Sikker. Inform. Informationssikkerhedspolitik og regler Version 2.0. Informationssikkerhed

Størrelse: px
Starte visningen fra side:

Download "Sikker. Inform. Informationssikkerhedspolitik og regler Version 2.0. Informationssikkerhed"

Transkript

1 Sikker Inform hed ations Informationssikkerhed Informationssikkerhedspolitik og regler Version 2.0 Dataklassifikation: Offentlig Aarhus Unversitet 2013 Aarhus Universitet 2013

2 Indholdsfortegnelse Rektors forord... 4 Informationssikkerheds-politik for Aarhus Universitet... 5 Indledning... 5 Formål... 5 Omfang... 5 Organisering af informationssikkerhedsarbejdet... 5 Sikkerhedsniveau... 6 Sikkerhedsbevidsthed... 6 Brud på informationssikkerheden... 7 Årshjul for informationssikkerhedsarbejdet... 7 Informationssikkerhedsregler for Aarhus Universitet... 9 Indledning Organisation og implementering Risikobevidsthed Informationssikkerhedspolitik Sikkerhedsimplementering Outsourcing Sikkerhed i tredjeparts adgang Identifikation, klassifikation og ansvar for aktiver Håndtering af informationer og aktiver Klassifikation af informationer og data Ejere af systemer og data Dataintegritet Identifikation og registering af aktiver Personalesikkerhed og brugeradfærd Ansættelses og fratrædelse Funktionsadskillelse Ledelsens ansvar Uddannelse Logning og overvågning Adfærdsregler Adfærdsregler for brug af adgangskode Adfærdsregler for brug af internet

3 3.6.3 Adfærdsregler for brug af Adfærdsregler for brug af trådløse netværk Adfærdsregler for databeskyttelse Adfærdsregler for brug af sociale netværkstjenester Adfærdsregler for overholdelse af licensregler Adfærdsregler for mobile enheder Adfærdsregler for brug af cloud tjenester Fysisk sikkerhed Tekniske sikringsforanstaltninger Beskyttelsesanlæg Sikre områder Udstyrssikkerhed Gæster It- og netværksdrift Daglig administration Håndtering af datamedier Operationelle procedurer og ansvarsområder Systemplanlægning Overvågning af systemer Styring af ændringer - Change Management Beskyttelse mod skadelige programmer Indholdsfiltrering Styring af netværk Trådløse netværk Forbindelser med andre netværk Overvågning af systemadgang og brug Mobile arbejdspladser og hjemmearbejdspladser Netværkstjenester med login Brug af kryptografi Adgangskontrol og metoder Adgangskontrol til operativsystemer Adgangskontrol for applikationer Logisk adgangskontrol Administration af adgangskontrol

4 6.5 Adgangskontrol til netværk Udvikling, anskaffelse og vedligeholdelse Sikkerhedskrav ved anskaffelser Sikkerhed i softwareudviklingsmiljø Integritet for programmer og data Styring af sikkerhedshændelser Opdagelse og rapportering af hændelser Reaktion på sikkerhedsmæssige hændelser Opfølgning på hændelser Beredskabsplanlægning og fortsat drift Beredskabsplaner Sikkerhedskopiering Lovgivning, kontrakter og etik Overholdelse af lovmæssige krav Ophavsret Identificerede love og regelsæt Kontrol, revision og afprøvning

5 Rektors forord Kære medarbejdere og studerende ved Aarhus Universitet. Aarhus Universitet er en vidensvirksomhed. En stadig større del af vores viden skabes, behandles og gemmes på IT-systemer. Derfor skal alle, der har deres virke på AU, såvel forskere, undervisere og teknisk/administrativt personale som studerende have den størst mulige fokus på informationssikkerhed. Informationssikkerhed betyder forskellige ting for forskellige mennesker. Denne håndbog prøver at komme rundt om alle væsentlige områder. Hvis du troede, at infomationssikkerhed bare er noget om vira og hackere, bør du studere politikken, reglerne og procedurerne nøje, der er langt flere aspekter. Det systematiske infomationssikkerhedsarbejde hviler på 3 hovedsøjler - tilgængelighed, integritet og fortrolighed. At tilgængeligheden skal sikres bedst muligt er vist indlysende for alle. Et universitet - på linie med snart sagt alle moderne virksomheder - er nærmest paralyseret hvis IT-systemerne er nede. Tilsvarende er hele Universitetets virke baseret på vores integritet - der må ikke kunne stilles spørgsmålstegn ved den, så vores IT-systemer skal altid være retvisende. Og endelig må vi, selvom vi er sat i verden til at formidle viden, ikke være blinde for at betydelige dele af vores data indeholder følsomme eller fortrolige oplysninger som skal beskyttes. Det gælder f.eks. forskningsdata med følsomme personoplysninger eller fortrolige informationer til rådgivning og myndighedsbetjening Så uanset hvad vores arbejde på Aarhus Universitet er - det være sig inden for forskning, uddannelse, overvågning, rådgivning, information eller administration - skal vi altid have øje for informationssikkerheden. Informationssikkerhedshåndbogen for Aarhus Universitet udstikker spillereglerne for informationssikkerheden. Den udgør en integreret del af de regler og forordninger alle skal kende og overholde som betingelse for at være ansat eller indskrevet ved Universitetet. Meget af det der står på disse sider er almindelig sund fornuft. Ting man godt ved i forvejen. Nu er det skrevet ned i en håndbog, som alle har pligt til at kende og efterleve. Med venlig hilsen Lauritz B. Holm-Nielsen Rektor 4

6 Informationssikkerheds-politik for Aarhus Universitet Indledning Denne informationssikkerhedspolitik er den overordnede ramme for informationssikkerheden hos Aarhus Universitet. Som et led i den overordnede sikkerhedsstyring tager ledelsen på grundlag af den løbende overvågning og rapportering informationssikkerhedspolitikken op til revurdering minimum en gang om året. Politikken omfatter Aarhus Universitets informationer, som er enhver information, der tilhører Aarhus Universitet herudover også informationer, som ikke tilhører Aarhus Universitet, men som Aarhus Universitet kan gøres ansvarlig for. Dette inkluderer fx alle data om personale, data om finansielle forhold, alle data, som bidrager til administrationen af Aarhus Universitet, samt informationer som er overladt Aarhus Universitet af andre, herunder forsøgs- og forskningsdata. Denne politik omfatter alle Aarhus Universitets informationer, ligegyldigt hvilken form de opbevares og formidles på. Formål Informationer og informationsaktiver er nødvendige og livsvigtige for Aarhus Universitet, og informationssikkerheden har derfor stor betydning for Aarhus Universitets troværdighed og funktionsdygtighed. Formålet med informationssikkerhedspolitikken er at definere en ramme for beskyttelse af Aarhus Universitets informationer og særligt at sikre, at kritiske og følsomme informationer og informationsaktiver bevarer deres fortrolighed, integritet og tilgængelighed. Derfor har Aarhus Universitets ledelse besluttet sig for et beskyttelsesniveau, der er afstemt efter risiko og væsentlighed samt overholder lovkrav og indgåede aftaler, herunder licensbetingelser. Ledelsen vil oplyse medarbejdere og studerende om ansvarlighed i relation til Aarhus Universitets informationer og informationsaktiver. Hensigten med informationssikkerhedspolitikken er endvidere at tilkendegive over for alle, som har en relation til Aarhus Universitet, at anvendelse af informationer og informationsaktiver er underkastet standarder og retningslinjer. På den måde kan sikkerhedsproblemer forebygges, eventuelle skader kan begrænses, og retablering af informationer kan sikres. Omfang Denne politik gælder for alle ansatte uden undtagelse, både fastansatte og personer, som midlertidigt arbejder for Aarhus Universitet. Alle disse personer bliver her betegnet som medarbejderne. Politikken gælder endvidere for studerende, der i forbindelse med deres studie anvender informationer og/eller informationsaktiver tilhørende Aarhus Universitet. Ved udlicitering af dele af eller hele IT-driften skal det sikre, at Aarhus Universitets sikkerhedsniveau fastholdes, således at serviceleverandøren, dennes faciliteter og de medarbejdere, som har adgang til Aarhus Universitets informationer, mindst lever op til Aarhus Universitets informationssikkerhedsniveau. Organisering af informationssikkerhedsarbejdet 5

7 Aarhus Universitet har organiseret sit informationssikkerhedsarbejde gennem en række informationssikkerhedsudvalg, jf. Figur 1. Figur 1 - Organisering af informationssikkerhedsarbejdet Det operationelle ansvar for den daglige styring af informationssikkerhedsindsatsen er placeret hos informationssikkerhedschefen. Denne sikrer i samarbejde med primært sikkerhedsudvalgene og sekundært vicedirektøren for it, at de aktiviteter, standarder, retningslinjer, kontroller og foranstaltninger, der er beskrevet i sikkerhedshåndbogen, gennemføres og efterleves. Ligeledes er det væsentligt, at informationssikkerhed integreres i alle forretningsgange, driftsopgaver og projekter. De lokale informationssikkerhedsudvalg er ansvarlige for gennemførelsen af det arbejde som ligger i årshjulet, der er beskrevet i afsnit 1.8 Sikkerhedsniveau Det er Aarhus Universitets politik at beskytte sine informationer og udelukkende tillade brug, adgang og offentliggørelse af informationer i overensstemmelse med Aarhus Universitets retningslinjer og under hensyntagen til den til enhver tid gældende lovgivning. Aarhus Universitet fastlægger på baggrund af en risikovurdering et sikkerhedsniveau som svarer til betydningen af de pågældende informationer. Der gennemføres mindst en gang årligt en risikovurdering, så ledelsen kan holde sig informeret om det aktuelle risikobillede. Der foretages ligeledes en risikovurdering ved større forandringer i organisationen, som har indflydelse på det samlede risikobillede. Sikkerhedsniveauet fastlægges i det enkelte tilfælde under hensyntagen til arbejdets gennemførelse og økonomiske ressourcer. Målsætningen om et højt sikkerhedsniveau afvejes med ønsket om en hensigtsmæssig og brugervenlig anvendelse af it, samt det forhold at Universitetet har en samfundsrolle som leverandør af frit tilgængelig information. Sikkerhedsbevidsthed Informationssikkerhed vedrører Aarhus Universitets samlede informationsflow, og 6

8 gennemførelse af en informationssikkerhedspolitik kan ikke foretages af ledelsen alene. Alle medarbejdere og studerende har et ansvar for at bidrage til at beskytte Aarhus Universitets informationer mod uautoriseret adgang, ændring og ødelæggelse samt tyveri. Alle medarbejdere og studerende skal derfor løbende have information om informationssikkerhed i relevant omfang. Ansatte og studerende har ligeledes et ansvar for at behandle de informationsaktiver, der stilles til rådighed på en hensigtsmæssig måde. Som brugere af Aarhus Universitets informationer skal alle medarbejdere og studerende følge informationssikkerhedspolitikken og de retningslinjer, der er afledt heraf. Medarbejderne og de studerende må kun anvende Aarhus Universitets informationer i overensstemmelse med det arbejde, de udfører for Aarhus Universitet, og skal beskytte informationerne på en måde, som er i overensstemmelse med informationernes klassifikation. Brud på informationssikkerheden Såfremt en medarbejder eller en studerende opdager trusler mod informationssikkerheden eller brud på denne, skal dette meddeles til informationssikkerhedsafdelingen. Overtrædelse af informationssikkerhedspolitikken, eller heraf afledte regler og retningslinier, indrapporteres til informationssikerhedsafdelingen, som i samarbejde med nærmeste leder og HR-afdelingen træffer afgørelse om eventuelle videre foranstaltninger. Det er lederens ansvar, at et eventuelt videre forløb sker i overensstemmelse med de almindelige fagretlige regler, herunder bl.a. at de relevante tillidsrepræsentanter inddrages. Hvis overtrædelsen er udført af en studerende, behandles sagen som enhver anden disciplinærsag. Hvis overtrædelsen har karakter af strafferetlig, erstatningsretlig eller anden strafbar overtrædelse, vil der blive foretaget politianmeldelse. Årshjul for informationssikkerhedsarbejdet Aarhus Universitet har opstillet et årshjul som beskriver arbejdet med informationssikkerheden. Dette årshjul ser ud som følger: 7

9 Årshjulet omfatter 5 aktiviteter: 1. System- og dataklassifikation 2. Risikovurderinger 3. Beredskabsplanlægning og test 4. Opfølgning, revision m.v. 5. Awareness Ansvaret for udførelsen af opgaverne ligger hos de lokale informationssikkerhedsudvalg på fakulteterne/administrationen. Informationssikkerhedsafdelingen kan facilitere processen, og stille relevante værktøjer til rådighed, men udførelsen ligger hos hovedområderne. Da det kræver et godt kendskab til de lokale forhold, anbefales det at arbejdet forankres på institutter og/eller forskningsgrupper m.v. Alle aktiviteter i hjulet gennemføres en gang årligt, startende med system- og dataklassifikationen. Awareness er en central del af arbejdet, som skal køre hele året. Denne del varetages af informationssikkerhedsafdelingen, i samarbejde med informationssikkerhedsudvalgene. 8

10 Informationssikkerhedsregler for Aarhus Universitet Indledning Baggrund for arbejdet med informationssikkerhed på AU Aarhus Universitet skal i lighed med andre statslige organisationer overholde standarden DS484:2005, som definerer en række krav til informationssikkerheden på universitetet. Kravet om overholdelse af DS484:2005 trådte i kraft d. 1. januar Fremadrettet bliver kravet, at man overholder ISO27001 standarden, og AU er derfor ved at skifte fokus fra DS484:2005 til de standarder, der findes i ISO27000 serien. Definition på Informationssikkerhed Informationssikkerhed defineres som de samlede foranstaltninger til at sikre fortrolighed, tilgængelighed og intregritet af universitetets informationer, aktiver og data. Ordforklaringer Bør: Ordet bør anvendes flere steder i denne håndbog. Generelt gælder det at bør = skal, medmindre der er givet dispensation herfor, eller omkostningerne ved gennemførelse overstiger gevinsten. Hvis man fraviger fra anbefalingen skal man således enten søge dispensation, eller godtgøre at det ikke kan betale sig. Arbejdsmæssig brug: Formuleringen "arbejdsmæssig brug", dækker, hvor intet andet er nævnt, også over studerendes studiemæssige brug. Det samme gælder for formuleringen "arbejdsrelateret brug". Outsoucing: Ordet outsourcing dækker over de tilfælde, hvor hele eller dele af itunderstøttelsen drives af et eksternt firma. Outsourcing dækker således også over Cloud Computing, hvor man køber sig til ydelser hos 3.mand, fx , webservere, regnekraft m.v. Mobile enheder: Mobile enheder anvendes som en samlet betegnelse for 9

11 mobiltelefoner, smartphones, tablets o.lign. Bærbare pc'er, netbooks, laptops o.lign. er er ikke dækket af ordet mobile enheder, men benævnes i stedet bærbare pc'er. Informationsaktiver: Informationsaktiver er alle de systemer m.v. som indeholder, genererer eller bearbejder informationer. Det gælder fx pc'er, servere, mobile enheder, bærbare pc'er, frysebokse, kølerum, serverrum o.s.v. 1. Organisation og implementering Placering af ansvar er nødvendigt for at sikre opmærksomhed på Universitetets informationsaktiver. Organisationsstrukturen på Universitetet og samarbejde med eksterne partnere er vigtig for at opretholde et tidssvarende sikkerhedsniveau. Kontrakter med partnere og andre aftaler er ligeledes et område, der har indflydelse på informationssikkerheden. 1.1 Risikobevidsthed Risikoanalyse Konsekvensvurdering Overordnet risikovurdering Aarhus Universitet klassificerer sine systemer i A, B og C systemer. For type A systemer skal der udarbejdes både en risikoanalyse og en beredskabsplan, for type B systemer skal der udarbejdes en risikoanalyse, mens type C systemer ikke kræver hverken beredskabsplaner eller risikoanalyser. Alle identificerede informationsaktiver skal i forbindelse med registreringen gennemgå en klassificering. Systemklassifikationen bestemmes ud fra dataklassifikationen og betydningsvurderingen af det enkelte aktiv. Konsekvenser af hændelser i mod informationsaktiver skal løbende vurderes. Der skal udføres en overordnet risikovurdering af trusselsbilledet for Universitetet. Den overordnede risikovurdering skal indeholde konsekvensvurdering og 10

12 sårbarhedsvurdering. Risikovurderingen skal opdateres ved alle væsentlige ændringer i risikobilledet, dog mindst en gang om året. Information om nye trusler, virus og sårbarheder Håndtering af sikkerhedsrisici AU IT skal etablere en proces for identifikation af nye sårbarheder. Der skal udpeges en ansvarlig person eller gruppe for dette. AU IT skal holde sig orienteret om sikkerheden inden for de benyttede operativsystemer, samt de anvendte systemer og applikationer på både klientog serversiden. AU IT skal gennem det centrale informationssikkerhedsudvalg informere relevante personer i ledelsen om nye trusler, som potentielt kan berøre de pågældende forretningsenheder med henblik på at tilpasse forretningsgange og tilvejebringe de fornødne ressourcer for at modvirke truslerne. Når risikovurderingerne afdækker sikkerhedsbehov, som ikke pt. honoreres af de tilgængelige sikringsmekanismer og procedurer skal informationssikkerhedschefen bringe emnet op i det centrale informationssikkerhedsudvalg. Såfremt der er tale om en væsentlig/kritisk risiko, kan informationssikkerhedsudvalget pålægge ejerne af det/de berørte aktiver, at identificere mulige løsningsmodeller, og om at opprioritere implementeringen. Ved ikke kritiske risici, skal løsningen indgå i den normale prioritering af opgaver og projekter på AU. 1.2 Informationssikkerhedspolitik Dispensation for krav i sikkerhedspolitikken Dispensation for efterlevelsen af sikkerhedspolitikkerne er kun muligt, hvis det er forretningsmæssigt velbegrundet, og de respektive system- og procesejere står inde for at det er forsvarligt. 11

13 Dispensation gives af det centrale informationssikkerhedsudvalg. En dispensation er altid skriftlig, og med en tidsbegrænset varighed - typisk 1 år. Det er brugerens ansvar at sikre sig en evt. forlængelse af dispensationen. Informationssikkerhedschefen vedligeholder en oversigt over de givne dispensationer. Den relevante systemog/eller procesejer er ansvarlig for enhver sikkerhedshændelse, der sker som en direkte konsekvens af dispensationen. Offentliggørelse af sikkerhedspolitik Godkendelse af sikkerhedspolitik Opfølgning på implementering af sikkerhedspolitikken Vedligeholdelse af sikkerhedspolitik Sikkerhedspolitikken skal offentliggøres og alle relevante interessenter, herunder alle medarbejdere og studerende, skal gøres opmærksomme på politikken. informationssikkerhedspolitikken skal ved ændringer godkendes af Universitetsledelsen efter indstilling fra det centrale informationssikkerhedsudvalg. Hver enkelt leder skal løbende sikre, at sikkerhedspolitikken bliver overholdt inden for eget ansvarsområde. Universitetets informationssikkerhedspolitik, regler, procedurer og deraf afledt dokumentation skal vedligeholdes af informationssikkerhedschefen, i samarbejde med relevante parter, herunder AU IT, informationssikkerhedsudvalgene, de studerende og universitetsledelsen. 1.3 Sikkerhedsimplementering Ledelsens rolle Koordination af Ledelsen skal støtte Universitetets informationssikkerhed ved at udlægge klare retningslinier, udvise synligt engagement samt sikre en præcis placering af ansvar. Ansvaret for koordination af sikkerheden 12

14 informationssikkerheden på tværs i organisationen varetages af informationssikkerhedschefen. 1.4 Outsourcing Outsourcingpartnere Sikkerhed ved outsourcing Overvågning af serviceleverandøren Sikkerhedsniveauet hos alle outsourcingpartnere skal være acceptabelt. Alle outsourcingpartnere skal af hensyn til AUs it-arkitektur og driftshensyn godkendes af Vicedirektøren for IT og informationssikkerhedschefen. Ved outsourcing af områder, der omhandler persondata, skal man være opmærksomme på kravene i persondataloven og retningslinjerne som udstikkes af datatilsynet. AUs sikkerhed må samlet set ikke ikke forringes af outsourcing. Ved outsourcing af IT-systemer skal der inden indgåelse af kontrakt indhentes information om sikkerhedsniveau fra outsourcingpartner, herunder dennes sikkerhedspolitik. Den aftale ansvarlige skal regelmæssigt overvåge serviceleverandøren. Det kan ske via rapportering og statusmøder, men ved større aftaler bør man forbeholde sig ret til at lave inspektion og revision af leverandøren. Ved outsourcing bør der stilles krav om en revisionserklæring, eller certificering efter DS484, ISO27001 e.lign. 1.5 Sikkerhed i tredjeparts adgang Samarbejdsaftaler Aftaler om informationsudveksling Der må ikke gives adgang mellem Universitetets og eksterne parters informationsaktiver, før der er indgået en samarbejdsaftale, der som minimum skal indeholde en fortrolighedserklæring. Ved udveksling af følsomme eller fortrolige informationer og data imellem AU og evt. 13

15 tredje part skal der foreligge en skriftlig aftale herom. Lovgivningen stiller desuden krav om en databehandler aftale, såfremt der er tale om behandling for personfølsomme oplysninger. Indhold af fortrolighedserklæringerne Sikkerhed ved samarbejde med partnere Information til eksterne partnere Fortrolighedserklæring for studerende Definition af de informationer, der er omfattet. En fastlagt løbetid. Beskrivelse af hvad der skal ske, når aftalen udløber. Underskriverens ansvar for at undgå brud på den aftalte fortrolighed. Information om omfattede ophavsrettigheder. Beskrivelse af hvordan informationerne må anvendes, for eksempel hvilke brugsrettigheder til informationerne underskriveren får. Universitetets ret til overvågning af og opfølgning på overholdelse af fortrolighedspligten. Procedure for advisering og rapportering af brud på fortroligheden. Betingelser for returnering eller destruktion af informationsaktiver ved aftalens ophør. Sanktioner ved brud på fortrolighedspligten. Ved integration af AUs systemer og processer med tredjepart skal systemejeren sikre, at sikkerhedsrisici vurderes og dokumenteres. Det skal sikres, at tredjepart gøres opmærksom på det forventede sikkerhedsniveau, herunder adgang til beskrevne politikker. Det skal sikres, at studerende, der tildeles adgang til Universitetets følsomme og/eller fortrolige data, afgiver en 14

16 fortrolighedserklæring. 2. Identifikation, klassifikation og ansvar for aktiver Informationsaktiver skal beskyttes, uanset om det er fysiske aktiver som dokumenter, der er udskrevet, produktionsudstyr eller it-systemer. Det er derfor nødvendigt at identificere, klassificere og placere ejerskab for alle aktiver. 2.1 Håndtering af informationer og aktiver Accepteret brug af informationsaktiver Opbevaring af følsomme eller fortrolige informationer på privat udstyr Brug af bærbare medier til følsomme og fortrolige data Systemejere skal lave retningslinier for accepteret brug af AUs informationsaktiver. Personligt ejet IT-udstyr som pc, tablet, bærbare harddiske, memorysticks, CDeller DVD-brændere må ikke anvendes til opbevaring af følsomme eller fortrolige data. Følsomme og fortrolige informationer skal krypteres, når de opbevares eller transporteres på bærbare medier, fx USBnøgler, tablets, mobiltelefoner, CD'er eller DVD'er. 2.2 Klassifikation af informationer og data Kontrol med klassificerede informationer Det centrale informationssikkerhedsudvalg er ansvarlig for at definere et fast sæt af egnede og relevante sikkerhedskontroller til beskyttelse af de enkelte informationskategorier. Vicedirektøren for IT skal sikre, at de nødvendige forholdsregler, procedurer og kontroller implementeres i IT-afdelingen. Den lokale ledelse, skal sikre, at de nødvendige forholdsregler, procedurer og kontroller implementeres på hovedområderne. Ansvar for dataklassifikation Det er ejeren, som har ansvaret for at dataklassificere det enkelte aktiv og tilse, at det sikres på behørig vis i overensstemmelse med klassifikationen. 15

17 Klassifikation af data og andre informationer AUs data og informationer, i det følgende "data", skal klassificeres efter følgende skala: Offentlige data: Defineret som data, som alle, der udtrykker et ønske om det, har eller kan få adgang til. Det kan fx være data på offentlige hjemmesider, uddannelsesbrochurer m.v. Disse data kræver som udgangspunkt ikke nogen særlig beskyttelse, dog skal man sikre, at kun godkendte personer kan redigere i disse data. Interne data: Defineret som data, der kun må anvendes og kommunikeres internt, og som i den daglige drift er nødvendige for de brugere, der skal anvende dem. Det kan fx dreje sig om mødereferater, blanketter, fakturaer mv. Interne data kræver en vis grad af beskyttelse. Som minimum skal man sikre, at kun godkendte personer har adgang til både at læse og ændre data. Fortrolige data: Defineret som de data, som kun særligt betroede brugere kan få adgang til for at kunne udøve deres arbejdsfunktioner, og hvor et brud på fortroligheden kan være skadelig for AU eller vores samarbejdspartnere. Det kan fx dreje sig om ansøgninger, kontrakter, regnskabsdata mv. Fortrolige data kræver en høj grad af beskyttelse. Adgangen skal begrænses til godkendte personer, og anvendelse af kryptering bør overvejes, specielt ved overførsel til eksterne medier eller tjenester. Fortrolige data data må aldrig opbevares eller behandles på privat udstyr. Følsomme data: Defineret som data, der er omfattet af Lov om behandling af personoplysninger. Følsomme data kræver ekstra høj grad af beskyttelse. Adgangen skal begrænses til så få godkendte personer som muligt, og kryptering skal overvejes. Følsomme data må aldrig opbevares eller behandles på privat udstyr, og hvis data flyttes til eksterne 16

18 medier, skal der anvendes kryptering. Vær også opmærksom på, at der kan være behov for indgåelse af databehandler aftaler og anmeldelse til datatilsynet. Se mere på datatilsynets hjemmeside. Relaterede Procedurer Klassifikation af data Ansvar for betydningsvurderingen Informationsaktiver skal betydningsvurderes Det er ejeren, som har ansvaret for at betydningsvurdere det enkelte informationsaktiv og tilse, at det sikres på behørig vis i overensstemmelse med dets betydning for AU. Informationsaktiver skal betydningsvurderes i henhold til den på AU gældende standard. Et aktiv skal altid vurderes som den højeste af værdi af de relevante kategorier. Relaterede Procedurer Betydningsvurdering af informationsaktiver 2.3 Ejere af systemer og data Juridisk ejerskab Det juridiske ejerskab til data på AUs computere (servere, stationære PCer, Bærbare PCer etc.) tilfalder som udgangspunkt Universitetet. Det gælder dog ikke i følgende tilfælde: - Der er lavet en skriftlig aftale - Det følger af gældende lovgivning, fx regler om ophavsret m.v. - Der er tale om private data, fx private digitale billeder - Der er tale om forskningsdata, som 3.mand stiller til rådighed for AU. Indholdet af studerendes netværksdrev anses som udgangspunkt for at være privat ejendom, medmindre den studerende har et ansættelsesforhold ved AU. Netværksdrev må kun anvendes til studiemæssig brug, og AU forbeholder sig 17

19 retten til at overvåge brugen, og analysere på indholdet med henblik på at hindre misbrug. Retten til at disponere over udstyr Udpegelse af administrativ ejer Persondata-ansvarlig Ansvar for adgangsrettigheder Administration af Internetdomænenavne Uanset om data ejes af AU, en medarbejder, eller 3. mand, kan AU frit disponere over eget udstyr. Dette betyder at AU må slette indholdet af en computer, et netværksdrev, en memorystick o.s.v hvis en medarbejder har forladt universitetet, uden at konsultere medarbejderen først. Tilsvarende må AU nulstille mobiltelefoner og tablets. AU kan ikke gøres ansvarlig for evt. tab som følge af ovenstående. Alle informationsaktiver skal have udpeget en administrativ ejer. Ejerskab defineres hos AU som en jobfunktion, som kan pålægges den enkelte medarbejder. Ejerskab i AU er hierakisk nedarvet fra Rektor gennem enten Dekanerne og Institut-/centerlederne, eller Universitetsdirektøren og Vicedirektørerne til de enkelte medarbejdere. Ved fratræden eller andet fravær tilbagegår ejerskabet altid til den foregående person i kæden, indtil en ny ejer er udpeget. Systemejeren til aktiver som indeholder data, der er omfattet af persondataloven, er persondata-ansvarlig. Aktivets ejer har ansvaret for at fastlægge og løbende revurdere adgangsrettigheder. Tildeling af adgang skal ske i overensstemmelse med gældende regler om fx password o.lign. Der skal forefindes en liste over AUs registrerede domænenavne, status for brug, betalingsoplysninger og dato for fornyelse. Ansvaret for registrering af de primære 18

20 domænenavne ligger hos AU IT. Ansvaret for projektorienterede domænenavne kan ligge decentralt, men domænerne skal være centralt kendt. Ansvarlige for data på mobile enheder På mobile enheder med en primær ejer er pågældende ansvarlig for data. På mobile enheder uden en primær ejer er seneste bruger ansvarlig for at data fjernes fra enheden efter brug. Brugere af Universitetets mobile enheder er ansvarlige for at beskytte de data, der behandles på disse, samt enhederne selv. 2.4 Dataintegritet Opbevaring og behandling af data Data skal altid opbevares og behandles således, at dataintegriteten bevares. Der kan være lovkrav e.lign. som stiller særlige krav til dokumentation af informationer/datas integritet. 2.5 Identifikation og registering af aktiver Identifikation af informationsaktiver Alle Universitetets informationsaktiver skal identificeres og klassificeres. Se afsnit Personalesikkerhed og brugeradfærd Informationssikkerheden i virksomheden afhænger i høj grad af medarbejderne. Det er nødvendigt at sikre virksomheden gennem ansættelse af de rigtige medarbejdere, uddanne medarbejdere i jobfunktioner og sikkerhed - samt sætte regler for, hvordan man skal agere i forhold til sikkerhedshændelser og -risici. 3.1 Ansættelses og fratrædelse Baggrundscheck af ansatte HR afdelingen skal i samarbejde med Vicedirektøren for IT tilse, at der sker forsvarligt baggrundscheck af ITmedarbejdere. HR afdelingen skal, i samarbejde med den ansættende enhed, tilse, at der sker forsvarligt baggrundscheck af medarbejdere i særligt betroede stillinger, herunder lederstillinger. 19

Informationssikkerhedshåndbog

Informationssikkerhedshåndbog Aarhus Universitet Informationssikkerhedshåndbog Regler 1.0.4 13-10-2011 Indholdsfortegnelse Politik 2 Rektors forord 2 Informationssikkerhedspolitik - Aarhus Universitet 3 Regler 8 Indledning 8 1. Organisation

Læs mere

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09 Aabenraa Kommune Informationspolitik : 2014-04-09 Aabenraa Kommune 29. august 2012 Informationspolitik Overordnet Informationssikkerhedspolitik for Aabenraa Kommune Velkommen til Aabenraa Komune s overordnede

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

Instrukser for brug af it

Instrukser for brug af it it sikkerhed Instrukser for brug af it Må Skal ikke Kan Januar 2010 Version 1.0 Indhold Forord................................................... 3 Resumé.................................................

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

Instrukser for brug af dataudstyr ved OUH

Instrukser for brug af dataudstyr ved OUH Skal Kan Må ikke Instrukser for brug af dataudstyr ved OUH Afdelingen for Driftsoptimering og IT Vi er til for borgerne, og bruger dataudstyr for at sikre effektivitet og kvalitet. Vi skal have en høj

Læs mere

It-sikkerhed i Dansk Supermarked

It-sikkerhed i Dansk Supermarked It-sikkerhed i Dansk en kort introduktion It-sikkerhed i Dansk 1 Velkommen som it-bruger i Dansk Kære medarbejder Brug af it er for mange i Dansk en naturlig del af arbejdsdagen. Hvis vi skal sikre vores

Læs mere

Kære medarbejder og leder

Kære medarbejder og leder Kære medarbejder og leder Adgang til informationer i it-systemer og elektronisk kommunikation er for de fleste medarbejdere i Region Hovedstaden en selvfølgelig del af arbejdsdagen. Hvis vi ikke har adgang

Læs mere

IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR

IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR 1 HUSK n Adgangskoder må ikke videregives til andre. n Andre må ikke anvende din personlige bruger-id. n Ved mistanke om, at andre har fået kendskab

Læs mere

Guide til sikker it. Daglig brug Programmer E-mail Internet Databehandling

Guide til sikker it. Daglig brug Programmer E-mail Internet Databehandling Guide til sikker it Daglig brug Programmer E-mail Internet Databehandling Hvilke retningslinjer skal du følge som it-bruger i Hillerød Kommune? Indhold Daglig brug af din computer 4 Computere, programmer

Læs mere

IT-sikkerhedspolitik for

IT-sikkerhedspolitik for Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs

Læs mere

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser INDHOLDSFORTEGNELSE 1. Baggrund og formål... 2 2. Ansvarsfordeling... 2 2.1 Jobcenterchefens ansvar... 2 2.2 Gensidig informationspligt... 3 3. Krav til

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

Retningslinjer om brugeransvar

Retningslinjer om brugeransvar Retningslinjer om brugeransvar April 2015 Movia Design/Mette Malling 04.15. Fotos: Movia Indhold Pas på vores Movia 5 Movias målsætninger 6 Hvem har ansvaret? 8 Fortrolighed 9 Movias omdømme 11 Pas på

Læs mere

IT-retningslinier og sikkerhedspolitik for Viborg Kommunes Skole IT. - gældende for undervisere

IT-retningslinier og sikkerhedspolitik for Viborg Kommunes Skole IT. - gældende for undervisere IT-retningslinier og sikkerhedspolitik for Viborg Kommunes Skole IT - gældende for undervisere August 2009 IT retningslinier og sikkerhedspolitik for Viborg kommunes Skole IT - gældende for undervisere

Læs mere

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet Sammenfatning Denne vejledning adresserer risikoen for industrispionage fra statssponserede aktører i udlandet mod

Læs mere

IT-regler gældende for Danmarks Medie- og Journalisthøjskole

IT-regler gældende for Danmarks Medie- og Journalisthøjskole IT-regler gældende for Danmarks Medie- og Journalisthøjskole Retningslinjer for studerende og medarbejdere ved Danmarks Medie- og Journalisthøjskole vedrørende brugen af organisationens IT-ressourcer 1

Læs mere

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.

Læs mere

Hvilke retningslinjer skal du følge som bruger i Norddjurs Kommune?

Hvilke retningslinjer skal du følge som bruger i Norddjurs Kommune? Hvilke retningslinjer skal du følge som bruger i Norddjurs Kommune? Som bruger i Norddjurs Kommune er du ansvarlig for det, du foretager dig på din computer og for de oplysninger, som du gemmer. Det betyder,

Læs mere

Informationssikkerhedspolitik for Vejen Kommune

Informationssikkerhedspolitik for Vejen Kommune Informationssikkerhedspolitik for Vejen Kommune Denne politik er godkendt af byrådet d. xx. Og træder i kraft d. xx. Seneste version er tilgængelig på intranettet. Indledning Vejen Byråd fastlægger med

Læs mere

Tænk når du taster. kom nærmere

Tænk når du taster. kom nærmere Tænk når du taster kom nærmere Regler for medarbejdernes brug af TDC s pc-arbejdspladser Nedenfor kan du læse om de regler, TDC s Direktion har vedtaget for brugen af koncernens*) pc-arbejdspladser Reglerne

Læs mere

Personalehåndbog. Personalehåndbogens målsætning. 1. Vores historie. 2. Mission 3. Vision 4. Værdigrundlag 5. Organisationen.

Personalehåndbog. Personalehåndbogens målsætning. 1. Vores historie. 2. Mission 3. Vision 4. Værdigrundlag 5. Organisationen. Personalehåndbog Personalehåndbogens målsætning Strategi og mål m.m. 1. Vores historie. 2. Mission 3. Vision 4. Værdigrundlag 5. Organisationen Bestyrelse 1 Organisationsdiagram 6. Vores målsætning Politikker

Læs mere

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014 Aarhus Kommune IT-sikkerhedspolitik Politik 25-04-2014 Indholdsfortegnelse Politik 1 Indledning 1 Formål 1 Politikkens omfang 2 Ledelsesansvar 2 IT-sikkerhedsorganisationen 2 IT-sikkerhedsniveau 3 IT-sikkerhedshåndbogen

Læs mere

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven).

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven). Bilag 6 Databehandleraftale og databehandlerinstruks 1. Leverandøren overholder de til enhver tid gældende regler og forskrifter for behandling af personoplysninger under Kontrakten, herunder: lov nr.

Læs mere

Sikkerhed i cloud computing

Sikkerhed i cloud computing Sikkerhed i cloud computing Databeskyttelsesdagen 2012 Morten Jørsum Center for Digitalisering Digitaliseringsstyrelsen mjrsm@digst.dk Hvad er cloud computing It som en service: Leveres og betales efter

Læs mere

Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6

Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6 Indholdsfortegnelse Generelt 3 Formål 3 Omfang 4 It-sikkerhedsniveau 4 Styring 5 Sikkerhedsbevidsthed 6 Brud på it-sikkerheden 6 Anvendelse af politik for it-sikkerhed i praksis 6 Bilag 1. Anvendelse af

Læs mere

IT-SIKKERHEDSPOLITIK UDKAST

IT-SIKKERHEDSPOLITIK UDKAST IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens

Læs mere

Studér denne folder for vores sikkerheds skyld

Studér denne folder for vores sikkerheds skyld Studér denne folder for vores sikkerheds skyld Pas på vores værdifulde viden Vi fremskaffer og formidler viden. Elektronisk, skriftligt og mundtligt. Det er Københavns Universitets væsentligste aktivitet

Læs mere

Sikkerhedsanbefaling. It-sikkerhed på rejsen

Sikkerhedsanbefaling. It-sikkerhed på rejsen Sikkerhedsanbefaling It-sikkerhed på rejsen Juni 2015 2 It-sikkerhed på rejsen En sikkerhedsanbefaling fra Center for Cybersikkerhed 3 4 Om sikkerhedsanbefalingen Denne sikkerhedsanbefaling fra Center

Læs mere

Sikkerhedsanbefaling. It-sikkerhed på rejsen

Sikkerhedsanbefaling. It-sikkerhed på rejsen Sikkerhedsanbefaling It-sikkerhed på rejsen Juni 2015 It-sikkerhed på rejsen En sikkerhedsanbefaling fra Center for Cybersikkerhed 2 Om sikkerhedsanbefalingen Denne sikkerhedsanbefaling fra Center for

Læs mere

Databehandleraftale. Der er indgået denne Databehandlingsaftale ("Aftale") mellem

Databehandleraftale. Der er indgået denne Databehandlingsaftale (Aftale) mellem Oktober 2014 Sagsnr. 013928-0190 cen/dla Databehandleraftale Der er indgået denne Databehandlingsaftale ("Aftale") mellem Fredericia Kommune Gothersgade 20 7000 Frdericia CVR-nr.: 69116418 ("Kommunen")

Læs mere

Arbejdsmiljøguide for Odder Kommune

Arbejdsmiljøguide for Odder Kommune Arbejdsmiljøguide for Odder Kommune 1. Politikker Logpolitik Dok. Nr. 1.12 Version: 1 Niveau: 2 Dato 050508 Side 1 af 9 Logpolitik Formål At fastlægge og beskrive ansvar, pligter og konsekvenser når medarbejdere

Læs mere

Regionernes politiske linje for informationssikkerhed

Regionernes politiske linje for informationssikkerhed Regionernes politiske linje for informationssikkerhed 1 / SUNDHEDSDATA I TRYGGE HÆNDER / Danske Regioner 2015 Regionernes politiske linje for informationssikkerhed Danske Regioner 2015 Layout: UHI, Danske

Læs mere

ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015

ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015 ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015 Udfordringer mht. persondata eksempler For mange brugere har adgang til

Læs mere

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Den finansielle sektor er i dag 100% afhængig af, at it-løsninger er kørende og herudover er sikret i tilfælde af, at noget

Læs mere

Datasikkerhedspolitik

Datasikkerhedspolitik Datasikkerhedspolitik Godkendt i Byrådet den 10.november 2008 1 Datasikkerhedspolitik Indhold 1. Indledning 2. Organisation og ansvarsfordeling 2.1 Ansvarsorganisation for datasikkerhed 2.2 Øverste og

Læs mere

Regler. - for sikker brug af Aalborg Kommunes IT

Regler. - for sikker brug af Aalborg Kommunes IT Regler - for sikker brug af Aalborg Kommunes IT For en sikkerheds skyld! Hvorfor regler om IT? - for kommunens og din egen sikkerheds skyld Aalborg Kommune er efterhånden meget digitaliseret og derfor

Læs mere

IT Sikkerhedspolitik. for. Tønder kommune

IT Sikkerhedspolitik. for. Tønder kommune Udkast IT Sikkerhedspolitik for Tønder kommune Side 1 af 13 Indhold Version.... 3 Indledning... 4 Formålet med IT Sikkerhedspolitikken.... 4 Hvem er omfattet af IT Sikkerhedspolitikken.... 5 Ansvar og

Læs mere

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) 1 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-951-4 0.05.12

Læs mere

IT-sikkerhedspolitik. for. Gladsaxe Kommune

IT-sikkerhedspolitik. for. Gladsaxe Kommune IT-sikkerhedspolitik for Gladsaxe Kommune INDHOLD 1. IT-sikkerhedspolitik 1.1 Baggrund for IT-sikkerhedspolitikken 2. Begreber og definitioner 3. IT-sikkerhedspolitikken 3.1 Hovedmålsætninger med IT-sikkerhedspolitikken

Læs mere

Sikkerhedsinstruks for IT-brugere hos Randers Kommune. Bilag 1

Sikkerhedsinstruks for IT-brugere hos Randers Kommune. Bilag 1 Sikkerhedsinstruks for IT-brugere hos Randers Kommune Bilag 1 20. marts 2007 Samtlige IT-brugere af Randers kommunes IT skal kende nærværende retningslinier. Retningslinierne vil blive ajourført af IT-sikkerhedslederen,

Læs mere

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1 Tilgængelighed, fortrolighed og integritet. Høj kvalitet i informationssikkerhed og dokumentation Hvilken betydning har principper og anbefalinger i sikkerhedsstandarden ISO 27001 for kvaliteten af dokumentationen?

Læs mere

Informationssikkerhed Version 2.0 29.09.10

Informationssikkerhed Version 2.0 29.09.10 Informationssikkerhed Version 2.0 29.09.10 Retningslinjer for retablering af systemer og data (Ændringer i forhold til tidligere version er markeret med Understregning) Disse retningslinjer beskriver de

Læs mere

Politik for medarbejderes brug af virksomhedens IT

Politik for medarbejderes brug af virksomhedens IT Jan Trzaskowski - www.legalriskmanagement.com - Politik for medarbejderes brug af virksomhedens IT Jan Trzaskowski og Benjamin Lundström Jan Trzaskowski og Benjamin Lundströms artikel og checkliste vedrørende

Læs mere

OVERORDNET IT-SIKKERHEDSPOLITIK

OVERORDNET IT-SIKKERHEDSPOLITIK OVERORDNET IT-SIKKERHEDSPOLITIK Indholdsfortegnelse 1. Indledning....3 2. Formål...3 3. Sikkerhedspolitik...3 4. Dækningsormåde...4 5. Sikkerhedsniveau....4 6. Organisation og ansvar...4 7. Opfølgning...5

Læs mere

GENERELLE BRUGERBETINGELSER FOR

GENERELLE BRUGERBETINGELSER FOR GENERELLE BRUGERBETINGELSER FOR mypku Disse generelle brugerbetingelser ( Betingelser ) fastsætter de betingelser, der gælder mellem dig som bruger ( Brugeren ) og Nutricia A/S, CVR.: 73128110 ( Nutricia

Læs mere

NSP Servicevilkå r for Indirekte GW LEVERANDØR

NSP Servicevilkå r for Indirekte GW LEVERANDØR NSP Servicevilkå r for Indirekte GW LEVERANDØR Parter Denne aftale om at anvende den Nationale Serviceplatform (NSP) er indgået mellem Statens Serum Institut (SSI) v/national Sundheds-it (NSI) som systemansvarlig

Læs mere

It-sikkerhedstekst ST4

It-sikkerhedstekst ST4 It-sikkerhedstekst ST4 Datatransmission af personoplysninger på åbne net Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST4 Version 1 Oktober 2014 Datatransmission af personoplysninger

Læs mere

Cloud Computing De juridiske aspekter

Cloud Computing De juridiske aspekter Cloud Computing De juridiske aspekter Forskningsnet Konference 2010 Middelfart Advokat Nis Peter Dall Hvad er Cloud? IaaS (Infrastructure as a Service) - Computerkraft, lagerplads mv. stilles til rådighed

Læs mere

Har du spørgsmål til vilkårene for brugen af Berlingske Business Premium så kontakt Michael Friislund på micfr@berlingske.dk eller 22533351.

Har du spørgsmål til vilkårene for brugen af Berlingske Business Premium så kontakt Michael Friislund på micfr@berlingske.dk eller 22533351. ABONNEMENTS- OG MEDLEMSKABSBETINGELSER for Berlingske Business Premium For IP-adgang til biblioteker, uddannelsesinstitutioner og højere læreanstalter, 21-08-2013 (Version 1.2) Biblioteker på uddannelsesinstitutioner

Læs mere

Henkel Norden AB ("Henkel") er en del af Henkel Corporation, og i henhold til DPA, er Jörg Heine, den dataansvarlige: schwarzkopf.dk@henkel.

Henkel Norden AB (Henkel) er en del af Henkel Corporation, og i henhold til DPA, er Jörg Heine, den dataansvarlige: schwarzkopf.dk@henkel. HENKEL FORTROLIGHEDSPOLITIK Vi, hos Henkel, tager vores forpligtelser i henhold til dansk lov om databeskyttelse (persondataloven) alvorligt og er forpligtet til at beskytte dit privatliv. Denne fortrolighedserklæring

Læs mere

LÆS VENLIGST VILKÅRENE OMHYGGELIGT, FØR DU BRUGER DENNE HJEMMESIDE.

LÆS VENLIGST VILKÅRENE OMHYGGELIGT, FØR DU BRUGER DENNE HJEMMESIDE. LÆS VENLIGST VILKÅRENE OMHYGGELIGT, FØR DU BRUGER DENNE HJEMMESIDE. BRUGSVILKÅR FOR HJEMMESIDE Disse brugsvilkår angiver sammen med de øvrige retningslinjer, som der heri henvises til vilkårene for brug

Læs mere

Retningslinier for brug af it i Aalborg Kommune, tilrettet til lærerbrug

Retningslinier for brug af it i Aalborg Kommune, tilrettet til lærerbrug Retningslinier for brug af it i Aalborg Kommune, tilrettet til lærerbrug Udviklingen på området gør, at disse retningslinier vil blive revideret løbende Indhold: Indledning...3 Adgang til skolens net...3

Læs mere

Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk

Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk 9. april 2013 Dokumentnr.: CKG Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk Indhold: 1. Organisation...2 2. Serviceydelser...3 3. Teknik...6 4. Gældende regler...9 1/9 1. Organisation

Læs mere

E-mail politik Kriminalforsorgen i Grønland marts 2013

E-mail politik Kriminalforsorgen i Grønland marts 2013 E-mail politik Kriminalforsorgen i Grønland marts 2013 Indhold 1. Indledning... 3 2. Introduktion... 3 3. Brugen af e-mailsystemet... 3 4. God e-mailkultur... 4 5. Vigtige sikkerhedsmæssige forhold...

Læs mere

It-sikkerhedstekst ST2

It-sikkerhedstekst ST2 It-sikkerhedstekst ST2 Overvejelser om sikring mod, at personoplysninger kommer til uvedkommendes kendskab i forbindelse med Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST2 Version

Læs mere

Adgang til internettet Manuel login: http://login.kollegienet.dk Automatisk login: http://login.kollegienet.dk/jws Benyttelse af router:

Adgang til internettet Manuel login: http://login.kollegienet.dk Automatisk login: http://login.kollegienet.dk/jws Benyttelse af router: Velkommen til Foreningen Kollegienet Odense (FKO). Ved at udfylde og indsende tilmeldingsblanketten bagerst i denne folder har du mulighed for at benytte internet og internt netværk med FKO som din professionelle

Læs mere

Faaborg-Midtfyn Kommunes it-sikkerhedspolitik Udkast pr. 26. maj 2009

Faaborg-Midtfyn Kommunes it-sikkerhedspolitik Udkast pr. 26. maj 2009 1. Indledning It-anvendelsen i Faaborg-Midtfyn Kommune skal understøtte kommunens vision. Samtidig ønsker Faaborg- Midtfyn Kommune, at medarbejderne har en bevidst holdning til begrebet it-sikkerhed, hvor

Læs mere

fortrolighed: omfatter en sikring af, at information kun er tilgængelig for personer, som er berettigede

fortrolighed: omfatter en sikring af, at information kun er tilgængelig for personer, som er berettigede Tillæg 3 1 1 IT-sikkerhedspolitik for Ballerup Kommune 1.1 Baggrund for IT-sikkerhedspolitikken Ballerup Kommune anvender på flere områder og i større omfang IT for at leve op til de krav, som borgere,

Læs mere

Risikostyring ifølge ISO27005 v. Klaus Kongsted

Risikostyring ifølge ISO27005 v. Klaus Kongsted Risikostyring ifølge ISO27005 v. Klaus Kongsted Agenda Dubex A/S Formålet med risikovurderinger Komponenterne Risikovurderinger Dubex A/S fakta og værdier Den førende sikkerhedspartner De bedste specialister

Læs mere

8 PRINCIPPER FOR GOD NET-ADFÆRD FOR PRIVATPERSONER

8 PRINCIPPER FOR GOD NET-ADFÆRD FOR PRIVATPERSONER 8 PRINCIPPER FOR GOD NET-ADFÆRD FOR PRIVATPERSONER 8 PRINCIPPER FOR GOD NET-ADFÆRD FOR PRIVATPERSONER 1 BESKYT DIN COMPUTER OG ANDRE ENHEDER 2 BESKYT DINE PERSONLIGE OPLYSNINGER 3 BESKYT DINE ELEKTRONISKE

Læs mere

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer plus revision skat rådgivning TABULEX ISAE 3000 DK ERKLÆRING MARTS 2013 Erklæring fra uafhængig revisor om Tabulex ApS overholdelse af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger

Læs mere

Udgivet af DANSK ERHVERV

Udgivet af DANSK ERHVERV GODE RÅD OM Internet og e-mail 2008 gode råd om INTERNET OG E-MAIL Udgivet af DANSK ERHVERV Læs i denne pjece om: Indholdsfortegnelse 1. Indledning 3 2. Retningslinjer 3 3. Privat brug af Internet og e-mail

Læs mere

It-sikkerhedspolitik for Københavns Kommune

It-sikkerhedspolitik for Københavns Kommune Københavns Kommune Koncernservice It-sikkerhedspolitik for Københavns Kommune 2015-02-05 It-sikkerhedshåndbog for Københavns Kommune It-sikkerhedspolitik for Københavns Kommune Publiceret: 2014-07-03 Mål

Læs mere

Forskrift G - Diskretionspolitik og procedurer omkring datasikkerhed

Forskrift G - Diskretionspolitik og procedurer omkring datasikkerhed Forskrift G - Diskretionspolitik og procedurer omkring datasikkerhed December 2007 Rev. 1 Nov. 2006 Nov. 2006 Jan. 2007 Jan. 2007 DATE LEG BCM/MRP LEG LSO NAME Nov. 2006 DATE HEP/LEG NAME REV. DESCRIPTION

Læs mere

Hvad du søgte efter Identiteten på det websted, du besøgte umiddelbart før vores websted (henvisende websted).

Hvad du søgte efter Identiteten på det websted, du besøgte umiddelbart før vores websted (henvisende websted). Brugervilkår og andre gode ting, som du bør vide for at være sikker online. Sikkerhed er alles ansvar En del af IKEA ånden er "jeg gør min del, du gør din del, og sammen gør vi en masse." Dette gælder

Læs mere

Cirkulære om sikkerhedsforanstaltninger i Kirkenettet

Cirkulære om sikkerhedsforanstaltninger i Kirkenettet Cirkulære om sikkerhedsforanstaltninger i Kirkenettet Cirkulæret omhandler organisatoriske forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af adgangskontrolordninger og autorisationsordninger

Læs mere

> hvidbog. Beskytter du dine kunders og dine egne data godt nok?

> hvidbog. Beskytter du dine kunders og dine egne data godt nok? > hvidbog Beskytter du dine kunders og dine egne data godt nok? HVAD BETYDER DET? DU ER ALDRIG FOR STOR TIL AT BLIVE HACKET ELLER FOR LILLE Går man ti år tilbage var teknologi knyttet tæt sammen med vores

Læs mere

O Guide til it-sikkerhed

O Guide til it-sikkerhed It-kriminalitet O Guide til it-sikkerhed Hvad din virksomhed bør vide om it-kriminalitet, og hvordan du kan forebygge det codan.dk 2 Forord 3 o Er I ordentligt sikret mod it-kriminalitet? Mange virksomheder

Læs mere

Vejledning i brug af Kollegienettet

Vejledning i brug af Kollegienettet Vejledning i brug af Kollegienettet Del I - Sådan tilsluttes din computer til netværket/internettet - side 2 Del II - Vejledning for intranetog internetadgang - side 16 Del III - Regler for Intranetog

Læs mere

ISO27001 og klassifikation Case Dubex A/S. 14. maj 2012 Jacob Herbst jhe@dubex.dk

ISO27001 og klassifikation Case Dubex A/S. 14. maj 2012 Jacob Herbst jhe@dubex.dk ISO27001 og klassifikation Case Dubex A/S 14. maj 2012 Jacob Herbst jhe@dubex.dk Agenda Dubex A/S Hvorfor en ISO27001 certificering? Sikkerhedshåndbogen Dubex dataklassifikation Klassifikation i praksis

Læs mere

GENERELLE BETINGELSER FBI.TV

GENERELLE BETINGELSER FBI.TV GENERELLE BETINGELSER FBI.TV Senest opdateret maj 2013 Indholdsfortegnelse 1. Filmtjenesten FBI.TV... 3 2. Brug af og adgang til FBI.TV... 3 3. Særligt vedr. leje af film via FBI.TV... 4 4. Særligt vedr.

Læs mere

Sikkerhed i trådløse netværk

Sikkerhed i trådløse netværk Beskyt dit trådløse netværk IT- og Telestyrelsen Holsteinsgade 63 2100 Kbh. Ø Telefon 3545 0000 Telefax 3545 0010 E-post: itst@itst.dk www.itst.dk Rådet for it-sikkerhed www.raadetforitsikkerhed.dk Der

Læs mere

IT sikkerhedspolitik. for. Fredericia Kommune

IT sikkerhedspolitik. for. Fredericia Kommune IT sikkerhedspolitik for Fredericia Kommune Side 1 af 17 Versionsstyring Versionsnummer Dato for version Ændring Årsag Ansvar 1.00 01.06.2013 Ny politik godkendt i byrådet PerToftdahl Side 2 af 17 Versionsstyring...

Læs mere

Sådan håndterer Danish Crown sin industrielle IT-sikkerhed

Sådan håndterer Danish Crown sin industrielle IT-sikkerhed Sådan håndterer Danish Crown sin industrielle IT-sikkerhed DAU d. 7 marts 2013 CV Firma : Navn : Afdeling : Titel : Alder : Danish Crown A/S Thomas Page Pedersen Factory IT Afdelingschef 43 år Danish Crown

Læs mere

Dokumenthåndtering E-post Internet Virus Lagringsmedier Brugerrettigheder. Sikkerhed I BIRKERØD KOMMUNE

Dokumenthåndtering E-post Internet Virus Lagringsmedier Brugerrettigheder. Sikkerhed I BIRKERØD KOMMUNE Dokumenthåndtering E-post Internet Virus Lagringsmedier Brugerrettigheder IT Sikkerhed I BIRKERØD KOMMUNE 1 Sikker IT i Birkerød Kommune Indhold 4 Regler & retningslinier for IT-brugere i Birkerød Kommune

Læs mere

POLITIK FOR DATABESKYTTELSE

POLITIK FOR DATABESKYTTELSE POLITIK FOR DATABESKYTTELSE Disse retningslinjer for databeskyttelse beskriver, hvordan vi bruger og beskytter oplysninger, som du afgiver i forbindelse med brug af vores hjemmeside. Vi har forpligtet

Læs mere

Rigshospitalets retningslinier for brug af elektroniske sociale medier

Rigshospitalets retningslinier for brug af elektroniske sociale medier Personaleafdelingen Afsnit 5212 Blegdamsvej 9 2100 København Ø Direkte 35 45 64 39 Journal nr.: - Ref.: hep Dato 7. september 2011 Rigshospitalets retningslinier for brug af elektroniske sociale medier

Læs mere

IT-politik i Trafikselskabet Movia. Version 1.0

IT-politik i Trafikselskabet Movia. Version 1.0 Bestyrelsen den 9. august 2007 Dagsordenens punkt 07 - IT-politik for Movia Bilag 1 IT-politik i Trafikselskabet Movia Version 1.0 Oprettet: 23. januar 2007 CBL / IUa Indholdsfortegnelse Indledning...3

Læs mere

Informationssikkerhedspolitik for

Informationssikkerhedspolitik for <organisation> 1 Informationssikkerhedspolitik for Indholdsfortegnelse Side 1. Indledning 4 1.1 Formål med informationssikkerhedspolitikken 4 1.2 Hovedmålsætninger i informationssikkerhedspolitikken 4

Læs mere

NOTAT. definitionen af sikkerhedshændelse i lovforslaget om Center for Cybersikkerhed (L 192)

NOTAT. definitionen af sikkerhedshændelse i lovforslaget om Center for Cybersikkerhed (L 192) Forsvarsudvalget 2013-14 L 192 Bilag 6 Offentligt NOTAT 30. maj 2014 om definitionen af sikkerhedshændelse i lovforslaget om Center for Cybersikkerhed (L 192) 1. Begrebet sikkerhedshændelse er et centralt

Læs mere

RÅDET FOR DIGITAL SIKKERHED GUIDE TIL SIKRING AF FORBRUGER- ELEKTRONIK PÅ INTERNETTET

RÅDET FOR DIGITAL SIKKERHED GUIDE TIL SIKRING AF FORBRUGER- ELEKTRONIK PÅ INTERNETTET GUIDE TIL SIKRING AF FORBRUGER- ELEKTRONIK PÅ INTERNETTET TING PÅ INTERNETTET Internet of things er et moderne begreb, som dækker over, at det ikke længere kun er computere, der er på internettet. Rigtig

Læs mere

Kommissorium for Revisions- og Risikokomiteen i DONG Energy A/S

Kommissorium for Revisions- og Risikokomiteen i DONG Energy A/S Kommissorium for Revisions- og Risikokomiteen i DONG Energy A/S Generelt Revisions- og Risikokomiteen er et udvalg under Bestyrelsen, der er nedsat i overensstemmelse med forretningsordenen for Bestyrelsen.

Læs mere

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør Dagsorden 1. Præsentation 2. Roskilde Universitet 3. Risikostyring - hvorfor? 4. Ledelsesopbakning 5. ISO27001 6. Forretningsorienteret risikostyring 7. It-teknisk sikkerhedsstyring 8. Hvordan bruges risikostyring

Læs mere

guide til it-sikkerhed

guide til it-sikkerhed Codans guide til it-sikkerhed Hvad du som virksomhed bør vide om it-kriminalitet og hvordan du kan forebygge det Indhold Side 3...Forord Side 4...Virksomhedernes tanker om it-kriminalitet Side 5...Sådan

Læs mere

Torben Waage www.kromannreumert.com/insights. Partner

Torben Waage www.kromannreumert.com/insights. Partner Torben Waage IT-SIKKERHEDEN SKAL OP PÅ LEDELSESNIVEAU Hvert år bliver der brugt milliarder af kroner på at beskytte digitale aktiver, så fortrolige informationer undgår at finde vej til offentligheden.

Læs mere

Gode råd til netbankbrugere - sikring af en typisk hjemme-pc med adgang til netbank

Gode råd til netbankbrugere - sikring af en typisk hjemme-pc med adgang til netbank Gode råd til netbankbrugere - sikring af en typisk hjemme-pc med adgang til netbank Af BEC og FortConsult, januar 2005. Hvad kan du konkret gøre for at beskytte din pc? Målgruppe Denne vejledning er skrevet

Læs mere

Punkter som ikke synes relevante for det givne projekt besvares med: ikke relevant

Punkter som ikke synes relevante for det givne projekt besvares med: ikke relevant Modtagelseserklæring Modtagelseserklæring for AAU ITS Infrastruktur version 4. Anvendelse Modtagelseserklæringen skal anvendes i forbindelse med projekter drevet af PMO, AIU eller IFS. Projektlederen er

Læs mere

Digital Signatur Sikker brug af digital signatur

Digital Signatur Sikker brug af digital signatur Digital Signatur IT- og Telestyrelsen December 2002 Resumé Myndigheder, der ønsker at indføre digital signatur, må ikke overse de vigtige interne sikkerhedsspørgsmål, som teknologien rejser. Det er vigtigt,

Læs mere

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup.

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. Front-safe A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. April 2011 5. erklæringsår R, s Kalvebod Brygge 45, 2., 1560 København

Læs mere

Ydelser Af ydelseskataloget fremgår det, hvilke grundydelser, der skal løses af gymnasiefællesskabet, og hvilke opgaver der skal løses af skolen.

Ydelser Af ydelseskataloget fremgår det, hvilke grundydelser, der skal løses af gymnasiefællesskabet, og hvilke opgaver der skal løses af skolen. Opdateret 29. november 2011 Bilag 3 til samarbejdsaftalen Område: IT-service og support Opgaver Support af administrativ og undervisningsmæssig IT på gymnasierne. Overordnet ansvar for udvikling og implementering

Læs mere

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015 Databeskyttelse: Afrunding Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015 Der er to typer virksomheder Der er to typer virksomheder: Dem, der ved at de er blevet hacket og dem der ikke ved at

Læs mere

Johnson Controls' Binding Corporate Rules (bindende virksomhedsregler)

Johnson Controls' Binding Corporate Rules (bindende virksomhedsregler) Johnson Controls' Binding Corporate Rules (bindende virksomhedsregler) Indhold 1. Introduktion 2. Område og anvendelse 3. Gennemsigtighed og underretning 4. Rimelig behandling og afgrænsning af formål

Læs mere

Greve Kommune. Revision af generelle it-kontroller 2011

Greve Kommune. Revision af generelle it-kontroller 2011 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 0 30 Telefax 36 10 0 40 www.deloitte.dk Greve Kommune Revision af generelle

Læs mere

Retningslinjer for brugen af UCL Apps

Retningslinjer for brugen af UCL Apps Retningslinjer for brugen af UCL Apps Retningslinjerne i dette afsnit gælder brugen af CLOUD-løsningen UCL Apps, som er afgrænset til alene at kunne bruges af UC Lillebælts i forvejen registrerede itbrugere,

Læs mere

RETNINGSLINJER FOR TV-OVERVÅGNING I BOLIGFORENINGEN VIBO

RETNINGSLINJER FOR TV-OVERVÅGNING I BOLIGFORENINGEN VIBO RETNINGSLINJER FOR TV-OVERVÅGNING I BOLIGFORENINGEN VIBO Definition Ved tv-overvågning forstås vedvarende eller periodisk gentagen overvågning af både udendørs- og indendørs arealer ved hjælp af automatisk

Læs mere

Online Banking Sikkerhedsvejledning PC-baseret version

Online Banking Sikkerhedsvejledning PC-baseret version Sikkerhedsvejledning PC-baseret version Indhold Introduktion til Sikkerhedsvejledningen...3 Sikkerhedsvejledningen...3 Sikker brug af internettet...3 Sikkerhedsløsninger i...3 Hvad er sikkerhed i?...4

Læs mere

Reglerne Om Behandling Af Personlige Oplysninger

Reglerne Om Behandling Af Personlige Oplysninger Reglerne Om Behandling Af Personlige Oplysninger Sådan bruger og beskytter vi personlige oplysninger Hos Genworth Financial ligger det os stærkt på sinde at beskytte dit privatliv og dine personlige oplysninger.

Læs mere

Regulativ for it-sikkerhed i Københavns Kommune

Regulativ for it-sikkerhed i Københavns Kommune Regulativ for it-sikkerhed i Københavns Kommune 2013 2. I medfør af 5 i Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som

Læs mere