IT-politikkens sikkerhedsområde i Trafikselskabet Movia

Størrelse: px
Starte visningen fra side:

Download "IT-politikkens sikkerhedsområde i Trafikselskabet Movia"

Transkript

1 Bestyrelsen den 9. august 2007 Dagsordenens punkt 07 IT-politik for Movia Bilag 2 IT-politikkens sikkerhedsområde i Trafikselskabet Movia Version januar 2007 CBL / SCE-IUa

2 Indholdsfortegnelse INDLEDNING... 3 FORMÅL... 4 MÅL... 4 ANSVAR OG ORGANISATION... 5 REGELSÆT... 7 FYSISK SIKKERHED... 8 DATASIKKERHED... 9 DATAKOMMUNIKATION UDVIKLING OG ANSKAFFELSE DOKUMENTATION DRIFT AF IT-SYSTEMER NØDBEREDSKAB SANKTIONER RAPPORTERING OM BRUD PÅ IT-SIKKERHEDEN IKRAFTTRÆDELSE BILAG 1: KONTROL OG OPFØLGNING BILAG 2: RETNINGSLINIER FOR DEN FYSISKE SIKKERHED IT-politikkens sikkerhedsområde v 10-THECA Side 2 af 17

3 Indledning IT-anvendelsen i Trafikselskabet Movia skal understøtte virksomhedens forretningsområder. Movia ønsker, at alle medarbejdere har en sikkerhedsorienteret kultur og en bevidst holdning til brugen af pc og begrebet IT-sikkerhed. Der lægges vægt på reel sikkerhed fremfor formel sikkerhed. For at sikre dette skal ledelsen have en klar holdning til IT-sikkerheden og medvirke til dens gennemførelse. IT-politikkens sikkerhedsdel skaber grundlaget for, at Movia kan have en visionær ITanvendelse, der dels tilgodeser kundernes forventninger, og dels muliggør en bredspektret IT-systemanvendelse. IT-politikkens sikkerhedsdel fastsætter hovedprincipperne for den overordnede IT-sikkerhed i Movia, herunder placering af ansvaret for varetagelse af IT-sikkerheden. De overordnede regler uddybes og præciseres dels i en række bilag til politikken samt i dokumenterne ITpolitik og IT-systemer ansvarsfordeling. IT-politikkens sikkerhedsdel vedrører alle brugere af virksomhedens IT-systemer og ITbaserede infrastruktur. IT-politikkens sikkerhedsdel er struktureret i overensstemmelse med følgende figur: IT-politik Retningslinier der vedrører alle medarbejdere i Movia Retningslinier der vedrører medarbejdere som anvender IT-systemer IT-sikkerhedspolitik IT-systemer - ansvarsfordeling IT-politikkens sikkerhedsdel har fastsat hovedprincipperne for den overordnede IT-sikkerhed i Movia og er et målrettet krav til ledelsen, mens IT-politikkens pc-del uddyber og præciserer retningslinierne for anvendelse af pc i Movia og er et målrettet krav til alle medarbejdere. 072 IT-politikkens sikkerhedsområde v 10-THECA Side 3 af 17

4 Formål IT-politikkens sikkerhedsdel har til formål at sikre: at IT-sikkerheden er naturligt afbalanceret i forhold til de værdier og informationer, som skal beskyttes at ansvaret for de enkelte elementer i IT-komplekset er entydigt placeret at IT-sikkerheden indarbejdes i forretningsgange, når IT-systemer anvendes at IT-sikkerheden etableres på et effektivt og ensartet niveau, så risikoen for alvorlige fejl begrænses Mål Mål: IT-sikkerheden skal være en afvejning af væsentlighed og risiko. Sikringen skal stå mål med risikoen. Det vil sige, at man ikke vil sikre sig for enhver pris, men være bevidst om enhver risiko IT-sikkerhedspolitikken tilstræber at være: Forebyggende Realistisk Operationel Logisk Acceptabel Kontrollerbar I det daglige skal IT-sikkerhedspolitikken afspejle såvel myndighedskrav som virksomhedens egne behov. Der skal være et sikkerhedsniveau svarende til det, som er god praksis i et selskab af Movias størrelse og karakter. Endvidere skal IT-sikkerhedspolitikken skærpe de enkelte IT-brugeres opmærksomhed på sikkerhed i forbindelse med anvendelse af de forskellige systemer samt sikre: at alle IT-brugere er beskyttet af et entydigt regelsæt. at virksomheden beskyttes mod skader forvoldt af personalet som følge af uvidenhed, forglemmelse eller undladelse. at personalet beskyttes mod ubegrundet mistanke om sikkerhedsbrud. For at efterkomme dette, skal alle IT-brugere - også nye medarbejdere - introduceres til Trafikselskabet Movias IT-politik. 072 IT-politikkens sikkerhedsområde v 10-THECA Side 4 af 17

5 Ansvar og organisation Mål: Ansvar og organisation skal være synlig med henblik på at skabe en sikkerhedsorienteret og bevidst holdning til IT-sikkerhed. Øverste sikkerhedsansvarlige Det overordnede ansvar for IT-sikkerhedspolitikken er placeret hos direktionen, som er ansvarlig for opfølgning og kontrol. Direktionen godkender den årlige sikkerhedsrapport. Ændringer til IT-sikkerhedspolitikken skal godkendes af direktionen. Linieledelsen A-cheferne & B-cheferne Linieledelsen har ansvaret for den daglige overholdelse af IT-sikkerhedspolitikken. Systemejer Et gennemgående begreb i IT-sikkerhedspolitikken er systemejer. For alle IT-systemer skal der identificeres en systemejer, som tildeles ansvaret for, at der i forbindelse med anvendelsen af systemerne varetages en hensigtsmæssig sikkerhed. I Trafikselskabet Movia er det B- cheferne, der er systemejere. Hvis en C-chef (gruppeleder) findes er denne systemejer. Systemejernes opgaver og ansvar fremgår af IT-politikken og IT-systemer ansvarsfordeling for specielt udviklet eller tilpasset programmel. For hvert system stilles der krav om, at der skal være: Forretningsgange Brugervejledning Systemdokumentation Udviklings-, drifts- og serviceaftaler Backupaftaler Systemejerne skal følge op på, at den aftalte datakvalitet, som Linieledelsen har ansvaret for, er i orden. Systemejerne skal i forbindelse med anvendelse af data, der modtages, fødes eller beregnes i systemet, varetage en hensigtsmæssig sikkerhed og kvalitetskontrol. Systemejerne er ansvarlige for anmeldelser til Datatilsynet. Systemejerne har den koordinerende rolle i forbindelse med behandling af henvendelser fra kunder, brugere og myndigheder i forbindelse med videregivelse, indsigtsret og indsigelsesret. IT-chefen IT-chefen er chef for IT & Udviklingsafdelingen og skal påse, at der til stadighed er etableret forretningsgange og procedurer, som støtter overholdelsen af IT-sikkerhedspolitikken. Med udgangspunkt i information fra afdelingscheferne og IT-medarbejderne, har IT-chefen ansvaret for, at IT-sikkerhedspolitikken løbende ajourføres i takt med udviklingen og ibrugtagning af nyt hardware eller software. 072 IT-politikkens sikkerhedsområde v 10-THECA Side 5 af 17

6 Ud over ansvaret for ajourføring og planlægning af IT-anvendelsen generelt, har IT-chefen ansvaret for fysisk sikkerhed og logisk adgang til netværket. IT-chefen har ansvaret for, at der gennemføres en årlig kontrol og opfølgning af, hvorvidt reglerne i IT-sikkerhedspolitikken i praksis efterleves. Der skal udarbejdes en rapport, som skal foreligges direktionen for godkendelse. Varetagelsen af sikkerheden kontrolleres og revideres ud fra en konkret vurdering af væsentlighed og risiko. De konkrete forhold der skal indgå i vurderingen fremgår af bilag 1: Kontrol og opfølgning. IT-drift IT-drift følger udstukne og aftalte retningslinier for IT-sikkerhedsarbejde i forbindelse med ITanvendelsen og IT-udviklingen. Dette vedrører tekniske driftsopgaver, support, stillingtagen til sikkerhed i fællesskab med systemejerne. IT-drift opdaterer antivirusprogram og sikrer, at det løbende er i anvendelse. IT-drift er ansvarlig for opbygning og vedligeholdelse af netværket samt en oversigt over netværket. Alle eksterne kommunikationsforbindelser skal godkendes af IT-drift, som i samarbejde med leverandøren skal vedligeholde oversigter over kommunikationsudstyr og netværk. IT-drift registrerer hardware og software, som repræsenterer en væsentlig værdi og udarbejder beredskabsplan for serverrum og netinfrastruktur. Ansvarsområder Placering i organisationen Direktionen Linieledelsen A-chefer & S-chefer Systemejer IT-chefen Ansvar Øverste sikkerhedsansvarlig Ansvarlig for opfølgning og kontrol Godkender den årlige sikkerhedsrapport Godkender ændringer i IT-sikkerhedspolitikken Ansvarlig for den daglige overholdelse af IT-sikkerhedspolitikken Ansvarlig for IT-sikkerheden i egne systemer Ansvarlig for at følge op på, at den aftalte datakvalitet, som Linieledelsen har ansvaret for, er i orden Ansvarlig for anmeldelser til datatilsynet Chef for IT & Udviklingsafdelingen Påser, at der tilstadighed er etableret forretningsgange og procedurer, som støtter overholdelsen af IT-sikkerhedspolitikken Ansvarlig for at IT-sikkerhedspolitikken løbende ajourføres i takt med 072 IT-politikkens sikkerhedsområde v 10-THECA Side 6 af 17

7 udviklingen og ibrugtagning af nyt hardware eller software Ansvarlig for ajourføring og planlægning af IT-anvendelsen generelt Ansvarlig for den fysiske sikkerhed og logiske adgang til netværket Ansvarlig for, at der gennemføres en årlig kontrol og opfølgning, og der rapporteres til IT-udvalget og direktionen IT-drift Superbrugere Intern Service Medarbejdere generelt Varetager dagligt sikkerhedsarbejde i forbindelse med IT-anvendelsen i henhold til udstukne og aftalte retningslinier Opdaterer antivirusprogram og sikrer, at det løbende er i anvendelse på alle pc'er Ansvarlig for opbygning og vedligeholdelse af netværket samt en oversigt over netværket og eksterne kommunikationsforbindelser Godkender alle eksterne kommunikationsforbindelser Registrerer hardware og software, som repræsenterer en væsentlig værdi og udarbejder beredskabsplan for serverrum og netinfrastruktur Ansvarlig for årlig gennemgang af brugeridenter i de enkelte IT-systemer Ansvarlig for aftale om alarmforanstaltninger Varetagelse af IT-sikkerheden ved overholdelse af ITsikkerhedspolitikken samt almindelig sund fornuft. Regelsæt Mål: For at sikre, at IT-udviklingen styres af Movias udvikling, skal der være en IT-strategi og en udviklingsplan, som sikrer dette. Herved sikres, at IT-udviklingen på kapacitetssiden er tilpasset den udviklingstakt, som Movia ønsker af følge. IT-strategier og politikker IT-organisationen er reguleret af en række retningslinier og regelsæt, som skal være med til at sikre en høj og ensartet kvalitet i forbindelse med IT-anvendelsen. Ud over ITsikkerhedspolitikken består familien af IT-strategier og IT-politikker i Movia af følgende dokumenter: IT-strategi IT-udviklingsplan IT-trafiksystemer - ansvarsfordeling Projektguiden Lov om behandling af personoplysninger (Dataloven) Dataloven har til formål at sikre følsomme data imod misbrug. Er der tale om en samling af oplysninger, eksempelvis en telefonbog, en adresseliste eller et personalekartotek, er Dataloven gældende. Alle elektroniske kommunikations elementer er omfattet af Dataloven. Dataloven er omfattet af den almindelige delegationsret. Projektejerne og systemejerne har ansvaret for, at kravene i Dataloven overholdes og at der udarbejdes anmeldelser til Datatilsynet. 072 IT-politikkens sikkerhedsområde v 10-THECA Side 7 af 17

8 Forvaltningsloven Forvaltningsloven gælder for afgørelsessager og kun for parter. Det vil sige, at Movia er omfattet af forvaltningsloven i de sager, hvor der vil blive eller er truffet en afgørelse af Movia. Forvaltningsloven er en minimumslov, der fremhæver de minimumsregler, som forvaltningen skal følge i en afgørelsessag. Forvaltningsloven handler om følgende emner; inhabilitet, aktindsigt, vejledning, fuldmagt, partshøring, begrundelse, klagevejledning og tavshedspligt. Forvaltningsloven er en lov, der søger at sikre, at borgerne får nogle processuelle garantier, når sagerne behandles. Offentlighedsloven Offentlighedsloven gælder for al virksomhed, der udøves af den offentlige forvaltning. Det vil sige, at Movia er omfattet af reglerne i offentlighedsloven. Offentlighedsloven indeholder regler om notatpligt og aktindsigt. Efter offentlighedsloven har enhver mulighed for at få aktindsigt. Det er dog ikke alle dokumenter, der skal gives aktindsigt i fx ikke interne arbejdsdokumenter. Fysisk sikkerhed Mål: Den fysiske sikring af Movias IT-installation er i overensstemmelse med den værdi IT-udstyr og data repræsenterer. Movia ønsker at sikre de fysiske installationer mod ulykker, hærværk, tyveri og forsyningssvigt. Kravene til sikring af centralt udstyr er således højere end kravene til sikring af udstyr i kontormiljøerne. Fastsættelse af sikkerhedsniveauet skal ske i henhold til vedlagte bilag 2: Retningslinier for den fysiske sikkerhed. Alarmsystemer Movia vil etablere tilstrækkelige alarmforanstaltninger på relevante bygninger og lokaler således, at eventuelle uregelmæssigheder alarmeres til døgnbemandet intern eller ekstern funktion. Intern service har ansvaret for aftale om alarmforanstaltninger. Registrering af aktiver/forsikring Af hensyn til genskabelsen skal IT-drift varetage registrering af samtlige hardware- og fælles softwareenheder, som repræsenterer en væsentlig værdi. Forsikring af systemer og hardware til sikring af IT-infrastrukturen, følger trafikselskabets almindelige regler vedrørende forsikring af aktiver. 072 IT-politikkens sikkerhedsområde v 10-THECA Side 8 af 17

9 Datasikkerhed Mål: Det skal sikres, at data som anvendes i Movias forretningsgange til enhver tid har en tilstrækkelig høj kvalitet. Det er kun autoriserede brugere, der har adgang til interne data, blandt andet for at sikre mod misbrug af fortrolige oplysninger og manipulation af data. Der føres kontrol med anvendelsen af data for at forhindre fejl i løbet af databehandlingen. Der skal være stabilitet i driften. Datagrundlaget i IT-systemerne repræsenterer en væsentlig værdi, ligesom der i enkelte tilfælde kan være tale om fortrolige oplysninger. Disse værdier skal sikres mod uautoriseret adgang og imod tab og forvanskning. Systemejerne skal derfor i fællesskab med IT-drift fastsætte et sikkerhedsniveau, som er i overensstemmelse med de værdier, der skal sikres, og samtidig gøre det muligt for brugerne at opnå en fornuftig anvendelse af systemerne. Fastsættelse af sikkerhedsniveauet skal ske i henhold til nedenstående og IT-politikken. Adgang Det er kun personer med et tjenstligt behov kan få adgang til interne IT-systemer herunder data. Systemejer er ansvarlig for at definere, hvilke systemer eller informationer medarbejdere og leverandører skal have adgang til. Systemejerne godkender retningslinier for tildeling og ændring af autorisationer, som sikrer ovenstående. Vedligeholdelsen varetages af IT-drift og superbrugere. Retningslinier fremgår af dokumenterne (netværksadgange) og (vpn-adgange til it-netværket) omhandlende adgange til netværk indefra og udefra. Sletning af autorisation For at sikre, at fratrådte brugerautorisationer slettes, skal personaleafdelingen eller superbrugerne hver måned skriftlig orientere IT-drift om fratrædelse af IT-brugere. Endvidere skal der foretages en årlig gennemgang af brugeradgange i de enkelte ITsystemer. Kontrollen udføres af superbrugerne. Anvendelse (logning) Der skal etableres et logningsniveau (registrering af system- og dataanvendelsen), når det er relevant. Projektejeren og senere systemejeren tager stilling til logningsniveauet. Logningen skal som minimum være i overensstemmelse med Persondataloven og struktureres ud fra en vurdering af væsentlighed og risiko. IT-afdelingen vil gerne rådgive om dette. 072 IT-politikkens sikkerhedsområde v 10-THECA Side 9 af 17

10 Sikkerhedskopiering Der er udarbejdet et dokument, der redegør for sikkerhedskopieringen i Movia (dok.nr: 27722) Destruktion af data og databærende medier af enhver art Der er udarbejdet et dokument, der redegør for datadestruktion i Movia. (dok.nr 27721) Datakvalitet Systemer må ikke tages i brug før der er gennemført tilfredsstillende brugertest, hvor omfanget afhænger af væsentlighed og risiko. Efterfølgende ændringer af systemet skal tillige testes. Systemejeren har ansvaret for, at der altid findes en ajourført brugervejledning og forretningsgang. Endvidere er systemejeren ansvarlig for sikkerheden og videreudvikling af systemet. Der henvises til dokumentet Movias IT-trafiksystemer ansvarsfordeling. Virus og spyware Der er etableret sikkerhedsprocedurer, som beskytter IT-systemerne imod virusangreb. Dette skal finde sted, dels ved hjælp af fornuftige værktøjer til at imødegå aktuelle risici, dels ved at motivere de enkelte IT-brugere til varetagelse af god IT-skik. Retningslinier herfor er beskrevet i dokument Virus og spyware. Datakommunikation Mål: Der skal stilles et netværk til rådighed således, at alle IT-brugere kan opnå hurtig og sikker adgang til netressourcer. Samtidig skal det sikres, at uvedkommende ikke kan opnå adgang til Movias IT-systemer. Sikkerhedsforanstaltningerne gælder både interne og eksterne net- og kommunikationsforbindelser. Sikkerheden skal understøttes af drifts- og reaktionsprocedurer til imødegåelse af uønskede hændelser. Fastsættelse af sikkerhedsniveauet skal ske i henhold til mål, nedenstående samt IT-politikken. Netværk Der skal være en klar sikkerhedsmæssig adskillelse mellem Trafikselskabet Movias interne net og eksterne forbindelser til og fra trafikselskabet. Alle eksterne kommunikationsforbindelser skal godkendes af IT-drift, som i samarbejde med leverandøren skal vedligeholde oversigter over kommunikationsudstyr og netværk. Ved ændringer i net- og kommunikationssystemer skal det sikres, at der ikke tilføjes nogen forringelse af sikkerheden. Der skal være indbyggede kontroller i net- og kommunikationssystemerne, der kontrollerer systemernes tilgængelighed, ydeevne, oppetid, driftsstabilitet og IT-sikkerhed. 072 IT-politikkens sikkerhedsområde v 10-THECA Side 10 af

11 Firewall (Brandmur) Indgangsdørene til Movia skal være sikret således, at det kun er autoriserede IT-brugere, som kan komme ind. Adgangen til netværket skal være beskyttet med en firewall. Opsætning og administration af denne skal håndteres sikkerhedsmæssigt forsvarligt. Firewall-software skal løbende vedligeholdes i takt med fremkomsten af stadig flere risici. Firewall skal overvåges og logmateriale fra firewall skal håndteres regelmæssigt og konsekvent. Administration og håndtering af firewall fremgår endvidere af dokument (firewall). Hjemmearbejdspladser / Mobile arbejdspladser Fleksible arbejdspladser kan være pc er med netværksadgang eller enkeltstående pcarbejdspladser, som er placeret i hjemmet eller andre steder. Mobile arbejdspladser dækker nye typer af databærende og databehandlende udstyr, eksempelvis WAP telefoner, Palm pilots, digitale kalendere, stregkodescannere med mere. Det er beskrevet nærmere i dokumenterne (hjemmearbejdspladser) og (netværksadgange). Internet, herunder e-post Der er udarbejdet retningslinier for anvendelse af Internet og e-post på Movias edb-udstyr. Retningslinierne herfor er beskrevet i dokumenterne , og Udvikling og anskaffelse Mål: Ved anvendelse af aftalte forretningsgange og retningslinier skal det sikres, at de systemer der udvikles og vedligeholdes, er pålidelige og effektive. Projektejeren har ansvaret for, at et projekt afleverer et færdigt og velaftestet system til systemejeren. Projektejeren skal endvidere sikre, at der bliver udarbejdet en brugervejledning og en forretningsgang, herunder hvilke interne kontroller, der skal udføres i forbindelse med databehandlingen. De nærmere retningslinier fremgår af de principper, der anvendes i PRINCE2. Ingen systemer må sættes i produktion uden test og godkendelse af en ansvarlig (ofte superbrugeren), som er udpeget af systemejeren. For at sikre, at opdatering af nye programversioner kan ske på sikkerhedsmæssig hensigtsmæssig vis, skal der for alle væsentlige IT-systemer etableres tre miljøer - henholdsvis systemtest, brugertest og produktion. For IT-systemer, som er udviklet hos en leverandør, skal der altid tages stilling til deponering af kildeteksten til de enkelte programmer. Se også afsnit vedrørende Datakvalitet. 072 IT-politikkens sikkerhedsområde v 10-THECA Side 11 af

12 Dokumentation Dokumentationen af systemer og forretningsgange skal sikre, at en almindelig IT-kyndig kan skabe sig tilstrækkelig indsigt i konstruktioner og procedurer til at kunne videreføre systemerne. For alle IT-systemer skal der foretages en vurdering af behovet for dokumentation af virkemåde, sikkerhed, procedurer med videre. Dette gælder tillige driftsopgaver som sikkerhedsadministration og teknisk opsætning. Dokumentationen har blandt andet til formål, at eliminere afhængighed af nøglepersoner. For alle IT-systemer, der behandler data, som danner grundlag for regnskabsaflæggelse, skal dokumentationen leve op til kravene i gældende bogføringslov. Dokumentation skal opbevares betryggende. Begge dele er systemejernes ansvar. Se også afsnit vedrørende Datakvalitet. Drift af IT-systemer Mål: Automatisering og præventive foranstaltninger, herunder kontinuerlig overvågning af IT-udstyrets anvendelse skal sikre en sikker og stabil drift. For ethvert IT-system skal systemejeren sikre, at der udarbejdes driftsaftale med IT-drift. Herved sikres den størst mulig automatisering og præventive foranstaltninger - herunder kontinuert overvågning af IT-udstyrets kapacitet og anvendelse - samt rapportering og opfølgning af alle særlige hændelser (fejl og undtagelser), der har relation til drifts-, systemeller datasikkerheden. Driftsprocedurerne skal tilrettelægges, så det kun er autoriserede brugere, der har adgang til produktionsprogrammer og data. Autorisationen bestemmes af systemejeren. For alle driftsmiljøer skal der foretages en konkret vurdering af behovet for serviceaftale med leverandør. Fravalg af serviceaftale skal begrundes og dokumenteres af systemejer. Et IT-system, som skal afvikles internt, kan ikke komme i drift før der foreligger en driftsaftale med IT-drift. Nødberedskab Mål: At sikre, at væsentlige forretningsgange og opgaver, indenfor en given tidsperiode, kan videreføres i prioriteret og kontrolleret rækkefølge. 072 IT-politikkens sikkerhedsområde v 10-THECA Side 12 af

13 Trafikselskabet skal råde over et ajourført nødberedskab således, at forretningsgangene ikke vil blive unødigt hæmmet i forbindelse med eventuelle nødsituationer i IT-driften. Nødberedskabet skal stå i naturligt forhold til vigtigheden af det driftsmiljø, som skal beskyttes. Systemejere har ansvaret for, at der udarbejdes beredskabsplaner i forhold til afhængigheden af de enkelte IT-systemer. Omfanget af beredskabsplan fastlægges i samarbejde med IT & Udviklingsafdelingen, herunder fastlæggelse af organisationsplan, som i tilfælde af en katastrofe sikrer præcise kompetence- og ansvarsforhold. Beredskabsplan opbevares i tre eksemplarer - en hos IT-chefen, en i IT & Udviklingsafdelingen og en i eksternt tapearkiv/fjernlager. For at sikre den nødvendige teknik og ressourcer i relation til de enkelte beredskabsplaner har IT-chefen ansvaret for, at der udarbejdes en overordnet beredskabsplan for serverrummet, kommunikationsudstyr og netværket. Sanktioner Ansvaret for at efterleve sikkerheden omkring IT-anvendelsen, er placeret hos den enkelte medarbejder. Det skal derfor fremhæves, at overtrædelse af IT-politikkens sikkerhedsområde, herunder relaterede bilag samt den vedtagne IT-politik og vil efter omstændighederne kunne medføre sanktioner. Ved overtrædelse af IT-sikkerheden tages initiativ til at korrigere adfærden. Hvis dette ikke lykkes skal påtale til nærmeste overordnede ske straks. Alle medarbejdere har pligt til at gøre opmærksom på, hvis IT-politikken ikke overholdes. Rapportering om brud på IT-sikkerheden Ved brud på gældende sikkerhedsbestemmelser skal IT-chefen hurtigst muligt informeres om følgende forhold: Dato og tidspunkt for hændelsen. Område eller afdeling hvor hændelsen er sket. Fyldestgørende beskrivelse af hændelsen, herunder hvilken regel der er afveget fra. Afhængig af situationens alvor skal IT-chefen orientere linieledelsen om hændelsen. Ikrafttrædelse IT-politikkens sikkerhedsområde med tilhørende bilag træder i kraft den 1. januar 2007 og afløser hidtil gældende sikkerhedsregler på området. 072 IT-politikkens sikkerhedsområde v 10-THECA Side 13 af

14 Bilag 1: Kontrol og opfølgning En gang om året skal der udarbejdes en sikkerhedsrapport. Formålet med at udarbejde sikkerhedsrapporten hvert år er, at IT-sikkerhedsspørgsmål til en del at dagligdagen og sikre, at IT-sikkerhedsspørgsmål og problemstillinger behandles løbende. Rapporten skal vurdere og belyse følgende områder: 1. Vurdering af dokumentation på brugerniveau Der skal udarbejdes en oversigt over hvilke systemer, der findes brugervejledning og forretningsgange for. På oversigten skal der være angivelse af dokumenternes omfang og kvalitet samt konsekvenserne for IT-sikkerheden ved eventuelle mangler. 2. Vurderingen af IT-driftsmiljø samt dokumentation af programmer og driftsprocedurer Der skal udarbejdes en oversigt over omfanget af dokumentation af programmer og driftsprocedurer samt en vurdering af eventuelle konsekvenser for IT-sikkerheden. Der skal endvidere udarbejdes en oversigt over backupaftaler og procedurer. På oversigten skal det angives, hvor de fysiske backupper opbevares. Endvidere skal IT-driftsmiljøets sikkerhed vurderes, eksempelvis om anvendelsen af et test- og produktionsmiljø bliver fulgt. 3. Vurdering af udviklings-, drifts- og serviceaftaler Der skal udarbejdes en oversigt over hvilke systemer, der forefindes udviklings- drifts- og serviceaftaler for, samt kommentarer til deres indhold og omfang. Herudover skal eventuelle mangler og konsekvenser for IT-sikkerheden vurderes. Det skal checkes om, alle kontrakter med IT-leverandører forefindes i underskreven stand efter gældende retningslinier. Det skal checkes om opgaver og ansvar i henhold til dokumentet IT- trafiksystemer opgaver og ansvarsfordeling bliver efterkommet. 4. Vurdering af den fysiske sikkerhed Der skal udarbejdes en oversigt over de fysiske sikkerhedsforanstaltninger med kommentarer. 5. Vurdering af beredskab ved totalt nedbrud Der skal udarbejdes en rapport med kommentarer til beredskabsplan ved totalt nedbrud. Rapporten skal forelægges og godkendes af direktionen. 072 IT-politikkens sikkerhedsområde v 10-THECA Side 14 af

15 Bilag 2: Retningslinier for den fysiske sikkerhed Den fysiske sikkerhed skal have et niveau, som står i naturligt forhold til de ting, som skal sikres. I Movia skal der derfor sondres imellem centrale enheder og decentrale enheder. Ved centrale enheder forstås servere og komponenter, som er relateret til lokalnettet, mens decentrale enheder omfatter pc er og printere, som er placeret i kontormiljøet. Sikkerhedsklasse I omfatter edb-rum indeholdende servere, kommunikation m.m., hvor den fysiske sikkerhed har højeste prioritet. Teknikrum, krydsfelter og øvrige komponenter til opretholdelse af Movias IT-infrastruktur er tillige omfattet af sikkerhedsklasse I. Sikkerhedsklasse II omfatter IT & Udviklingsafdelingens lokaler, hvor der forefindes væsenligt IT-udstyr og materiale Sikkerhedsklasse III omfatter pc er, printere og øvrigt slutbrugerudstyr, som er placeret på kontorerne. Endvidere er hjemmearbejdspladser og andet periferiudstyr omfattet af sikkerhedsklasse III. Sikkerhedsklasse I Omfatter servere, backupanlæg og kommunikationsudstyr, der som hovedregel er placeret i det centrale edb- og serverrum i IT & Udviklingsafdelingen og telefoncentralen i kælderen. For den del af Movias IT-anvendelse, som har højeste sikkerhedsprioritet, gælder følgende retningslinier for den fysiske sikkerhed: Bygningsindretning Der skal være indrettet et dedikeret lokale til opbevaring af centrale servere. Rummet skal være udformet således, at det kun er muligt at opnå adgang via en hoveddør. Der må - hvis det er muligt - ikke være vinduer. I givet fald skal disse sikres mod indbrud. Lokalet skal altid være aflåst Lokalet skal være udstyret med de fornødne tekniske installationer: El-tilførsel i tilstrækkelige mængder - eventuelt opdelt på flere grupper, nødstrøm, køleanlæg samt brandslukningsudstyr. Samtidig skal lokalet være indbrudssikret og have alarm. Der bør ikke være nogen form for vandgennemføring i lokalet. Alle tekniske installationer skal sikres med samme omhu som selve IT-udstyret. Alarmsystemer Movia skal etableres tilstrækkelige alarmforanstaltninger således, at eventuelle uregelmæssigheder alarmeres til de ansvarlige. Der skal etableres alarm til registrering af indbrud samt indbrudsforsøg. Alarmerne skal være tilsluttet rådighedsvagten og døgnbemandet vagtcentral. Der skal etableres alarm til registrering af brand, dels lydalarm i bygningen, dels alarm til brandvæsen. 072 IT-politikkens sikkerhedsområde v 10-THECA Side 15 af

16 Der skal være alarm på nødstrømsanlæg således, at administrator adviseres ved strømudfald. Der skal være alarm på køleanlæg i serverrum til registrering af temperaturer over en fastsat grænseværdi. Der skal være systemalarmer ved kritiske systemmæssige grænseværdier. Sikkerhedsklasse II Omfatter IT & Udviklingsafdelingens lokaler, hvor der forefindes væsentligt IT-udstyr og materiale. For sikkerhedsklasse II, gælder følgende fysiske sikkerhed: Bygningsindretning Pc er, printere og øvrige komponenter, der benyttes til overvågning, drift og udvikling, skal opbevares i sikrede omgivelser således, at uautoriseret adgang minimeres. Der skal, afhængig af de fysiske rammer, etableres de fornødne tekniske installationer, i overensstemmelse med sikkerhedsklasse I. Dette gælder primært el-forsyning og alarmer. Adgangskontrol Det er kun Movias ansatte som må have fysisk adgang til IT & Udviklingsafdelingen. Uden for normal arbejdstid skal adgang til IT & Udviklingsafdelingen være yderligere sikret sikret med særligt låsesystem (kort eller nøgle). Alarmsystemer Uden for normal arbejdstid skal der etableres alarmforanstaltninger på relevante lokaler således, at eventuelle uregelmæssigheder alarmeres til de ansvarlige i overensstemmelse med sikkerhedsklasse I. Sikkerhedsklasse III Omfatter almindeligt IT-udstyr, som er placeret i kontormiljøer, primært pc er og printere. Endvidere omfatter sikkerhedsklasse III hjemmearbejdspladser og forskelligt perifert udstyr. For sikkerhedsklasse III gælder følgende fysiske sikkerhed: Bygningsindretning Pc er, printere og øvrige komponenter skal opbevares i sikrede omgivelser således, at uautoriseret adgang minimeres. Der skal - afhængig af de fysiske rammer, etableres de fornødne tekniske installationer, i overenstemmelse med sikkerhedsklasse I. Dette gælder primært el-forsyning og alarmer. Adgangskontrol Det er kun Movias ansatte, som må have adgang til pc er, printere og øvrige komponenter. IT-drift har ansvaret for, at IT-udstyret er funktionsdygtigt. 072 IT-politikkens sikkerhedsområde v 10-THECA Side 16 af

IT-politik i Trafikselskabet Movia. Version 1.0

IT-politik i Trafikselskabet Movia. Version 1.0 Bestyrelsen den 9. august 2007 Dagsordenens punkt 07 - IT-politik for Movia Bilag 1 IT-politik i Trafikselskabet Movia Version 1.0 Oprettet: 23. januar 2007 CBL / IUa Indholdsfortegnelse Indledning...3

Læs mere

Faaborg-Midtfyn Kommunes it-sikkerhedspolitik Udkast pr. 26. maj 2009

Faaborg-Midtfyn Kommunes it-sikkerhedspolitik Udkast pr. 26. maj 2009 1. Indledning It-anvendelsen i Faaborg-Midtfyn Kommune skal understøtte kommunens vision. Samtidig ønsker Faaborg- Midtfyn Kommune, at medarbejderne har en bevidst holdning til begrebet it-sikkerhed, hvor

Læs mere

IT-SIKKERHEDSPOLITIK UDKAST

IT-SIKKERHEDSPOLITIK UDKAST IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens

Læs mere

IT sikkerhedspolitik. for. Fredericia Kommune

IT sikkerhedspolitik. for. Fredericia Kommune IT sikkerhedspolitik for Fredericia Kommune Side 1 af 17 Versionsstyring Versionsnummer Dato for version Ændring Årsag Ansvar 1.00 01.06.2013 Ny politik godkendt i byrådet PerToftdahl Side 2 af 17 Versionsstyring...

Læs mere

IT Sikkerhedspolitik. for. Tønder kommune

IT Sikkerhedspolitik. for. Tønder kommune Udkast IT Sikkerhedspolitik for Tønder kommune Side 1 af 13 Indhold Version.... 3 Indledning... 4 Formålet med IT Sikkerhedspolitikken.... 4 Hvem er omfattet af IT Sikkerhedspolitikken.... 5 Ansvar og

Læs mere

OVERORDNET IT-SIKKERHEDSPOLITIK

OVERORDNET IT-SIKKERHEDSPOLITIK OVERORDNET IT-SIKKERHEDSPOLITIK Indholdsfortegnelse 1. Indledning....3 2. Formål...3 3. Sikkerhedspolitik...3 4. Dækningsormåde...4 5. Sikkerhedsniveau....4 6. Organisation og ansvar...4 7. Opfølgning...5

Læs mere

IT-sikkerhedspolitik for

IT-sikkerhedspolitik for Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs

Læs mere

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser INDHOLDSFORTEGNELSE 1. Baggrund og formål... 2 2. Ansvarsfordeling... 2 2.1 Jobcenterchefens ansvar... 2 2.2 Gensidig informationspligt... 3 3. Krav til

Læs mere

Datasikkerhedspolitik

Datasikkerhedspolitik Datasikkerhedspolitik Godkendt i Byrådet den 10.november 2008 1 Datasikkerhedspolitik Indhold 1. Indledning 2. Organisation og ansvarsfordeling 2.1 Ansvarsorganisation for datasikkerhed 2.2 Øverste og

Læs mere

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.

Læs mere

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014 Aarhus Kommune IT-sikkerhedspolitik Politik 25-04-2014 Indholdsfortegnelse Politik 1 Indledning 1 Formål 1 Politikkens omfang 2 Ledelsesansvar 2 IT-sikkerhedsorganisationen 2 IT-sikkerhedsniveau 3 IT-sikkerhedshåndbogen

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

Edb-udstyret skal fysisk være beskyttet, så en person der søger at angribe Randers kommunes netværk ikke har uhindret adgang til edb-udstyret.

Edb-udstyret skal fysisk være beskyttet, så en person der søger at angribe Randers kommunes netværk ikke har uhindret adgang til edb-udstyret. Bilag 2 Fysisk sikkerhed 1 Hvorfor fysisk sikkerhed Sikkerheden i et hvert edb-system er grundlæggende afhængigt af, at kravene til den fysiske sikkerhed er opfyldt. Disse krav til fysisk sikkerhed skal

Læs mere

Cirkulære om sikkerhedsforanstaltninger i Kirkenettet

Cirkulære om sikkerhedsforanstaltninger i Kirkenettet Cirkulære om sikkerhedsforanstaltninger i Kirkenettet Cirkulæret omhandler organisatoriske forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af adgangskontrolordninger og autorisationsordninger

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

IT-sikkerhedspolitik. for. Gladsaxe Kommune

IT-sikkerhedspolitik. for. Gladsaxe Kommune IT-sikkerhedspolitik for Gladsaxe Kommune INDHOLD 1. IT-sikkerhedspolitik 1.1 Baggrund for IT-sikkerhedspolitikken 2. Begreber og definitioner 3. IT-sikkerhedspolitikken 3.1 Hovedmålsætninger med IT-sikkerhedspolitikken

Læs mere

Sikkerhedsinstruks for IT-brugere hos Randers Kommune. Bilag 1

Sikkerhedsinstruks for IT-brugere hos Randers Kommune. Bilag 1 Sikkerhedsinstruks for IT-brugere hos Randers Kommune Bilag 1 20. marts 2007 Samtlige IT-brugere af Randers kommunes IT skal kende nærværende retningslinier. Retningslinierne vil blive ajourført af IT-sikkerhedslederen,

Læs mere

fortrolighed: omfatter en sikring af, at information kun er tilgængelig for personer, som er berettigede

fortrolighed: omfatter en sikring af, at information kun er tilgængelig for personer, som er berettigede Tillæg 3 1 1 IT-sikkerhedspolitik for Ballerup Kommune 1.1 Baggrund for IT-sikkerhedspolitikken Ballerup Kommune anvender på flere områder og i større omfang IT for at leve op til de krav, som borgere,

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven).

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven). Bilag 6 Databehandleraftale og databehandlerinstruks 1. Leverandøren overholder de til enhver tid gældende regler og forskrifter for behandling af personoplysninger under Kontrakten, herunder: lov nr.

Læs mere

Guide til sikker it. Daglig brug Programmer E-mail Internet Databehandling

Guide til sikker it. Daglig brug Programmer E-mail Internet Databehandling Guide til sikker it Daglig brug Programmer E-mail Internet Databehandling Hvilke retningslinjer skal du følge som it-bruger i Hillerød Kommune? Indhold Daglig brug af din computer 4 Computere, programmer

Læs mere

Informationssikkerhedspolitik for Vejen Kommune

Informationssikkerhedspolitik for Vejen Kommune Informationssikkerhedspolitik for Vejen Kommune Denne politik er godkendt af byrådet d. xx. Og træder i kraft d. xx. Seneste version er tilgængelig på intranettet. Indledning Vejen Byråd fastlægger med

Læs mere

It-sikkerhed i Dansk Supermarked

It-sikkerhed i Dansk Supermarked It-sikkerhed i Dansk en kort introduktion It-sikkerhed i Dansk 1 Velkommen som it-bruger i Dansk Kære medarbejder Brug af it er for mange i Dansk en naturlig del af arbejdsdagen. Hvis vi skal sikre vores

Læs mere

Instrukser for brug af it

Instrukser for brug af it it sikkerhed Instrukser for brug af it Må Skal ikke Kan Januar 2010 Version 1.0 Indhold Forord................................................... 3 Resumé.................................................

Læs mere

Databehandleraftale. Der er indgået denne Databehandlingsaftale ("Aftale") mellem

Databehandleraftale. Der er indgået denne Databehandlingsaftale (Aftale) mellem Oktober 2014 Sagsnr. 013928-0190 cen/dla Databehandleraftale Der er indgået denne Databehandlingsaftale ("Aftale") mellem Fredericia Kommune Gothersgade 20 7000 Frdericia CVR-nr.: 69116418 ("Kommunen")

Læs mere

It-sikkerhedspolitik for Københavns Kommune

It-sikkerhedspolitik for Københavns Kommune Københavns Kommune Koncernservice It-sikkerhedspolitik for Københavns Kommune 2015-02-05 It-sikkerhedshåndbog for Københavns Kommune It-sikkerhedspolitik for Københavns Kommune Publiceret: 2014-07-03 Mål

Læs mere

Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S. Sendt til: mt@etikportalen.dk

Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S. Sendt til: mt@etikportalen.dk Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S Sendt til: mt@etikportalen.dk 14. marts 2013 Vedrørende behandling af personoplysninger hos Etik Portalerne ApS Datatilsynet Borgergade 28,

Læs mere

Lovtidende A. Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler

Lovtidende A. Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler Lovtidende A Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler I medfør af 199, stk. 12, og 373, stk. 4, i lov om finansiel virksomhed, jf. lovbekendtgørelse nr. 911 af 4. august

Læs mere

Regulativ for it-sikkerhed i Københavns Kommune

Regulativ for it-sikkerhed i Københavns Kommune Regulativ for it-sikkerhed i Københavns Kommune 2013 2. I medfør af 5 i Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som

Læs mere

RETNINGSLINJER FOR TV-OVERVÅGNING I BOLIGFORENINGEN VIBO

RETNINGSLINJER FOR TV-OVERVÅGNING I BOLIGFORENINGEN VIBO RETNINGSLINJER FOR TV-OVERVÅGNING I BOLIGFORENINGEN VIBO Definition Ved tv-overvågning forstås vedvarende eller periodisk gentagen overvågning af både udendørs- og indendørs arealer ved hjælp af automatisk

Læs mere

Balancen mellem de interne nødvendigheder og de eksterne påvirkninger reguleres i kommunens it-strategi som præsenteres herunder.

Balancen mellem de interne nødvendigheder og de eksterne påvirkninger reguleres i kommunens it-strategi som præsenteres herunder. It-strategi 1.0 Indledning Flere og flere forretningsprocesser i kommunerne stiller krav til it-understøttelse, og der er store forventninger til at den offentlige sektor hænger sammen inden for it-området.

Læs mere

NSP Servicevilkå r for Indirekte GW LEVERANDØR

NSP Servicevilkå r for Indirekte GW LEVERANDØR NSP Servicevilkå r for Indirekte GW LEVERANDØR Parter Denne aftale om at anvende den Nationale Serviceplatform (NSP) er indgået mellem Statens Serum Institut (SSI) v/national Sundheds-it (NSI) som systemansvarlig

Læs mere

IT-retningslinier og sikkerhedspolitik for Viborg Kommunes Skole IT. - gældende for undervisere

IT-retningslinier og sikkerhedspolitik for Viborg Kommunes Skole IT. - gældende for undervisere IT-retningslinier og sikkerhedspolitik for Viborg Kommunes Skole IT - gældende for undervisere August 2009 IT retningslinier og sikkerhedspolitik for Viborg kommunes Skole IT - gældende for undervisere

Læs mere

Regionernes politiske linje for informationssikkerhed

Regionernes politiske linje for informationssikkerhed Regionernes politiske linje for informationssikkerhed 1 / SUNDHEDSDATA I TRYGGE HÆNDER / Danske Regioner 2015 Regionernes politiske linje for informationssikkerhed Danske Regioner 2015 Layout: UHI, Danske

Læs mere

Tænk når du taster. kom nærmere

Tænk når du taster. kom nærmere Tænk når du taster kom nærmere Regler for medarbejdernes brug af TDC s pc-arbejdspladser Nedenfor kan du læse om de regler, TDC s Direktion har vedtaget for brugen af koncernens*) pc-arbejdspladser Reglerne

Læs mere

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Den finansielle sektor er i dag 100% afhængig af, at it-løsninger er kørende og herudover er sikret i tilfælde af, at noget

Læs mere

Databeskyttelse og cyber risk-forsikringer

Databeskyttelse og cyber risk-forsikringer Databeskyttelse og cyber risk-forsikringer v/ partner Anne Buhl Bjelke & Den offentlige uddannelsesdag 2014 persondataspecialist Charlotte Bagger Tranberg Persondataretlige aspekter Personoplysninger kun

Læs mere

frcewtfrhousf(wpers ml

frcewtfrhousf(wpers ml frcewtfrhousf(wpers ml PricewaterhouseCoopers Statsautoriseret Revisionsaktieselskab Nobelparken Jens Chr. Skous Vej I 8000 Árhus C www.pwc.dk Telefon 89 32 00 00 Telefax 89 32 00 IO Erklæring vedrørende

Læs mere

IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR

IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR 1 HUSK n Adgangskoder må ikke videregives til andre. n Andre må ikke anvende din personlige bruger-id. n Ved mistanke om, at andre har fået kendskab

Læs mere

IT-sikkerhedspolitik for Gladsaxe Kommune. 2. Del (RETNINGSLINIER)

IT-sikkerhedspolitik for Gladsaxe Kommune. 2. Del (RETNINGSLINIER) IT-sikkerhedspolitik for Gladsaxe Kommune 2. Del (RETNINGSLINIER) INDHOLDSFORTEGNELSE 1. ORGANISATION OG ANSVAR 5 1.1. MÅLSÆTNING 5 1.2 RETNINGSLINIER 5 1.2.1 SIKKERHEDSORGANISATIONEN 5 1.2.2 IT-SIKKERHEDSUDVALGET

Læs mere

Byrådsservice 2005. EDB anvendelse. i Odder Kommune

Byrådsservice 2005. EDB anvendelse. i Odder Kommune Byrådsservice 2005 EDB anvendelse i Odder Kommune Godkendt i byrådet, den 12. maj 1997 Indholdsfortegnelse: Sikkerhedsorganisation...3 Fysisk sikring...4 Adgangskontrol-ordninger...5 Tildeling af Autorisationskoder...6

Læs mere

Retningslinjer om brugeransvar

Retningslinjer om brugeransvar Retningslinjer om brugeransvar April 2015 Movia Design/Mette Malling 04.15. Fotos: Movia Indhold Pas på vores Movia 5 Movias målsætninger 6 Hvem har ansvaret? 8 Fortrolighed 9 Movias omdømme 11 Pas på

Læs mere

Torben Waage www.kromannreumert.com/insights. Partner

Torben Waage www.kromannreumert.com/insights. Partner Torben Waage IT-SIKKERHEDEN SKAL OP PÅ LEDELSESNIVEAU Hvert år bliver der brugt milliarder af kroner på at beskytte digitale aktiver, så fortrolige informationer undgår at finde vej til offentligheden.

Læs mere

Oversigt (indholdsfortegnelse)

Oversigt (indholdsfortegnelse) Oversigt (indholdsfortegnelse) Kapitel 1 - Almindelige bestemmelser Kapitel 2 - Generelle sikkerhedsbestemmelser Kapitel 3 - Supplerende sikkerhedsforanstaltninger for anmeldelsespligtige behandlinger

Læs mere

Informationssikkerhed Version 2.0 29.09.10

Informationssikkerhed Version 2.0 29.09.10 Informationssikkerhed Version 2.0 29.09.10 Retningslinjer for retablering af systemer og data (Ændringer i forhold til tidligere version er markeret med Understregning) Disse retningslinjer beskriver de

Læs mere

Kære medarbejder og leder

Kære medarbejder og leder Kære medarbejder og leder Adgang til informationer i it-systemer og elektronisk kommunikation er for de fleste medarbejdere i Region Hovedstaden en selvfølgelig del af arbejdsdagen. Hvis vi ikke har adgang

Læs mere

Service Level Agreement (SLA)

Service Level Agreement (SLA) Service Level Agreement (SLA) vedrørende IT-Backend mellem Gymnasiefællesskabet og Allerød Gymnasium Roskilde Katedralskole Roskilde Gymnasium Himmelev Gymnasium Greve Gymnasium Solrød Gymnasium Køge Gymnasium

Læs mere

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) 1 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-951-4 0.05.12

Læs mere

Hjemmearbejdspladser

Hjemmearbejdspladser Hjemmearbejdspladser Vejledning om it-sikkerhed på pc-hjemmearbejdspladser September 2007 ITEK og Dansk Industri Udgivet af: ITEK og Dansk Industri Redaktion: Henning Mortensen og Rasmus Aasted ISBN: 87-7353-662-8

Læs mere

Retningslinier for brug af it i Aalborg Kommune, tilrettet til lærerbrug

Retningslinier for brug af it i Aalborg Kommune, tilrettet til lærerbrug Retningslinier for brug af it i Aalborg Kommune, tilrettet til lærerbrug Udviklingen på området gør, at disse retningslinier vil blive revideret løbende Indhold: Indledning...3 Adgang til skolens net...3

Læs mere

Instrukser for brug af dataudstyr ved OUH

Instrukser for brug af dataudstyr ved OUH Skal Kan Må ikke Instrukser for brug af dataudstyr ved OUH Afdelingen for Driftsoptimering og IT Vi er til for borgerne, og bruger dataudstyr for at sikre effektivitet og kvalitet. Vi skal have en høj

Læs mere

Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6

Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6 Indholdsfortegnelse Generelt 3 Formål 3 Omfang 4 It-sikkerhedsniveau 4 Styring 5 Sikkerhedsbevidsthed 6 Brud på it-sikkerheden 6 Anvendelse af politik for it-sikkerhed i praksis 6 Bilag 1. Anvendelse af

Læs mere

Forskrift G - Diskretionspolitik og procedurer omkring datasikkerhed

Forskrift G - Diskretionspolitik og procedurer omkring datasikkerhed Forskrift G - Diskretionspolitik og procedurer omkring datasikkerhed December 2007 Rev. 1 Nov. 2006 Nov. 2006 Jan. 2007 Jan. 2007 DATE LEG BCM/MRP LEG LSO NAME Nov. 2006 DATE HEP/LEG NAME REV. DESCRIPTION

Læs mere

Studér denne folder for vores sikkerheds skyld

Studér denne folder for vores sikkerheds skyld Studér denne folder for vores sikkerheds skyld Pas på vores værdifulde viden Vi fremskaffer og formidler viden. Elektronisk, skriftligt og mundtligt. Det er Københavns Universitets væsentligste aktivitet

Læs mere

Advokat (H), partner Anders Aagaard. Ledelsesansvar for IT-sikkerhed

Advokat (H), partner Anders Aagaard. Ledelsesansvar for IT-sikkerhed Advokat (H), partner Anders Aagaard Ledelsesansvar for IT-sikkerhed 1 AGENDA Ledelsens opgaver og ansvar Persondataforordningen Cases 2 Ledelsens opgaver og ansvar Selskabsloven hard law: SL 115: I kapitalselskaber,

Læs mere

SIKRING AF BORGERNES PERSONOPLYSNINGER ENDELIG RAPPORT

SIKRING AF BORGERNES PERSONOPLYSNINGER ENDELIG RAPPORT SIKRING AF BORGERNES PERSONOPLYSNINGER ENDELIG RAPPORT BORGERRÅDGIVERENS EGEN DRIFT-UNDERSØGELSER INDHOLDSFORTEGNELSE 1. INDLEDNING 3 2. KONKLUSION OG SAMMENFATNING 4 3. KONSEKVENSER 6 4. FORSLAG, HENSTILLINGER

Læs mere

Bilag 2A: IT-status i Ikast-Brande Kommune. Januar 2014

Bilag 2A: IT-status i Ikast-Brande Kommune. Januar 2014 Bilag 2A: Januar 2014 Side 1 af 5 1. Indledning... 3 2. Statusbeskrivelse... 3 3. IT infrastruktur og arkitektur... 4 3.1. Netværk - infrastruktur... 4 3.2. Servere og storage... 4 3.3. Sikkerhed... 4

Læs mere

Hvilke retningslinjer skal du følge som bruger i Norddjurs Kommune?

Hvilke retningslinjer skal du følge som bruger i Norddjurs Kommune? Hvilke retningslinjer skal du følge som bruger i Norddjurs Kommune? Som bruger i Norddjurs Kommune er du ansvarlig for det, du foretager dig på din computer og for de oplysninger, som du gemmer. Det betyder,

Læs mere

Tabulex ApS. Februar 2011 7. erklæringsår. R, s

Tabulex ApS. Februar 2011 7. erklæringsår. R, s Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2011 7. erklæringsår

Læs mere

Sikkerhedspolitik Version 4.0506 d. 6. maj 2014

Sikkerhedspolitik Version 4.0506 d. 6. maj 2014 Nærværende dokument beskriver de sikkerhedsforanstaltninger, som leverandøren har opstillet til den interne fysiske sikkerhed, datasikkerhed, logisk sikkerhed og sikkerhed i forbindelse med netværk, firewall

Læs mere

Kasse- og regnskabsregulativ

Kasse- og regnskabsregulativ Kasse- og regnskabsregulativ Godkendt af Byrådet den xx maj 2014, pkt. xxx Indholdsfortegnelse 1. Indledning... 2 1.1. Formål... 2 1.2. Godkendelse og ansvar... 2 1.3. Delegation... 2 2. Økonomistyring...

Læs mere

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1 Tilgængelighed, fortrolighed og integritet. Høj kvalitet i informationssikkerhed og dokumentation Hvilken betydning har principper og anbefalinger i sikkerhedsstandarden ISO 27001 for kvaliteten af dokumentationen?

Læs mere

Ny IT sikkerhedspolitik. for. Jammerbugt Kommune

Ny IT sikkerhedspolitik. for. Jammerbugt Kommune Ny IT sikkerhedspolitik for Jammerbugt Kommune Udkast november 2104 IT Sikkerhedspolitik, Jammerbugt Kommune Side 1 af 22 Versionsstyring Version nr. Dato for version Ændring Årsag Ansvar 01.02 26.11.2014

Læs mere

Greve Kommune. It-sikkerhedspolitik. 6. Udkast november 2010

Greve Kommune. It-sikkerhedspolitik. 6. Udkast november 2010 Greve Kommune It-sikkerhedspolitik 6. Udkast november 2010 Indhold 1. Introduktion til it-sikkerhedspolitikken... 5 Baggrund... 5 Formål... 5 Gyldighed og omfang... 6 2. Organisation og ansvar... 6...

Læs mere

It-sikkerhedstekst ST2

It-sikkerhedstekst ST2 It-sikkerhedstekst ST2 Overvejelser om sikring mod, at personoplysninger kommer til uvedkommendes kendskab i forbindelse med Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST2 Version

Læs mere

Digital Signatur Sikker brug af digital signatur

Digital Signatur Sikker brug af digital signatur Digital Signatur IT- og Telestyrelsen December 2002 Resumé Myndigheder, der ønsker at indføre digital signatur, må ikke overse de vigtige interne sikkerhedsspørgsmål, som teknologien rejser. Det er vigtigt,

Læs mere

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer plus revision skat rådgivning TABULEX ISAE 3000 DK ERKLÆRING MARTS 2013 Erklæring fra uafhængig revisor om Tabulex ApS overholdelse af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger

Læs mere

Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk

Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk 9. april 2013 Dokumentnr.: CKG Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk Indhold: 1. Organisation...2 2. Serviceydelser...3 3. Teknik...6 4. Gældende regler...9 1/9 1. Organisation

Læs mere

Nr. 1 16. juli 2014. Vegleiðing til kunngerð um útveiting av týðandi virkisøkjum

Nr. 1 16. juli 2014. Vegleiðing til kunngerð um útveiting av týðandi virkisøkjum Nr. 1 16. juli 2014 Vegleiðing til kunngerð um útveiting av týðandi virkisøkjum (Vejledning til bekendtgørelse om outsourcing af væsentlige aktivitetsområder) 1. Indledning 1.1. Kunngerð nr. 1 frá 16.

Læs mere

Faxe Kommune Revision af generelle itkontroller

Faxe Kommune Revision af generelle itkontroller Faxe Kommune Revision af generelle itkontroller 2012 August 2013 Ib Østergaard Rasmussen Faxe Kommune Frederiksgade 9 4690 Haslev 13. august 2013 Formål Vi har i juli/august måned 2013 foretaget revision

Læs mere

BEREDSKAB OG SERVICE, PERSONALE, ØKONOMI RISIKOSTYRINGSPOLITIK FOR ODSHERRED KOMMUNE

BEREDSKAB OG SERVICE, PERSONALE, ØKONOMI RISIKOSTYRINGSPOLITIK FOR ODSHERRED KOMMUNE Risikostyring = tag vare på dit, mit og vores - og på dig, mig og os BEREDSKAB OG SERVICE, PERSONALE, ØKONOMI RISIKOSTYRINGSPOLITIK FOR ODSHERRED KOMMUNE 1 Indholdsfortegnelse Risikostyring... 3 Det er

Læs mere

Retningslinier. for. Video-overvågning i Faxe Kommune

Retningslinier. for. Video-overvågning i Faxe Kommune Retningslinier for Video-overvågning i Faxe Kommune Formål Formålet med i Faxe Kommune er at beskytte kommunens ejendomme og værdier mod kriminelle handlinger samt tilføre tryghed for ansatte i kommunen

Læs mere

Udgivet af DANSK ERHVERV

Udgivet af DANSK ERHVERV GODE RÅD OM Internet og e-mail 2008 gode råd om INTERNET OG E-MAIL Udgivet af DANSK ERHVERV Læs i denne pjece om: Indholdsfortegnelse 1. Indledning 3 2. Retningslinjer 3 3. Privat brug af Internet og e-mail

Læs mere

It-sikkerhedstekst ST4

It-sikkerhedstekst ST4 It-sikkerhedstekst ST4 Datatransmission af personoplysninger på åbne net Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST4 Version 1 Oktober 2014 Datatransmission af personoplysninger

Læs mere

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09 Aabenraa Kommune Informationspolitik : 2014-04-09 Aabenraa Kommune 29. august 2012 Informationspolitik Overordnet Informationssikkerhedspolitik for Aabenraa Kommune Velkommen til Aabenraa Komune s overordnede

Læs mere

Hosting. Managed Hosting - Læg jeres IT ud af huset - og spar tid og besvær.

Hosting. Managed Hosting - Læg jeres IT ud af huset - og spar tid og besvær. Hosting Managed Hosting - Læg jeres IT ud af huset - og spar tid og besvær. Mange virksomheder bruger i dag alt for mange ressourcer på at vedligeholde egne servere og IT-løsninger. Men faktisk er hosting

Læs mere

Domstolsstyrelsens årsberetning 2005 om persondataloven

Domstolsstyrelsens årsberetning 2005 om persondataloven Domstolsstyrelsen Administrationskontoret KFJ12188/Sagsbeh. KFJ J.nr. 2205-2006-1.2 11. januar 2006 Domstolsstyrelsens årsberetning 2005 om persondataloven Indhold: Domstolsstyrelsens tilsynsopgave s.

Læs mere

IT-partner gennem 25 år

IT-partner gennem 25 år IT-partner gennem 25 år TOTAL IT-LEVERANDØR Hosting Økonomisystemer (ERP) Teknik Support Hardware Software 25 ÅRS ERFARING I EN BRANCHE I RIVENDE UDVIKLING MONTES blev grundlagt i en kælder i Hjørring

Læs mere

TV-overvågning - etiske anbefalinger

TV-overvågning - etiske anbefalinger TV-overvågning - etiske anbefalinger kopiering tilladt med kildeangivelse Network Indledning TV-overvågning er et område i meget stærk vækst - både med hensyn til hvad angår hvor, hvordan og af hvem det

Læs mere

2. Overordnet IT-strategi for IT-fællesskabets. IT-strategien indeholder følgende tre udsagn:

2. Overordnet IT-strategi for IT-fællesskabets. IT-strategien indeholder følgende tre udsagn: IT STRATEGI for Kalundborg Gymnasium og HF 1. Indledning Der er ikke siden statusrapporten fra år 2000 udarbejdet en egentlig IT-strategi for Kalundborg Gymnasium og HF, men på baggrund af en række eksterne

Læs mere

Greve Kommune. Revision af generelle it-kontroller 2011

Greve Kommune. Revision af generelle it-kontroller 2011 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 0 30 Telefax 36 10 0 40 www.deloitte.dk Greve Kommune Revision af generelle

Læs mere

Sikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005

Sikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005 Sikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005 INDHOLDSFORTEGNELSE 1. INTRODUKTION... 3 1.1 FORMÅL... 3 2 FYSISK SIKKERHED... 4 2.1 MILJØ OG SIKRING... 4 2.2 ADGANGSKONTROL... 5 3 HARDWARE...

Læs mere

Risikostyring ifølge ISO27005 v. Klaus Kongsted

Risikostyring ifølge ISO27005 v. Klaus Kongsted Risikostyring ifølge ISO27005 v. Klaus Kongsted Agenda Dubex A/S Formålet med risikovurderinger Komponenterne Risikovurderinger Dubex A/S fakta og værdier Den førende sikkerhedspartner De bedste specialister

Læs mere

Punkter som ikke synes relevante for det givne projekt besvares med: ikke relevant

Punkter som ikke synes relevante for det givne projekt besvares med: ikke relevant Modtagelseserklæring Modtagelseserklæring for AAU ITS Infrastruktur version 4. Anvendelse Modtagelseserklæringen skal anvendes i forbindelse med projekter drevet af PMO, AIU eller IFS. Projektlederen er

Læs mere

IT-Center Syd IT-Ydelseskatalog

IT-Center Syd IT-Ydelseskatalog IT-Ydelseskatalog April 2011 /PEM pem@itcsyd.dk Side 1/14 - Deres ref.: Vores ref.: Indholdsfortegnelse IT-Ydelseskatalog... 1 Indledning... 3 IT organisation... 3 Afdelingstruktur... 3 Adgang/Licenser

Læs mere

Databehandleraftale 2013

Databehandleraftale 2013 Databehandleraftale 2013 For kunder, som anvender hostede/saas INNOMATE HR løsninger 1, forpligter INNOMATE a/s sig på følgende Databehandleraftale: 1. I overensstemmelse med Persondataloven, er INNOMATE

Læs mere

Sådan håndterer Danish Crown sin industrielle IT-sikkerhed

Sådan håndterer Danish Crown sin industrielle IT-sikkerhed Sådan håndterer Danish Crown sin industrielle IT-sikkerhed DAU d. 7 marts 2013 CV Firma : Navn : Afdeling : Titel : Alder : Danish Crown A/S Thomas Page Pedersen Factory IT Afdelingschef 43 år Danish Crown

Læs mere

Sotea ApS. Indholdsfortegnelse

Sotea ApS. Indholdsfortegnelse Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med varetagelsen af den fysiske sikkerhed i perioden 01. juni 2013 til 31. maj

Læs mere

Arbejdsmiljøguide for Odder Kommune

Arbejdsmiljøguide for Odder Kommune Arbejdsmiljøguide for Odder Kommune 1. Politikker Logpolitik Dok. Nr. 1.12 Version: 1 Niveau: 2 Dato 050508 Side 1 af 9 Logpolitik Formål At fastlægge og beskrive ansvar, pligter og konsekvenser når medarbejdere

Læs mere

Kasse- og Regnskabsregulativ for Middelfart Kommune

Kasse- og Regnskabsregulativ for Middelfart Kommune Kasse- og Regnskabsregulativ for Middelfart Kommune Regulativet er udarbejdet i henhold til Styrelseslovens 42, stk. 7. Indholdsfortegnelse 1 GENERELLE FORVALTNINGSBESTEMMELSER... 3 1.1 Indledning... 3

Læs mere

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet Sammenfatning Denne vejledning adresserer risikoen for industrispionage fra statssponserede aktører i udlandet mod

Læs mere

Rammekontraktbilag M. Regulativ for it-sikkerhed

Rammekontraktbilag M. Regulativ for it-sikkerhed Rammekontraktbilag M Regulativ for it-sikkerhed 2 Indholdsfortegnelse Kapitel 1 - Regulativets anvendelsesområde, formål og omfang... 4 Kapitel 2 - Definitioner... 4 Kapitel 3 - Organisatoriske forhold...

Læs mere

Sikkerhed. Sikkerhedsområder. Fysisk sikkerhed. Sikkerhed og persondata mv

Sikkerhed. Sikkerhedsområder. Fysisk sikkerhed. Sikkerhed og persondata mv Sikkerhed Sikkerhed og persondata mv Sikkerhedsområder Fysisk sikkerhed Logisk sikkerhed Kommunikationssikkerhed Datasikkerhed Backup Det organisatoriske aspekt Fysisk sikkerhed - hærværk, tyveri og anden

Læs mere

Overordnede økonomistyringsprincipper for Silkeborg Kommune

Overordnede økonomistyringsprincipper for Silkeborg Kommune Overordnede økonomistyringsprincipper for Silkeborg Kommune Økonomistaben August 2006 Revideret november 2009 Revideret november 2010 De overordnede økonomistyringsprincipper er udarbejdet i henhold til

Læs mere

Beredskabsplan (delplan) - Administrationen

Beredskabsplan (delplan) - Administrationen Beredskabsplan (delplan) - Administrationen Udarbejdet af: Morten Hedelund Hougaard Dato: 01-10-2009 Sagsid.: 00.08.00-P15-1-09 Version nr.: 1 Faaborg-Midtfyn Kommunes beredskabsplan for administrationen

Læs mere

Informationssikkerhedspolitik for

Informationssikkerhedspolitik for <organisation> 1 Informationssikkerhedspolitik for Indholdsfortegnelse Side 1. Indledning 4 1.1 Formål med informationssikkerhedspolitikken 4 1.2 Hovedmålsætninger i informationssikkerhedspolitikken 4

Læs mere

RÅDET FOR DIGITAL SIKKERHED GUIDE TIL SIKRING AF FORBRUGER- ELEKTRONIK PÅ INTERNETTET

RÅDET FOR DIGITAL SIKKERHED GUIDE TIL SIKRING AF FORBRUGER- ELEKTRONIK PÅ INTERNETTET GUIDE TIL SIKRING AF FORBRUGER- ELEKTRONIK PÅ INTERNETTET TING PÅ INTERNETTET Internet of things er et moderne begreb, som dækker over, at det ikke længere kun er computere, der er på internettet. Rigtig

Læs mere

LOKALAFTALE OM TELE- OG HJEMMEARBEJDSPLAD- SER FOR ÅRHUS KOMMUNE

LOKALAFTALE OM TELE- OG HJEMMEARBEJDSPLAD- SER FOR ÅRHUS KOMMUNE Bilag 2 LOKALAFTALE OM TELE- OG HJEMMEARBEJDSPLAD- SER FOR ÅRHUS KOMMUNE AFTALENS OMRÅDE 1. Aftalen er gældende for ansatte i Århus Kommune. Aftalen indgås mellem Århus Kommune og Den kommunale fællesrepræsentation

Læs mere

Politik for Fortsat Drift Silkeborg Kommune

Politik for Fortsat Drift Silkeborg Kommune Politik for Fortsat Drift Silkeborg Kommune 2014-2017 Direktionen Indledning Silkeborg Kommune har ansvaret for at drive en række kritiske funktioner med direkte påvirkning af borgere og virksomheder.

Læs mere