Kontrakt om Videreudvikling, Vedligeholdelse og Support af IMK2- systemet. Bilag 7 Informationssikkerhed

Transkript

1 Kontrakt om Videreudvikling, Vedligeholdelse og Support af IMK2- systemet Bilag 7 Informationssikkerhed Version 1.0

2 [Vejledning til tilbudsgiver: Bilaget er i sin helhed at betragte som et mindstekrav (MK). Bilaget skal ikke udfyldes af tilbudsgiver.] Side 2/10

3 Indhold 1. Indledning (MK) Generelt til informationssikkerhed (MK) Service Desk-system, der tilbydes af Leverandøren (MK)... 9 Side 3/10

4 1. Indledning (MK) I dette bilag gives en gennemgang af krav til informationssikkerheden hos Kunden. Kundens sikkerhedspolitikker tager udgangspunkt i ISO standarden. Kunden planlægger i 2016 at blive certificeret efter ISO Tilknyttede underbilag: Underbilag 7A Tavshedserklæring og Code of Conduct (Erklæring til Kundens eksterne konsulenter) Underbilag 7B Tillæg til Tavshedserklæring og Code of Conduct Side 4/10

5 2. Generelt til informationssikkerhed (MK) 2.1 Placering af data. Kundens produktionsdata må ikke befinde sig på test- og udviklingsmiljøer, men udelukkende i produktionsmiljøet hos Kunden. 2.2 Adgangsstyring. Leverandøren må ikke udføre adgangsstyring på vegne af Kunden. Hvis der under aftaleforholdet bliver behov herfor, skal Kundens informationssikkerhedsfunktion inddrages, og supplerende informationssikkerhedskrav opstilles. Dog kan Leverandøren udføre adgangsstyring i forbindelse med et Service Desk-system, som Leverandøren evt. tilbyder Kunden i forbindelse med opgaven. Kravene hertil er beskrevet i afsnit Retningslinjer vedrørende beskyttelse af informationer. Leverandøren skal have retningslinjer vedrørende informationssikkerhed, der beskriver, hvordan informationer, personhenførbare oplysninger samt Programmel mv. fra kunder beskyttes. Leverandøren skal mindst årligt gennemføre en informationsindsats over for medarbejderne omkring retningslinjernes overholdelse samt overfor nye medarbejdere i forbindelse med deres tiltræden. Retningslinjerne skal udleveres til Kunden på Kundens forlangende. 2.4 Udveksling af information. Alle informationer, der udveksles mellem Leverandøren og Kunden, skal som udgangspunkt udveksles via en krypteret forbindelse eller på krypterede medier. Evt. behov for ukrypteret informationsudveksling skal klarlægges i Overtagelses- og Afklaringsfasen og godkendes af Kundens informationssikkerhedsfunktion. Der stilles ikke krav om brug af digital signering af meddelelser. 2.5 Mærkning af information. Kunden har regler for mærkning af visse former for information, der fremsendes på mail. Disse regler gælder ikke for Leverandøren. Leverandøren kan imidlertid modtage mærkede mails fra Kunden, og skal være opmærksom på at håndtere disse i overensstemmelse med Kundens informationssikkerhedskrav for de pågældende informationer. 2.6 Klassifikation af information. Information, der tilhører Kunden eller er relevant for Leverandørens opgave for Kunden, skal håndteres efter et klassifikationssystem, der sikrer, at informationen håndteres efter dens sikkerhedskrav. Der kan enten være tale om, at Leverandøren anvender Kundens klassifikationssystem, eller om, at Leverandørens eget system anvendes og mappes op imod Kundens. 2.7 Indlæsning og udlæsning af information. I forbindelse med Overtagelses- og Afklaringsfasen skal det klarlægges, om og hvornår der er behov for indlæsning og udlæsning af information, og der skal etableres instrukser og procedurer, der om relevant sikrer godkendelse af og korrekt udførelse af operationerne. Side 5/10

6 2.8 Håndtering af informationssikkerhedshændelser. Får Leverandøren kendskab til informationssikkerhedshændelser, der udgør en risiko for Kunden, er Leverandøren forpligtet til at underrette Kunden. Leverandøren skal have en formel procedure for håndtering af informationssikkerhedshændelser, der sikrer, at hændelser inddæmmes og håndteres. Informationssikkerhedshændelser kan være brud på informationers fortrolighed, herunder læk af, uautoriseret adgang til, eller bevidst ændring eller destruktion af information. Under informationssikkerhedshændelser hører også hændelser, der udgør en trussel for leverandørens IT-miljø, samt kriminelle forhold. Eksempler på informationssikkerhedshændelser er: Læk af fortrolige eller følsomme oplysninger, læk af cpr-numre, bevidst såvel som utilsigtet uautoriseret adgang til data eller systemer, kompromittering af passwords, angreb af computervirus og anden malware, Denial of Service-angreb, hacking-angreb, fremmedes bevidste eller utilsigtede indtrængen på en af Kundens lokationer og tyveri af udstyr. 2.9 Screening af jobkandidater. Leverandøren skal foretage efterprøvning af alle jobkandidaters baggrund før ansættelse. Efterprøvningen skal omfatte kontrol af jobkandidatens identitet, uddannelsesmæssige kvalifikationer samt erhvervsmæssige baggrund Eksekvering af software. Software må kun eksekveres i IT-miljøer efter aftale med Kunden Sikkerhed omkring udviklingsmiljøer. Er udviklingsmiljøet placeret hos Leverandøren, skal leverandøren have politikker for fysisk sikkerhed, ligesom der skal være procedurer for ændringsstyring og for bruger-, adgangs- og rettighedsstyring i forbindelse med udviklingsmiljøet Kontaktperson omkring informationssikkerhed. Leverandøren skal have en kontaktperson, som Kunden kan kontakte omkring informationssikkerhedsmæssige spørgsmål. Side 6/10

7 2.13 Informationssikkerhedserklæring. Leverandørens medarbejdere skal underskrive en erklæring, der omhandler tavshed og andre forhold i forbindelse med arbejdet for Kunden. Erklæringen er udarbejdet af Kunden og den nuværende udgave vedlægges som underbilag 7A og underbilag 7B. Leverandøren er ansvarlig over for Kunden mht., at Leverandørens medarbejdere overholder bestemmelserne i erklæringen Overholdelse af Kundens retningslinjer for informationssikkerhed. Leverandørens medarbejdere, der arbejder på Kundens lokation, skal overholde Kundens informationssikkerhedspolitikker. Leverandøren er ansvarlig over for Kunden mht. at Leverandørens medarbejdere overholder retningslinjerne Meddelelse om fratrædelser. Denne bestemmelse gælder for Leverandørens medarbejdere, der arbejder for Kunden på Kundens adresse. Ved en medarbejders fratrædelse er Leverandøren forpligtet til hurtigst muligt at meddele dette til Kunden. Leverandøren er desuden forpligtet til at sikre, at evt. udleverede effekter, der tilhører Kunden, afleveres Lokalerne. Adgang til lokaler, hvori der arbejdes med Kundens informationer, skal være beskyttet mod uautoriseret adgang. Kun et begrænset antal medarbejdere skal have godkendelse til adgang til lokalerne Håndtering af papirmateriale. Når arbejdet for Kunden er afsluttet, skal udleveret papirmateriale fra Kunden leveres tilbage til Kunden eller destrueres efter nærmere aftale Beskyttelse mod skadelige programmer. Leverandørens udstyr skal beskyttes mod skadeligt software ved at installere antivirus og spamfilter og holde dette programmel opdateret Netværksstyring. Leverandøren skal udføre og dokumentere styring af sit netværk. Netværksstyringen skal sikre følgende: - At autentificering af adgangen til netværket sker sikkert. - At kontrollen af perimeteren via firewall en fungerer efter hensigten og kun giver de adgange, der eksplicit er besluttet Beredskabsplan. Leverandøren skal have en beredskabsplan, der har til hensigt at sikre, at Programmel og data af relevans for Kunden kan genskabes i tilfælde af en hændelse eller katastrofe, og at Leverandøren selv kan blive kørende efter en katastrofe Forsikring mod brand. Leverandøren skal være forsikret mod brand Sikker opbevaring af backup. Backuppen af data og Programmel skal være sikret mod uvedkommendes adgang og brand. Side 7/10

8 2.23 Beskyttelse af udstyr mod strømudfald. Leverandørens serverudstyr skal beskyttes mod strømafbrydelser eller spændingsvariationer, således at der kan foretages afhjælpende handling evt. i form af kontrolleret nedlukning Opbevaring af passwords i krypteret form. Hvis Leverandøren er ansvarlig for at opbevare passwords, der vedrører opgaven for Kunden, skal Leverandøren sikre, at de opbevares ved brug af stærk kryptering eller hashes Administration af krypteringsnøgler. Hvis Leverandøren er ansvarlig for krypteringsløsninger som del af aftaleforholdet, skal Leverandøren have en procedure, der sikrer administrationen af krypteringsnøglerne i hele deres livscyklus. Proceduren skal beskrive nøglernes anvendelse, generering, lagring, arkivering og backup, reetablering, distribution, inddragelse og destruktion Historik omkring Versioner. Leverandøren skal opbevare ældre Versioner af Systemet sammen med den dertil hørende Dokumentation. Leverandøren skal opbevare mindst to Versioner bagud Patchning. Leverandøren skal sikre, at operativsystemer og 3. partsprodukter i Leverandørens miljø om relevant patches til seneste patch level ud fra en vurdering af væsentlighed, trusselsniveau og risiko. Kritiske sikkerhedsopdateringer skal foretages uden unødigt ophold Brug af underleverandører. Omkring et evt. valg af underleverandører er det et krav, at Leverandøren overholder Datatilsynets retningslinjer for overførsel til tredjelande. Benytter Leverandøren underleverandører, gælder som udgangspunkt samme informationssikkerhedskrav for underleverandøren som for Leverandøren selv. Informationssikkerhedskrav for underleverandører gælder dog kun i det omfang, de er relevante for opgaven hos Kunden. Dette afklares i Overtagelesfasen. Leverandøren er ansvarlig for, at der følges op på overholdelse af informationssikkerhedskrav hos underleverandøren og skal kunne dokumentere dette over for Kunden. Leverandøren må ikke benytte underleverandører, der ikke kan opfylde informationssikkerhedskravene Ekstern opbevaring af backup. Leverandøren skal opbevare backuppen i en kopi på en ekstern lokation Kodestandarder og fremgangsmåder der højner sikkerheden af koden. Procedurer for sikker udvikling baseret på kodestandarder eller fremgangsmåder, der højner sikkerheden af kode, skal anvendes. Leverandørens medarbejdere, der udvikler Programmel, skal have gennemføre relevant uddannelsesforløb. Side 8/10

9 3. Service Desk-system, der tilbydes af Leverandøren (MK) I det tilfælde af, at Leverandøren anvender eget Service Desk-system, er følgende informationssikkerhedskrav gældende. 3.1 Stop for pålogningsforsøg. Ved pålogning fra internettet skal Leverandørens Service Desksystem stoppe for pålogningsforsøg efter et antal mislykkede forsøg på login. 3.2 Brug af Kundens credentials. Ved pålogning fra internettet må der ikke benyttes brugeridenter, der er enslydende med, eller afledt af brugeridenter hos Kunden, eksempelvis adresse. Der må heller ikke benyttes automatiseret pålogning med credentials fra Kunden. 3.3 Information ved forkert pålogning. Systemet må ikke oplyse, om det er password eller brugerident, der er forkert. 3.4 Krav til passwords. Ved pålogning på Service Desk-system skal løsningen stille krav til længde og kompleksitet af passwords. Der skal skiftes password hver 3. måned. 3.5 Sikring af, at Brugere nedlægges. Hvis Leverandøren har kontrollen med brugeradgange til Service Desk-systemet, skal Leverandøren sikre, at brugere løbende oprettes og især at de efterfølgende nedlægges, når de ikke længere har behov for at benytte løsningen. Der skal foretages en generel kontrol mindst hvert ½ år af, at Kundens og Leverandørens brugere på løsningen er de rigtige. Leverandøren kan opfylde kravet ved at følge en intern procedure, der beskriver, hvordan brugeradgange løbende styres og periodisk kontrolleres. 3.6 Dokumenteret brugeroprettelse. Hvis Leverandøren har kontrollen med brugeradgange til Service Desk-systemet, skal Leverandøren sikre, at der er en formel brugeroprettelsesprocedure, der dokumenterer, at brugere kun oprettes efter godkendelse af på forhånd udpegede personer. Leverandøren skal sikre, at kravet opfyldes ved at følge interne procedurer. 3.7 Beskyttelse af data vedrørende Kunden. Leverandøren skal sikre, at der ikke er andre af Leverandørens kunder, der får adgang til data vedrørende Kunden i Service Deks-systemet. 3.8 Logning. Der skal være logning, som registrerer oprettelser, ændringer og sletning af brugere. Side 9/10

10 3.9 Brug af personlige brugerkonti. Hvis Leverandøren har kontrollen med brugeradgange til Service Desk-systemet, skal Leverandøren sikre, at der eksisterer en personlig brugerkonto til hver bruger. Side 10/10