdspladsen

Vejledning til håndtering af fund af børnepornografisk materiale på arbejdspladsen Vejledning til håndtering af fund af børnepornografisk materiale på arbejdspladsen 1/10 Udgivet af: Red Barnet og DI Digital Redaktion: Kuno Sørensen og Henning Mortensen ISBN: 978-87-7353-938-5 3. opdaterede

Læs mere

Sikkerhed i cloud computing

Sikkerhed i cloud computing Sikkerhed i cloud computing Databeskyttelsesdagen 2012 Morten Jørsum Center for Digitalisering Digitaliseringsstyrelsen mjrsm@digst.dk Hvad er cloud computing It som en service: Leveres og betales efter

Læs mere

Forsvarsministeriets Materiel- og Indkøbsstyrelse

Forsvarsministeriets Materiel- og Indkøbsstyrelse Bilag 8 Databehandleraftale [Vejledning til Tilbudsgiverne: Bilaget skal ikke udfyldes af Tilbudsgiver i forbindelse med afgivelse af tilbud. Bilag udfyldes i fællesskab med FMI, hvis det er nødvendigt.

Læs mere

Personalehåndbog. Personalehåndbogens målsætning. 1. Vores historie. 2. Mission 3. Vision 4. Værdigrundlag 5. Organisationen.

Personalehåndbog. Personalehåndbogens målsætning. 1. Vores historie. 2. Mission 3. Vision 4. Værdigrundlag 5. Organisationen. Personalehåndbog Personalehåndbogens målsætning Strategi og mål m.m. 1. Vores historie. 2. Mission 3. Vision 4. Værdigrundlag 5. Organisationen Bestyrelse 1 Organisationsdiagram 6. Vores målsætning Politikker

Læs mere

SIKKERHEDSREGLER. 5. Informationssikkerhedspolitikker

SIKKERHEDSREGLER. 5. Informationssikkerhedspolitikker SIKKERHEDSREGLER. 5. Informationssikkerhedspolitikker 5. 1. Retningslinjer for styring af informationssikkerhed 5. 1. 1. Politikker for informationssikkerhed Informationssikkerhed defineres som de samlede

Læs mere

Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6

Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6 Indholdsfortegnelse Generelt 3 Formål 3 Omfang 4 It-sikkerhedsniveau 4 Styring 5 Sikkerhedsbevidsthed 6 Brud på it-sikkerheden 6 Anvendelse af politik for it-sikkerhed i praksis 6 Bilag 1. Anvendelse af

Læs mere

Overordnet It-sikkerhedspolitik

Overordnet It-sikkerhedspolitik Overordnet It-sikkerhedspolitik Denne politik er godkendt af byrådet d. x. måned 2014 Ved udskrivning af politikken skal du være opmærksom på, at du anvender senest godkendte version. Acadre sags nr. 14-8285

Læs mere

Procedure om IT brug og IT sikkerhed

Procedure om IT brug og IT sikkerhed Procedure om IT brug og IT sikkerhed Godkendt i MED-Hovedudvalget den 28. september 2015 1 Procedure om IT brug og IT sikkerhed Denne procedure omhandler den overordnede tilgang til håndtering af IT- brug

Læs mere

REGIONERNES POLITISKE LINJE FOR INFORMATIONSSIKKERHED

REGIONERNES POLITISKE LINJE FOR INFORMATIONSSIKKERHED 11101010100010 10101001011011 10101001101010 10101010001010 10100101101110 10100110101010 10101000101010 10010110111010 10011010101010 10100010101010 01011011101010 01101010101001 10001010101001 REGIONERNES

Læs mere

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Den finansielle sektor er i dag 100% afhængig af, at it-løsninger er kørende og herudover er sikret i tilfælde af, at noget

Læs mere

POLITIK FOR INFORMATIONSSIKKERHED

POLITIK FOR INFORMATIONSSIKKERHED POLITIK FOR INFORMATIONSSIKKERHED Indledning Dette er Statsbibliotekets politik for informationssikkerhed, som skal beskrive: Formål og baggrund om Statsbibliotekets hovedopgaver Mål og afgrænsning af

Læs mere

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner.

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner. Juni 2011 1 Indhold 1. Indledning 3 2. Formål 4 3. Omfang 5 4. It-sikkerhedsniveau 5 5. It-sikkerhedsbevidsthed 6 6. Overtrædelse af it-sikkerhedspolitikken 6 7. Udarbejdelse og ikrafttrædelse 6 2 1 Indledning

Læs mere

REGLER FOR IT-BRUG. Med venlig hilsen Ole Jakobsen Øverste ansvarlige for IT-sikkerheden IT-SIKKERHED FOR GULDBORGSUND KOMMUNE

REGLER FOR IT-BRUG. Med venlig hilsen Ole Jakobsen Øverste ansvarlige for IT-sikkerheden IT-SIKKERHED FOR GULDBORGSUND KOMMUNE IT-SIKKERHED 1 REGLER FOR IT-BRUG I dagligdagen tænker de fleste nok mest på, hvad vi kan bruge vores IT til - og knapt så meget på, hvordan vi bruger det. Men af hensyn til sikkerheden er det vigtigt

Læs mere

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED DAGSORDEN _ Introduktion til informationssikkerhed _ Hvad går det egentlig ud på _ Hvilke kerneopgaver er der _ Hvor langt er vi nået? _ Hvilke

Læs mere

GENERELLE BRUGERBETINGELSER FOR

GENERELLE BRUGERBETINGELSER FOR GENERELLE BRUGERBETINGELSER FOR mypku Disse generelle brugerbetingelser ( Betingelser ) fastsætter de betingelser, der gælder mellem dig som bruger ( Brugeren ) og Nutricia A/S, CVR.: 73128110 ( Nutricia

Læs mere

Hvilke retningslinjer skal du følge som bruger i Norddjurs Kommune?

Hvilke retningslinjer skal du følge som bruger i Norddjurs Kommune? Hvilke retningslinjer skal du følge som bruger i Norddjurs Kommune? Som bruger i Norddjurs Kommune er du ansvarlig for det, du foretager dig på din computer og for de oplysninger, som du gemmer. Det betyder,

Læs mere

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes]

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes] Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes] Det er, jf. Kontrakt om levering af Skolesystem (Læringsplatform) som servicebureauløsning, aftalt, at [leverandørnavn

Læs mere

Informationssikkerhed Version 2.0 29.09.10

Informationssikkerhed Version 2.0 29.09.10 Informationssikkerhed Version 2.0 29.09.10 Retningslinjer for retablering af systemer og data (Ændringer i forhold til tidligere version er markeret med Understregning) Disse retningslinjer beskriver de

Læs mere

Fællesregional Informationssikkerhedspolitik

Fællesregional Informationssikkerhedspolitik Udbud nr. 2016/S 199-358626 EU-udbud af Cisco UCC i Region Syddanmark Underbilag 13.1 - Fællesregional Informationssikkerhedspolitik Underbilag 13.1 Fællesregional Informationssikkerhedspolitik Side 1/6

Læs mere

Informationssikkerhedspolitik for Sønderborg Kommune

Informationssikkerhedspolitik for Sønderborg Kommune Informationssikkerhedspolitik for Sønderborg Kommune Denne politik er godkendt af Byrådet d. 4. februar 2015 og træder i kraft d. 1. marts 2015 Seneste version er tilgængelig på intranettet 1/8 Indledning

Læs mere

Retningslinier for ansattes anvendelse af IT-systemer på Syddansk Universitet(SDU).

Retningslinier for ansattes anvendelse af IT-systemer på Syddansk Universitet(SDU). Retningslinier for ansattes anvendelse af IT-systemer på Syddansk Universitet(SDU). Formål. Formålet med nærværende regelsæt for IT-anvendelse ved SDU er at fastlægge regler for god ITadfærd og sikre en

Læs mere

RETNINGSLINJER FOR BRUG AF IT PÅ TJELE EFTERSKOLE

RETNINGSLINJER FOR BRUG AF IT PÅ TJELE EFTERSKOLE RETNINGSLINJER FOR BRUG AF IT PÅ TJELE EFTERSKOLE Som elev erklærer jeg herved, at jeg til enhver tid vil optræde som ansvarsbevidst bruger af IT-udstyr på Tjele Efterskole (herefter benævnt "vi", "os"

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Dags dato er indgået nedenstående aftale mellem Københavns Kommune Teknik- og Miljøforvaltningen Njalsgade 13 2300 København S CVR.nr.: 64 94 22 12 (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.]

Læs mere

Persondata og IT-sikkerhed. Vejledning i sikker anvendelse og opbevaring af persondata

Persondata og IT-sikkerhed. Vejledning i sikker anvendelse og opbevaring af persondata Persondata og IT-sikkerhed Vejledning i sikker anvendelse og opbevaring af persondata December 2015 Indledning Denne vejledning har til formål, at hjælpe ansatte på IT-Center Fyns partnerskoler med at

Læs mere

Databehandleraftale. om [Indsæt navn på aftale]

Databehandleraftale. om [Indsæt navn på aftale] Databehandleraftale om [Indsæt navn på aftale] Jf. bestemmelserne i lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer (Persondataloven) mellem Vesthimmerlands Kommune

Læs mere

Arbejdsmiljøguide for Odder Kommune

Arbejdsmiljøguide for Odder Kommune Arbejdsmiljøguide for Odder Kommune 1. Politikker Logpolitik Dok. Nr. 1.12 Version: 1 Niveau: 2 Dato 050508 Side 1 af 9 Logpolitik Formål At fastlægge og beskrive ansvar, pligter og konsekvenser når medarbejdere

Læs mere

CYBERFORSIKRING OFFENTLIG KONFERENCE

CYBERFORSIKRING OFFENTLIG KONFERENCE CYBERFORSIKRING OFFENTLIG KONFERENCE Den 23 September 2015 Introduktion Kan en forsikring afdække det økonomiske tab, hvis den risiko organisationen er eksponeret for bliver en realitet? Agenda: Eksponering

Læs mere

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) 1 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-951-4 0.05.12

Læs mere

ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015

ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015 ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015 Udfordringer mht. persondata eksempler For mange brugere har adgang til

Læs mere

Risikovurdering vedr. Google Apps. Sammenfatning. Risikovurdering

Risikovurdering vedr. Google Apps. Sammenfatning. Risikovurdering Risikovurdering vedr. Google Apps Sammenfatning Side: 1 af 6 1. Introduktion IT Crew har faciliteret gennemførelse af en risikovurdering på en workshop med Odense Kommune d. 25. august 2010. Workshoppen

Læs mere

Sikkerhedsinstruks for IT-brugere hos Randers Kommune. Bilag 1

Sikkerhedsinstruks for IT-brugere hos Randers Kommune. Bilag 1 Sikkerhedsinstruks for IT-brugere hos Randers Kommune Bilag 1 20. marts 2007 Samtlige IT-brugere af Randers kommunes IT skal kende nærværende retningslinier. Retningslinierne vil blive ajourført af IT-sikkerhedslederen,

Læs mere

Sikkerhedsanbefaling. It-sikkerhed på rejsen

Sikkerhedsanbefaling. It-sikkerhed på rejsen Sikkerhedsanbefaling It-sikkerhed på rejsen Juni 2015 2 It-sikkerhed på rejsen En sikkerhedsanbefaling fra Center for Cybersikkerhed 3 4 Om sikkerhedsanbefalingen Denne sikkerhedsanbefaling fra Center

Læs mere

Sikkerhedsanbefaling. It-sikkerhed på rejsen

Sikkerhedsanbefaling. It-sikkerhed på rejsen Sikkerhedsanbefaling It-sikkerhed på rejsen Juni 2015 It-sikkerhed på rejsen En sikkerhedsanbefaling fra Center for Cybersikkerhed 2 Om sikkerhedsanbefalingen Denne sikkerhedsanbefaling fra Center for

Læs mere

Regler. - for sikker brug af Aalborg Kommunes IT

Regler. - for sikker brug af Aalborg Kommunes IT Regler - for sikker brug af Aalborg Kommunes IT For en sikkerheds skyld! Hvorfor regler om IT? - for kommunens og din egen sikkerheds skyld Aalborg Kommune er efterhånden meget digitaliseret og derfor

Læs mere