Vejledning vedrørende niveauer af autenticitetssikring

Størrelse: px
Starte visningen fra side:

Download "Vejledning vedrørende niveauer af autenticitetssikring"

Transkript

1 Vejledning vedrørende niveauer af autenticitetssikring

2 Kolofon: OIO Referencemodel for tværgående brugerstyring Denne anbefaling kan frit anvendes af alle. Citeres fra anbefalingen i andre publikationer til offentligheden skal angives korrekt kildehenvisning. Forslag til anbefalinger for tværgående brugerstyring udarbejdes af IT- og Telestyrelsen, ITstrategisk kontor, som sekretariat for OIO It-Arkitekturkomiteen. Kontaktperson: It-Arkitekt Søren Peter Nielsen, Telefon (direkte) It-Arkitekt Anders Dalsgaard, Telefon (direkte) Ministeriet for Videnskab, Teknologi og Udvikling IT- og Telestyrelsen IT-strategisk kontor Holsteinsgade 63 DK-2100 København Ø Telf Fax / 18

3 1 Indledning Opsummering Formål Overblik Anvendelsesområde Sikkerhedsniveauer og risikovurdering Beskrivelse af sikkerhedsniveauer Risici, mulige konsekvenser og sikkerhedsniveauer Bestemmelse af niveau for autenticitetssikring og valg af system ved hjælp af risikovurdering Niveauer af autenticitetssikring og risikoprofiler. Beskrivelse og eksempler Risici og kontekst Vurdering af tillid til akkreditiv-udbydere Implementering af en autenticitetssikringsproces Autenticitetssikringsprocessen Anvendelse af anonyme akkreditiver Lovmæssige krav Omkostninger i forhold til nytteværdi Yderligere information / 18

4 1 Indledning 1.1 Opsummering Denne vejledning beskriver, hvorledes ejere af systemer til digital forvaltning kan bestemme det rette sikkerhedsniveau for autenticitetssikringsprocessen i deres systemer. Der defineres og beskrives fire niveauer af autenticitetssikring for elektroniske transaktioner. Vejledningen hjælper med at bestemme behovet for autenticitetssikring i systemer til digital forvaltning. Det er den forretningsansvarlige systemejer, der har det primære ansvar for at bestemme nødvendige sikkerhedsniveauer samt strategierne til at opnå disse niveauer. Dette gælder også for niveauer af autenticitetssikring. Systemejere bør gennemgå de følgende trin, som er nærmere beskrevet i afsnit 2.3, for at fastsætte det nødvendige niveau af autenticitetssikring: 1. Udfør risikovurdering for det givne it-systemet. 2. Match identificerede risici til nødvendigt niveau af autenticitetssikring. 3. Vælg teknologi til autenticitetssikring. 4. Valider efter implementering, at systemet i drift har det nødvendige niveau af autenticitetssikring. 5. Revurdér periodisk, om systemet har behov for opgradering af teknologien, der er anvendt til autenticitetssikringen. 1.2 Formål Denne vejledning vedrører autenticitetssikring af personer, der er brugere af systemer til digital forvaltning. Til trods for at autenticitetssikring typisk involverer en computer eller anden form for elektronisk udstyr, så vedrører denne vejledning ikke indbyrdes autenticitetssikring imellem servere, andre computere eller netværkskomponenter. Denne vejledning har til formål at hjælpe systemejere med at bestemme og analysere risici forbundet med hvert enkelt trin i autenticitetssikringsprocessen. Det inkluderer (men er ikke begrænset til) validering af faktisk identitet, udlevering af akkreditiver, teknisk og forvaltningsmæssig administration, journal-føring, revision og selve anvendelsen af akkreditiverne. Hvert trin i processen har indflydelse på, hvor godt det tekniske system samlet set stemmer overens med det ønskede sikkerhedsniveau. Denne vejledning kan anvendes på egen hånd. Den er i overensstemmelse med sikkerhedsstandarden DS484 og vil kunne anvendes supplerende til DS484. Anbefalingerne i denne vejledning bygger på og svarer til anbefalinger fra en række andre lande herunder USA 1, England og Australien. Sikkerhedspolitikken, hvori brugerstyring er et væsentligt element, skal for alle institutioner revurderes. Dette vil selvsagt være en oplagt lejlighed til en kritisk revision af hvilke data, der er omgærdet af hvilke sikkerhedsbestemmelser. Et godt udgangspunkt vil være DS Den tilsvarende amerikanske vejledning er m E-Authentication Guidance for Federal Agencies fra USA s Office of Management and Budget. 4 / 18

5 1.3 Overblik Denne vejledning indeholder anbefalinger vedrørende elektronisk autenticitetssikring til ejere af systemer til digital forvaltning. Autenticitet defineres som Egenskab, der sikrer, at en ressource eller person er den hævdede (anvendes fx ved log on og elektronisk underskrift/digital signatur) 2 Autenticitetssikring har som fokus at bekræfte en brugers identitet på basis af pålideligheden af vedkommendes akkreditiver. Et andet begreb er Autorisation, der på basis af politikker og tilladelser giver brugeren adgangsrettigheder efter, at vedkommende er autenticitetssikret. I forbindelse med implementering af et system til digital forvaltning er det systemejerens ansvar at bestemme det nødvendige niveau af autenticitetssikring for de transaktioner 3, som systemet inkluderer. Dette sker via en risikovurdering for hver type af transaktion. Vurderingen identificerer: Potentielle konsekvenser som følge af en sikkerhedshændelse Sandsynligheden for at hændelsen indtræffer Denne vejledning kategoriserer en række konsekvenser og giver en fælles baggrund for at bestemme størrelser af risici. Vejledningen beskriver En metode til vurdering af risici Fire niveauer for autenticitetssikring Hvorledes det rette niveau af autenticitetssikring bestemmes 1.4 Anvendelsesområde Ikke alle transaktioner, der sker i forbindelse med digital forvaltning, kræver autenticitetssikring Denne vejledning vedrører alle transaktioner, der sker i forbindelse med digital forvaltning, som kræver autenticitetssikring, uafhængigt af om de er initieret af individuelle brugere, private virksomheder eller offentlige myndigheder. Undtaget fra vejledningens anvendelsesområde er dog transaktioner, der vedrører national og international sikkerhed. Krav i forbindelse hermed behandles i Statsministeriets sikkerhedscirkulære 4. I forhold til autenticitetssikring er der tale om to typer af individuel autenticitetssikring: a) Sikring af en identitets autenticitet, som bekræfter en brugers personlige identitet b) Sikring af en attributs autenticitet, som bekræfter, at brugeren tilhører en særlig gruppe (som fx folkepensionist eller sagsbehandler i jobcenter ) Attributbaseret autenticitetssikring består i at etablere et bestemt niveau af tillid til, at en bestemt attribut tilhører en given bruger. Hvis attributten ikke giver mulighed for at udlede brugerens identitet, kaldes det et anonymt akkreditiv (dette diskuteres yderligere i afsnit 4). Attributbaseret autenticitetssikring behandles ikke i større grad i denne vejledning, men det er muligt for systemejere at anvende anonyme akkreditiver i visse sammenhænge. 2 Definition fra DS 484:2005, Standard for informationssikkerhed 3 Til brug i denne vejledning defineres transaktion som: En diskret begivenhed mellem en bruger og et system, som understøtter et forretningsmæssigt formål 4 Der henvises til Cirkulære vedrørende sikkerhedsbeskyttelse af informationer af fælles interesse for landene i NATO, EU eller WEU, andre klassificerede informationer samt informationer af sikkerhedsmæssig beskyttelsesinteresse i øvrigt også kaldet Statsministeriet sikkerhedscirkulære. 5 / 18

6 Vejledning beskæftiger sig ikke direkte med autorisation. Autorisation fokuserer på de handlinger, som en bruger efter autenticitetssikring må udføre. Det er systemejerens ansvar at sikre korrekt håndtering af autorisationer i sit system. Vejledningen beskæftiger sig ikke med vurderinger af, om akkreditiver på et givet sikkerhedsniveau kan anvendes til elektronisk signatur. Den fælles offentlige anbefaling er at anvende OCES digital signatur 5 til elektronisk underskrift. Vejledningen foreskriver ikke hvilke tekniske systemer, der skal implementeres. De sikkerhedsniveauer, der defineres i denne vejledning, er ikke bundet til tekniske foranstaltninger og bliver ikke forældede i takt med forældelsen af de tekniske systemer. Anbefalinger om hvilke teknologier, der anbefales til opnåelse af de ønskede sikkerhedsniveauer, publiceres uafhængigt og kan således opdateres løbende, uden at det vil kræve ændringer til denne vejledning. 5 Læs mere om OCES digital signatur på 6 / 18

7 2 Sikkerhedsniveauer og risikovurdering 2.1 Beskrivelse af sikkerhedsniveauer Denne vejledning beskriver fire niveauer af autenticitetssikring til anvendelse indenfor digital forvaltning. Hvert sikkerhedsniveau beskriver i hvor høj grad, en organisation, på baggrund af de akkreditiver 6 brugeren har præsenteret, kan være sikker på, at brugeren virkelig er den, vedkommende giver sig ud for at være. I denne sammenhæng defineres sikkerhed som: 1. Graden af tillid til grundigheden af den proces, der er anvendt til at fastslå brugerens identitet ved udstedelsen af akkreditiver til vedkommende 2. Graden af tillid til, at den bruger, der anvender akkreditiverne, er lig med den bruger, som akkreditiverne blev udstedt til De fire sikkerhedsniveauer er følgende: Niveau 1 - Lille eller ingen tiltro til påstået identitet Niveau 2 - Nogen tiltro til påstået identitet Niveau 3 - Høj tillid til påstået identitet Niveau 4 - Meget høj tillid til påstået identitet 2.2 Risici, mulige konsekvenser og sikkerhedsniveauer Dette dokument vedrører kun risici forbundet med fejlagtig autenticitetssikring. En generel tilgang til håndtering af risiko i forbindelse med it-systemer er blandt andet beskrevet i Standard for informationssikkerhed, DS 484:2005. Det er vigtigt at bemærke, at der er andre metoder til risikohåndtering (fx restriktioner i adgangen til det anvendte netværk, detektering af angreb 7 og hændelsesovervågning), som kan medvirke til at nedsætte behovet for højere niveauer af autenticitetssikring Kategorisering af konsekvenser For at kunne bestemme det rette niveau af autenticitetssikring skal ejere af it-systemer vurdere mulige risici og identificere foranstaltninger til at minimere konsekvensen af dem. Fejl i forbindelse med autenticitetssikring, som har relativt store konsekvenser, kræver højere niveauer af sikkerhed. Risikoen skal håndteres i den måde selve forretningsprocesserne bygges op, i de politikker som den anvendende organisation definerer og ved teknologiske foranstaltninger. Kategorier af mulige konsekvenser inkluderer følgende Ulempe, kval eller tab af anseelse Økonomisk tab eller ansvarspådragelse Skade på myndighedsaktiviteter eller andre offentlige interesser Ikke-autoriseret frigivelse af sensitiv information Fysisk personskade 6 Akkreditiver defineres i denne sammenhæng som et objekt, hvis rigtighed godtgøres af kontrolløren i forbindelse med autenticitetssikring. Akkreditiver kan på en eller anden måde være bundet til det individ, de er udstedt til, eller de kan være gældende for det individ, der på et givet tidspunkt er ihændehaver af dem. Den første slags akkreditiver anvendes til autenticitetssikring, mens den anden slags kan anvendes til autorisation. 7 På engelsk: Intrusion Detection 7 / 18

8 Mulighed for at begå/modvirke opklaring af ulovligheder Det nødvendige niveau af autenticitetssikring bestemmes ved at vurdere den mulige risiko for hver af de nævnte kategorier af konsekvenser. Den mulige risiko bestemmes som en kombination af: Sandsynligheden for, at hændelsen, som resulterer i konsekvensen, indtræffer Konsekvensens størrelse Risikoen beskrives med en af følgende tre størrelser: Lille Moderat Stor I næste afsnit defineres størrelserne af risici i forbindelse med hver af de definerede kategorier. Bemærk: Hvis fejl i forbindelse med autenticitetssikring ikke giver anledning til målelige konsekvenser, er der ingen risiko Bestemmelse af risiko i forbindelse med autenticitetssikring Dette afsnit definerer, hvornår risikoen for en given konsekvens betegnes som lille, moderat eller stor. Risiko for ulempe, kval eller tab af anseelse Lille Giver højest kortvarig ulempe, kval eller forlegenhed til en organisation eller person Moderat Giver højest mindre alvorlig kortvarig eller begrænset længerevarende ulempe, kval eller tab af anseelse til en organisation eller person. Stor Mere alvorlig eller alvorlig længerevarende ulempe, kval eller tab af anseelse til en organisation eller person (reserveres generelt til situationer med særligt alvorlige konsekvenser, eller som vedrører mange personer). Risiko for økonomisk tab eller ansvarspådragelse Lille Giver højest et ubetydelig økonomisk tab til en organisation eller person eller højest en ubetydelig ansvarspådragelse for en myndighed. Moderat Giver højest et mindre alvorligt uopretteligt økonomisk tab til en organisation eller person eller en alvorlig ansvarspådragelse for en myndighed. Stor Giver et mere alvorligt eller katastrofalt økonomisk tab til en organisation eller person eller en alvorlig eller katastrofal ansvarspådragelse for en myndighed. Risiko for skade på myndighedsaktiviteter eller andre offentlige interesser Lille Giver højest en begrænset negativ effekt på organisationens aktiviteter, dens aktiver eller offentlighedens interesser. Eksempler på begrænset negativ effekt er: o Nedsættelse af en organisations evne omfangsmæssigt eller tidsmæssigt til udførelse af opgaver, hvilket medfører, at organisationens effektivitet indenfor dens primærområde nedsættes o Mindre skade på en organisations aktiver eller på offentlige interesser iøvrigt Moderat Giver højest en mindre alvorlig negativ effekt på organisationens aktiviteter, dens aktiver eller offentlighedens interesser. Eksempler på mindre alvorlige negative effekter er: 8 / 18

9 o Betydelig nedsættelse af en organisations evne omfangsmæssigt eller tidsmæssigt til udførelse af opgaver, hvilket medfører, at organisationens effektivitet indenfor dens primærområde nedsættes betydeligt o Betydelig skade på en organisations aktiver eller på offentlige interesser i øvrigt Stor Giver en alvorlig eller katastrofal negativ effekt på organisationens aktiviteter, dens aktiver eller offentlighedens interesser. Eksempler på alvorlig eller katastrofal effekt er: o Alvorlig nedsættelse af en organisations evne omfangsmæssigt eller tidsmæssigt til udførelse af opgaver, hvilket medfører, at organisationen er ude af stand til at løse en eller flere opgaver indenfor dens primærområde o Stor skade på en organisations aktiver eller på offentlige interesser iøvrigt Risiko for ikke-autoriseret frigivelse af sensitiv information Lille Resulterer højest i en begrænset frigivelse af personlig, myndighedssensitiv eller kommerciel sensitiv information til uautoriserede parter, hvor følgen er tab af fortrolighed i lille omfang. Moderat Resulterer højest i en frigivelse af personlig, myndighedssensitiv eller kommerciel sensitiv information til uautoriserede parter, hvor følgen er tab af fortrolighed i moderat omfang. Stor Resulterer i en frigivelse af personlig, myndighedssensitiv eller kommerciel sensitiv information til uautoriserede parter, hvor følgen er tab af fortrolighed i stort omfang. Risiko for fysisk personskade Lille Resulterer højest i risiko for en mindre skade, som ikke kræver lægelig behandling. Moderat Resulterer højest i moderat risiko for en mindre skade, eller begrænset risiko for en skade, der kræver lægelig behandling. Stor Resulterer i risiko for en alvorlig skade eller død. Risiko for mulighed for at begå/modvirke opklaring af ulovligheder Lille Resulterer højest i risiko for ulovligheder, som normalt ikke giver anledning til myndighedshåndhævelse. Moderat Resulterer højest i moderat risiko for ulovligheder, som kan give anledning til myndighedshåndhævelse. Stor Resulterer i risiko for ulovligheder, som giver anledning til myndighedshåndhævelse Bestemmelse af niveau for autenticitetssikring Niveau for autenticitetssikring bestemmes ud fra den mulige størrelse af de identificerede risici i tabel 1 nedenfor. Det nødvendige niveau er det laveste niveau, som matcher eller overgår de mulige størrelser af de risici, der er identificeret i en risikovurdering (se punkt 2 nedenfor). 9 / 18

10 Tabel 1 Maksimale størrelser af risici for hvert sikkerhedsniveau Risiko i forhold til sikkerhedsniveau Kategorier af konsekvenser ved fejl i forbindelse med autenticitetssikring Ulempe, kval eller tab af anseelse Lille Moderat Moderat Stor Økonomisk tab eller ansvarspådragelse Lille Moderat Moderat Stor Skade på myndighedsaktiviteter eller andre offentlige interesser - Lille Moderat Stor Ikke-autoriseret frigivelse af sensitiv information - Lille Moderat Stor Fysisk personskade - - Lille Moderat Mulighed for at begå/modvirke opklaring af ulovligheder - Lille Moderat Stor Tegnet - angiver ikke tilstrækkeligt sikkerhedsniveau til hændelser med den givne konsekvens I forbindelse med analysen af potentielle risici skal systemejeren overveje alle direkte og indirekte følger af en fejl i forbindelse med autenticitetssikring, herunder muligheden for, at der kan opstå mere end én fejl, og at det kan have følger for mere end én person. Definitionerne af risici anvender relative termer som alvorlig eller begrænset. Betydningen af disse termer vil afhænge af den konkrete sammenhæng, som de optræder i. Systemejeren må vurdere den konkrete sammenhæng og beskaffenheden af de personer/entiteter, der påvirkes for at udlede den betydning af de skader, der kan opstå. Efterhånden som risici vurderes for flere systemer, vil der oparbejdes en praksis, som gør det nemmere at lægge en mere definitiv betydning i termer som alvorlig eller begrænset. I forbindelse med risikovurderingen af skade på myndighedsaktiviteter eller andre offentlige interesser skal systemejeren være ekstra opmærksom på afhængigheden af den konkrete kontekst i sine vurderinger. I nogle tilfælde, som vist i tabel 1, kan mere end ét sikkerhedsniveau være bedste match til en given størrelse af en risiko. Fx i tabel 1 kan det ses, at moderat risiko for økonomisk tab svarer til både sikkerhedsniveau 2 og 3. I sådanne tilfælde må systemejeren inddrage yderligere kontekst vedrørende systemet i sin beslutning. Yderligere kontekst kan fx være, at der også er en moderat risiko for ulovligheder i forbindelse fejl i autenticitetssikringen, hvilke så afgør, at der skal anvendes sikkerhedsniveau 3. Stor 2.3 Bestemmelse af niveau for autenticitetssikring og valg af system ved hjælp af risikovurdering Systemejere finder det rette niveau af autenticitetssikring ved at gennemgå følgende skridt: 1. Udfør risikovurdering for det givne it-system. Risikovurderingen 8 vil sætte størrelser på det relative omfang af konsekvenser og sandsynligheden 8 Yderligere vejledning om risikovurdering kan findes i Dansk Standard Standard for informationssikkerhed, DS 484:2005 Anneks B, Risikovurdering. 10 / 18

11 for en lang række hændelser forbundet med systemet i tilfælde af en fejl i forbindelse med autenticitetssikring. Bemærk: Et it-system kan have flere typer eller kategorier af transaktioner, som det kan være nødvendigt at udføre separate vurderinger af i forbindelse med den samlede risikovurdering. Vær også opmærksom på, at et it-system kan involvere flere organisationer. Det er ikke nok at vurdere risiko for den organisation, som ejer systemet. Risikovurdering er til en vis grad en subjektiv proces, hvor systemejeren må overveje skader som følge af bl.a. tekniske fejl, ondsindede tredjeparter, misforståelser og menneskelige fejl. Systemejeren bør overveje et bredt udsnit af scenarier i arbejdet med at finde de potentielle skader, der kan blive påført vedkommendes forretningsproces. Det er bedre at inkludere for meget end for lidt i denne fase. Når risici er identificeret, er det måske muligt at justere forretningsprocessen og afbøde mulige risici ved at mindske sandsynligheden for, at de opstår (se trin 4) 2. Match identificerede risici til nødvendigt niveau af autenticitetssikring. De identificerede risici indplaceres i kategorierne beskrevet i 2.2. For at finde det nødvendige niveau af autenticitetssikring bør systemejeren i første omgang identificere risici, uafhængigt af hvilken teknisk løsning, der anvendes til autenticitetssikring. Dernæst matches de identificerede risici til det laveste niveau af autenticitetssikring, som er dækkende for alle de identificerede risici. Fx hvis der er fem risici med potentielle størrelser, som matches af niveau 1, og der er en risiko, som svarer til niveau 2, så kræver transaktionen autenticitetssikring på niveau 2. Fx. hvis misbrug af en brugers elektroniske identitet/akkreditiver under lægelig behandling kan resultere i risiko for alvorlig personskade eller død, skal niveau 4 anvendes til trods for, at størrelsen af andre risici er minimal. 3. Vælg teknologi til autenticitetssikring. Efter at have bestemt nødvendigt niveau af autenticitetssikring vælges en teknisk løsning, som kan understøtte dette niveau. Dette kan fx gøres på basis af "Electronic Authentication Guideline" fra det amerikanske National Institute of Standards and Technology (NIST) Valider efter implementering, at systemet i drift har det nødvendige niveau af autenticitetssikring. Baggrunden for dette er, at selve implementeringen af systemet kan indføre nye risici eller forstærke eksisterende risici. Systemejeren bør kontrollere, at processen til autenticitetssikring opfylder systemets behov for autenticitetssikring som led i en generel sikkerhedsgodkendelse af systemet (såsom certificering, akkreditering eller lignende) 5. Revurdér periodisk, om systemet har behov for opgradering af teknologien, der er anvendt til autenticitetssikringen. Systemejeren skal periodisk kontrollere om teknologisk forældelse eller ændringer i forretningsprocessen, som it-systemet understøtter, har betydning for niveauet af autenticitetssikring. Det er oplagt at foretage denne kontrol sammen med generelle årlige reviews af it-sikkerheden. Bemærk: Teknologisk forældelse af en autenticitetssikringsløsning behøver ikke at resultere i, at der 9 Publikationsnummeret er , og vejledning findes online på denne adresse: Det forventes, at NIST opdaterer "Electronic Authentication Guideline" i trit med udviklingen teknisk og risikomæssigt indenfor autenticitetssikringsløsninger. 11 / 18

12 skal implementeres ny teknologi. Det er muligt for systemejeren at forbedre niveauet af autenticitetssikring for en given teknisk løsning ved indførelse af andre risiko-afbødende foranstaltninger. 2.4 Niveauer af autenticitetssikring og risikoprofiler. Beskrivelse og eksempler Niveau 1 - Lille eller ingen tiltro til påstået identitet. Anvendes for eksempel til at lade brugere registrere bogmærker på en web-side, som de så kan anvende på et senere tidspunkt. Eksempler: I nogle tilfælde vil en persons indsendelse af en formular være en transaktion, som ikke kræver autenticitetssikring ud over niveau 1. Dette er tilfældet, når al information sendes til en offentlig organisation; der ikke sendes nogen information den anden vej, og der ikke er andre behov for højere niveau af autenticitetssikring. Det kunne fx dreje sig om en formular til indrapportering af gadelygter uden lys i. Lokal registrering på et netsted med selvangivet brugerid og kodeord, som blot resulterer i mulighed for at tilrette måden, netstedet præsenterer sin information på, kan anvende niveau 1. Hvis en tredjepart aflurer bruger-id og kodeord, kan vedkommende muligvis få adgang til personlig og forretningsmæssig information om den retmæssige bruger på baggrund af den tilretning, vedkommende har foretaget. Hvis der ikke er tale om en meget høj grad af tilretning, er risikoen herved sandsynligvis minimal. Et online debat-forum, som ikke beder om anden information end navn og geografisk område fra bruger, der vil deltage, kan også anvende niveau 1. Såfremt debatforummet ikke vedrører sensitive eller private emner, er der ingen oplagte risici herved. Niveau 2 Overordnet betragtet er der tillid til, at den påståede identitet er korrekt. Niveau 2 akkreditiver kan anvendes til mange offentlige tjenester, hvor den offentlige myndighed har behov for at kende brugerens identitet fra starten (denne identitet skal dog verificeres på anden måde, før der foretages sagsbehandling eller lignende af den offentlige myndighed). Eksempler: En bruger anvender et e-learning-site. Systemet er nødt til at kende brugeren for at kunne vise vedkommende en passende oversigt over kurser, for at kunne tildele karakterer og vise, hvorledes vedkommende har klaret sig i alle kurser, som vedkommende har gennemgået. Den eneste risiko i denne forbindelse er, at en ondsindet tredjepart kan få adgang til brugeren karakterliste, som kan resultere i en krænkelse af brugerens privatliv eller anseelse. Hvis systemejeren vurderer, at omfanget af denne konsekvens er lille, kan niveau 2 anvendes. Et bibliotek tilbyder borgeren mulighed for at kunne se listen over sine lån og reservere nye bøger. Dette involverer højst en lille risiko for at privatlivs-sensitive informationer afsløres, hvorfor autenticitetssikring på niveau 2 kan anvendes. En offentlig ansat udfører sagsbehandling, som kan involvere følsomme personlige oplysninger om en borger. Sagsbehandlingssystemets autenticitetssikring svarer til niveau 2, hvilket betyder, at risikoen for ikke-autoriseret frigivelse af sensitiv information er vurderet at være lille. Dette skyldes anvendelse af tekniske tiltag (som fx brug virtual private network), som gør det muligt at begrænse den ansattes anvendelse af systemet til, når vedkommende fysisk befinder sig på sin organisations adresse. Hvis sagsbehandlingssystemet anvendes i mindre sikre omgivelser, vurderes risikoen for ikke-autoriseret frigivelse af sensitiv information at være moderat. Dette betyder i dette tilfælde, at 12 / 18

13 brugeren skal autenticitetsikres på niveau 3. Fx kan en kommunal sagsbehandler logge på sit ESDHsystem med bruger-id og kodeord, men kun når vedkommende befinder indenfor rådhusets afgrænsede område. Hvis vedkommende tilgår systemet udefra, kræves bedre autenticitetssikring, fx ved kombination af den bestående login-metode og afgivelse af et en-gangs-kodeord. Niveau 3 Anvendes til transaktioner, der kræver høj tillid til påstået identitet. Niveau 3 akkreditiver kan anvendes til at give adgang til systemer med begrænset adgang via Internettet uden behov for yderligere kontrol af brugerens identitet. Eksempler: Et firma indgiver statistik-data via en erhvervsportal, som andre firmaer kunne få en konkurrencemæssig fordel af at se. Hvis det vurderes, at såvel risikoen for frigivelse af sensitiv information samt risikoen for økonomisk tab er moderat (men ikke katastrofal), kræver det autenticitetssikring på niveau 3 En borger kan på en sundheds-/helseportal se sin egen medicin-profil med en oversigt over hvilken medicin, der har været og er recept-udskrevet til vedkommende. Hvis det vurderes, at konsekvensomfanget ved frigivelse den sensitive medicin-information er moderat (og risikoen for tab af anseelse er moderat, samt risikoen forfysisk personskade højst er lille), anvendes niveau 3. En offentlig ansat anvender en anden myndigheds it-system, hvilket giver vedkommende adgang til potentielt sensitiv information om borgere. Den ansatte arbejder i en bygning, som kun ansatte og autoriserede besøgende har adgang til, men transaktionerne med den anden myndigheds it-system sker over Internettet. Vedkommendes adgang til potentielt sensitiv information resulterer i moderat omfang i en risiko for kompromittering af personoplysninger, hvorfor der skal anvendes autenticitetssikring på niveau 3. Niveau 4 Anvendes til transaktioner, der kræver meget høj tillid til påstået identitet. Brugere kan anvende niveau 4 akkreditiver til at præsentere deres identitet og få adgang til stærkt beskyttede ressourcer via Internettet uden behov for yderligere kontrol af brugerens identitet. Eksempler: En ansat i politiet skal via Internettet have fuld adgang til et register med yderst sensitiv information, som fx en oversigt over alle straffede personer i Danmark indenfor de sidste 10 år. Her er der risiko for frigivelse af sensitiv information såvel som risiko for tab af anseelse, og konsekvensen kan i begge tilfælde være af stort omfang, hvorfor der skal anvendes autenticitetssikring på niveau 4. En offentlig sagsbehandler anvender et it-system, som giver vedkommende adgang til potentielt personfølsom information. Adgangen sker via sagsbehandleren bærbare computer fra forskellige geografiske steder som private hjem, virksomheder, og der anvendes forskellige opkoblingsmetoder. Konsekvensomfanget ved potentiel frigivelse af den sensitive information er kun moderat, men på grund af den bærbare computers sårbarhed og fordi der anvendes en række forskellige netforbindelser ind til systemet, vurderes den samlede risiko til at være større med behov for at kræve anvendelse af autenticitetssikring på niveau Risici og kontekst Når niveau af autenticitetssikring bestemmes, skal risikoen for, at en modtager af elektronisk overført information vil afvise den som utroværdig, også vurderes. Denne risiko kan imødegås ved at få den afgivende person med et akkreditiv af passende niveau til at validere den afgivne information, fx med digital signatur Mens det måske er muligt ved hjælp af teknologi at fastslå en persons identitet bedre end, hvad man kan opnå med en personlig underskrift, så er det også et faktum, at ondsindet anvendelse af digitale løsninger kan 13 / 18

14 resultere i større risiko og større skader end ved ikke-digitale metoder. Lovgivning og behovet for ordenshåndhævelse kan påvirke designet af et given autenticitetssikringssystem og kan også resultere i krav om driftsmæssig dokumentation. Juridiske overvejelser kan også have væsentlig indflydelse, når det nødvendige niveau af autenticitetssikring skal bestemmes for en given transaktion. Risikovurderingen bør inkludere de potentielle konsekvenser af ulovligheder samt proces-fejl i forbindelse med: Prioritering af myndighedsudøvelse Gennemførelse af myndighedens overordnede mål Bredere offentlige interesser som miljøbeskyttelse, en sund finansiel sektor, terrorbekæmpelse etc. Det betyder, at selv om sigtet for en given risiko-vurdering er en enkelt it-system, skal risikoen vurderes ud fra en holistisk synsvinkel. Nogle skader (som fx økonomisk tab eller frigivelse af sensitiv information) er allerede beskrevet for hvert niveau af autenticitetssikring. Andre potentielle skader afhænger af, hvilke mål og opgaver en given organisation har. Vurdering og analyse af risici er meget afhængige af den sammenhæng, systemet anvendes i, og systemejeren bør vurdere, om der er specielle risici i forbindelse med systemet ud over de kategorier, som denne vejledning indeholder. Ved vurdering af risiko for ulovligheder bør systemejeren konsultere sin juridiske ekspertise i forbindelse med bedømmelsen af, hvor stort skadesomfanget kan være som konsekvens af en ulovlighed 10. Det er i vurdering af disse risici vigtigt både at overveje konsekvenser af enkeltstående handlinger såvel som gentagne handlinger (handlingsmønstre), der kan påvirke en myndigheds opgaver. Det er også vigtigt at huske, at det nødvendige niveau af autenticitetssikring skal ses i sammenhæng med øvrigt sikkerhedsforanstaltninger i et system. Eksempelvis kan en given forretningsproces, der er vurderet til at skulle anvende niveau 3 akkreditiver, sænke it-systemets behov til niveau 2 akkreditiver ved at foretage andre afbødende aktiviteter som fx yderligere systemkontroller, yderligere autenticitetssikring foreholdt kritiske grene af forretningsprocessen etc. 3 Vurdering af tillid til akkreditiv-udbydere Den identitet, som en bruger eller organisation repræsenteres med i en elektronisk transaktion, beror på akkreditiver. Den registrerings- og vedligeholdelsesproces, som akkreditivudbyderen anvender, er kritisk ved vurderingen af troværdigheden af de akkreditiver, der udstedes. For at kunne vælge akkreditiver til et system, som beskrevet i denne vejledning, må akkreditivudbyderens udstedelsesproces også være vurderet i forhold til niveauerne af autenticitetssikring. 10 Dette er fx relevant for risici, hvor konsekvenserne alligevel involverer juridisk ekspertise. Et eksempel er, hvor en virksomhed svindler ved at indberette forkerte data, hvilket resulterer i udbetaling af for store tilskud. Bestemmelse af hvor stort et erstatningskrav, det offentlige skal rejse overfor virksomheden, involverer juridisk ekspertise. 14 / 18

15 4 Implementering af en autenticitetssikringsproces 4.1 Autenticitetssikringsprocessen Hvert trin i en autenticitetssikringsproces påvirker niveauet af sikkerhed. Fra validering af faktisk identitet, til udstedelse af akkreditiver, over anvendelse af akkreditiver i et robust og sikkert system, til journalisering, logning og kontrol. Ingen kæde er stærkere end det svageste led. Hvis et trin i en proces anvender et lavere niveau af autenticitetssikring end i resten af processen, kan dette trin kompromittere sikkerheden i de andre trin. En systemejer opnår det bedste niveau af autenticitetssikring via god kontrol i forbindelse med udstedelsen af akkreditiverne, anvendelse af stærke akkreditiver og robust administration (herunder en god arkiverings- og kontrolproces). For at kunne bestemme det rette niveau for akkreditiver, der skal anvendes til at fastslå en bruger identitet, må systemejeren forstå, hvorledes it-systemet anvender akkreditiverne. Systemejeren må bestemme behovene for hvert trin i autenticitetssikrings- og autorisationsprocessen. Dette inkluderer følgende trin: Oprindelige registrering Efterfølgende anvendelse af it-systemet Verificering af akkreditiverne Transaktionshåndtering Dokumentjournalisering, historik, logning etc. Suspendering, inddragelse af akkreditiver og genudstedelse Revision Ansvar for disse procestrin ligger hos systemejeren. 4.2 Anvendelse af anonyme akkreditiver Det kan være passende at anvende anonyme akkreditiver, når autenticitetssikringen ikke forudsætter, at akkreditiverne direkte eller indirekte (fx XRI) kan tilknyttes et individ med en kendt personlig identitet. Af hensyn til privatlivets fred er det vigtigt at finde den rette balance mellem behovet for at vide, hvem man kommunikerer med og den enkeltes behov for privatliv. Dette inkluderer, ud over hvad der lovmæssigt er bestemt, kun at anvende afgiven information til det formål, det er afgivet. I nogle tilfælde kan det være unødvendigt for et givet system, at identifikationen af brugeren også betyder, at man kommer til at kende brugerens personlige identitet. Det kan være tilstrækkeligt at autenticitetssikre på de følgende måder: Sikring af, at brugeren er medlem af en given gruppe og/eller har en given rolle Sikring af, at brugeren er den samme, som tidligere har afgivet og oprettet information Brugeren har ret til at anvende et givent pseudonym Det forventes, at sådanne anonyme akkreditiver kan anvendes i specielle tilfælde, hvor det for hvert enkelt system vurderes, om det vil være passende at anvende anonyme akkreditiver. Det vil være muligt for brugere både at have anonyme akkreditiver såvel som akkreditiver, som beviser vedkommende identitet. Generelt er anonyme akkreditiver kun passende for systemer, der kræver autenticitetssikring på niveau 1 eller 2. Dette skyldes, at data, der kan fås adgang til på niveau 3 eller 4, generelt er mere følsomme og derfor kræver, at akkreditiverne kan tilknyttes et individ med en kendt personlig identitet. 15 / 18

16 4.3 Lovmæssige krav I forbindelse med udvikling af processer til autenticitetssikring er systemejeren ansvarlig for at overholde alle relevante lovkrav først og fremmest fra persondataloven vedrørende datafangst og lagring af information, som vedrører validering af en brugers identitet. De fleste digitale processer til autenticitetssikring foretager følgende datafangst: Information vedrørende individer/virksomheder/myndigheder, der anvender systemet Digitale akkreditiver (fx certifikater fra digital signatur, bruger-id er, kodeord, PIN, mm) Transaktionsinformation fra autenticitetssikringen, herunder metode til validering af akkreditiv Logdata/sikkerhedsinformation Systemejeren skal sikre korrekt behandling af data, der anvendes i autenticitetssikringsprocessen i forhold til gældende lovkrav. Det drejer sig først og fremmest om persondataloven, men andre love som forvaltningsloven, patientsikkerhedsloven etc. kan også være relevante. Autenticitetssikringsdata skal beskyttes imod ikke-autoriseret offentliggørelse og ændring, men skal kunne oplyses ved indsigtsbegæringer, som opfylder de lovmæssige krav herfor. 4.4 Omkostninger i forhold til nytteværdi På samme måde som enhver anden anskaffelse skal omkostningerne for et autenticitetssikringssystem overvejes i forhold til nytteværdien. Det er vigtigt at matche det nødvendige niveau af autenticitetssikring med de omkostninger og andre byrder, som forretningsmæssige, politik-bestemte og tekniske krav til systemet i øvrigt medfører. Nytteværdier inkludere typisk: Tidsbesparelse i forbindelse med en transaktion Større anvendelse af samarbejdspartnere og bedre kundetilfredshed Bedre registrering/journalisering og mulighed for bedre analyser/statistikker Bedre produktivitet blandt de ansatte og forbedret kvalitet af den endelige ydelse Bedre indsigt/viden til offentligheden Bedre sikkerhed generelt og omfattende sikkerhed for yderst sensitiv information Omkostninger omfatter typisk: Udgifter til løsningsdesign Anskaffelse af teknisk system Testning Idriftsættelse af det implementerede system Løbende vedligehold I nogle tilfælde kan den initielle omkostning ved etablering af et system være relativt lille, mens der er højere omkostninger forbundet med den løbende vedligeholdelse. Det er derfor vigtigt at vurdere omkostninger i forhold til nytteværdi over hele levetiden for systemet, herunder også hvad det vil koste at migrere væk fra den givne implementering til et system, som baserer sig på anden teknologi. Understøttelse af åbne standarder, som er indeholdt i OIO - Kataloget over offentlige it-standarder, bør være et vigtigt kriterium i forbindelse med anskaffelse af teknisk system. 16 / 18

17 Det er også vigtigt at vurdere om omkostningerne kan nedbringes ved etablering af en fælles autenticitetssikringsservice imellem flere organisationer eller ved anvendelse af en service fra en kommerciel virksomhed. Fejl i forbindelse med autenticitetssikring kan resultere i væsentlige omkostninger for myndigheder, borgere og private virksomheder. Disse mulige omkostninger bestemmes i forbindelse med risikovurderingen, som beskrevet i afsnit 2, og de bør inddrages i en eventuel costbenefitanalyse for systemet. Andre byrder dækker over a) Omkostninger som andre organisationer, virksomheder eller borgere påtvinges b) Tidsforbrug, der ikke er indeholdt i omkostnings-estimatet, men som er et resultat af uhensigtsmæssigheder i den tekniske system Systemer, som medfører en overdreven mængde af andre byrder, vil måske ikke opnå den forventede anvendelse og dermed heller ikke den estimerede nytteværdi. Hvis det tekniske system til et givent niveau af autenticitetssikring medfører for store omkostninger eller andre byrder, bør systemejeren overveje at anvende et lavere niveau af autenticitetssikring og kompensere via styringskontroller og justeringer i forretningsprocessen til at opnå det samme samlede niveau for sikkerhed. Hvis omkostningerne ikke kan reduceres til et acceptabelt niveau via sådanne afbødende foranstaltninger, kan systemejeren blive nødt til justere sine visioner for systemet. 17 / 18

18 5 Yderligere information Dette fællesoffentlige arbejde i forbindelse med tværgående brugerstyring er beskrevet på Information om nogle af de aktiviteter inden for it-sikkerhed, som Videnskabsministeriet varetager findes på 18 / 18

Autencitetssikring. Vejledning til autenticitetssikringsniveau for den fællesoffentlige log-in-løsning. Side 1 af 12 19. september 2008. Version 1.0.

Autencitetssikring. Vejledning til autenticitetssikringsniveau for den fællesoffentlige log-in-løsning. Side 1 af 12 19. september 2008. Version 1.0. Side 1 af 12 19. september 2008 Autencitetssikring Vejledning til autenticitetssikringsniveau for den fællesoffentlige log-in-løsning Version 1.0. Denne vejledning introducerer problemstillingen omkring

Læs mere

UDSNIT 8. februar 2008

UDSNIT 8. februar 2008 UDSNIT 8. februar 2008 Dette udsnit indeholder indeholder en introduktion til hvad begrebet brugerstyring dækker over Kolofon: OIO Referencemodel for tværgående brugerstyring Dette baggrundsdokument kan

Læs mere

Tilstrækkelig sikker dataudveksling via Sundhedsdatanettet (SDN) Ved Kåre Kjelstrøm

Tilstrækkelig sikker dataudveksling via Sundhedsdatanettet (SDN) Ved Kåre Kjelstrøm Tilstrækkelig sikker dataudveksling via Sundhedsdatanettet (SDN) Ved Kåre Kjelstrøm Sundhedsdatanettets Anatomi UNI-C Router Organisation A Router Router Organisation B Firewall Firewall Linjesikkerhed

Læs mere

IT-sikkerhedspanelets anbefalinger vedrørende privacy

IT-sikkerhedspanelets anbefalinger vedrørende privacy Anbefalinger vedr. privacy IT-sikkerhedspanelet under Ministeriet for Videnskab, Teknologi og Udvikling har i løbet af de seneste møder drøftet nødvendigheden af at forbedre borgere og virksomheders privacy

Læs mere

Anbefaling til unik Id-nøgle

Anbefaling til unik Id-nøgle Anbefaling til unik Id-nøgle 1 / 15 Kolofon: OIO Referencemodel for tværgående brugerstyring Denne anbefaling kan frit anvendes af alle. Citeres fra anbefalingen i andre publikationer til offentligheden

Læs mere

Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang

Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Oktober 2015 Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Oktober 2015 Denne

Læs mere

Risikovurdering vedr. Google Apps. Sammenfatning. Risikovurdering

Risikovurdering vedr. Google Apps. Sammenfatning. Risikovurdering Risikovurdering vedr. Google Apps Sammenfatning Side: 1 af 6 1. Introduktion IT Crew har faciliteret gennemførelse af en risikovurdering på en workshop med Odense Kommune d. 25. august 2010. Workshoppen

Læs mere

Udveksling af login- og brugeroplysninger mellem Odense Kommunes brugerkatalog og Google Apps skoleløsning Version 1.0, 30.

Udveksling af login- og brugeroplysninger mellem Odense Kommunes brugerkatalog og Google Apps skoleløsning Version 1.0, 30. Udveksling af login- og brugeroplysninger mellem Odense Kommunes brugerkatalog og skoleløsning Version 1.0, 30. september 2010 Dette dokument giver et kort overblik hvordan brugeroplysninger i Odenses

Læs mere

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet "informationer"? 2

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet informationer? 2 Indhold 1 Informationssikkerhedspolitik 2 1.1 Hvorfor vil vi sikre vores informationer? 2 1.2 Hvad dækker begrebet "informationer"? 2 2 Principper 4 2.1 Styret af KU's strategiske behov 4 2.2 Implementering

Læs mere

Risikoanalyse af implikationer for privatlivets fred

Risikoanalyse af implikationer for privatlivets fred Risikoanalyse af implikationer for privatlivets fred Appendiks 5 Håndbog i: Privatlivsimplikationsanalyse IT og Telestyrelsen INDHOLDSFORTEGNELSE Risikovurdering af implikationer for privatlivets fred...

Læs mere

It-sikkerhedstekst ST4

It-sikkerhedstekst ST4 It-sikkerhedstekst ST4 Datatransmission af personoplysninger på åbne net Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST4 Version 1 Oktober 2014 Datatransmission af personoplysninger

Læs mere

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1 Tilgængelighed, fortrolighed og integritet. Høj kvalitet i informationssikkerhed og dokumentation Hvilken betydning har principper og anbefalinger i sikkerhedsstandarden ISO 27001 for kvaliteten af dokumentationen?

Læs mere

Digitalisering og sikkerhed i den offentlige sektor. Om Digitaliseringsstyrelsen Sikkerhedsopgaverne i Digitaliseringsstyrelsen Projekter Dilemmaer

Digitalisering og sikkerhed i den offentlige sektor. Om Digitaliseringsstyrelsen Sikkerhedsopgaverne i Digitaliseringsstyrelsen Projekter Dilemmaer Digitalisering og sikkerhed i den offentlige sektor Sikkerhed & Revision 2012 6. september 2012 Digitalisering og sikkerhed i den offentlige sektor Om Digitaliseringsstyrelsen Sikkerhedsopgaverne i Digitaliseringsstyrelsen

Læs mere

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.

Læs mere

SOSI. (ServiceOrienteretrienteret SystemIntegration) Quick Tour 2.0

SOSI. (ServiceOrienteretrienteret SystemIntegration) Quick Tour 2.0 SOSI (ServiceOrienteretrienteret SystemIntegration) Quick Tour 2.0 Indhold Hvad og hvem er SOSI Visionen og Missionen Begreber, arkitektur og teknik Hvad er SOSI Projekt initieret og drevet af Ribe- og

Læs mere

It-sikkerhedspolitik for Københavns Kommune

It-sikkerhedspolitik for Københavns Kommune Københavns Kommune Koncernservice It-sikkerhedspolitik for Københavns Kommune 2015-02-05 It-sikkerhedshåndbog for Københavns Kommune It-sikkerhedspolitik for Københavns Kommune Publiceret: 2014-07-03 Mål

Læs mere

Koncessionskontrakt vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Kultur- og Fritidsforvaltningen.

Koncessionskontrakt vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Kultur- og Fritidsforvaltningen. vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Bilag 9b IT-sikkerhedsdokumenter Bilag 9b 1 1 INDHOLDSFORTEGNELSE 1. IT-sikkerhedspolitik for Københavns Kommune

Læs mere

It-sikkerhedstekst ST11

It-sikkerhedstekst ST11 It-sikkerhedstekst ST11 Fælles login Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST11 Version 1 September 2016 Fælles login Udtrykket "Login" anvendes om den proces, der giver

Læs mere

spørgsmål vedrørende privatlivets fred

spørgsmål vedrørende privatlivets fred Problemidentificerende spørgsmål vedrørende privatlivets fred Appendiks 4 Håndbog i: Privatlivsimplikationsanalyse IT og Telestyrelsen INDHOLDSFORTEGNELSE Brug af problemidentificerende spørgsmål... 3

Læs mere

Digital Signatur OCES en fælles offentlig certifikat-standard

Digital Signatur OCES en fælles offentlig certifikat-standard Digital Signatur OCES en fælles offentlig certifikat-standard IT- og Telestyrelsen December 2002 Resumé Ministeriet for Videnskab, Teknologi og Udvikling har udarbejdet en ny fælles offentlig standard

Læs mere

Struktur på privatlivsimplikationsrapporten

Struktur på privatlivsimplikationsrapporten Struktur på privatlivsimplikationsrapporten Appendiks 6 Håndbog i: Privatlivsimplikationsanalyse IT og Telestyrelsen INDHOLDSFORTEGNELSE Struktur på rapport over privatlivsimplikationsanalysen... 3 Introduktion...

Læs mere

Digital Signatur Juridiske aspekter. IT- og Telestyrelsen December 2002

Digital Signatur Juridiske aspekter. IT- og Telestyrelsen December 2002 Digital Signatur IT- og Telestyrelsen December 2002 Resumé Borgernes retsstilling forringes ikke ved, at en aftale indgås elektronisk og signeres digitalt aftaler indgået elektronisk har samme gyldighed

Læs mere

Guide til integration med NemLog-in / Signering

Guide til integration med NemLog-in / Signering Guide til integration med NemLog-in / Signering Side 1 af 6 14. november 2013 TG Denne guide indeholder en kort beskrivelse af, hvorledes man som itsystemudbyder (myndighed eller it-leverandør) kan integrere

Læs mere

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet Sammenfatning Denne vejledning adresserer risikoen for industrispionage fra statssponserede aktører i udlandet mod

Læs mere

It-sikkerhedstekst ST6

It-sikkerhedstekst ST6 It-sikkerhedstekst ST6 Registrering af en fysisk person med henblik på udstedelse af faktorer til et personligt login Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST6 Version

Læs mere

It-sikkerhedstekst ST5

It-sikkerhedstekst ST5 It-sikkerhedstekst ST5 Identificering af en fysisk person med henblik på udstedelse af faktorer til et personligt login Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST5 Version

Læs mere

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2 Status for ændringer Version Dato Navn Bemærkning 1.0 24-04-2007 Vedtaget i Regionsrådet 1.1 13-02-2012 IMT-Informationssikkerhed Tilpasning af terminologi 1.2 15-10-2012 IMT-Informationssikkerhed Rettelse

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

Informationssikkerhedspolitik for

Informationssikkerhedspolitik for <organisation> 1 Informationssikkerhedspolitik for 1. Formål informationssikkerhedspolitik beskriver vigtigheden af arbejdet med informationssikkerhed i og fastlægger

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

Understøttelse af LSS til NemID i organisationen

Understøttelse af LSS til NemID i organisationen Understøttelse af LSS til NemID i organisationen Table of contents 1 Dette dokuments formål og målgruppe... 3 2 Introduktion til LSS til NemID... 4 2.1 Forudsætninger hos organisationen... 5 2.1.1 SSL

Læs mere

Udvalget for Videnskab og Teknologi B 103 - Svar på Spørgsmål 1 Offentligt

Udvalget for Videnskab og Teknologi B 103 - Svar på Spørgsmål 1 Offentligt Udvalget for Videnskab og Teknologi B 103 - Svar på Spørgsmål 1 Offentligt Bilag 1 Vurdering af økonomiske konsekvenser af beslutningsforslag B 103 1. Indhold i beslutningsforslag B 103 Det overordnede

Læs mere

Risikostyring ifølge ISO27005 v. Klaus Kongsted

Risikostyring ifølge ISO27005 v. Klaus Kongsted Risikostyring ifølge ISO27005 v. Klaus Kongsted Agenda Dubex A/S Formålet med risikovurderinger Komponenterne Risikovurderinger Dubex A/S fakta og værdier Den førende sikkerhedspartner De bedste specialister

Læs mere

BILAG 5 DATABEHANDLERAFTALE

BILAG 5 DATABEHANDLERAFTALE BILAG 5 DATABEHANDLERAFTALE INDHOLDSFORTEGNELSE 1. Formål og omfang... 5 2. Databehandlers opgave... 5 3. Instruks... 5 4. Brug af ekstern Databehandler eller underleverandør... 5 5. Behandling i udlandet...

Læs mere

It-sikkerhedstekst ST8

It-sikkerhedstekst ST8 It-sikkerhedstekst ST8 Logning til brug ved efterforskning af autoriserede brugeres anvendelser af data Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST8 Version 1 Maj 2015 Logning

Læs mere

Privatlivsimplikationsanalyse (PIA) for RFID.

Privatlivsimplikationsanalyse (PIA) for RFID. 1 Oplysning om privatlivsimplikationsanalyse (PIA) for RFID Udgivet af: IT- & Telestyrelsen Holsteinsgade 63 2100 København Ø Telefon: 3545 0000 Fax: 3545 0010 Publikationen kan hentes på RFID i Danmarks

Læs mere

Pixiguide til udarbejdelse af konsekvensvurdering

Pixiguide til udarbejdelse af konsekvensvurdering 28. januar 2013 Pixiguide til udarbejdelse af konsekvensvurdering for privatlivsbeskyttelsen Konsekvensvurderingen er en proces, der består af 6 trin, som illustreres nedenfor: 2. Konsekvensvurdering for

Læs mere

NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER

NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER NOTAT OM INFORMATIONSSIKKERHED OG DIGITALISERING 2014 2008 2014 Notatet er udarbejdet for: Oktober 2014 INDLEDNING Digitaliseringen i

Læs mere

Certifikatpolitik. For den fællesoffentlige log-in-løsning. Side 1 af 9 2. december Version 1.1

Certifikatpolitik. For den fællesoffentlige log-in-løsning. Side 1 af 9 2. december Version 1.1 Side 1 af 9 2. december 2009 Certifikatpolitik For den fællesoffentlige log-in-løsning Version 1.1 Dette dokument beskriver certifikatpolitikken for den fællesoffentlige log-inløsning. Politikken definerer

Læs mere

LÆS VENLIGST VILKÅRENE OMHYGGELIGT, FØR DU BRUGER DENNE HJEMMESIDE.

LÆS VENLIGST VILKÅRENE OMHYGGELIGT, FØR DU BRUGER DENNE HJEMMESIDE. LÆS VENLIGST VILKÅRENE OMHYGGELIGT, FØR DU BRUGER DENNE HJEMMESIDE. BRUGSVILKÅR FOR HJEMMESIDE Disse brugsvilkår angiver sammen med de øvrige retningslinjer, som der heri henvises til vilkårene for brug

Læs mere

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.: Databehandleraftale vedrørende brug af WinPLC og relaterede services Version 1.0 d. 1. november 2015 Parterne Kundenr.: Klinikkens navn og adresse (evt. stempel) (herefter den Dataansvarlige) og (herefter

Læs mere

It-sikkerhedstekst ST2

It-sikkerhedstekst ST2 It-sikkerhedstekst ST2 Overvejelser om sikring mod, at personoplysninger kommer til uvedkommendes kendskab i forbindelse med Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST2 Version

Læs mere

It-sikkerhedstekst ST10

It-sikkerhedstekst ST10 It-sikkerhedstekst ST10 Beskyttelse af login imod forsøg på at gætte adgangsgivende faktorer Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST10 Version 1 Maj 2016 Beskyttelse af

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Dags dato er indgået nedenstående aftale mellem Københavns Kommune Teknik- og Miljøforvaltningen Njalsgade 13 2300 København S CVR.nr.: 64 94 22 12 (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.]

Læs mere

Datatilsynets udtalelse vedrørende Region Midtjyllands fælles elektronisk patientjournal (MidtEPJ)

Datatilsynets udtalelse vedrørende Region Midtjyllands fælles elektronisk patientjournal (MidtEPJ) Regionshuset Viborg Regionssekretariatet Datatilsynets udtalelse vedrørende Region Midtjyllands fælles elektronisk patientjournal (MidtEPJ) Skottenborg 26 Postboks 21 DK-8800 Viborg Tel. +45 7841 0000

Læs mere

Præcisering af transportbaseret sikkerhed i Den Gode Webservice

Præcisering af transportbaseret sikkerhed i Den Gode Webservice Præcisering af transportbaseret sikkerhed i Den Gode Webservice 1. Historik...2 2. Indledning...3 3. SSL/TLS baseret netværk...3 4. Sundhedsdatanettet (VPN)...5 5. Opsummering...6 6. Referencer...6 Side

Læs mere

It-sikkerhedstekst ST9

It-sikkerhedstekst ST9 It-sikkerhedstekst ST9 Single Sign-On og log-ud Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST9 Version 1 Juli 2015 Single Sign-On og log-ud Betegnelsen Single Sign-On (SSO)

Læs mere

EU-udbud af Beskæftigelsessystem og ESDHsystem

EU-udbud af Beskæftigelsessystem og ESDHsystem EU-udbud af Beskæftigelsessystem og ESDHsystem Beskæftigelses- og Integrationsforvaltningen Københavns Kommune Underbilag 2 A Københavns Kommunes IT-sikkerhedspolitik Indholdsfortegnelse 1. IT-sikkerhedspolitik

Læs mere

EU Kommisionens RFID henstilling.

EU Kommisionens RFID henstilling. Vi har behov for en proaktiv europæisk tilgang, så vi kan drage nytte af RFID teknologiens fordele, samtidigt med at vi giver borgere, forbrugere og virksomheder valgmulighed, gennemsigtighed og kontrol.

Læs mere

Et visionært teknologidesign

Et visionært teknologidesign Christian Damsgaard Jensen DTU Informatik Danmarks Tekniske Universitet Christian.Jensen@imm.dtu.dk Opsamling af personlige data 2 DTU Informatik, Danmarks Tekniske Universitet Privatlivets fred er truet

Læs mere

Assens Kommune Sikkerhedspolitik for it, data og information

Assens Kommune Sikkerhedspolitik for it, data og information Assens Kommune Sikkerhedspolitik for it, data og information Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Holdninger og principper... 4 4. Omfang... 4 5. Sikkerhedsbevidsthed,

Læs mere

POLITIK FOR BESKYTTELSE AF PERSONLIGE OPLYSNINGER

POLITIK FOR BESKYTTELSE AF PERSONLIGE OPLYSNINGER POLITIK FOR BESKYTTELSE AF PERSONLIGE OPLYSNINGER Ikrafttrædelsesdato: 1/1/2013 Nærværende Politik for beskyttelse af personlige oplysninger forklarer, hvordan vi håndterer de personlige oplysninger, som

Læs mere

Sikkerhed i cloud computing

Sikkerhed i cloud computing Sikkerhed i cloud computing Databeskyttelsesdagen 2012 Morten Jørsum Center for Digitalisering Digitaliseringsstyrelsen mjrsm@digst.dk Hvad er cloud computing It som en service: Leveres og betales efter

Læs mere

ISO/IEC 27001:2013. Ledelsessystem for informationssikkerhed (ISMS) Niels Madelung, Chefkonsulent nm@ds.dk 4121 8304

ISO/IEC 27001:2013. Ledelsessystem for informationssikkerhed (ISMS) Niels Madelung, Chefkonsulent nm@ds.dk 4121 8304 1 ISO/IEC 27001:2013 Ledelsessystem for informationssikkerhed (ISMS) Niels Madelung, Chefkonsulent nm@ds.dk 4121 8304 Deltaget i det internationale arbejde omkring revisionen af ISO/IEC 27001 og 27002,

Læs mere

Overordnet it-sikkerhedspolitik for Rødovre Kommune

Overordnet it-sikkerhedspolitik for Rødovre Kommune Overordnet it-sikkerhedspolitik for Rødovre Kommune Denne politik er godkendt af kommunalbestyrelsen januar 2016. Og træder i kraft januar 2016. Ved udskrivning af politikken skal du være opmærksom på,

Læs mere

Sikkerhedsanbefaling. Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded

Sikkerhedsanbefaling. Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded Sikkerhedsanbefaling Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded Juli 2014 Indledning Microsoft har annonceret, at selskabet den 31. december 2016 frigiver den sidste serviceopdatering

Læs mere

Region Hovedstadens Ramme for Informationssikkerhed

Region Hovedstadens Ramme for Informationssikkerhed Region Hovedstadens Ramme for Informationssikkerhed Indhold Region Hovedstadens ramme for Informationssikkerhed... 3 1 Formål... 3 2 Gyldighedsområde/omfang... 4 3 Målsætninger... 4 4 Informationssikkerhedsniveau...

Læs mere

Teknisk Dokumentation

Teknisk Dokumentation Sundhedsstyrelsens E2B Bivirkningswebservice Teknisk Dokumentation Side 1 af 8 Indhold Indledning... 3 Terminologi... 3 Arkitektur... 4 Web Service Snitflade... 4 Valideringsfejl... 5 Success... 5 E2B...

Læs mere

Retningslinjer for Kammeradvokatens Videnportal for staten

Retningslinjer for Kammeradvokatens Videnportal for staten Retningslinjer 20. oktober 2015 SIK/ATAGH Retningslinjer for Kammeradvokatens Videnportal for staten 1. Indledning Følgende retningslinjer har til formål at regulere brug af Kammeradvokatens Videnportal

Læs mere

Digital Signatur Sikker brug af digital signatur

Digital Signatur Sikker brug af digital signatur Digital Signatur IT- og Telestyrelsen December 2002 Resumé Myndigheder, der ønsker at indføre digital signatur, må ikke overse de vigtige interne sikkerhedsspørgsmål, som teknologien rejser. Det er vigtigt,

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

IT-sikkerhedspolitik for

IT-sikkerhedspolitik for Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs

Læs mere

DATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig )

DATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig ) DATABEHANDLERAFTALE Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig ) og Databehandler Dansk Telemedicin A/S Robert Jacobsens Vej 68 2300 København S CVR.nr.:

Læs mere

Digitale boligstøtteansøgninger. En administrativ fordel med voksende effekt for både borgere og administration

Digitale boligstøtteansøgninger. En administrativ fordel med voksende effekt for både borgere og administration Digitale boligstøtteansøgninger En administrativ fordel med voksende effekt for både borgere og administration JUNI 2003 1 Titel: Digitale boligstøtteansøgninger En administrativ fordel med voksende effekt

Læs mere

Vejledning i it-risikostyring og -vurdering. Februar 2015

Vejledning i it-risikostyring og -vurdering. Februar 2015 Vejledning i it-risikostyring og -vurdering Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske

Læs mere

IT-SIKKERHEDSPOLITIK UDKAST

IT-SIKKERHEDSPOLITIK UDKAST IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens

Læs mere

Udvalget for Videnskab og Teknologi. UVT alm. del - Bilag 206 Offentligt. Udvalget for Videnskab og Teknologi

Udvalget for Videnskab og Teknologi. UVT alm. del - Bilag 206 Offentligt. Udvalget for Videnskab og Teknologi Udvalget for Videnskab og Teknologi UVT alm. del - Bilag 206 Offentligt Ministeren for videnskab, teknologi og udvikling Udvalget for Videnskab og Teknologi Folketinget Christiansborg 1240 København K./.

Læs mere

REGIONERNES POLITISKE LINJE FOR INFORMATIONSSIKKERHED

REGIONERNES POLITISKE LINJE FOR INFORMATIONSSIKKERHED 11101010100010 10101001011011 10101001101010 10101010001010 10100101101110 10100110101010 10101000101010 10010110111010 10011010101010 10100010101010 01011011101010 01101010101001 10001010101001 REGIONERNES

Læs mere

Informationssikkerhedspolitik for Sønderborg Kommune

Informationssikkerhedspolitik for Sønderborg Kommune Informationssikkerhedspolitik for Sønderborg Kommune Denne politik er godkendt af Byrådet d. 4. februar 2015 og træder i kraft d. 1. marts 2015 Seneste version er tilgængelig på intranettet 1/8 Indledning

Læs mere

Workshop om digital signatur til studerende Syddansk Universitet Odense, 15. februar 2005

Workshop om digital signatur til studerende Syddansk Universitet Odense, 15. februar 2005 Workshop om digital signatur til studerende Syddansk Universitet Odense, 15. februar 2005 Specialkonsulent, cand. jur. Anders Christian Boisen Ministeriet for Videnskab, Teknologi og Udvikling Web: www.vtu.dk

Læs mere

Vejledning - Udarbejdelse af gevinstdiagram

Vejledning - Udarbejdelse af gevinstdiagram Vejledning - Udarbejdelse af gevinstdiagram Maj 2015 INDHOLD 1. INDLEDNING... 1 1.1 FORMÅL... 1 1.2 VEJLEDNINGENS SAMMENHÆNG MED DEN FÆLLESSTATSLIGE IT-PROJEKTMODEL... 1 1.3 GEVINSTDIAGRAMMET... 2 1.4

Læs mere

Udvalget for Videnskab og Teknologi (2. samling) UVT alm. del - Svar på Spørgsmål 19 Offentligt

Udvalget for Videnskab og Teknologi (2. samling) UVT alm. del - Svar på Spørgsmål 19 Offentligt Udvalget for Videnskab og Teknologi (2. samling) UVT alm. del - Svar på Spørgsmål 19 Offentligt Ministeren for videnskab, teknologi og udvikling Udvalget for Videnskab og Teknologi Folketinget Christiansborg

Læs mere

It-sikkerhedskomitéen

It-sikkerhedskomitéen It-sikkerhedskomitéen Beskyttelse af børn og unge på online sociale netværkstjenester Børn og unge har stor glæde af de nye online sociale netværkstjenester, men deres oplevelser på disse tjenester er

Læs mere

Screeningsspørgsmål til udarbejdelse af PIA i fuld skala

Screeningsspørgsmål til udarbejdelse af PIA i fuld skala Screeningsspørgsmål til udarbejdelse af PIA i fuld skala Appendiks 1 Håndbog i: Privatlivsimplikationsanalyse IT og Telestyrelsen INDHOLDSFORTEGNELSE Screeningsspørgsmål til PIA i fuld skala... 3 Teknologi...

Læs mere

Vejledning VEDRØRENDE GENERELLE BETINGELSER FOR ANVENDELSE AF NEMHANDEL. Februar 2015 (VERSION 1.4 AF FEBRUAR 2015)

Vejledning VEDRØRENDE GENERELLE BETINGELSER FOR ANVENDELSE AF NEMHANDEL. Februar 2015 (VERSION 1.4 AF FEBRUAR 2015) Vejledning Februar 2015 VEDRØRENDE GENERELLE BETINGELSER FOR ANVENDELSE AF NEMHANDEL (VERSION 1.4 AF FEBRUAR 2015) Side 2 af 12 Indholdsfortegnelse: Indholdsfortegnelse:... 2 INDLEDNING... 4 GENERELLE

Læs mere

DK CERT COMPUTER EMERGENCY RESPONSE TEAM. Chefkonsulent Preben Andersen

DK CERT COMPUTER EMERGENCY RESPONSE TEAM. Chefkonsulent Preben Andersen DK CERT COMPUTER EMERGENCY RESPONSE TEAM Chefkonsulent Preben Andersen DK CERT Analyse og beskyttelsescenter Primær opgave: Gennem samarbejdet i CERT FIRST åbne kilder, at opbygge en samlet viden, der

Læs mere

SIKRING AF BORGERNES PERSONOPLYSNINGER ENDELIG RAPPORT

SIKRING AF BORGERNES PERSONOPLYSNINGER ENDELIG RAPPORT SIKRING AF BORGERNES PERSONOPLYSNINGER ENDELIG RAPPORT BORGERRÅDGIVERENS EGEN DRIFT-UNDERSØGELSER INDHOLDSFORTEGNELSE 1. INDLEDNING 3 2. KONKLUSION OG SAMMENFATNING 4 3. KONSEKVENSER 6 4. FORSLAG, HENSTILLINGER

Læs mere

Privatlivspolitik. Coverwise Limited deler en forpligtelse til at beskytte dit privatliv og holde dine personlige oplysninger sikre.

Privatlivspolitik. Coverwise Limited deler en forpligtelse til at beskytte dit privatliv og holde dine personlige oplysninger sikre. Privatlivspolitik Denne hjemmeside opererer internationalt og er i overensstemmelse med den lokale lovgivning og regler i de pågældende lande. Denne privatlivspolitik omhandler hvordan vi bruger og behandler

Læs mere

Informationsforvaltning i det offentlige

Informationsforvaltning i det offentlige Informationsforvaltning i det offentlige 1 Baggrund Den omfattende digitalisering af den offentlige sektor i Danmark er årsag til, at det offentlige i dag skal håndtere større og større mængder digital

Læs mere

AuthorizationCodeService

AuthorizationCodeService AuthorizationCodeService Sammenhængende Digital Sundhed i Danmark, version 1.1 W 1 AuthorizationCodeService Sammenhængende Digital Sundhed i Danmark version 1.1 Kåre Kjelstrøm Formål... 3 Introduktion...

Læs mere

Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens:

Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens: DS/ISO 31000 Risikoledelse ISO 31000 - Risikoledelse Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens: overordnede

Læs mere

Sikkerhed og Revision 2015

Sikkerhed og Revision 2015 Sikkerhed og Revision 2015 Erfaringer fra It-tilsynet med virksomhedernes brug af risikovurderinger REAL kontoret 3. sep. 2015 Velkommen til Århusgade! Fra Finanstilsynets hjemmeside Agenda Hjemmel It-tilsynets

Læs mere

Årlig redegørelse fra tilsynsudvalget vedrørende politiets og forsvarets efterretningstjenesters behandling af personoplysninger (Wamberg-udvalget)

Årlig redegørelse fra tilsynsudvalget vedrørende politiets og forsvarets efterretningstjenesters behandling af personoplysninger (Wamberg-udvalget) Oluf Engell Årlig redegørelse fra tilsynsudvalget vedrørende politiets og forsvarets efterretningstjenesters behandling af personoplysninger (Wamberg-udvalget) Partner Tlf 33 34 50 00 oe@bruunhjejle.dk

Læs mere

Finanstilsynets fortolkning af 11. marts 2013

Finanstilsynets fortolkning af 11. marts 2013 Lov om forebyggende foranstaltninger mod hvidvask af udbytte og finansiering af terrorisme (hvidvaskloven) 12, stk. 1-3, og 19, stk. 2 Anvendelse af NemID som legitimation Finanstilsynets fortolkning af

Læs mere

OVERORDNET IT-SIKKERHEDSPOLITIK

OVERORDNET IT-SIKKERHEDSPOLITIK OVERORDNET IT-SIKKERHEDSPOLITIK Indholdsfortegnelse 1. Indledning....3 2. Formål...3 3. Sikkerhedspolitik...3 4. Dækningsormåde...4 5. Sikkerhedsniveau....4 6. Organisation og ansvar...4 7. Opfølgning...5

Læs mere

Retsudvalget 2013-14 REU Alm.del Bilag 364 Offentligt

Retsudvalget 2013-14 REU Alm.del Bilag 364 Offentligt Retsudvalget 2013-14 REU Alm.del Bilag 364 Offentligt Folketinget Udvalgssekretariatet Christiansborg 1240 København K Sendt til: Birgitte.Toft-Petersen@ft.dk 29. august 2014 Vedrørende høring over beretning

Læs mere

HØRING OVER UDKAST TIL FORSLAG TIL LOV OM CENTER FOR CYBERSIKKERHED SAMT EVALUERING AF GOVCERT-LOVEN

HØRING OVER UDKAST TIL FORSLAG TIL LOV OM CENTER FOR CYBERSIKKERHED SAMT EVALUERING AF GOVCERT-LOVEN Forsvarsministeriet fmn@fmn.dk pah@fmn.dk hvs@govcert.dk WILDERS PLADS 8K 1403 KØBENHAVN K TELEFON 3269 8888 DIREKTE 3269 8805 RFJ@HUMANRIGHTS.DK MENNESKERET.DK J. NR. 540.10/30403/RFJ/MAF HØRING OVER

Læs mere

Politik for It-brugeradfærd For Aalborg Kommune

Politik for It-brugeradfærd For Aalborg Kommune Click here to enter text. Politi k for It- bruger adfærd 2011 «ed ocaddressci vilcode» Politik for It-brugeradfærd For Aalborg Kommune Kolofon: It-sikkerhedsgruppen / IT- og Personalekontoret Godkendt

Læs mere

DUBEX SECURITY & RISK MANAGEMENT SUMMIT Søren Kromann, Forvaltningsdirektør, KOMBIT

DUBEX SECURITY & RISK MANAGEMENT SUMMIT Søren Kromann, Forvaltningsdirektør, KOMBIT DUBEX SECURITY & RISK MANAGEMENT SUMMIT 2016 Søren Kromann, Forvaltningsdirektør, KOMBIT Om KOMBIT KOMBIT er et aktieselskab, som er 100% ejet af KL (kommunerne) Finansielt skal KOMBIT hvile i sig selv

Læs mere

Udgivelsen er beskyttet af Creative Commons license, Navngivning 2.5

Udgivelsen er beskyttet af Creative Commons license, Navngivning 2.5 OIOUBL Guideline OIOUBL Kontakt UBL 2.0 Contact G34 Version 1.2 Udgivelsen er beskyttet af Creative Commons license, Navngivning 2.5 OUOUBL Kontakt Version 1.2 Side 1 Kolofon Kontakt: IT- & Telestyrelsen

Læs mere

Guide til konsekvensvurdering af privatlivsbeskyttelsen

Guide til konsekvensvurdering af privatlivsbeskyttelsen Guide til konsekvensvurdering af privatlivsbeskyttelsen Maj 2013 Guide til konsekvensvurdering af privatlivsbeskyttelsen Udgivet maj 2013 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet

Læs mere

Persondataforordningen. Henrik Aslund Pedersen Partner

Persondataforordningen. Henrik Aslund Pedersen Partner www.pwc.dk Persondataforordningen Morgenmøde Henrik Aslund Pedersen Partner Revision. Skat. Rådgivning. Hvorfor en ny Persondataforordning? EU persondataforordning - Morgenmøde Hillerød 2 Hvorfor en ny

Læs mere

IOI-HA tilfredshedsundersøgelse for første halvår, 2015

IOI-HA tilfredshedsundersøgelse for første halvår, 2015 Rapport IOI-HA tilfredshedsundersøgelse for første halvår, 2015 Udført for Sundheds- og Ældreministeriet Sagsnr.: T210070 Side 1 af 14 16. november 2015 DELTA Teknisk-Audiologisk Laboratorium Edisonsvej

Læs mere

Retningslinier for brug af it i Aalborg Kommune, tilrettet til lærerbrug

Retningslinier for brug af it i Aalborg Kommune, tilrettet til lærerbrug Retningslinier for brug af it i Aalborg Kommune, tilrettet til lærerbrug Udviklingen på området gør, at disse retningslinier vil blive revideret løbende Indhold: Indledning...3 Adgang til skolens net...3

Læs mere

Guide til integration med NemLog-in / Brugeradministration

Guide til integration med NemLog-in / Brugeradministration Guide til integration med NemLog-in / Brugeradministration Side 1 af 9 21. januar 2013 TG Denne guide indeholder en kort beskrivelse af, hvorledes man som itsystemudbyder (myndighed eller it-leverandør)

Læs mere

Databehandlerinstruks

Databehandlerinstruks 1. Databehandleren handler alene efter instruks af den dataansvarlige. 2. Databehandleren forpligter sig til, til enhver tid at overholde lovgivningsmæssige krav samt denne databehandlerinstruks. 3. Databehandleren

Læs mere

Europaudvalget 2011 KOM (2011) 0163 Bilag 1 Offentligt

Europaudvalget 2011 KOM (2011) 0163 Bilag 1 Offentligt Europaudvalget 2011 KOM (2011) 0163 Bilag 1 Offentligt Grundnotat til Folketingets Europaudvalg og Folketingets Udvalg for Videnskab og Teknologi Kommissionens meddelelse til Europa-Parlamentet, Rådet,

Læs mere

Til høringsparterne Se vedlagte liste

Til høringsparterne Se vedlagte liste Til høringsparterne Se vedlagte liste Side 2 af 7 17. maj 2016 CSS/MAPAN Høring i forbindelse med ny National Standard for Identiteters Sikringsniveau. Digitaliseringsstyrelsen har udarbejdet vedlagte

Læs mere

Tilladelsen gives på følgende vilkår:

Tilladelsen gives på følgende vilkår: Amgros I/S Dampfærgevej 22 2100 København Ø Sendt til: amgros@amgros.dk og cch@amgros.dk 6. april 2016 Vedrørende anmeldelse af behandlingen "Behandling af ESPD dokumentation" Datatilsynet Borgergade 28,

Læs mere

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør Dagsorden 1. Præsentation 2. Roskilde Universitet 3. Risikostyring - hvorfor? 4. Ledelsesopbakning 5. ISO27001 6. Forretningsorienteret risikostyring 7. It-teknisk sikkerhedsstyring 8. Hvordan bruges risikostyring

Læs mere