Vejledning vedrørende niveauer af autenticitetssikring

Størrelse: px
Starte visningen fra side:

Download "Vejledning vedrørende niveauer af autenticitetssikring"

Transkript

1 Vejledning vedrørende niveauer af autenticitetssikring

2 Kolofon: OIO Referencemodel for tværgående brugerstyring Denne anbefaling kan frit anvendes af alle. Citeres fra anbefalingen i andre publikationer til offentligheden skal angives korrekt kildehenvisning. Forslag til anbefalinger for tværgående brugerstyring udarbejdes af IT- og Telestyrelsen, ITstrategisk kontor, som sekretariat for OIO It-Arkitekturkomiteen. Kontaktperson: It-Arkitekt Søren Peter Nielsen, Telefon (direkte) It-Arkitekt Anders Dalsgaard, Telefon (direkte) Ministeriet for Videnskab, Teknologi og Udvikling IT- og Telestyrelsen IT-strategisk kontor Holsteinsgade 63 DK-2100 København Ø Telf Fax / 18

3 1 Indledning Opsummering Formål Overblik Anvendelsesområde Sikkerhedsniveauer og risikovurdering Beskrivelse af sikkerhedsniveauer Risici, mulige konsekvenser og sikkerhedsniveauer Bestemmelse af niveau for autenticitetssikring og valg af system ved hjælp af risikovurdering Niveauer af autenticitetssikring og risikoprofiler. Beskrivelse og eksempler Risici og kontekst Vurdering af tillid til akkreditiv-udbydere Implementering af en autenticitetssikringsproces Autenticitetssikringsprocessen Anvendelse af anonyme akkreditiver Lovmæssige krav Omkostninger i forhold til nytteværdi Yderligere information / 18

4 1 Indledning 1.1 Opsummering Denne vejledning beskriver, hvorledes ejere af systemer til digital forvaltning kan bestemme det rette sikkerhedsniveau for autenticitetssikringsprocessen i deres systemer. Der defineres og beskrives fire niveauer af autenticitetssikring for elektroniske transaktioner. Vejledningen hjælper med at bestemme behovet for autenticitetssikring i systemer til digital forvaltning. Det er den forretningsansvarlige systemejer, der har det primære ansvar for at bestemme nødvendige sikkerhedsniveauer samt strategierne til at opnå disse niveauer. Dette gælder også for niveauer af autenticitetssikring. Systemejere bør gennemgå de følgende trin, som er nærmere beskrevet i afsnit 2.3, for at fastsætte det nødvendige niveau af autenticitetssikring: 1. Udfør risikovurdering for det givne it-systemet. 2. Match identificerede risici til nødvendigt niveau af autenticitetssikring. 3. Vælg teknologi til autenticitetssikring. 4. Valider efter implementering, at systemet i drift har det nødvendige niveau af autenticitetssikring. 5. Revurdér periodisk, om systemet har behov for opgradering af teknologien, der er anvendt til autenticitetssikringen. 1.2 Formål Denne vejledning vedrører autenticitetssikring af personer, der er brugere af systemer til digital forvaltning. Til trods for at autenticitetssikring typisk involverer en computer eller anden form for elektronisk udstyr, så vedrører denne vejledning ikke indbyrdes autenticitetssikring imellem servere, andre computere eller netværkskomponenter. Denne vejledning har til formål at hjælpe systemejere med at bestemme og analysere risici forbundet med hvert enkelt trin i autenticitetssikringsprocessen. Det inkluderer (men er ikke begrænset til) validering af faktisk identitet, udlevering af akkreditiver, teknisk og forvaltningsmæssig administration, journal-føring, revision og selve anvendelsen af akkreditiverne. Hvert trin i processen har indflydelse på, hvor godt det tekniske system samlet set stemmer overens med det ønskede sikkerhedsniveau. Denne vejledning kan anvendes på egen hånd. Den er i overensstemmelse med sikkerhedsstandarden DS484 og vil kunne anvendes supplerende til DS484. Anbefalingerne i denne vejledning bygger på og svarer til anbefalinger fra en række andre lande herunder USA 1, England og Australien. Sikkerhedspolitikken, hvori brugerstyring er et væsentligt element, skal for alle institutioner revurderes. Dette vil selvsagt være en oplagt lejlighed til en kritisk revision af hvilke data, der er omgærdet af hvilke sikkerhedsbestemmelser. Et godt udgangspunkt vil være DS Den tilsvarende amerikanske vejledning er m E-Authentication Guidance for Federal Agencies fra USA s Office of Management and Budget. 4 / 18

5 1.3 Overblik Denne vejledning indeholder anbefalinger vedrørende elektronisk autenticitetssikring til ejere af systemer til digital forvaltning. Autenticitet defineres som Egenskab, der sikrer, at en ressource eller person er den hævdede (anvendes fx ved log on og elektronisk underskrift/digital signatur) 2 Autenticitetssikring har som fokus at bekræfte en brugers identitet på basis af pålideligheden af vedkommendes akkreditiver. Et andet begreb er Autorisation, der på basis af politikker og tilladelser giver brugeren adgangsrettigheder efter, at vedkommende er autenticitetssikret. I forbindelse med implementering af et system til digital forvaltning er det systemejerens ansvar at bestemme det nødvendige niveau af autenticitetssikring for de transaktioner 3, som systemet inkluderer. Dette sker via en risikovurdering for hver type af transaktion. Vurderingen identificerer: Potentielle konsekvenser som følge af en sikkerhedshændelse Sandsynligheden for at hændelsen indtræffer Denne vejledning kategoriserer en række konsekvenser og giver en fælles baggrund for at bestemme størrelser af risici. Vejledningen beskriver En metode til vurdering af risici Fire niveauer for autenticitetssikring Hvorledes det rette niveau af autenticitetssikring bestemmes 1.4 Anvendelsesområde Ikke alle transaktioner, der sker i forbindelse med digital forvaltning, kræver autenticitetssikring Denne vejledning vedrører alle transaktioner, der sker i forbindelse med digital forvaltning, som kræver autenticitetssikring, uafhængigt af om de er initieret af individuelle brugere, private virksomheder eller offentlige myndigheder. Undtaget fra vejledningens anvendelsesområde er dog transaktioner, der vedrører national og international sikkerhed. Krav i forbindelse hermed behandles i Statsministeriets sikkerhedscirkulære 4. I forhold til autenticitetssikring er der tale om to typer af individuel autenticitetssikring: a) Sikring af en identitets autenticitet, som bekræfter en brugers personlige identitet b) Sikring af en attributs autenticitet, som bekræfter, at brugeren tilhører en særlig gruppe (som fx folkepensionist eller sagsbehandler i jobcenter ) Attributbaseret autenticitetssikring består i at etablere et bestemt niveau af tillid til, at en bestemt attribut tilhører en given bruger. Hvis attributten ikke giver mulighed for at udlede brugerens identitet, kaldes det et anonymt akkreditiv (dette diskuteres yderligere i afsnit 4). Attributbaseret autenticitetssikring behandles ikke i større grad i denne vejledning, men det er muligt for systemejere at anvende anonyme akkreditiver i visse sammenhænge. 2 Definition fra DS 484:2005, Standard for informationssikkerhed 3 Til brug i denne vejledning defineres transaktion som: En diskret begivenhed mellem en bruger og et system, som understøtter et forretningsmæssigt formål 4 Der henvises til Cirkulære vedrørende sikkerhedsbeskyttelse af informationer af fælles interesse for landene i NATO, EU eller WEU, andre klassificerede informationer samt informationer af sikkerhedsmæssig beskyttelsesinteresse i øvrigt også kaldet Statsministeriet sikkerhedscirkulære. 5 / 18

6 Vejledning beskæftiger sig ikke direkte med autorisation. Autorisation fokuserer på de handlinger, som en bruger efter autenticitetssikring må udføre. Det er systemejerens ansvar at sikre korrekt håndtering af autorisationer i sit system. Vejledningen beskæftiger sig ikke med vurderinger af, om akkreditiver på et givet sikkerhedsniveau kan anvendes til elektronisk signatur. Den fælles offentlige anbefaling er at anvende OCES digital signatur 5 til elektronisk underskrift. Vejledningen foreskriver ikke hvilke tekniske systemer, der skal implementeres. De sikkerhedsniveauer, der defineres i denne vejledning, er ikke bundet til tekniske foranstaltninger og bliver ikke forældede i takt med forældelsen af de tekniske systemer. Anbefalinger om hvilke teknologier, der anbefales til opnåelse af de ønskede sikkerhedsniveauer, publiceres uafhængigt og kan således opdateres løbende, uden at det vil kræve ændringer til denne vejledning. 5 Læs mere om OCES digital signatur på 6 / 18

7 2 Sikkerhedsniveauer og risikovurdering 2.1 Beskrivelse af sikkerhedsniveauer Denne vejledning beskriver fire niveauer af autenticitetssikring til anvendelse indenfor digital forvaltning. Hvert sikkerhedsniveau beskriver i hvor høj grad, en organisation, på baggrund af de akkreditiver 6 brugeren har præsenteret, kan være sikker på, at brugeren virkelig er den, vedkommende giver sig ud for at være. I denne sammenhæng defineres sikkerhed som: 1. Graden af tillid til grundigheden af den proces, der er anvendt til at fastslå brugerens identitet ved udstedelsen af akkreditiver til vedkommende 2. Graden af tillid til, at den bruger, der anvender akkreditiverne, er lig med den bruger, som akkreditiverne blev udstedt til De fire sikkerhedsniveauer er følgende: Niveau 1 - Lille eller ingen tiltro til påstået identitet Niveau 2 - Nogen tiltro til påstået identitet Niveau 3 - Høj tillid til påstået identitet Niveau 4 - Meget høj tillid til påstået identitet 2.2 Risici, mulige konsekvenser og sikkerhedsniveauer Dette dokument vedrører kun risici forbundet med fejlagtig autenticitetssikring. En generel tilgang til håndtering af risiko i forbindelse med it-systemer er blandt andet beskrevet i Standard for informationssikkerhed, DS 484:2005. Det er vigtigt at bemærke, at der er andre metoder til risikohåndtering (fx restriktioner i adgangen til det anvendte netværk, detektering af angreb 7 og hændelsesovervågning), som kan medvirke til at nedsætte behovet for højere niveauer af autenticitetssikring Kategorisering af konsekvenser For at kunne bestemme det rette niveau af autenticitetssikring skal ejere af it-systemer vurdere mulige risici og identificere foranstaltninger til at minimere konsekvensen af dem. Fejl i forbindelse med autenticitetssikring, som har relativt store konsekvenser, kræver højere niveauer af sikkerhed. Risikoen skal håndteres i den måde selve forretningsprocesserne bygges op, i de politikker som den anvendende organisation definerer og ved teknologiske foranstaltninger. Kategorier af mulige konsekvenser inkluderer følgende Ulempe, kval eller tab af anseelse Økonomisk tab eller ansvarspådragelse Skade på myndighedsaktiviteter eller andre offentlige interesser Ikke-autoriseret frigivelse af sensitiv information Fysisk personskade 6 Akkreditiver defineres i denne sammenhæng som et objekt, hvis rigtighed godtgøres af kontrolløren i forbindelse med autenticitetssikring. Akkreditiver kan på en eller anden måde være bundet til det individ, de er udstedt til, eller de kan være gældende for det individ, der på et givet tidspunkt er ihændehaver af dem. Den første slags akkreditiver anvendes til autenticitetssikring, mens den anden slags kan anvendes til autorisation. 7 På engelsk: Intrusion Detection 7 / 18

8 Mulighed for at begå/modvirke opklaring af ulovligheder Det nødvendige niveau af autenticitetssikring bestemmes ved at vurdere den mulige risiko for hver af de nævnte kategorier af konsekvenser. Den mulige risiko bestemmes som en kombination af: Sandsynligheden for, at hændelsen, som resulterer i konsekvensen, indtræffer Konsekvensens størrelse Risikoen beskrives med en af følgende tre størrelser: Lille Moderat Stor I næste afsnit defineres størrelserne af risici i forbindelse med hver af de definerede kategorier. Bemærk: Hvis fejl i forbindelse med autenticitetssikring ikke giver anledning til målelige konsekvenser, er der ingen risiko Bestemmelse af risiko i forbindelse med autenticitetssikring Dette afsnit definerer, hvornår risikoen for en given konsekvens betegnes som lille, moderat eller stor. Risiko for ulempe, kval eller tab af anseelse Lille Giver højest kortvarig ulempe, kval eller forlegenhed til en organisation eller person Moderat Giver højest mindre alvorlig kortvarig eller begrænset længerevarende ulempe, kval eller tab af anseelse til en organisation eller person. Stor Mere alvorlig eller alvorlig længerevarende ulempe, kval eller tab af anseelse til en organisation eller person (reserveres generelt til situationer med særligt alvorlige konsekvenser, eller som vedrører mange personer). Risiko for økonomisk tab eller ansvarspådragelse Lille Giver højest et ubetydelig økonomisk tab til en organisation eller person eller højest en ubetydelig ansvarspådragelse for en myndighed. Moderat Giver højest et mindre alvorligt uopretteligt økonomisk tab til en organisation eller person eller en alvorlig ansvarspådragelse for en myndighed. Stor Giver et mere alvorligt eller katastrofalt økonomisk tab til en organisation eller person eller en alvorlig eller katastrofal ansvarspådragelse for en myndighed. Risiko for skade på myndighedsaktiviteter eller andre offentlige interesser Lille Giver højest en begrænset negativ effekt på organisationens aktiviteter, dens aktiver eller offentlighedens interesser. Eksempler på begrænset negativ effekt er: o Nedsættelse af en organisations evne omfangsmæssigt eller tidsmæssigt til udførelse af opgaver, hvilket medfører, at organisationens effektivitet indenfor dens primærområde nedsættes o Mindre skade på en organisations aktiver eller på offentlige interesser iøvrigt Moderat Giver højest en mindre alvorlig negativ effekt på organisationens aktiviteter, dens aktiver eller offentlighedens interesser. Eksempler på mindre alvorlige negative effekter er: 8 / 18

9 o Betydelig nedsættelse af en organisations evne omfangsmæssigt eller tidsmæssigt til udførelse af opgaver, hvilket medfører, at organisationens effektivitet indenfor dens primærområde nedsættes betydeligt o Betydelig skade på en organisations aktiver eller på offentlige interesser i øvrigt Stor Giver en alvorlig eller katastrofal negativ effekt på organisationens aktiviteter, dens aktiver eller offentlighedens interesser. Eksempler på alvorlig eller katastrofal effekt er: o Alvorlig nedsættelse af en organisations evne omfangsmæssigt eller tidsmæssigt til udførelse af opgaver, hvilket medfører, at organisationen er ude af stand til at løse en eller flere opgaver indenfor dens primærområde o Stor skade på en organisations aktiver eller på offentlige interesser iøvrigt Risiko for ikke-autoriseret frigivelse af sensitiv information Lille Resulterer højest i en begrænset frigivelse af personlig, myndighedssensitiv eller kommerciel sensitiv information til uautoriserede parter, hvor følgen er tab af fortrolighed i lille omfang. Moderat Resulterer højest i en frigivelse af personlig, myndighedssensitiv eller kommerciel sensitiv information til uautoriserede parter, hvor følgen er tab af fortrolighed i moderat omfang. Stor Resulterer i en frigivelse af personlig, myndighedssensitiv eller kommerciel sensitiv information til uautoriserede parter, hvor følgen er tab af fortrolighed i stort omfang. Risiko for fysisk personskade Lille Resulterer højest i risiko for en mindre skade, som ikke kræver lægelig behandling. Moderat Resulterer højest i moderat risiko for en mindre skade, eller begrænset risiko for en skade, der kræver lægelig behandling. Stor Resulterer i risiko for en alvorlig skade eller død. Risiko for mulighed for at begå/modvirke opklaring af ulovligheder Lille Resulterer højest i risiko for ulovligheder, som normalt ikke giver anledning til myndighedshåndhævelse. Moderat Resulterer højest i moderat risiko for ulovligheder, som kan give anledning til myndighedshåndhævelse. Stor Resulterer i risiko for ulovligheder, som giver anledning til myndighedshåndhævelse Bestemmelse af niveau for autenticitetssikring Niveau for autenticitetssikring bestemmes ud fra den mulige størrelse af de identificerede risici i tabel 1 nedenfor. Det nødvendige niveau er det laveste niveau, som matcher eller overgår de mulige størrelser af de risici, der er identificeret i en risikovurdering (se punkt 2 nedenfor). 9 / 18

10 Tabel 1 Maksimale størrelser af risici for hvert sikkerhedsniveau Risiko i forhold til sikkerhedsniveau Kategorier af konsekvenser ved fejl i forbindelse med autenticitetssikring Ulempe, kval eller tab af anseelse Lille Moderat Moderat Stor Økonomisk tab eller ansvarspådragelse Lille Moderat Moderat Stor Skade på myndighedsaktiviteter eller andre offentlige interesser - Lille Moderat Stor Ikke-autoriseret frigivelse af sensitiv information - Lille Moderat Stor Fysisk personskade - - Lille Moderat Mulighed for at begå/modvirke opklaring af ulovligheder - Lille Moderat Stor Tegnet - angiver ikke tilstrækkeligt sikkerhedsniveau til hændelser med den givne konsekvens I forbindelse med analysen af potentielle risici skal systemejeren overveje alle direkte og indirekte følger af en fejl i forbindelse med autenticitetssikring, herunder muligheden for, at der kan opstå mere end én fejl, og at det kan have følger for mere end én person. Definitionerne af risici anvender relative termer som alvorlig eller begrænset. Betydningen af disse termer vil afhænge af den konkrete sammenhæng, som de optræder i. Systemejeren må vurdere den konkrete sammenhæng og beskaffenheden af de personer/entiteter, der påvirkes for at udlede den betydning af de skader, der kan opstå. Efterhånden som risici vurderes for flere systemer, vil der oparbejdes en praksis, som gør det nemmere at lægge en mere definitiv betydning i termer som alvorlig eller begrænset. I forbindelse med risikovurderingen af skade på myndighedsaktiviteter eller andre offentlige interesser skal systemejeren være ekstra opmærksom på afhængigheden af den konkrete kontekst i sine vurderinger. I nogle tilfælde, som vist i tabel 1, kan mere end ét sikkerhedsniveau være bedste match til en given størrelse af en risiko. Fx i tabel 1 kan det ses, at moderat risiko for økonomisk tab svarer til både sikkerhedsniveau 2 og 3. I sådanne tilfælde må systemejeren inddrage yderligere kontekst vedrørende systemet i sin beslutning. Yderligere kontekst kan fx være, at der også er en moderat risiko for ulovligheder i forbindelse fejl i autenticitetssikringen, hvilke så afgør, at der skal anvendes sikkerhedsniveau 3. Stor 2.3 Bestemmelse af niveau for autenticitetssikring og valg af system ved hjælp af risikovurdering Systemejere finder det rette niveau af autenticitetssikring ved at gennemgå følgende skridt: 1. Udfør risikovurdering for det givne it-system. Risikovurderingen 8 vil sætte størrelser på det relative omfang af konsekvenser og sandsynligheden 8 Yderligere vejledning om risikovurdering kan findes i Dansk Standard Standard for informationssikkerhed, DS 484:2005 Anneks B, Risikovurdering. 10 / 18

11 for en lang række hændelser forbundet med systemet i tilfælde af en fejl i forbindelse med autenticitetssikring. Bemærk: Et it-system kan have flere typer eller kategorier af transaktioner, som det kan være nødvendigt at udføre separate vurderinger af i forbindelse med den samlede risikovurdering. Vær også opmærksom på, at et it-system kan involvere flere organisationer. Det er ikke nok at vurdere risiko for den organisation, som ejer systemet. Risikovurdering er til en vis grad en subjektiv proces, hvor systemejeren må overveje skader som følge af bl.a. tekniske fejl, ondsindede tredjeparter, misforståelser og menneskelige fejl. Systemejeren bør overveje et bredt udsnit af scenarier i arbejdet med at finde de potentielle skader, der kan blive påført vedkommendes forretningsproces. Det er bedre at inkludere for meget end for lidt i denne fase. Når risici er identificeret, er det måske muligt at justere forretningsprocessen og afbøde mulige risici ved at mindske sandsynligheden for, at de opstår (se trin 4) 2. Match identificerede risici til nødvendigt niveau af autenticitetssikring. De identificerede risici indplaceres i kategorierne beskrevet i 2.2. For at finde det nødvendige niveau af autenticitetssikring bør systemejeren i første omgang identificere risici, uafhængigt af hvilken teknisk løsning, der anvendes til autenticitetssikring. Dernæst matches de identificerede risici til det laveste niveau af autenticitetssikring, som er dækkende for alle de identificerede risici. Fx hvis der er fem risici med potentielle størrelser, som matches af niveau 1, og der er en risiko, som svarer til niveau 2, så kræver transaktionen autenticitetssikring på niveau 2. Fx. hvis misbrug af en brugers elektroniske identitet/akkreditiver under lægelig behandling kan resultere i risiko for alvorlig personskade eller død, skal niveau 4 anvendes til trods for, at størrelsen af andre risici er minimal. 3. Vælg teknologi til autenticitetssikring. Efter at have bestemt nødvendigt niveau af autenticitetssikring vælges en teknisk løsning, som kan understøtte dette niveau. Dette kan fx gøres på basis af "Electronic Authentication Guideline" fra det amerikanske National Institute of Standards and Technology (NIST) Valider efter implementering, at systemet i drift har det nødvendige niveau af autenticitetssikring. Baggrunden for dette er, at selve implementeringen af systemet kan indføre nye risici eller forstærke eksisterende risici. Systemejeren bør kontrollere, at processen til autenticitetssikring opfylder systemets behov for autenticitetssikring som led i en generel sikkerhedsgodkendelse af systemet (såsom certificering, akkreditering eller lignende) 5. Revurdér periodisk, om systemet har behov for opgradering af teknologien, der er anvendt til autenticitetssikringen. Systemejeren skal periodisk kontrollere om teknologisk forældelse eller ændringer i forretningsprocessen, som it-systemet understøtter, har betydning for niveauet af autenticitetssikring. Det er oplagt at foretage denne kontrol sammen med generelle årlige reviews af it-sikkerheden. Bemærk: Teknologisk forældelse af en autenticitetssikringsløsning behøver ikke at resultere i, at der 9 Publikationsnummeret er , og vejledning findes online på denne adresse: Det forventes, at NIST opdaterer "Electronic Authentication Guideline" i trit med udviklingen teknisk og risikomæssigt indenfor autenticitetssikringsløsninger. 11 / 18

12 skal implementeres ny teknologi. Det er muligt for systemejeren at forbedre niveauet af autenticitetssikring for en given teknisk løsning ved indførelse af andre risiko-afbødende foranstaltninger. 2.4 Niveauer af autenticitetssikring og risikoprofiler. Beskrivelse og eksempler Niveau 1 - Lille eller ingen tiltro til påstået identitet. Anvendes for eksempel til at lade brugere registrere bogmærker på en web-side, som de så kan anvende på et senere tidspunkt. Eksempler: I nogle tilfælde vil en persons indsendelse af en formular være en transaktion, som ikke kræver autenticitetssikring ud over niveau 1. Dette er tilfældet, når al information sendes til en offentlig organisation; der ikke sendes nogen information den anden vej, og der ikke er andre behov for højere niveau af autenticitetssikring. Det kunne fx dreje sig om en formular til indrapportering af gadelygter uden lys i. Lokal registrering på et netsted med selvangivet brugerid og kodeord, som blot resulterer i mulighed for at tilrette måden, netstedet præsenterer sin information på, kan anvende niveau 1. Hvis en tredjepart aflurer bruger-id og kodeord, kan vedkommende muligvis få adgang til personlig og forretningsmæssig information om den retmæssige bruger på baggrund af den tilretning, vedkommende har foretaget. Hvis der ikke er tale om en meget høj grad af tilretning, er risikoen herved sandsynligvis minimal. Et online debat-forum, som ikke beder om anden information end navn og geografisk område fra bruger, der vil deltage, kan også anvende niveau 1. Såfremt debatforummet ikke vedrører sensitive eller private emner, er der ingen oplagte risici herved. Niveau 2 Overordnet betragtet er der tillid til, at den påståede identitet er korrekt. Niveau 2 akkreditiver kan anvendes til mange offentlige tjenester, hvor den offentlige myndighed har behov for at kende brugerens identitet fra starten (denne identitet skal dog verificeres på anden måde, før der foretages sagsbehandling eller lignende af den offentlige myndighed). Eksempler: En bruger anvender et e-learning-site. Systemet er nødt til at kende brugeren for at kunne vise vedkommende en passende oversigt over kurser, for at kunne tildele karakterer og vise, hvorledes vedkommende har klaret sig i alle kurser, som vedkommende har gennemgået. Den eneste risiko i denne forbindelse er, at en ondsindet tredjepart kan få adgang til brugeren karakterliste, som kan resultere i en krænkelse af brugerens privatliv eller anseelse. Hvis systemejeren vurderer, at omfanget af denne konsekvens er lille, kan niveau 2 anvendes. Et bibliotek tilbyder borgeren mulighed for at kunne se listen over sine lån og reservere nye bøger. Dette involverer højst en lille risiko for at privatlivs-sensitive informationer afsløres, hvorfor autenticitetssikring på niveau 2 kan anvendes. En offentlig ansat udfører sagsbehandling, som kan involvere følsomme personlige oplysninger om en borger. Sagsbehandlingssystemets autenticitetssikring svarer til niveau 2, hvilket betyder, at risikoen for ikke-autoriseret frigivelse af sensitiv information er vurderet at være lille. Dette skyldes anvendelse af tekniske tiltag (som fx brug virtual private network), som gør det muligt at begrænse den ansattes anvendelse af systemet til, når vedkommende fysisk befinder sig på sin organisations adresse. Hvis sagsbehandlingssystemet anvendes i mindre sikre omgivelser, vurderes risikoen for ikke-autoriseret frigivelse af sensitiv information at være moderat. Dette betyder i dette tilfælde, at 12 / 18

13 brugeren skal autenticitetsikres på niveau 3. Fx kan en kommunal sagsbehandler logge på sit ESDHsystem med bruger-id og kodeord, men kun når vedkommende befinder indenfor rådhusets afgrænsede område. Hvis vedkommende tilgår systemet udefra, kræves bedre autenticitetssikring, fx ved kombination af den bestående login-metode og afgivelse af et en-gangs-kodeord. Niveau 3 Anvendes til transaktioner, der kræver høj tillid til påstået identitet. Niveau 3 akkreditiver kan anvendes til at give adgang til systemer med begrænset adgang via Internettet uden behov for yderligere kontrol af brugerens identitet. Eksempler: Et firma indgiver statistik-data via en erhvervsportal, som andre firmaer kunne få en konkurrencemæssig fordel af at se. Hvis det vurderes, at såvel risikoen for frigivelse af sensitiv information samt risikoen for økonomisk tab er moderat (men ikke katastrofal), kræver det autenticitetssikring på niveau 3 En borger kan på en sundheds-/helseportal se sin egen medicin-profil med en oversigt over hvilken medicin, der har været og er recept-udskrevet til vedkommende. Hvis det vurderes, at konsekvensomfanget ved frigivelse den sensitive medicin-information er moderat (og risikoen for tab af anseelse er moderat, samt risikoen forfysisk personskade højst er lille), anvendes niveau 3. En offentlig ansat anvender en anden myndigheds it-system, hvilket giver vedkommende adgang til potentielt sensitiv information om borgere. Den ansatte arbejder i en bygning, som kun ansatte og autoriserede besøgende har adgang til, men transaktionerne med den anden myndigheds it-system sker over Internettet. Vedkommendes adgang til potentielt sensitiv information resulterer i moderat omfang i en risiko for kompromittering af personoplysninger, hvorfor der skal anvendes autenticitetssikring på niveau 3. Niveau 4 Anvendes til transaktioner, der kræver meget høj tillid til påstået identitet. Brugere kan anvende niveau 4 akkreditiver til at præsentere deres identitet og få adgang til stærkt beskyttede ressourcer via Internettet uden behov for yderligere kontrol af brugerens identitet. Eksempler: En ansat i politiet skal via Internettet have fuld adgang til et register med yderst sensitiv information, som fx en oversigt over alle straffede personer i Danmark indenfor de sidste 10 år. Her er der risiko for frigivelse af sensitiv information såvel som risiko for tab af anseelse, og konsekvensen kan i begge tilfælde være af stort omfang, hvorfor der skal anvendes autenticitetssikring på niveau 4. En offentlig sagsbehandler anvender et it-system, som giver vedkommende adgang til potentielt personfølsom information. Adgangen sker via sagsbehandleren bærbare computer fra forskellige geografiske steder som private hjem, virksomheder, og der anvendes forskellige opkoblingsmetoder. Konsekvensomfanget ved potentiel frigivelse af den sensitive information er kun moderat, men på grund af den bærbare computers sårbarhed og fordi der anvendes en række forskellige netforbindelser ind til systemet, vurderes den samlede risiko til at være større med behov for at kræve anvendelse af autenticitetssikring på niveau Risici og kontekst Når niveau af autenticitetssikring bestemmes, skal risikoen for, at en modtager af elektronisk overført information vil afvise den som utroværdig, også vurderes. Denne risiko kan imødegås ved at få den afgivende person med et akkreditiv af passende niveau til at validere den afgivne information, fx med digital signatur Mens det måske er muligt ved hjælp af teknologi at fastslå en persons identitet bedre end, hvad man kan opnå med en personlig underskrift, så er det også et faktum, at ondsindet anvendelse af digitale løsninger kan 13 / 18

14 resultere i større risiko og større skader end ved ikke-digitale metoder. Lovgivning og behovet for ordenshåndhævelse kan påvirke designet af et given autenticitetssikringssystem og kan også resultere i krav om driftsmæssig dokumentation. Juridiske overvejelser kan også have væsentlig indflydelse, når det nødvendige niveau af autenticitetssikring skal bestemmes for en given transaktion. Risikovurderingen bør inkludere de potentielle konsekvenser af ulovligheder samt proces-fejl i forbindelse med: Prioritering af myndighedsudøvelse Gennemførelse af myndighedens overordnede mål Bredere offentlige interesser som miljøbeskyttelse, en sund finansiel sektor, terrorbekæmpelse etc. Det betyder, at selv om sigtet for en given risiko-vurdering er en enkelt it-system, skal risikoen vurderes ud fra en holistisk synsvinkel. Nogle skader (som fx økonomisk tab eller frigivelse af sensitiv information) er allerede beskrevet for hvert niveau af autenticitetssikring. Andre potentielle skader afhænger af, hvilke mål og opgaver en given organisation har. Vurdering og analyse af risici er meget afhængige af den sammenhæng, systemet anvendes i, og systemejeren bør vurdere, om der er specielle risici i forbindelse med systemet ud over de kategorier, som denne vejledning indeholder. Ved vurdering af risiko for ulovligheder bør systemejeren konsultere sin juridiske ekspertise i forbindelse med bedømmelsen af, hvor stort skadesomfanget kan være som konsekvens af en ulovlighed 10. Det er i vurdering af disse risici vigtigt både at overveje konsekvenser af enkeltstående handlinger såvel som gentagne handlinger (handlingsmønstre), der kan påvirke en myndigheds opgaver. Det er også vigtigt at huske, at det nødvendige niveau af autenticitetssikring skal ses i sammenhæng med øvrigt sikkerhedsforanstaltninger i et system. Eksempelvis kan en given forretningsproces, der er vurderet til at skulle anvende niveau 3 akkreditiver, sænke it-systemets behov til niveau 2 akkreditiver ved at foretage andre afbødende aktiviteter som fx yderligere systemkontroller, yderligere autenticitetssikring foreholdt kritiske grene af forretningsprocessen etc. 3 Vurdering af tillid til akkreditiv-udbydere Den identitet, som en bruger eller organisation repræsenteres med i en elektronisk transaktion, beror på akkreditiver. Den registrerings- og vedligeholdelsesproces, som akkreditivudbyderen anvender, er kritisk ved vurderingen af troværdigheden af de akkreditiver, der udstedes. For at kunne vælge akkreditiver til et system, som beskrevet i denne vejledning, må akkreditivudbyderens udstedelsesproces også være vurderet i forhold til niveauerne af autenticitetssikring. 10 Dette er fx relevant for risici, hvor konsekvenserne alligevel involverer juridisk ekspertise. Et eksempel er, hvor en virksomhed svindler ved at indberette forkerte data, hvilket resulterer i udbetaling af for store tilskud. Bestemmelse af hvor stort et erstatningskrav, det offentlige skal rejse overfor virksomheden, involverer juridisk ekspertise. 14 / 18

15 4 Implementering af en autenticitetssikringsproces 4.1 Autenticitetssikringsprocessen Hvert trin i en autenticitetssikringsproces påvirker niveauet af sikkerhed. Fra validering af faktisk identitet, til udstedelse af akkreditiver, over anvendelse af akkreditiver i et robust og sikkert system, til journalisering, logning og kontrol. Ingen kæde er stærkere end det svageste led. Hvis et trin i en proces anvender et lavere niveau af autenticitetssikring end i resten af processen, kan dette trin kompromittere sikkerheden i de andre trin. En systemejer opnår det bedste niveau af autenticitetssikring via god kontrol i forbindelse med udstedelsen af akkreditiverne, anvendelse af stærke akkreditiver og robust administration (herunder en god arkiverings- og kontrolproces). For at kunne bestemme det rette niveau for akkreditiver, der skal anvendes til at fastslå en bruger identitet, må systemejeren forstå, hvorledes it-systemet anvender akkreditiverne. Systemejeren må bestemme behovene for hvert trin i autenticitetssikrings- og autorisationsprocessen. Dette inkluderer følgende trin: Oprindelige registrering Efterfølgende anvendelse af it-systemet Verificering af akkreditiverne Transaktionshåndtering Dokumentjournalisering, historik, logning etc. Suspendering, inddragelse af akkreditiver og genudstedelse Revision Ansvar for disse procestrin ligger hos systemejeren. 4.2 Anvendelse af anonyme akkreditiver Det kan være passende at anvende anonyme akkreditiver, når autenticitetssikringen ikke forudsætter, at akkreditiverne direkte eller indirekte (fx XRI) kan tilknyttes et individ med en kendt personlig identitet. Af hensyn til privatlivets fred er det vigtigt at finde den rette balance mellem behovet for at vide, hvem man kommunikerer med og den enkeltes behov for privatliv. Dette inkluderer, ud over hvad der lovmæssigt er bestemt, kun at anvende afgiven information til det formål, det er afgivet. I nogle tilfælde kan det være unødvendigt for et givet system, at identifikationen af brugeren også betyder, at man kommer til at kende brugerens personlige identitet. Det kan være tilstrækkeligt at autenticitetssikre på de følgende måder: Sikring af, at brugeren er medlem af en given gruppe og/eller har en given rolle Sikring af, at brugeren er den samme, som tidligere har afgivet og oprettet information Brugeren har ret til at anvende et givent pseudonym Det forventes, at sådanne anonyme akkreditiver kan anvendes i specielle tilfælde, hvor det for hvert enkelt system vurderes, om det vil være passende at anvende anonyme akkreditiver. Det vil være muligt for brugere både at have anonyme akkreditiver såvel som akkreditiver, som beviser vedkommende identitet. Generelt er anonyme akkreditiver kun passende for systemer, der kræver autenticitetssikring på niveau 1 eller 2. Dette skyldes, at data, der kan fås adgang til på niveau 3 eller 4, generelt er mere følsomme og derfor kræver, at akkreditiverne kan tilknyttes et individ med en kendt personlig identitet. 15 / 18

16 4.3 Lovmæssige krav I forbindelse med udvikling af processer til autenticitetssikring er systemejeren ansvarlig for at overholde alle relevante lovkrav først og fremmest fra persondataloven vedrørende datafangst og lagring af information, som vedrører validering af en brugers identitet. De fleste digitale processer til autenticitetssikring foretager følgende datafangst: Information vedrørende individer/virksomheder/myndigheder, der anvender systemet Digitale akkreditiver (fx certifikater fra digital signatur, bruger-id er, kodeord, PIN, mm) Transaktionsinformation fra autenticitetssikringen, herunder metode til validering af akkreditiv Logdata/sikkerhedsinformation Systemejeren skal sikre korrekt behandling af data, der anvendes i autenticitetssikringsprocessen i forhold til gældende lovkrav. Det drejer sig først og fremmest om persondataloven, men andre love som forvaltningsloven, patientsikkerhedsloven etc. kan også være relevante. Autenticitetssikringsdata skal beskyttes imod ikke-autoriseret offentliggørelse og ændring, men skal kunne oplyses ved indsigtsbegæringer, som opfylder de lovmæssige krav herfor. 4.4 Omkostninger i forhold til nytteværdi På samme måde som enhver anden anskaffelse skal omkostningerne for et autenticitetssikringssystem overvejes i forhold til nytteværdien. Det er vigtigt at matche det nødvendige niveau af autenticitetssikring med de omkostninger og andre byrder, som forretningsmæssige, politik-bestemte og tekniske krav til systemet i øvrigt medfører. Nytteværdier inkludere typisk: Tidsbesparelse i forbindelse med en transaktion Større anvendelse af samarbejdspartnere og bedre kundetilfredshed Bedre registrering/journalisering og mulighed for bedre analyser/statistikker Bedre produktivitet blandt de ansatte og forbedret kvalitet af den endelige ydelse Bedre indsigt/viden til offentligheden Bedre sikkerhed generelt og omfattende sikkerhed for yderst sensitiv information Omkostninger omfatter typisk: Udgifter til løsningsdesign Anskaffelse af teknisk system Testning Idriftsættelse af det implementerede system Løbende vedligehold I nogle tilfælde kan den initielle omkostning ved etablering af et system være relativt lille, mens der er højere omkostninger forbundet med den løbende vedligeholdelse. Det er derfor vigtigt at vurdere omkostninger i forhold til nytteværdi over hele levetiden for systemet, herunder også hvad det vil koste at migrere væk fra den givne implementering til et system, som baserer sig på anden teknologi. Understøttelse af åbne standarder, som er indeholdt i OIO - Kataloget over offentlige it-standarder, bør være et vigtigt kriterium i forbindelse med anskaffelse af teknisk system. 16 / 18

17 Det er også vigtigt at vurdere om omkostningerne kan nedbringes ved etablering af en fælles autenticitetssikringsservice imellem flere organisationer eller ved anvendelse af en service fra en kommerciel virksomhed. Fejl i forbindelse med autenticitetssikring kan resultere i væsentlige omkostninger for myndigheder, borgere og private virksomheder. Disse mulige omkostninger bestemmes i forbindelse med risikovurderingen, som beskrevet i afsnit 2, og de bør inddrages i en eventuel costbenefitanalyse for systemet. Andre byrder dækker over a) Omkostninger som andre organisationer, virksomheder eller borgere påtvinges b) Tidsforbrug, der ikke er indeholdt i omkostnings-estimatet, men som er et resultat af uhensigtsmæssigheder i den tekniske system Systemer, som medfører en overdreven mængde af andre byrder, vil måske ikke opnå den forventede anvendelse og dermed heller ikke den estimerede nytteværdi. Hvis det tekniske system til et givent niveau af autenticitetssikring medfører for store omkostninger eller andre byrder, bør systemejeren overveje at anvende et lavere niveau af autenticitetssikring og kompensere via styringskontroller og justeringer i forretningsprocessen til at opnå det samme samlede niveau for sikkerhed. Hvis omkostningerne ikke kan reduceres til et acceptabelt niveau via sådanne afbødende foranstaltninger, kan systemejeren blive nødt til justere sine visioner for systemet. 17 / 18

18 5 Yderligere information Dette fællesoffentlige arbejde i forbindelse med tværgående brugerstyring er beskrevet på Information om nogle af de aktiviteter inden for it-sikkerhed, som Videnskabsministeriet varetager findes på 18 / 18

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1 Tilgængelighed, fortrolighed og integritet. Høj kvalitet i informationssikkerhed og dokumentation Hvilken betydning har principper og anbefalinger i sikkerhedsstandarden ISO 27001 for kvaliteten af dokumentationen?

Læs mere

Risikoanalyse af implikationer for privatlivets fred

Risikoanalyse af implikationer for privatlivets fred Risikoanalyse af implikationer for privatlivets fred Appendiks 5 Håndbog i: Privatlivsimplikationsanalyse IT og Telestyrelsen INDHOLDSFORTEGNELSE Risikovurdering af implikationer for privatlivets fred...

Læs mere

It-sikkerhedspolitik for Københavns Kommune

It-sikkerhedspolitik for Københavns Kommune Københavns Kommune Koncernservice It-sikkerhedspolitik for Københavns Kommune 2015-02-05 It-sikkerhedshåndbog for Københavns Kommune It-sikkerhedspolitik for Københavns Kommune Publiceret: 2014-07-03 Mål

Læs mere

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.

Læs mere

Digital Signatur OCES en fælles offentlig certifikat-standard

Digital Signatur OCES en fælles offentlig certifikat-standard Digital Signatur OCES en fælles offentlig certifikat-standard IT- og Telestyrelsen December 2002 Resumé Ministeriet for Videnskab, Teknologi og Udvikling har udarbejdet en ny fælles offentlig standard

Læs mere

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet Sammenfatning Denne vejledning adresserer risikoen for industrispionage fra statssponserede aktører i udlandet mod

Læs mere

It-sikkerhedstekst ST5

It-sikkerhedstekst ST5 It-sikkerhedstekst ST5 Identificering af en fysisk person med henblik på udstedelse af faktorer til et personligt login Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST5 Version

Læs mere

It-sikkerhedstekst ST4

It-sikkerhedstekst ST4 It-sikkerhedstekst ST4 Datatransmission af personoplysninger på åbne net Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST4 Version 1 Oktober 2014 Datatransmission af personoplysninger

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

Guide til integration med NemLog-in / Signering

Guide til integration med NemLog-in / Signering Guide til integration med NemLog-in / Signering Side 1 af 6 14. november 2013 TG Denne guide indeholder en kort beskrivelse af, hvorledes man som itsystemudbyder (myndighed eller it-leverandør) kan integrere

Læs mere

It-sikkerhedstekst ST6

It-sikkerhedstekst ST6 It-sikkerhedstekst ST6 Registrering af en fysisk person med henblik på udstedelse af faktorer til et personligt login Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST6 Version

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

Sikkerhed i cloud computing

Sikkerhed i cloud computing Sikkerhed i cloud computing Databeskyttelsesdagen 2012 Morten Jørsum Center for Digitalisering Digitaliseringsstyrelsen mjrsm@digst.dk Hvad er cloud computing It som en service: Leveres og betales efter

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

Vejledning i it-risikostyring og -vurdering. Februar 2015

Vejledning i it-risikostyring og -vurdering. Februar 2015 Vejledning i it-risikostyring og -vurdering Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske

Læs mere

Risikostyring ifølge ISO27005 v. Klaus Kongsted

Risikostyring ifølge ISO27005 v. Klaus Kongsted Risikostyring ifølge ISO27005 v. Klaus Kongsted Agenda Dubex A/S Formålet med risikovurderinger Komponenterne Risikovurderinger Dubex A/S fakta og værdier Den førende sikkerhedspartner De bedste specialister

Læs mere

Digital Signatur Sikker brug af digital signatur

Digital Signatur Sikker brug af digital signatur Digital Signatur IT- og Telestyrelsen December 2002 Resumé Myndigheder, der ønsker at indføre digital signatur, må ikke overse de vigtige interne sikkerhedsspørgsmål, som teknologien rejser. Det er vigtigt,

Læs mere

Udvalget for Videnskab og Teknologi (2. samling) UVT alm. del - Svar på Spørgsmål 19 Offentligt

Udvalget for Videnskab og Teknologi (2. samling) UVT alm. del - Svar på Spørgsmål 19 Offentligt Udvalget for Videnskab og Teknologi (2. samling) UVT alm. del - Svar på Spørgsmål 19 Offentligt Ministeren for videnskab, teknologi og udvikling Udvalget for Videnskab og Teknologi Folketinget Christiansborg

Læs mere

Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens:

Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens: DS/ISO 31000 Risikoledelse ISO 31000 - Risikoledelse Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens: overordnede

Læs mere

It-sikkerhedstekst ST7

It-sikkerhedstekst ST7 It-sikkerhedstekst ST7 Overdragelse af faktorer ved udstedelse af et personligt login til en identificeret fysisk Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST7 Version 1 Februar

Læs mere

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør Dagsorden 1. Præsentation 2. Roskilde Universitet 3. Risikostyring - hvorfor? 4. Ledelsesopbakning 5. ISO27001 6. Forretningsorienteret risikostyring 7. It-teknisk sikkerhedsstyring 8. Hvordan bruges risikostyring

Læs mere

Finanstilsynets fortolkning af 11. marts 2013

Finanstilsynets fortolkning af 11. marts 2013 Lov om forebyggende foranstaltninger mod hvidvask af udbytte og finansiering af terrorisme (hvidvaskloven) 12, stk. 1-3, og 19, stk. 2 Anvendelse af NemID som legitimation Finanstilsynets fortolkning af

Læs mere

IT-SIKKERHEDSPOLITIK UDKAST

IT-SIKKERHEDSPOLITIK UDKAST IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens

Læs mere

Sikkerhedsanbefaling. Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded

Sikkerhedsanbefaling. Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded Sikkerhedsanbefaling Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded Juli 2014 Indledning Microsoft har annonceret, at selskabet den 31. december 2016 frigiver den sidste serviceopdatering

Læs mere

Borgernes rettigheder ved anvendelse af video

Borgernes rettigheder ved anvendelse af video Borgernes rettigheder ved anvendelse af video I løbet af de seneste år er anvendelsen af video og tv blevet stadig mere udbredt på de danske veje. Video og tv anvendes i en række sammenhænge: Trafikinformation

Læs mere

It-sikkerhedstekst ST9

It-sikkerhedstekst ST9 It-sikkerhedstekst ST9 Single Sign-On og log-ud Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST9 Version 1 Juli 2015 Single Sign-On og log-ud Betegnelsen Single Sign-On (SSO)

Læs mere

SIKRING AF BORGERNES PERSONOPLYSNINGER ENDELIG RAPPORT

SIKRING AF BORGERNES PERSONOPLYSNINGER ENDELIG RAPPORT SIKRING AF BORGERNES PERSONOPLYSNINGER ENDELIG RAPPORT BORGERRÅDGIVERENS EGEN DRIFT-UNDERSØGELSER INDHOLDSFORTEGNELSE 1. INDLEDNING 3 2. KONKLUSION OG SAMMENFATNING 4 3. KONSEKVENSER 6 4. FORSLAG, HENSTILLINGER

Læs mere

Regionernes politiske linje for informationssikkerhed

Regionernes politiske linje for informationssikkerhed Regionernes politiske linje for informationssikkerhed 1 / SUNDHEDSDATA I TRYGGE HÆNDER / Danske Regioner 2015 Regionernes politiske linje for informationssikkerhed Danske Regioner 2015 Layout: UHI, Danske

Læs mere

Årlig redegørelse fra tilsynsudvalget vedrørende politiets og forsvarets efterretningstjenesters behandling af personoplysninger (Wamberg-udvalget)

Årlig redegørelse fra tilsynsudvalget vedrørende politiets og forsvarets efterretningstjenesters behandling af personoplysninger (Wamberg-udvalget) Oluf Engell Årlig redegørelse fra tilsynsudvalget vedrørende politiets og forsvarets efterretningstjenesters behandling af personoplysninger (Wamberg-udvalget) Partner Tlf 33 34 50 00 oe@bruunhjejle.dk

Læs mere

Torben Waage www.kromannreumert.com/insights. Partner

Torben Waage www.kromannreumert.com/insights. Partner Torben Waage IT-SIKKERHEDEN SKAL OP PÅ LEDELSESNIVEAU Hvert år bliver der brugt milliarder af kroner på at beskytte digitale aktiver, så fortrolige informationer undgår at finde vej til offentligheden.

Læs mere

LÆS VENLIGST VILKÅRENE OMHYGGELIGT, FØR DU BRUGER DENNE HJEMMESIDE.

LÆS VENLIGST VILKÅRENE OMHYGGELIGT, FØR DU BRUGER DENNE HJEMMESIDE. LÆS VENLIGST VILKÅRENE OMHYGGELIGT, FØR DU BRUGER DENNE HJEMMESIDE. BRUGSVILKÅR FOR HJEMMESIDE Disse brugsvilkår angiver sammen med de øvrige retningslinjer, som der heri henvises til vilkårene for brug

Læs mere

> hvidbog. Beskytter du dine kunders og dine egne data godt nok?

> hvidbog. Beskytter du dine kunders og dine egne data godt nok? > hvidbog Beskytter du dine kunders og dine egne data godt nok? HVAD BETYDER DET? DU ER ALDRIG FOR STOR TIL AT BLIVE HACKET ELLER FOR LILLE Går man ti år tilbage var teknologi knyttet tæt sammen med vores

Læs mere

Udgivelsen er beskyttet af Creative Commons license, Navngivning 2.5

Udgivelsen er beskyttet af Creative Commons license, Navngivning 2.5 OIOUBL Guideline OIOUBL Kontakt UBL 2.0 Contact G34 Version 1.2 Udgivelsen er beskyttet af Creative Commons license, Navngivning 2.5 OUOUBL Kontakt Version 1.2 Side 1 Kolofon Kontakt: IT- & Telestyrelsen

Læs mere

Certifikatpolitik for NemLog-in

Certifikatpolitik for NemLog-in Side 1 af 9 7. november 2012 Certifikatpolitik for NemLog-in Version 1.2 Dette dokument beskriver certifikatpolitikken for NemLog-in løsningen. Politikken definerer hvilke typer certifikater, der må anvendes

Læs mere

OVERORDNET IT-SIKKERHEDSPOLITIK

OVERORDNET IT-SIKKERHEDSPOLITIK OVERORDNET IT-SIKKERHEDSPOLITIK Indholdsfortegnelse 1. Indledning....3 2. Formål...3 3. Sikkerhedspolitik...3 4. Dækningsormåde...4 5. Sikkerhedsniveau....4 6. Organisation og ansvar...4 7. Opfølgning...5

Læs mere

Udgivelsen er beskyttet af Creative Commons license, Navngivning 2.5

Udgivelsen er beskyttet af Creative Commons license, Navngivning 2.5 OIOUBL Guideline OIOUBL Udvidelse UBL 2.0 Extension G33 Version 1.2 Udgivelsen er beskyttet af Creative Commons license, Navngivning 2.5 OIOUBL Udvidelse Version 1.2 Side 1 Kolofon Kontakt: IT- & Telestyrelsen

Læs mere

Cloud jura hvilke regler gælder I skyen? DeiC konferencen, 1. oktober 2014 Pia Ullum, Legal Director, CSC Danmark A/S

Cloud jura hvilke regler gælder I skyen? DeiC konferencen, 1. oktober 2014 Pia Ullum, Legal Director, CSC Danmark A/S Cloud jura hvilke regler gælder I skyen? DeiC konferencen, 1. oktober 2014 Pia Ullum, Legal Director, CSC Danmark A/S Customer Managed Hvorfor vælger man som kunde Cloud? Customer Customer No cloud (On-Premise)

Læs mere

It-sikkerhedstekst ST2

It-sikkerhedstekst ST2 It-sikkerhedstekst ST2 Overvejelser om sikring mod, at personoplysninger kommer til uvedkommendes kendskab i forbindelse med Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST2 Version

Læs mere

NemHandel i cloud - sikkerhedsmæssige overvejelser. Helle Schade-Sørensen IT og Telestyrelsen

NemHandel i cloud - sikkerhedsmæssige overvejelser. Helle Schade-Sørensen IT og Telestyrelsen NemHandel i cloud - sikkerhedsmæssige overvejelser Helle Schade-Sørensen IT og Telestyrelsen Agenda Lidt om NemHandel Rationalet for valg af cloud Overvejelser vedr. sikkerhed Løsning og erfaringer indtil

Læs mere

Bekendtgørelse om udbud af online væddemål

Bekendtgørelse om udbud af online væddemål Bekendtgørelse om udbud af online væddemål I medfør af 11, stk. 4, 36, stk. 2, 41, stk. 1, og 60 i lov nr. 848 af 1. juli 2010 om spil fastsættes: Kapitel 1 Anvendelsesområde 1. Bekendtgørelsen finder

Læs mere

Finansrådet og Børsmæglerforeningens bemærkninger til udkast til bekendtgørelse om organisatoriske krav

Finansrådet og Børsmæglerforeningens bemærkninger til udkast til bekendtgørelse om organisatoriske krav Finanstilsynet Mai-Brit Campos Nielsen Finansrådet og Børsmæglerforeningens bemærkninger til udkast til bekendtgørelse om organisatoriske krav Finansrådet og Børsmæglerforeningen har modtaget Finanstilsynets

Læs mere

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer plus revision skat rådgivning TABULEX ISAE 3000 DK ERKLÆRING MARTS 2013 Erklæring fra uafhængig revisor om Tabulex ApS overholdelse af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger

Læs mere

IT-sikkerhedspolitik. for. Gladsaxe Kommune

IT-sikkerhedspolitik. for. Gladsaxe Kommune IT-sikkerhedspolitik for Gladsaxe Kommune INDHOLD 1. IT-sikkerhedspolitik 1.1 Baggrund for IT-sikkerhedspolitikken 2. Begreber og definitioner 3. IT-sikkerhedspolitikken 3.1 Hovedmålsætninger med IT-sikkerhedspolitikken

Læs mere

HØRING OVER UDKAST TIL FORSLAG TIL LOV OM CENTER FOR CYBERSIKKERHED SAMT EVALUERING AF GOVCERT-LOVEN

HØRING OVER UDKAST TIL FORSLAG TIL LOV OM CENTER FOR CYBERSIKKERHED SAMT EVALUERING AF GOVCERT-LOVEN Forsvarsministeriet fmn@fmn.dk pah@fmn.dk hvs@govcert.dk WILDERS PLADS 8K 1403 KØBENHAVN K TELEFON 3269 8888 DIREKTE 3269 8805 RFJ@HUMANRIGHTS.DK MENNESKERET.DK J. NR. 540.10/30403/RFJ/MAF HØRING OVER

Læs mere

Retningslinier for brug af it i Aalborg Kommune, tilrettet til lærerbrug

Retningslinier for brug af it i Aalborg Kommune, tilrettet til lærerbrug Retningslinier for brug af it i Aalborg Kommune, tilrettet til lærerbrug Udviklingen på området gør, at disse retningslinier vil blive revideret løbende Indhold: Indledning...3 Adgang til skolens net...3

Læs mere

IT-sikkerhedspolitik for

IT-sikkerhedspolitik for Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs

Læs mere

IT Sikkerhedspolitik. for. Tønder kommune

IT Sikkerhedspolitik. for. Tønder kommune Udkast IT Sikkerhedspolitik for Tønder kommune Side 1 af 13 Indhold Version.... 3 Indledning... 4 Formålet med IT Sikkerhedspolitikken.... 4 Hvem er omfattet af IT Sikkerhedspolitikken.... 5 Ansvar og

Læs mere

DE BEAR TECHNOLOGY. o Processer, metoder & værktøjer. e-mail: info@dbtechnology.dk WWW.DBTECHNOLOGY.DK

DE BEAR TECHNOLOGY. o Processer, metoder & værktøjer. e-mail: info@dbtechnology.dk WWW.DBTECHNOLOGY.DK Mission Critical o Projekt Information management o Processer, metoder & værktøjer. Side 1 of 11 Projekt information Projekt information management inkluderer alle de processer, som er nødvendige for at

Læs mere

IT sikkerhedspolitik. for. Fredericia Kommune

IT sikkerhedspolitik. for. Fredericia Kommune IT sikkerhedspolitik for Fredericia Kommune Side 1 af 17 Versionsstyring Versionsnummer Dato for version Ændring Årsag Ansvar 1.00 01.06.2013 Ny politik godkendt i byrådet PerToftdahl Side 2 af 17 Versionsstyring...

Læs mere

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) 1 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-951-4 0.05.12

Læs mere

Informationssikkerhedspolitik for Vejen Kommune

Informationssikkerhedspolitik for Vejen Kommune Informationssikkerhedspolitik for Vejen Kommune Denne politik er godkendt af byrådet d. xx. Og træder i kraft d. xx. Seneste version er tilgængelig på intranettet. Indledning Vejen Byråd fastlægger med

Læs mere

Gemmer I på skjulte data i Office-filer? Vejledning om risici ved skjulte data i Office-filer

Gemmer I på skjulte data i Office-filer? Vejledning om risici ved skjulte data i Office-filer > Gemmer I på skjulte data i Office-filer? Vejledning om risici ved skjulte data i Office-filer Publikationen kan hentes på It- & Telestyrelsens Hjemmeside: http://www.itst.dk Udgivet af: IT- & Telestyrelsen

Læs mere

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser INDHOLDSFORTEGNELSE 1. Baggrund og formål... 2 2. Ansvarsfordeling... 2 2.1 Jobcenterchefens ansvar... 2 2.2 Gensidig informationspligt... 3 3. Krav til

Læs mere

Sikkerhedsanbefaling. It-sikkerhed på rejsen

Sikkerhedsanbefaling. It-sikkerhed på rejsen Sikkerhedsanbefaling It-sikkerhed på rejsen Juni 2015 2 It-sikkerhed på rejsen En sikkerhedsanbefaling fra Center for Cybersikkerhed 3 4 Om sikkerhedsanbefalingen Denne sikkerhedsanbefaling fra Center

Læs mere

Sikkerhedsanbefaling. It-sikkerhed på rejsen

Sikkerhedsanbefaling. It-sikkerhed på rejsen Sikkerhedsanbefaling It-sikkerhed på rejsen Juni 2015 It-sikkerhed på rejsen En sikkerhedsanbefaling fra Center for Cybersikkerhed 2 Om sikkerhedsanbefalingen Denne sikkerhedsanbefaling fra Center for

Læs mere

Kommissorium for Revisionsudvalget Danske Bank A/S CVR-nr. 61 12 62 28

Kommissorium for Revisionsudvalget Danske Bank A/S CVR-nr. 61 12 62 28 Kommissorium for Revisionsudvalget Danske Bank A/S CVR-nr. 61 12 62 28 1 Anvendelsesområde og formål 1.1 I dette kommissorium fastsættes Danske Banks Revisionsudvalgs opgaver og beføjelser. 1.2 Revisionsudvalget

Læs mere

NOTAT. definitionen af sikkerhedshændelse i lovforslaget om Center for Cybersikkerhed (L 192)

NOTAT. definitionen af sikkerhedshændelse i lovforslaget om Center for Cybersikkerhed (L 192) Forsvarsudvalget 2013-14 L 192 Bilag 6 Offentligt NOTAT 30. maj 2014 om definitionen af sikkerhedshændelse i lovforslaget om Center for Cybersikkerhed (L 192) 1. Begrebet sikkerhedshændelse er et centralt

Læs mere

Datatilsynet er den centrale uafhængige myndighed, der fører tilsyn med, at reglerne i persondataloven overholdes. Kort om Datatilsynet.

Datatilsynet er den centrale uafhængige myndighed, der fører tilsyn med, at reglerne i persondataloven overholdes. Kort om Datatilsynet. Cloud og persondataloven Forskningsnetkonferencen 2011 Klarskovgaard Datatilsynet er den centrale uafhængige myndighed, der fører tilsyn med, at reglerne i persondataloven overholdes. Sten Hansen IT-chef

Læs mere

Standardaftale om delegering af brugerrettigheder mellem lokale identitetsudbydere og serviceudbydere ved anvendelse af SAML-billetter

Standardaftale om delegering af brugerrettigheder mellem lokale identitetsudbydere og serviceudbydere ved anvendelse af SAML-billetter Standardaftale om delegering af brugerrettigheder mellem lokale identitetsudbydere og serviceudbydere ved anvendelse af SAML-billetter Økonomistyrelsen Marts 2011 Side 1 af 16 Oversigt over dokumentet...3

Læs mere

It-sikkerhed i Dansk Supermarked

It-sikkerhed i Dansk Supermarked It-sikkerhed i Dansk en kort introduktion It-sikkerhed i Dansk 1 Velkommen som it-bruger i Dansk Kære medarbejder Brug af it er for mange i Dansk en naturlig del af arbejdsdagen. Hvis vi skal sikre vores

Læs mere

WHOIS-politik for.eu-domænenavne

WHOIS-politik for.eu-domænenavne WHOIS-politik for.eu-domænenavne 1/7 DEFINITIONER Termer, der er defineret i Vilkårene og/eller.eu-konfliktløsningsreglerne, skrives med stort begyndelsesbogstav heri. 1. POLITIK TIL BESKYTTELSE AF PRIVATLIVETS

Læs mere

IT-SIKKERHED SET FRA LEVERANDØRENS SIDE

IT-SIKKERHED SET FRA LEVERANDØRENS SIDE SLIDE 1 DATABESKYTTELSESDAGEN IT-SIKKERHED SET FRA LEVERANDØRENS SIDE v/ Koncernsikkerhedschef Rasmus Theede Offentlig AGENDA FRIDAY, 31 JANUARY 2014 SLIDE 2 Sikkerhed set fra kundens side, og leverandørens

Læs mere

Udgivelsen er beskyttet af Creative Commons license, Navngivning 2.5

Udgivelsen er beskyttet af Creative Commons license, Navngivning 2.5 OIOUBL Guideline OIOUBL UUID UBL 2.0 UUID G32 Version 1.1 Udgivelsen er beskyttet af Creative Commons license, Navngivning 2.5 OIOUBL UUID Version 1.1 Side 1 Kolofon Kontakt: IT- & Telestyrelsen E-mail:

Læs mere

Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S. Sendt til: mt@etikportalen.dk

Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S. Sendt til: mt@etikportalen.dk Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S Sendt til: mt@etikportalen.dk 14. marts 2013 Vedrørende behandling af personoplysninger hos Etik Portalerne ApS Datatilsynet Borgergade 28,

Læs mere

Guide til awareness om informationssikkerhed. Marts 2013

Guide til awareness om informationssikkerhed. Marts 2013 Guide til awareness om informationssikkerhed Marts 2013 Udgivet marts 2013 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske til:

Læs mere

ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015

ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015 ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015 Udfordringer mht. persondata eksempler For mange brugere har adgang til

Læs mere

Guide til kravspecifikation

Guide til kravspecifikation Side 1 af 10 10. november 2008 Guide til kravspecifikation Version 1.0. Denne guide indeholder en række råd til brug i kravspecifikationer for IT systemer, der skal anvende NemLog-in løsningen. Hensigten

Læs mere

POLITIK FOR DATABESKYTTELSE

POLITIK FOR DATABESKYTTELSE POLITIK FOR DATABESKYTTELSE Disse retningslinjer for databeskyttelse beskriver, hvordan vi bruger og beskytter oplysninger, som du afgiver i forbindelse med brug af vores hjemmeside. Vi har forpligtet

Læs mere

BESTEMMELSER FOR SALG MOD BETALING MED KONTOKORT DISTANCEHANDEL (Card Not Present) (Juli 2010)

BESTEMMELSER FOR SALG MOD BETALING MED KONTOKORT DISTANCEHANDEL (Card Not Present) (Juli 2010) BESTEMMELSER FOR SALG MOD BETALING MED KONTOKORT DISTANCEHANDEL (Card Not Present) (Juli 2010) Disse bestemmelser Bestemmelser om Distancehandel, gælder for salg mod betaling med Kontokort ved Distancehandel.

Læs mere

Guide til integration med NemLog-in / Brugeradministration

Guide til integration med NemLog-in / Brugeradministration Guide til integration med NemLog-in / Brugeradministration Side 1 af 9 21. januar 2013 TG Denne guide indeholder en kort beskrivelse af, hvorledes man som itsystemudbyder (myndighed eller it-leverandør)

Læs mere

fortrolighed: omfatter en sikring af, at information kun er tilgængelig for personer, som er berettigede

fortrolighed: omfatter en sikring af, at information kun er tilgængelig for personer, som er berettigede Tillæg 3 1 1 IT-sikkerhedspolitik for Ballerup Kommune 1.1 Baggrund for IT-sikkerhedspolitikken Ballerup Kommune anvender på flere områder og i større omfang IT for at leve op til de krav, som borgere,

Læs mere

Fordelingen af kommunale gevinster i business casen for initiativet Genbrug af adressedata

Fordelingen af kommunale gevinster i business casen for initiativet Genbrug af adressedata NOTAT MINISTERIET FOR BY, BOLIG OG LANDDISTRIKTER Fordelingen af kommunale gevinster i business casen for initiativet Genbrug af adressedata 18. juli 2012 Sag: /mli-mbbl Baggrund Initiativet Genbrug af

Læs mere

SOSI Gateway Komponenten (SOSI GW)

SOSI Gateway Komponenten (SOSI GW) SOSI Gateway Komponenten (SOSI GW) - en security domain gateway Version 1.2 1/8 Indledning Region Syddanmark er udvalgt som pilotregion for projektet Det Fælles Medicingrundlag, og i den forbindelse arbejdes

Læs mere

1. Introduktion. 3. Beskrivelse af stress og arbejdsrelateret stress

1. Introduktion. 3. Beskrivelse af stress og arbejdsrelateret stress (cover:) Social dialog Arbejdsrelateret stress Rammeaftale vedrørende arbejdsrelateret stress 1. Introduktion Arbejdsrelateret stress er på såvel internationalt, europæisk og nationalt plan blevet identificeret

Læs mere

Konsekvensanalyse/Data Protection Impact Assessment (DIA)

Konsekvensanalyse/Data Protection Impact Assessment (DIA) /Data Protection Impact Assessment (DIA) Nye instrumenter i persondataretten Janne Glæsel (Gorrissen Federspiel) Max Sørensen () Oversigt 01 Kort om konsekvensanalyse/data Protection Impact Assessment

Læs mere

IT- og Telestyrelsen 21. august 2007 Sagsnr. 032071-2007

IT- og Telestyrelsen 21. august 2007 Sagsnr. 032071-2007 IT- og Telestyrelsen 21. august 2007 Sagsnr. 032071-2007 Holsteinsgade 63 2100 København Ø Att. Palle Aagaard FESD Grænseflade til CMS-løsninger, høringssvar fra Gentofte Kommune Gentofte Kommune har med

Læs mere

QUARTERLY ANALYTICS 3 2014. Hentet af admin - September 15, 2014. contract management. del 2

QUARTERLY ANALYTICS 3 2014. Hentet af admin - September 15, 2014. contract management. del 2 6 QUARTERLY ANALYTICS 3 2014 contract management del 2 QUARTERLY ANALYTICS 3 2014 7 Er du helt sikker på, at du har Contract Management? Del 2: Forankring og overblik Contract Management kan være et centralt

Læs mere

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014 Aarhus Kommune IT-sikkerhedspolitik Politik 25-04-2014 Indholdsfortegnelse Politik 1 Indledning 1 Formål 1 Politikkens omfang 2 Ledelsesansvar 2 IT-sikkerhedsorganisationen 2 IT-sikkerhedsniveau 3 IT-sikkerhedshåndbogen

Læs mere

Vejledning - Udarbejdelse af gevinstdiagram

Vejledning - Udarbejdelse af gevinstdiagram Vejledning - Udarbejdelse af gevinstdiagram Januar 2014 INDHOLD 1. INDLEDNING... 1 1.1 FORMÅL... 1 1.2 VEJLEDNINGENS SAMMENHÆNG MED DEN FÆLLESSTATSLIGE IT-PROJEKTMODEL... 1 1.3 GEVINSTDIAGRAMMET... 2 1.4

Læs mere

BESKYT DIN VIRKSOMHED. Tænk sikkerheden med

BESKYT DIN VIRKSOMHED. Tænk sikkerheden med BESKYT DIN VIRKSOMHED Tænk sikkerheden med 1 Kan din virksomhed klare en krise? Hvordan håndterer du tyveri af værdifuld viden og know-how? Har du styr på, om din virksomheds produkter kopieres eller misbruges

Læs mere

Kravspecification IdP løsning

Kravspecification IdP løsning Kravspecification IdP løsning Resume IT-Forsyningen, som varetager IT-drift for Ballerup, Egedal og Furesø Kommuner, ønsker at anskaffe en IdP/Føderationsserverløsning, der kan understøtte en række forretningsmæssige

Læs mere

ARTIKEL 29-GRUPPEN VEDRØRENDE DATABESKYTTELSE. Udtalelse nr. 02/2012 om ansigtsgenkendelse i online- og mobiltjenester

ARTIKEL 29-GRUPPEN VEDRØRENDE DATABESKYTTELSE. Udtalelse nr. 02/2012 om ansigtsgenkendelse i online- og mobiltjenester ARTIKEL 29-GRUPPEN VEDRØRENDE DATABESKYTTELSE 00727/12/DA WP 192 Udtalelse nr. 02/2012 om ansigtsgenkendelse i online- og mobiltjenester Vedtaget den 22. marts 2012 Gruppen er nedsat ved artikel 29 i direktiv

Læs mere

Fremtidens forskning og forskningsbiblioteket Resumé

Fremtidens forskning og forskningsbiblioteket Resumé Fremtidens forskning og forskningsbiblioteket Resumé Danmarks Elektroniske Fag- og Forskningsbibliotek Fremtidens forskning og forskningsbiblioteket Resumé Massive teknologiske forandringer inden for forskning,

Læs mere

Tv-overvågning (TVO) Kravspecifikation

Tv-overvågning (TVO) Kravspecifikation Tv-overvågning (TVO) Kravspecifikation Certificering af TVO-installatørvirksomheder Indholdsfortegnelse 10 Forord side 2 20 Krav til certificeringsorganet side 2 30 Certificeringens gyldighedsområde side

Læs mere

1 Hvad skal man gøre, når man er blevet hacket - eller har mistanke om, at man er hacket?

1 Hvad skal man gøre, når man er blevet hacket - eller har mistanke om, at man er hacket? 1 Hvad skal man gøre, når man er blevet hacket - eller har mistanke om, at man er hacket? En forudsætning i denne situation er, at der eksisterer kapacitet til at erkende og dokumentere, hvorvidt man er

Læs mere

Ledelsesforankret informationssikkerhed. med ISO/IEC 27001

Ledelsesforankret informationssikkerhed. med ISO/IEC 27001 Ledelsesforankret informationssikkerhed med ISO/IEC 27001 02 Indhold > Forord... 03 INTRODUKTION ISO/IEC 27001... 05 Ansvar og opgaver... 07 Standardens indhold... 09 PROCESSEN Procesmodellen... 13 Afstem

Læs mere

Strategi for arkivering af digitalt skabte arkivalier

Strategi for arkivering af digitalt skabte arkivalier Strategi for arkivering af digitalt skabte arkivalier Dette dokument beskriver Rigsarkivets strategi for modtagelse og bevaring af digitalt skabte arkivalier. Ved digitalt skabte arkivalier forstås upubliceret

Læs mere

Henkel Norden AB ("Henkel") er en del af Henkel Corporation, og i henhold til DPA, er Jörg Heine, den dataansvarlige: schwarzkopf.dk@henkel.

Henkel Norden AB (Henkel) er en del af Henkel Corporation, og i henhold til DPA, er Jörg Heine, den dataansvarlige: schwarzkopf.dk@henkel. HENKEL FORTROLIGHEDSPOLITIK Vi, hos Henkel, tager vores forpligtelser i henhold til dansk lov om databeskyttelse (persondataloven) alvorligt og er forpligtet til at beskytte dit privatliv. Denne fortrolighedserklæring

Læs mere

Arbejdsmiljøguide for Odder Kommune

Arbejdsmiljøguide for Odder Kommune Arbejdsmiljøguide for Odder Kommune 1. Politikker Logpolitik Dok. Nr. 1.12 Version: 1 Niveau: 2 Dato 050508 Side 1 af 9 Logpolitik Formål At fastlægge og beskrive ansvar, pligter og konsekvenser når medarbejdere

Læs mere

SOSIGW. - Driftsvejledning for SOSIGW 1.0. Indeks

SOSIGW. - Driftsvejledning for SOSIGW 1.0. Indeks SOSIGW - Driftsvejledning for SOSIGW 1.0 Indeks Indeks... 1 Revisionshistorik... 2 Introduktion... 2 Kontrol af korrekt driftstilstand... 2 Ændring af statisk konfiguration... 2 Logfil... 2 Backup... 3

Læs mere

Cloud jura hvilke regler gælder I skyen? IT Driftskonferencen, 29. januar 2014

Cloud jura hvilke regler gælder I skyen? IT Driftskonferencen, 29. januar 2014 Cloud jura hvilke regler gælder I skyen? IT Driftskonferencen, 29. januar 2014 Hvorfor vælger vi Cloud? No cloud (On-Premise) Infrastructure (as a Service) Platform (as a Service) Software (as a Service)

Læs mere

Vejledning - Udarbejdelse af gevinstdiagram

Vejledning - Udarbejdelse af gevinstdiagram Vejledning - Udarbejdelse af gevinstdiagram Maj 2015 INDHOLD 1. INDLEDNING... 1 1.1 FORMÅL... 1 1.2 VEJLEDNINGENS SAMMENHÆNG MED DEN FÆLLESSTATSLIGE IT-PROJEKTMODEL... 1 1.3 GEVINSTDIAGRAMMET... 2 1.4

Læs mere

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015 Databeskyttelse: Afrunding Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015 Der er to typer virksomheder Der er to typer virksomheder: Dem, der ved at de er blevet hacket og dem der ikke ved at

Læs mere

8 PRINCIPPER FOR GOD NET-ADFÆRD FOR PRIVATPERSONER

8 PRINCIPPER FOR GOD NET-ADFÆRD FOR PRIVATPERSONER 8 PRINCIPPER FOR GOD NET-ADFÆRD FOR PRIVATPERSONER 8 PRINCIPPER FOR GOD NET-ADFÆRD FOR PRIVATPERSONER 1 BESKYT DIN COMPUTER OG ANDRE ENHEDER 2 BESKYT DINE PERSONLIGE OPLYSNINGER 3 BESKYT DINE ELEKTRONISKE

Læs mere

Sikkerhedsmodeller for Pervasive Computing

Sikkerhedsmodeller for Pervasive Computing Sikkerhedsmodeller for Pervasive Computing Christian Damsgaard Jensen Safe & Secure IT-Systems Research Group Informatik & Matematisk Modellering Danmarks Tekniske Universitet Email: Christian.Jensen@imm.dtu.dk

Læs mere

Plus500CY Ltd. Inhabilitetspolitikerklæring

Plus500CY Ltd. Inhabilitetspolitikerklæring Plus500CY Ltd. Inhabilitetspolitikerklæring Resume af inhabilitetspolitikerklæringen 1. Introduktion 1.1. Denne inhabilitetspolitikerklæring konturer hvordan Plus500CY Ltd. ("Plus500" eller "Firmaet")

Læs mere

Udgivelsen er beskyttet af Creative Commons license, Navngivning 2.5

Udgivelsen er beskyttet af Creative Commons license, Navngivning 2.5 OIOUBL Guideline OIOUBL Valutakurser og -koder UBL 2.0 Currency Exchange Rates G18 Version 1.2 Udgivelsen er beskyttet af Creative Commons license, Navngivning 2.5 OIOUBL Valutakurser og -koder Version

Læs mere

Når du udstiller dine data

Når du udstiller dine data Når du udstiller dine data Juridisk vejledning i at sætte Offentlige Data I Spil Version 1.0, november 2010 > Når du udstiller dine data Juridisk vejledning i at sætte Offentlige Data I Spil Udgivet af:

Læs mere

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven).

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven). Bilag 6 Databehandleraftale og databehandlerinstruks 1. Leverandøren overholder de til enhver tid gældende regler og forskrifter for behandling af personoplysninger under Kontrakten, herunder: lov nr.

Læs mere