Informationssikkerhedspolitik for

Størrelse: px
Starte visningen fra side:

Download "Informationssikkerhedspolitik for "

Transkript

1 1 Informationssikkerhedspolitik for <organisation>

2 Indholdsfortegnelse Side 1. Indledning Formål med informationssikkerhedspolitikken Hovedmålsætninger i informationssikkerhedspolitikken Omfang 5 2. Risikovurdering og risikoanalyse 5 3. Organisering og ansvar Interne organisatoriske forhold Styringsprincipper Eksterne samarbejdspartnere 6 4. Klassifikation af systemer og data 6 5. Brugeradfærd Ansættelsesforholdet Funktionsadskillelse Uafhængighed af nøglepersoner Sikkerhedsprocedurer før ansættelse Ansættelsens ophør 8 6. Fysisk sikkerhed Sikre områder Fysisk adgangskontrol Beskyttelse af udstyr 8 7. Styring af netværk og drift Operationelle procedurer og ansvarsområder Eksterne serviceleverandører Styring af driftsmiljø 9 2

3 7.4 Skadevoldende programmer (vira, orme, spy- og malware) Sikkerhedskopiering Netværkssikkerhed Trådløse netværk Informationsudveksling Logning og overvågning Adgangsstyring De forretningsmæssige krav til adgangsstyring Administration af brugeradgang Brugerens ansvar Styring af netværksadgang, systemadgang og adgang til brugersystemer og informationer Mobilt udstyr og fjernarbejdspladser Anskaffelse, udvikling og vedligeholdelse af it-systemer Sikkerhedskrav til informationsbehandlingssystemer Korrekt informationsbehandling Kryptering Styring af driftsmiljøet Sikkerhed i udviklings- og hjælpeprocesser Sårbarhedsstyring Styring af sikkerhedshændelser på it-området Rapportering af sikkerhedshændelser og svagheder Håndtering af sikkerhedsbrud og forbedringer It-beredskabsstyring Overensstemmelse med lovbestemte krav Godkendelse 14 3

4 1. Indledning 1.1 Formål med informationssikkerhedspolitikken <Organisationens> informationssikkerhedspolitik er vores sikkerhedsgrundlag og vores fælles forståelse af, hvad informationssikkerhed er. Informationssikkerhedsstrategien og informationssikkerhedspolitikken fastlægger vores ambitionsniveau og opstiller rammerne for de sikkerhedstiltag, som er nødvendige at følge, når vi som en organisation med stor samfundsmæssig betydning skal leve op til lovgivningskrav og best practices. <Organisationen> ser ikke kun et højt sikkerhedsniveau som et krav for at kunne overholde lov- og myndighedskrav, men også som et kvalitetselement i forhold til at kunne tilbyde en sikker service over for samarbejdspartnere, myndigheder og professionelle, og private kunder i det hele taget. Med informationssikkerhed forstår vi den nødvendige beskyttelse af samtlige ressourcer, der indgår i eller bidrager til <organisationens> behandling og kommunikation af data elektronisk, i papirform mm. herunder også teknologi og organisatoriske processer. 1.2 Hovedmålsætninger i informationssikkerhedspolitikken Informationssikkerhed og troværdighed Informationssikkerheden skal understøtte <organisationens> virksomhed i forhold til at sikre stabilitet i tilgangen til data, fortrolighed i forhold til følsomme data samt pålidelighed i datas indhold. Det sikres ved, at <organisationen> i vores daglige virksomhed lever op til almindeligt anerkendte principper for informationssikkerhed. Herved understøtter informationssikkerheden, at <organisationen> fortsat vil kunne leve op til ejerkredsens og kundernes forventning om troværdighed. <Organisationens> opgaver består bl.a. i Samarbejde med myndigheder Borgerservice Administration Behandling af persondata Information til myndigheder, samarbejdspartnere og kunder Informationssikkerhedspolitikken skal være med til at sikre, at de data og informationer, som <organisationen> kommunikerer til borgere, samarbejdspartnere og offentlige myndigheder, er tilgængelige, forbliver fortrolige, når de er af fortrolig karakter, og fremstår med et korrekt indhold. Målet for informationssikkerheden er at: Understøtte bevidstheden om informationssikkerhed i organisationen Opnå høj driftssikkerhed og minimeret risiko for store nedbrud og tab af data Opnå korrekt funktion af it-systemerne med minimeret risiko for manipulation af data og systemer og fejl i disse Opnå mulighed for fortrolig behandling, transmission og opbevaring af data. Dvs. at faciliteter hertil skal være til stede og benyttes efter konkret behov Sikre mod forsøg på tilsidesættelse af sikkerhedsforanstaltninger Afbalanceret informationssikkerhed <Organisationen> er afhængig af et godt omdømme og fortsat politisk tillid. Derfor skal informationssikkerhedspolitikken være med til at sikre, at data og informationer behandles i overensstemmelse med de krav, der stilles til organi- 4

5 sationer med stor samfundsmæssig betydning. Sikkerhedsniveauet skal dog afbalanceres, således at fleksibiliteten og dynamikken i vores dagligdag ikke mistes. Derfor er det en målsætning i sikkerhedspolitikken, at data og systemer sikres ud fra en vurdering af, hvad der er nødvendigt at gøre under hensyntagen til de økonomiske rammer. Krav til informationssikkerhed skal vurderes i forhold til deres relevans for <organisationen> - dermed holdes fokus på et informationssikkerhedsniveau, hvor god sund fornuft er en afgørende faktor. 1.3 Omfang Informationssikkerhedspolitikken er det dokument, der angiver de beslutninger, som ledelsen i <organisationen> har truffet med henblik på nærmere at fastlægge det tilstrækkelige sikkerhedsniveau samt definere de krav, der skal stilles, for at sikkerhedsniveauet opretholdes. Derfor fastlægges omfanget af informationssikkerhedspolitikken således: Informationssikkerhedspolitikken gælder for alle ansatte i <organisationen> uanset ansættelsesform, herunder også eksterne konsulenter og servicemedarbejdere. Det forventes, at informationssikkerhedspolitikken overholdes. Informationssikkerhedspolitikken gælder for alle systemer og alle data i <organisationens> besiddelse. Leverandører og samarbejdspartnere, som har fysisk eller logisk adgang til organisationens systemer og data, skal ligeledes have kendskab til og følge informationssikkerhedspolitikken. Informationssikkerhedspolitikken udgør en præcisering af <organisationens> informationssikkerhedsstrategi. Informationssikkerhedspolitikken dækker alle tekniske og administrative forhold, der har direkte eller indirekte indflydelse på drift og brug af <organisationens> it-systemer og papirarkiver. Informationssikkerhedspolitikken godkendes af bestyrelsen og revurderes en gang årligt for at sikre, at den er i overensstemmelse med de sikkerhedsmålsætninger, som <organisationen> arbejder efter. 2. Risikovurdering og risikoanalyse Risikovurdering Det sikkerhedsniveau, denne politik repræsenterer, er fastsat på baggrund af <organisationens> vurdering af de forretningsmæssige it-risici, som vi ønsker at imødegå. It-risikovurderingen opdateres årligt og ved eventuelle større ændringer i it-systemerne, ændringer i anvendelse af systemerne eller ved større organisatoriske ændringer med efterfølgende tilretning af informationssikkerhedspolitikken, retningslinjer mm. Sikkerhedsniveau <Organisationens> sikkerhedsniveau skal først og fremmest indfri de forventninger til troværdighed og stabilitet, der er til behandling af forretningskritiske data i en organisation med samfundsmæssig betydning. <Organisationen> ønsker at fremstå med et højt sikkerhedsniveau, der tilgodeser: Lovgivningsmæssige krav samt EU-direktiver, inden de er omsat i national lovgivning De anerkendte standarder for informationssikkerhed i form af ISO Organisering og ansvar 3.1 Interne organisatoriske forhold Organisering af informationssikkerhed i <organisationen> er defineret i informationssikkerhedsstrategien. Bestyrelsen har det overordnede ansvar for at sikre, at <organisationens> ledelse har defineret en informationssikkerhedsstrategi. 5

6 Ledelsen beslutter overordnede strategiske projekter af informationssikkerhedsmæssig karakter, men har i praksis delegeret det daglige ansvar for informationssikkerheden til økonomidirektøren og it-chefen. Almindelige problemstillinger af informationssikkerhedsmæssig karakter behandles i Chefgruppen, og Chefgruppen vil som helhed dele det generelle ansvar for informationssikkerheden. Ledelsen vil uddelegere ansvar og opgaver vedrørende de enkelte funktionsområder, herunder også for vejledning og instruktion af medarbejdere. 3.2 Styringsprincipper Informationssikkerhed er et fælles anliggende for hele organisationen og vil blive ledet af it-chefen, herunder itafdelingen, ifølge de regler og procedurer, der indgår i informationssikkerhedsstyringssystemet. It-afdelingen vejleder ledelse og medarbejdere i informationssikkerhedsspørgsmål, og koordinerer og følger op på informationssikkerheds-relaterede aktiviteter. 3.3 Eksterne samarbejdspartnere Der skal indgås skriftlige aftaler med eksterne samarbejdspartnere, og de sikkerhedskrav, der stilles, skal defineres ud fra den danske persondatalov, samt ISO Kravene skal fremgå af de skriftlige aftaler. For at sikre klarhed over de sikkerhedskrav, der skal stilles, skal der ske en konkret identifikation af risici i forbindelse med brug af eksterne leverandører. Eksterne samarbejdspartnere, der har adgang til data, skal efterleve samme retningslinjer som gælder internt i organisationen. 4. Klassifikation af systemer og data For at sikre at vores systemer og data har det rigtige sikkerhedsniveau, skal disse identificeres og klassificeres. Der udarbejdes en fortegnelse over alle væsentlige it-aktiver, både hardware og software. Der skal angives ansvarlige ejere for alle kritiske it-aktiver. Data og systemer skal klassificeres i forhold til tilgængelighed og til sikkerhed (fortrolighed og datas pålidelighed). Tilgængelighed af data og systemer prioriteres indbyrdes i følgende kategorier: A tilgængelighed er forretningskritisk, og kan ikke erstattes af manuelle procedurer B tilgængelighed er vigtigt, men funktionerne kan udføres manuelt i en begrænset tidsperiode C tilgængelighed er ikke kritisk, og funktionerne kan afbrydes i en længere tidsperiode Informationssikkerhed af data klassificeres efter følgende kategorier: 1 forretningskritiske beslutninger bliver taget på grundlag af data data med høj grad af fortrolighed 2 data danner grundlag for beslutninger, men de er ikke kritiske data er interne og eksponeres ikke udadtil 3 data danner aldrig eller kun sjældent grundlag for beslutninger data er offentlige 6

7 5. Brugeradfærd Opretholdelse af det ønskede sikkerhedsniveau er afhængig af, at vi alle tager ansvar for informationssikkerheden. Alle ansatte skal være bekendt med sikkerhedspolitikken og gældende retningslinjer for ønsket adfærd. Anvendelse af it og behandling af data er selvfølgelige redskaber i varetagelsen af de daglige arbejdsopgaver. Håndteringen af vore redskaber kræver ikke specielle forudsætninger, men bør ske med omtanke og almindelig sund fornuft. Det er således tilstrækkeligt, men vigtigt, at følge disse få retningsgivere: Persondata behandles i alle tilfælde fortroligt. Der anvendes personligt login og password, og password skiftes med jævne mellemrum. Datamedier med persondata og vigtige informationer behandles og beskyttes med omhu mod at uvedkommende får adgang til dem. Mobilt udstyr beskyttes og opbevares, så andre ikke kan få adgang til det. Det er vigtigt at kunne anvende internettet i mange sammenhænge. Besøg på sider med racistisk, uetisk eller pornografisk indhold er ikke acceptabelt i forbindelse med de daglige arbejdsopgaver. Mail anvendes til kommunikation på mange niveauer også til privat kommunikation, men bør holdes på et rimeligt niveau. Der må kun anvendes it-programmer, som er godkendt af It-afdelingen. Hvis man oplever, at der sker brud på informationssikkerheden, er det vigtigt at informere sin nærmeste leder eller It-afdelingen. 5.1 Ansættelsesforholdet Alle medarbejdere har et medansvar for at opretholde det ønskede sikkerhedsniveau i <organisationen>. For at kunne leve op til medansvaret, er det den enkelte afdelingsleders ansvar at sørge for instruktion i forhold til anvendelse af systemer i det daglige arbejde samt i forhold til den ønskede adfærd for informationssikkerhed. Alle medarbejdere skal: Have et generelt kendskab til informationssikkerhed Kende deres ansvar for sikkerheden Sikre deres personlige adgangskoder Passe på organisationens it-udstyr Deltage aktivt i rettelse af fejl, løsning af problemer og forbedringer af sikkerheden Rapportere hændelser, der kan indikere brud på sikkerheden Der udarbejdes deltaljerede retningslinjer for ønsket brugeradfærd på udvalgte områder som f. eks. og internet, password, og rapportering af sikkerhedshændelser. Retningslinjer for brugeradfærd godkendes af Chefgruppen efter behandling i samarbejdsforum. Som afhjælpningsforanstaltninger til at minimere vurderede risici, skal retningslinjerne jævnligt revurderes og opdateres. Overtrædelser af informationssikkerhedspolitikken vil efter omstændighederne kunne medføre disciplinære sanktioner. 5.2 Funktionsadskillelse Der er etableret regler for funktionsadskillelse. Dette princip er en grundlæggende forudsætning for forebyggelse og begrænsning af konsekvenser, som stammer fra fejl, uheld og bevidst negative handlinger forårsaget af enkeltpersoner 7

8 eller grupper af enkeltpersoner. I de tilfælde, hvor det ikke er muligt at etablere funktionsadskillelse, kompenseres så vidt muligt med andre sikkerhedskontroller. 5.3 Uafhængighed af nøglepersoner Der tilstræbes uafhængighed af enkeltpersoner gennem videndeling og etablering af personbackup, hvor dette er muligt. Hvor videndeling ressourcemæssigt ikke er muligt, skal der etableres relevante kompenserende kontroller, der gør det muligt at udføre opgaverne og sikre den nødvendige dokumentation herfor. 5.4 Sikkerhedsprocedurer før ansættelse Der skal være procedurer, der sikrer ansættelse af kompetente og sikkerhedsmæssigt egnede medarbejdere. Medarbejdere, der skal arbejde med fortrolige oplysninger, skal fremlægge straffeattest inden ansættelse. Det skal sikres, at der foreligger ansættelseskontrakter på alle ansatte, hvor ansvar for informationssikkerheden er beskrevet, og der skal tages stilling til behovet for brug af tavshedserklæringer. 5.5 Ansættelsens ophør Der er procedurer, der sikrer, at it-aktiver returneres, og at adgange og rettigheder ophører ved ansættelsesforholdets ophør. Brugerkonti deaktiveres efter 90 dage og lægges på en watch-liste. 6. Fysisk sikkerhed Adgangen til alle fysiske lokaliteter er sikret mod uvedkommendes adgang. 6.1 Sikre områder Lokaler er opdelt i sikkerhedsområder. Lokaler, hvor der opbevares fortrolige dokumenter eller medarbejderdata, skal være aflåst, når ingen er til stede. Serverrummet, hvor data lagres elektronisk er videoovervåget, og optagelserne opbevares i 30 dage. 6.2 Fysisk adgangskontrol Adgang til lokationer tildeles på baggrund af autorisationer og beskyttes med et hensigtsmæssigt adgangskontrolsystem, udvalgt på baggrund af en risikovurdering. Gæster registreres og skal bære synligt gæstekort under besøget. 6.3 Beskyttelse af udstyr It-udstyr beskyttes mod ødelæggelse og skade, der følger af brand, vandskade, strømsvigt og andre skader, som udspringer af hændelser i det omkringliggende miljø. Kritisk it-udstyr skal overvåges og vedligeholdes efter leverandørens anvisninger. Ved bortskaffelse, reparation eller genbrug af it-udstyr sikres det, at udstyret er forsvarligt renset for alle data. Når it-udstyr bortskaffes eller på anden måde udskiftes, slettes alle data på en sådan måde, så de ikke kan gendannes. 7. Styring af netværk og drift Driftsforstyrrelser skal imødegås gennem: Forebyggende foranstaltninger såsom kvalitetssikring, ændringshåndtering og dokumentationsvedligeholdelse 8

9 Problemhåndtering, der sikrer skadeudbedring, og som sikrer, at omgåelse, opkobling eller tilsvarende ikke er muligt Sikkerhedshændelser rapporteres til it-chefen, ligesom planlagte forbedringstiltag. Som en forudsætning for hurtig imødegåelse af driftsforstyrrelser, er der etableret procedurer for daglig sikkerhedskopiering (backup). Backup opbevares eksternt på en anden geografisk og sikker lokation, hvor sikkerheden jævnligt kontrolleres. It-risikovurderingen dokumenterer, at det er vigtigt for organisationen, at it-systemerne rummer korrekte og pålidelige data, og at systemerne er tilgængelige, når dette er nødvendigt eller i det mindste inden for kortere tid. Det stiller krav til it-afdelingen om tilstrækkelige backup-procedurer og godkendte SLA er (Service Level Agreements). Procedure for vurdering af leverandører anvendes, når der skal stilles krav over for de leverandører, der leverer drift og udvikling til <organisationen>. De overordnede krav i dette afsnit anvendes til at stille krav over for leverandørerne, som skal overholde <organisationens> informationssikkerhedspolitik. 7.1 Operationelle procedurer og ansvarsområder For at sikre stabiliteten i driften er der etableret funktionsadskillelse, således at test og produktion holdes adskilt på forskellige segmenter. Nye systemer og ændringer til eksisterende systemer testes inden installering i driftsmiljøet, således at tilgængelighed og integritet sikres. Procedurer, ansvarsområder og anvendt teknologi skal understøtte den nødvendige funktionsadskillelse. 7.2 Eksterne serviceleverandører Der er procedurer til at overvåge, at eksterne serviceleverandører varetager kontroller, som udføres på vegne af <organisationen>, hensigtsmæssigt og i overensstemmelse med det aftalte. 7.3 Styring af driftsmiljø Der er procedurer, der sikrer stabilitet ved installation af systemer i driftsmiljøer. Der anvendes standardopsætninger for konfiguration af systemkomponenter, som kontrollerer kendte sårbarheder. It-afdelingen skal løbende vurdere tilgængelige sikkerhedsrettelser, f. eks. patches og hotfixes til anvendte operativsystemer. Sikkerhedsrettelser installeres efter behov. Data, der anvendes til test, skal udvælges omhyggeligt, kontrolleres nøje og beskyttes i henhold til deres klassifikation. Der er særligt fokus på beskyttelse af persondata. Kapaciteten i forbindelse med alle servere med kritiske informationer skal løbende overvåges for at sikre pålidelig drift og tilgængelighed. Ved implementering af nye systemer skal det sikres, at der er mulighed for reetablering og fornøden fejlhåndtering. 7.4 Skadevoldende programmer (vira, orme, spy- og malware) Skadevoldende programmer kan sætte hele organisationen ud af drift, og det kan være meget dyrt at rense itsystemerne, hvis de er blevet ramt af et hackerangreb eller en virus. Alt godkendt it-udstyr, der er tilsluttet <organisationens> netværk har, hvor det er muligt, installeret et aktivt og opdateret antivirusprogrammel, der kan opdage, rense og beskytte mod forskellige former for skadevoldende programmer. Det gælder også eksterne brugere, der tilsluttes netværket via fjernopkobling. Det overvåges, at antivirusprogrammerne hele tiden er opdaterede. Det kontrolleres løbende, at anti-virus er aktivt på arbejdsstationerne, og at signatur-filerne ikke er ældre end én uge. Arbejdsstationer, der ikke har opdateret anti-virus kan ikke tilgå netværket, før den er opdateret. Opdatering finder automatisk sted, når brugeren aktiverer arbejdsstationen igen, men kræver ingen særlige interaktion af brugeren. Opdateringen kan medføre, at netværket i kort tid ikke er tilgængeligt. 9

10 Det er ikke tilladt at installere egne programmer på <organisationens> maskiner. Ved installation af programmer skal de procedurer, der findes i <organisationens> egne retningslinjer følges. 7.5 Sikkerhedskopiering For at vigtige informationer altid kan fremfindes, og for at undgå tabt arbejde, foretages der sikkerhedskopiering og backup med faste intervaller. De nærmere regler herfor findes i retningslinjen for backup. Aftaler med eksterne leverandører skal indeholde krav til samme procedure, som gælder internt i <organisationen>. Det skal ved regelmæssige test sikres, at sikkerhedskopierne kan genindlæses. Sikkerhedskopierne opbevares på en anden lokation adskilt fra produktionsdata, så de kan fremfindes ved igangsættelse af nødplaner eller i forbindelse med andre behov. 7.6 Netværkssikkerhed For at undgå uautoriseret adgang, skal vores netværk sikres. Sikring af vores netværk imod uautoriseret adgang styres af it-afdelingen. Det sker f. eks. via adgangskontrol og adskillelse af netværkstjenester, hvor dette er hensigtsmæssigt. Der må ikke installeres netværksudstyr som f. eks. trådløse modems uden it-afdelingens godkendelse. Der er etableret firewall-løsninger, der beskytter mod forbindelse til upålidelige netværk. Der etableres udelukkende forbindelser fra internettet til sikkerhedsgodkendte servere som f.eks. - og webservere. Det skal sikres, at it-afdelingen vedblivende har den nødvendige viden samt redskaber til overvågning af <organisationens> for at kunne opdage og spore sikkerhedsbrister samt til fejlretning. Netværket overvåges løbende med henblik på at opdage og udbedre brud på sikkerheden. Bærbare medier med adgang til netværket skal styres og beskyttes Trådløse netværk Der er etableret trådløst netværk på alle <organisationens> lokationer. Der må kun etableres trådløst lokalnet efter itafdelingens godkendelse. Nettet skal konfigureres således, at uautoriseret adgang og aflytning ikke er mulig. Trådløse netværk betragtes som usikre, ubeskyttede netværk, og adgang til trådløst netværk kræver gyldigt brugernavn og kodeord samt anvendelse af godkendt udstyr. Gæster, hvis identitet er kendt, kan få udleveret kodeord til gæstenetværket og tilslutte eget udstyr til netværket, forudsat at udstyret ikke generer andre systemer. Netværket kan og må kun anvendes til internetadgang direkte adgang til interne systemer er ikke tilladt fra gæstenetværket. Der foretages overvågning og logning af gæsters anvendelse af internettet i henhold til EU-reglerne om terrorbekæmpelse. 7.7 Informationsudveksling Regler i forbindelse med informationsudveksling af fortrolig information via og andre elektroniske medier findes i retningslinjen for . I forbindelse med ekstern opkobling til <organisationens> systemer må fortrolige data ikke kopieres, flyttes eller lagres på bærbare medier. Derudover har alle medarbejdere et ansvar for at beskytte uovervåget it-udstyr og bærbare datamedier. 7.8 Logning og overvågning It-afdelingen står for logning af vore kritiske systemer. Overvågning og opfølgning sker via alerts fra Intrusion Detection System og Intrusion Prevention System. Logningerne kontrolleres med henblik på at opdage og spore uautoriserede handlinger, og at kunne føre disse tilbage til enkeltpersoner eller identificerbart netværksudstyr. 10

11 Det kontrolleres, at it-systemer anvendes korrekt. Overvågningsniveauet fastlægges på grundlag af en risikovurdering af det enkelte system, og alle overvågningsaktiviteter skal beskrives. Alle aktiviteter på de fleste it-systemer registreres automatisk. Som en del af logningen skal sikkerhedsrelaterede hændelser registreres. Logfaciliteter og logoplysninger skal beskyttes mod manipulation og tekniske fejl. Alle ure synkroniseres, så hændelser kan identificeres entydigt. 8. Adgangsstyring 8.1 De forretningsmæssige krav til adgangsstyring Alle informationsaktiver (programmel, udstyr, data, informationer og databærende medier) skal i nærmere specificeret omfang være beskyttet mod uautoriseret adgang. Ud over den nødvendige adgangskontrol til bygninger og lokaler, anvendes der elektroniske/-programmelbaserede adgangskontrolsystemer. Disse skal ud over adgangskontrol i nødvendigt omfang kunne alarmere og via logning danne grundlag for efterfølgende kontrol. Der skal løbende tages stilling til adgangsforhold til bygningerne og it-systemerne, og der er retningslinjer og procedurer for tildeling af adgang til bygningernes lokaler med arbejdsstationer, arkiver, netværk og lignende ressourcer. 8.2 Administration af brugeradgang Tildeling, ændring og sletning af brugeradgang til systemer og data sker ud fra arbejdsbetingede behov i overensstemmelse med datas klassifikation. Fysiske adgange og brugerrettigheder til netværk og systemer inddrages, når brugeren ikke længere skal have adgang. Adgangsprocedurerne omfatter: Registrering af alle brugere med en unik brugeridentitet Regler for, hvem der må disponere over hvilke it-aktiver Regler for, hvordan og i hvilke tilfælde adgangstilladelse tildeles og inddrages Regler for sikkerhedsovervågning, logning, efterkontrol, ledelsesrapportering og opfølgning Anvendelsen af fællesadgang/systembruger skal være begrænset til tekniske systemer, hvor dette ikke kan undgås. 8.3 Brugerens ansvar Alle medarbejdere er ansvarlige for deres personlige adgangskoder, og for at følge vedtagne retningslinjer for password: Første password f. eks. i forbindelse med ansættelse ændres efter it-afdelingens anvisninger Password indeholder mindst 8 tegn. Anvend bogstaver samt tal Undgå passwords, som er lette at gætte for andre Udskift passwordet med et nyt, når systemet giver melding om det Efter 5 mislykkede adgangsforsøg lukkes brugerkonto i en begrænset periode. Ændring af bruger ID imødekommes kun rent undtagelsesvis. 11

12 8.4 Styring af netværksadgang, systemadgang og adgang til brugersystemer og informationer Styringen af brugeradgange til netværk, systemer mm. sikrer, at alle brugere og alt netværksudstyr er identificeret, og at der er opdaterede fortegnelser herover. Der er sikringsforanstaltninger, så adgangskontroller til systemer og data ikke kan omgås. Der er implementeret timeout i forbindelse med brugeradgange til systemer og netværk i forhold til sikkerhedsniveauet for det enkelte system, netværk mm. 8.5 Mobilt udstyr og fjernarbejdspladser Informationssikkerhedspolitikken gælder for alt it-udstyr tilhørende <organisationen>. I retningslinjen for medarbejdere fastlægges de regler, som skal overholdes ved brug af mobilt udstyr og hjemmearbejdspladser. 9. Anskaffelse, udvikling og vedligeholdelse af it-systemer 9.1 Sikkerhedskrav til informationsbehandlingssystemer De sikkerhedskrav, der stilles til systemers behandling af data, skal indgå i vurderingen, som foretages ved indkøb og test af eksternt udviklede systemer. Det enkelte system skal have implementeret sikringsforanstaltninger, som er tilstrækkelige i forhold til klassifikation af de data, systemet behandler, samt de forretningsmæssige funktioner, som systemet varetager. 9.2 Korrekt informationsbehandling Vurderingen af, hvilke sikringsforanstaltninger, der er nødvendige i det enkelte system, foretages ud fra, hvilke data systemet indeholder, og hvilke forretningsmæssige funktioner systemet varetager. Som en del af sikring af data, tages der stilling til behovet for ind- og uddatavalidering. 9.3 Kryptering Behovet for brug af kryptering skal identificeres ud fra en vurdering af, hvor kryptering som sikringsforanstaltning kan imødegå behovet for sikring af datas fortrolighed og/eller integritet. Det sker på grundlag af datas klassifikation, se afsnit 4. For at leve op til best practice for efterlevelse af persondataloven, bør kommunikation af persondata med identitetsangivelse, der kan misbruges, ske i krypteret form. Ved anvendelse af kryptering skal der tages højde for nøglehåndtering. 9.4 Styring af driftsmiljøet Der er etableret procedurer, der sikrer stabilitet ved installation af systemer i driftsmiljøet. Data, der anvendes til test, skal udvælges omhyggeligt, kontrolleres nøje og beskyttes i henhold til deres klassifikation. <Organisationen> besidder kildekode til webudvikling. Kildekode opbevares internt. 9.5 Sikkerhed i udviklings- og hjælpeprocesser Vi udvikler ikke selv systemer, men anvender pålidelige og kompetente leverandører. Der anvendes standardprodukter i videst muligt omfang. Der er en retningslinje for styring af leverandører. It-afdelingen etablerer godkendelsesprocedurer for nye systemer, nye versioner og opdateringer af eksisterende systemer. Godkendelsesprocedurerne beskriver krav til dokumentation, specifikationer, test, kvalitetskontrol og en styret 12

13 implementeringsproces. Der skal foretages en risikovurdering af ændringerne i forhold til eksisterende sikringsforanstaltninger og eventuelt opståede behov for nye sikringsforanstaltninger. Vedligeholdelse af systemer finder sted en gang hvert kvartal, ved hjælp af servicevinduer uden for almindelig arbejdstid. Når driftsmiljøet ændres, skal kritiske forretningssystemer gennemgås og testes for at sikre, at det ikke har utilsigtede, afledte virkninger på den daglige drift og sikkerhed. 9.6 Sårbarhedsstyring Der skal løbende indhentes informationer om sårbarheder i de anvendte systemer. Der foretages eksterne sårbarhedstest hver 6. måned, mens der testes internt hver nat. Sårbarhederne skal evalueres, og passende foranstaltninger implementeres. 10. Styring af sikkerhedshændelser på it-området 10.1 Rapportering af sikkerhedshændelser og svagheder En væsentlig faktor i informationssikkerhedsarbejdet består i at reagere på hændelser af sikkerhedsmæssig karakter. Derfor skal sikkerhedsmæssige hændelser rapporteres, og der skal ske opfølgning herpå. Alle medarbejdere har pligt til at rapportere sikkerhedshændelser til systemejeren og/eller it-chefen, så sikkerhedshændelserne kan imødegås, inden de udvikler sig. Rapportering af sikkerhedshændelser er beskrevet i retningslinje herfor. Økonomidirektøren orienteres om indtrufne hændelser Håndtering af sikkerhedsbrud og forbedringer Målet og ansvaret for håndtering af sikkerhedsbrud er fastlagt af ledelsen. Sikkerhedshændelser, fejlhændelser og væsentlige brugeraktiviteter i forhold til 1 og 2 klassificerede systemer skal logges, og uønskede hændelser skal så vidt muligt kunne spores tilbage til en enkeltperson. Opståede problemer skal håndteres og korrigeres med udgangspunkt i en vurdering af alvoren i problemet. Alvorlige problemer skal analyseres med henblik på løbende forbedringer i informationssikkerheden. Hændelser der har indflydelse på tilgængelighed, skal afklares i overensstemmelse med gældende driftsaftaler (SLA). Driftshændelser, der ikke kan afklares inden for aftalt tid, skal håndteres i overensstemmelse med procedurer for hændelseshåndtering, og de ramte brugere og systemejere informeres. Hvor der kan komme et retsligt efterspil, skal beviser indsamles, opbevares og præsenteres, så vi kan sikre, at de udgør et fyldestgørende og pålideligt bevismateriale. 11. It-beredskabsstyring <Organisationen> har udarbejdet en it-beredskabsplan med en praktisk strategi for, hvordan <organisationen> organisatorisk skal håndtere en beredskabssituation. Beredskabets arbejde består i at begrænse konsekvenserne af tab af data og systemer forårsaget af katastrofer og sikkerhedsbrister. It-beredskabet indgår i <organisationens> overordnede kriseberedskab. I forbindelse med it-risikoanalysen har <organisationen> identificeret kritiske data og systemer. Itberedskabsstrategien bygger på it-risikoanalysen og de forretningsaktiviteter, som er vigtige for organisationen. For- 13

14 målet med beredskabskravene for informationssikkerheden er at få defineret og integreret de krav, der stilles til leverandører og til os selv i forhold til drift, personale, anlæg og øvrige faciliteter. Der skal foreligge beredskabsplaner for: Skadebegrænsende tiltag Etablering af midlertidig nødløsning Genetablering af permanent løsning Beredskabsplaner skal løbende afprøves og opdateres for at sikre, at de er tidssvarende og effektive. For at beredskabsplanerne skal kunne fungere efter hensigten, skal følgende forudsætninger være opfyldt: Beredskabsplanerne skal ajourføres og testes som skrivebordstest 1 gang årligt, og med fuld test en gang hvert 3. år Sikkerhedskopier og reserveudstyr skal opbevares i en anden bygning end den, hvor originalmaterialet og driftsudstyret befinder sig Der henvises i øvrigt til <organisationens> overordnede beredskabsplan. 12. Overensstemmelse med lovbestemte krav Da der er flere lovgivninger, der påvirker vores daglige administration, skal der tages højde for disse i vores informationssikkerhedspolitik og de dertilhørende retningslinjer. <Organisationens> retningslinjer og procedurer skal være i overensstemmelse med alle sikkerhedskrav i lovgivning og med indgåede kontrakter. Der er procedurer, der sikrer, at relevante sikkerhedskrav i lovgivning, bekendtgørelser samt i indgåede kontraktlige forpligtelser styres og overholdes for de enkelte systemer såvel som for <organisationen> som helhed. Den fornødne juridiske ekspertise skal inddrages i vurderingen af disse krav. 13. Godkendelse Informationssikkerhedspolitikken er godkendt af Dato: - Underskrift: 14

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014 Aarhus Kommune IT-sikkerhedspolitik Politik 25-04-2014 Indholdsfortegnelse Politik 1 Indledning 1 Formål 1 Politikkens omfang 2 Ledelsesansvar 2 IT-sikkerhedsorganisationen 2 IT-sikkerhedsniveau 3 IT-sikkerhedshåndbogen

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

IT-sikkerhedspolitik for

IT-sikkerhedspolitik for Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs

Læs mere

Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6

Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6 Indholdsfortegnelse Generelt 3 Formål 3 Omfang 4 It-sikkerhedsniveau 4 Styring 5 Sikkerhedsbevidsthed 6 Brud på it-sikkerheden 6 Anvendelse af politik for it-sikkerhed i praksis 6 Bilag 1. Anvendelse af

Læs mere

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser INDHOLDSFORTEGNELSE 1. Baggrund og formål... 2 2. Ansvarsfordeling... 2 2.1 Jobcenterchefens ansvar... 2 2.2 Gensidig informationspligt... 3 3. Krav til

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

IT-sikkerhedspolitik. for. Gladsaxe Kommune

IT-sikkerhedspolitik. for. Gladsaxe Kommune IT-sikkerhedspolitik for Gladsaxe Kommune INDHOLD 1. IT-sikkerhedspolitik 1.1 Baggrund for IT-sikkerhedspolitikken 2. Begreber og definitioner 3. IT-sikkerhedspolitikken 3.1 Hovedmålsætninger med IT-sikkerhedspolitikken

Læs mere

Kære medarbejder og leder

Kære medarbejder og leder Kære medarbejder og leder Adgang til informationer i it-systemer og elektronisk kommunikation er for de fleste medarbejdere i Region Hovedstaden en selvfølgelig del af arbejdsdagen. Hvis vi ikke har adgang

Læs mere

Instrukser for brug af it

Instrukser for brug af it it sikkerhed Instrukser for brug af it Må Skal ikke Kan Januar 2010 Version 1.0 Indhold Forord................................................... 3 Resumé.................................................

Læs mere

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09 Aabenraa Kommune Informationspolitik : 2014-04-09 Aabenraa Kommune 29. august 2012 Informationspolitik Overordnet Informationssikkerhedspolitik for Aabenraa Kommune Velkommen til Aabenraa Komune s overordnede

Læs mere

fortrolighed: omfatter en sikring af, at information kun er tilgængelig for personer, som er berettigede

fortrolighed: omfatter en sikring af, at information kun er tilgængelig for personer, som er berettigede Tillæg 3 1 1 IT-sikkerhedspolitik for Ballerup Kommune 1.1 Baggrund for IT-sikkerhedspolitikken Ballerup Kommune anvender på flere områder og i større omfang IT for at leve op til de krav, som borgere,

Læs mere

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.

Læs mere

Guide til sikker it. Daglig brug Programmer E-mail Internet Databehandling

Guide til sikker it. Daglig brug Programmer E-mail Internet Databehandling Guide til sikker it Daglig brug Programmer E-mail Internet Databehandling Hvilke retningslinjer skal du følge som it-bruger i Hillerød Kommune? Indhold Daglig brug af din computer 4 Computere, programmer

Læs mere

Informationssikkerhed Version 2.0 29.09.10

Informationssikkerhed Version 2.0 29.09.10 Informationssikkerhed Version 2.0 29.09.10 Retningslinjer for retablering af systemer og data (Ændringer i forhold til tidligere version er markeret med Understregning) Disse retningslinjer beskriver de

Læs mere

Datasikkerhedspolitik

Datasikkerhedspolitik Datasikkerhedspolitik Godkendt i Byrådet den 10.november 2008 1 Datasikkerhedspolitik Indhold 1. Indledning 2. Organisation og ansvarsfordeling 2.1 Ansvarsorganisation for datasikkerhed 2.2 Øverste og

Læs mere

IT-SIKKERHEDSPOLITIK UDKAST

IT-SIKKERHEDSPOLITIK UDKAST IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens

Læs mere

Informationssikkerhedspolitik for Vejen Kommune

Informationssikkerhedspolitik for Vejen Kommune Informationssikkerhedspolitik for Vejen Kommune Denne politik er godkendt af byrådet d. xx. Og træder i kraft d. xx. Seneste version er tilgængelig på intranettet. Indledning Vejen Byråd fastlægger med

Læs mere

Retningslinjer om brugeransvar

Retningslinjer om brugeransvar Retningslinjer om brugeransvar April 2015 Movia Design/Mette Malling 04.15. Fotos: Movia Indhold Pas på vores Movia 5 Movias målsætninger 6 Hvem har ansvaret? 8 Fortrolighed 9 Movias omdømme 11 Pas på

Læs mere

OVERORDNET IT-SIKKERHEDSPOLITIK

OVERORDNET IT-SIKKERHEDSPOLITIK OVERORDNET IT-SIKKERHEDSPOLITIK Indholdsfortegnelse 1. Indledning....3 2. Formål...3 3. Sikkerhedspolitik...3 4. Dækningsormåde...4 5. Sikkerhedsniveau....4 6. Organisation og ansvar...4 7. Opfølgning...5

Læs mere

It-sikkerhed i Dansk Supermarked

It-sikkerhed i Dansk Supermarked It-sikkerhed i Dansk en kort introduktion It-sikkerhed i Dansk 1 Velkommen som it-bruger i Dansk Kære medarbejder Brug af it er for mange i Dansk en naturlig del af arbejdsdagen. Hvis vi skal sikre vores

Læs mere

Instrukser for brug af dataudstyr ved OUH

Instrukser for brug af dataudstyr ved OUH Skal Kan Må ikke Instrukser for brug af dataudstyr ved OUH Afdelingen for Driftsoptimering og IT Vi er til for borgerne, og bruger dataudstyr for at sikre effektivitet og kvalitet. Vi skal have en høj

Læs mere

Standard for informationssikkerhed

Standard for informationssikkerhed Dansk standard DS 484 1. udgave Standard for informationssikkerhed Code of practice for information security management 2005-09-20 DS 484:2005 København DS projekt: M205538 ICS: 35.020; 35.040 Første del

Læs mere

It-sikkerhedstekst ST4

It-sikkerhedstekst ST4 It-sikkerhedstekst ST4 Datatransmission af personoplysninger på åbne net Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST4 Version 1 Oktober 2014 Datatransmission af personoplysninger

Læs mere

IT Sikkerhedspolitik. for. Tønder kommune

IT Sikkerhedspolitik. for. Tønder kommune Udkast IT Sikkerhedspolitik for Tønder kommune Side 1 af 13 Indhold Version.... 3 Indledning... 4 Formålet med IT Sikkerhedspolitikken.... 4 Hvem er omfattet af IT Sikkerhedspolitikken.... 5 Ansvar og

Læs mere

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) 1 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-951-4 0.05.12

Læs mere

Sikkerhedspolitik Version 4.0506 d. 6. maj 2014

Sikkerhedspolitik Version 4.0506 d. 6. maj 2014 Nærværende dokument beskriver de sikkerhedsforanstaltninger, som leverandøren har opstillet til den interne fysiske sikkerhed, datasikkerhed, logisk sikkerhed og sikkerhed i forbindelse med netværk, firewall

Læs mere

IT sikkerhedspolitik. for. Fredericia Kommune

IT sikkerhedspolitik. for. Fredericia Kommune IT sikkerhedspolitik for Fredericia Kommune Side 1 af 17 Versionsstyring Versionsnummer Dato for version Ændring Årsag Ansvar 1.00 01.06.2013 Ny politik godkendt i byrådet PerToftdahl Side 2 af 17 Versionsstyring...

Læs mere

Hvilke retningslinjer skal du følge som bruger i Norddjurs Kommune?

Hvilke retningslinjer skal du følge som bruger i Norddjurs Kommune? Hvilke retningslinjer skal du følge som bruger i Norddjurs Kommune? Som bruger i Norddjurs Kommune er du ansvarlig for det, du foretager dig på din computer og for de oplysninger, som du gemmer. Det betyder,

Læs mere

It-sikkerhedspolitik for Københavns Kommune

It-sikkerhedspolitik for Københavns Kommune Københavns Kommune Koncernservice It-sikkerhedspolitik for Københavns Kommune 2015-02-05 It-sikkerhedshåndbog for Københavns Kommune It-sikkerhedspolitik for Københavns Kommune Publiceret: 2014-07-03 Mål

Læs mere

ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015

ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015 ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015 Udfordringer mht. persondata eksempler For mange brugere har adgang til

Læs mere

Regionernes politiske linje for informationssikkerhed

Regionernes politiske linje for informationssikkerhed Regionernes politiske linje for informationssikkerhed 1 / SUNDHEDSDATA I TRYGGE HÆNDER / Danske Regioner 2015 Regionernes politiske linje for informationssikkerhed Danske Regioner 2015 Layout: UHI, Danske

Læs mere

IT-retningslinier og sikkerhedspolitik for Viborg Kommunes Skole IT. - gældende for undervisere

IT-retningslinier og sikkerhedspolitik for Viborg Kommunes Skole IT. - gældende for undervisere IT-retningslinier og sikkerhedspolitik for Viborg Kommunes Skole IT - gældende for undervisere August 2009 IT retningslinier og sikkerhedspolitik for Viborg kommunes Skole IT - gældende for undervisere

Læs mere

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet Sammenfatning Denne vejledning adresserer risikoen for industrispionage fra statssponserede aktører i udlandet mod

Læs mere

Databehandleraftale. Der er indgået denne Databehandlingsaftale ("Aftale") mellem

Databehandleraftale. Der er indgået denne Databehandlingsaftale (Aftale) mellem Oktober 2014 Sagsnr. 013928-0190 cen/dla Databehandleraftale Der er indgået denne Databehandlingsaftale ("Aftale") mellem Fredericia Kommune Gothersgade 20 7000 Frdericia CVR-nr.: 69116418 ("Kommunen")

Læs mere

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Den finansielle sektor er i dag 100% afhængig af, at it-løsninger er kørende og herudover er sikret i tilfælde af, at noget

Læs mere

LÆS VENLIGST VILKÅRENE OMHYGGELIGT, FØR DU BRUGER DENNE HJEMMESIDE.

LÆS VENLIGST VILKÅRENE OMHYGGELIGT, FØR DU BRUGER DENNE HJEMMESIDE. LÆS VENLIGST VILKÅRENE OMHYGGELIGT, FØR DU BRUGER DENNE HJEMMESIDE. BRUGSVILKÅR FOR HJEMMESIDE Disse brugsvilkår angiver sammen med de øvrige retningslinjer, som der heri henvises til vilkårene for brug

Læs mere

Albertslund Kommune. Albertslund. Samlet politik Virksomhedens samlede it-sikkerhedshåndbog 1.0

Albertslund Kommune. Albertslund. Samlet politik Virksomhedens samlede it-sikkerhedshåndbog 1.0 Albertslund Kommune Albertslund Samlet politik Virksomhedens samlede it-sikkerhedshåndbog 1.0 03-05-2011 Indholdsfortegnelse Politik 2 Indledning 2 Overordnet Informationssikkerhedspolitik for Albertslund

Læs mere

Sikkerhedsinstruks for IT-brugere hos Randers Kommune. Bilag 1

Sikkerhedsinstruks for IT-brugere hos Randers Kommune. Bilag 1 Sikkerhedsinstruks for IT-brugere hos Randers Kommune Bilag 1 20. marts 2007 Samtlige IT-brugere af Randers kommunes IT skal kende nærværende retningslinier. Retningslinierne vil blive ajourført af IT-sikkerhedslederen,

Læs mere

NSP Servicevilkå r for Indirekte GW LEVERANDØR

NSP Servicevilkå r for Indirekte GW LEVERANDØR NSP Servicevilkå r for Indirekte GW LEVERANDØR Parter Denne aftale om at anvende den Nationale Serviceplatform (NSP) er indgået mellem Statens Serum Institut (SSI) v/national Sundheds-it (NSI) som systemansvarlig

Læs mere

Tænk når du taster. kom nærmere

Tænk når du taster. kom nærmere Tænk når du taster kom nærmere Regler for medarbejdernes brug af TDC s pc-arbejdspladser Nedenfor kan du læse om de regler, TDC s Direktion har vedtaget for brugen af koncernens*) pc-arbejdspladser Reglerne

Læs mere

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer plus revision skat rådgivning TABULEX ISAE 3000 DK ERKLÆRING MARTS 2013 Erklæring fra uafhængig revisor om Tabulex ApS overholdelse af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger

Læs mere

Service Level Agreement (SLA)

Service Level Agreement (SLA) Service Level Agreement (SLA) vedrørende IT-Backend mellem Gymnasiefællesskabet og Allerød Gymnasium Roskilde Katedralskole Roskilde Gymnasium Himmelev Gymnasium Greve Gymnasium Solrød Gymnasium Køge Gymnasium

Læs mere

Ny IT sikkerhedspolitik. for. Jammerbugt Kommune

Ny IT sikkerhedspolitik. for. Jammerbugt Kommune Ny IT sikkerhedspolitik for Jammerbugt Kommune Udkast november 2104 IT Sikkerhedspolitik, Jammerbugt Kommune Side 1 af 22 Versionsstyring Version nr. Dato for version Ændring Årsag Ansvar 01.02 26.11.2014

Læs mere

Faaborg-Midtfyn Kommunes it-sikkerhedspolitik Udkast pr. 26. maj 2009

Faaborg-Midtfyn Kommunes it-sikkerhedspolitik Udkast pr. 26. maj 2009 1. Indledning It-anvendelsen i Faaborg-Midtfyn Kommune skal understøtte kommunens vision. Samtidig ønsker Faaborg- Midtfyn Kommune, at medarbejderne har en bevidst holdning til begrebet it-sikkerhed, hvor

Læs mere

Rammekontraktbilag M. Regulativ for it-sikkerhed

Rammekontraktbilag M. Regulativ for it-sikkerhed Rammekontraktbilag M Regulativ for it-sikkerhed 2 Indholdsfortegnelse Kapitel 1 - Regulativets anvendelsesområde, formål og omfang... 4 Kapitel 2 - Definitioner... 4 Kapitel 3 - Organisatoriske forhold...

Læs mere

Cloud Computing De juridiske aspekter

Cloud Computing De juridiske aspekter Cloud Computing De juridiske aspekter Forskningsnet Konference 2010 Middelfart Advokat Nis Peter Dall Hvad er Cloud? IaaS (Infrastructure as a Service) - Computerkraft, lagerplads mv. stilles til rådighed

Læs mere

Cirkulære om sikkerhedsforanstaltninger i Kirkenettet

Cirkulære om sikkerhedsforanstaltninger i Kirkenettet Cirkulære om sikkerhedsforanstaltninger i Kirkenettet Cirkulæret omhandler organisatoriske forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af adgangskontrolordninger og autorisationsordninger

Læs mere

Tabulex ApS. Februar 2011 7. erklæringsår. R, s

Tabulex ApS. Februar 2011 7. erklæringsår. R, s Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2011 7. erklæringsår

Læs mere

Risikovurdering og beredskab. 26. April 2010 Præsenteret af Marianne Bo Krowicki

Risikovurdering og beredskab. 26. April 2010 Præsenteret af Marianne Bo Krowicki Risikovurdering og beredskab 26. April 2010 Præsenteret af Marianne Bo Krowicki Det kan gå så gruelig galt En medarbejder blev bortvist i fredags. Brikken blev deaktiveret, og bruger-log-on blokeret, men

Læs mere

Forskrift G - Diskretionspolitik og procedurer omkring datasikkerhed

Forskrift G - Diskretionspolitik og procedurer omkring datasikkerhed Forskrift G - Diskretionspolitik og procedurer omkring datasikkerhed December 2007 Rev. 1 Nov. 2006 Nov. 2006 Jan. 2007 Jan. 2007 DATE LEG BCM/MRP LEG LSO NAME Nov. 2006 DATE HEP/LEG NAME REV. DESCRIPTION

Læs mere

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven).

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven). Bilag 6 Databehandleraftale og databehandlerinstruks 1. Leverandøren overholder de til enhver tid gældende regler og forskrifter for behandling af personoplysninger under Kontrakten, herunder: lov nr.

Læs mere

Revision. Skat. Rådgivning.

Revision. Skat. Rådgivning. Forundersøgelse af modenhedsog sikkerhedsniveauet inden for cyber- og nssikkerhed blandt danske el- og naturgasselskaber Rapport 20. maj 2015 Revision. Skat. Rådgivning. Indhold Slide Indledning 3 Om spørgeskemaundersøgelsen

Læs mere

Afsnit 1 any.cloud A/S ledelseserklæring. Afsnit 2 any.cloud A/S beskrivelse af hostingydelse og interne kontroller

Afsnit 1 any.cloud A/S ledelseserklæring. Afsnit 2 any.cloud A/S beskrivelse af hostingydelse og interne kontroller Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hostingydelse i perioden 1. maj til 30. november 2013 ISAE 3402, type II any.cloud

Læs mere

It-sikkerhedstekst ST6

It-sikkerhedstekst ST6 It-sikkerhedstekst ST6 Registrering af en fysisk person med henblik på udstedelse af faktorer til et personligt login Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST6 Version

Læs mere

Studér denne folder for vores sikkerheds skyld

Studér denne folder for vores sikkerheds skyld Studér denne folder for vores sikkerheds skyld Pas på vores værdifulde viden Vi fremskaffer og formidler viden. Elektronisk, skriftligt og mundtligt. Det er Københavns Universitets væsentligste aktivitet

Læs mere

Greve Kommune. It-sikkerhedspolitik. 6. Udkast november 2010

Greve Kommune. It-sikkerhedspolitik. 6. Udkast november 2010 Greve Kommune It-sikkerhedspolitik 6. Udkast november 2010 Indhold 1. Introduktion til it-sikkerhedspolitikken... 5 Baggrund... 5 Formål... 5 Gyldighed og omfang... 6 2. Organisation og ansvar... 6...

Læs mere

Sikkerhedsanbefaling. It-sikkerhed på rejsen

Sikkerhedsanbefaling. It-sikkerhed på rejsen Sikkerhedsanbefaling It-sikkerhed på rejsen Juni 2015 2 It-sikkerhed på rejsen En sikkerhedsanbefaling fra Center for Cybersikkerhed 3 4 Om sikkerhedsanbefalingen Denne sikkerhedsanbefaling fra Center

Læs mere

Sikkerhedsanbefaling. It-sikkerhed på rejsen

Sikkerhedsanbefaling. It-sikkerhed på rejsen Sikkerhedsanbefaling It-sikkerhed på rejsen Juni 2015 It-sikkerhed på rejsen En sikkerhedsanbefaling fra Center for Cybersikkerhed 2 Om sikkerhedsanbefalingen Denne sikkerhedsanbefaling fra Center for

Læs mere

IT-politik i Trafikselskabet Movia. Version 1.0

IT-politik i Trafikselskabet Movia. Version 1.0 Bestyrelsen den 9. august 2007 Dagsordenens punkt 07 - IT-politik for Movia Bilag 1 IT-politik i Trafikselskabet Movia Version 1.0 Oprettet: 23. januar 2007 CBL / IUa Indholdsfortegnelse Indledning...3

Læs mere

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup.

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. Front-safe A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. April 2011 5. erklæringsår R, s Kalvebod Brygge 45, 2., 1560 København

Læs mere

Uddybende it-sikkerhedsregler

Uddybende it-sikkerhedsregler Københavns Kommune Koncernservice Uddybende it-sikkerhedsregler 2015-04-29 Indholdsfortegnelse 6 Organisering af it-sikkerhed 6.1 Interne organisatoriske forhold 6.2 Organisering af aftaler med eksterne

Læs mere

Risikostyring ifølge ISO27005 v. Klaus Kongsted

Risikostyring ifølge ISO27005 v. Klaus Kongsted Risikostyring ifølge ISO27005 v. Klaus Kongsted Agenda Dubex A/S Formålet med risikovurderinger Komponenterne Risikovurderinger Dubex A/S fakta og værdier Den førende sikkerhedspartner De bedste specialister

Læs mere

Greve Kommune. Revision af generelle it-kontroller 2011

Greve Kommune. Revision af generelle it-kontroller 2011 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 0 30 Telefax 36 10 0 40 www.deloitte.dk Greve Kommune Revision af generelle

Læs mere

Torben Waage www.kromannreumert.com/insights. Partner

Torben Waage www.kromannreumert.com/insights. Partner Torben Waage IT-SIKKERHEDEN SKAL OP PÅ LEDELSESNIVEAU Hvert år bliver der brugt milliarder af kroner på at beskytte digitale aktiver, så fortrolige informationer undgår at finde vej til offentligheden.

Læs mere

frcewtfrhousf(wpers ml

frcewtfrhousf(wpers ml frcewtfrhousf(wpers ml PricewaterhouseCoopers Statsautoriseret Revisionsaktieselskab Nobelparken Jens Chr. Skous Vej I 8000 Árhus C www.pwc.dk Telefon 89 32 00 00 Telefax 89 32 00 IO Erklæring vedrørende

Læs mere

Sådan håndterer Danish Crown sin industrielle IT-sikkerhed

Sådan håndterer Danish Crown sin industrielle IT-sikkerhed Sådan håndterer Danish Crown sin industrielle IT-sikkerhed DAU d. 7 marts 2013 CV Firma : Navn : Afdeling : Titel : Alder : Danish Crown A/S Thomas Page Pedersen Factory IT Afdelingschef 43 år Danish Crown

Læs mere

Gode råd til netbankbrugere - sikring af en typisk hjemme-pc med adgang til netbank

Gode råd til netbankbrugere - sikring af en typisk hjemme-pc med adgang til netbank Gode råd til netbankbrugere - sikring af en typisk hjemme-pc med adgang til netbank Af BEC og FortConsult, januar 2005. Hvad kan du konkret gøre for at beskytte din pc? Målgruppe Denne vejledning er skrevet

Læs mere

Kommissorium for Revisions- og Risikokomiteen i DONG Energy A/S

Kommissorium for Revisions- og Risikokomiteen i DONG Energy A/S Kommissorium for Revisions- og Risikokomiteen i DONG Energy A/S Generelt Revisions- og Risikokomiteen er et udvalg under Bestyrelsen, der er nedsat i overensstemmelse med forretningsordenen for Bestyrelsen.

Læs mere

Hjemmearbejdspladser

Hjemmearbejdspladser Hjemmearbejdspladser Vejledning om it-sikkerhed på pc-hjemmearbejdspladser September 2007 ITEK og Dansk Industri Udgivet af: ITEK og Dansk Industri Redaktion: Henning Mortensen og Rasmus Aasted ISBN: 87-7353-662-8

Læs mere

it sikkerhed UCC IT-Sikkerhedspolitik 2011 IT

it sikkerhed UCC IT-Sikkerhedspolitik 2011 IT it sikkerhed UCC IT-Sikkerhedspolitik 2011 IT It-sikkerhedspolitik i UCC It-sikkerhedspolitikken gælder for alle medarbejdere (uanset ansættelsesforhold), studerende og gæster, der anvender UCC s it-resurser.

Læs mere

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING MAJ 2014 FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af Front-safes Remote Backup. RSM plus P/S statsautoriserede revisorer

Læs mere

Databehandleraftale 2013

Databehandleraftale 2013 Databehandleraftale 2013 For kunder, som anvender hostede/saas INNOMATE HR løsninger 1, forpligter INNOMATE a/s sig på følgende Databehandleraftale: 1. I overensstemmelse med Persondataloven, er INNOMATE

Læs mere

Hvad du søgte efter Identiteten på det websted, du besøgte umiddelbart før vores websted (henvisende websted).

Hvad du søgte efter Identiteten på det websted, du besøgte umiddelbart før vores websted (henvisende websted). Brugervilkår og andre gode ting, som du bør vide for at være sikker online. Sikkerhed er alles ansvar En del af IKEA ånden er "jeg gør min del, du gør din del, og sammen gør vi en masse." Dette gælder

Læs mere

Uddybende it-sikkerhedsregler

Uddybende it-sikkerhedsregler Københavns Kommune Koncernservice Uddybende it-sikkerhedsregler 2015-02-05 Indholdsfortegnelse 6 Organisering af it-sikkerhed 6.1 Interne organisatoriske forhold 6.2 Organisering af aftaler med eksterne

Læs mere

IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR

IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR 1 HUSK n Adgangskoder må ikke videregives til andre. n Andre må ikke anvende din personlige bruger-id. n Ved mistanke om, at andre har fået kendskab

Læs mere

Edb-udstyret skal fysisk være beskyttet, så en person der søger at angribe Randers kommunes netværk ikke har uhindret adgang til edb-udstyret.

Edb-udstyret skal fysisk være beskyttet, så en person der søger at angribe Randers kommunes netværk ikke har uhindret adgang til edb-udstyret. Bilag 2 Fysisk sikkerhed 1 Hvorfor fysisk sikkerhed Sikkerheden i et hvert edb-system er grundlæggende afhængigt af, at kravene til den fysiske sikkerhed er opfyldt. Disse krav til fysisk sikkerhed skal

Læs mere

ISAE 3402 TYPE 2 ERKLÆRING

ISAE 3402 TYPE 2 ERKLÆRING JUNI 2014 COOLSMS A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af SMS-service. RSM plus P/S statsautoriserede revisorer Kalvebod Brygge

Læs mere

Risikovurdering Gartneriet PKM

Risikovurdering Gartneriet PKM DM091 - Gruppe 1 Risikovurdering Gartneriet PKM Udarbejdet af: Andreas Harder, Morten Knudsen Lars Vendelbo & Kresten Østerby Indledning Gartneriet PKM producerer på årlig basis ca. 20 millioner planter,

Læs mere

Hos Lasse Ahm Consult vurderer vi at følgende supplerende krav i de enkelte kravelementer er væsentlige at bemærke:

Hos Lasse Ahm Consult vurderer vi at følgende supplerende krav i de enkelte kravelementer er væsentlige at bemærke: ISO 9001:2015 (Draft) Side 1 af 9 Så ligger udkastet klar til den kommende version af ISO 9001. Der er sket en række strukturelle ændringer i form af standardens opbygning ligesom kravene er blevet yderligere

Læs mere

Front-data Danmark A/S

Front-data Danmark A/S plus revision skat rådgivning Front-data Danmark A/S ISAE 3402 type 2 erklæring Februar 2013 Revisionserklæring af de generelle it-kontroller for driften af Front-data Danmarks hosting-aktiviteter. Kalvebod

Læs mere

Sikkerhed i cloud computing

Sikkerhed i cloud computing Sikkerhed i cloud computing Databeskyttelsesdagen 2012 Morten Jørsum Center for Digitalisering Digitaliseringsstyrelsen mjrsm@digst.dk Hvad er cloud computing It som en service: Leveres og betales efter

Læs mere

SERVICE LEVEL AGREEMENT for levering af In & Outbound Datacenters IT-Ydelser

SERVICE LEVEL AGREEMENT for levering af In & Outbound Datacenters IT-Ydelser SERVICE LEVEL AGREEMENT for levering af In & Outbound Datacenters IT-Ydelser iodc (In & Outbound Datacenter) Hvidovrevej 80D 2610 Rødovre CVR 35963634 ( IODC ) Version 1.0 1 1. Forudsætninger... 3 2. Ansvar

Læs mere

Front-data Danmark A/S

Front-data Danmark A/S Front-data Danmark A/S Revisionserklæring (ISAE 3402, type 2) vedrørende de generelle it-kontroller i tilknytning til driften af hostingcenter. December 2011 1. erklæringsår R, s Kalvebod Brygge 45, 2.,

Læs mere

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING MAJ 2015 FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af Front-safes Remote Backup. RSM plus P/S statsautoriserede revisorer

Læs mere

> hvidbog. Beskytter du dine kunders og dine egne data godt nok?

> hvidbog. Beskytter du dine kunders og dine egne data godt nok? > hvidbog Beskytter du dine kunders og dine egne data godt nok? HVAD BETYDER DET? DU ER ALDRIG FOR STOR TIL AT BLIVE HACKET ELLER FOR LILLE Går man ti år tilbage var teknologi knyttet tæt sammen med vores

Læs mere

WWI A/S Indholdsfortegnelse

WWI A/S Indholdsfortegnelse Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med leverance af Hosted Desktop og hosting-infrastrukturydelser i perioden 1.

Læs mere

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1 Tilgængelighed, fortrolighed og integritet. Høj kvalitet i informationssikkerhed og dokumentation Hvilken betydning har principper og anbefalinger i sikkerhedsstandarden ISO 27001 for kvaliteten af dokumentationen?

Læs mere

It-sikkerhedstekst ST7

It-sikkerhedstekst ST7 It-sikkerhedstekst ST7 Overdragelse af faktorer ved udstedelse af et personligt login til en identificeret fysisk Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST7 Version 1 Februar

Læs mere

It-sikkerhed - ledelsens ansvar

It-sikkerhed - ledelsens ansvar Hvordan ser en sikkerhedskoordinator ud? It-sikkerhedsledelse er en profession. Af samme grunde, som man benytter medarbejdere med en regnskabsuddannelse i økonomifunktionen, skal man sikre sig, at it-sikkerhedskoordinatoren

Læs mere

Ledelsesforankret informationssikkerhed. med ISO/IEC 27001

Ledelsesforankret informationssikkerhed. med ISO/IEC 27001 Ledelsesforankret informationssikkerhed med ISO/IEC 27001 02 Indhold > Forord... 03 INTRODUKTION ISO/IEC 27001... 05 Ansvar og opgaver... 07 Standardens indhold... 09 PROCESSEN Procesmodellen... 13 Afstem

Læs mere

Spillemyndighedens certificeringsprogram. Ledelsessystem for informationssikkerhed SCP.03.00.DK.1.0

Spillemyndighedens certificeringsprogram. Ledelsessystem for informationssikkerhed SCP.03.00.DK.1.0 SCP.03.00.DK.1.0 Indhold Indhold... 2 1 Formålet med ledelsessystem for informationssikkerhed... 3 1.1 Overblik over dette dokument... 3 1.2 Version... 3 2 Certificering... 3 2.1 Certificeringsfrekvens...

Læs mere

MULTIHOUSE A/S ISAE 3402 TYPE 2 ERKLÆRING

MULTIHOUSE A/S ISAE 3402 TYPE 2 ERKLÆRING FEBRUAR 2015 MULTIHOUSE A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af MultiHouses hostingaktiviteter. RSM plus P/S statsautoriserede

Læs mere

ISO27001 og klassifikation Case Dubex A/S. 14. maj 2012 Jacob Herbst jhe@dubex.dk

ISO27001 og klassifikation Case Dubex A/S. 14. maj 2012 Jacob Herbst jhe@dubex.dk ISO27001 og klassifikation Case Dubex A/S 14. maj 2012 Jacob Herbst jhe@dubex.dk Agenda Dubex A/S Hvorfor en ISO27001 certificering? Sikkerhedshåndbogen Dubex dataklassifikation Klassifikation i praksis

Læs mere

WWI A/S. Indholdsfortegnelse

WWI A/S. Indholdsfortegnelse Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med drift af It-hosting-plaform i perioden 01-12-2013 til 30-11-2014 WWI A/S CVR

Læs mere

Personalehåndbog. Personalehåndbogens målsætning. 1. Vores historie. 2. Mission 3. Vision 4. Værdigrundlag 5. Organisationen.

Personalehåndbog. Personalehåndbogens målsætning. 1. Vores historie. 2. Mission 3. Vision 4. Værdigrundlag 5. Organisationen. Personalehåndbog Personalehåndbogens målsætning Strategi og mål m.m. 1. Vores historie. 2. Mission 3. Vision 4. Værdigrundlag 5. Organisationen Bestyrelse 1 Organisationsdiagram 6. Vores målsætning Politikker

Læs mere

Regulativ for it-sikkerhed i Københavns Kommune

Regulativ for it-sikkerhed i Københavns Kommune Regulativ for it-sikkerhed i Københavns Kommune 2013 2. I medfør af 5 i Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som

Læs mere

Andersen & Martini A/S

Andersen & Martini A/S Udkast til kommissorium for revisionsudvalget 1. Formål Revisionsudvalget udpeges af bestyrelsen til at bistå denne i udførelsen af bestyrelsens tilsynsopgaver. Revisionsudvalget overvåger: Effektiviteten

Læs mere

S E R V I C E L E V E L A G R E E M E N T for. Netgroups levering af IT-ydelser m.v.

S E R V I C E L E V E L A G R E E M E N T for. Netgroups levering af IT-ydelser m.v. S E R V I C E L E V E L A G R E E M E N T for Netgroups levering af IT-ydelser m.v. Netgroup A/S Store Kongensgade 40 H 1264 København K CVR-nr.: 26 09 35 03 ( Netgroup ) Version 4.4 1. Forudsætninger...

Læs mere