ESL Eksamens opgave. Hold 16. Maj 2006

Størrelse: px
Starte visningen fra side:

Download "ESL Eksamens opgave. Hold 16. Maj 2006"

Transkript

1 ESL Eksamens opgave Hold 16 Maj 2006 Side 1 af 42

2 Indholdsfortegnelse Opgave 1 Risikoanalyse... 3 Indledning... 3 Udkast til en generisk model for IT-risikoanalyse... 3 Identifikation af risici... 4 Gennemførelse af risikovurdering... 5 Undgå en risiko... 6 Vurdering af sandsynlighed... 6 Vurdering af konsekvens... 6 Beregning af sårbarhed... 8 Vurdering af sikkerhedsmiljø... 9 Planlægge og gennemføre forbedringstiltag Accept af restrisiko Notat med forslag til håndtering af risikoanalyse for system og data omkring flysikkerhed Baggrund for notatet Forberedelse Identifikation af risici Gennemførelse af risikovurdering Vurdering af sikkerhedsmiljø Planlægning af forbedringstiltag Konklusion Opgave 2 Sikkerhedsrapport til ledelsen Indledning Notat vedr. generisk forslag til systematisk rapportering af IT Sikkerhed Baggrund for notatet Generisk model til systematisk rapportering Datakilder Rapport datawarehouse Udtræk Rapportering Interessenter Indstilling til ledelsen Rapportering vedr. anvendelse af superbrugeradgange Opgave 3 Security Awareness Indledning Notat vedr. initiativer til awareness kampagner for fysisk sikkerhed Baggrund for notatet Formål Planlægning af årets kampagner Tidsplan Kampagne 1: adgang til sikrede områder, kun med arbejdsbetinget behov Kampagne 2: Tyverisikring af udstyr placeret i lufthavnen Kampagne 3: Løbende opmærksomhed omkring brandudstyr Kampagne 4: lås din computer når du forlader den Kampagne 5: Løbende eftersyn af hegn Indstilling til ledelsen Bilag 1.1 Skabelon til risikovurdering af systemer Bilag 1.2 Vurdering af sikkerhedsmiljø Bilag 1.3 Trusselsliste Bilag 2.1 Overblik over en generisk model til rapportering Bilag 3.1 ROSI beregninger til brug i opgave Side 2 af 42

3 Opgave 1 Risikoanalyse Indledning Hos Ridum Airports A/S er der opstået et behov for at sikre at virksomheden fortsat kan leve op til compliance krav, vedligeholdelse af det gode renommé og forsat høj systemtilgængelighed og integritet i data. I forbindelse med mit job som IT-Sikkerhedschef har jeg fået til opgave at fremlægge et udkast til en generisk model for IT-risikoanalyse. Modellen skal kunne anvendes som intern skabelon for alle systemer. Formålet med denne risikoanalyse er at afdække uacceptable risici ved virksomhedens itsystemer, samt at fungere som beslutningsgrundlag for iværksætning af initiativer til forbedring af sikkerheden. Inden vi kan gå i gang med at gennemføre en risikoanalyse er det nødvendigt at fastlægge om vi har tilstrækkelig viden til at kunne gennemføre arbejdet. Da man hos Ridum Airports ikke har en vedligeholdt systemklassifikation er vi som mininum nød til at undersøge om der er defineret systemejere for de systemer som vi ønsker at gennemføre en risikoanalyse for. Hvis der ikke er fastlagt et systemejerskab, eller hvis ejerskabet ikke ligger det rigtige sted skal dette bringes i orden først. Principielt er det også nødvendigt at foretage en klassifikation af systemer og data inden en risikoanalyse kan igangsættes. I vores tilfælde vil jeg dog vælge at se bort fra det. Det kræver dog at de system ejere fra forretningen, der skal bistå med risikoanalysen har virkelig godt styr på indhold af data og funktionalitet i deres systemer. Udkast til en generisk model for IT-risikoanalyse For at kunne gennemføre en it-risikoanalyse er det nødvendigt at fastlægge en arbejdsgang herfor. Jeg har besluttet mig for at basere mig på en simpel arbejdsgang. Jeg har valgt at fremstille 3 skabeloner til at understøtte denne simple arbejdsgange. Disse skabeloner vil blive gennemgået herunder. Der er tale om: - En trusselsliste, som anvendes ved identifikation af risici og prioritering af disse - Et risikovurderingsskema, som anvendes ved fastlæggelse af sandsynlighed, konsekvens og påvirkninger på fortrolighed, integritet og tilgængelighed. - Et skema til vurdering af sikkerhedsmiljøet Jeg har valgt ikke at lave et udkast til en skabelon for planlægning/gennemførsel af forbedringstiltag. Min vurdering er at dette mere handler om opgavestyring og/eller Side 3 af 42

4 projektledelse. Jeg har derfor alene inkluderet et felt i min trusselsliste, som kan indikere de mulige forbedringstiltag. Identifikation af risici Først skridt i en risikoanalyse er at identificere de trusler som vil være relevante at gennemføre en vurdering af. Det er ikke en opgave, man alene kan løse i IT Sikkerhedsfunktionen. Den kræver deltagelse af forretningen. For ikke at bruge en masse unødig energi i forretningen vil det være hensigtsmæssigt at IT sikkerhed forbereder et udkast, så der er noget at arbejde ud fra. Et sådant udkast kan man fremstille ved at kigge på hvad der er foregået f.eks. i det forgangne år. Man kigger altså på de sikkerhedshændelser der har forekommet og fremstiller sin liste udfra det. Når listen er fremstillet kan man tage en dialog med forretningen og de kan så supplere med egne erfaringer omkring hændelser, der har haft indflydelse på deres forretning. I denne fase vil det samtidig være relevant at forholde sig til risici, der endnu ikke er indtruffet. I arbejdet med at fremstille listen bør der ikke være nogen særlige begrænsninger på hvad der kan optages på listen. Der skal naturligvis være tale om noget, der kan formuleres som en risiko. Men med hensyn til små eller store risici, vil det være bedre at filtrere dem fra senere i processen. Resultatet af gennemgangen skal være en liste, der indeholder de trusler/risici som virksomheden pt. har kunnet identificere. Listen er i øvrigt et dynamisk dokument, der altid kan opdateres. Listen kunne f.eks. så således ud: Som det fremgår ovenfor er listen en oversigt over de trusler (risici), som et givent system (system X) er udsat for. For overskuelighedens skyld har jeg valgt at fremstille en trusselsliste pr. system. - nr.: Nummeret identificerer den enkelte trussel og anvendes i hele forløbet med vurdering af risici. - Trussel: Dette er den verbale beskrivelse af den trussel, som systemet er udsat for. - Sårbarhed: Sårbarheden er resultatet af det arbejde, der skal foregå sammen med forretningen omkring vurdering af den enkelte risiko. Sårbarheden er en aggregering af sandsynlighed og konsekvens (mere om det senere). Definitionen af sårbarhed følger den, der anvendes i DS484. Jeg har blot valgt ikke at illustrere den grafisk. Side 4 af 42

5 - Sikkerhedsmiljø: Resultatet af en vurdering af sikkerhedsmiljøet fortæller noget om hvilke foranstaltninger, der allerede er foretaget i miljøet, samt modenhedsniveauet af procedurer og dokumentation. (mere om det senere) - Forbedringstiltag: Når man har identificeret, risici og foretaget en vurdering af sårbarhed og sikkerhedsmiljø kan man med fordel identificere forbedringstiltag. Disse tiltag kan dække over alt fra tilpasning af arbejdsgange til igangsætning af foranalyser på projekter. (mere om det senere) Gennemførelse af risikovurdering At gennemføre en risikovurdering betyder at tage stilling til sansynlighed for at en hændelse forekommer og efterfølgende vurdere konsekvensen af at den er indtruffet. Som det fremgår af ovenstående trusselsliste udtrykkes denne vurdering som den sårbarhed en risiko påfører virksomheden. Jeg har valgt at basere mit udkast til en generisk model for risikovurdering på DS484. Jeg har dog valgt at udbygge modellen med en initiel vurdering af hvorvidt det er muligt at undgå en given trussel, ligesom jeg har valgt at lade en vurdering af truslens indflydelse på fortrolighed, integritet og tilgængelighed være en del af modellen. Den overordnede model jeg baserer mig på har jeg taget fra Leif Christensen s (PwC) ERM indlæg på uddannelsen. Det er bl.a. den, der har givet anledning til min udvidelse af DS484 modellen. Af denne overordnede model fremgår det at man for enhver risiko bør: Afdække hvorvidt truslen kan undgås, Reducere sandsynligheden for at truslen indtræffer, Reducere konsekvensen når en trussel er indtruffet, Håndtere den restrisiko, der er uacceptabel, Indhente ledelsesaccept af restrisikoen. For at kunne eksemplificere arbejdet med at risikovurdere har jeg valgt at tage udgangspunkt i en konkret risiko: Trussel / sårbarhed Axapta bliver utilgængelig fordi det underliggende disksystem løber tør for plads som følge af en løbsk procedure. LAV MID HØJ Denne trussel udgør en risiko for forretningen, og den kan derfor anvendes som eksempel i min gennemgang af den generiske model. Når man skal vurdere den enkelte risiko anvender man skemaet i bilag 1.1 jeg har blot gennemgået skemaet i detaljer her. Side 5 af 42

6 Undgå en risiko Med udgangspunkt i en konkret risiko, bør man indledningsvist vurdere om det kan lade sig gøre at undgå den helt. At undgå en risiko betyder at man ikke skal forholde sig til initiativer der kan reducere sansynlighed og konsekvens. Det sparer derfor ressourcer. I min skabelon for risikovurdering har jeg valgt at lade det at undgå en risiko indgå som et ja/nej spørgsmål. Det er ikke tanken, der skal foretages en dybdegående analyse. Punktet er blot med for at sikre at tanken er blevet tænkt. Eksempel Er det muligt at undgå truslen Vi har undersøgt om fejlen kan rettes indenfor rammerne af det eksisterende system. Da der er tale om en oracle fejl som pt. Ikke er håndteret fra oracles side kan truslen ikke undgås. Ja Nej x Vurdering af sandsynlighed At vurdere sandsynligheden for om en trussel vil forekomme eller ej er ikke nogen eksakt videnskab. Det kan måske lade sig gøre at opstille en formel, der beregner denne sandsynlighed. Det vurderer jeg dog er rimeligt formålsløst og jeg har derfor valgt at basere vurderingen af sandsynlighed på en kvalitativ skala (som i DS484). lav mid høj Benyttes hvis truslen vurderes at forekomme yderst sjældent. Eller den slet ikke er forekommet i praksis. Benyttes hvis truslen vurderes til at forekomme af og til. Eller den i praksis er forekommet mindst en gang. Benyttes hvis truslen vurderes til at forekomme hyppigt. Eller den i praksis er forekommet flere gange. Arbejdsgangen er at man først beskriver den måde man oplever sandsynligheden på og dernæst foretager en kvalitativ vurdering af sandsynligheden. Eksempel: Sandsynlighed (Hvor ofte er truslen observeret) Vi har observeret mangel på diskplads i flere tilfælde. Hver gang på grund af denne løbske procedure. Vi forventer at fejlen vil indtræffe med jævne mellemrum. Der er ikke noget fast mønster. LAV MID HØJ x 3 Vurdering af konsekvens At vurdere konsekvensen af en risiko handler om at sætte værdi på den indflydelse en given risiko vil få for forretningen når den er indtruffet. Når vi taler om konsekvens er risikoen altid indtruffet med den fulde effekt. Det vil ganske givet være muligt at sætte faktuelle tal på mange Side 6 af 42

7 af de konsekvenser, der kan indtræffe, men det vil være meget svært at ramme et rigtigt tal. Som med sandsynlighed har jeg derfor valgt at basere modellen på en kvalitativ skala. lav Benyttes hvis truslens indtræffen vurderes at have en ikke væsentlig effekt på forretningen. mid Benyttes hvis truslens indtræffen vurderes at have en væsentlig skadende effekt på forretningen. høj Benyttes hvis truslens indtræffen vurderes at have en særdeles skadende effekt på forretningen. Arbejdsgangen er at man først beskriver den måde man oplever konsekvensen på og dernæst foretager en kvalitativ vurdering af konsekvensen: Eksempel: Konsekvens (hvordan påvirkes forretningen når truslen er indtruffet) Det vurderes at truslens indtræffen har en væsentligt skadende effekt på forretningen. Vores salgskontor er bl.a. ikke i stand til at fakturerere. Salg kan dog foregå manuelt (og meget besværligt) LAV MID HØJ x 5 I forbindelse med vurdering af konsekvens har jeg valgt at inkludere risikoens påvirkning på henholdsvis fortrolighed, integritet og tilgængelighed. Den primære årsag til at jeg har valgt dette er at jeg ønsker at risici, der har med compliance, integritet og driftsstabilitet at gøre, kommer til at vægte med når sårbarheden skal opgøres. Jeg har valgt at måle fortrolighed, integritet og tilgængelig ud fra en kvalitativ skala, som vurderer i hvilket omfang en konkret risiko har indflydelse på hht. F,I,T. lav Benyttes hvis truslen vurderes at have ingen, eller meget ringe effekt på (F,I,T) mid Benyttes hvis truslen vurderes at have nogen effekt på (F, I, T) høj Benyttes hvis truslen vurderes at have væsentlig effekt på (F, I, T) Ligesom med sandsynlighed og konvsekvens er arbejdsgangen at man beskriver den forventede påvirkning og efterfølgende tager stilling på den kvalitative skala. Eksempel: Hvordan påvirkes fortrolighed når truslen er indtruffet Der er ingen umiddelbare konsekvenser for fortrolighed LAV MID HØJ x 1 Side 7 af 42

8 Hvordan påvirkes integritet når truslen er indtruffet Det vurderes at integriteten af nogen transaktioner kan blive ufuldstændig når databasen går ned. Det sker fordi rollback segmentet ikke kan opdateres. LAV MID HØJ x 3 Hvordan påvirkes tilgængelighed når truslen er indtruffet Det vurderes at have en væsentlig effekt på tilgængeligheden når truslen indtræffer. Hele systemet er nede og det vil i de fleste tilfælde betyde at systemet er nede i flere timer. LAV MID HØJ x 5 Beregning af sårbarhed Når man har udfyldt skabelonen og markeret med x i lav, mid eller høj vil der blive kalkuleret en relativ sårbarhed for risikoen. Denne sårbarhed, overføres til vores trusselsliste. Sårbarheden fremkommer som en beregning på de registreringer, der bliver foretaget i skabelonen. Hver markering giver en værdi (Lav = 1, Mid = 3, Høj = 5). Alle værdier summeres og deles med 5 (antallet af vurderinger). Sårbareheden fastlægges derefter udfra følgende skala: Mindre end 1,5 svarer til lav sårbarhed Mellem 1,5 og 3,5 svarer til Mid sårbarhed Over 3,5 svarer til Høj sårbarhed Da der er tale om en beregning baseret på kvalitative vurderinger kan man ikke sige noget meget specifikt omkring prioritering af risici. Hovedreglen vil dog være at: Lav Sårbarheden er acceptabel og det er ikke umiddelbart nødvendigt at foretage korrigerende handlinger mid Sårbarheden er ikke acceptabel og der bør foretages korrigerende handlinger Høj Sårbarheden er helt uacceptabel og der skal snarest muligst foretages korrigerende handlinger. Hvilke typer af korrigerende handlinger, der skal foretages og hvor hurtigt det skal gå vil i nogen grad afhænge af kvaliteten i sikkerhedsmiljøet. Som hovedregel bør man ikke igangsætte korrigerende handlinger uden først at have vurderet det eksisterende sikkerhedsmiljø. Der kan dog være tale om en så høj risiko at det ikke vil være forsvarligt at afvente en sådan vurdering. Side 8 af 42

9 Vurdering af sikkerhedsmiljø Når risikovurderingen er gennemført, skal der tages stilling til det eksisterende sikkerhedsmiljø. Det er nødvendigt for at identificere om de risici vi har afdækket på den ene eller anden måde håndteres af vores nuværende politikker, retningslinier og procedurer. Sikkerhedsmiljøet er de foranstaltninger vi har etableret for minimere sandsynlighed for at risici indtræffer på et konkret system og for at minimere konsekvensen når de indtræffer. Der findes potentielt rigtigt mange foranstaltninger man kan vurdere i relation til sit sikkerhedsmiljø. Jeg har valgt at basere min skabelon på nogen få foranstaltninger. Antallet af foranstaltninger kan med fordel udvides senere. Det er vigtigt at holde fast i at sikkerhedsmiljøet gælder for systemet og ikke for den enkelte risiko/trussel. Den enkelte risiko/trussel skal dog sætte i forhold til sikkerhedsmiljøet. Arbejdet med vurdere sikkerhedsmiljøet sker i samarbejde med system ejeren. Den del af skabelonen, som man udfylder ser således ud: Som det fremgår af ovenstående er skabelonen delt i 2 (Den fulde skabelon kan ses i bilag 1.2.). - Reduktion af sandsynlighed: som indeholder de elementer, der kan være med til at reducere sandsynligheden for at noget sker. o Godkendt dokumentation er et udtrykt for forankret viden. Når man ved noget om sin installation mindsker det sandsynligheden for fejl o Viden om systemet. Hvis nu dokumentationen ikke er helt i toppen, men vi f.eks. har ansat meget dygtige folk med stor viden. Så kan det igen være med til at mindske sandsynligheden for fejl o Overvågning. Hvis man har etableret en proaktiv overvågning, betyder det at man kan fange kritiske fejl i opløbet og dermed reducere sandsynligheden for at de indtræffer o Af andre typer af foranstaltninger kunne nævnes uddannelse, configuration management, change management. - Reduktion af konsekvens: som indeholder de elementer, der kan være med til at reducere konsekvensen af at noget sker. o Procedurer for håndtering af truslen. Hvis vi har en procedure, der beskriver hvordan vi skal håndtere en trussel når den indtræffer. Så kan det begrænse konsekvensen. o Hvis der eksisterer en eskaleringsliste. Kan vi få fat på de rigtige personer når en trussel indtræffer. Det betyder hurtigere håndtering og mindre konsekvens. o En beredskabsplan er det ultimative værktøj til håndtering af konsekvens. o Af andre typer af foranstaltninger kunne nævnes. Benyttelse af spejlede diske, roll back procedurer ved fejl og redundant strømforsyning. Side 9 af 42

10 Når man har vurderet sit sikkerhedsmiljø fremkommer der igen en kvalitativ vurdering. Denne kvalitative vurdering er et udtryk for styrken i sikkerhedsmiljøet. Stærk Middel Svag Benyttes når det vurderes at sikkerhedsmiljøet er tilstrækkeligt og mindst 5 krydser kan sættes Benyttes når det vurderes at sikkerhedsmiljøet er godt og mindst 3 krydser kan sættes Benyttes når det vurderes at sikkerhedsmiljøet er ringe og under 3 krydser kan sættes Resultatet af denne gennemgang overføres til trusselslisten. Planlægge og gennemføre forbedringstiltag Når hele risikovurderingen er gennemføre og vi har en færdig trusselsliste (se evt. bilag 1.3) skal der nu foretages en vurdering af hvilke forbedringstiltag der skal gennemføres. For at få en indikation af hvilke risici, der skal håndteres først sorteres listen efter sårbarhed, hvor høj sårbarhed kommer først, dernæst efter styrke i sikkerhedsmiljøet, hvor lav kommer først. Dette kan udtrykkes grafisk for at give et overblik over hvordan forholdet er mellem f.eks. høj sårbarhed og et svagt sikkerhedsmiljø, som er de trusler vi umiddelbart bør håndtere. I dette arbejde er det vigtigt at skelne mellem tiltag, der kan indføres indenfor rammerne af de eksisterende budgetter og tiltag, der kræver investeringer. Tiltag, der kan gennemføres indenfor de eksisterende rammer kan med fordel igangsættes, mens det er nødvendigt at indhente økonomi, til de, der kræver investeringer. Accept af restrisiko Når vi har planlagt eller gennemført forbedringstiltag vil der med stor sandsynlighed stadigvæk være antal risici på vores trusselsliste. Det er vigtigt at ledelsens bliver orienteret om disse risici og accepterer dem. Side 10 af 42

11 Notat med forslag til håndtering af risikoanalyse for system og data omkring flysikkerhed Baggrund for notatet Med henblik på at der skal gennemføres en risikoanalyse af vores system til håndtering af flysikkerhed. Har vi i IT sikkerhedsfunktionen udarbejdet dette notat for at redegøre for det forløb, der skal sikre at vi får udført en god risikoanalyse. Forberedelse Inden vi går i gang med selve risikoanalysen er det nødvendigt at identificere system ejeren af flysikkerhedssystemet. Af vores systemklassifikation fremgår det at systemet er ejet af den funktion, der tager sig af landingsservice. Dette skal dog verificeres, så vi sikrer os at vi har adgang til den rigtige information. Da vores risikoanalyse også omfatter de kritiske data, der ligger til grund for flysikkerheden er det også nødvendigt at sikre, der er lavet en opdateret klassifikation af systemets data. Hvis disse data ikke kan tilvejebringes vil vi behandle systemet som et høj risiko system. Identifikation af risici For at frembringe en trusselsliste, som vi kan bruge i det videre arbejde vil vi først og fremmest lave en liste over de sikkerhedshændelser vi har haft på systemet i det forgangne år. Når denne liste er klar vil vi fremsende den til system ejeren sammen med en mødeindkaldelse hvori vi redegør for det forløb, der nu skal til at foregå. På mødet med system ejeren skal vi have fastslået om de risici vi har identificeret er valide set med hans øjne, og listen skal suppleres med trusler han måtte se fra forretningens side. Mødet afsluttes med at alle nikker OK til at listen er tilstrækkelig komplet og der aftales et nyt møde hvor planen er at de enkelte trusler skal risikovurderes. Gennemførelse af risikovurdering På møde nr. 2 skal vi gennemføre selve risikovurderingen. Inden mødet bør alle have forholdt sig til en overordnet væsentlighed af de nedskrevne trusler. Det er nødvendigt for at man hurtigt kan få filtreret det fra, som alligevel viser sig at være uvæsentligt. På mødet skal vi nu gennemgå hver enkelt trussel. Det gøres ved at udfylde vores skabelon. Det vil sige at der for hver risiko skal tages stilling til: 1) kan den undgås 2) hvad er sandsynligheden for at den indtræffer 3) hvad er konsekvensen af at den indtræffer 4) hvilken betydning har truslen for fortrolighed, integritet og tilgængelighed 5) den kalkulerede sårbarhed overføres til trusselslisten. Side 11 af 42

12 Vurdering af sikkerhedsmiljø Inden der skal tages stilling til hvilken forbedringstiltag, der skal igangsættes på baggrund af risikovurderingen. Skal det sammenholdes med en vurdering af sikkerhedsmiljøet for flytrafiksystemet. Hvis denne vurdering af sikkerhedsmiljøet ikke eksisterer skal den udføres, det vil i såfald skulle foregå på et 3die møde mellem it sikkerhed og system ejeren. Planlægning af forbedringstiltag Når vi har gennemført risikovurderingen og vurderingen af sikkerhedsmiljøet. Får vi en liste som vi kan prioritere. Ud fra denne liste kan vi umiddelbart fremstille en oversigt over forbedringstiltag, der måtte ønske. Fordi vores risikovurdering er verbaliseret, vil det umiddelbart være muligt at få hints til initiativer, der kan igangsættes her. Specielt vurdering af fortrolighed, integritet og tilgængelighed vil afsløre hvad der konkret er udfordringen. Når der er fremstillet en endelig liste, som kan betegnes som færdigbehandlet, vil denne blive fremsendt til direktionen. Listen vil give et overblik over det nuværende risikobillede og give en indikation af hvilke initiativer, vi har planlagt i samarbejde med forretningen. De forbedringstiltag, der kan igangsættes med nuværende ressourcer vil umiddelbart blive afviklet, mens de tiltag, der kræver ekstra økonomi vil blive fremlagt for direktionen til godkendelse. Konklusion Ved at gennemføre ovenstående for flytrafiksikkerhedssystemet vil vi opnå en tilstrækkelig sikkerhed for at vi kender de risici, som systemet er udsat for og vi vil være sikret at vi i tilstrækkeligt omfang har forsøgt at imødekomme dem. Hvor det af økonomiske eller praktiske årsager ikke er muligt at håndtere en given risiko. Står det nu alene tilbage at vurdere om vi kan leve med risikoen eller om vi skal forsøge med yderligere forbedringstiltag. Side 12 af 42

13 Opgave 2 Sikkerhedsrapport til ledelsen Indledning Hos Ridum Airport A/S har ledelsen anmodet om at øge informationsniveauet omkring det sikkerhedsarbejde, der foregår i virksomheden. Notatet herunder er et generisk forslag til hvordan man kunne vælge at gennemføre generisk rapportering omkring IT Sikkerhed i Ridum Airports A/S. Når man skal designe en model for at rapportere er det vigtigt at man holder flere ting for øje. Man skal kende sin målgruppe og dens behov. Man skal tage stilling til hvordan data skal fremkomme. Der skal tages stilling til hvor ofte rapportering skal foretages og hvad den konkret skal indeholde. For at kunne løse den stillede opgave har det vist sig praktisk at gøre et antal forudsætninger, der ikke umiddelbart fremgår af opgave teksten: Der findes en ledelsesgodkendt IT politik Der eksisterer en Service Desk Forretningen har fastlagt Key Performance Indicators Ridum Airports har et datawarehouse hvori de i dag konsoliderer forretningsdata. Af opgaven fremgår det at der findes en IT sikkerhedspolitik, som man ikke nødvendigvis lever helt op til. For god ordens skyld vil jeg forudsætte at den er forankret i ledelsen. I forbindelse med håndteringen af den daglige IT drift forudsætter jeg at virksomheden har et Service Desk system. Det er en forudsætningen for at kunne registrere hændelser. Jeg forudsætter derudover at alle sikkerhedshændelser registreres i dette miljø. Da meget af rapporteringen skal rettes mod forskellige målgruppers behov, forudsætter jeg at disse behov bl.a. er formuleret i form af KPI. Af opgaven fremgår det at virksomheden i dag foretager avanceret data analyse på forretningsdata. Jeg forudsætter at dette sker i et datawarehouse baseret på database teknologi. Side 13 af 42

14 Notat vedr. generisk forslag til systematisk rapportering af IT Sikkerhed Baggrund for notatet I forbindelse med vores sammenlægning i koncernen har der vist sig et behov for øget information fra sikkerhedsområdet. Denne information skal være med til at sikre ledelsen at IT Sikkerhedsindsatsen har det rigtige niveau. Rapporteringen er en forudsætning for at vurdere hvordan vi har løst vores opgave i den forgangne periode og anvendes altså til at vurdere om der er behov for tilpasning af indsatsen. For at kunne bruges til det skal rapporten være rettet mod de Key Performance Indicators (KPI) som forretningen har valgt at basere sig på. Indikationen af at virksomheden har det rigtige sikkerhedsniveau er at man er i stand til at leve op til de fastlægte KPI og KSI (Key Security Indicator). Når man ikke er i stand til at honorere disse mål, kan der være tale om en utilstrækkelig indsats. Sammenholdt med risikoanalysen giver sikkerhedsrapportering gives et overblik over sikkerhedsniveauet i virksomheden. Hvis der ikke er nogen væsentlige afvigelser i vores rapportering, og der ikke er nogen elementer i vores risikoanalyse der har status uacceptabel, kan sikkerhedsindsatsen siges at være tilstrækkelig. Generisk model til systematisk rapportering Uden registrering, ingen rapportering. Det lyder enkelt, og det er det også. Hvis ikke vi har styr på de data, der skal udgøre vores rapportering har vi ikke styr på vores rapportering. Eller det kræver i hvert fald en stor indsats med efterbearbejdning af data. En af forudsætningerne for at et generisk rapporteringsmiljø kan fungere effektivt er at alle rapporter, uanset form og modtager, baserer sig på det samme sæt af data. Et eksempel kunne være at ledelsen er interesseret i brud på sikkerhedspolitikken. Det kan man levere f.eks. i form af en graf, der fortæller noget om hvilke retningslinier, man har forbrudt sig imod. Forudsætningen er at bruddene er registreret. Den samme registrering kan så anvendes af en afdelingsleder til at se på hvilke arbejdsgange, der er behov for at kigge yderligere på. Det er vigtigt at data kommer fra den samme kilde, uanset rapporteringsformålet, fordi det øger troværdigheden i rapporteringen og mindsker muligheden for fejl. Derudover begrænser det naturligvis indsatsen til i det hele taget at foretage de nødvendige registreringer, der skal anvendes for at danne den nødvendige rapportering. Når man taler omkring rapportering er en af de vigtigste discipliner at få fastlagt hvilke kilder, der ligger til grund for rapporteringen. Det kan ikke lade sig gøre at automatisere al rapportering, men man kan komme langt med at automatiskere standardrapportering. Udgangspunktet for en generisk model til systematisk rapportering er derfor at finde en metode til at strukturere tilgængelige data og sammenstille dem på en måde så de passer til de behov som målgruppen har. Side 14 af 42

15 Tegningen her ved siden af er et bud på hvordan en generisk model for systematisk rapportering kunne se ud. Modellen tager udgangspunkt i etableringen af et rapport datawarehouse. Fra dette datawarehouse skal man så kunne trække de rapporter, man har brug for. Modellen består af flere elementer: - datakilder - datawarehouse - udtræk - rapportering - Interessenter Se evt. bilag 2-1 for en større udgave af tegningen Datakilder Datakilder til et rapport datawarehouse kan være mange. I praksis er der ikke nogen begrænsning på hvilke data man kan hælde i det. Forudsætningen er blot at data kan struktureres i en form, så de kan rapporteres ensartet. Meget af den rapportering, der med fordel kan leveres fra IT Sikkerhedsfunktionen tager udgangspunkt i hhv. manuelle og automatiserede hændelser. En manuel hændelse er registreringer i vores Service Desk system, mens de automatiserede hændelser er dem, der kommer fra vores System Management miljø. Eksempler på information, der kunne komme fra SNM miljøet kunne være. Alarmer Logfiler Transaktioner Når der sker et konkret brud på sikkerheden skal der genereres en alarm. Alarmen håndteres i den normale drift, mens rapporteringen af dens forekomst overføres til datawarehouset. Det kunne f.eks. være forsøg på at opnå uautoriseret adgang. For at kunne udføre en fornuftig sikkerhedsrapportering, er det vigtigt at kende de logfiler, der fortæller noget om sikkerhed. Et eksempel kunne den logfil, der fortæller noget om tildeling af rettigheder. Hvor forekomsten af tildelinger ikke nøvendigvis giver anledning til alarm, er det vigtigt at disse overføres til vores datawarehouse, så vi kan analysere og rapportere på dem. Når en transaktion skal gennemføres, er det vigtigt for systemernes integritet at transaktionen gennemføres helt. I de tilfælde hvor en Side 15 af 42

16 transaktion går galt, skal den naturligvis rulle tilbage, men der bør ligeledes foretages en opsamling af disse hændelser i vores datawarehouse, så vi kan holde styr på hvordan det ser ud. Databaser Oprettelse, nedlæggelse og administration af databaser, er alle hændelser, der kan betyde noget for systemsikkerheden. Disse aktiviteter bør derfor også logges i vores datawarehouse. Vores Service Desk anvendes til registrering af henvendelser fra medarbejdere i forretningen. Der er i vores Service Desk oprettet de nødvendige kategorier til klassificering af sikkerhedshændelser og det er derfor en formsag at trække den nødvendige rapportering. Service Desk systemet anvendes derudover til oprettelse og styring af Change og configuration management. Eksempler på registering af information i vores Service Desk kunne være Tyveri Tildeling af rettigheder Change Managament Når, der bliver stjålet noget i vores virksomhed kan dette med fordel registeres. Når en medarbejder skal have tildelt nye rettigheder, vil det være oplagt at dette kan ske på baggrund af en registering i vores Service Desk. Når der skal laves ændringer til et system, som f.eks. kan have indflydelse på sikkerheden i et system, kan dette med fordel fremgå af vores Service Desk system. Når alle disse registeringer er på plads i de respektive kildesystemer. Så kan de efterfølgende konsolideres i et rapport datawarehouse. Rapport datawarehouse Rapport datawarehouse er der hvor vi konsoliderer alle alarmer, hændelser, logfiler og hvad der ellers måtte være nødvendigt for at kunne gennemføre en systematisk rapportering om arbejdet med virksomhedens it-sikkerhed. Et rapport datawarehouse er ikke en betegnelse for en teknisk løsning. Det er en beskrivelse af en datamodel for hvordan data skal se ud. Det betyder at man skal tage stilling til hvad elementer, der skal rapporteres på, skal indeholde. Det vil være for meget for dette notat at beskrive en fuld datamodel, men af væsentlige elememter kan nævnes at data skal struktureres så de kan tælles, kategoriseres og registeres med et tilstrækkeligt niveau af detaljer. Selvom et datawarehouse alene kan baseres på en datamodel og f.eks. udtræk fra kildesystemer vil det være en stor fordel om der etableres en teknisk løsning til samling af rapport data. Da der Side 16 af 42

17 ikke er forskel på arbejdsprincipperne bag et forretnings datawarehouse og et rapporterings datawarehouse kan vi umiddelbart anvende vores eksisterende datawarehouse. Et eksempel på strukturering af et dataelement kunne være logfilen fra før. Elementet, der skulle indgå i vores datawarehouse kunne være noget i retning af - kategori: uautoriseret adgang - brugernavn: brugernavnet fra idm systemet - Antal: overføres ikke, dette akkumuleres i datawarehouset - Detaljerede oplysninger: hvilke data, blev der forsøgt adgang til Udtræk Når først datawarehouset er blevet etableret skal der defineres et antal udtræk, som giver os mulighed for at anvende de registrede data i vores rapportering. Det vil være nødvendigt at levere forskellige typer af udtræk: - automatiserede udtræk: Disse er det tætteste man kommer på en generisk standardrapportering. Der vil typisk være tale om meget strukturerede data, som kan fastlægges på forhånd. Et eksempel kunne være logfilen fra før antal uautoriserede adgangsforsøg - Business Intelligence udtræk: Disse udtræk ville typisk kunne anvendes til mere målrettet rapportering. Hvis nu en afdelingsleder beder om en rapport, der kan afdække uautoriserede adgangsforsøg for en bestemt medarbejder, så kan man køre et BI udtræk med brugernavnet som parameter. Disse udtræk vil også typisk konsolidere flere typer af informationer. Hvis en bruger nu har forbrudt sig i et system, hvad har han så ellers haft adgang til. - Søgninger: Der er bare noget rapportering, som man ikke kunne drømme om man havde brug for inden man gik i gang. Der skal derfor være mulighed for at søge frit i datawarehouset hvis man sidder med et konkret behov for information. Rapportering Når de nødvendige udtræk er blevet defineret i vores datawarehouse kan vi begynde og kigge på opbygningen af selve rapporteringen. En god rapport skal opfylde en række kriterier: - Målrettet: Rapporten skal være designet til den, der skal modtage den. Det vil sige den skal dække det behov for information som modtageren har. En god rapport sætter modtageren i stand til at opnå sine egne mål. Hvis rapporten ikke sætter modtageren i stand til at gøre det, vil den for det meste være af informativ karakter og der er så risiko for at den ikke bliver taget alvorligt. Eksempel En rapport til økonomichefen, som fortæller at der ikke har været nogen uautoriseret adgang til regnskabsdata vil kunne støtte ham i hans arbejde når revisionen kommer for at revidere regnskabet. - Rettidig: Hvis en rapport kommer når der er brug for den. Så har den værdi. Hvis den alene kommer som afslutning på hændelser, eller information om ting, der er sket i fortiden så har den igen kun informativ karakter. Et eksempel på en rettidig information kunne være at en afdelingsleder fik en rapport over uautoriserede adgangsforsøg i forbindelse med at han skulle redegøre for sine medarbejderes privilegier ved den årlige revision. Efter revisionen ville selv samme rapport alene have informativ værdi. Side 17 af 42

18 - Troværdig: Det er væsentligt for vores rapportering at den er troværdig. Der er ikke noget, der kan underminere en god rapport, som manglende eller forkerte data. Hvis vi f.eks. afleverer en rapport, der siger at vi ikke har haft nogen uautoriserede adgangsforsøg og det efterfølgende viser sig at være forkert, så har vi et troværdighedsproblem i vores rapportering. Det er derfor vigtigt at kende præmissen for rapporteringen, inden man konkluderer på baggrund af den. - Overskuelig og hensigtsmæssig form: Når det er besluttet hvilke data, der skal indgå i den målrettede rapportering, og niveauet af data er fastlagt er det ligeså vigtigt at man har taget stilling til hvordan data skal fremstilles. Det kan f.eks. ikke nytte noget at man den ene gang viser antal af uautorisede adgangsforsøg i en graf og næste gang med et tal. Man må vælge stil og følge den. Der bør derudover tages stilling til hvordan informationen distribueres. Skal den lægges på intranettet, er det en formel rapport eller måske en . Af den generiske model for systematisk rapportering fremgår det at der skal rapporteres på projekter og aktiviteter. Den detaljerede rapportering omkring projekter og status på disse bør komme fra projektkontoret. Af sikkerhedsrapporteringen bør det kortfattet fremgå hvilke projekter man har gang i, hvilke aktiviteter, der i øvrigt rør sig. Derudover bør risikoanalysen have sit helt eget kapitel i sikkerhedsrapporteringen. Interessenter For at konkretisere rapportering, hyppighed, niveau og indhold følger her en kort gennemgang af de forskellige målgrupper i Ridum Airport. - Direktionen - Mellemledelsen - Medarbejdere - Account Managere Jeg har valgt at inkludere account managere som målgruppe. Det har jeg gjort fordi de i praksis har god føling med hvad der sker hos vores erhvervskunder og det er min vurdering at det har væsentlig værdi for disse kunder at blive informeret om de tiltag vi gør hos Ridum Airports for at forbedre vores produkter. Rapporteringen bør dog ikke foregå ufiltreret, og derfor tilgår den vores account managere, der så selv vælger hvilken information de vil lade gå videre. Direktionen Formål / behov Da det er Direktionens pligt og ansvar at tildele og fratage midler til bl.a. IT Sikkerhedsfunktionen er det væsentligt at de får en information, der kan sikre at de er vidende om forhold der har indflydelse på virksomhedens evne til at udføre sin forretningsstrategi. Direktionen har behov for forskellige typer af information. Side 18 af 42

19 - Kritiske hændelser: Når en hændelse kan have væsentlig indflydelse på forretningen skal direktionen være orienteret, så de kan træffe de nødvendige korrigerende foranstaltninger. - Opfølgning: Direktionen udstikker IT strategien og IT Sikkerhedspolitikken. De skal derfor have information om tingenes tilstand. - Investering: Når vi skal foretage nye investeringer, skal Direktionen have den nødvendige information for at kunne træffe beslutningen omkring økonomi. Risikoanalysen vil typisk være et godt redskab i denne forbindelse. De krav, der stilles fra direktionen til IT Sikkerhedsfunktion vil typisk være forankret i en IT Strategi og en IT Sikkerhedspolitik. At understøtte forretningen betyder altså at man fra IT Sikkerhedsfunktionens side arbejder på at leve op til det, der bliver fastlagt i strategi og politik. Direktionens behov for rapportering er således dokumentation for at den strategi, og de politikker der er udstukket bliver fulgt. Derudover vil det være naturligt at mellemledelsen sørger for at informere omkring performance på de arbejdsgange, de etablerer for at leve op til strategi og politik. Indhold / niveau Indholdet skal være kortfattet og præcist og helst formuleret så det fremgår tydeligt hvordan forretningen bliver påvirket. Eksempelvis: Potentiel lækage af data vedr. VIP landinger I går opnåede en medarbejder uautoriseret adgang til data omkring VIP landinger i lufthavnen. Medarbejderen havde ubegrænset adgang i 3 timer, og foretog i den periode flere søgninger i databasen. Vi har begrundet mistanke om at disse oplysninger kan være lækket til pressen. Den uautoriserede adgang opstod som følge af en computer, der henstod ulåst med administrative privilegier. Vi har indskærpet vores retningslinjer for medarbejderen, der lod skærmen stå ligesom vi har taget initiativ til en awareness kampagne om låsning af computere. Der er ikke konstateret ændringer i data, ligesom den uautoriserede adgang ikke har haft betydning for systemernes tilgængelighed. Vi har umiddelbart spærret medarbejderens adgang til vores systemer og har endvidere overgivet sagen til afdelingschefen og HR for en vurdering af de ansættelsesmæssige konsekvenser. /IT Sikkerhed Hyppighed Rapportering om tingenes tilstand bør foregå på månedsbasis Rapportering omkring kritiske hændelser bør foregå umiddelbart Rapportering omkring investeringer bør foregå efter behov Side 19 af 42

20 Mellemledelsen Det er mellemledelsens pligt og ansvar at tilrettelægge arbejdet i de enkelte funktionsområder på en sådan måde at arbejdet kan ske i overensstemmelse med forretningens strategi, IT stragetien og IT sikkerhedspolitikken og hvad er i øvrigt måtte være af politikker og retningsliner. Mellemledelsen vil typisk have fastlagte budgetter at operere under. Ligesom de også vil være underlagt f.eks. omsætningsmål. Da IT systemerne hjælper dem med at holde omkostningerne i ro og nå deres omsætningsmål har de en naturlig interesse i at blive informeret om hændelser og tiltag, der har indflydelse på dette. Mellemledelsen har behov for forskellige typer af information. - Kritiske hændelser: Når en hændelse har væsentlig indflydelse på et forretningsområde er det vigtigt at ledelsen er informeret. - Opfølgning: En mellemleder godkender f.eks. hvilke adgange hans medarbejdere skal have. Han vil derfor være interesseret i rapportering, der fortæller hvilke adgange, der er tildelt. Det betyder at han kan følge op på at der er foretaget de korrekte tildelinger. Oppetid/svartid: Da mellemlederen jo er anvarlig for omsætningen. Vil hans primære interesse ligge i information om hvordan systemet har været tilgængeligt og hvordan det har performet. - Change Management: Hvis der planlægges f.eks. sikkerhedsopdateringer. Så vil mellemlederen også være interesseret i information. En opdatering kunne jo betyde nedetid i hans forretningsområde. - Forbedringsforslag: For at arbejde bedre sammen med forretningen bør IT sikkerhed generere rapporter, som kan afdække områder hvor man kan hjælpe med at forbedre sikkerheden. Eks. en awareness kampagne rettet mod nedbringelse af tyveri af udstyr (som giver driftsforstyrrelser). Udover dette bør mellemlederne naturligvis have adgang til samme information som Direktionen. Indhold / niveau Indholdet skal være kortfattet og præcist og helst formuleret så det fremgår tydeligt hvordan forretningen bliver påvirket. Niveauet vil være forskelligt alt efter om mellemlederen er f.eks. økonomichef, it chef, ansvarlig for landingstårnet m.v. hovedreglen er dog stadigvæk at informationen skal rettes mod de KPI er som den enkelte mellemleder er ansvarlig for. I HR funktionen vil man være interesseret i information, der fortæller om man lever op til lovgivningen. I Økonomifunktionen vil man være interesseret i information, som har betydning for aflæggelse af regnsskabet (tages der backup, hvem har adgang). I check-in området vil man være interesseret i hændelser, der har indflydelse på systemernes drift. Hyppighed Rapportering omkring kritiske hændelser bør foregå umiddelbart Rapportering omkring opfølgning bør tilrettelægges så det passer ind i arbejdsgangen Rapportering om oppetid/svartid bør foregå på månedsbasis Rapportering om change management bør foregå efter behov Rapportering om forbedringsforslag bør foregå når et behov identificeres. Eller evt. i samarbejde med forretningen i form af rådgivning. Side 20 af 42

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

Risikostyring ifølge ISO27005 v. Klaus Kongsted

Risikostyring ifølge ISO27005 v. Klaus Kongsted Risikostyring ifølge ISO27005 v. Klaus Kongsted Agenda Dubex A/S Formålet med risikovurderinger Komponenterne Risikovurderinger Dubex A/S fakta og værdier Den førende sikkerhedspartner De bedste specialister

Læs mere

DE BEAR TECHNOLOGY. o Processer, metoder & værktøjer. e-mail: info@dbtechnology.dk WWW.DBTECHNOLOGY.DK

DE BEAR TECHNOLOGY. o Processer, metoder & værktøjer. e-mail: info@dbtechnology.dk WWW.DBTECHNOLOGY.DK Mission Critical o Projekt Information management o Processer, metoder & værktøjer. Side 1 of 11 Projekt information Projekt information management inkluderer alle de processer, som er nødvendige for at

Læs mere

Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens:

Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens: DS/ISO 31000 Risikoledelse ISO 31000 - Risikoledelse Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens: overordnede

Læs mere

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) 1 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-951-4 0.05.12

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

Risikoanalyse af implikationer for privatlivets fred

Risikoanalyse af implikationer for privatlivets fred Risikoanalyse af implikationer for privatlivets fred Appendiks 5 Håndbog i: Privatlivsimplikationsanalyse IT og Telestyrelsen INDHOLDSFORTEGNELSE Risikovurdering af implikationer for privatlivets fred...

Læs mere

IT-sikkerhedspolitik for

IT-sikkerhedspolitik for Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs

Læs mere

IT-SIKKERHEDSPOLITIK UDKAST

IT-SIKKERHEDSPOLITIK UDKAST IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens

Læs mere

NOTAT. definitionen af sikkerhedshændelse i lovforslaget om Center for Cybersikkerhed (L 192)

NOTAT. definitionen af sikkerhedshændelse i lovforslaget om Center for Cybersikkerhed (L 192) Forsvarsudvalget 2013-14 L 192 Bilag 6 Offentligt NOTAT 30. maj 2014 om definitionen af sikkerhedshændelse i lovforslaget om Center for Cybersikkerhed (L 192) 1. Begrebet sikkerhedshændelse er et centralt

Læs mere

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1 Tilgængelighed, fortrolighed og integritet. Høj kvalitet i informationssikkerhed og dokumentation Hvilken betydning har principper og anbefalinger i sikkerhedsstandarden ISO 27001 for kvaliteten af dokumentationen?

Læs mere

Andersen & Martini A/S

Andersen & Martini A/S Udkast til kommissorium for revisionsudvalget 1. Formål Revisionsudvalget udpeges af bestyrelsen til at bistå denne i udførelsen af bestyrelsens tilsynsopgaver. Revisionsudvalget overvåger: Effektiviteten

Læs mere

Vejledning i it-risikostyring og -vurdering. Februar 2015

Vejledning i it-risikostyring og -vurdering. Februar 2015 Vejledning i it-risikostyring og -vurdering Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske

Læs mere

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør Dagsorden 1. Præsentation 2. Roskilde Universitet 3. Risikostyring - hvorfor? 4. Ledelsesopbakning 5. ISO27001 6. Forretningsorienteret risikostyring 7. It-teknisk sikkerhedsstyring 8. Hvordan bruges risikostyring

Læs mere

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet Sammenfatning Denne vejledning adresserer risikoen for industrispionage fra statssponserede aktører i udlandet mod

Læs mere

Region Midtjylland Proces for Change Management

Region Midtjylland Proces for Change Management Region Midtjylland Proces for Change Management Version 1.1 Forord Dette dokument beskriver RMIT s Change Management proces. Processen beskriver minimumskravene (need to have) for at få processen til at

Læs mere

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.

Læs mere

V e j l e d n i n g. Egenkontrol for kølerum med eget isværk Branchekoden

V e j l e d n i n g. Egenkontrol for kølerum med eget isværk Branchekoden V e j l e d n i n g Egenkontrol for kølerum med eget isværk Branchekoden Indholdsfortegnelse Særskilt hæfte - del 1 Introduktion til egenkontrol Ordliste og definitioner Gældende program - del 2 Egenkontrol

Læs mere

1.3 Formålet med denne politik er at forhindre, at en interessekonflikt bliver udnyttet af Selskabet eller dets medarbejdere til skade for kunden.

1.3 Formålet med denne politik er at forhindre, at en interessekonflikt bliver udnyttet af Selskabet eller dets medarbejdere til skade for kunden. 1. Indledning 1.1 Denne politik ( Politik for håndtering af interessekonflikter ) definerer og skitserer retningslinjerne for Formuepleje A/S Fondsmæglerselskab ( Selskabet ) i relation til interessekonflikter.

Læs mere

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Den finansielle sektor er i dag 100% afhængig af, at it-løsninger er kørende og herudover er sikret i tilfælde af, at noget

Læs mere

Informationssikkerhed Version 2.0 29.09.10

Informationssikkerhed Version 2.0 29.09.10 Informationssikkerhed Version 2.0 29.09.10 Retningslinjer for retablering af systemer og data (Ændringer i forhold til tidligere version er markeret med Understregning) Disse retningslinjer beskriver de

Læs mere

Hos Lasse Ahm Consult vurderer vi at følgende supplerende krav i de enkelte kravelementer er væsentlige at bemærke:

Hos Lasse Ahm Consult vurderer vi at følgende supplerende krav i de enkelte kravelementer er væsentlige at bemærke: ISO 9001:2015 (Draft) Side 1 af 9 Så ligger udkastet klar til den kommende version af ISO 9001. Der er sket en række strukturelle ændringer i form af standardens opbygning ligesom kravene er blevet yderligere

Læs mere

Erfaringer med individuelt konfigureret økonomistyring

Erfaringer med individuelt konfigureret økonomistyring Erfaringer med individuelt konfigureret økonomistyring Erfaringer indhentet i projektet Vækst og merværdi arbejdspakken Økonomistyring. Som en del af demonstrationsprojektet `Vækst og merværdi er der i

Læs mere

Torben Waage www.kromannreumert.com/insights. Partner

Torben Waage www.kromannreumert.com/insights. Partner Torben Waage IT-SIKKERHEDEN SKAL OP PÅ LEDELSESNIVEAU Hvert år bliver der brugt milliarder af kroner på at beskytte digitale aktiver, så fortrolige informationer undgår at finde vej til offentligheden.

Læs mere

. Bestemmelser der indarbejdes i Samarbejdsbilaget samt i Kontrakten

. Bestemmelser der indarbejdes i Samarbejdsbilaget samt i Kontrakten . spe. Bestemmelser der indarbejdes i Samarbejdsbilaget samt i Kontrakten Nedenstående er opdelt i to afsnit. Første afsnit indeholder bestemmelser, der forventes indarbejdet i Samarbejdsbilaget. Andet

Læs mere

Forberedelse og planlægning af GMP Audit

Forberedelse og planlægning af GMP Audit Forberedelse og planlægning af GMP Audit Juli, 2014 Indledning I de kommende sider får du nogle hurtige tips og råd til din forberedelse og planlægning af en GMP audit. Dette er ikke en komplet og grundig

Læs mere

It-sikkerhedspolitik for Københavns Kommune

It-sikkerhedspolitik for Københavns Kommune Københavns Kommune Koncernservice It-sikkerhedspolitik for Københavns Kommune 2015-02-05 It-sikkerhedshåndbog for Københavns Kommune It-sikkerhedspolitik for Københavns Kommune Publiceret: 2014-07-03 Mål

Læs mere

ØKONOMI OG ADMINISTRATION 2015-2016 SUBSTRATEGI

ØKONOMI OG ADMINISTRATION 2015-2016 SUBSTRATEGI ØKONOMI OG ADMINISTRATION 2015-2016 SUBSTRATEGI MOTIVEREDE O G E FFEKT IV E MEDARBEJDERE, GO D ØK ONOMI STYRI NG O G INTRO EN EFFEKTIV OG ATTRAKTIV ARBEJDSPLADS MISSION ˮEnkle og effektive administrative

Læs mere

Risikovurdering Gartneriet PKM

Risikovurdering Gartneriet PKM DM091 - Gruppe 1 Risikovurdering Gartneriet PKM Udarbejdet af: Andreas Harder, Morten Knudsen Lars Vendelbo & Kresten Østerby Indledning Gartneriet PKM producerer på årlig basis ca. 20 millioner planter,

Læs mere

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015 Databeskyttelse: Afrunding Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015 Der er to typer virksomheder Der er to typer virksomheder: Dem, der ved at de er blevet hacket og dem der ikke ved at

Læs mere

Mobility-strategi Hvordan kommer du i gang?

Mobility-strategi Hvordan kommer du i gang? Mobility-strategi Hvordan kommer du i gang? Kenneth Rosenkrantz 13. marts 2013 kro@dubex.dk Agenda Kort opsummering Hvad bør en Mobility Strategi indeholde? Virksomhedens modenhed Hvordan kommer du i gang?

Læs mere

UC Effektiviseringsprogrammet. Projektgrundlag. Business Intelligence. version 1.2

UC Effektiviseringsprogrammet. Projektgrundlag. Business Intelligence. version 1.2 UC Effektiviseringsprogrammet Projektgrundlag Business Intelligence version 1.2 9. september 2014 1 Stamdata Stamdata Projektnavn (forventet): Projektejer: Projekttype: Business Intelligence It-chef Hans-Henrik

Læs mere

PROfessiOnel RisikOstyRing med RamRisk

PROfessiOnel RisikOstyRing med RamRisk 4 Professionel risikostyring med ramrisk www.ramrisk.dk Risikostyring med RamRisk Rettidig håndtering af risici og muligheder er afgørende for enhver organisation og for succesfuld gennemførelse af ethvert

Læs mere

Retningslinjer for teknisk revision 2008

Retningslinjer for teknisk revision 2008 23. maj 2008 Side 1/4 Retningslinjer for teknisk revision 2008 I Håndbog for Energikonsulenter 2008 kan konsulenterne bruge faglige vurderinger og forenklinger i forbindelse med beregningen af bygningers

Læs mere

22. juni 2010 KMD A/S DIAS 1. Infrastructure Optimization. Greve Kommune. Jesper Skov Hansen Løsningsarkitekt KMD A/S jhs@kmd.dk

22. juni 2010 KMD A/S DIAS 1. Infrastructure Optimization. Greve Kommune. Jesper Skov Hansen Løsningsarkitekt KMD A/S jhs@kmd.dk DIAS 1 Infrastructure Optimization Greve Kommune Jesper Skov Hansen Løsningsarkitekt KMD A/S jhs@kmd.dk Agenda DIAS 2 _ Formål med IO _ Gennemgang af IO modellen _ IO analyse hos Greve Kommune _ Opsummering

Læs mere

Innovationens Syv Cirkler

Innovationens Syv Cirkler Innovationens Syv Cirkler Med denne gennemgang får du en kort introduktion af Innovationens Syv Cirkler, en model for innovationsledelse. Dette er en beskrivelse af hvilke elementer der er betydende for

Læs mere

Greve Kommune. Revision af generelle it-kontroller 2011

Greve Kommune. Revision af generelle it-kontroller 2011 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 0 30 Telefax 36 10 0 40 www.deloitte.dk Greve Kommune Revision af generelle

Læs mere

Vold, mobning og chikane

Vold, mobning og chikane Vold, mobning og chikane Retningslinjer om vold, mobning og chikane Baggrund for retningslinjerne Det er en skal-opgave for Hovedudvalget og de lokale MED-udvalg at udarbejde retningslinjer mod vold, mobning

Læs mere

It-delstrategi for administrativ it-anvendelse

It-delstrategi for administrativ it-anvendelse Administrativ DELSTRATEGI 2011-2015 NOTAT It-delstrategi for administrativ it-anvendelse 9. september 2011 Indholdsfortegnelse 1. Formål...2 2. Baggrund...2 3. Vision...3 4. Strategisk retning...3 4.1.

Læs mere

ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015

ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015 ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015 Udfordringer mht. persondata eksempler For mange brugere har adgang til

Læs mere

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09 Aabenraa Kommune Informationspolitik : 2014-04-09 Aabenraa Kommune 29. august 2012 Informationspolitik Overordnet Informationssikkerhedspolitik for Aabenraa Kommune Velkommen til Aabenraa Komune s overordnede

Læs mere

Kommissorium for Revisions- og Risikokomiteen i DONG Energy A/S

Kommissorium for Revisions- og Risikokomiteen i DONG Energy A/S Kommissorium for Revisions- og Risikokomiteen i DONG Energy A/S Generelt Revisions- og Risikokomiteen er et udvalg under Bestyrelsen, der er nedsat i overensstemmelse med forretningsordenen for Bestyrelsen.

Læs mere

Mobility-strategi Hvordan kommer du i gang? Kenneth Rosenkrantz Søborg, 7. november 2013

Mobility-strategi Hvordan kommer du i gang? Kenneth Rosenkrantz Søborg, 7. november 2013 Mobility-strategi Hvordan kommer du i gang? Kenneth Rosenkrantz Søborg, 7. november 2013 DUBEX SECURITY & RISK MANAGEMENT SUMMIT 2013 Agenda Mobility Politik og procedure Virksomhedens modenhed Hvad bør

Læs mere

Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk

Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk 9. april 2013 Dokumentnr.: CKG Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk Indhold: 1. Organisation...2 2. Serviceydelser...3 3. Teknik...6 4. Gældende regler...9 1/9 1. Organisation

Læs mere

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser INDHOLDSFORTEGNELSE 1. Baggrund og formål... 2 2. Ansvarsfordeling... 2 2.1 Jobcenterchefens ansvar... 2 2.2 Gensidig informationspligt... 3 3. Krav til

Læs mere

IKT programmer for Facilities Management. Vejledning for førstegangskøbere: Præsentation & debat

IKT programmer for Facilities Management. Vejledning for førstegangskøbere: Præsentation & debat DFM Workshop 05.10.09 09 IKT programmer for Facilities Management Vejledning for førstegangskøbere: Præsentation & debat Vejledning til systemkøberen Hvorfor en vejledning? Opbygning, highlights og vigtige

Læs mere

Identificering og imødegåelse af farer og risici

Identificering og imødegåelse af farer og risici dato 05.11.2012 Side 1 af 5 Identificering og imødegåelse af farer og risici Formål: At sikre, at risici bliver vurderet og at der tages passende forholdsregler til at imødegå ulykker og andre arbejdsmiljøbelastninger.

Læs mere

Guide til awareness om informationssikkerhed. Marts 2013

Guide til awareness om informationssikkerhed. Marts 2013 Guide til awareness om informationssikkerhed Marts 2013 Udgivet marts 2013 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske til:

Læs mere

Ledelsesforankret informationssikkerhed. med ISO/IEC 27001

Ledelsesforankret informationssikkerhed. med ISO/IEC 27001 Ledelsesforankret informationssikkerhed med ISO/IEC 27001 02 Indhold > Forord... 03 INTRODUKTION ISO/IEC 27001... 05 Ansvar og opgaver... 07 Standardens indhold... 09 PROCESSEN Procesmodellen... 13 Afstem

Læs mere

Hentet af admin - June 3, 2014. contract management

Hentet af admin - June 3, 2014. contract management 6 Q UA R T E R LY A N A LY T I C S 2 2014 contract management Q UA R T E R LY A N A LY T I C S 2 2014 7 Er du helt sikker på, at du har Contract Management? Del 1: Introduktion til elementerne i Contract

Læs mere

Informationssikkerhedspolitik for Vejen Kommune

Informationssikkerhedspolitik for Vejen Kommune Informationssikkerhedspolitik for Vejen Kommune Denne politik er godkendt af byrådet d. xx. Og træder i kraft d. xx. Seneste version er tilgængelig på intranettet. Indledning Vejen Byråd fastlægger med

Læs mere

EH SmartView: Se alle ricisi og muligheder

EH SmartView: Se alle ricisi og muligheder EH SmartView Euler Hermes Online EH SmartView: Se alle ricisi og muligheder www.eulerhermes.dk EH SmartView Overvåg risici og grib mulighederne, når de opstår I en usikker verden kræver det viden at beskytte

Læs mere

Revisionsprotokollat af 27. marts 2011

Revisionsprotokollat af 27. marts 2011 KPMG Statsautoriseret Revisionspartnerselskab AUDIT Borups Allé 177 Postboks 250 2000 Frederiksberg Telefon 38 18 30 00 Telefax 72 29 30 30 www.kpmg.dk Revisionsprotokollat af 27. marts 2011 til årsrapporten

Læs mere

Proces orientering af IT organisationer (ITIL - implementering)

Proces orientering af IT organisationer (ITIL - implementering) Proces orientering af IT organisationer (ITIL - implementering) Af Lars Zobbe Mortensen Indholdsfortegnelse 1 Indledning... 3 1.1 Hvorfor bedst practice processer (f.eks. ITIL)?... 3 2 Beslutning om forandring...

Læs mere

Bilag 3A.7 Brugergrænseflader

Bilag 3A.7 Brugergrænseflader Bilag 3A.7 Brugergrænseflader Version 0.8 26-06-2015 Indhold 1 VEJLEDNING TIL TILBUDSGIVER... 3 2 INDLEDNING... 4 3 USER EXPERIENCE GUIDELINES (UX-GUIDELINES)... 5 3.1 GENERELLE UX-GUIDELINES... 5 3.1.1

Læs mere

FKO Quick Guide. Kom godt igang med FKO Temperaturmåling

FKO Quick Guide. Kom godt igang med FKO Temperaturmåling FKO Quick Guide Kom godt igang med FKO Temperaturmåling FKO GUIDE Temperaturmåling Publikationen er udgivet af Socialstyrelsen Edisonsvej 18, 1. 5000 Odense C Tlf: 72 42 37 00 www.socialstyrelsen.dk Udgivet

Læs mere

Tjeklisten for bedre indtjening

Tjeklisten for bedre indtjening Tak fordi du har downloadet Den ultimative tjekliste for bedre indtjening. Manglende indtjening hænger ofte sammen med, at der er ting i dit workflow, du kan forbedre. En tjekliste er uvurderlig, for den

Læs mere

Vejledning til kvalitetsstyringssystemer i Fyrværkerivirksomheder. Sikkerhedsstyrelsen 4. maj 2006

Vejledning til kvalitetsstyringssystemer i Fyrværkerivirksomheder. Sikkerhedsstyrelsen 4. maj 2006 Vejledning til kvalitetsstyringssystemer i Fyrværkerivirksomheder Sikkerhedsstyrelsen 4. maj 2006 INDHOLDSFORTEGNELSE Indholdsfortegnelse...1 Indledning...2 Krav til kvalitetsstyringssystemet...2 Etablering

Læs mere

Modtagelse af elektroniske regninger håndteres i systemet KMD Webbetaling.

Modtagelse af elektroniske regninger håndteres i systemet KMD Webbetaling. Bilag 10 Generelle regler for bogføring af regnskabsbilag Elektronisk fakturering: 1. Anvendelsesområde Modtagelse af elektroniske regninger håndteres i systemet KMD Webbetaling. En regning defineres som

Læs mere

Risikovurdering og beredskab. 26. April 2010 Præsenteret af Marianne Bo Krowicki

Risikovurdering og beredskab. 26. April 2010 Præsenteret af Marianne Bo Krowicki Risikovurdering og beredskab 26. April 2010 Præsenteret af Marianne Bo Krowicki Det kan gå så gruelig galt En medarbejder blev bortvist i fredags. Brikken blev deaktiveret, og bruger-log-on blokeret, men

Læs mere

Guide til bedre beredskabsstyring. April 2015

Guide til bedre beredskabsstyring. April 2015 Guide til bedre beredskabsstyring April 2015 Guide til bedre beredskabsstyring Udgivet april 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen

Læs mere

It-sikkerhedstekst ST9

It-sikkerhedstekst ST9 It-sikkerhedstekst ST9 Single Sign-On og log-ud Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST9 Version 1 Juli 2015 Single Sign-On og log-ud Betegnelsen Single Sign-On (SSO)

Læs mere

Jan Hansen, AMP CMDB Specialist

Jan Hansen, AMP CMDB Specialist Jan Hansen, AMP CMDB Specialist Hansen@ampartner.com Hvad er en CMDB? Et register over enheder (ITIL sk: Configuration Items eller CIs) CIs indeholder relevante oplysninger: attributter Sammenhænge eller

Læs mere

Formål Retningslinjen beskriver fremgangsmåden ved registrering og undersøgelse af arbejdsulykker i Region Sjælland.

Formål Retningslinjen beskriver fremgangsmåden ved registrering og undersøgelse af arbejdsulykker i Region Sjælland. Retningslinjer til håndtering af arbejdsulykker Disse retningslinjer skal efterleves af de enheder, der implementerer det elektroniske anmeldelsessystem for arbejdsskader Opus Arbejdsskade under den administrative

Læs mere

Sikkerhedsanbefaling. Styrkelse af informationssikkerheden i mainframeinstallationer

Sikkerhedsanbefaling. Styrkelse af informationssikkerheden i mainframeinstallationer Sikkerhedsanbefaling Styrkelse af informationssikkerheden i mainframeinstallationer Januar 2015 Indledning Inden for de seneste år har flere mainframeinstallationer været udsat for hackerangreb. I Sverige

Læs mere

Løsningen garanterer at finde alle de cookies, som et nationalt tilsyn kan finde. Løsningen er valideret af Audit Bureau of Circulation i England.

Løsningen garanterer at finde alle de cookies, som et nationalt tilsyn kan finde. Løsningen er valideret af Audit Bureau of Circulation i England. Cookievejledningens Tekniske Guide Den tekniske guide beskriver fem skridt til overholdelse af cookiereglerne: 1. Fastlæggelse af webejendom 2. Undersøgelse af om der sættes cookies på hjemmesiden 3. Afgivelse

Læs mere

Politisk dokument uden resume. 21 Status for it-projekter. Indstilling: Administrationen indstiller,

Politisk dokument uden resume. 21 Status for it-projekter. Indstilling: Administrationen indstiller, Politisk dokument uden resume Sagsnummer Bestyrelsen 30. april Peter Jensby Lange 21 Status for it-projekter Indstilling: Administrationen indstiller, at bestyrelsen tager orienteringen status for it-projekter

Læs mere

Artikel trykt i Controlleren. Gengivelse af denne artikel eller dele heraf er ikke tilladt ifølge dansk lov om ophavsret.

Artikel trykt i Controlleren. Gengivelse af denne artikel eller dele heraf er ikke tilladt ifølge dansk lov om ophavsret. Controlleren Artikel trykt i Controlleren. Gengivelse af denne artikel eller dele heraf er ikke tilladt ifølge dansk lov om ophavsret. Børsen Ledelseshåndbøger er Danmarks største og stærkeste videns-

Læs mere

Installation, håndtering og opdatering af Windows Server med System Center

Installation, håndtering og opdatering af Windows Server med System Center Automatiseret og centraliseret installation, håndtering og opdatering af Windows Server Installation og vedligeholdelse af Windows Server - operativsystemerne i datacentre og på tværs af it-miljøer kan

Læs mere

Månedlig opfølgning på it-drift

Månedlig opfølgning på it-drift Månedlig opfølgning på it-drift 0. Indledning En væsentlig del af at styre en it-driftskontrakt og de leverancer, der leveres herigennem, er at opretholde et konstruktivt samarbejde med leverandøren, hvor

Læs mere

(virksomhed) (projektnavn) (måned år)

(virksomhed) (projektnavn) (måned år) Region Hovedstadens Kvalitetsfonds Byggeprojekter Paradigme for Styringsmanual Bilag 1 Månedsrapport Månedsrapport nr. (måned år) Udarbejdet Kontrolleret Godkendt Navn Navn Navn Dato Dato Dato Bilag 1

Læs mere

Kommissorium for bestyrelsens revisionsudvalg.

Kommissorium for bestyrelsens revisionsudvalg. Kommissorium for bestyrelsens revisionsudvalg. Introduktion Introduktion Nærværende kommissorium kan anvendes som inspiration til udarbejdelse af kommissorier for revisionsudvalg etableret som selvstændige

Læs mere

Den Danske Kvalitetsmodel på det sociale område i Randers Kommue. Fælles kommunale retningslinjer for standard 2.2 arbejdsmiljø

Den Danske Kvalitetsmodel på det sociale område i Randers Kommue. Fælles kommunale retningslinjer for standard 2.2 arbejdsmiljø Den Danske Kvalitetsmodel på det sociale område i Randers Kommue Fælles kommunale retningslinjer for standard 2.2 arbejdsmiljø 2 Fælles kommunale retningslinjer for standard 2.2 arbejdsmiljø Den Danske

Læs mere

Fælles regionale principper for. systematisk læring af patientklager

Fælles regionale principper for. systematisk læring af patientklager Fælles regionale principper for systematisk læring af patientklager Fælles regionale principper for systematisk læring af patientklager Læring af patientklager handler om at lytte, agere og forbedre. Formålet

Læs mere

AWARENESS EN SIKKER VEJ TIL BEDRE SIKKERHED & KVALITET DATASIKKERHEDSKONFERENCE

AWARENESS EN SIKKER VEJ TIL BEDRE SIKKERHED & KVALITET DATASIKKERHEDSKONFERENCE AWARENESS EN SIKKER VEJ TIL BEDRE SIKKERHED & KVALITET DATASIKKERHEDSKONFERENCE 29.01.2015 HVEM ER JEG. LARS BÆRENTZEN Mere end 20 års erfaring som konsulent Rådgiver inden for IT- og informationssikkerhed

Læs mere

Håndbog til projektledelse

Håndbog til projektledelse Mere info kontakt Julie Kirstine Olsen Udviklingskonsulent juols@ikast-brande.dk Tlf.: 9960 4153 Mads Ballegaard Konsulent mabal@ikast-brande.dk Tlf.: 9960 4021 Produceret af Håndbog til projektledelse

Læs mere

Brugermanual. Byggeweb Capture Entreprenør 7.38

Brugermanual. Byggeweb Capture Entreprenør 7.38 Brugermanual Byggeweb Capture Entreprenør 7.38 Indholdsfortegnelse Byggeweb Capture... 5 Indledning... 5 Hvad er Byggeweb Capture... 5 Principper... 6 Opbygning... 7 Projektinfo - Entreprenør... 7 Opsummering

Læs mere

PED/15.10.2007 Auditorhåndbog for OTS Version 1

PED/15.10.2007 Auditorhåndbog for OTS Version 1 PED/15.10.2007 Auditorhåndbog for OTS Version 1 Side 1/10 Indhold 1. Forord 2. Hvad er audit? 3. Hvor ofte skal auditor gennemføre audit og med hvilken funktion? 4. Rollen som auditor 5. Planlægning Indkaldelse

Læs mere

OVERORDNET IT-SIKKERHEDSPOLITIK

OVERORDNET IT-SIKKERHEDSPOLITIK OVERORDNET IT-SIKKERHEDSPOLITIK Indholdsfortegnelse 1. Indledning....3 2. Formål...3 3. Sikkerhedspolitik...3 4. Dækningsormåde...4 5. Sikkerhedsniveau....4 6. Organisation og ansvar...4 7. Opfølgning...5

Læs mere

Bekendtgørelse om kvalitetskontrol og Revisortilsynets virksomhed

Bekendtgørelse om kvalitetskontrol og Revisortilsynets virksomhed Bekendtgørelse om kvalitetskontrol og Revisortilsynets virksomhed I medfør af 34, stk. 3, og 54, stk. 2, i lov nr. 468 af 17. juni 2008 om godkendte revisorer og revisionsvirksomheder (revisorloven), som

Læs mere

Beredskab til iseries

Beredskab til iseries Beredskab til iseries - For en sikkerheds skyld Peter Nittegaard IBM IT-katastrofeberedskab E-mail: peter_nittegaard@dk.ibm.com IT Manager Konference 2006 August 2006 Agenda Hvorfor skal virksomheden have

Læs mere

Vejdirektoratet DANBRO+ Modul 6 / Undermodul 6.1 VEJDIREKTORATET 2. FORMÅL OG ANVENDELSE 3

Vejdirektoratet DANBRO+ Modul 6 / Undermodul 6.1 VEJDIREKTORATET 2. FORMÅL OG ANVENDELSE 3 VEJDIREKTORATET DANBRO+ Modul 6 / Undermodul 6.1 Indholdsfortegnelse 1. INDLEDNING 3 2. FORMÅL OG ANVENDELSE 3 3. TEKNISK BESKRIVELSE INPUT AF DATA 4 3.1 Generelt 4 3.2 Hændelseskategorier 4 3.3 Input

Læs mere

Skabelon til dokumentation af resultater i de sociale helhedsplaner en vejledning

Skabelon til dokumentation af resultater i de sociale helhedsplaner en vejledning Skabelon til dokumentation af resultater i de sociale helhedsplaner en vejledning Om skabelonen... 1 Sådan udfyldes skabelonen.. 6 Referencer og inspiration til videre læsning... 11 Skabelon til dokumentation

Læs mere

God it-sikkerhed i kommuner

God it-sikkerhed i kommuner God it-sikkerhed i kommuner En vejledning til kommuner om at skabe et godt fundament for tryg og sikker behandling af kommunens og borgernes oplysninger. Vejledningen beskriver, hvordan DS484-baseret it-sikkerhedsledelse

Læs mere

QUARTERLY ANALYTICS 3 2014. Hentet af admin - September 15, 2014. contract management. del 2

QUARTERLY ANALYTICS 3 2014. Hentet af admin - September 15, 2014. contract management. del 2 6 QUARTERLY ANALYTICS 3 2014 contract management del 2 QUARTERLY ANALYTICS 3 2014 7 Er du helt sikker på, at du har Contract Management? Del 2: Forankring og overblik Contract Management kan være et centralt

Læs mere

Notat til Statsrevisorerne om beretning om SKATs indsats på transfer pricing-området. December 2014

Notat til Statsrevisorerne om beretning om SKATs indsats på transfer pricing-området. December 2014 Notat til Statsrevisorerne om beretning om SKATs indsats på transfer pricing-området December 2014 18, STK. 4-NOTAT TIL STATSREVISORERNE 1 Vedrører: Statsrevisorernes beretning nr. 21/2013 om SKATs indsats

Læs mere

Kontraktbilag 7 Drift-, support og vedligeholdelsesydelser

Kontraktbilag 7 Drift-, support og vedligeholdelsesydelser Kontraktbilag 7 Drift-, support og vedligeholdelsesydelser [Vejledning til Leverandør i forbindelse med afgivelse af tilbud Dette bilag indeholder Kundens krav til Leverandørens drift-, support og vedligeholdelsesydelser.

Læs mere

PRINCE2 PRACTITIONER EKSAMEN VEJLEDNING TIL EKSAMINANDER

PRINCE2 PRACTITIONER EKSAMEN VEJLEDNING TIL EKSAMINANDER PRINCE2 PRACTITIONER EKSAMEN VEJLEDNING TIL EKSAMINANDER 1 INTRODUKTION 1.1 Formålet med Practitioner-eksamen er at give eksaminanden mulighed for at demonstrere forståelse af PRINCE2. Samtidig skal eksaminanden

Læs mere

Den danske kvalitetsmodel Arbejdsmiljø i Handicap, psykiatri og udsatte

Den danske kvalitetsmodel Arbejdsmiljø i Handicap, psykiatri og udsatte Den danske kvalitetsmodel Arbejdsmiljø i Handicap, psykiatri og udsatte Dansk Kvalitetsmodel Kort om kvalitetsmodellen Dansk kvalitetsmodel på det sociale område udfoldes i et samarbejde mellem Danske

Læs mere

Hvordan udarbejdes en strategi

Hvordan udarbejdes en strategi LENNART SVENSTRUP Hvordan udarbejdes en strategi LENNART@KYOEVAENGET.DK 2011 Strategi Alle kan udarbejde en strategi! MEN: For at en strategi er noget værd i praksis, skal den tage udgangspunkt i virkeligheden,

Læs mere

Bilag om bogføring. Indhold. 1. Indledning

Bilag om bogføring. Indhold. 1. Indledning Indhold 1. Indledning... 1 1.1 Generelt... 2 1.2 Definitioner... 2 1.2.1 Regnskabsmateriale... 2 1.2.2 Bilag... 2 1.2.3 Godkendelse... 2 2. Periodisering og transaktionsprincippet... 2 3. Konteringsprincip...

Læs mere

Trivsel og psykisk arbejdsmiljø i Folkekirken. Rapport over afsluttende evaluering

Trivsel og psykisk arbejdsmiljø i Folkekirken. Rapport over afsluttende evaluering Trivsel og psykisk arbejdsmiljø i Folkekirken Rapport over afsluttende evaluering 1 Indhold 1. Baggrund... 3 2. Spørgeskemaundersøgelsen... 3 3. Opmærksomhedspunkter og eventuelle fejlkilder... 3 4. Præsentation

Læs mere

Én IT løsning, mange fordele AX TRAVEL. - fremtidens rejsebureauløsning

Én IT løsning, mange fordele AX TRAVEL. - fremtidens rejsebureauløsning Én IT løsning, mange fordele - fremtidens rejsebureauløsning Privatejet virksomhed Etableret i 1987 100 % danskejet Hovedkontor i Allerød og kontor i Århus +80 medarbejdere Solid og positiv økonomi gennem

Læs mere

Frederikshavn Forsyning A/S. Orientering fra direktionen 29. oktober 2013

Frederikshavn Forsyning A/S. Orientering fra direktionen 29. oktober 2013 Frederikshavn Forsyning A/S 1. Lederudvikling Direktion og chefgruppe gennemgår i første halvår af 2014 et lederudviklingsforløb ved Mercuri Urval. Forløbet afvikles som individuelle timer/enkeltdage ved

Læs mere

Det bedste værktøj. er det der bliver brugt. RISMAexecution

Det bedste værktøj. er det der bliver brugt. RISMAexecution Det bedste værktøj er det der bliver brugt RISMAexecution RISMA Vi er dedikeret til din succes Pålidelig rettidig information spiller en nøglerolle for succes i dagens omskiftelige forretningsverden. Samtidigt

Læs mere

Morsø Kommune - Trivselsmåling. Steffen Krøyer. Maj 2009. Svarprocent: 100% (7/7)

Morsø Kommune - Trivselsmåling. Steffen Krøyer. Maj 2009. Svarprocent: 100% (7/7) - Trivselsmåling Steffen Krøyer Svarprocent: % (7/7) Maj 9 Indhold Indhold Introduktion Information om undersøgelsen og resultatforklaring Arbejdsglæde og Loyalitet er, loyalitetssegmentering, intern sammenligning,

Læs mere

Hvad kommer ITIL V3 og Cobit til at betyde for IT-supporten? Ole Westergaard Westergaard CSM

Hvad kommer ITIL V3 og Cobit til at betyde for IT-supporten? Ole Westergaard Westergaard CSM Hvad kommer ITIL V3 og Cobit til at betyde for IT-supporten? Ole Westergaard Westergaard CSM V3 Westergaard CSM Westergaard CSM 2 Gode konsulenter hænger ikke på træerne! [Indsæt billede af Jakob/Lars/Gitte/Ulla

Læs mere

Politik for Fortsat Drift Silkeborg Kommune

Politik for Fortsat Drift Silkeborg Kommune Politik for Fortsat Drift Silkeborg Kommune 2014-2017 Direktionen Indledning Silkeborg Kommune har ansvaret for at drive en række kritiske funktioner med direkte påvirkning af borgere og virksomheder.

Læs mere

Gratis reservationssystem på Internettet

Gratis reservationssystem på Internettet Gratis reservationssystem på Internettet www.bookingportal.com Introduktion Valuenetics a/s introducerer nu version 2, af sit bookingsystem til sportsklubber, foreninger, virksomheder og private. Systemet

Læs mere