ISO27001 og klassifikation Case Dubex A/S. 14. maj 2012 Jacob Herbst
|
|
- Simon Bjerregaard
- 8 år siden
- Visninger:
Transkript
1 ISO27001 og klassifikation Case Dubex A/S 14. maj 2012 Jacob Herbst
2 Agenda Dubex A/S Hvorfor en ISO27001 certificering? Sikkerhedshåndbogen Dubex dataklassifikation Klassifikation i praksis Retningslinjer Eksempler Awareness ISO27001 certificering Fremtiden
3 Præsentation af Dubex A/S Specialister i og laver kun IT-sikkerhed siden medarbejdere i København og Århus - over 2/3 arbejder med teknisk IT-sikkerhed Privatejet af de tre stiftere, samt medarbejderaktier Vækst og overskud alle år siden etableringen Omsætning 2011 ca. 80 mio. DKK Selvfinansierende - Dun & Bradstreet AAA Det største dedikerede IT-sikkerhedsfirma i DK Løsninger og ydelser bl.a. inden for netværks- og indholdssikkerhed, fjernadgang, mobility og autentificering, samt loghåndtering og compliance Eneste ISO certificerede danske ITsikkerheds-leverandør Dubex, Aarhus Dubex, Copenhagen (from June 2012)
4 Hvorfor et certificeringsprojekt? Dubex er vokset som organisation Flere medarbejdere mindre overblik Drift og overvågning af kundesystemer Behov for opstramning omkring intern IT Håndtering af stadig mere fortrolig information Flere ikke-tekniske medarbejdere Begrænsning af risici Sikkerhedsbrud kan få alvorlige konsekvenser for vores kunder Sikkerhedsbrud vil få alvorlige forretningsmæssige konsekvenser for vores image Store omkostninger ved nedbrud af IT-systemer Sikre ordentlig beskyttelse af vores data Vi er utroligt afhængige af fungerende IT-systerm Vi behandler fortrolige data
5 Hvorfor et certificeringsprojekt? Dubex er en professionel organisation Metode til at få indført bedre og mere formelle arbejdsgange Stigende krav om dokumentation af sikre arbejdsgange Krav fra kunder vi behandler deres fortrolige data Revionserklæringer og udbudsforretninger Vi skal kunne dokumentere, at vi har styr på vores egen sikkerhed Vi skal kunne dokumentere, at vi har styr på vores processer Vi tager vores egen medicin Vi er specialister i sikkerhed - det skal vi kunne dokumentere Det vil være et stærkt signal til vores kunder, at Dubex er certificeret
6 Intentioner ISO27001 skal understøtte vores forretning Alle foranstaltninger skal baseres på en konkret risikovurdering Ingen regler for reglernes skyld Det skal gøres så nemt som muligt Mange default valg fx ved brug af templates Teknisk understøttelse af processen Inddragelse af brugerne Forklare værdien af vores ISO27001 projekt
7 Forløb Projektet defineret og besluttet medio 2008 Startet som et DS484 projekt Nedsættelse af projektgruppe Klassifikation af data en af de første opgaver 2009 Egentlig opstart af projektet Klassifikation af data i praksis Makulator og pengeskab Etablering af gæsteregistrering Sikring af bærbare computere med diskkryptering 2010 Beslutning om skift fra DS484 til ISO Fysiske ændringer ombygning af receptionsområde Etablering af alternativt backup driftscenter Vi får vores ISO27001 certificering
8 Forløb - formelt
9 Proces - opsummeret Definition af aktiver og deres klassifikation Gennemførelse af risikovurdering, samt udarbejdelse af håndteringsplan Implementering af fysiske tiltag (inkl. dokumentation.) Implementering af organisatoriske tiltag (inkl. dok.) Implementering af IT og fysiske tiltag (inkl. dok.) Implementering af andre ISO processer (inkl. dok.)
10 Information behandlet hos Dubex Kontoradministrative data Personfølsomme data fx personnumre og løninformation Information om kunder og leverandører Kommerciel information om kunder Tilbud og aftaler Licensoversigter Licensinformation Information om leverandører Aftaler Information under Nondisclosure Kommercielle aftaler Markedsføring Marketingmateriale Kundelister Kundeinformation Dokumentation Konfiguration og backupdata Password informationer Drift og support Logdata Systembackup Supportsager Udvikling Kildekode Testdata ofte fra kunder
11 Dubex dataklassifikation Hvorfor? Et vigtigt krav i forbindelse med certificeringen Klassifikationen er grundlæggende for alt videre sikkerhedsarbejde Viden om hvad det er, vi skal passe på Hvordan? Identifikation af informationsaktiver Informationer tildeles en klassifikation, der bestemmer hvordan de skal behandles Retningslinjer beskrevet i sikkerhedshåndbog Hvornår? Fokus på alle nye dokumenter/informationer Gamle dokumenter mærkes ikke før de bruges men behandles efter deres klassifikation!
12 Sikkerhedshåndbog
13 Informationsaktiver Informationsaktiver er informationer, hardware, software, services, bygninger, personer og andet, der har en forretningsmæssig værdi for Dubex, og som derfor skal beskyttes Informationsaktiver har en ejer, der er ansvarlig for klassificering og for at stille krav til sikkerheden og til håndteringen, så aktivet beskyttes
14 Klassifikation af information Ansvar for klassifikation Dataejeren er ansvarlig for klassifikationen Klassifikationen sker typisk ved oprettelse Klassifikationsmærkning Informationsbærende medier skal markeres med højeste klassifikation fx i lukket kuvert Alle Dubex-udarbejdede dokumenter (breve, kontrakter, s etc.), der ikke er åbenlyst offentlige (brochurer o.lign.), skal have påført deres klassificeringsniveau Øvrige dokumenter påføres klassifikation ved udprint Ved tvivl skal dokumenter behandles som Fortrolig Dubex
15 Tommelfingerregler Offentlig Informationer på åben web, brochurer og hvad vi ellers generelt udleverer til alle Fortrolig Dubex Interne dokumenter Fortrolig Kunde eller Partner Kunde- eller leverandørspecifikke informationer fx tilbud, kontrakter, aftaler og korrespondance Hemmelig Gruppe, Afdeling eller Projekt Følsomme informationer (fx løn eller passwords) eller informationer som ikke alle hos en kunde skal kende (fx en sikkerhedsanalyse: Hemmelig Sikkerhedsgruppe) Top Hemmelig (ikke vist på skema) Fx klassificeret arbejde for myndigheder fingrene væk
16 Instruktion for klassifikation Nye s, breve, rapporter og andre dokumenter klassificeres af forfatteren, når de oprettes, ved at tilføje informationen husk initialer fx ved brug af stempel Indkommende post klassificeres af modtageren, der påfører klassifikationen default er Fortrolig mellem parterne, der automatisk kommer på, når receptionen stempler posten Indkommende s klassificeres automatisk af modtageren, når de gemmes i de korrekte Outlook foldere Indkommende elektroniske dokumenter og informationer klassificeres automatisk af modtageren, når de gemmes i de korrekte foldere på filserverne (eller på korrekt lagerplads) Gamle dokumenter mærkes, når de bruges igen fx printes ud
17 Husk at klassifikationen gælder Fysisk opbevaring fx af papirkopier hvem kan og må se hvad! Elektronisk opbevaring fx på laptops, på filservere, på USB sticks/diske, mv. Fysisk transport fx breve, pakkepost og ved personlig overbringelse Elektronisk transmission fx s og upload af filer Al kommunikation fx samtaler og telefoner husk, hvem der kan overhøre hvad, og ikke mindst, hvem der må høre hvad! Gamle dokumenter klassificeres ikke Makulering både fysiske og elektroniske informationer brug makulator og wipe data ved sletning/genbrug Kasserede datamedier overdrages til intern IT for destruktion
18 Instruktion
19 Klassificering af informationer i Dubex Ansvar for klassifikation ligger altid hos dataejer, dvs. den der opretter dokument/mail osv.
20 Eksempler Brevpapir & Standard brev templates tilføjet klassifikation Mail signaturer tilføjet klassifikation
21 Eksempler - Tilbud
22 Eksempler - Dokumenter
23 Eksempler Standardaftaler
24 Elektroniske sikringer/tiltag Beskyttelse af digital information Adgangsstyring på filservere Kryptering og passwordbeskyttelse af hemmelige filer ud af huset Udbredt brug af separate adskilte servere, netværksmæssig segmentering m.m. Sikring af bærbare med fulldisk kryptering Mulighed for kryptering af bærbare medier fx USB-enheder Løsning til sikker håndtering af mobiltelefoner Udfordringer Sikkerhedskonsulenter har ofte brug for fortrolige eller hemmelige data fx på en ukrypteret USB-enhed Ved håndtering af supportsager er det ikke altid muligt at kommunikere sikkert med leverandører
25 Fysisk sikkerhed Dubex lokaler er opdelt i en række zoner Sikre zoner: Serverrummet og arkivet Interne zoner: Kontorer, printerrum, elevator mv. Gæstezoner: Reception, kantine, mødelokaler Offentligt område: Områder uden for Dubex kontrol Århus kontoret er en gæstezone Etablering af fysisk adskillelse mellem gæstezone og intern zone Adgang mellem zoner kræver brug af adgangsbrikker og styres via adgangskontrol Adgangsbrikker er personlige, skal opbevares forsvarligt, og må ikke overlades til andre
26 Intern awareness undervisning
27 Awareness Gennemførelse af awareness undervisning Mange sikkerhedskyndige personer Vigtig for alle, også for sikkerhedskyndige personer Fast del af introduktion for nye medarbejdere Sikre kendskab til reglerne i vores sikkerhedshåndbog Awareness test Bestod af 25 spørgsmål i alle dele af vores sikkerhedsregler Understøttet ledelsesmæssigt i form af bonusmål ved over 90% beståelsesgrad 90% bestod i første forsøg resten i andet Årlig awareness test Målet er nu ikke at dumpe/bestå, men dels at skærpe bevidstheden Måle det niveauet i firmaet Og det er vores auditør helt enig i.
28 Dubex ISO27001 certificering
29 Tilbagemelding fra Dansk Standard
30 Tilbagemelding fra Dansk Standard
31 Opfølgende audit
32 Erfaringer Kompleks og omsiggribende proces Gik noget nemmere da vi fulgte ISO forfra Organisatoriske udfordringer Awareness vigtig hvorfor gør vi det? Hjælp til formalisering og strømlining af interne processer og systemer Overvej fokus for håndbogen dokumentation eller vejledning for brugere? Kritisk med commitment fra ledelsen
33 Fremtiden Flere tekniske foranstaltninger Skal hjælpe brugerne med at opføre sig hensigtsmæssigt Tekniske kontroller forbedret SIEM løsninger Administrative kontroller som IT-CRM og hændelseslogs Fortsat indarbejdning af ISMS i dagligdagen Det skal være endnu mere naturligt for folk at komme med forslag og kommentarer Endnu mere skal være risikovurderet/-begrundet Etablering central håndtering af krypteret Date Leak Prevention Beskytte mod fejl såsom at sende XLS-udgaven af et tilbud i stedet for PDFudgaven Beskytte mod fejlagtig afsendelse af hemmelig information Kritisk med fortsat commitment fra ledelsen Dette er en proces!
34 ISO forløb - opsummeret Begynd med ledelsesaccept, scope og politik Identificer de forretningskritiske informationsaktiver, samt deres ejere Gennemfør risikovurdering og udarbejd en risikohåndteringsplan, inkl. valg af kontroller De store aktiviteter kan udføres i faser og i parallel: Implementer processerne (ISMS) Implementer de valgte kontroller Dokumenter det hele, inkl. udarbejdelse af procedurer og instruktioner Medarbejderuddannelse (awareness) Vedligehold systemet
35 Hvad kan man genbruge? Man har nok allerede en del kontroller Firewalls, proxy, antivirus, UPS mv. Backups og katastrofeplaner Adgangskontrol, brandsikring, tyverialarm mv. Kontrakter med fortrolighedserklæringer Overordnet sikkerhedspolitik Regler i personalehåndbog Vejledning om og internetbrug Husk de lavthængende frugter
36 TAK Jacob Herbst
Risikostyring ifølge ISO27005 v. Klaus Kongsted
Risikostyring ifølge ISO27005 v. Klaus Kongsted Agenda Dubex A/S Formålet med risikovurderinger Komponenterne Risikovurderinger Dubex A/S fakta og værdier Den førende sikkerhedspartner De bedste specialister
Læs mereAgenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)
IT-sikkerhed med Agenda Introduktion: Rasmus & CyberPilot Eksempler fra det virkelig verden Persondataforordningen & IT-sikkerhed (hint: ISO27001) Risikovurdering som værktøj til at vælge tiltag Tiltag
Læs mereIt-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015
It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat
Læs mereSyddansk Universitet. Dataklassificering på. Version 1.8 Sidst revideret d. 29. november 2007 Side 1 af 13
Dataklassificering på Version 1.8 Sidst revideret d. 29. november 2007 Side 1 af 13 Indeks Indeks... 2 Introduktion... 3 Formål... 3 Interessenter... 3 Dokument struktur... 3 Revision af dokumentet...
Læs mereISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015
ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015 Udfordringer mht. persondata eksempler For mange brugere har adgang til
Læs mereInformationssikkerhed regler og råd
Informationssikkerhed regler og råd TAP-området Kære kollegaer Formålet med denne folder er at oplyse dig om RMCs regler og råd inden for informationssikkerhed. Folderen skal være med til at sikre, at
Læs mereDUBEX SECURITY & RISK MANAGEMENT SUMMIT Søren Kromann, Forvaltningsdirektør, KOMBIT
DUBEX SECURITY & RISK MANAGEMENT SUMMIT 2016 Søren Kromann, Forvaltningsdirektør, KOMBIT Om KOMBIT KOMBIT er et aktieselskab, som er 100% ejet af KL (kommunerne) Finansielt skal KOMBIT hvile i sig selv
Læs mereIT-sikkerhedspolitik. for Social- og Sundhedsskolen Esbjerg
IT-sikkerhedspolitik for Social- og Sundhedsskolen Esbjerg Indhold IT-sikkerhedspolitik... 2 Formål... 2 Grundprincipper for sikkerhedsarbejdet... 2 Funktionsadskillelse og adgangsstyring... 2 Sikkerhedsforanstaltninger...
Læs mereProcedure for tilsyn af databehandleraftale
IT Projekt og Udviklingsafdeling Dato:7.2.2017 Procedure for tilsyn af databehandleraftale Reference til Retningslinjer for Informationssikkerhed: Afsnit 14.5 (Databehandleraftaler). Ved ibrugtagning af
Læs mereSOPHIAGÅRD ELMEHØJEN
Databeskyttelsespolitik for Sophiagård Elmehøjen Overordnet organisering af personoplysninger Sophiagård Elmehøjen ønsker som hovedregel at anvende databehandlersystemer og opbevaring af personoplysninger
Læs mereISO27001 som ledelsesværktøj en pragmatisk tilgang. Lars Boye, lab@dubex.dk Søborg, den 6. november 2014
ISO27001 som ledelsesværktøj en pragmatisk tilgang Lars Boye, lab@dubex.dk Søborg, den 6. november 2014 DUBEX SECURITY & RISK MANAGEMENT SUMMIT 2014 Informationssikkerhed på dagsordenen Det seneste års
Læs mereFaxe Kommune. informationssikkerhedspolitik
Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en
Læs mereSURFTOWNS SIKRINGSMILJØ. Databehandleraftalen - Bilag 1
SURFTOWNS SIKRINGSMILJØ Databehandleraftalen - Bilag 1 Indholdsfortegnelse Fysisk sikkerhed... 2 Logiske adgange... 2 Netværk... 2 Logning... 2 Sårbarhedsstyring... 2 Overvågning... 2 Backup... 3 Kryptering...
Læs mereBilag 5 Aarhus Kommune. Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0. Opbevaring/sletning af informationer
Bilag 5 Aarhus Kommune Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0 Opbevaring/sletning af informationer 11-04-2011 1 Regler 7 Styring af informationsrelaterede
Læs mereDatabeskyttelsespolitik for DSI Midgård
Databeskyttelsespolitik for DSI Midgård Overordnet organisering af personoplysninger DSI Midgård ønsker som hovedregel at anvende databehandlersystemer og opbevaring af personoplysninger hos eksterne leverandører,
Læs mereInstrukser for brug af it
it sikkerhed Instrukser for brug af it Må Skal ikke Kan Januar 2010 Version 1.0 Indhold Forord................................................... 3 Resumé.................................................
Læs merePræsentation af Curanets sikringsmiljø
Præsentation af Curanets sikringsmiljø Version: 1.1 Dato: 1. marts 2018 Indholdsfortegnelse Indledning: side 3 Organisering af sikkerhed: side 3 Politikker, procedurer og standarder: side 3 Medarbejdersikkerhed:
Læs mereCloud Computing De juridiske aspekter
Cloud Computing De juridiske aspekter Forskningsnet Konference 2010 Middelfart Advokat Nis Peter Dall Hvad er Cloud? IaaS (Infrastructure as a Service) - Computerkraft, lagerplads mv. stilles til rådighed
Læs mereNemHandel i cloud - sikkerhedsmæssige overvejelser. Helle Schade-Sørensen IT og Telestyrelsen
NemHandel i cloud - sikkerhedsmæssige overvejelser Helle Schade-Sørensen IT og Telestyrelsen Agenda Lidt om NemHandel Rationalet for valg af cloud Overvejelser vedr. sikkerhed Løsning og erfaringer indtil
Læs mereDatabeskyttelsespolitik for Netværket Smedegade, en social institution, der primært hoster data og programmer hos databehandlere
Databeskyttelsespolitik for Netværket Smedegade, en social institution, der primært hoster data og programmer hos databehandlere Overordnet organisering af personoplysninger Netværket Smedegade ønsker
Læs mereVi har etableret et brancheledende informationssikkerhedsprogram. vores kunder den bedste beskyttelse og højeste grad af tillid.
Som hostingleverandør er vores vigtigste sikkerhedsopgave at passe godt på dine data og sørge for, at du til enhver tid lever op til sikkerhedskravene fra dine kunder. Sikkerhed er derfor et område, som
Læs mereHillerød Kommune. It-sikkerhedspolitik Bilag 8. Kontrol og adgang til systemer, data og netværk
It-sikkerhedspolitik Bilag 8 Kontrol og adgang til systemer, data og netværk November 2004 Indholdsfortegnelse 1 Formål...3 2 Ansvar og roller...3 2.1 Byrådet...3 2.2 Kommunaldirektøren/ Direktionen...3
Læs mereKære medarbejder og leder
Kære medarbejder og leder Adgang til informationer i it-systemer og elektronisk kommunikation er for de fleste medarbejdere i Region Hovedstaden en selvfølgelig del af arbejdsdagen. Hvis vi ikke har adgang
Læs mereVelkomst og praktiske informationer
Security & Risk Management Update Velkomst og praktiske informationer Klaus Kongsted Aarhus, 13. juni 2013 Dubex A/S - Profil Specialister i og laver kun it-sikkerhed siden 1997 Ca. 50 medarbejdere i København
Læs mereOverordnet organisering af personoplysninger
Databeskyttelsespolitik for Hertha Bofællesskaber & Værksteder Overordnet organisering af personoplysninger Hertha Bofællesskaber & Værksteder ønsker som hovedregel, at anvende digitale databehandlingssystemer
Læs mereHillerød Kommune. It-sikkerhedspolitik Bilag 10. Beredskabsplanlægning
It-sikkerhedspolitik Bilag 10 November 2004 Indholdsfortegnelse 1 Formål...3 2 Ansvar og roller...3 2.1 Byrådet...3 2.2 Kommunaldirektøren/ Direktionen...3 2.3 Ledere, fagchefer mv...3 2.4 It gruppen,
Læs mereOverordnet organisering af personoplysninger
Databeskyttelsespolitik for Friskolen og Idrætsefterskolen UBBY Overordnet organisering af personoplysninger Friskolen og Idrætsefterskolen UBBY ønsker som hovedregel, at anvende digitale databehandlingssystemer
Læs mereBilag 1 Databehandlerinstruks
Bilag 1 Databehandlerinstruks 1 1. Databehandlerens ansvar Databehandling omfattet af Databehandleraftalen skal ske i overensstemmelse med denne instruks. 2. Generelt 2.1 Databehandleren skal som minimum
Læs mereRapport. Anbefaling. Sikkerhedstjekket 2016 Rådet for Digital Sikkerhed
Rapport Anbefaling God IT-sikkerhed er god forretning. En brist i jeres IT-sikkerhed kan koste din virksomhed mange penge i genopretning af dine systemer, data og ikke mindst dit omdømme hos dine kunder
Læs mereSikkerhedspolitik Version 3.1003 d. 3. oktober 2013
Denne sikkerhedspolitik beskriver de krav som Leverandøren stiller til den interne fysiske sikkerhed, datasikkerhed, logiske sikkerhed og sikkerhed i forbindelse med netværk og firewalls. Sikkerhedspolitikken
Læs mereEksempel på KOMBITs instruks til ISAE 3000 revisionserklæring
Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring KOMBIT har som indkøbscentral på vegne af landets kommuner indgået aftale med [leverandørnavn] (herefter Leverandøren ) om udvikling, drift,
Læs mereIT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR
IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR 1 HUSK n Adgangskoder må ikke videregives til andre. n Andre må ikke anvende din personlige bruger-id. n Ved mistanke om, at andre har fået kendskab
Læs mereIT-INSTRUKS. Dansk Arbejder Idrætsforbund. I denne vejledning finder du de it-standarder, som gælder for medarbejdere og frivillige i forbundet.
IT-INSTRUKS Dansk Arbejder Idrætsforbund I denne vejledning finder du de it-standarder, som gælder for medarbejdere og frivillige i forbundet. Vi skal sammen sikre informationssikkerheden ved at beskytte
Læs mereTimengo. Digitalisering med en Microsoft platformen Kenneth Wohlers, Timengo. Timengo
Digitalisering med en Microsoft platformen Kenneth Wohlers, Agenda Sikker post Nye muligheder Vores løsning - VMG Scenarier Teknisk overblik Hvad er Sikker post Teknologi Certifikater Standarder Formål
Læs mereDatabeskyttelsespolitik
Databeskyttelsespolitik Overordnet organisering af personoplysninger Den Miljøterapeutiske Organisation herunder Dagbehandlingsstilbuddet Hjembækskolen (herefter tilsammen benævnt som Den Miljøterapeutiske
Læs mereKÆRE MEDARBEJDER OG LEDER
Region Hovedstaden 1 KÆRE MEDARBEJDER OG LEDER Adgang til informationer i it-systemer og elektronisk kommunikation er for de fleste medarbejdere i Region Hovedstaden en selvfølgelig del af arbejdsdagen.
Læs mereForordningens sikkerhedskrav
Forordningens sikkerhedskrav Klaus Kongsted, Dubex DI, 12. oktober 2016 Agenda Hvordan håndteres Risikovurdering Passende tekniske og organisatoriske foranstaltninger Godkendte adfærdskodekser og certificering
Læs mereHovmosegaard - Skovmosen
Databeskyttelsespolitik for Hovmosegaard STU og bostedet Skovmosen, sociale institutioner, der primært hoster data og programmer hos databehandlere. Overordnet organisering af personoplysninger Hovmosegaard
Læs mereDATABESKYTTELSESPOLITIK
DATABESKYTTELSESPOLITIK for Opholdsstedet Bustrup Opholdsstedet Udsigten Opholdsstedet Jupiter Dagskolen Bustrup 1. Overordnet håndtering af personoplysninger Bustrup benytter både eksterne løsninger såvel
Læs mereInformationssikkerhedspolitik for <organisation>
1 Informationssikkerhedspolitik for 1. Formål informationssikkerhedspolitik beskriver vigtigheden af arbejdet med informationssikkerhed i og fastlægger
Læs mereDe første 350 dage med den nye databeskyttelsesforordning
Baggrund Beskyttelse af data og informationssikkerhed er med EUs nye forordning om databeskyttelse blevet et væsentligt emne for mange virksomheder og organisationer. I forvejen har de statslige myndigheder
Læs mereKontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1
Tilgængelighed, fortrolighed og integritet. Høj kvalitet i informationssikkerhed og dokumentation Hvilken betydning har principper og anbefalinger i sikkerhedsstandarden ISO 27001 for kvaliteten af dokumentationen?
Læs mereP O L I T I K F O R D A T A S I K K E R H E D V E D B O L I G A D M I N I S T R A T I O N. I N D H O L D 1. Indledning Definitioner...
P O L I T I K F O R D A T A S I K K E R H E D V E D B O L I G A D M I N I S T R A T I O N I N D H O L D 1. Indledning... 2 2. Definitioner... 2 3. Ansvar... 3 4. Generelle principper... 3 5. Fysisk sikring...
Læs mereProduktspecifikationer Cloud Connect Version 1.1. Cloud Connect. Side 1 af 7
Side 1 af 7 Indhold 1 INTRODUKTION TIL CLOUD CONNECT... 3 1.1. CLOUD CONNECT... 3 1.2. VORES SETUP... 3 1.3. LEVERANCEN... 4 1.3.1. Aktiviteter... 4 1.3.2. Forudsætninger for etablering... 4 1.4. KLARMELDINGSDATO...
Læs mereIt-sikkerhedspolitik for Farsø Varmeværk
It-sikkerhedspolitik for Farsø Varmeværk Introduktion Denne it-sikkerhedspolitik, som er besluttet af bestyrelsen, udgør den overordnede ramme for at opretholde it-sikkerheden hos Farsø Varmeværk. Hermed
Læs mereStatus for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2
Status for ændringer Version Dato Navn Bemærkning 1.0 24-04-2007 Vedtaget i Regionsrådet 1.1 13-02-2012 IMT-Informationssikkerhed Tilpasning af terminologi 1.2 15-10-2012 IMT-Informationssikkerhed Rettelse
Læs mereHillerød Kommune. IT-sikkerhedspolitik Bilag 2. Opfølgning på lovbestemte krav
IT-sikkerhedspolitik Bilag 2 November 2004 Indholdsfortegnelse 1 Formål...3 2 Ansvar og roller...3 2.1 Byrådet...3 2.2 Kommunaldirektøren/ Direktionen...3 2.3 Ledere, fagchefer mv...3 2.4 It gruppen, It
Læs mereNOTAT. Køge Kommune It-sikkerhed Overordnede retningslinjer ITafdelingen. Fællesforvaltningen. Dato Sagsnummer Dokumentnummer
NOTAT Fællesforvaltningen Dato Sagsnummer Dokumentnummer ITafdelingen Køge Rådhus Torvet 1 4600 Køge www.koege.dk Tlf. 56 67 67 67 Fax 56 65 54 46 Køge Kommune It-sikkerhed Overordnede retningslinjer 2010
Læs mereDragør Kommune. Operationelle bilag til IT-sikkerhedspolitikken. Bilag 7. Retningslinjer for IT-medarbejdere
Dragør Kommune Operationelle bilag til IT-sikkerhedspolitikken IT-sikkerhedspolitik Side 2 Retningslinjer for IT-medarbejdere Samtlige medarbejdere beskæftiget med driften af kommunens IT-installation,
Læs mereit-sikkerhed i produktionen DE 5 TRIN
it-sikkerhed i produktionen DE 5 TRIN Hvem er jeg? Tina Henriette Christensen Ingeniør med 18 års erfaring IPMA certificeret Projektleder Projektledelse af it-projekter Større integrationsprojekter Arbejder
Læs mereHåndtering af fortrolige og følsomme personoplysninger ved Center for Misbrugsbehandling og Pleje, jf. forvaltningens sagsnummer
Borgerrådgiveren Socialforvaltningen Brev er d.d. fremsendt pr. e-mail. 16-11-2012 Sagsnr. 2012-98616 Dokumentnr. 2012-900691 Håndtering af fortrolige og følsomme personoplysninger ved Center for Misbrugsbehandling
Læs mereAlmindelig sund fornuft med IT Gode råd og regler om IT sikkerhed
Almindelig sund fornuft med IT Gode råd og regler om IT sikkerhed Langeland Kommune Sikkerhed i Langeland Kommune Sikkerhed er noget vi alle skal tænke over. Vi behandler følsomme informationer om vores
Læs mereForslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed
Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.
Læs mereSikker IT-Brug. En kort introduktion til et sikkert online arbejdsmiljø og gode IT-vaner i Sanistål. sanistaal.com
Sikker IT-Brug En kort introduktion til et sikkert online arbejdsmiljø og gode IT-vaner i Sanistål sanistaal.com Indhold 2 Kære kollega 4 Kom godt i gang 5 Logning 6 Kodeord 7 Mobile enheder 9 Dataopbevaring
Læs mereAssens Kommune Sikkerhedspolitik for it, data og information
Assens Kommune Sikkerhedspolitik for it, data og information Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Holdninger og principper... 4 4. Omfang... 4 5. Sikkerhedsbevidsthed,
Læs mereVersion: 1.0 Maj Informationssikkerhedspolitik for Struer Statsgymnasium
Version: 1.0 Maj 2019 Informationssikkerhedspolitik for Struer Statsgymnasium Indholdsfortegnelse 1.1 Indledning:... 1 1.2 Omfang og ansvar:... 1 1.3 Sikkerhedsniveau:... 1 1.4 Sikkerhedsbevidsthed:...
Læs mereDI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)
DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) 1 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-951-4 0.05.12
Læs mereDatabeskyttelsespolitik
Databeskyttelsespolitik for Rasmus Gissel, tekstforfatter, oversætter og korrekturlæser 1. Indledning I denne databeskyttelsespolitik kan du læse følgende: hvordan, hvornår og hvorfor jeg indsamler persondata
Læs mereISO Ledelsesværktøj til digital risikostyring
ISO 27001 Ledelsesværktøj til digital risikostyring John Wiingaard, GRC konsulent, Dubex Bygholm Park, Horsens, den 12. maj 2016 Agenda 1. Formål 2. IT-sikkerhedsudfordringer anno 2016 3. Hvorfor ISO27001
Læs mereIt-sikkerhedstekst ST4
It-sikkerhedstekst ST4 Datatransmission af personoplysninger på åbne net Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST4 Version 1 Oktober 2014 Datatransmission af personoplysninger
Læs mereDataklassifikation VEJLEDNING. DI Digital 1787 København V digital.di.dk
VEJLEDNING Dataklassifikation DI Digital 1787 København V. 3377 3377 digital.di.dk digital@di.dk DI Digital et branchefællesskab i Dansk Industri for virksomheder inden for it, tele, elektronik og kommunikation
Læs mereLANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED
LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED DAGSORDEN _ Introduktion til informationssikkerhed _ Hvad går det egentlig ud på _ Hvilke kerneopgaver er der _ Hvor langt er vi nået? _ Hvilke
Læs mereTænk når du taster. kom nærmere
Tænk når du taster kom nærmere Regler for medarbejdernes brug af TDC s pc-arbejdspladser Nedenfor kan du læse om de regler, TDC s Direktion har vedtaget for brugen af koncernens*) pc-arbejdspladser Reglerne
Læs mereFORENINGER BESTYRELSESPORTAL
FORENINGER BESTYRELSESPORTAL Let, sikkert og digitalt bestyrelsesarbejde. Powered by BOARD GOVERNANCE A/S OM BOARD Vi er tilfredse med få foreningens bestyrelsesarbejde over på BOARD. Det er en meget stor
Læs mereVores behandling af dine personoplysninger
Persondatapolitik for Særslev Vandværk Introduktion For at kunne levere vandforsyning er der fundamentale personoplysninger vi har behov for at behandle. Vores persondatapolitik er ment som en hjælp til
Læs mereOS2kravmotor Håndtering af GDPR
OS2kravmotor Håndtering af GDPR 13.03.2018 Agenda Hovedpunkter i GDPR (jeg er ikke jurist) Nuværende GDPR kravdækning i OS2kravmotor Opsummering af 145 DIGIT krav vedrørende it-sikkerhed Mangler vi krav
Læs merepage 1 SSE/XXXXX/YYY/ZZZZ $Revision: xx.xx $ Cybersecurity COMMERCIAL IN CONFIDENCE
page 1 SSE/XXXXX/YYY/ZZZZ $Revision: xx.xx $ Cybersecurity page 2 SSE/XXXXX/YYY/ZZZZ $Revision: xx.xx $ Erik Meldgaard Director IT page 3 SSE/XXXXX/YYY/ZZZZ $Revision: xx.xx $ Vores brugere Vores kontorer
Læs mereIT-Sikkerhed i Billund Kommune
IT-Sikkerhed i Billund Kommune Adfærdsregler Billund Kommune Version 1.0 Januar 2011 Side 1 af 9 Adfærdsregler Som kommune behandler vi mange oplysninger om borgere og virksomheder, som ofte er fortrolige
Læs mereIT-sikkerhedspolitik S i d e 1 9
IT-sikkerhedspolitik S i d e 1 9 Indhold 1 Læsevejledning... 3 2 Informationssikkerhedspolitik... 3 2.1 INDLEDNING... 3 2.2 SIKKERHEDSNIVEAU... 4 2.3 HOLDNINGER OG PRINCIPPER... 5 2.4 HOVEDMÅLSÆTNINGER
Læs mereDatatilsynet: Krav om datasikkerhed i forbindelse med personaleadministration
Side 1 af 2 Forside / Erhverv / Personaleadministration / Krav om datasikkerhed i forbindelse med personaleadministration Opdateret: 06.05.15 Krav om datasikkerhed i forbindelse med personaleadministration
Læs mereHalsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune.
Informationssikkerhedspolitik Oktober 2015 Side 1 af 5 sider Baggrund Ved informationssikkerhed forstås de samlede foranstaltninger til at sikre Fortroligheden, Tilgængeligheden og Integriteten på kommunens
Læs mereCYBERFORSIKRING OFFENTLIG KONFERENCE
CYBERFORSIKRING OFFENTLIG KONFERENCE Den 23 September 2015 Introduktion Kan en forsikring afdække det økonomiske tab, hvis den risiko organisationen er eksponeret for bliver en realitet? Agenda: Eksponering
Læs mereGDPR Persondatapolitik Tage E. Nielsen A/S
GDPR Persondatapolitik Tage E. Nielsen A/S Introduktion For at kunne servicere vore kunder og vore medarbejdere er der vigtige personoplysninger, vi har behov for at behandle. Vores persondatapolitik oplyser,
Læs mereInformationssikkerhedspolitik for Horsens Kommune
Informationssikkerhedspolitik for Horsens Kommune Senest opdateret januar 2016 Indholdsfortegnelse 1. FORMÅL... 3 2. OMFANG OG SIKKERHEDSNIVEAU... 3 3. HOVEDMÅLSÆTNINGER... 4 4. ORGANISERING OG ANSVAR...
Læs mereTilladelsen gives på følgende vilkår:
Amgros I/S Dampfærgevej 22 2100 København Ø Sendt til: amgros@amgros.dk og cch@amgros.dk 6. april 2016 Vedrørende anmeldelse af behandlingen "Behandling af ESPD dokumentation" Datatilsynet Borgergade 28,
Læs mereBeredskabsplan for it-systemer
Beredskabsplan for it-systemer Prioriteret systemliste Prioritet It-system (Mest kritiske først) Maksimal nødvendig reetableringstid Mulighed for manuel arbejdsgang i tilfælde af længerevarende nedbrud/utilgængelighed
Læs mereSecure Mail. 1. juni Hvem læser dine s?
Secure Mail 1. juni 2017 Hvem læser dine emails? Agenda Hvorfor nu kryptering og signering Den danske digitale infrastruktur SecureMail-løsning E-boksintegration CEO fraud Peter Åkerwall Partner Account
Læs mereIT-sikkerhedspolitik for Lyngby Tandplejecenter
IT-sikkerhedspolitik for Lyngby Tandplejecenter 1 Indledning Formål med IT-sikkerhedspolitikken Lyngby tandplejecenters IT-sikkerhedspolitik er vores sikkerhedsgrundlag og vores fælles forståelse af, hvad
Læs mereHjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune
Hjørring Kommune Sag nr. 85.15.00-P15-1-17 12-03-2018 Side 1. Overordnet I-sikkerhedspolitik for Hjørring Kommune Indledning Informationssikkerhedspolitikken (I-sikkerhedspolitikken) udgør den overordnede
Læs mereSikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005
Sikkerhedspolitik Version: 2.4 Dokument startet: 07-12-2005 INDHOLDSFORTEGNELSE 1. INTRODUKTION... 3 1.1 FORMÅL... 3 2 FYSISK SIKKERHED... 4 2.1 MILJØ OG SIKRING... 4 2.2 ADGANGSKONTROL... 5 3 HARDWARE...
Læs mereIT-sikkerhed i Køge Kommune. IT med omtanke
IT-sikkerhed i Køge Kommune Indhold Din pc 4 Adgangskode 5 Virus 6 Sikkerhedskopiering 7 Medarbejder signatur 7 E-mail og sikkerhed 8 Internettet 9 Dine bærbare enheder 10 Mere om følsomme data 11 Denne
Læs merePrivatlivspolitik for medarbejdere
UNIVERSITY COLLEGE LILLEBÆLT Privatlivspolitik for medarbejdere Retningslinjer for registrering, håndtering og anvendelse af data om medarbejdere hos UCL Vedtaget på HSU den 16. november 2015 Indhold 1.
Læs mereFamly Sikkerhedsbilag
Famly Sikkerhedsbilag Tekniske og organisatoriske sikkerhedsforanstaltninger i overensstemmelse med artikel 32 i GDPR. De tekniske og organisatoriske sikkerhedsforanstaltninger, som Famly har på plads
Læs mereLedelsen har sikret, at der er etableret en hensigtsmæssig itsikkerhedsorganisation
Revisionsrapport om it-revision af Sundhedsdatanettet (SDN) 05 J.nr. 05-6070-7 5. januar 06 Ledelsens styring af it-sikkerheden Ikke opfyldt, Delvist opfyldt, Opfyldt. Nr. Kontrolmål Observation Risiko
Læs mereDatabehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:
Databehandleraftale vedrørende brug af WinPLC og relaterede services Version 1.0 d. 1. november 2015 Parterne Kundenr.: Klinikkens navn og adresse (evt. stempel) (herefter den Dataansvarlige) og (herefter
Læs merePersondatapolitik for
Persondatapolitik for Toftlund Vandværk A.m.b.a Toftlund Vandværk A.m.b.a Elmevej 39 kontor@toftlundvand.dk Tlf 7483 1212 6520 Toftlund www.toftlundvand.dk CVR: 1287 9318 Introduktion For at kunne levere
Læs mereBekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.
Bekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl. 1 I bekendtgørelse nr. 1026 af 30. juni 2016 om ledelse og styring af pengeinstitutter m.fl., som ændret ved
Læs mereHillerød Kommune. It-sikkerhedspolitik Bilag 9. Udvikling, anskaffelse og vedligeholdelse
It-sikkerhedspolitik Bilag 9 November 2004 Indholdsfortegnelse 1 Formål...3 2 Ansvar og roller...3 2.1 Byrådet...3 2.2 Kommunaldirektøren/ Direktionen...3 2.3 Ledere, fagchefer mv...3 2.4 It gruppen, It
Læs mereProgrambeskrivelse - øget sikkerhed og implementering af sikkerhedsreglerne i EU's databeskyttelsesforordning
Programbeskrivelse - øget sikkerhed og implementering af sikkerhedsreglerne i EU's databeskyttelsesforordning Formål og baggrund Afhængigheden af digitale løsninger vokser, og udfordringerne med at fastholde
Læs mereInformationssikkerhedspolitik
Folder om Informationssikkerhedspolitik ansatte og byrådsmedlemmer 25-11-2013 Indledning Faxe Kommune har en overordnet Informationssikkerhedspolitik. Denne folder er et uddrag, der kort fortæller hvad
Læs mereFYSISK SIKKERHED. Bilag 10-1
FYSISK SIKKERHED Bilag 10-1 Indholdsfortegnelse 1. FYSISK SIKKERHED... 3 1.1. SIKRE OMRÅDER... 3 1.2. BESKYTTELSE AF UDSTYR... 4 Bilag 10-1 FYSISK SIKKERHED Kunden, side 2 af 6 1. FYSISK SIKKERHED Kundens
Læs mereRevision af firewall. Jesper B. S. Christensen. Sikkerhed og Revision 6/7 September 2018
Revision af firewall Jesper B. S. Christensen Sikkerhed og Revision 6/7 September 2018 Jesper B. S. Christensen Senior Consultant Deloitte, Risk Advisory, Cyber Secure (dem I ikke har hørt om før) IT-Ingeniør,
Læs mereSikker behandling af personoplysninger og informationsaktiver. Version 1.0 Marts 2017 Horne Vandværk
Sikker behandling af personoplysninger og informationsaktiver Version 1.0 Marts 2017 Horne Vandværk Kære kollega Som medarbejdere i vandværket bærer vi et fælles ansvar for, at informationer bliver håndteret
Læs mereBOARD OFFICE white paper
white paper Bestyrelsesportal med sikker administration af alt arbejdsmateriale. Indhold 1. Introduktion... s.3 2. Hosting... s.4 3. Kryptering... s.4 4. Certifikater... s.5 5. Backup... s.5 6. Udvikling...
Læs mereDS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484
DS 484:2005 Standard for informationssikkerhed -Korte uddrag fra DS484 Informationssikkerhedsstrategi Ledelsen skal godkende en skriftlig informationssikkerhedspolitik, som skal offentliggøres og kommunikeres
Læs mereIT-retningslinier og sikkerhedspolitik for Viborg Kommunes Skole IT. - gældende for undervisere
IT-retningslinier og sikkerhedspolitik for Viborg Kommunes Skole IT - gældende for undervisere August 2009 IT retningslinier og sikkerhedspolitik for Viborg kommunes Skole IT - gældende for undervisere
Læs mereWebmail manual januar 2006 Introduktion til WebMail
Introduktion til WebMail Support til Webmail kontakt din Publizer konsulent 1 Introduktion til WebMail Denne introduktion giver en kort gennemgang af WebMail på http://webmail.domæne.dk for Publizer CMS
Læs mereFredericia Kommunes Informationssikkerhedspolitik 1 FREDERICIA KOMMUNE AFDELING TITEL PÅ POWERPOINT
Fredericia Kommunes Informationssikkerhedspolitik 2018 1 FREDERICIA KOMMUNE AFDELING TITEL PÅ POWERPOINT 12-11-2018 Indholdsfortegnelse Indledning Hvad og hvem er omfattet? Ansvar og konsekvens Vision,
Læs merePersondatapolitik for. Toftlund Fjernvarme A.m.b.a. Toftlund Fjernvarme A.m.b.a
Persondatapolitik for Toftlund Fjernvarme A.m.b.a Toftlund Fjernvarme A.m.b.a Østerdalen 3 kirsten@toftlundfjernvarme.dk Tlf 7483 1640 6520 Toftlund www.toftlundfjernvarme.dk CVR: 6369 0619 Introduktion
Læs mereInformationssikkerhed Version 2.0 29.09.10
Informationssikkerhed Version 2.0 29.09.10 Retningslinjer for retablering af systemer og data (Ændringer i forhold til tidligere version er markeret med Understregning) Disse retningslinjer beskriver de
Læs mere