Frederiksberg Kommunes It-sikkerhedsregler (inspireret af ISO 27001)
|
|
- Anna Maria Karlsen
- 7 år siden
- Visninger:
Transkript
1 Frederiksberg Kommunes It-sikkerhedsregler (inspireret af ISO 27001) Oversigt 1. Informationssikkerhedspolitikker 1.1 Retningslinjer for styring af informationssikkerhed Politikker for informationssikkerhed Gennemgang af politikker for informationssikkerhed 2. Organisering af informationssikkerhed 2.1 Intern organisering Funktionsadskillelse Kontakt med myndigheder Kontakt med særlige interessegrupper Informationssikkerhed ved projektstyring 2.2 Mobilt udstyr og fjernarbejdspladser Mobilt udstyr Fjernarbejdspladser 3. Personalesikkerhed 3.1 Før ansættelsen Ansættelsesvilkår og betingelser 3.2 Under ansættelsen Ledelsesansvar Bevidsthed om uddannelse og træning i informationssikkerhed 3.3 Ansættelsesforholdets ophør eller ændring Ansættelsesforholdets ophør eller ændring 4. Styring af aktiver (It-systemer og andre informationsbærende kilder) 4.1 Ansvar for aktiver Fortegnelse over aktiver Ejerskab af aktiver Tilbagelevering af aktiver 4.2 Klassifikation af information Klassifikation af information 4.3 Mediehåndtering Styring af bærbare medier Bortskaffelse af medier 5. Adgangsstyring 5.1 Forretningsmæssige krav til adgangsstyring Politik for adgangsstyring Adgang til netværk og netværkstjenester 5.2 Administration af brugeradgang Brugerregistrering og afmelding Tildeling af brugeradgang Styring af privilegerede adgangsrettigheder Styring af hemmelig autentifikationsinformation om brugere 1
2 5.2.5 Gennemgang af brugeradgangsrettigheder Inddragelse eller justering af adgangsrettigheder 5.3 Brugernes ansvar Brug af hemmelig autentifikationsinformation 5.4 Styring af system- og applikationsadgange Brug af privilegerede systemprogrammer 6. Fysisk sikring og miljøsikring 6.1 Sikre områder Fysisk perimetersikring Fysisk adgangskontrol Beskyttelse mod eksterne og miljømæssige trusler Arbejde i sikre områder 6.2 Udstyr Placering og beskyttelse af udstyr Understøttende forsyninger (forsyningssikkerhed) Sikring af kabler Vedligeholdelse af udstyr Sikring af udstyr og aktiver uden for organisationen Sikker bortskaffelse eller genbrug af udstyr Brugerudstyr uden opsyn 7. Driftsikkerhed 7.1 Driftsprocedurer og ansvarsområder Dokumenterede driftsprocedurer Ændringsstyring Kapacitetsstyring Adskillelse af udviklings-, test- og driftsmiljøer 7.2 Beskyttelse mod malware (Skadevoldende programmer og kode) Kontroller mod malware 7.3 Backup backup af information 7.4 Logning og overvågning Hændelseslogning Beskyttelse af log-oplysninger Administrator og operatørlog Tidssynkronisering 7.5 Styring af driftssoftware Softwareinstallation på drift systemer 7.6 Sårbarhedsstyring Styring af tekniske sårbarheder Begrænsninger på softwareinstallation 7.7 Overvejelser i forbindelse med revision af informationssystemer Kontroller i forbindelse med revision af informationssystemer 8. Kommunikationssikkerhed 2
3 8.1 Styring af netværkssikkerhed Netværksstyring Opdeling af netværk 8.2 Informationsoverførsel Politikker og procedurer for informationsoverførsel Aftaler om informationsoverførsel Elektroniske meddelelser Fortroligheds og hemmeligholdelsesaftaler 9. Anskaffelse, udvikling og vedligeholdelse af systemer 9.1 Sikkerhedskrav til informationssystemer Analyse og specifikation af informationssikkerhedskrav Sikring af applikationstjenester på offentlige netværk 9.2 Sikkerhed i udviklings- og hjælpeprocesser Sikker udviklingspolitik Principper for udvikling af sikre systemer 9.3 Testdata Sikring af testdata 10. Leverandørforhold 10.1 Informationssikkerhed i leverandørforhold Informationssikkerhedspolitik for leverandørforhold Håndtering af sikkerhed i leverandøraftaler 10.2 Styring af leverandørydelser Overvågning og gennemgang af leverandørydelser Styring af ændringer af leverandørydelser 11. Styring af informationssikkerhedsbrud 11.1 Styring af informationssikkerhedsbrud og forbedringer Ansvar og procedurer Rapportering af informationssikkerhedshændelser Rapportering af informationssikkerhedssvagheder Erfaring fra informationssikkerhedsbrud 12. Informationssikkerhedsaspekter ved nød, beredskabs- og reetableringsstyring 12.1 Informationssikkerhedskontinuitet Planlægning af informationssikkerhedskontinuitet Implementering af informationssikkerhedskontinuitet Verificer, gennemgå og evaluer informationssikkerhedskontinuiteten 13. Overensstemmelse (Compliance) 13.1 Overensstemmelse med lov - og kontraktkrav Identifikation af gældende lovgivning og kontraktkrav Privatlivets fred og beskyttelse af personoplysninger 13.2 Gennemgang af informationssikkerhed Uafhængig gennemgang af informationssikkerhed Overensstemmelse med sikkerhedspolitikker og sikkerhedsstandarder Undersøgelse af teknisk overensstemmelse 3
4 Regler 1. Informationssikkerhedspolitikker 1.1 Retningslinjer for styring af informationssikkerhed Politikker for informationssikkerhed Direktionen er ansvarlig for at godkende Frederiksberg Kommunes informationssikkerhedspolitik og It-sikkerhedsregler en gang årligt. It-sikkerhedskoordinatoren sikrer at kommunens informationssikkerhedspolitik og It-sikkerhedsregler kommunikeres ud til alle medarbejdere via intranettet. It-sikkerhedskoordinatoren sikrer at informationssikkerhedspolitikken og It-sikkerhedsreglerne er kommunikeret til samarbejdspartnere samt øvrige personer, der er involveret i anvendelsen af data og informationer i Frederiksberg kommune. Al information i elektronisk form som er væsentlig for kommunens varetagelse af opgaver, skal lagres i kommunens centrale it-systemer Gennemgang af politikker for informationssikkerhed It-sikkerhedskoordinatoren er ansvarlig for at informere direktionen om ændringer, der gør den gældende informationssikkerhedspolitik utilstrækkelig. It-sikkerhedskoordinatoren er ansvarlig for at revidere kommunens informationssikkerhedspolitik og It-sikkerhedsregler en gang årligt og sende dem til høring i organisationen. 2. Organisering af informationssikkerhed 2.1 Intern organisering Funktionsadskillelse Arbejdsgange i it-driften skal ved funktionsadskillelse tilrettelægges så risikoen for bevidst eller ubevidst misbrug af privilegier til it-systemer minimeres Såfremt det ikke er muligt at indføre funktionsadskillelse i praksis, skal der etableres kompenserende kontrolforanstaltninger Kontakt med myndigheder It-sikkerhedskoordinatoren er ansvarlig for kontakt til offentlige myndigheder vedrørende emner inden for informationssikkerhed Kontakt med særlige interessegrupper (Bruger grupper, tværkommunale erfa grupper o.a.) It-sikkerhedskoordinatoren er ansvarlig for at der fra kommunens side opretholdes kontakt til interessegrupper eller fora inden for informationssikkerheds området Informationssikkerhed ved projektstyring Projektleder skal sikre, at informationssikkerhed bliver en indarbejdet del af alle projekter igennem samarbejde med it-sikkerhedskoordinatoren. 2.2 Mobilt udstyr og fjernarbejdspladser Mobilt udstyr Fortrolig information herunder fortrolige personoplysninger, må ikke lagres lokalt på bærbare pc'er, mobiltelefoner/smartphones, tablets og andet mobil it-udstyr. Ved særlige behov er det tilladt at lagre fortrolig information på mobilt it-udstyr, såfremt informationerne beskyttes med en krypteringsløsning, som er godkendt af It-afdelingen Fjernarbejdspladser Privat it-udstyr må ikke anvendes til løsning af arbejdsopgaver, hvor der indgår fortrolig information herunder personoplysninger. 3. Personalesikkerhed 3.1 Før ansættelsen Ansættelsesvilkår og betingelser 4
5 It-sikkerhedskoordinatoren sikrer at der ved ansættelsen er forpligtigelse til gennemlæsning og accept af medarbejderens ansvar i relation til informationssikkerhed i kommunen. Medarbejderen kvitterer ved ansættelsen for at have læst og forstået kommunens Informationssikkerhedspolitik og It-sikkerhedsreglerne. 3.2 Under ansættelsen Ledelsesansvar Direktion og afdelingschefer samt øvrige ledere sikrer, at medarbejderne vedvarende informeres og motiveres til at være opmærksomme på og overholde kommunens informationssikkerhedspolitik, sikkerhedstiltag og procedurer Bevidsthed om uddannelse og træning i informationssikkerhed Medarbejdere skal ved ansættelsen henvises til relevant informationsmateriale om sikkerhed på InSite, eksterne samarbejdspartnere skal have udleveret relevant materiale som politik og itsikkerhedsregler. It-sikkerhedskoordinatoren er ansvarlig for at medarbejderne vedvarende uddannes i og informeres om kommunens informationssikkerhedspolitik, sikkerhedstiltag og procedurer. 3.3 Ansættelsesforholdets ophør eller ændring Ansættelsesforholdets ophør eller ændring Ved fratrædelse skal medarbejdere orienteres om, ansvar efter ansættelsens ophør, herunder tavshedspligt og andre forpligtelser. (Se også 4.1.3) Afdelingscheferne er ansvarlige for at informere it-afdelingen, når ansatte eller eksternt personale tilknyttet kommunen fratræder. 4. Styring af aktiver (It-systemer og andre informationsbærende kilder) 4.1 Ansvar for aktiver Fortegnelse over aktiver It-afdelingen sørger for, at der føres en ajourført oversigt over alle anvendte it-systemer og informationsbærende kilder Ejerskab af aktiver Der skal udpeges en systemejer i organisationen for hvert aktiv i form af alle it-systemer og informationsbærende kilder. It-afdelingen sørger for, at der føres en ajourført oversigt over systemejerskabet for alle væsentlige anvendte it-systemer og informationsbærende kilder Tilbagelevering af aktiver Ved fratrædelse skal medarbejdere tilbagelevere alt udleveret it-udstyr, som tilhører kommunen, herunder pc er, mobiltelefoner med videre. (Se også 3.3.1) Hvert område fastlægger en procedure for returnering af udleveret informationsudstyr til afdelingen i forbindelse med fratrædelse af ansat, eller anden form for personale tilknyttet kommunen. 4.2 Klassifikation af information Klassifikation af information It-sikkerhedskoordinatoren fastlægger en procedure rettet mod medarbejderne, for klassificering af data og informationer i henhold til fortrolighed, personfølsomhed, personoplysninger og almindelige data. 4.3 Mediehåndtering Styring af bærbare medier Flytbare lagrings medier, som for eksempel USB-nøgle, cd, dvd og lignende, må ikke anvendes til lagring af fortrolige informationer, med mindre der anvendes en krypterings løsning, som er godkendt af It-afdelingen og It-sikkerhedskoordinatoren. Datamedier, samt papir, som indeholder fortrolig information, skal opbevares aflåst i perioder, hvor informationen ikke anvendes. 5
6 4.3.2 Bortskaffelse af medier Kasserede datamedier (harddiske, cd-medier, flash-hukommelse, mv.) skal slettes eller destrueres i henhold til It-afdelingens procedurer for sletning og kassation af datamedier. Kasseret papir med fortrolige oplysninger eller information, som kan misbruges, skal opbevares i beskyttede beholdere og skal bortskaffes ved makulering. 5. Adgangsstyring 5.1 Forretningsmæssige krav til adgangsstyring Politik for adgangsstyring Politik for adgangsstyring skal fastlægges, dokumenteres og gennemgås på grundlag af forretnings og Informationssikkerhedskrav. Der fastlægges en procedure rettet mod afdelingschefer og bemyndigede for tildeling af adgangsrettigheder Adgang til netværk og netværkstjenester Brugerne skal kun have adgang til de netværk og netværkstjenester, som de specifikt er autoriseret til at bruge. 5.2 Administration af brugeradgang Brugerregistrering og afmelding Enhver form for brugeradgang til it-systemer skal ske via personlige og individuelle bruger-id. Brugeridentiteten bruges til at spore medarbejdernes aktiviteter på de enkelte systemer. Brugeren er ansvarlig for aktiviteter, udført under brugerens brugeridentitet. Fælles brugerkonti må ikke anvendes til it-systemer. It-sikkerhedskoordinatoren kan kun give dispensation til brug af fælles brugerkonti i meget sjældne tilfælde, hvor behovet kan dokumenteres. Fælles brugerkonti må under ingen omstændigheder benyttes i forbindelse med adgang til itsystemer, hvor der er adgang til fortrolige personoplysninger Tildeling af brugeradgang Tildeling, ændring og nedlæggelse af brugerautorisationer til it-systemer skal ske via kommunens formelle procedure for brugerstyring. Undtagelser fra anvendelsen af den formelle procedure i forbindelse med brugerautorisationer må udelukkende ske i samråd med it-sikkerhedskoordinatoren. Ændringer skal dokumenteres Styring af privilegerede adgangsrettigheder Udvidede adgangsrettigheder (administratorrettigheder) til systemer, skal begrænses til personer med arbejdsbetingede behov. Udvidede adgangsrettigheder skal være knyttet til særlige individuelle bruger-id. Anvendelsen af rettighederne skal begrænses til opgaver og områder, hvor det er teknisk påkrævet Styring af hemmelig autentifikationsinformation om brugere Leverandørers standard-adgangskoder til indkøbt it-udstyr/systemer skal ændres til fortrolige adgangskoder før idriftsættelse af udstyret/systemet. Alle adgangskoder er fortrolige og må ikke kunne ses i klartekst ved log on på udstyret/systemet Gennemgang af brugeradgangsrettigheder Der skal mindst en gang årligt foretages opfølgning på brugerautorisationer, som giver adgang til fortrolige personoplysninger i it-systemer. Opfølgninger på brugerautorisationer skal dokumenteres. Lederen af afdelingen er ansvarlig for at sikre, at opfølgningerne udføres. Der skal mindst en gang årligt foretages opfølgning på udvidede adgangsrettigheder (administratoradgang) til it-systemer. Opfølgningen skal dokumenteres. 6
7 5.2.6 Inddragelse eller justering af adgangsrettigheder Ved ændringer i arbejdsopgaver og organisatoriske tilknytning skal der ske opfølgning og korrekt tilpasning af den enkelte medarbejders brugerautorisationer. Den enkelte medarbejderens adgangsrettigheder til kommunens it-systemer og fysiske lokaliteter skal inddrages fra det tidspunkt medarbejderen fratræder sin stilling. I tilfælde af bortvisning/afskedigelse/fritstilling af en medarbejder skal alle medarbejderens adgangsrettigheder til it-systemer og fysiske lokaliteter inddrages omgående. 5.3 Brugernes ansvar Brug af hemmelig autentifikationsinformation Personlige adgangskoder skal som minimum bestå af 8 karakterer og indeholde både store og små bogstaver samt tegn eller tal, de skal udskiftes mindst hver 3. måned, og de må ikke genbruges. Adgangskoder til brugerkonti med administrator rettigheder skal som minimum være 10 karakterer lange og indeholde både store og små bogstaver samt tegn eller tal, de skal udskiftes mindst hver 3. måned, og de må ikke genbruges. Personlige adgangskoder til kommunens it-systemer skal behandles fortroligt og må aldrig afsløres over for andre. Personlige adgangskoder til kommunens it-systemer må ikke nedskrives på papir eller lagres elektronisk uden passende beskyttelse. Personlige adgangskoder skal omgående ændres, hvis andre har fået kendskab til dem, eller hvis der er mistanke om dette. Ekstern adgang til kommunens interne it-systemer skal beskyttes gennem anvendelse af to-faktor autentifikation. 5.4 Styring af system- og applikationsadgange Brug af privilegerede systemprogrammer Systemværktøjer må kun anvendes af medarbejdere med påkrævede drifts- og supporttekniske opgaver i forbindelse med it-systemer. Systemværktøjer som kan omgå sikringsforanstaltninger må kun være aktive, når de konkret benyttes til eksempelvis fejlfinding i systemer. 6. Fysisk sikring og miljøsikring 6.1 Sikre områder Fysisk perimetersikring Server rum og lignende sikrede områder, hvor der opbevares kritisk informationsbehandlingsudstyr, skal holdes aflåst og beskyttes med passende adgangskontrolsystem Fysisk adgangskontrol Kun medarbejdere med rutinemæssige arbejdsopgaver må autoriseres med permanent adgang til server rum og lignende sikrede områder Beskyttelse mod eksterne og miljømæssige trusler Særligt brandbare materialer, herunder papir, pap og lignende må ikke opbevares i server rum og andre lignende sikrede områder. Server rum skal være beskyttet med automatisk brandslukningsanlæg og brandalarm. Mad og drikke må ikke fortæres i server rum og lignende sikrede områder Arbejde i sikre områder Ikke-autoriserede personer, herunder eksterne serviceleverandører, skal ledsages til og fra sikre områder af en autoriseret person Der skal føres logbog over ikke-autoriserede personers adgang til sikrede områder. 7
8 6.2 Udstyr Placering og beskyttelse af udstyr It-udstyr som er kritisk for kommunens virksomhed og/eller indeholder fortrolig information skal opbevares i sikrede områder. Server rum og lignende sikrede områder må udelukkende benyttes til opbevaring af relevant udstyr og materiale. Information om sikrede områder, herunder indretning og formål skal opbevares fortroligt, og informationen må kun være tilgængelig for medarbejdere med funktionsmæssige behov Understøttende forsyninger (forsyningssikkerhed) Elforsyningen til centralt it-udstyr, herunder servere og netværksudstyr, skal være beskyttet mod strømafbrydelser via nødstrømsanlæg (UPS). Nødstrømsanlæg, skal være implementeret sådan, at tilsluttede servere automatisk kan nedlukkes korrekt og sikkert i tilfælde at strømafbrydelser Sikring af kabler Kabler og udstyr i serverrum, krydsfelter og andre centrale installationer, skal mærkes klart og entydigt. Centralt netværksudstyr, herunder krydsfelter, skal være placeret i aflåste rum eller skabe Vedligeholdelse af udstyr It-udstyr skal vedligeholdes og repareres efter leverandørens forskrifter Service og reparationer af it-udstyr må kun udføres af leverandører, som har indgået formelle serviceaftaler med kommunen. Der skal foretages særlig registrering af it-udstyr, som fjernes fra kommunens lokaliteter af eksterne parter, f.eks. ved reparation af udstyr. Den eksterne part skal kvittere for modtagelse af udstyret Sikring af udstyr og aktiver uden for organisationen Bærbare pc'er, mobiltelefoner, datamedier og andet mobilt it-udstyr, må ikke efterlades uden overvågning på offentligt tilgængelige steder. It-afdelingen fastlægger procedure for, hvorledes bærbart udstyr må anvendes Sikker bortskaffelse eller genbrug af udstyr It-udstyr som kasseres eller på anden måde afhændes, skal sikres mod, at lagrede data efterfølgende kan genskabes. Indbyggede lagringsmedier skal slettes eller destrueres i henhold til Itafdelingens procedure for sletning og kassation af datamedier Brugerudstyr uden opsyn Alle pc-arbejdspladser, skal fra centralt hold være forsynet med skærmlås, som aktiveres automatisk efter 15 minutter Den enkelte medarbejder skal manuelt aktivere skærmlåsen eller aflåse lokalet, når en pc efterlades. Pc-skærme i betjeningsområder skal placeres således at fortrolige oplysninger ikke er synlige for uvedkommende. Printer og faxmaskiner, som benyttes til udskrift og modtagelse af fortrolig information skal placeres utilgængeligt for publikum. Alternativt skal fortrolig-udskriftsfunktion på printere benyttes. 7. Driftsikkerhed 7.1 Driftsprocedurer og ansvarsområder Dokumenterede driftsprocedurer Tekniske installationer skal være dokumenterede. Dokumentationen skal ajourføres straks ved enhver gennemført ændring. 8
9 Diagnose og konfigurationsporte i netværksudstyr må kun være aktive i tidsrum, hvor det er påkrævet som følge af drifts- og vedligeholdelsesmæssige opgaver Ændringsstyring Enhver ændring i it-driftsmiljøet skal udføres i henhold til fastlagte processer for ændringsstyring. I særlige situationer, hvor der opstår behov for afvigelse fra ændringsstyringsprocesserne, skal itchefen og it-sikkerhedskoordinatoren orienteres inden ændringen gennemføres. Ændringer i standard-it-systemer skal begrænses mest muligt. Der må kun foretages ændringer, som er nødvendige for driften, eller som forbedrer sikkerheden Kapacitetsstyring Der skal foretages løbende overvågning af ressourceforbrug og kapacitet i it-infrastrukturen, med henblik på at opretholde driftsikkerheden i forretningskritiske it-systemer. Med udgangspunkt i den løbende overvågning, skal der foretages regelmæssige vurderinger og fremskrivninger af behovet for udvidelser i kapaciteten. It-afdelingen skal sikre, at vurderingen gennemføres mindst en gang årligt. Resultatet skal dokumenteres i en skriftlig rapport Adskillelse af udviklings-, test- og driftsmiljøer Udviklings-, test- og driftsmiljø skal være adskilte for at nedsætte risikoen for uautoriseret adgang til eller ændringer af driftsmiljøet. It-afdelingen fastlægger en godkendelsesprocedure for overgang fra testmiljø til driftsmiljø. 7.2 Beskyttelse mod malware (Skadevoldende programmer og kode) Kontroller mod malware Enhver server og klient-pc på kommunens interne netværk skal være forsynet med sikringsforanstaltninger som beskytter mod skadevoldende programmer og kode. Mobiltelefoner, smartphones/tablets og andet mobilt it-udstyr, som kan tilsluttes kommunens netværk, skal være forsynet med sikringsforanstaltninger som beskytter udstyret mod skadevoldende programmer og kode. Sikringsforanstaltninger til beskyttelse mod skadevoldende programmer og kode, skal holdes opdateret via automatiserede rutiner og så ofte det teknisk er muligt. Alt e-post - ud og indgående - skal skannes centralt og renses for skadevoldende programmer og kode. Al datatrafik mellem kommunens administrative netværk og internettet skal overvåges af centrale værktøjer, som kan fjerne eller blokere mod skadevoldende programmer og kode og andre typer datatrafik, som udgør en sikkerhedsrisiko for kommunens interne it-systemer. Servere og pc-arbejdspladser skal i videst mulig omfang konfigureres med henblik på at modstå skadevoldende programmer og kode, samt forsøg på hacking. Unødvendige services og funktionalitet på servere og pc-arbejdspladser skal deaktiveres for at undgå sårbarheder og muligheder for misbrug. 7.3 Backup backup af information Al elektronisk information, som har betydning for kommunens varetagelse af opgaver, skal sikkerhedskopieres fra centralt hold. Kritiske it-systemer i driftsmiljøet skal løbende sikkerhedskopieres fra centralt hold. Sikkerhedskopiering skal ske via automatiserede rutiner. Der skal foretages regelmæssig afprøvning af om sikkerhedskopieret data kan gendannes i praksis. Datamedier med sikkerhedskopier, skal beskyttes mod uautoriseret adgang og fysiske skader som følge af brand og lignende. Sikkerhedskopier af kritiske data skal løbende overføres til og opbevares på en lokalitet, som er geografisk adskilt fra driftslokaliteten. 7.4 Logning og overvågning Hændelseslogning Der skal foretages en grundig vurdering af behovet for overvågning/logning i forbindelse med det enkelte it-system. Det besluttede logningsniveau skal beskrives i systemdokumentationen. 9
10 Medarbejdernes anvendelsen af brugerkonti og autorisationer til kommunens it-systemer skal logges. It-systemer som anvendes til behandling og lagring af følsomme personoplysninger, skal være indrettet med logningsfaciliteter, som lever op til logningskravene i persondatalovens sikkerhedsbekendtgørelse. Logoplysninger om anvendelse af personoplysninger skal opbevares i seks måneder og skal herefter slettes. Ved særlige behov kan logoplysningerne undtagelsesvis gemmes i op til fem år. Behovet for bevaring og sletning af logoplysninger i forbindelse med øvrige it-systemer skal fastlægges og dokumenteres for det enkelte it-system. Fejl i kritiske it-systemer skal logges maskinelt. Der skal dagligt foretages gennemgang og opfølgning på disse fejllogs Beskyttelse af log-oplysninger Logoplysninger fra it-systemer skal beskyttes mod manipulation og tekniske fejl, eksempelvis ved hjælp af sikkerhedskopiering, adgangsbegrænsning og konsolidering af logoplysninger Administrator og operatørlog Aktiviteter som udføres i it-systemer af systemadministratorer og andre med udvidede rettigheder skal logges maskinelt Tidssynkronisering Ure i kritiske it-systemer, herunder server- og netværksudstyr, skal automatisk synkroniseres med præcis tidsangivelses. Tidssynkroniseringen skal regelmæssigt kontrolleres og korrigeres. 7.5 Styring af driftssoftware Softwareinstallation på drift systemer Styresystemer og andet software på pc-arbejdspladser og servere, skal via fastlagte arbejdsrutiner holdes forsvarligt opdateret mod kendte fejl og sårbarheder, som kan udgøre en sikkerhedsrisiko. Systemdokumentation skal være fortroligt og adgangen til systemdokumentationen skal begrænses til medarbejdere med fagligt begrundede behov. Systemdokumentation skal beskyttes med kryptering, hvis det sendes til eksterne parter via internettet eller andre åbne netværk. 7.6 Sårbarhedsstyring Styring af tekniske sårbarheder Eksternt tilgængelige it-systemer, som kommunen selv varetager driften af, skal regelmæssigt og som minimum én gang årligt, testes for mulige sårbarheder. Testen skal iværksættes af Itafdelingen. Med udgangspunkt i det aktuelle trusselsbillede skal der regelmæssigt foretages vurderinger af om kommunens it infratruktur er tilstrækkeligt beskyttet mod relevante trusler. Vurderingen skal foretages mindst én gang årlig, eller ved større ændringer i it-infrastrukturen Begrænsninger på softwareinstallation Medarbejdere må ikke installere programmer og andet software på pc-arbejdspladser uden forudgående godkendelse fra It-afdelingen. It-afdelingen kan implementere tekniske spærringer mod installation af specifikt software på pc er, tablets, smartphones og lignende, hvis softwaren vurderes at medføre væsentlige og unødige sikkerhedsrisici for kommunen 7.7 Overvejelser i forbindelse med revision af informationssystemer Kontroller i forbindelse med revision af informationssystemer It-sikkerhedskoordinatoren er ansvarlig for at it-revisionen er aftalt med de relevante personer inden den udføres, og skal foregå på en sådan måde, at den forstyrrer den daglige drift mindst muligt. 8. Kommunikationssikkerhed 8.1 Styring af netværkssikkerhed Netværksstyring 10
11 It-udstyr må kun tilsluttes kommunens netværk efter godkendelse fra It-afdelingen. Der må kun anvendes netværksudstyr (herunder trådløst netværksudstyr), der er godkendt og stilles til rådighed af It-afdelingen. Gæster og eksterne konsulenters it-udstyr, skal gennemgå en sikkerhedskontrol og godkendes hvis udstyret skal have adgang til kommunens administrative netværk Opdeling af netværk It-systemer, som af driftstekniske årsager ikke kan underlægges de centralt styrede sikkerhedspolitikker skal isoleres fysisk eller logisk fra andre systemer på kommunens netværk. 8.2 Informationsoverførsel Politikker og procedurer for informationsoverførsel It-sikkerhedskoordinatoren fastlægger en procedure for beskyttelse af data ved informationsudveksling til andre it-systemer Aftaler om informationsoverførsel Systemejeren sikrer, at der underskrives en databehandlingsaftale omhandlende omfang, ansvar, kontrol, erstatning, ejerskab og identifikation ved informationsudveksling til andre eksterne itsystemer. (Se også ) Elektroniske meddelelser Fortrolig information og personfølsomme data, som sendes digitalt til eksterne modtagere skal beskyttes med kryptering. Dette gøres ved forsendelse til digital post eller ved brug af sikker mail Fortroligheds og hemmeligholdelsesaftaler Alle medarbejdere i kommunen får ved ansættelsen udleveret en erklæring til gennemlæsning om fortrolighed i ansættelsen efter straffelovens 152 og forvaltningslovens 27. Alt eksternt personale, der i deres arbejde skal have adgang til kommunens netværk, underskriver en aftale om ekstern samarbejdspartners adgang til it-systemer. (Se også 3.1.1) 9. Anskaffelse, udvikling og vedligeholdelse af systemer 9.1 Sikkerhedskrav til informationssystemer Analyse og specifikation af informationssikkerhedskrav Ved udvikling og anskaffelse af nye it-systemer skal der, så tidligt som muligt og før idriftsættelse, gennemføres en grundig vurdering af de sikkerhedsmæssige aspekter. It-afdelingen skal inddrages i vurderingen. (Se vedtagne retningslinjer i SLA på InSite): Sikring af applikationstjenester på offentlige netværk Såfremt services og tjenester som udbydes på internettet af tredjepart, ønskes anvendt i forbindelse med kommunens informationsbehandling, kan dette udelukkende ske efter tilladelse fra itafdelingen. 9.2 Sikkerhed i udviklings- og hjælpeprocesser Sikker udviklingspolitik Anskaffelser og installation af nyt it-udstyr og software, skal ske via It-afdelingens service desk. It-afdelingen skal sikre, at der foretages en sikkerhedsmæssig vurdering og godkendelse af nyt itudstyr og software, inden anskaffelsen Principper for udvikling af sikre systemer Installation af nye it-systemer i driftsmiljøet, skal ske i henhold til en fastlagt proces for installation af nye it-systemer. I særlige situationer, hvor det kan være nødvendigt at afvige fra den vedtagne proces, skal itsikkerhedskoordinatoren godkende, inden installationen igangsættes. 11
12 Overførsel af it-systemer fra test- til driftsmiljø skal ske i overensstemmelse med en fastlagt procedure for idriftsættelse af it-systemer. 9.3 Testdata Sikring af testdata Produktionsdata som indeholder fortrolig information eller personoplysninger må ikke anvendes til test og undervisningsformål. Såfremt tungvejende forhold nødvendiggør det, kan produktionsdata med fortrolig information og personoplysninger dog undtagelsesvis anvendes i test-sammenhæng. It-sikkerhedskoordinatoren skal godkende anvendelsen af fortrolig produktionsdata til testformål. Hvis fortrolig information eller personoplysninger efter godkendelse anvendes i testmiljø, skal der benyttes adgangs- og kontrolforanstaltninger efter samme krav som gælder for driftsmiljøet. 10. Leverandørforhold 10.1 Informationssikkerhed i leverandørforhold Informationssikkerhedspolitik for leverandørforhold Ved indgåelse af aftaler med eksterne parter, skal der foretages vurderinger af alle relevante sikkerhedsmæssige risici og aspekter ved aftalen. Såfremt det er behov for at give eksterne parter adgang til kommunens it-systemer og information, skal der foretages en vurdering af de sikkerhedsmæssige forhold, inden adgangen gives. (Se også 8.2.4) Håndtering af sikkerhed i leverandøraftaler Samarbejdsaftaler med eksterne samarbejdspartnere som vedrører kommunens informationsbehandlingssystemer, skal omfatte beskrivelser af relevante sikkerhedsmæssige aspekter udfærdiget i en databehandlingsaftale. I databehandlingsaftalen kan der efter skøn stilles krav om en årlig ekstern revision og udfærdigelse af en type I eller type II revisionserklæring efter revisionsstandard ISAE Udgiften afholdes af leverandøren. (Se også 8.2.2) 10.2 Styring af leverandørydelser Overvågning og gennemgang af leverandørydelser Der skal foretages regelmæssig opfølgning på de sikkerhedsmæssige aspekter ved de aftaler, som er indgået med eksterne samarbejdspartnere. Systemejerne skal sikre, at der minimum en gang årligt sker opfølgning på sikkerheden ved aftaler med eksterne samarbejdspartnere Styring af ændringer af leverandørydelser Systemejeren er ansvarlig for at der ved ændringer i formelle samarbejdsaftaler med eksterne leverandører, bliver foretaget en revurdering af de implementerede sikkerhedsforanstaltninger. 11. Styring af informationssikkerhedsbrud Styring af informationssikkerhedsbrud og forbedringer Ansvar og procedurer It-afdelingen udarbejder sammen med ledelsen en fast procedure for håndtering af sikkerhedsbrud Rapportering af informationssikkerhedshændelser 2 Medarbejdere, kommunalbestyrelsesmedlemmer og samarbejdspartnere har pligt til at rapportere sikkerhedshændelser, som observeres i forbindelse med anvendelse af it-systemer og behandling af information. 1 Sikkerhedsbrud er en fuld sikkerhedshændelse (incident), der ikke kan håndteres og afhjælpes uden at forretningens sikkerhed er blevet kompromitteret med evt. efterfølgende skadevirkninger. 2 Sikkerhedshændelse (event) er starten på et sikkerhedsbrud, men som stadig kan håndteres og evt. afværges uden store konsekvenser for forretningen. 12
13 Rapportering skal ske hurtigst muligt til It-afdelingens service desk. Tyveri eller bortkomst af enhver form for it-udstyr skal omgående meddeles til service desken Rapportering af informationssikkerhedssvagheder 3 Alle medarbejdere og øvrige personer, der gør brug af it-systemerne, har pligt til at indberette informationssikkerhedssvagheder umiddelbart efter, at disse er konstateret eller der er opstået mistanke om svagheder Erfaring fra informationssikkerhedsbrud It-sikkerhedskoordinatoren er ansvarlig for indsamling, kategorisering og behandling af sikkerhedshændelser og sikkerhedsbrud. 12. Informationssikkerhedsaspekter ved nød, beredskabs- og reetableringsstyring 12.1 Informationssikkerhedskontinuitet Planlægning af informationssikkerhedskontinuitet Direktionen er ansvarlig for at fastlægge omfang og rammerne for beredskabsplanen for informationssikkerhed Implementering af informationssikkerhedskontinuitet It-sikkerhedskoordinatoren er ansvarlig for, at der udarbejdes en overordnet beredskabsplan for informationssikkerhedsområdet. It-chefen godkender den overordnede beredskabsplan for it-området. Direktionen er ansvarlig for, at der udarbejdes nødplaner for de kritiske forretningsprocesser. Systemejeren er ansvarlig for, at der udarbejdes reetableringsplaner for de kritiske it-systemer. It-sikkerhedskoordinatoren er ansvarlig for, at den overordnede beredskabsplan er sammenhængende med de tilhørende nødplaner og reetableringsplaner Verificer, gennemgå og evaluer informationssikkerhedskontinuiteten It-sikkerhedskoordinatoren gennemgår og om nødvendigt reviderer den overordnede beredskabsplan minimum en gang årligt. Direktionen sikrer at nødplaner gennemgås og om nødvendigt revideres, minimum en gang årligt. Systemejeren gennemgår og om nødvendigt reviderer reetableringsplaner minimum en gang årligt eller ved større ændringer i it-systemet. It-sikkerhedskoordinatoren er ansvarlig for at beredskabsplanen helt eller delvis testes, som en skrivebordstest minimum en gang årligt. It-sikkerhedskoordinatoren er ansvarlig for, at der foretages en evaluering og indføjes eventuelle rettelser til beredskabsplanen med tilhørende dokumenter. 13. Overensstemmelse (Compliance) 13.1 Overensstemmelse med lov - og kontraktkrav Identifikation af gældende lovgivning og kontraktkrav Medarbejderne må alene anvende ophavsretlig beskyttet software og materiale på pc er, håndholdte enheder og lign, i det omfang der forefindes gyldig licens eller brugsrettigheder til softwaren eller materialet Privatlivets fred og beskyttelse af personoplysninger Fortrolige personoplysninger skal lagres i fagligt relevante it-systemer, som er godkendte til opbevaring af denne type oplysninger. It-sikkerhedskoordinatoren er ansvarlig for at udbrede kendskabet til, hvordan personoplysninger beskyttes og behandles i overensstemmelse med persondataloven Gennemgang af informationssikkerhed 3 Sikkerhedssvaghed er, når der er faretegn for en potentiel sikkerhedshændelse eller endog sikkerhedsbrud, men som kan lukkes ved afhjælpende foranstaltninger, inden det opstår. 13
14 Uafhængig gennemgang af informationssikkerhed Det sikres at en ekstern part (revisionen) minimum en gang årligt vurderer, hvorvidt det fastlagte sikkerhedsniveau er implementeret Overensstemmelse med sikkerhedspolitikker og sikkerhedsstandarder Direktionen er ansvarlig for at chefer og ledere kontinuerligt sikrer opfølgning på informationssikkerheden inden for eget ansvarsområde Undersøgelse af teknisk overensstemmelse It-sikkerhedskoordinatoren sikrer at der foretages en løbende kontrol af de tekniske og administrative sikringsforanstaltninger, ud fra et fastlagt kontrolkatalog. 14
Frederiksberg Kommunes It-sikkerhedsregler (baseret på ISO 27001)
Frederiksberg Kommunes It-sikkerhedsregler (baseret på ISO 27001) Indhold 1. Informationsksikkerhedspolitikker 4 1.1 Retningslinjer for styring af informationssikkerhed 4 1.1.1 Politikker for informationssikkerhed
Læs mereBilag 5 Aarhus Kommune. Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0. Opbevaring/sletning af informationer
Bilag 5 Aarhus Kommune Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0 Opbevaring/sletning af informationer 11-04-2011 1 Regler 7 Styring af informationsrelaterede
Læs mereHandlingsplan for bedre behandling af fortrolige oplysninger om personer og virksomheder
Den 12. november 2014 J.nr. 2014103514 Ref.: kj Handlingsplan for bedre behandling af fortrolige oplysninger om personer og virksomheder Sundhedsstyrelsens opfølgning på Rigsrevisionens beretning af 5.
Læs mereSIKKERHEDSREGLER. 5. Informationssikkerhedspolitikker
SIKKERHEDSREGLER. 5. Informationssikkerhedspolitikker 5. 1. Retningslinjer for styring af informationssikkerhed 5. 1. 1. Politikker for informationssikkerhed Informationssikkerhed defineres som de samlede
Læs mereGap-analyse. ST - ISO27001 Modenhed. Arhus Universitet
Gap-analyse ST - ISO27001 Modenhed Analyse af ISO 27001:2013 Anneks A Navn ST - ISO27001 Modenhed Ansvarlig ST - AGRO / Erik Steen Kristensen Udførende Siscon Ændret 02.05.2017 Ikke behandlet 0 af 114
Læs mereFællesregional Informationssikkerhedspolitik
Fællesregional Informationssikkerhedspolitik Indhold 1. Formål...1 2. Organisation...2 3. Gyldighedsområde...3 4. Målsætninger...3 5. Godkendelse...4 1. Formål Den Fællesregionale Informationssikkerhedspolitik
Læs mereInformationssikkerhedspolitik. Frederiksberg Kommune
Informationssikkerhedspolitik Frederiksberg Kommune Indledning Informationssikkerhedspolitikken er den overordnede ramme for beskyttelse af information i Frederiksberg Kommune. Kommunen behandler oplysninger
Læs mereKontrakt om Videreudvikling, Vedligeholdelse og Support af IMK2- systemet. Bilag 7 Informationssikkerhed
Kontrakt om Videreudvikling, Vedligeholdelse og Support af IMK2- systemet Bilag 7 Informationssikkerhed 12.05.2016 Version 1.0 [Vejledning til tilbudsgiver: Bilaget er i sin helhed at betragte som et mindstekrav
Læs mereDS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484
DS 484:2005 Standard for informationssikkerhed -Korte uddrag fra DS484 Informationssikkerhedsstrategi Ledelsen skal godkende en skriftlig informationssikkerhedspolitik, som skal offentliggøres og kommunikeres
Læs mereRetningslinier for adgangsstyring til Banedanmarks informationsaktiver.
Informationssikkerhed Vers.3.0 Retningslinier for adgangsstyring til Banedanmarks informationsaktiver. 19.04.2010 Informationsaktiver omhandler alle informationer hvad enten de er elektroniske, papirbaserede
Læs mereVersion: 1.0 Maj Informationssikkerhedspolitik for Struer Statsgymnasium
Version: 1.0 Maj 2019 Informationssikkerhedspolitik for Struer Statsgymnasium Indholdsfortegnelse 1.1 Indledning:... 1 1.2 Omfang og ansvar:... 1 1.3 Sikkerhedsniveau:... 1 1.4 Sikkerhedsbevidsthed:...
Læs mereAarhus Kommune. Politik 1.4 11-03-2016
Aarhus Kommune Politik 1.4 11-03-2016 Indledning IT-sikkerhedspolitikken blev vedtaget i byrådets møde den 24. juni 2009 Revisionsdato: 11. marts 2016 IT-sikkerhedspolitikken er den overordnede ramme for
Læs mereInformationssikkerhedspolitik
1 for Denne informationssikkerhedspolitik er den overordnede ramme for informationssikkerheden i. Politikken skal sikre, at fortsat kan sikre kommunens høje troværdighed forebygge sikkerhedsbrist og tab
Læs mereIT-sikkerhedspolitik. for Social- og Sundhedsskolen Esbjerg
IT-sikkerhedspolitik for Social- og Sundhedsskolen Esbjerg Indhold IT-sikkerhedspolitik... 2 Formål... 2 Grundprincipper for sikkerhedsarbejdet... 2 Funktionsadskillelse og adgangsstyring... 2 Sikkerhedsforanstaltninger...
Læs mereNOTAT. Køge Kommune It-sikkerhed Overordnede retningslinjer ITafdelingen. Fællesforvaltningen. Dato Sagsnummer Dokumentnummer
NOTAT Fællesforvaltningen Dato Sagsnummer Dokumentnummer ITafdelingen Køge Rådhus Torvet 1 4600 Køge www.koege.dk Tlf. 56 67 67 67 Fax 56 65 54 46 Køge Kommune It-sikkerhed Overordnede retningslinjer 2010
Læs mereIt-sikkerhedspolitik for Farsø Varmeværk
It-sikkerhedspolitik for Farsø Varmeværk Introduktion Denne it-sikkerhedspolitik, som er besluttet af bestyrelsen, udgør den overordnede ramme for at opretholde it-sikkerheden hos Farsø Varmeværk. Hermed
Læs mereDS 484 Den fællesstatslige standard for informationssikkerhed. Sikkerhedsaspekter ved Mobilitet og Distancearbejde
DS 484 Den fællesstatslige standard for informationssikkerhed Sikkerhedsaspekter ved Mobilitet og Distancearbejde * Velkomst og dagens program Hvorfor er vi her Dagens formål og succeskriterier Disponeringen
Læs mereInformationssikkerhedspolitik for Svendborg Kommune
Informationssikkerhedspolitik for Svendborg Kommune Denne politik er godkendt af byrådet d. xx. Og træder i kraft d. xx. Seneste version er tilgængelig på intranettet. Indledning Svendborg Byråd fastlægger
Læs mereGENEREL KRAVSPECIFIKATION TILLÆG
BRUGERPORTALSINITIATIVET BRUGERPORTALSINITIATIVET GENEREL KRAVSPECIFIKATION TILLÆG Læringsplatforme - Brugerportalsinitiativet INFORMATIONSSIKKERHED OG SIKRING AF PERSONDATA Brugerportalsinitiativet Side
Læs mere1 Informationssikkerhedspolitik
Indholdsfortegnelse 1 Informationssikkerhedspolitik... 1 1.1 Indledning:... 1 1.2 Omfang og ansvar:... 2 1.3 Sikkerhedsniveau:... 2 1.4 Sikkerhedsbevidsthed:... 3 1.5 Brud på informationssikkerheden:...
Læs mereIt-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015
It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat
Læs mereKOMBIT sikkerhedspolitik
KOMBIT sikkerhedspolitik Indholdsfortegnelse INDLEDNING 3 DEL 1: ORGANISERING, ROLLER OG ANSVAR 4 DEL 2: POLITIK FOR INFORMATIONSSIKKERHED 5 DEL 3: RETNINGSLINJER OG KONTROLMÅL TIL LEVERANDØREN 6 5. INFORMATIONSSIKKERHEDSPOLITIKKER
Læs mereInformationssikkerhed
Banedanmark Informationssikkerhed Overordnet politik Banedanmarks informationssikkerhedspolitik Version 4.0 10-12-2012 Indholdsfortegnelse Politik 2 Informationssikkerhedspolitik for Banedanmark 2 Indledning
Læs mereIT-sikkerhedspolitik for Lyngby Tandplejecenter
IT-sikkerhedspolitik for Lyngby Tandplejecenter 1 Indledning Formål med IT-sikkerhedspolitikken Lyngby tandplejecenters IT-sikkerhedspolitik er vores sikkerhedsgrundlag og vores fælles forståelse af, hvad
Læs mereKommissorium for Revisionsudvalget i Spar Nord Bank A/S
Kommissorium for Revisionsudvalget i Spar Nord Bank A/S Dato: Februar 2016 1 1. Indledning Det følger af bekendtgørelsen om revisionsudvalg i virksomheder samt koncerner, der er underlagt tilsyn af Finanstilsynet
Læs mereIt-revision af Sundhedsdatanettet 2015 15. januar 2016
MedCom Forskerparken 10 5230 Odense M Landgreven 4 1301 København K Tlf. 33 92 84 00 rr@rigsrevisionen.dk www.rigsrevisionen.dk It-revision af Sundhedsdatanettet 2015 15. januar 2016 1. Rigsrevisionen
Læs mereBillund Kommune. IT sikkerhedsregulativ v.1.0. Billund Kommune
IT sikkerhedsregulativ v.1.0 Billund Kommune Billund Kommune Januar 2011 1 Indholdsfortegnelse Indholdsfortegnelse... 2 Indledning... 3 Kapitel 1: Organisering... 4 Kapitel 2: Medarbejdersikkerhed... 5
Læs mereBilag 1 Databehandlerinstruks
Bilag 1 Databehandlerinstruks 1 1. Databehandlerens ansvar Databehandling omfattet af Databehandleraftalen skal ske i overensstemmelse med denne instruks. 2. Generelt 2.1 Databehandleren skal som minimum
Læs mereProcedure for tilsyn af databehandleraftale
IT Projekt og Udviklingsafdeling Dato:7.2.2017 Procedure for tilsyn af databehandleraftale Reference til Retningslinjer for Informationssikkerhed: Afsnit 14.5 (Databehandleraftaler). Ved ibrugtagning af
Læs mereEksempel på KOMBITs instruks til ISAE 3000 revisionserklæring
Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring KOMBIT har som indkøbscentral på vegne af landets kommuner indgået aftale med [leverandørnavn] (herefter Leverandøren ) om udvikling, drift,
Læs mereProcedure for ansættelse af nye medarbejdere
Procedure for ansættelse af nye medarbejdere Formål Denne procedure beskriver retningslinjerne for, hvordan Hotel- og Restaurantskolen håndterer: rekruttering af nye medarbejdere annoncering af ledige
Læs mereInformationssikkerhedspolitik for Odder Gymnasium
Informationssikkerhedspolitik for Odder Gymnasium Version: 1.0 Maj 2018 Indholdsfortegnelse 1.1 Indledning:... 1 1.2 Omfang og ansvar:... 1 1.3 Sikkerhedsniveau:... 1 1.4 Sikkerhedsbevidsthed:... 2 1.5
Læs mereInformationssikkerhed Version 2.0 29.09.10
Informationssikkerhed Version 2.0 29.09.10 Retningslinjer for retablering af systemer og data (Ændringer i forhold til tidligere version er markeret med Understregning) Disse retningslinjer beskriver de
Læs mereVejledning til ledelsestilsyn
Vejledning til ledelsestilsyn Ledelsestilsynet er et væsentligt element i den lokale opfølgning og kan, hvis det tilrettelægges med fokus derpå, være et redskab til at sikre og udvikle kvaliteten i sagsbehandlingen.
Læs mereBorgerrådgiverens hovedopgave er først og fremmest dialog med borgerne i konkrete sager en mediatorrolle, hvor det handler om at:
BORGER RÅDGIVEREN Det kan du bruge borgerrådgiveren til Er du utilfreds med behandlingen af din sag i Hvidovre Kommune eller med kommunens behandling af dig, kan du henvende dig til borgerrådgiveren. Borgerrådgiverens
Læs mereRingkøbing-Skjern Kommune. Informationssikkerhedspolitik
Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...
Læs mereInformationssikkerhedspolitik for Region Midtjylland
Regionshuset Viborg Regionssekretariatet Skottenborg 26 Postboks 21 DK-8800 Viborg Tel. +45 8728 5000 kontakt@rm.dk www.rm.dk Informationssikkerhedspolitik for Region Midtjylland 1. Indledning Denne informationssikkerhedspolitik
Læs mereIT-centeret. It-sikkerhedshåndbog. Næstved Kommune Sagsbehandler: JJ Tlf. 5577 5300 Sagsnr: Doknr: www.naestved.dk. 20. april 2009
It-sikkerhedshåndbog IT-centeret Næstved Kommune Sagsbehandler: JJ Tlf. 5577 5300 Sagsnr: Doknr: www.naestved.dk 20. april 2009 Version 1.3 af 20. april 2009 Indhold 1. Indledning og formål 2 2. Ansvar
Læs mereFYSISK SIKKERHED. Bilag 10-1
FYSISK SIKKERHED Bilag 10-1 Indholdsfortegnelse 1. FYSISK SIKKERHED... 3 1.1. SIKRE OMRÅDER... 3 1.2. BESKYTTELSE AF UDSTYR... 4 Bilag 10-1 FYSISK SIKKERHED Kunden, side 2 af 6 1. FYSISK SIKKERHED Kundens
Læs mereInformationssikkerhedspolitik
Folder om Informationssikkerhedspolitik ansatte og byrådsmedlemmer 25-11-2013 Indledning Faxe Kommune har en overordnet Informationssikkerhedspolitik. Denne folder er et uddrag, der kort fortæller hvad
Læs mereREGIONERNES POLITISKE LINJE FOR INFORMATIONSSIKKERHED
11101010100010 10101001011011 10101001101010 10101010001010 10100101101110 10100110101010 10101000101010 10010110111010 10011010101010 10100010101010 01011011101010 01101010101001 10001010101001 REGIONERNES
Læs merehos statslige myndigheder
IT-Universitetet i København Rued Langgaards Vej 7 2300 København S Sendt til: itu@itu.dk 25. juni 2015 Udtalelse til anmeldelsen Videnskabelige og statistiske undersøgelser hos statslige myndigheder Datatilsynet
Læs mereStatus for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2
Status for ændringer Version Dato Navn Bemærkning 1.0 24-04-2007 Vedtaget i Regionsrådet 1.1 13-02-2012 IMT-Informationssikkerhed Tilpasning af terminologi 1.2 15-10-2012 IMT-Informationssikkerhed Rettelse
Læs mereDatabehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:
Databehandleraftale vedrørende brug af WinPLC og relaterede services Version 1.0 d. 1. november 2015 Parterne Kundenr.: Klinikkens navn og adresse (evt. stempel) (herefter den Dataansvarlige) og (herefter
Læs mereInformationssikkerhedspolitik
Holbæk Kommunes Informationssikkerhedspolitik 2013 Informationssikkerhedspolitik Indhold 1. Indledning 3 2. Formål 3 3. Holdning og principper 4 4. Omfang 4 5. Informationssikkerhedsniveau 5 6. Organisering
Læs mereRegion Nordjylland Informationssikkerhedspolitik November 2012. Informationssikkerhedspolitik. Side 1
Informationssikkerhedspolitik Side 1 Informationssikkerhedspolitik for Region Nordjylland Informationssikkerhedspolitikken er gældende for hele Regionen. Den er tilvejebragt af I-sikkerhedsudvalget og
Læs mereAssens Kommune Sikkerhedspolitik for it, data og information
Assens Kommune Sikkerhedspolitik for it, data og information Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Holdninger og principper... 4 4. Omfang... 4 5. Sikkerhedsbevidsthed,
Læs mereInstrukser for brug af it
it IT-Afdelingen sikkerhed Instrukser i brug af IT Instrukser for brug af it Må Skal ikke Kan Januar 2010 Version 1.0 Indhold Indhold Forord.............................. 3...................... 3 Resumé
Læs mereAlmindelig sund fornuft med IT Gode råd og regler om IT sikkerhed
Almindelig sund fornuft med IT Gode råd og regler om IT sikkerhed Langeland Kommune Sikkerhed i Langeland Kommune Sikkerhed er noget vi alle skal tænke over. Vi behandler følsomme informationer om vores
Læs mereRegion Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6
Indholdsfortegnelse Generelt 3 Formål 3 Omfang 4 It-sikkerhedsniveau 4 Styring 5 Sikkerhedsbevidsthed 6 Brud på it-sikkerheden 6 Anvendelse af politik for it-sikkerhed i praksis 6 Bilag 1. Anvendelse af
Læs mereRingkøbing-Skjern Kommune. Informationssikkerhedspolitik
Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...
Læs mereDatabeskyttelsespolitik for DSI Midgård
Databeskyttelsespolitik for DSI Midgård Overordnet organisering af personoplysninger DSI Midgård ønsker som hovedregel at anvende databehandlersystemer og opbevaring af personoplysninger hos eksterne leverandører,
Læs mereInformationssikkerhed regler og råd
Informationssikkerhed regler og råd TAP-området Kære kollegaer Formålet med denne folder er at oplyse dig om RMCs regler og råd inden for informationssikkerhed. Folderen skal være med til at sikre, at
Læs mereTilladelsen gives på følgende vilkår:
Amgros I/S Dampfærgevej 22 2100 København Ø Sendt til: amgros@amgros.dk og cch@amgros.dk 6. april 2016 Vedrørende anmeldelse af behandlingen "Behandling af ESPD dokumentation" Datatilsynet Borgergade 28,
Læs mereFaxe Kommune. informationssikkerhedspolitik
Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en
Læs merePersondata og IT-sikkerhed. Vejledning i sikker anvendelse og opbevaring af persondata
Persondata og IT-sikkerhed Vejledning i sikker anvendelse og opbevaring af persondata December 2015 Indledning Denne vejledning har til formål, at hjælpe ansatte på IT-Center Fyns partnerskoler med at
Læs mereAFTALE BAGGRUND OG OPGAVEFORSTÅELSE. BDO Statsautoriseret revisionsaktieselskab Havneholmen København V. (i det efterfølgende benævnt som BDO)
AFTALE OM RÅDGIVNING OG ASSISTANCE I FORBIN- DELSE MED IMPLEMENTERING AF DE I EU-PERSONDATA- FORORDNINGEN ANFØRTE KRAV TIL PERSONDATABE- SKYTTELSE OG IMPLEMENTERING AF STANDARD FOR STYRING AF INFORMATIONSSIKKERHED
Læs mereRegion Hovedstadens Ramme for Informationssikkerhed
Region Hovedstadens Ramme for Informationssikkerhed Indhold Region Hovedstadens ramme for Informationssikkerhed... 3 1 Formål... 3 2 Gyldighedsområde/omfang... 4 3 Målsætninger... 4 4 Informationssikkerhedsniveau...
Læs merePraktisk hjælp til indkøb
Praktisk hjælp til indkøb Efter servicelovens 83 Kvalitetsstandard Kerteminde Kommune tager afsæt i den rehabiliterende tankegang. Vi tager udgangspunkt i, at du er ansvarlig for dit eget liv og ønsker
Læs mereKære medarbejder og leder
Kære medarbejder og leder Adgang til informationer i it-systemer og elektronisk kommunikation er for de fleste medarbejdere i Region Hovedstaden en selvfølgelig del af arbejdsdagen. Hvis vi ikke har adgang
Læs mere1. INDLEDNING 2. TJENESTEN
1. INDLEDNING 2. TJENESTEN 1. Disse brugsvilkår vedrører og fastlægger din ret til adgang og brug af tjenesten Pointvoucher ("Tjenesten"). Tjenesten stilles til rådighed af WR Services ApS, Mølbakvej 5,
Læs mereOverordnet organisering af personoplysninger
Databeskyttelsespolitik for Hertha Bofællesskaber & Værksteder Overordnet organisering af personoplysninger Hertha Bofællesskaber & Værksteder ønsker som hovedregel, at anvende digitale databehandlingssystemer
Læs mereSOPHIAGÅRD ELMEHØJEN
Databeskyttelsespolitik for Sophiagård Elmehøjen Overordnet organisering af personoplysninger Sophiagård Elmehøjen ønsker som hovedregel at anvende databehandlersystemer og opbevaring af personoplysninger
Læs mereForberedelser forud for EU s databeskyttelsesforordning. 12 spørgsmål som dataansvarlige allerede nu med fordel kan forholde sig til
Forberedelser forud for EU s databeskyttelsesforordning 12 spørgsmål som dataansvarlige allerede nu med fordel kan forholde sig til 1 Indledning 1 Dette dokument indeholder 12 spørgsmål, som I, der er
Læs mereVedtægter for. Fonden Dansk Sygeplejehistorisk Museum
Vedtægter for Fonden Dansk Sygeplejehistorisk Museum --- oo0oo --- 1. NAVN OG STATUS 1.01 Fondens navn er Fonden Dansk Sygeplejehistorisk Museum (i det følgende kaldet Museet ). 1.02 Museet er en selvejende
Læs mereFÆLLES UDBUD AF ØKONOMI- OG LØNSYSTEM VISIONSPAPIR
FÆLLES UDBUD AF ØKONOMI- OG LØNSYSTEM VISIONSPAPIR ØKONOMI- OG LØNSYSTEM VISIONSPAPIR Revision Dato Udarbejdet af Kontrolleret af Godkendt af Beskrivelse 0.5 2016-03-04 ASHD, BDK Første udkast på baggrund
Læs mereBofællesskaberne Edelsvej
Ledelsessystemcertificering 16. september 2013 Certificeringens dækningsområde DNV teamleader: Auditteam: Drift af døgninstitution for voksne med psykisk handicap Søren Hald Søren Hald Projektnr.:PRJC-140725-2009-MSC-DNK
Læs mereHøring af ændring af bekendtgørelse om ledelse, styring og administration af danske UCITS
Finanstilsynet Århusgade 2100 København Ø Att. Martin Schultz København, den 28. maj 2014 Høring af ændring af bekendtgørelse om ledelse, styring og administration af danske UCITS Finanstilsynet har ved
Læs mereDokumentation af sikkerhed i forbindelse med databehandling
- Dokumentation af sikkerhed i forbindelse med databehandling Al databehandling, der er underlagt persondataloven, skal overholde de tekniske krav, der er opstillet i Datatilsynets bekendtgørelse 528 (sikkerhedsbekendtgørelsen).
Læs mereLinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK
GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK LinkGRC A Nordic leader in all aspects of Governance, Risk and Compliance Virksomhedens informationssikkerhedspolitik er i sin enkelhed et modsvar til en virksomheds
Læs mereDatabeskyttelsespolitik
Databeskyttelsespolitik Overordnet organisering af personoplysninger Den Miljøterapeutiske Organisation herunder Dagbehandlingsstilbuddet Hjembækskolen (herefter tilsammen benævnt som Den Miljøterapeutiske
Læs merePersondataloven hvad er nyt?
Persondataloven hvad er nyt? Den 27. februar 2013 Indhold Behandling af data... 2 Dataansvar og datasikkerhed... 3 Offentlighed... 4 Den registreredes rettigheder... 5 Nedenfor følger en oversigt over
Læs mereWWI A/S. CVR nr.: 26 73 40 96. Februar 2016
Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med drift af deres hostingydelse i perioden 01-12-2014 til 30-11-2015 WWI A/S
Læs mereBekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.
Bekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl. 1 I bekendtgørelse nr. 1026 af 30. juni 2016 om ledelse og styring af pengeinstitutter m.fl., som ændret ved
Læs mereIndstilling. Århus Kommune Magistratsafdelingen for Sociale Forhold og Beskæftigelse
Indstilling Til Århus Byråd Via Magistraten Social- og Beskæftigelsesforvaltningen Den 3. maj 2007 Orientering vedr. Ankestyrelsens undersøgelse: Førtidspension efter arbejdsevnemetoden. Århus Kommune
Læs mereSamarbejde om arbejdsmiljø på midlertidige eller skiftende arbejdssteder på bygge- og anlægsområdet
Samarbejde om arbejdsmiljø på midlertidige eller skiftende arbejdssteder på bygge- og anlægsområdet At-vejledning F.3.4 Maj 2011 Erstatter At-vejledning F.2.7 Sikkerheds- og sundhedsarbejde på midlertidige
Læs mereForretningsorden for Haderslev Katedralskole s bestyrelse
Forretningsorden for Haderslev Katedralskole s bestyrelse Denne forretningsorden er fastsat i medfør af 18 i lov nr. 880 af 8.8 2011 om institutioner for almengymnasiale uddannelser og almen voksenuddannelse
Læs mereÅrsafslutning i SummaSummarum 4
Årsafslutning i SummaSummarum 4 Som noget helt nyt kan du i SummaSummarum 4 oprette et nyt regnskabsår uden, at det gamle (eksisterende) først skal afsluttes. Dette betyder, at det nu er muligt at bogføre
Læs mereOverordnet organisering af personoplysninger
Databeskyttelsespolitik for Friskolen og Idrætsefterskolen UBBY Overordnet organisering af personoplysninger Friskolen og Idrætsefterskolen UBBY ønsker som hovedregel, at anvende digitale databehandlingssystemer
Læs mereKommissorium for Revisionsudvalget. Juni 2016
Kommissorium for Revisionsudvalget Juni 2016 Indhold 1. KONSTITUERING OG FORMÅL... 3 2. MEDLEMSKAB... 3 3. MØDESTRUKTUR- OG FREKVENS... 4 4. BEMYNDIGELSE OG RESSOURCER... 4 5. OPGAVER OG FORPLIGTELSER...
Læs mereSkanderborg Kommune. Regler. Nedenstående regler er udfærdiget på kravene i ISO. Udkast 27002:2005. Udkast: 2014-02-12
Skanderborg Kommune Regler Nedenstående regler er udfærdiget på kravene i ISO 27002:2005 : 2014-02-12 Indholdsfortegnelse 4 Risikovurdering og -håndtering 4.1 Vurdering af sikkerhedsrisici 4.2 Risikohåndtering
Læs merePrivatlivspolitik for studerende
UNIVERSITY COLLEGE LILLEBÆLT Privatlivspolitik for studerende Retningslinjer for registrering, håndtering og anvendelse af data om studerende hos UCL Vedtaget på HSU den 16. november 2015 Indhold 1. Formål...
Læs mereBILAG 1: PERSONDATAFORORDNINGEN FORMULERET SOM KONTROLLER
BILAG 1: PERSONDATAFORORDNINGEN FORMULERET SOM KONTROLLER I dette bilag opstilles persondataforordningens krav til private virksomheder som kontroller på samme form, som de er formuleret i ISO27002. På
Læs mereDigital post. AMU-nr. 47774
Digital post AMU-nr. 47774 Undervisningsministeriet. Oktober 2013 Materialet er udviklet af Efteruddannelsesudvalget for Handel, Administration, Kommunikation og Ledelse i samarbejde med Ann-Vibeke Mose,
Læs mereVejledning om kvalitetssikring i it-systemer
Vejledning om kvalitetssikring i it-systemer - Rigsarkivets minimumskrav og anbefalinger Rigsarkivet, marts 2016 Indledning Ordet kvalitet bruges i forskellige sammenhænge og kan have mange betydninger.
Læs mereHillerød Kommune. It-sikkerhedspolitik Bilag 10. Beredskabsplanlægning
It-sikkerhedspolitik Bilag 10 November 2004 Indholdsfortegnelse 1 Formål...3 2 Ansvar og roller...3 2.1 Byrådet...3 2.2 Kommunaldirektøren/ Direktionen...3 2.3 Ledere, fagchefer mv...3 2.4 It gruppen,
Læs mereOverordnet Informationssikkerhedspolitik
Overordnet Informationssikkerhedspolitik Denne politik er godkendt af byrådet d. 4. juni 2018 Ved udskrivning af politikken skal du være opmærksom på, at du anvender senest godkendte version. Acadre sagsnr.
Læs mereFebruar 2010 Forretningsorden for det Lokale Beskæftigelsesråd i Ringsted Kommune
Februar 2010 Forretningsorden for det Lokale Beskæftigelsesråd i Ringsted Kommune I henhold til lov og bekendtgørelse m.v. om ansvar for og styringen af den aktive beskæftigelses-indsats fastsættes følgende
Læs mereDatabeskyttelsespolitik for Netværket Smedegade, en social institution, der primært hoster data og programmer hos databehandlere
Databeskyttelsespolitik for Netværket Smedegade, en social institution, der primært hoster data og programmer hos databehandlere Overordnet organisering af personoplysninger Netværket Smedegade ønsker
Læs mereHandlingsplan for Vestre Landsret 2010
Handlingsplan for Vestre Landsret 2010 Denne handlingsplan indeholder en beskrivelse af de væsentligste initiativer, som landsretten vil iværksætte og følge op på i 2010. Den internt ansvarlige for den
Læs mereFORTROLIGHEDSERKLÆRING BABYSITTERMATCH
FORTROLIGHEDSERKLÆRING BABYSITTERMATCH Babysittermatch tager dit privatliv meget alvorligt, og vil behandle og bruge oplysninger om dig på en sikker måde. For at sikre dit privatliv, vil Babysittermatch
Læs mereOrdregiver skal kunne foretage tilkøb af låsesystemerne samt de adgangsgivende enheder i løbet af kontraktperioden.
4. Kravspecifikation Med nærværende udbudsforretning ønsker ordregiver at udskifte låsesystemerne i 3 af ordregivers 8 plejedistrikter 4. Ordregiver ønsker som option, muligheden for at foretage en udskiftning
Læs mereSecurity & Risk Management Summit 2016
Security & Risk Management Summit 2016 DGI Byen, den 3. november 2016 Premium partner: Partnere: Sikkerhedsanalyse - fundamentet for din sikkerhed! John Wiingaard og Lars Boye, Senior GRC Consultants,
Læs mereLedelsen har sikret, at der er etableret en hensigtsmæssig itsikkerhedsorganisation
Revisionsrapport om it-revision af Sundhedsdatanettet (SDN) 05 J.nr. 05-6070-7 5. januar 06 Ledelsens styring af it-sikkerheden Ikke opfyldt, Delvist opfyldt, Opfyldt. Nr. Kontrolmål Observation Risiko
Læs mereNetic A/S. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Netic A/S serviceydelser.
www.pwc.dk Netic A/S Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Netic A/S serviceydelser Juni 2018 Indhold 1. Ledelsens udtalelse 2 2. Uafhængig revisors
Læs mereKÆRE MEDARBEJDER OG LEDER
Region Hovedstaden 1 KÆRE MEDARBEJDER OG LEDER Adgang til informationer i it-systemer og elektronisk kommunikation er for de fleste medarbejdere i Region Hovedstaden en selvfølgelig del af arbejdsdagen.
Læs mere1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet "informationer"? 2
Indhold 1 Informationssikkerhedspolitik 2 1.1 Hvorfor vil vi sikre vores informationer? 2 1.2 Hvad dækker begrebet "informationer"? 2 2 Principper 4 2.1 Styret af KU's strategiske behov 4 2.2 Implementering
Læs mereSamarbejdsaftale mellem Finanstilsynet og Forbrugerombudsmanden vedrørende finansielle virksomheder
Finanstilsynet Forbrugerombudsmanden Den 2. september 2013 Samarbejdsaftale mellem Finanstilsynet og Forbrugerombudsmanden vedrørende finansielle virksomheder Som følge af ændringerne i markedsføringsloven
Læs mereDelpolitik Introduktion af nye medarbejdere
Delpolitik Introduktion af nye medarbejdere 1. Formål Gentofte Kommunes ønsker, at nye ledere og medarbejdere hurtigst muligt får et godt indtryk af og kendskab til deres nye arbejdsplads, herunder stedets
Læs mere