Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6

Størrelse: px
Starte visningen fra side:

Download "Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6"

Transkript

1

2 Indholdsfortegnelse Generelt 3 Formål 3 Omfang 4 It-sikkerhedsniveau 4 Styring 5 Sikkerhedsbevidsthed 6 Brud på it-sikkerheden 6 Anvendelse af politik for it-sikkerhed i praksis 6 Bilag 1. Anvendelse af politik for it-sikkerhed i praksis 7 Bilag 2. Indholdsfortegnelse for Region Syddanmarks Informationssikkerhedshåndbog 8 Bilag 3. Oversigt over lovgivning 12 Side 2 af 13

3 Generelt Region Syddanmark er en stor og kompleks virksomhed, der i sin vision stræber mod kvalitet, sammenhæng, tilgængelighed, og konkurrencedygtighed og har fokus på både regionens brugere og ansatte. Visionen er: Med regionens brugere som omdrejningspunkt vil vi tilrettelægge vores virksomhed ud fra kvalitet sammenhæng og tilgængelighed Vi vil være konkurrencedygtige, fornyende og dagsordensættende Vi vil skabe en attraktiv arbejdsplads der konkurrerer blandt de bedste med udviklingsmuligheder for den enkelte It-sikkerhedspolitikken skal understøtte regionens vision, værdigrundlag og de strategiske og taktiske mål, der er fastlagt i Region Syddanmark. Regionen løser sine kerneopgaver indenfor fire hovedområder: Somatik Social Psykiatri Regional Udvikling Region Syddanmark varetager opgaver, serviceydelser og interesser for ca borgere. Regionen har ca ansatte. Informationer og informationssystemer udgør et meget væsentligt grundlag for at regionens daglige drift af forretningsområderne. It-sikkerheden er dermed også af stor betydning for virksomhedens troværdighed og funktionsdygtighed. Regionens opgaveløsning sker i høj grad ved behandling, lagring og udveksling af informationer om borgere, regionen og samarbejdspartnere. De informationer som indgår i opgaveløsninger er for en stor dels vedkommende kendetegnet ved, at der er krav om høj fortrolighed (personfølsomme data). Informationer skal være tilgængelige døgnet rundt og må ikke forvanskes eller forsvinde. It-sikkerhedspolitikken understøtter, at regionens håndtering af disse informationer til enhver tid sikrer informationernes fortrolighed, integritet og tilgængelighed. Formål Formålet med etableringen af nærværende it-sikkerhedspolitik er, at fastsætte de grundlæggende principper for beskyttelse af regionens informationer. Politikken skal således sikre, at de grundlæggende principper for itsikkerhed fortrolighed, integritet og tilgængelighed efterleves. It-sikkerhedspolitikken skal ligeledes sikre, at sikkerhedsproblemer forebygges, eventuelle skader kan begrænses, og retablering af informationer kan sikres. Borgere, medarbejdere, politikere, virksomheder og øvrige interessenter har krav på, at der er etableret procedurer i forbindelse med informationsbehandling, og at disse sikrer fortrolighed, integritet og tilgængelighed på et veldefineret niveau. It-sikkerhed skal derfor være en integreret del af den ydelse, som Region Syddanmark leverer, og it-sikkerhed skal være en integreret del af det daglige arbejde for regionens medarbejdere. I erkendelse af betydningen af it-sikkerhed har regionens ledelse med etableringen af nærværende politik taget initiativ til at etablere et beskyttelsesniveau, hvor risiko og væsentlighed samt overholdelse af lovkrav m.v. udgør fundamentet. It-sikkerhedspolitikken har til formål at udstikke de generelle rammer for den specificerede it-sikkerhed i Region Syddanmark. Side 3 af 13

4 Omfang It-sikkerhedspolitikken er gældende for: Enhver information, der behandles eller opbevares i regionen, uanset ejerskab Alle databærende medier, it- og kommunikationssystemer Alle enheder og ansatte uden undtagelse, både fastansatte og personer, som midlertidigt arbejder for regionen Ved indgåelse af aftaler med 3. parter, eksempelvis private og erhvervsvirksomheder, eller andre statslige, kommunale eller regionale myndigheder, der indebærer at disse varetager opgaver, der involverer forhold omkring it-sikkerhed, der dækkes af nærværende politik, skal aftaler/kontrakter indeholde relevante og specifikke krav til it-sikkerhedsniveauet. Det skal som minimum sikres, at aftalepartnerne opretholder et itsikkerhedsniveau, der ikke er lavere, end det der er specificeret i nærværende politik. Ligeledes skal regionens opfølgning af sådanne aftaler/kontrakter sikre, at aftaleparterne overholder kravene til it-sikkerhedsniveau og specifikke krav. En sådan opfølgning kan eksempelvis ske ved, at én af aftalepartnerne uvildig part fremsætter erklæring herom. Kravene til niveauet til it-sikkerhed, som specificeret i nærværende politik, vil normalt ikke kunne fraviges. Opstår der imidlertid forhold der gør, at kravene ikke kan efterleves, skal regionens ledelse godkende dette. It-sikkerhedsniveau Beskyttelsen af Region Syddanmarks informationer skal foretages med udgangspunkt i: Regionens mål, som beskrevet i strategier og politikker for de forretningsmæssige opgaver, som regionen har ansvar for Lovgivningsmæssige krav. Oversigt fremgår af Bilag 3. Nærværende it-sikkerhedspolitik og tilhørende retningslinier m.v., der er baseret på Standard for Informationssikkerhed (DS 484:2005) Alle regionens interessenters forventninger. Eksempelvis borgere, samarbejdspartnere og myndigheder m.fl. Kontinuerlige risikovurderinger og herunder løbende vurdering af aktuelle trusler Klassifikation af informationer Hensynet til økonomisk ansvarlighed Hensynet til effektiv arbejdsudførelse Sikkerhedsforanstaltninger skal fastlægges ud fra konkrete vurderinger, idet der skal et rimeligt forhold mellem foranstaltningen, dens effektivitet og omkostning og den opnåede effekt. Herunder skal ulempen i det daglige arbejde altid vurderes for de enkelte sikkerhedsforanstaltninger. Målet med it-sikkerhedsniveauet er: Region Syddanmark leverer en pålidelig it-service med en troværdig beskyttelse af informationer i regionens varetægt Regionens ledelse og medarbejdere har størst mulig åbenhed om forventet sikkerhed, specificeret sikkerhed, leveret sikkerhed og oplevet sikkerhed, så enhver medarbejder kender sin egen rolle i sikringen af informationer Ingen uvedkommende kan få adgang til informationer, der kan anvendes til skade for borgere, patienter, regionens ansatte eller regionen selv Begrænse konsekvenserne af eventuelle skader og herunder minimere økonomiske konsekvenser Omgåelse eller forsøg på omgåelse af sikkerhedsreglerne opdages, herunder at det er muligt at udpege den eller de ansvarlige for hændelsen samt at det er muligt at forebygge og forhindre lignende hændelser fremadrettet Side 4 af 13

5 It-sikkerhedsniveauet fastlægges med udgangspunkt i en risikoanalyse. Ved større forandringer foretages risikovurderinger. Risikovurderinger foretages med udgangspunkt i regionens forretningsmæssige opgaver og er således ledelsens beslutningsgrundlag for implementering af nødvendige sikkerhedsforanstaltninger. Der foretages regelmæssigt og ved væsentlige ændringer en vurdering af, om den daglige praksis afspejler strategien, politikken, retningslinierne og procedurerne. Samtidig vurderes det om disse overholdes. Direktionen har ansvaret for at der foreligger en it-beredskabsplan for større it-sikkerhedsmæssige hændelser og tekniske uheld, og at alle involverede er bekendt med deres pligter og opgaver ved sådanne hændelser. Beredskabsplanen skal sikre, at skaden begrænses mest muligt, og at driften i videst muligt omfang opretholdes og genoprettes. For forretningskritiske systemer skal der tages stilling til, hvor hurtigt og hvordan nøddrift kan etableres. Der skal foreligge forretningsmæssige nødprocedurer for alle kritiske forretningsområder. Styring For at sikre overblik, løbende overvågning og rapportering ifm. it-sikkerheden vil regionen etablere et styringsredskab for it-sikkerhed. På baggrund af den løbende overvågning og rapportering tager ledelsen itsikkerhedspolitikken op til revurdering mindst én gang om året. Herudover skal politikken revurderes i forbindelse med: Væsentlige ændringer i trusselsbilledet Væsentlige ændringer i anvendelsen af teknologi, herunder ved nyanskaffelse Væsentlige organisatoriske forandringer, herunder det organisatoriske ansvar samt væsentlige ændringer i retningslinier og procedurer Ansvaret for vedligeholdelse af it-sikkerhedspolitikken ligger hos Styregruppen for Tværgående it, der fungerer som informationssikkerhedsudvalg. Styring af niveau for it-sikkerhed foretages igennem: Forankring af ansvar og arbejdsopgaver i hele regionens organisation fastlægges af koncernledelsen, herunder etablering af relevante governance organer, organisatoriske enheder og fora Gennemførelse af en overordnet risikoanalyse, og detaljerede risikoanalyser, hvor dette vurderes nødvendigt Strategi for it-sikkerhed Etablering af et ISMS (Information Security Management System), som er et krav iht. DS 484:2005. ISMS et etableres med udgangspunkt i standarden DS/ISO/IEC Informationsteknologi Sikkerhedsteknikker Ledelsessystemer for It-sikkerhed (ISMS) Krav Tilrettelæggelse af retningslinier, procedurer og forretningsgange, som angivet i Håndbog for it-sikkerhed. Håndbogen er struktureret efter DS 484:2005 og indholdsfortegnelse fremgår af Bilag 2. Håndbogen findes på Infonet: Styring af it-sikkerheden skal således sikre de 3 grundlæggende principper: TILGÆNGELIGHED opnå aftalt driftsikkerhed med aftalte oppetidsprocenter og minimeret risiko for større nedbrud og datatab INTEGRITET opnå korrekt funktion af systemerne med minimeret risiko for manipulation af og fejl i såvel data som systemer FORTROLIGHED opnå fortrolig behandling, transmission og opbevaring af data Side 5 af 13

6 Sikkerhedsbevidsthed Ansvaret for it-sikkerhed påhviler iht. DS 484:2005 og DS/ISO/IEC ledelsen. Regionens ledelse har dermed også ansvaret for, at alle medarbejdere gøres bekendt med nærværende politik. Det er ledelsens intension, at it-sikkerhed er en naturlig og integreret del af det daglige arbejde i regionen. For at understøtte dette vil alle medarbejdere løbende blive uddannet i it-sikkerhed i relevant omfang, ligesom der løbende vil blive orienteret om væsentlige forhold, der kan påvirke it-sikkerheden i forbindelse med det daglige arbejde. Derved påhviler der også alle medarbejdere et ansvar for at efterleve politikken med tilhørende retningslinier m.v. og til at beskytte regionens informationer mod uautoriseret adgang, ændring og ødelæggelse samt tyveri. Medarbejderne må kun anvende regionens informationer i overensstemmelse med det arbejde, de udfører i regionen, og skal beskytte informationerne på en måde, som er i overensstemmelse med informationernes følsomhed. Brud på it-sikkerheden Opdager en medarbejder trusler mod it-sikkerheden eller brud på denne, skal dette straks meddeles egen nærmeste leder, der i relevant omfang underretter regionens ledelse. Ledelsen udarbejder forholdsregler til imødegåelse af trusler eller afgiver indstilling til regionens ledelse om sanktion i forbindelse med brud på itsikkerheden. Brud på it-sikkerhedspolitikken eller tilhørende retningslinier m.v., anses for en alvorlig tjenesteforseelse. Medarbejderne kan som følge heraf blive udsat for disciplinære forholdsregler i overensstemmelse med regionens gældende regler og personalepolitik. Idet en del af arbejdet i regionen er direkte omfattet af lovgivning, eksempelvis sundhedsloven og persondataloven, kan der ske retsforfølgelse ved overtrædelse af lovgivningen. Anvendelse af politik for it-sikkerhed i praksis Der henvises til Bilag 1. Side 6 af 13

7 Bilag 1. Anvendelse af politik for it-sikkerhed i praksis De retningslinier samt sikkerheds- og kontrolforanstaltninger, der gælder i regionen, samles i Håndbog for itsikkerhed, der skal følge samme struktur, som anvendes i DS 484:2005. Håndbogen skal indeholde en beskrivelse af de områder af it-sikkerhed, der er relevante for regionen. Som følge af ledelsesstrukturen, herunder ansvarsplaceringen iht. Bilag 2, og systemporteføljens sammensætning og anvendelse, inddeles håndbogen i en generel del og en specifik del. Den generelle del indeholder de retningslinier og procedurer m.v., som er gældende for alle organisatoriske enheder i regionen. Den specifikke del indeholder de retningslinier og procedurer m.v., som alene er gældende for én enkelt eller enkelte organisatoriske enheder. Det er regionens hensigt, at der så vidt muligt anvendes generelle retningslinier. Som minimum omfatter ansvaret: At sikre, at politikken og afledte retningslinier m.v. implementeres At foretage en vurdering af værdien af de informationer, som er nødvendige for regionen, og på baggrund heraf træffe rimelige forholdsregler til beskyttelse af disse informationer, herunder afse de nødvendige midler og ressourcer hertil At der udpeges system- og informationsejere for samtlige informationer og informationssystemer At klassificere og beskytte de informationer, som regionen har ansvaret for At forebygge og begrænse risici til en for regionen kendt og accepteret størrelse At udarbejde regler for informationskontrol og beskyttelse, som skal følges af de medarbejdere, der behandler og anvender informationerne At etablere regler for adgang til og brug af informationer, samt at sikre, at reglerne bliver revurderet med jævne mellemrum At definere reglerne for arkivering af informationer, således at disse altid kan genskabes senere inden for en kendt og accepteret tidshorisont At udarbejde en operationel plan for retablering af den daglige drift, såfremt informationerne eller informationssystemerne ødelægges, uanset af hvilken grund, og således: At omfanget af og konsekvenserne ved nødsituationen kan minimeres At de væsentligste dele af den daglige forretningsmæssige drift i regionen kan gennemføres via alternative forretningsgange At alle relevante berørte parter kan holdes orienteret i fornødent omfang At den fulde drift af informationssystemerne kan genoptages inden for en kendt og accepteret tidshorisont At sikre, at enhver sikkerhedsmæssig følsom informationsaktivitet kan henføres til den person, som har udført aktiviteten, samt at sikre gennemførelse af de fornødne kontroller til opdagelse af misbrug eller forsøg herpå At etablere regler for rettighedstildeling og funktionsadskillelse, som skal forebygge og begrænse konsekvenser af fejl, uheld og negative handlinger, der bevidst eller ubevidst er foretaget af enkeltpersoner At sikre, at regionens udvikling og implementering af systemer udføres under iagttagelse af betryggende sikkerhedsforanstaltninger At sikre, at regionens leverandører overholder de sikkerhedsforskrifter, som er gældende for regionens informationer, faciliteter og medarbejdere i samarbejdet med virksomheden At træffe de nødvendige forholdsregler og gennemføre audits for at sikre, at politikken og afledte retningslinier m.v. bliver overholdt At sikre den fornødne ledelsesrapportering af status for it-sikkerheden, herunder aktiviteter og hændelser Side 7 af 13

8 Bilag 2. Indholdsfortegnelse for Region Syddanmarks Informationssikkerhedshåndbog DS 484:2005 struktur. Indholdsfortegnelse Indledning IT sikkerhedsorganisation i <institutionsnavn> 4. RISIKOVURDERING OG -HÅNDTERING 4.1. VURDERING AF SIKKERHEDSRISICI 4.2. RISIKOHÅNDTERING 5. OVERORDNEDE RETNINGSLINIER 5.1. INFORMATIONSSIKKERHEDSSTRATEGI Formulering af en informationssikkerhedspolitik Løbende vedligeholdelse 6. ORGANISERING AF INFORMATIONSSIKKERHED 6.1. INTERNE ORGANISATORISKE FORHOLD Ledelsens rolle Koordinering af informationssikkerhed Ansvarsplacering Godkendelsesprocedure ved anskaffelser Tavshedserklæringer Kontakt med myndigheder Fagligt samarbejde med grupper og organisationer Periodisk opfølgning 6.2. EKSTERNE SAMARBEJDSPARTNERE Identifikation af risici i forbindelse med eksternt samarbejde Sikkerhedsforhold i relation til kunder Samarbejdsaftaler 7. STYRING AF INFORMATIONSRELATEREDE AKTIVER 7.1. IDENTIFIKATION AF OG ANSVAR FOR INFORMATIONSRELATEREDE AKTIVER Fortegnelse over informationsaktiver Ejerskab Accepteret brug af aktiver 7.2. KLASSIFIKATION AF INFORMATIONER OG DATA Klassifikation Mærkning og håndtering af informationer og data 8. MEDARBEJDERSIKKERHED 8.1. SIKKERHEDSPROCEDURE FØR ANSÆTTELSE Opgaver og ansvar Efterprøvning Aftale om ansættelse 8.2. ANSÆTTELSESFORHOLDET Ledelsens ansvar Uddannelse, træning og oplysning om informationssikkerhed Sanktioner Side 8 af 13

9 8.3. ANSÆTTELSENS OPHØR Ansvar ved ansættelsens ophør Returnering af aktiver Inddragelse af rettigheder 9. FYSISK SIKKERHED 9.1. SIKRE OMRÅDER Fysisk afgrænsning Fysisk adgangskontrol Sikring af kontorer, lokaler og udstyr Beskyttelse mod eksterne trusler Arbejdsmæssige forhold i sikre områder Områder til af- og pålæsning med offentlig adgang BESKYTTELSE AF UDSTYR Placering af udstyr Forsyningssikkerhed Sikring af kabler Udstyrs og anlægs vedligeholdelse Sikring af udstyr uden for virksomhedens overvågning Sikker bortskaffelse eller genbrug af udstyr Fjernelse af virksomhedens informationsaktiver 10. STYRING AF NETVÆRK OG DRIFT OPERATIONELLE PROCEDURER OG ANSVARSOMRÅDER Driftsafviklingsprocedurer Ændringsstyring Funktionsadskillelse Adskillelse mellem udvikling, test og drift EKSTERN SERVICELEVERANDØR Serviceleverancen Overvågning og revision af serviceleverandøren Styring af ændringer hos ekstern serviceleverandør STYRING AF DRIFTSMILJØET Kapacitetsstyring Godkendelse af nye eller ændrede systemer SKADEVOLDENDE PROGRAMMER OG MOBIL KODE Beskyttelse mod skadevoldende programmer Beskyttelse mod mobil kode SIKKERHEDSKOPIERING Sikkerhedskopiering NETVÆRKSSIKKERHED Netværket Netværkstjenester DATABÆRENDE MEDIER Bærbare datamedier Destruktion af datamedier Beskyttelse af datamediers indhold Beskyttelse af systemdokumentation INFORMATIONSUDVEKSLING Informationsudvekslingsretningslinier og procedurer Aftaler om informationsudveksling Fysiske datamediers sikkerhed under transport Elektronisk post og dokumentudveksling Side 9 af 13

10 Virksomhedens informationssystemer ELEKTRONISKE FORRETNINGSYDELSER Elektronisk handel On-line transaktioner Offentligt tilgængelige informationer LOGNING OG OVERVÅGNING Opfølgningslogning Overvågning af systemanvendelse Beskyttelse af log-oplysninger Administrator- og operatørlog Fejllog Tidssynkronisering 11. ADGANGSSTYRING DE FORRETNINGSMÆSSIGE KRAV TIL ADGANGSSTYRING Retningslinier for adgangsstyring ADMINISTRATION AF BRUGERADGANG Registrering af brugere Udvidede adgangsrettigheder Adgangskoder Periodisk gennemgang af brugernes adgangsrettigheder BRUGERNES ANSVAR Brug af adgangskoder Uovervåget udstyr Beskyttelse af datamedier på den personlige arbejdsplads STYRING AF NETVÆRKSADGANG Retningslinier for brug af netværkstjenester Autentifikation af brugere med ekstern netværksforbindelse Identifikation af netværksudstyr Beskyttelse af diagnose- og konfigurationsporte Opdeling af netværk Styring af netværksadgang Rutekontrol i netværk STYRING AF SYSTEMADGANG Sikker log-on Identifikation og autentifikation af brugere Styring af adgangskoder Brug af systemværktøjer Automatiske afbrydelser Begrænset netværksforbindelsestid STYRING AF ADGANG TIL BRUGERSYSTEMER OG INFORMATIONER Begrænset adgang til informationer Isolering af særligt kritiske brugersystemer MOBILT UDSTYR OG FJERNARBEJDSPLADSER Mobilt udstyr og datakommunikation Fjernarbejdspladser 12. ANSKAFFELSE, UDVIKLING OG VEDLIGEHOLDELSE AF INFORMATIONSBEHANDLINGSSYSTEMER SIKKERHEDSKRAV TIL INFORMATIONSBEHANDLINGSSYSTEMER Krav til sikkerhedsanalyser og specifikationer KORREKT INFORMATIONSBEHANDLING Validering af inddata Side 10 af 13

11 Kontrol af den interne databehandling Meddelelsers integritet Validering af uddata KRYPTOGRAFI Retningslinier for brugen af kryptografi Nøglehåndtering STYRING AF DRIFTSMILJØET Sikkerhed ved systemtekniske filer Sikring af testdata Styring af adgang til kildekode SIKKERHED I UDVIKLINGS- OG HJÆLPEPROCESSER Ændringsstyring Teknisk gennemgang af forretningssystemer efter ændringer i styresystemerne Begrænsninger i ændringer til eksternt leverede systemer Lækage af informationer Systemudvikling udført af en ekstern leverandør SÅRBARHEDSSTYRING Sårbarhedssikring 13. STYRING AF SIKKERHEDSBRUD RAPPORTERING AF SIKKERHÆNDELSER OG SVAGHEDER Rapportering af sikkerhedshændelser Rapportering af svagheder HÅNDTERING AF SIKKERHEDSBRUD OG FORBEDRINGER Ansvar og forretningsgange At lære af sikkerhedsbrud Indsamling af beviser 14. BEREDSKABSSTYRING BEREDSKABSSTYRING OG INFORMATIONSSIKKERHED Informationssikkerhed i beredskabsstyringen Beredskab og risikovurdering Udarbejdelse og implementering af beredskabsplaner Rammerne for beredskabsplanlægningen Afprøvning, vedligeholdelse og revurdering af beredskabsplaner 15. OVERENSSTEMMELSE MED LOVBESTEMTE OG KONTRAKTLIGE KRAV OVERENSSTEMMELSE MED LOVBESTEMTE KRAV Identifikation af relevante eksterne krav Ophavsrettigheder Sikring af virksomhedens kritiske data Beskyttelse af personoplysninger Beskyttelse mod misbrug af informationsbehandlingsfaciliteter Lovgivning vedrørende kryptografi OVERENSSTEMMELSE MED SIKKERHEDSPOLITIK OG -RETNINGSLINIER Overensstemmelse med virksomhedens sikkerhedsretningslinier Opfølgning på tekniske sikringsforanstaltninger BESKYTTELSESFORANSTALTNINGER VED REVISION AF INFORMATIONSBEHANDLINGSSYSTEMER Sikkerhed i forbindelse med systemrevision Beskyttelse af revisionsværktøjer Side 11 af 13

12 Bilag 3. Oversigt over lovgivning Nedenstående er oplistet nogle af de væsentligste love, der øver indflydelse på it-sikkerhedsniveauet. Listen kan ikke anses for udtømmende. Forvaltningsloven Persondataloven Sundhedsloven Autorisationsloven Lov om elektroniske signaturer Ophavsretsloven CPR-loven Yderligere information kan hentes på: https://www.retsinformation.dk/ Side 12 af 13

13

Standard for informationssikkerhed

Standard for informationssikkerhed Dansk standard DS 484 1. udgave Standard for informationssikkerhed Code of practice for information security management 2005-09-20 DS 484:2005 København DS projekt: M205538 ICS: 35.020; 35.040 Første del

Læs mere

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014 Aarhus Kommune IT-sikkerhedspolitik Politik 25-04-2014 Indholdsfortegnelse Politik 1 Indledning 1 Formål 1 Politikkens omfang 2 Ledelsesansvar 2 IT-sikkerhedsorganisationen 2 IT-sikkerhedsniveau 3 IT-sikkerhedshåndbogen

Læs mere

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09 Aabenraa Kommune Informationspolitik : 2014-04-09 Aabenraa Kommune 29. august 2012 Informationspolitik Overordnet Informationssikkerhedspolitik for Aabenraa Kommune Velkommen til Aabenraa Komune s overordnede

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

Informationssikkerhedspolitik for Vejen Kommune

Informationssikkerhedspolitik for Vejen Kommune Informationssikkerhedspolitik for Vejen Kommune Denne politik er godkendt af byrådet d. xx. Og træder i kraft d. xx. Seneste version er tilgængelig på intranettet. Indledning Vejen Byråd fastlægger med

Læs mere

IT-sikkerhedspolitik for

IT-sikkerhedspolitik for Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

OVERORDNET IT-SIKKERHEDSPOLITIK

OVERORDNET IT-SIKKERHEDSPOLITIK OVERORDNET IT-SIKKERHEDSPOLITIK Indholdsfortegnelse 1. Indledning....3 2. Formål...3 3. Sikkerhedspolitik...3 4. Dækningsormåde...4 5. Sikkerhedsniveau....4 6. Organisation og ansvar...4 7. Opfølgning...5

Læs mere

It-sikkerhedspolitik for Københavns Kommune

It-sikkerhedspolitik for Københavns Kommune Københavns Kommune Koncernservice It-sikkerhedspolitik for Københavns Kommune 2015-02-05 It-sikkerhedshåndbog for Københavns Kommune It-sikkerhedspolitik for Københavns Kommune Publiceret: 2014-07-03 Mål

Læs mere

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.

Læs mere

IT-SIKKERHEDSPOLITIK UDKAST

IT-SIKKERHEDSPOLITIK UDKAST IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens

Læs mere

Informationssikkerhedspolitik for

Informationssikkerhedspolitik for <organisation> 1 Informationssikkerhedspolitik for Indholdsfortegnelse Side 1. Indledning 4 1.1 Formål med informationssikkerhedspolitikken 4 1.2 Hovedmålsætninger i informationssikkerhedspolitikken 4

Læs mere

Albertslund Kommune. Albertslund. Samlet politik Virksomhedens samlede it-sikkerhedshåndbog 1.0

Albertslund Kommune. Albertslund. Samlet politik Virksomhedens samlede it-sikkerhedshåndbog 1.0 Albertslund Kommune Albertslund Samlet politik Virksomhedens samlede it-sikkerhedshåndbog 1.0 03-05-2011 Indholdsfortegnelse Politik 2 Indledning 2 Overordnet Informationssikkerhedspolitik for Albertslund

Læs mere

IT-sikkerhedspolitik. for. Gladsaxe Kommune

IT-sikkerhedspolitik. for. Gladsaxe Kommune IT-sikkerhedspolitik for Gladsaxe Kommune INDHOLD 1. IT-sikkerhedspolitik 1.1 Baggrund for IT-sikkerhedspolitikken 2. Begreber og definitioner 3. IT-sikkerhedspolitikken 3.1 Hovedmålsætninger med IT-sikkerhedspolitikken

Læs mere

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Den finansielle sektor er i dag 100% afhængig af, at it-løsninger er kørende og herudover er sikret i tilfælde af, at noget

Læs mere

Afsnit 1 any.cloud A/S ledelseserklæring. Afsnit 2 any.cloud A/S beskrivelse af hostingydelse og interne kontroller

Afsnit 1 any.cloud A/S ledelseserklæring. Afsnit 2 any.cloud A/S beskrivelse af hostingydelse og interne kontroller Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hostingydelse i perioden 1. maj til 30. november 2013 ISAE 3402, type II any.cloud

Læs mere

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer plus revision skat rådgivning TABULEX ISAE 3000 DK ERKLÆRING MARTS 2013 Erklæring fra uafhængig revisor om Tabulex ApS overholdelse af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger

Læs mere

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1 Tilgængelighed, fortrolighed og integritet. Høj kvalitet i informationssikkerhed og dokumentation Hvilken betydning har principper og anbefalinger i sikkerhedsstandarden ISO 27001 for kvaliteten af dokumentationen?

Læs mere

frcewtfrhousf(wpers ml

frcewtfrhousf(wpers ml frcewtfrhousf(wpers ml PricewaterhouseCoopers Statsautoriseret Revisionsaktieselskab Nobelparken Jens Chr. Skous Vej I 8000 Árhus C www.pwc.dk Telefon 89 32 00 00 Telefax 89 32 00 IO Erklæring vedrørende

Læs mere

Informationssikkerhed Version 2.0 29.09.10

Informationssikkerhed Version 2.0 29.09.10 Informationssikkerhed Version 2.0 29.09.10 Retningslinjer for retablering af systemer og data (Ændringer i forhold til tidligere version er markeret med Understregning) Disse retningslinjer beskriver de

Læs mere

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser INDHOLDSFORTEGNELSE 1. Baggrund og formål... 2 2. Ansvarsfordeling... 2 2.1 Jobcenterchefens ansvar... 2 2.2 Gensidig informationspligt... 3 3. Krav til

Læs mere

fortrolighed: omfatter en sikring af, at information kun er tilgængelig for personer, som er berettigede

fortrolighed: omfatter en sikring af, at information kun er tilgængelig for personer, som er berettigede Tillæg 3 1 1 IT-sikkerhedspolitik for Ballerup Kommune 1.1 Baggrund for IT-sikkerhedspolitikken Ballerup Kommune anvender på flere områder og i større omfang IT for at leve op til de krav, som borgere,

Læs mere

ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015

ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015 ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015 Udfordringer mht. persondata eksempler For mange brugere har adgang til

Læs mere

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup.

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. Front-safe A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. April 2011 5. erklæringsår R, s Kalvebod Brygge 45, 2., 1560 København

Læs mere

Tabulex ApS. Februar 2011 7. erklæringsår. R, s

Tabulex ApS. Februar 2011 7. erklæringsår. R, s Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2011 7. erklæringsår

Læs mere

Faaborg-Midtfyn Kommunes it-sikkerhedspolitik Udkast pr. 26. maj 2009

Faaborg-Midtfyn Kommunes it-sikkerhedspolitik Udkast pr. 26. maj 2009 1. Indledning It-anvendelsen i Faaborg-Midtfyn Kommune skal understøtte kommunens vision. Samtidig ønsker Faaborg- Midtfyn Kommune, at medarbejderne har en bevidst holdning til begrebet it-sikkerhed, hvor

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

It-sikkerhed - ledelsens ansvar

It-sikkerhed - ledelsens ansvar Hvordan ser en sikkerhedskoordinator ud? It-sikkerhedsledelse er en profession. Af samme grunde, som man benytter medarbejdere med en regnskabsuddannelse i økonomifunktionen, skal man sikre sig, at it-sikkerhedskoordinatoren

Læs mere

Regulativ for it-sikkerhed i Københavns Kommune

Regulativ for it-sikkerhed i Københavns Kommune Regulativ for it-sikkerhed i Københavns Kommune 2013 2. I medfør af 5 i Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som

Læs mere

INFORMATIONSSIKKERHED. - vejledning for sundhedsvæsenet

INFORMATIONSSIKKERHED. - vejledning for sundhedsvæsenet INFORMATIONSSIKKERHED - vejledning for sundhedsvæsenet 2008 Informationssikkerhed vejledning for sundhedsvæsenet Sundhedsstyrelsen Islands Brygge 67 2300 København S URL: http://www.sst.dk Kategori: Vejledning,

Læs mere

IT Sikkerhedspolitik. for. Tønder kommune

IT Sikkerhedspolitik. for. Tønder kommune Udkast IT Sikkerhedspolitik for Tønder kommune Side 1 af 13 Indhold Version.... 3 Indledning... 4 Formålet med IT Sikkerhedspolitikken.... 4 Hvem er omfattet af IT Sikkerhedspolitikken.... 5 Ansvar og

Læs mere

Vejledning IT- og Telestyrelsen København den 21. februar 2008

Vejledning IT- og Telestyrelsen København den 21. februar 2008 ejledning IT- og Telestyrelsen København den 21. februar 2008 FESD-standardisering Sikkerhedsvejledning i henhold til DS 484 ersion 1.0 Kolofon: FESD-standardisering. Sikkerhedsvejledning i henhold til

Læs mere

any.cloud A/S CVR nr.: DK 31161509

any.cloud A/S CVR nr.: DK 31161509 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hostingydelse i perioden 01-12-2013 til 30-11-2014 any.cloud A/S CVR nr.:

Læs mere

It-sikkerhed i Dansk Supermarked

It-sikkerhed i Dansk Supermarked It-sikkerhed i Dansk en kort introduktion It-sikkerhed i Dansk 1 Velkommen som it-bruger i Dansk Kære medarbejder Brug af it er for mange i Dansk en naturlig del af arbejdsdagen. Hvis vi skal sikre vores

Læs mere

Datasikkerhedspolitik

Datasikkerhedspolitik Datasikkerhedspolitik Godkendt i Byrådet den 10.november 2008 1 Datasikkerhedspolitik Indhold 1. Indledning 2. Organisation og ansvarsfordeling 2.1 Ansvarsorganisation for datasikkerhed 2.2 Øverste og

Læs mere

Regionernes politiske linje for informationssikkerhed

Regionernes politiske linje for informationssikkerhed Regionernes politiske linje for informationssikkerhed 1 / SUNDHEDSDATA I TRYGGE HÆNDER / Danske Regioner 2015 Regionernes politiske linje for informationssikkerhed Danske Regioner 2015 Layout: UHI, Danske

Læs mere

ISO27001 og klassifikation Case Dubex A/S. 14. maj 2012 Jacob Herbst jhe@dubex.dk

ISO27001 og klassifikation Case Dubex A/S. 14. maj 2012 Jacob Herbst jhe@dubex.dk ISO27001 og klassifikation Case Dubex A/S 14. maj 2012 Jacob Herbst jhe@dubex.dk Agenda Dubex A/S Hvorfor en ISO27001 certificering? Sikkerhedshåndbogen Dubex dataklassifikation Klassifikation i praksis

Læs mere

Indstilling Master i IT-sikkerhed. Jette Lundin it-vest leder på Handelshøjskolen Lektor på IFI

Indstilling Master i IT-sikkerhed. Jette Lundin it-vest leder på Handelshøjskolen Lektor på IFI Indstilling Master i IT-sikkerhed Jette Lundin it-vest leder på Handelshøjskolen Lektor på IFI Baggrund Med it i alting, Supply Change Management, netværksorganisationer og med systemer sammensat af kommunikerende

Læs mere

IT sikkerhedspolitik. for. Fredericia Kommune

IT sikkerhedspolitik. for. Fredericia Kommune IT sikkerhedspolitik for Fredericia Kommune Side 1 af 17 Versionsstyring Versionsnummer Dato for version Ændring Årsag Ansvar 1.00 01.06.2013 Ny politik godkendt i byrådet PerToftdahl Side 2 af 17 Versionsstyring...

Læs mere

Retningslinjer om brugeransvar

Retningslinjer om brugeransvar Retningslinjer om brugeransvar April 2015 Movia Design/Mette Malling 04.15. Fotos: Movia Indhold Pas på vores Movia 5 Movias målsætninger 6 Hvem har ansvaret? 8 Fortrolighed 9 Movias omdømme 11 Pas på

Læs mere

Instrukser for brug af it

Instrukser for brug af it it sikkerhed Instrukser for brug af it Må Skal ikke Kan Januar 2010 Version 1.0 Indhold Forord................................................... 3 Resumé.................................................

Læs mere

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven).

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven). Bilag 6 Databehandleraftale og databehandlerinstruks 1. Leverandøren overholder de til enhver tid gældende regler og forskrifter for behandling af personoplysninger under Kontrakten, herunder: lov nr.

Læs mere

Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens:

Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens: DS/ISO 31000 Risikoledelse ISO 31000 - Risikoledelse Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens: overordnede

Læs mere

WWI A/S. Indholdsfortegnelse

WWI A/S. Indholdsfortegnelse Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med drift af It-hosting-plaform i perioden 01-12-2013 til 30-11-2014 WWI A/S CVR

Læs mere

Lovtidende A. Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler

Lovtidende A. Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler Lovtidende A Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler I medfør af 199, stk. 12, og 373, stk. 4, i lov om finansiel virksomhed, jf. lovbekendtgørelse nr. 911 af 4. august

Læs mere

ISAE 3402 TYPE 2 ERKLÆRING

ISAE 3402 TYPE 2 ERKLÆRING JUNI 2014 COOLSMS A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af SMS-service. RSM plus P/S statsautoriserede revisorer Kalvebod Brygge

Læs mere

Front-data Danmark A/S

Front-data Danmark A/S plus revision skat rådgivning Front-data Danmark A/S ISAE 3402 type 2 erklæring Februar 2013 Revisionserklæring af de generelle it-kontroller for driften af Front-data Danmarks hosting-aktiviteter. Kalvebod

Læs mere

Kære medarbejder og leder

Kære medarbejder og leder Kære medarbejder og leder Adgang til informationer i it-systemer og elektronisk kommunikation er for de fleste medarbejdere i Region Hovedstaden en selvfølgelig del af arbejdsdagen. Hvis vi ikke har adgang

Læs mere

Uddybende it-sikkerhedsregler

Uddybende it-sikkerhedsregler Københavns Kommune Koncernservice Uddybende it-sikkerhedsregler 2015-04-29 Indholdsfortegnelse 6 Organisering af it-sikkerhed 6.1 Interne organisatoriske forhold 6.2 Organisering af aftaler med eksterne

Læs mere

Uddybende it-sikkerhedsregler

Uddybende it-sikkerhedsregler Københavns Kommune Koncernservice Uddybende it-sikkerhedsregler 2015-02-05 Indholdsfortegnelse 6 Organisering af it-sikkerhed 6.1 Interne organisatoriske forhold 6.2 Organisering af aftaler med eksterne

Læs mere

Risikostyring ifølge ISO27005 v. Klaus Kongsted

Risikostyring ifølge ISO27005 v. Klaus Kongsted Risikostyring ifølge ISO27005 v. Klaus Kongsted Agenda Dubex A/S Formålet med risikovurderinger Komponenterne Risikovurderinger Dubex A/S fakta og værdier Den førende sikkerhedspartner De bedste specialister

Læs mere

Ledelsesforankret informationssikkerhed. med ISO/IEC 27001

Ledelsesforankret informationssikkerhed. med ISO/IEC 27001 Ledelsesforankret informationssikkerhed med ISO/IEC 27001 02 Indhold > Forord... 03 INTRODUKTION ISO/IEC 27001... 05 Ansvar og opgaver... 07 Standardens indhold... 09 PROCESSEN Procesmodellen... 13 Afstem

Læs mere

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING MAJ 2014 FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af Front-safes Remote Backup. RSM plus P/S statsautoriserede revisorer

Læs mere

Torben Waage www.kromannreumert.com/insights. Partner

Torben Waage www.kromannreumert.com/insights. Partner Torben Waage IT-SIKKERHEDEN SKAL OP PÅ LEDELSESNIVEAU Hvert år bliver der brugt milliarder af kroner på at beskytte digitale aktiver, så fortrolige informationer undgår at finde vej til offentligheden.

Læs mere

Spillemyndighedens certificeringsprogram. Ledelsessystem for informationssikkerhed SCP.03.00.DK.1.0

Spillemyndighedens certificeringsprogram. Ledelsessystem for informationssikkerhed SCP.03.00.DK.1.0 SCP.03.00.DK.1.0 Indhold Indhold... 2 1 Formålet med ledelsessystem for informationssikkerhed... 3 1.1 Overblik over dette dokument... 3 1.2 Version... 3 2 Certificering... 3 2.1 Certificeringsfrekvens...

Læs mere

DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING

DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING APRIL 2014 DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af DanDomains hostingaktiviteter. RSM plus P/S statsautoriserede revisorer

Læs mere

Informationssikkerhedshåndbog

Informationssikkerhedshåndbog Aarhus Universitet Informationssikkerhedshåndbog Regler 1.0.4 13-10-2011 Indholdsfortegnelse Politik 2 Rektors forord 2 Informationssikkerhedspolitik - Aarhus Universitet 3 Regler 8 Indledning 8 1. Organisation

Læs mere

Sotea ApS CVR nr.: DK 10085225

Sotea ApS CVR nr.: DK 10085225 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hostingydelse i perioden 01-08-2014 til 31-01-2015 Sotea ApS CVR nr.: DK 10085225

Læs mere

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) 1 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-951-4 0.05.12

Læs mere

FRONT-DATA DANMARK A/S

FRONT-DATA DANMARK A/S MARTS 2014 FRONT-DATA DANMARK A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af Front-data Danmarks hostingaktiviteter. RSM plus P/S statsautoriserede

Læs mere

WWI A/S Indholdsfortegnelse

WWI A/S Indholdsfortegnelse Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med leverance af Hosted Desktop og hosting-infrastrukturydelser i perioden 1.

Læs mere

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING MAJ 2015 FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af Front-safes Remote Backup. RSM plus P/S statsautoriserede revisorer

Læs mere

Greve Kommune. Revision af generelle it-kontroller 2011

Greve Kommune. Revision af generelle it-kontroller 2011 Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 0 30 Telefax 36 10 0 40 www.deloitte.dk Greve Kommune Revision af generelle

Læs mere

Sikkerhedsinstruks for IT-brugere hos Randers Kommune. Bilag 1

Sikkerhedsinstruks for IT-brugere hos Randers Kommune. Bilag 1 Sikkerhedsinstruks for IT-brugere hos Randers Kommune Bilag 1 20. marts 2007 Samtlige IT-brugere af Randers kommunes IT skal kende nærværende retningslinier. Retningslinierne vil blive ajourført af IT-sikkerhedslederen,

Læs mere

Rammekontraktbilag M. Regulativ for it-sikkerhed

Rammekontraktbilag M. Regulativ for it-sikkerhed Rammekontraktbilag M Regulativ for it-sikkerhed 2 Indholdsfortegnelse Kapitel 1 - Regulativets anvendelsesområde, formål og omfang... 4 Kapitel 2 - Definitioner... 4 Kapitel 3 - Organisatoriske forhold...

Læs mere

Stiller krav til organisatorisk robustheds-ledelsessystemer (organizational resilence OR management systems)

Stiller krav til organisatorisk robustheds-ledelsessystemer (organizational resilence OR management systems) DS 3001 Organisatorisk robusthed. Sikkerhed, beredskab og kontinuitet. Formål og anvendelsesområde Stiller krav til organisatorisk robustheds-ledelsessystemer (organizational resilence OR management systems)

Læs mere

MULTIHOUSE A/S ISAE 3402 TYPE 2 ERKLÆRING

MULTIHOUSE A/S ISAE 3402 TYPE 2 ERKLÆRING FEBRUAR 2015 MULTIHOUSE A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af MultiHouses hostingaktiviteter. RSM plus P/S statsautoriserede

Læs mere

IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR

IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR 1 HUSK n Adgangskoder må ikke videregives til andre. n Andre må ikke anvende din personlige bruger-id. n Ved mistanke om, at andre har fået kendskab

Læs mere

it sikkerhed UCC IT-Sikkerhedspolitik 2011 IT

it sikkerhed UCC IT-Sikkerhedspolitik 2011 IT it sikkerhed UCC IT-Sikkerhedspolitik 2011 IT It-sikkerhedspolitik i UCC It-sikkerhedspolitikken gælder for alle medarbejdere (uanset ansættelsesforhold), studerende og gæster, der anvender UCC s it-resurser.

Læs mere

Sikkerhed i cloud computing

Sikkerhed i cloud computing Sikkerhed i cloud computing Databeskyttelsesdagen 2012 Morten Jørsum Center for Digitalisering Digitaliseringsstyrelsen mjrsm@digst.dk Hvad er cloud computing It som en service: Leveres og betales efter

Læs mere

It-sikkerhedstekst ST4

It-sikkerhedstekst ST4 It-sikkerhedstekst ST4 Datatransmission af personoplysninger på åbne net Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST4 Version 1 Oktober 2014 Datatransmission af personoplysninger

Læs mere

Informationssikkerhed i Balance

Informationssikkerhed i Balance Informationssikkerhed i Balance Koncept version 1.0 Oktober 2014 IT-Branchens It-sikkerhedsudvalg Resumé Der har de sidste år været et intenst fokus på informationssikkerhed i Danmark, primært grundet

Læs mere

WHISTLEBLOWERORDNINGER - IKKE KUN ET NØDVENDIGT ONDE Ved advokat Susanne Stougaard og. persondataspecialist, ph.d. Charlotte Bagger Tranberg

WHISTLEBLOWERORDNINGER - IKKE KUN ET NØDVENDIGT ONDE Ved advokat Susanne Stougaard og. persondataspecialist, ph.d. Charlotte Bagger Tranberg WHISTLEBLOWERORDNINGER - IKKE KUN ET NØDVENDIGT ONDE Ved advokat Susanne Stougaard og persondataspecialist, ph.d. Charlotte Bagger Tranberg HVAD ER WHISTLEBLOWING? Whistleblowing = angiveri Sikre at oplysninger

Læs mere

EU-udbud af Beskæftigelsessystem og ESDHsystem

EU-udbud af Beskæftigelsessystem og ESDHsystem EU-udbud af Beskæftigelsessystem og ESDHsystem Beskæftigelses- og Integrationsforvaltningen Københavns Kommune Underbilag 2 E Regulativ for IT-sikkerhed i Københavns Kommune Indholdsfortegnelse 1. Indledning...

Læs mere

Cirkulære om sikkerhedsforanstaltninger i Kirkenettet

Cirkulære om sikkerhedsforanstaltninger i Kirkenettet Cirkulære om sikkerhedsforanstaltninger i Kirkenettet Cirkulæret omhandler organisatoriske forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af adgangskontrolordninger og autorisationsordninger

Læs mere

Nr. 1 16. juli 2014. Vegleiðing til kunngerð um útveiting av týðandi virkisøkjum

Nr. 1 16. juli 2014. Vegleiðing til kunngerð um útveiting av týðandi virkisøkjum Nr. 1 16. juli 2014 Vegleiðing til kunngerð um útveiting av týðandi virkisøkjum (Vejledning til bekendtgørelse om outsourcing af væsentlige aktivitetsområder) 1. Indledning 1.1. Kunngerð nr. 1 frá 16.

Læs mere

Studér denne folder for vores sikkerheds skyld

Studér denne folder for vores sikkerheds skyld Studér denne folder for vores sikkerheds skyld Pas på vores værdifulde viden Vi fremskaffer og formidler viden. Elektronisk, skriftligt og mundtligt. Det er Københavns Universitets væsentligste aktivitet

Læs mere

DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING

DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING JUNI 2015 DANDOMAIN A/S ISAE 3402 TYPE 2 ERKLÆRING Revisors erklæring vedrørende de generelle it-kontroller i tilknytning til driften af DanDomains hostingaktiviteter. RSM plus P/S statsautoriserede revisorer

Læs mere

Kommissorium for Revisions- og Risikokomiteen i DONG Energy A/S

Kommissorium for Revisions- og Risikokomiteen i DONG Energy A/S Kommissorium for Revisions- og Risikokomiteen i DONG Energy A/S Generelt Revisions- og Risikokomiteen er et udvalg under Bestyrelsen, der er nedsat i overensstemmelse med forretningsordenen for Bestyrelsen.

Læs mere

It-sikkerhedstekst ST6

It-sikkerhedstekst ST6 It-sikkerhedstekst ST6 Registrering af en fysisk person med henblik på udstedelse af faktorer til et personligt login Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST6 Version

Læs mere

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet Sammenfatning Denne vejledning adresserer risikoen for industrispionage fra statssponserede aktører i udlandet mod

Læs mere

NSP Servicevilkå r for Indirekte GW LEVERANDØR

NSP Servicevilkå r for Indirekte GW LEVERANDØR NSP Servicevilkå r for Indirekte GW LEVERANDØR Parter Denne aftale om at anvende den Nationale Serviceplatform (NSP) er indgået mellem Statens Serum Institut (SSI) v/national Sundheds-it (NSI) som systemansvarlig

Læs mere

Vejledning i it-risikostyring og -vurdering. Februar 2015

Vejledning i it-risikostyring og -vurdering. Februar 2015 Vejledning i it-risikostyring og -vurdering Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske

Læs mere

God it-sikkerhed i kommuner

God it-sikkerhed i kommuner God it-sikkerhed i kommuner En vejledning til kommuner om at skabe et godt fundament for tryg og sikker behandling af kommunens og borgernes oplysninger. Vejledningen beskriver, hvordan DS484-baseret it-sikkerhedsledelse

Læs mere

Revision. Skat. Rådgivning.

Revision. Skat. Rådgivning. Forundersøgelse af modenhedsog sikkerhedsniveauet inden for cyber- og nssikkerhed blandt danske el- og naturgasselskaber Rapport 20. maj 2015 Revision. Skat. Rådgivning. Indhold Slide Indledning 3 Om spørgeskemaundersøgelsen

Læs mere

Front-data Danmark A/S

Front-data Danmark A/S Front-data Danmark A/S Revisionserklæring (ISAE 3402, type 2) vedrørende de generelle it-kontroller i tilknytning til driften af hostingcenter. December 2011 1. erklæringsår R, s Kalvebod Brygge 45, 2.,

Læs mere

Krav til sikkerhed og sikring af kontanthåndteringscentre, transitstationer og transport af kontanter

Krav til sikkerhed og sikring af kontanthåndteringscentre, transitstationer og transport af kontanter Dansk standard DS 3999 1. udgave 2010-10-12 Krav til sikkerhed og sikring af kontanthåndteringscentre, transitstationer og transport af kontanter Requirements for security of cash centers, transit stations

Læs mere

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores It Revision & Rådgivning Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores kunder med. 2 Revision og rådgivning

Læs mere

Guide til bedre beredskabsstyring. April 2015

Guide til bedre beredskabsstyring. April 2015 Guide til bedre beredskabsstyring April 2015 Guide til bedre beredskabsstyring Udgivet april 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen

Læs mere

Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S. Sendt til: mt@etikportalen.dk

Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S. Sendt til: mt@etikportalen.dk Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S Sendt til: mt@etikportalen.dk 14. marts 2013 Vedrørende behandling af personoplysninger hos Etik Portalerne ApS Datatilsynet Borgergade 28,

Læs mere

Instrukser for brug af dataudstyr ved OUH

Instrukser for brug af dataudstyr ved OUH Skal Kan Må ikke Instrukser for brug af dataudstyr ved OUH Afdelingen for Driftsoptimering og IT Vi er til for borgerne, og bruger dataudstyr for at sikre effektivitet og kvalitet. Vi skal have en høj

Læs mere

Guide til sikker it. Daglig brug Programmer E-mail Internet Databehandling

Guide til sikker it. Daglig brug Programmer E-mail Internet Databehandling Guide til sikker it Daglig brug Programmer E-mail Internet Databehandling Hvilke retningslinjer skal du følge som it-bruger i Hillerød Kommune? Indhold Daglig brug af din computer 4 Computere, programmer

Læs mere

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør Dagsorden 1. Præsentation 2. Roskilde Universitet 3. Risikostyring - hvorfor? 4. Ledelsesopbakning 5. ISO27001 6. Forretningsorienteret risikostyring 7. It-teknisk sikkerhedsstyring 8. Hvordan bruges risikostyring

Læs mere

Tlf: 39 15 52 00 koebenhavn@bdo.dk www.bdo.dk HUMAN TIME A/S

Tlf: 39 15 52 00 koebenhavn@bdo.dk www.bdo.dk HUMAN TIME A/S Tlf: 39 15 52 00 koebenhavn@bdo.dk www.bdo.dk BDO Statsautoriseret revisionsaktieselskab Havneholmen 29 DK-1561 København V CVR-nr. 20 22 26 70 HUMAN TIME A/S ISAE 3000-ERKLÆRING PR 1. JUNI 2012 OM BESKRIVELSEN

Læs mere

Bilag 16, Sikkerhedsprocedurer

Bilag 16, Sikkerhedsprocedurer Bilag 16, Sikkerhedsprocedurer Version Ændringer Dato 2.1 Ændret i - Punkt 1.1 - Punkt 2 - Punkt 8 - Krav 16.1 - Krav 16.4 - Krav 16.5 - Krav 16.6 - Krav 16.7 - Krav 16.8 - Krav 16.9 - Krav 16.11 - Krav

Læs mere

It-delstrategi for administrativ it-anvendelse

It-delstrategi for administrativ it-anvendelse Administrativ DELSTRATEGI 2011-2015 NOTAT It-delstrategi for administrativ it-anvendelse 9. september 2011 Indholdsfortegnelse 1. Formål...2 2. Baggrund...2 3. Vision...3 4. Strategisk retning...3 4.1.

Læs mere

Politik for Fortsat Drift Silkeborg Kommune

Politik for Fortsat Drift Silkeborg Kommune Politik for Fortsat Drift Silkeborg Kommune 2014-2017 Direktionen Indledning Silkeborg Kommune har ansvaret for at drive en række kritiske funktioner med direkte påvirkning af borgere og virksomheder.

Læs mere