ITIL og DS484/ISO27001
|
|
- Marcus Thøgersen
- 8 år siden
- Visninger:
Transkript
1 ITIL og DS484/ISO27001 Sikkerhed for sikkerhedens skyld? Allan Bjerre Afdelingsleder, Service Delivery Management Siemens IT Solutions & Services Siemens IT Solutions & Services 2008 Slide 1 af 289
2 Agenda Siemens Koncernen ISO27001 & DS484 rammen om informationssikkerhed Hvordan mødes Service Desk & ISO27001/DS484 Praktiske Eksempler Konklusion 2
3 Siemens Koncernen 3
4 3 sektorer Industry Energy Healthcare Cross-Sector activities Automation and Drives Industrial Solutions and Services Siemens Building Technologies Transportation Systems OSRAM Power Generation Power Transmission and Distribution Medical Solutions IT Solutions and Services Siemens Financial Services Ca medarbejdere 4
5 Siemens IT Solutions & Services en Global spiller 5
6 Siemens IT Solutions & Services Det globale Siemens IT Solutions & Services Globale Produktions Centre (GPC) Industrialiseret Produktion Højt specialiserede services Ca ansatte Service Desk Desktop & Server Network Application Operation Det lokale Siemens IT Solutions & Services Application Management Professional Services Lokalt produktions center (CPC) Forretningsorienterede IT- og kommunikationsløsninger målrettet private og offentlige virksomheder Kerneforretningen er IT-outsourcing. Løsningerne omfatter hele værdikæden fra design og implementering til drift og vedligehol-delse. Certificeret partner for blandt andre Citrix, SAP og Microsoft. Ca. 300 ansatte i Danmark 6
7 Og så til emnet... ISO27001 & DS484 rammen om informationssikkerhed Hvordan mødes ITIL s Service Desk relaterede discipliner med ISO27001/DS484 s rammer Er der tale om win win eller er det sikkerhed for sikkerhedens skyld? 7
8 ISO27001/2 & DS484:2005 To standarder for Informationssikkerhed De indeholder i al væsentlighed de samme kontrol områder Efterlevelse af DS484:2005 er p.t. obligatorisk i statslige virksomheder DS484 er en Dansk Standard IS er en international anerkendt standard De er begge tiltænkt at være ledelsens værktøj til at få indblik i hvilke risici virksomheden har inden for informationssikkerhed Den væsentligste forskel: DS484: Logning og overvågning ISO Monitoring Informationsbehandlingssystemer skal overvåges og Systems should be monitored and information security sikkerhedsrelaterede hændelser skal registreres. Der skal events should be recorded. Operator logs and fault være en logning, som sikrer, at uønskede forhold logging should be used to ensure information system konstateres problems are identied Hvis der er en forskel? Begge værktøjer bygger rent faktisk på statement of applicability og risikovurdering. Organisering Styring af IS aktiver Medarbejder sikkerhed Fysisk sikkerhed Styring af netværk og drift Anskaffelse, udvikling og vedligehold af systemer Styring af sikkerheds hændelser Beredskabs styring Lov og kontraktkrav Risikovurdering og håndtering 8
9 Informationssikkerhed en definition Jf. DS484:2005 defineres Informationssikkerhed som den samlede mængde af beskyttelsesforanstaltninger, der skal sikre virksomhedens daglige drift, minimere skader, samt beskytte virksomhedens investeringer og sikre grundlaget for nye forretningsmuligheder Jf. DS484:2005 opnås Informationssikkerhed ved at implementere, overvåge, revurdere og løbende ajourføre et passende sæt af beskyttelsesforanstaltninger bestående af politikker, praksis, procedurer, organisatoriske tiltag og system- eller maskintekniske funktioner Man vælger sine beskyttelsesforanstaltninger ved at tage udgangspunkt i en risikovurdering, der afdækker virksomhedens aktiver, trusler, sårbarheder og konsekvenser ved brud på fortrolighed, integritet og/eller tilgængelighed 9
10 Informationssikkerhed Trussel, Sårbarhed & Konsekvens Trussel: Udefrakommende begivenhed, der kan true en forretnings fortrolighed, integritet og tilgængelig. Eks.: Jordskælv Hackere strømafbrydelse svig Brugerfejl Sårbarhed: De svagheder en forretning har i forhold til fortrolighed, integritet og tilgængelighed Eks.: Manglende redundans Manglende patch Manglende uddannelse Manglende retningslinier Konsekvens Hvor galt går det hvis en trussel effektures eller en sårbarhed udnyttes Eks.: Taber vi data? Går forretningen i stå? Giver det image problemer? Er det ligegyldigt? 10
11 Informationssikkerhed Fortrolighed, Integritet og Tilgængelighed Fortrolighed: Fortrolighed er at sikre sine informationer på en sådan måde at de ikke kommer uvedkommende til kendskab Integritet: At sikre sin information på en sådan måde at den kan bevares i den form den var tiltænkt Tilgængelighed: At sikre sin information på en sådan måde at den er tilgængelig når den skal anvendes 11
12 Informationssikkerhed Et eksempel To glade sælgere er på vej hjem fra et kunde møde De tager naturligvis Siemens toget De diskuterer de vilkår som kunden er gået med på Ordren er stort set i hus Overfor sidder der en sød pige og smiler Fortroligheden er potentielt brudt! Det gør vi naturligvis slet ikke! - Rammerne for informationssikkerhed rækker blot udover rammerne for ITIL 12
13 Informationssikkerhed Et andet eksempel TOP SECRET F I T Trussel Sårbarheder? Konsekvens? Service Desken Incident Management Service Level Management Problem Men Management hvor kommer kravene Availability Management til Change Management Capacity Management Release processerne Management fra IT? Service Continuity Managment Configuration Management Financial Management 13
14 Informationssikkerhed Hvor kommer kravene fra? Afkast - Sikkerhed Konkurrence - Etik Lovgivning - Ansvarlighed Fortrolighed Integritet Tilgængelighed Hvordan får vi det til at virke i praksis? 14
15 Informationssikkerhed Hvordan operationaliseres den? Sikkerhedspolitik Sikkerhedspolitikken er det strategiske dokument, der afspejler virksomhedens holdning til informationssikkerhed med udgangspunkt i forretningen Sikkerhedshåndbog Sikkerhedshåndbogen er det dokument hvor man beskriver hvilke kontroller man har implementeret og hvordan de er tiltænkt at virke Operationel dokumentation Den operationelle dokumentation anviser hvordan man konkret løser l opgaven eks. I form af procedurer eller instrukser Eks.: Eks.: Eks.: Formål: Hvorfor gør vi det? Omfang: Hvor meget tager vi ansvar for? Sikkerhedsniveau: Lovgivning, risiko, valg af kontroller (eks. DS484 basale) Sikkerhedsbevidsthed: Awareness Sanktioner: Hvad sker der når den brydes? 11.2 Administration af brugeradgang Sikre mod uautoriseret adgang Der skal være en formaliseret arbejdsgang for tildeling af rettigheder Tildeling af priviligerede brugere kræver øget fokus på godkendelse Procedure for brugeradministration Oprette, ændre, nedlægge Hvem må anmode og oprette Krav til dokumentation Instruks for oprettelse i AD Åbn user manager etc. 15
16 Hvordan mødes ITIL s Service Desk relaterede discipliner med informationssikkerheden Afkast - Sikkerhed Konkurrence - Etik Lovgivning - Ansvarlighed Sikkerhedspolitik Support af forretningen Fortrolighed Integritet Tilgængelighed Service Level Agreement Service Desk Service Level Management Operational Level Agreement 16
17 Hvem kontrollerer at rammerne er udfyldt? Support af forretningen Afkast - Sikkerhed Konkurrence - Etik Ledelsen Intern Revision Lovgivning - Ansvarlighed Ekstern Revision Fortrolighed Integritet Tilgængelighed Pressen Service Desk Sikkerhedspolitik Service Level Management Myndighederne Service Level Agreement Operational Level Agreement 17
18 Hvordan tilfører ITIL s Service Desk værdi til informationssikkerheden ITIL består af de byggeklodser, der får IT Fabrikken til at understøtte forretningens behov for fortrolighed, integritet og i særdeleshed tilgængelighed. Service Desken er jo en væsentlig del af ITIL og benytter og understøtter stort set alle processer. Ergo tilfører Service Desken værdi til informationssikkerheden 18
19 Hvordan tilfører ITIL s Service Desk værdi til informationssikkerheden Incident Respons o Håndtering af alarmer og brugerhenvendelser o Kommunikation o Eskalering Levere services fra Service Kataloget o Brugeradministration o Passwordskift o Tildeling af diskplads o Fil restore Dokumentation af egenkontroller o Sikre at vi dokumenterer at en proces / aktivitet er udført o Vedhæfte modtagne dokumenter (eks. Godkendelser) o Foretage opdatering i cmdb Statistik Hvordan kommer vi dertil? o Tryghed og vished o Faktuel og konkret 19
20 Proces ejere skal tage medansvar Proces ejere tager naturligt ansvar for o Effectiveness & Efficiency o Kvalitet o Cost to produce o Proces optimering o De services vi tilbyder (service katalog) o O.m.a. Hvorfor egentlig ikke sikkerhed? o Har vi kompetencerne? o Er vores modenhed i organisationen høj nok? o Er der modstand mod strukturen? o Synes vi egentlig selv det er vigtigere end alle de andre ting, der også er vigtige? Hvad er det så for et medansvar? 20
21 Sikkerhed i incident processen Incident Proces Detect & Record Classifcation & initial support Service request Investigate & Diagnose Resolution & Recovery Incident Closure Service Request Procedure Ownership, monitoring, tracking, escalation, communication Hvilke oplysninger ønsker vi registreret når et incident oprettes? Har vi forsynet Service Desken med de nødvendige forhåndsordrer? Er service kataloget kendt? Er der definerede fremgangsmåder for service requests? Kvalitetssikrer vi de løsninger vi har i vores systemer og er de tilgængelige? Stiller vi gode nok krav til dokumentation af løsning og følger vi op? Hvem tager vi i ed når en sag lukkes? Det betyder alt sammen noget for sikkerheden 21
22 Praktiske eksempler Incident response En bruger ringer ind til Service Desken. Han har modtaget en underlig mail og er vist nok kommet til at klikke på en fil og det er lidt irriterende for der kommer hele tiden popups nede i hjørnet og om 10 minutter skal han altså til et vigtigt møde. Fortrolighed Integritet Tilgængelighed Muligvis truet Muligvis truet Der er p.t. er bruger, der ikke kan arbejde (påvirker muligvis flere) Action: -Eksekver forhåndsordre - isoler arbejdsstation - check virus server (er det en ond eller harmløs virus) - Eskaler evt. til antivirus team - Dokumenter undervejs 22
23 Praktiske eksempler Problem Management En bruger ringer ind til Service Desken. Han er igang med at udskrive fakturaer, og nu har han fået den der fejl du ved nok, som han plejer at få. Den der bytter rundt på antal og pris. Fortrolighed Integritet Tilgængelighed Ikke relevant Formentlig truet, risiko for at forkerte data ender hos vores kunder Faktureringen er helt konkret standset Action: -Det er en kendt fejl - Hvad gjorde vi sidst findes der en løsning - Identificer evt. circumvention - Registrer anvendelse (måske skal der rejses en rfc) - Dokumenter undervejs 23
24 Praktiske eksempler Change Management En projektleder ringer ind til Service Desken. Hun vil gerne have oprettet en ny vpn tunnel til firmaet leverandør portal. Hun oplyser at man lige har indgået en ny samarbejdsaftale og at det er vigtigt det bliver lige nu! Fortrolighed Integritet Tilgængelighed Er vi ved at give en vi ikke kender adgang til vores miljøer Har vi helt styr over rettighederne hvad skal leverandøren kunne Forretningen er afhængig af denne ændring? Action: -Eksekver standard RFC - Bed om at få en kopi af leverandør godkendelsen / upload til sag - Læg en sag til vpn teamet (eskaler evt. via telefon) - Informer evt. om standard tid for sådan en RFC - Kontroller med projektlederen at hendes problem nu er løst 24
25 Praktiske eksempler IT Service Continuity Management Virksomhedens fremmeste Serverspecialist har i forbindelse med en server opgradering oprettet en Service Request med bestilling af et SAN kort. Der er tilknyttet en standard RFC for udskiftning af SAN kortet. Fortrolighed Integritet Tilgængelighed Ingen påvirkning Ingen påvirkning Dokumentationen skal være retvisende hvis beredskabet skal virke Action: -Opdater dokumentation - Serveren konfiguration skal tilpasses i cmdb - Sikkerhedsgruppen skal orienteres om at der er sket en opdatering i beredskabsdokumentation - Det nye driftsdokument som serverspecialisten fremsender knyttes til rette CI 25
26 Praktiske eksempler Kapacitetsplanlægning Virksomhedens overvågningssystem alarmerer om manglende diskplads på det drev, der hoster firmaets ERP databaser helt specifikt drevet, der indeholder transaktionslogge. Fortrolighed Integritet Tilgængelighed Ingen påvirkning Hvis vi løber tør for plads kan vi muligvis miste transaktioner Og databasen går selvsagt ned Action: -Ryd op og informer - Foretag et ekstraordinært commit på databasen - Informer capacity teamet om at de måske bør kigge på deres vækst analyser 26
27 Praktiske eksempler Availability Som en del af Service Deskens månedlige rapportering om tingenes tilstand er der dukket en interessant sag op. Der har været en række nedbrud på et ikke kritisk system og det har forårsaget mange incidents ift. det forventede. Fortrolighed Integritet Tilgængelighed Ingen påvirkning Ingen påvirkning Tilsyneladende større påvirkning end antaget Action: -Orienter availability teamet - Har servicen den rette reliability? - Er den resilient nok? 27
28 Praktiske eksempler Serviceydelse Brugeradministration Direktion Indkøb Lager Salg Produktion Levering Faktura ERP - SYSTEM Oprettelse af en bruger Ændring af rettigheder Nedlæggelse Periodisk kontrol 28
29 Konklusion DS484 eller ISO27001 er på ingen måde garanti for at opnå god informationssikkerhed, men det vil være fjollet ikke at anvende disse omfangsrige standarder som inspiration, når man designer sine processer. Det er ikke tale om sikkerhed for sikkerhedens skyld snarere sikkerhed for forretningens skyld - dermed endnu et godt argument for at en velfungerende Service Desk er vital for en virksomhed. Hvis man altså vælger at tage ansvar for de egenkontroller og processer, der naturligt ligger i Service Desken. Givet man sørger for at Service Desken har de rette betingelser for at kunne fungere agilt så tilføres høj værdi til informationssikkerheden og der er tale om win win når ITIL s Service Desk møder rammerne for DS484 / ISO
30 Tak for opmærksomheden! Spørgsmål? 30
It-sikkerhedsstrategi i kommuner hvad giver mening at varetage internt og hvad kan outsources?
It-sikkerhedsstrategi i kommuner hvad giver mening at varetage internt og hvad kan outsources? Klaus Kongsted, CRO, Dubex A/S Dubex A/S, den 5. maj 2015 Krav og udfordringer Avanceret infrastruktur og
Læs mereRingkøbing-Skjern Kommune. Informationssikkerhedspolitik
Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...
Læs merePolitik <dato> <J.nr.>
Side 1 af 5 Politik Informationssikkerhedspolitik for 1. Indledning Denne informationssikkerhedspolitik er den overordnede ramme for informationssikkerheden hos .
Læs mereITIL Foundation-eksamen
ITIL Foundation-eksamen Prøveopgave A, version 5.1 Multiple choice Vejledning 1. Alle 40 spørgsmål bør forsøges besvaret. 2. Alle svar skal markeres på det vedlagte svarark. 3. Du har 1 time til at løse
Læs merePræsentation af Curanets sikringsmiljø
Præsentation af Curanets sikringsmiljø Version: 1.1 Dato: 1. marts 2018 Indholdsfortegnelse Indledning: side 3 Organisering af sikkerhed: side 3 Politikker, procedurer og standarder: side 3 Medarbejdersikkerhed:
Læs mereRingkøbing-Skjern Kommune. Informationssikkerhedspolitik
Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...
Læs mereDBCsupport. Præsentation af IOS 2004
DBCsupport Præsentation af IOS 2004 Spillerne Brugere Interne brugere Eksterne brugere 1. Level IT Driftsmedarbejdere Supportmedarbejdere 2. Level IT Systemkonsulenter Udviklere Interne specialister Serviceleverandører
Læs merePSYKIATRIFONDENS Informationssikkerhedspolitik
PSYKIATRIFONDENS Informationssikkerhedspolitik Indhold Indledning... 3 Formål... 3 Omfang og ansvar... 3 Sikkerhedsniveau... 4 Beredskab... 4 Sikkerhedsbevidsthed... 5 Brud på informationssikkerheden...
Læs mereRevision af firewall. Jesper B. S. Christensen. Sikkerhed og Revision 6/7 September 2018
Revision af firewall Jesper B. S. Christensen Sikkerhed og Revision 6/7 September 2018 Jesper B. S. Christensen Senior Consultant Deloitte, Risk Advisory, Cyber Secure (dem I ikke har hørt om før) IT-Ingeniør,
Læs mereInformationssikkerhedspolitik. Frederiksberg Kommune
Informationssikkerhedspolitik Frederiksberg Kommune Indledning Informationssikkerhedspolitikken er den overordnede ramme for beskyttelse af information i Frederiksberg Kommune. Kommunen behandler oplysninger
Læs mereService & Support Service Desk konference 16-17/11 2011
Service & Support Service Desk konference 16-17/11 2011 Indlæg Viking Viking IT Inspiration eller religion Forandringsledelse Incident i små bidder Resultater 10 bud VIKING Life-Saving Equipment Privatejet
Læs mereSolutions Day. IT Service Management. Globeteam ITSM
Solutions Day IT Service Globeteam ITSM Indhold IT Service Introduktion til ITSM og ITIL Angrebsvinkel til ITIL Case - Kriminalforsorgen ITSM værktøjer Afrunding Hans Christian Holst ITSM konsulent hch@globeteam.com
Læs mereIT Service Management - the ITIL approach
IT Service Management - the ITIL approach Mikael M. Hansen mhansen@cs.aau.dk 2.2.57 Mikael M. Hansen Page 1 TOC Mine indlæg Dagens program: IT Service Management Alternativerne ITIL
Læs mereHillerød Kommune. It-sikkerhedspolitik Bilag 8. Kontrol og adgang til systemer, data og netværk
It-sikkerhedspolitik Bilag 8 Kontrol og adgang til systemer, data og netværk November 2004 Indholdsfortegnelse 1 Formål...3 2 Ansvar og roller...3 2.1 Byrådet...3 2.2 Kommunaldirektøren/ Direktionen...3
Læs mereSecurity as a Service hvorfor, hvornår og hvordan. Gorm Mandsberg, gma@dubex.dk Aarhus, 13.06.2013
Security as a Service hvorfor, hvornår og hvordan Gorm Mandsberg, gma@dubex.dk Aarhus, 13.06.2013 SecaaS hvorfor, hvornår og hvordan hvad Hvorfor.. Hvornår.. Hvordan.. Disclamer: Dubex er MSSP og leverer
Læs mereVi har etableret et brancheledende informationssikkerhedsprogram. vores kunder den bedste beskyttelse og højeste grad af tillid.
Som hostingleverandør er vores vigtigste sikkerhedsopgave at passe godt på dine data og sørge for, at du til enhver tid lever op til sikkerhedskravene fra dine kunder. Sikkerhed er derfor et område, som
Læs mereProces orientering af IT organisationer (ITIL - implementering)
Proces orientering af IT organisationer (ITIL - implementering) Af Lars Zobbe Mortensen Indholdsfortegnelse 1 Indledning... 3 1.1 Hvorfor bedst practice processer (f.eks. ITIL)?... 3 2 Beslutning om forandring...
Læs mereIT-sikkerhedspolitik S i d e 1 9
IT-sikkerhedspolitik S i d e 1 9 Indhold 1 Læsevejledning... 3 2 Informationssikkerhedspolitik... 3 2.1 INDLEDNING... 3 2.2 SIKKERHEDSNIVEAU... 4 2.3 HOLDNINGER OG PRINCIPPER... 5 2.4 HOVEDMÅLSÆTNINGER
Læs mereService Desken anno Workshop E Effektivisering gennem genanvendelse af viden
Service Desken anno 2013 Workshop E Effektivisering gennem genanvendelse af viden Søren Riis-Vestergaard 2007- : Chefkonsulent i WESTERGAARD Service Management-og ledelsesrådgivning Implementering og optimering
Læs mereOle Westergaard, partner
Ole Westergaard, partner Kort fortalt Hvem er Westergaard? Steen Sverker Nilsson Partner Ole Westergaard Stifter og partner Vi er ca. 20 medarbejdere ITIL for alle? ITIL for alle? ITIL kom til verden i
Læs mere22. juni 2010 KMD A/S DIAS 1. Infrastructure Optimization. Greve Kommune. Jesper Skov Hansen Løsningsarkitekt KMD A/S jhs@kmd.dk
DIAS 1 Infrastructure Optimization Greve Kommune Jesper Skov Hansen Løsningsarkitekt KMD A/S jhs@kmd.dk Agenda DIAS 2 _ Formål med IO _ Gennemgang af IO modellen _ IO analyse hos Greve Kommune _ Opsummering
Læs mereINFORMATIONS- SIKKERHEDSPOLITIK
Halsnæs Kommune INFORMATIONS- SIKKERHEDSPOLITIK Vedtaget af Halsnæs Byråd 202. 25-09-207 FORSIDE Halsnæs Kommune Informationssikkerhedspolitik 202 INDLEDNING Denne informationssikkerhedspolitik udgør den
Læs mereDatabeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015
Databeskyttelse: Afrunding Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015 Der er to typer virksomheder Der er to typer virksomheder: Dem, der ved at de er blevet hacket og dem der ikke ved at
Læs mereAgenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)
IT-sikkerhed med Agenda Introduktion: Rasmus & CyberPilot Eksempler fra det virkelig verden Persondataforordningen & IT-sikkerhed (hint: ISO27001) Risikovurdering som værktøj til at vælge tiltag Tiltag
Læs mereSystemforvaltning for SDN Temadag om SDN og VDX den 9. november Peder Illum, konsulent,
Systemforvaltning for SDN Temadag om SDN og VDX den 9. november 2016 Peder Illum, konsulent, pi@medcom.dk Agenda Vi fik besøg af Rigsrevisionen.. Hvordan forløb det, hvordan var det, og hvad blev resultatet?
Læs mereAabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09
Aabenraa Kommune Informationspolitik : 2014-04-09 Aabenraa Kommune 29. august 2012 Informationspolitik Overordnet Informationssikkerhedspolitik for Aabenraa Kommune Velkommen til Aabenraa Komune s overordnede
Læs mereSådan opretter du et Bruger Servicekatalog En praktisk guide til at komme i gang med dit eget Bruger Servicekatalog
Sådan opretter du et Bruger Servicekatalog En praktisk guide til at komme i gang med dit eget Bruger Servicekatalog 1 Information Materialet er baseret på en kombination af det bedste fra de mest anerkendte
Læs mereIndholdsfortegnelse Indledning Formål Omfang Holdninger og principper... 4
Halsnæs Kommune Informationssikkerhedspolitik 2012 Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Omfang... 4 4. Holdninger og principper... 4 5. Sikkerhedsbevidsthed,
Læs mereIt-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015
It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat
Læs mereInformationssikkerhedspolitik for Region Midtjylland
Regionshuset Viborg Regionssekretariatet Skottenborg 26 Postboks 21 DK-8800 Viborg Tel. +45 8728 5000 kontakt@rm.dk www.rm.dk Informationssikkerhedspolitik for Region Midtjylland 1. Indledning Denne informationssikkerhedspolitik
Læs mereSURFTOWNS SIKRINGSMILJØ. Databehandleraftalen - Bilag 1
SURFTOWNS SIKRINGSMILJØ Databehandleraftalen - Bilag 1 Indholdsfortegnelse Fysisk sikkerhed... 2 Logiske adgange... 2 Netværk... 2 Logning... 2 Sårbarhedsstyring... 2 Overvågning... 2 Backup... 3 Kryptering...
Læs mereFaxe Kommune. informationssikkerhedspolitik
Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en
Læs mereIT Service Management (ITIL) i en agil verden. Lars Zobbe Mortensen
IT Service Management (ITIL) i en agil verden Lars Zobbe Mortensen Om Lars It service management konsulent ITIL ekspert og underviser Projekt leder PRINCE2 agile og underviser Tidligere leder for udviklings
Læs mereHvor er Call Centrets serviceaftaler?
Hvor er Call Centrets serviceaftaler? v. Ole Westergaard Westergaard CSM om Westergaard CSM Westergaard CSM er markedsledende rådgivere indenfor Customer Service Management (CSM). Vi udvikler kundeserviceorganisationer
Læs mereVelkommen. Program: Oplæg om emnet baseret på Best Practice (ITIL) Refleksion
Driftskontrakter Hvordan sikrer man sig, at man får en ordentlig driftskontrakt? Hvad skal man være opmærksom på, og hvornår begynder man egentlig at tænke den ind? Velkommen Program: Oplæg om emnet baseret
Læs mereAssens Kommune Sikkerhedspolitik for it, data og information
Assens Kommune Sikkerhedspolitik for it, data og information Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Holdninger og principper... 4 4. Omfang... 4 5. Sikkerhedsbevidsthed,
Læs mereKoncessionskontrakt vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Kultur- og Fritidsforvaltningen.
vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Bilag 9b IT-sikkerhedsdokumenter Bilag 9b 1 1 INDHOLDSFORTEGNELSE 1. IT-sikkerhedspolitik for Københavns Kommune
Læs mereLeverandørstyring: Stil krav du kan måle på
Leverandørstyring: Stil krav du kan måle på 1. Marts 2018 Rikke Saltoft Andersen, Teamleder, Kontor for Systemforvaltning Hovedbudskaber ISO 27001 standarden muliggør reference til standard leverancer
Læs mereForordningens sikkerhedskrav
Forordningens sikkerhedskrav Klaus Kongsted, Dubex DI, 12. oktober 2016 Agenda Hvordan håndteres Risikovurdering Passende tekniske og organisatoriske foranstaltninger Godkendte adfærdskodekser og certificering
Læs mereInformationssikkerhed
Banedanmark Informationssikkerhed Overordnet politik Banedanmarks informationssikkerhedspolitik Version 4.0 10-12-2012 Indholdsfortegnelse Politik 2 Informationssikkerhedspolitik for Banedanmark 2 Indledning
Læs mereIt-sikkerhedspolitik for Farsø Varmeværk
It-sikkerhedspolitik for Farsø Varmeværk Introduktion Denne it-sikkerhedspolitik, som er besluttet af bestyrelsen, udgør den overordnede ramme for at opretholde it-sikkerheden hos Farsø Varmeværk. Hermed
Læs mereStandardiseret tilgang til Software Asset Management. ISACA Medlemsmøde 2013 Jan Øberg ØBERG Partners
Standardiseret tilgang til Software Asset Management ISO19770 ISACA Medlemsmøde 2013 Jan Øberg ØBERG Partners 1 WG21 historien ISO19770 arbejder i WG21 under ISO Etableret i 2001 Første standard 19770-1
Læs mereBilag til management letter om it-revision af Sundhedsdatanettet (SDN) hos MedCom 2018 J.nr juni 2018
Bilag til management letter om it-revision af Sundhedsdatanettet (SDN) hos MedCom 2018 J.nr. 85249 18. juni 2018 MedComs styring af SDN Vi har undersøgt, om ledelsen har etableret en effektiv styring af
Læs mereIkast-Brande Kommune. Informationssikkerhedspolitik (efterfølgende benævnt I-Sikkerhedspolitik) Maj 2016 Sag nr. 2015/06550
Ikast-Brande Kommune Informationssikkerhedspolitik (efterfølgende benævnt I-Sikkerhedspolitik) Maj 2016 Sag nr. 2015/06550 Godkendt i Byrådet den 20.06.2016 2 Indhold 1. Indledning... 4 2. Formål... 5
Læs mereIT-sikkerhedspolitik for
Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs
Læs mereLedelsen har sikret, at der er etableret en hensigtsmæssig itsikkerhedsorganisation
Revisionsrapport om it-revision af Sundhedsdatanettet (SDN) 05 J.nr. 05-6070-7 5. januar 06 Ledelsens styring af it-sikkerheden Ikke opfyldt, Delvist opfyldt, Opfyldt. Nr. Kontrolmål Observation Risiko
Læs mereInformationssikkerhedspolitik Frederiksberg Kommune
Maj 2018 Informationssikkerhedspolitik Frederiksberg Kommune Indledning Informationssikkerhedspolitikken er den overordnede ramme for beskyttelse af information i Frederiksberg Kommune. Kommunen behandler
Læs mereHjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune
Hjørring Kommune Sag nr. 85.15.00-P15-1-17 12-03-2018 Side 1. Overordnet I-sikkerhedspolitik for Hjørring Kommune Indledning Informationssikkerhedspolitikken (I-sikkerhedspolitikken) udgør den overordnede
Læs mereNår Service Deskens opgaver spreder sig i organisationen Eller copy/paste af ITSM til andre BU s
Når Service Deskens opgaver spreder sig i organisationen Eller copy/paste af SM til andre BU s Servicedesken anno 2013 16-17 april 2013, Karsten Grinderslev AGENDA Hvem er jeg og hvorfor står jeg her?
Læs mereForfatter: Carsten Stenstrøm Mail: Telefon: IT Amerika Plads København Ø
spolitik 28.02.2017 Banedanmark IT Amerika Plads 15 2100 København Ø www.banedanmark.dk Forfatter: Carsten Stenstrøm Mail: cstr@bane.dk Telefon: 41881976 Indhold Side 1 spolitik 4 1.1 Indledning 4 1.2
Læs mereInformationssikkerhedspolitik For Aalborg Kommune
Click here to enter text. Infor mationssi kkerhedspoliti k 2011 «ed ocaddressci vilcode» Informationssikkerhedspolitik For Aalborg Kommune Indhold Formål... 3 Gyldighedsområde... 3 Målsætning... 3 Sikkerhedsniveau...
Læs mereIt-direktør Nils Lau Frederiksen
It-direktør Nils Lau Frederiksen Hvordan skaber vi en god kvalitetskultur i en hverdag i forandring? Hvordan professionaliserer man offentlig IT? Nils Lau Frederiksen Dagsorden Region Syddanmark It-staben.
Læs mereTrusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang
Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Oktober 2015 Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Oktober 2015 Denne
Læs mereHvad kommer ITIL V3 og Cobit til at betyde for IT-supporten? Ole Westergaard Westergaard CSM
Hvad kommer ITIL V3 og Cobit til at betyde for IT-supporten? Ole Westergaard Westergaard CSM V3 Westergaard CSM Westergaard CSM 2 Gode konsulenter hænger ikke på træerne! [Indsæt billede af Jakob/Lars/Gitte/Ulla
Læs mereUden velfungerende processer ingen tillid. Mats Berger Direktør, Service & Support Forum
Uden velfungerende processer ingen tillid Mats Berger Direktør, Service & Support Forum Processammenhænge Service & Support Forum 2 Hvad er en proces? Merværdi Input Aktivitet Aktivitet Aktivitet Output
Læs mereBallerup Kommune Politik for databeskyttelse
BALLERUP KOMMUNE Dato: 31. maj 2018 Ballerup Kommune Politik for databeskyttelse 85.15.00-P30-1-18 Politik for databeskyttelse i Ballerup Kommune Denne databeskyttelsespolitik er den overordnede ramme
Læs mereOpstartsdag Service Desk Konference 2008. Få styr på begreberne
Opstartsdag Service Desk Konference 2008 Få styr på begreberne Introduktion Hvem er Westergaard Mgt. Westergaard CSM Service & Support Forum Peter Ravnholt Hvem er deltagerne Navn Organisation Formål Forventninger
Læs mereDRIFT VEDLIGEHOLDELSE IO-ANALYSE. 11-05-2012 EG Copyright
DRIFT VEDLIGEHOLDELSE IO-ANALYSE 1 EG IT Koncern IT EG IT - Vision Én sammenhængende skalérbar IT-platform til understøttelse af IT-konsulentvirksomhed på det Skandinaviske marked EG IT IT Governance IT
Læs mereISO/IEC 27001:2013. Ledelsessystem for informationssikkerhed (ISMS) Niels Madelung, Chefkonsulent nm@ds.dk 4121 8304
1 ISO/IEC 27001:2013 Ledelsessystem for informationssikkerhed (ISMS) Niels Madelung, Chefkonsulent nm@ds.dk 4121 8304 Deltaget i det internationale arbejde omkring revisionen af ISO/IEC 27001 og 27002,
Læs mereSådan håndterer Danish Crown sin industrielle IT-sikkerhed
Sådan håndterer Danish Crown sin industrielle IT-sikkerhed DAU d. 7 marts 2013 CV Firma : Navn : Afdeling : Titel : Alder : Danish Crown A/S Thomas Page Pedersen Factory IT Afdelingschef 43 år Danish Crown
Læs mere1. Ledelsens udtalelse
www.pwc.dk Sonlinc A/S ISAE 3000-erklæring fra uafhængig revisor vedrørende udvalgte generelle it-kontroller i Sonlinc A/S og udvalgte applikationskontroller i tilknytning til SonWin Billing for perioden
Læs mereIT-sikkerhedspolitik. for Social- og Sundhedsskolen Esbjerg
IT-sikkerhedspolitik for Social- og Sundhedsskolen Esbjerg Indhold IT-sikkerhedspolitik... 2 Formål... 2 Grundprincipper for sikkerhedsarbejdet... 2 Funktionsadskillelse og adgangsstyring... 2 Sikkerhedsforanstaltninger...
Læs mereRoadshow: ITIL V3. hvordan træder man ud af børneskoene?
Roadshow: ITIL V3 hvordan træder man ud af børneskoene? Westergaard Management A/S Stifter Ole Westegaard Adm. Direktør Steen Sverker Nilsson Direktør Johnny Jensen Westergaard Management stiftedes den
Læs mere1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet "informationer"? 2
Indhold 1 Informationssikkerhedspolitik 2 1.1 Hvorfor vil vi sikre vores informationer? 2 1.2 Hvad dækker begrebet "informationer"? 2 2 Principper 4 2.1 Styret af KU's strategiske behov 4 2.2 Implementering
Læs mereOverordnet it-sikkerhedspolitik for Rødovre Kommune
Overordnet it-sikkerhedspolitik for Rødovre Kommune Denne politik er godkendt af kommunalbestyrelsen januar 2016. Og træder i kraft januar 2016. Ved udskrivning af politikken skal du være opmærksom på,
Læs mereHillerød Kommune. It-sikkerhedspolitik Bilag 10. Beredskabsplanlægning
It-sikkerhedspolitik Bilag 10 November 2004 Indholdsfortegnelse 1 Formål...3 2 Ansvar og roller...3 2.1 Byrådet...3 2.2 Kommunaldirektøren/ Direktionen...3 2.3 Ledere, fagchefer mv...3 2.4 It gruppen,
Læs mereMedComs informationssikkerhedspolitik. Version 2.2
MedComs informationssikkerhedspolitik Version 2.2 Revisions Historik Version Forfatter Dato Bemærkning 2.2 20.02.17 MedComs Informationssikkerhedspolitik Side 2 af 7 INDHOLDSFORTEGNELSE 1 INDLEDNING...
Læs mereVideoknudepunktet (VDX) UDKAST Danske Regioner
Videoknudepunktet (VDX) UDKAST Modenhedsdrøftelse af systemerne i regi af FSI Det er aftalt i den fællesoffentlige styregruppe for sundheds-it (FSI), at forretningsstyregrupperne én gang årligt drøfter
Læs mereIT Service Management. Orker I Fyn?
IT Service Management på fynsk Orker I Fyn? Servicemangement på fynsk Organisering: Borgmesterforvaltningen By- og Kulturforvaltningen Børn- og Ungeforvaltningen Social- og Arbejdsmarkedsforvaltningen
Læs mereProces for Problem Management
Regionen - It-stabens Kvalitetshåndbog - 7 Drift - 7.02 Problem Management It-stabens Kvalitetshåndbog Udskrevet er dokumentet ikke dokumentstyret. Proces for Problem Management Niveau: Proces Dokumentbrugere:
Læs merePolitik for informationssikkerheddatabeskyttelse
BALLERUP KOMMUNE Dato: 31. maj 2018 Ballerup Kommune Politik for informationssikkerheddatabeskyttelse Politik for databeskyttelse i Ballerup Kommune Denne informationssikkerhedspolitikdatabeskyttelsespolitik
Læs mereAdministrative systemer bundet op mod SRO systemer. Hvorfor ønskede vi at forbinde de 2 verdener med hinanden?
Administrative systemer bundet op mod SRO systemer Hvad med gør vi med IT sikkerheden? Jørgen Jepsen IT-chef Ringkøbing-Skjern Forsyning A/S Hvorfor ønskede vi at forbinde de 2 verdener med hinanden? at
Læs mereOverordnet Informationssikkerhedsstrategi. for Odder Kommune
Overordnet Informationssikkerhedsstrategi for Odder Kommune Indhold Indledning...3 Mål for sikkerhedsniveau...3 Holdninger og principper...4 Gyldighed og omfang...5 Organisering, ansvar og godkendelse...5
Læs mereOverordnet Informationssikkerhedspolitik
Overordnet Informationssikkerhedspolitik Denne politik er godkendt af byrådet d. 4. juni 2018 Ved udskrivning af politikken skal du være opmærksom på, at du anvender senest godkendte version. Acadre sagsnr.
Læs mereInformationssikkerhed Version 2.0 29.09.10
Informationssikkerhed Version 2.0 29.09.10 Retningslinjer for retablering af systemer og data (Ændringer i forhold til tidligere version er markeret med Understregning) Disse retningslinjer beskriver de
Læs mereDin organisation og dine mennesker skal være med!
Din organisation og dine mennesker skal være med! ITIL V3 kompetenceplanlægning Johnny Jensen Service & Support Forum Service & Support Forum ITIL is a Registered Trade Mark of the Office of Government
Læs mereSecurity & Risk Management Summit
Security & Risk Management Summit Hvor og hvornår skaber Managed Security Services værdi? Business Development Manager Martin Jæger Søborg, 6. november 2014 DUBEX SECURITY & RISK MANAGEMENT SUMMIT 2014
Læs mereHenrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør
Dagsorden 1. Præsentation 2. Roskilde Universitet 3. Risikostyring - hvorfor? 4. Ledelsesopbakning 5. ISO27001 6. Forretningsorienteret risikostyring 7. It-teknisk sikkerhedsstyring 8. Hvordan bruges risikostyring
Læs mereUDKAST: Sundhedsdatanettet (SDN) Danske Regioner
UDKAST: Sundhedsdatanettet (SDN) Modenhedsdrøftelse af systemerne i regi af FSI Det er aftalt i den fællesoffentlige styregruppe for sundheds-it (FSI), at forretningsstyregrupperne én gang årligt drøfter
Læs mereIT Service Management i dag og i morgen
IT Service Management i dag og i morgen Jesper Johansen, Direktør, MATERNA A/S Om MATERNA og undersøgelsen? Om MATERNA MATERNA er en international rådgivningsvirksomhed inden for Service Management Vi
Læs mereInformationssikkerhedspolitik
Holbæk Kommunes Informationssikkerhedspolitik 2013 Informationssikkerhedspolitik Indhold 1. Indledning 3 2. Formål 3 3. Holdning og principper 4 4. Omfang 4 5. Informationssikkerhedsniveau 5 6. Organisering
Læs mereInformationssikkerhedspolitik. for Aalborg Kommune
Informationssikkerhedspolitik for Aalborg Kommune Indhold Formål... 2 Gyldighedsområde... 2 Målsætning... 2 Sikkerhedsniveau... 3 Organisation og ansvarsfordeling... 3 Kontrol... 4 Sikkerhedsbrud og sanktionering...
Læs mereFredericia Kommunes Informationssikkerhedspolitik 1 FREDERICIA KOMMUNE AFDELING TITEL PÅ POWERPOINT
Fredericia Kommunes Informationssikkerhedspolitik 2018 1 FREDERICIA KOMMUNE AFDELING TITEL PÅ POWERPOINT 12-11-2018 Indholdsfortegnelse Indledning Hvad og hvem er omfattet? Ansvar og konsekvens Vision,
Læs mereFællesregional Informationssikkerhedspolitik
24. Januar 2018 Side 1/5 Fællesregional Informationssikkerhedspolitik Indhold 1. Formål... 1 2. Organisation... 3 3. Gyldighedsområde... 4 4. Målsætninger... 4 5. Godkendelse... 5 1. Formål Den Fællesregionale
Læs mereInformationssikkerhedspolitik for <organisation>
1 Informationssikkerhedspolitik for 1. Formål informationssikkerhedspolitik beskriver vigtigheden af arbejdet med informationssikkerhed i og fastlægger
Læs merePRINCE2 - et strategisk valg
PRINCE2 - et strategisk valg Per Palmkvist Knudsen, IT-direktør JP/Politikens Hus Per Palmkvist Knudsen fører dig gennem en rejse af faldgruber og succeser med PRINCE2, herunder: - Hvordan organiserer
Læs mereRevision af risikorapportering V. Claus Sonne Linnedal og Steen Jensen. Sikkerhed & Revision 2015
Revision af risikorapportering V. Claus Sonne Linnedal og Steen Jensen Sikkerhed & Revision 2015 Dagsorden 1. Introduktion 2. Organisation 3. Operationel risiko processen 4. Revision af operationel risiko
Læs mereSkanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017
Skanderborg Kommune ISMS-regler Informationssikkerhedsregler for hvert krav i ISO 27001:2017 02-04-2018 Indholdsfortegnelse 4 Organisationens kontekst 1 4.1 Forståelse af organisationen og dens kontekst
Læs mereServicedesk JAST/december 2015
JAST/december 2015 Formål Formålet med dette dokument er, at give styregruppen for IT Center Fyn en beskrivelse af, hvordan supportsager håndteres efter etableringen af en, samt en forklaring af de begreber
Læs mereRSI change management proces
RSI change management proces version 1.8 RSI change management proces Dato: 01.02.20167 Version: 1.10 Status: t Systemansvarlig: RSI 1. Formål Det overordnede formål med RSI change management processen
Læs mereBekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.
Bekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl. 1 I bekendtgørelse nr. 1026 af 30. juni 2016 om ledelse og styring af pengeinstitutter m.fl., som ændret ved
Læs mereApplication Management Service
Application Management Service I dette Whitepaper vil vi beskrive nogle af vores erfaringer med Application Management. De fleste virksomheder har på et tidspunkt lavet, eller fået lavet, en mindre applikation,
Læs mereOverordnet informationssikkerhedsstrategi
Overordnet informationssikkerhedsstrategi 1/2018 2 Indhold Indledning...4 Mål for sikkerhedsniveau...5 Holdninger og principper...5 Gyldighed og omfang...6 Organisering, ansvar og godkendelse...7 Sikkerhedsbevidsthed...7
Læs mereAgenda. Typiske udfordringer. Begreber omkring recovery. Forretningens krav. Metoder/muligheder. Recovery med TSM. Nye teknologier
Agenda Typiske udfordringer Begreber omkring recovery Forretningens krav Metoder/muligheder Recovery med TSM Nye teknologier Afrunding - spørgsmål Typiske udfordringer Ingen SLA fra forretningen på systemer
Læs mereHåndbog for god sagshåndtering og kommunikation
Koncern IT Driftsafdelingen Håndbog for god sagshåndtering og kommunikation April 2011 Driftsafdelingen Koncern IT VELKOMMEN Du sidder her med den første udgave af HÅNDBOG FOR GOD SAGSHÅNDTERING OG KOMMUNIKATION.
Læs mereKl Indledning v. Lone Strøm, Rigsrevisor
Kl. 13.00-13.10 Indledning v. Lone Strøm, Rigsrevisor Kl. 13.10-13.40 Hvad viser Rigsrevisionens beretning? Hvad viser beretningen om styring af it-sikkerhed hos it-leverandører? v. Claus Bobjerg Juul,
Læs mereUdkast til svar på Rigsrevisionens rapport om it-sikkerheden på SDN [Godkendt af MedComs styregruppe den 12. februar 2016]
Udkast til svar på Rigsrevisionens rapport om it-sikkerheden på SDN [Godkendt af MedComs styregruppe den 12. februar 2016] Indhold 1. Indledning... 2 2. Kommentarer til de enkelte punkter... 2 2.1. Hensigtsmæssig
Læs mereSådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed
Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Den finansielle sektor er i dag 100% afhængig af, at it-løsninger er kørende og herudover er sikret i tilfælde af, at noget
Læs mereOverordnet It-sikkerhedspolitik
Overordnet It-sikkerhedspolitik Denne politik er godkendt af byrådet d. x. måned 2014 Ved udskrivning af politikken skal du være opmærksom på, at du anvender senest godkendte version. Acadre sags nr. 14-8285
Læs mereTil Økonomiudvalget 25. februar Sagsnr Bilag 5: Uddybende konklusioner på tilsyn med informationssikkerheden 2018
KØBENHAVNS KOMMUNE Økonomiforvaltningen Koncern IT NOTAT Til Økonomiudvalget 5. februar 09 Bilag 5: Uddybende konklusioner på tilsyn med informationssikkerheden 08 Baggrund Koncern IT (KIT) fører i henhold
Læs mere