Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6

Størrelse: px
Starte visningen fra side:

Download "Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6"

Transkript

1

2 Indholdsfortegnelse Generelt 3 Formål 3 Omfang 4 It-sikkerhedsniveau 4 Styring 5 Sikkerhedsbevidsthed 6 Brud på it-sikkerheden 6 Anvendelse af politik for it-sikkerhed i praksis 6 Bilag 1. Anvendelse af politik for it-sikkerhed i praksis 7 Bilag 2. Indholdsfortegnelse for Region Syddanmarks Informationssikkerhedshåndbog 8 Bilag 3. Oversigt over lovgivning 12 Side 2 af 13

3 Generelt Region Syddanmark er en stor og kompleks virksomhed, der i sin vision stræber mod kvalitet, sammenhæng, tilgængelighed, og konkurrencedygtighed og har fokus på både regionens brugere og ansatte. Visionen er: Med regionens brugere som omdrejningspunkt vil vi tilrettelægge vores virksomhed ud fra kvalitet sammenhæng og tilgængelighed Vi vil være konkurrencedygtige, fornyende og dagsordensættende Vi vil skabe en attraktiv arbejdsplads der konkurrerer blandt de bedste med udviklingsmuligheder for den enkelte It-sikkerhedspolitikken skal understøtte regionens vision, værdigrundlag og de strategiske og taktiske mål, der er fastlagt i Region Syddanmark. Regionen løser sine kerneopgaver indenfor fire hovedområder: Somatik Social Psykiatri Regional Udvikling Region Syddanmark varetager opgaver, serviceydelser og interesser for ca borgere. Regionen har ca ansatte. Informationer og informationssystemer udgør et meget væsentligt grundlag for at regionens daglige drift af forretningsområderne. It-sikkerheden er dermed også af stor betydning for virksomhedens troværdighed og funktionsdygtighed. Regionens opgaveløsning sker i høj grad ved behandling, lagring og udveksling af informationer om borgere, regionen og samarbejdspartnere. De informationer som indgår i opgaveløsninger er for en stor dels vedkommende kendetegnet ved, at der er krav om høj fortrolighed (personfølsomme data). Informationer skal være tilgængelige døgnet rundt og må ikke forvanskes eller forsvinde. It-sikkerhedspolitikken understøtter, at regionens håndtering af disse informationer til enhver tid sikrer informationernes fortrolighed, integritet og tilgængelighed. Formål Formålet med etableringen af nærværende it-sikkerhedspolitik er, at fastsætte de grundlæggende principper for beskyttelse af regionens informationer. Politikken skal således sikre, at de grundlæggende principper for itsikkerhed fortrolighed, integritet og tilgængelighed efterleves. It-sikkerhedspolitikken skal ligeledes sikre, at sikkerhedsproblemer forebygges, eventuelle skader kan begrænses, og retablering af informationer kan sikres. Borgere, medarbejdere, politikere, virksomheder og øvrige interessenter har krav på, at der er etableret procedurer i forbindelse med informationsbehandling, og at disse sikrer fortrolighed, integritet og tilgængelighed på et veldefineret niveau. It-sikkerhed skal derfor være en integreret del af den ydelse, som Region Syddanmark leverer, og it-sikkerhed skal være en integreret del af det daglige arbejde for regionens medarbejdere. I erkendelse af betydningen af it-sikkerhed har regionens ledelse med etableringen af nærværende politik taget initiativ til at etablere et beskyttelsesniveau, hvor risiko og væsentlighed samt overholdelse af lovkrav m.v. udgør fundamentet. It-sikkerhedspolitikken har til formål at udstikke de generelle rammer for den specificerede it-sikkerhed i Region Syddanmark. Side 3 af 13

4 Omfang It-sikkerhedspolitikken er gældende for: Enhver information, der behandles eller opbevares i regionen, uanset ejerskab Alle databærende medier, it- og kommunikationssystemer Alle enheder og ansatte uden undtagelse, både fastansatte og personer, som midlertidigt arbejder for regionen Ved indgåelse af aftaler med 3. parter, eksempelvis private og erhvervsvirksomheder, eller andre statslige, kommunale eller regionale myndigheder, der indebærer at disse varetager opgaver, der involverer forhold omkring it-sikkerhed, der dækkes af nærværende politik, skal aftaler/kontrakter indeholde relevante og specifikke krav til it-sikkerhedsniveauet. Det skal som minimum sikres, at aftalepartnerne opretholder et itsikkerhedsniveau, der ikke er lavere, end det der er specificeret i nærværende politik. Ligeledes skal regionens opfølgning af sådanne aftaler/kontrakter sikre, at aftaleparterne overholder kravene til it-sikkerhedsniveau og specifikke krav. En sådan opfølgning kan eksempelvis ske ved, at én af aftalepartnerne uvildig part fremsætter erklæring herom. Kravene til niveauet til it-sikkerhed, som specificeret i nærværende politik, vil normalt ikke kunne fraviges. Opstår der imidlertid forhold der gør, at kravene ikke kan efterleves, skal regionens ledelse godkende dette. It-sikkerhedsniveau Beskyttelsen af Region Syddanmarks informationer skal foretages med udgangspunkt i: Regionens mål, som beskrevet i strategier og politikker for de forretningsmæssige opgaver, som regionen har ansvar for Lovgivningsmæssige krav. Oversigt fremgår af Bilag 3. Nærværende it-sikkerhedspolitik og tilhørende retningslinier m.v., der er baseret på Standard for Informationssikkerhed (DS 484:2005) Alle regionens interessenters forventninger. Eksempelvis borgere, samarbejdspartnere og myndigheder m.fl. Kontinuerlige risikovurderinger og herunder løbende vurdering af aktuelle trusler Klassifikation af informationer Hensynet til økonomisk ansvarlighed Hensynet til effektiv arbejdsudførelse Sikkerhedsforanstaltninger skal fastlægges ud fra konkrete vurderinger, idet der skal et rimeligt forhold mellem foranstaltningen, dens effektivitet og omkostning og den opnåede effekt. Herunder skal ulempen i det daglige arbejde altid vurderes for de enkelte sikkerhedsforanstaltninger. Målet med it-sikkerhedsniveauet er: Region Syddanmark leverer en pålidelig it-service med en troværdig beskyttelse af informationer i regionens varetægt Regionens ledelse og medarbejdere har størst mulig åbenhed om forventet sikkerhed, specificeret sikkerhed, leveret sikkerhed og oplevet sikkerhed, så enhver medarbejder kender sin egen rolle i sikringen af informationer Ingen uvedkommende kan få adgang til informationer, der kan anvendes til skade for borgere, patienter, regionens ansatte eller regionen selv Begrænse konsekvenserne af eventuelle skader og herunder minimere økonomiske konsekvenser Omgåelse eller forsøg på omgåelse af sikkerhedsreglerne opdages, herunder at det er muligt at udpege den eller de ansvarlige for hændelsen samt at det er muligt at forebygge og forhindre lignende hændelser fremadrettet Side 4 af 13

5 It-sikkerhedsniveauet fastlægges med udgangspunkt i en risikoanalyse. Ved større forandringer foretages risikovurderinger. Risikovurderinger foretages med udgangspunkt i regionens forretningsmæssige opgaver og er således ledelsens beslutningsgrundlag for implementering af nødvendige sikkerhedsforanstaltninger. Der foretages regelmæssigt og ved væsentlige ændringer en vurdering af, om den daglige praksis afspejler strategien, politikken, retningslinierne og procedurerne. Samtidig vurderes det om disse overholdes. Direktionen har ansvaret for at der foreligger en it-beredskabsplan for større it-sikkerhedsmæssige hændelser og tekniske uheld, og at alle involverede er bekendt med deres pligter og opgaver ved sådanne hændelser. Beredskabsplanen skal sikre, at skaden begrænses mest muligt, og at driften i videst muligt omfang opretholdes og genoprettes. For forretningskritiske systemer skal der tages stilling til, hvor hurtigt og hvordan nøddrift kan etableres. Der skal foreligge forretningsmæssige nødprocedurer for alle kritiske forretningsområder. Styring For at sikre overblik, løbende overvågning og rapportering ifm. it-sikkerheden vil regionen etablere et styringsredskab for it-sikkerhed. På baggrund af den løbende overvågning og rapportering tager ledelsen itsikkerhedspolitikken op til revurdering mindst én gang om året. Herudover skal politikken revurderes i forbindelse med: Væsentlige ændringer i trusselsbilledet Væsentlige ændringer i anvendelsen af teknologi, herunder ved nyanskaffelse Væsentlige organisatoriske forandringer, herunder det organisatoriske ansvar samt væsentlige ændringer i retningslinier og procedurer Ansvaret for vedligeholdelse af it-sikkerhedspolitikken ligger hos Styregruppen for Tværgående it, der fungerer som informationssikkerhedsudvalg. Styring af niveau for it-sikkerhed foretages igennem: Forankring af ansvar og arbejdsopgaver i hele regionens organisation fastlægges af koncernledelsen, herunder etablering af relevante governance organer, organisatoriske enheder og fora Gennemførelse af en overordnet risikoanalyse, og detaljerede risikoanalyser, hvor dette vurderes nødvendigt Strategi for it-sikkerhed Etablering af et ISMS (Information Security Management System), som er et krav iht. DS 484:2005. ISMS et etableres med udgangspunkt i standarden DS/ISO/IEC Informationsteknologi Sikkerhedsteknikker Ledelsessystemer for It-sikkerhed (ISMS) Krav Tilrettelæggelse af retningslinier, procedurer og forretningsgange, som angivet i Håndbog for it-sikkerhed. Håndbogen er struktureret efter DS 484:2005 og indholdsfortegnelse fremgår af Bilag 2. Håndbogen findes på Infonet: Styring af it-sikkerheden skal således sikre de 3 grundlæggende principper: TILGÆNGELIGHED opnå aftalt driftsikkerhed med aftalte oppetidsprocenter og minimeret risiko for større nedbrud og datatab INTEGRITET opnå korrekt funktion af systemerne med minimeret risiko for manipulation af og fejl i såvel data som systemer FORTROLIGHED opnå fortrolig behandling, transmission og opbevaring af data Side 5 af 13

6 Sikkerhedsbevidsthed Ansvaret for it-sikkerhed påhviler iht. DS 484:2005 og DS/ISO/IEC ledelsen. Regionens ledelse har dermed også ansvaret for, at alle medarbejdere gøres bekendt med nærværende politik. Det er ledelsens intension, at it-sikkerhed er en naturlig og integreret del af det daglige arbejde i regionen. For at understøtte dette vil alle medarbejdere løbende blive uddannet i it-sikkerhed i relevant omfang, ligesom der løbende vil blive orienteret om væsentlige forhold, der kan påvirke it-sikkerheden i forbindelse med det daglige arbejde. Derved påhviler der også alle medarbejdere et ansvar for at efterleve politikken med tilhørende retningslinier m.v. og til at beskytte regionens informationer mod uautoriseret adgang, ændring og ødelæggelse samt tyveri. Medarbejderne må kun anvende regionens informationer i overensstemmelse med det arbejde, de udfører i regionen, og skal beskytte informationerne på en måde, som er i overensstemmelse med informationernes følsomhed. Brud på it-sikkerheden Opdager en medarbejder trusler mod it-sikkerheden eller brud på denne, skal dette straks meddeles egen nærmeste leder, der i relevant omfang underretter regionens ledelse. Ledelsen udarbejder forholdsregler til imødegåelse af trusler eller afgiver indstilling til regionens ledelse om sanktion i forbindelse med brud på itsikkerheden. Brud på it-sikkerhedspolitikken eller tilhørende retningslinier m.v., anses for en alvorlig tjenesteforseelse. Medarbejderne kan som følge heraf blive udsat for disciplinære forholdsregler i overensstemmelse med regionens gældende regler og personalepolitik. Idet en del af arbejdet i regionen er direkte omfattet af lovgivning, eksempelvis sundhedsloven og persondataloven, kan der ske retsforfølgelse ved overtrædelse af lovgivningen. Anvendelse af politik for it-sikkerhed i praksis Der henvises til Bilag 1. Side 6 af 13

7 Bilag 1. Anvendelse af politik for it-sikkerhed i praksis De retningslinier samt sikkerheds- og kontrolforanstaltninger, der gælder i regionen, samles i Håndbog for itsikkerhed, der skal følge samme struktur, som anvendes i DS 484:2005. Håndbogen skal indeholde en beskrivelse af de områder af it-sikkerhed, der er relevante for regionen. Som følge af ledelsesstrukturen, herunder ansvarsplaceringen iht. Bilag 2, og systemporteføljens sammensætning og anvendelse, inddeles håndbogen i en generel del og en specifik del. Den generelle del indeholder de retningslinier og procedurer m.v., som er gældende for alle organisatoriske enheder i regionen. Den specifikke del indeholder de retningslinier og procedurer m.v., som alene er gældende for én enkelt eller enkelte organisatoriske enheder. Det er regionens hensigt, at der så vidt muligt anvendes generelle retningslinier. Som minimum omfatter ansvaret: At sikre, at politikken og afledte retningslinier m.v. implementeres At foretage en vurdering af værdien af de informationer, som er nødvendige for regionen, og på baggrund heraf træffe rimelige forholdsregler til beskyttelse af disse informationer, herunder afse de nødvendige midler og ressourcer hertil At der udpeges system- og informationsejere for samtlige informationer og informationssystemer At klassificere og beskytte de informationer, som regionen har ansvaret for At forebygge og begrænse risici til en for regionen kendt og accepteret størrelse At udarbejde regler for informationskontrol og beskyttelse, som skal følges af de medarbejdere, der behandler og anvender informationerne At etablere regler for adgang til og brug af informationer, samt at sikre, at reglerne bliver revurderet med jævne mellemrum At definere reglerne for arkivering af informationer, således at disse altid kan genskabes senere inden for en kendt og accepteret tidshorisont At udarbejde en operationel plan for retablering af den daglige drift, såfremt informationerne eller informationssystemerne ødelægges, uanset af hvilken grund, og således: At omfanget af og konsekvenserne ved nødsituationen kan minimeres At de væsentligste dele af den daglige forretningsmæssige drift i regionen kan gennemføres via alternative forretningsgange At alle relevante berørte parter kan holdes orienteret i fornødent omfang At den fulde drift af informationssystemerne kan genoptages inden for en kendt og accepteret tidshorisont At sikre, at enhver sikkerhedsmæssig følsom informationsaktivitet kan henføres til den person, som har udført aktiviteten, samt at sikre gennemførelse af de fornødne kontroller til opdagelse af misbrug eller forsøg herpå At etablere regler for rettighedstildeling og funktionsadskillelse, som skal forebygge og begrænse konsekvenser af fejl, uheld og negative handlinger, der bevidst eller ubevidst er foretaget af enkeltpersoner At sikre, at regionens udvikling og implementering af systemer udføres under iagttagelse af betryggende sikkerhedsforanstaltninger At sikre, at regionens leverandører overholder de sikkerhedsforskrifter, som er gældende for regionens informationer, faciliteter og medarbejdere i samarbejdet med virksomheden At træffe de nødvendige forholdsregler og gennemføre audits for at sikre, at politikken og afledte retningslinier m.v. bliver overholdt At sikre den fornødne ledelsesrapportering af status for it-sikkerheden, herunder aktiviteter og hændelser Side 7 af 13

8 Bilag 2. Indholdsfortegnelse for Region Syddanmarks Informationssikkerhedshåndbog DS 484:2005 struktur. Indholdsfortegnelse Indledning IT sikkerhedsorganisation i <institutionsnavn> 4. RISIKOVURDERING OG -HÅNDTERING 4.1. VURDERING AF SIKKERHEDSRISICI 4.2. RISIKOHÅNDTERING 5. OVERORDNEDE RETNINGSLINIER 5.1. INFORMATIONSSIKKERHEDSSTRATEGI Formulering af en informationssikkerhedspolitik Løbende vedligeholdelse 6. ORGANISERING AF INFORMATIONSSIKKERHED 6.1. INTERNE ORGANISATORISKE FORHOLD Ledelsens rolle Koordinering af informationssikkerhed Ansvarsplacering Godkendelsesprocedure ved anskaffelser Tavshedserklæringer Kontakt med myndigheder Fagligt samarbejde med grupper og organisationer Periodisk opfølgning 6.2. EKSTERNE SAMARBEJDSPARTNERE Identifikation af risici i forbindelse med eksternt samarbejde Sikkerhedsforhold i relation til kunder Samarbejdsaftaler 7. STYRING AF INFORMATIONSRELATEREDE AKTIVER 7.1. IDENTIFIKATION AF OG ANSVAR FOR INFORMATIONSRELATEREDE AKTIVER Fortegnelse over informationsaktiver Ejerskab Accepteret brug af aktiver 7.2. KLASSIFIKATION AF INFORMATIONER OG DATA Klassifikation Mærkning og håndtering af informationer og data 8. MEDARBEJDERSIKKERHED 8.1. SIKKERHEDSPROCEDURE FØR ANSÆTTELSE Opgaver og ansvar Efterprøvning Aftale om ansættelse 8.2. ANSÆTTELSESFORHOLDET Ledelsens ansvar Uddannelse, træning og oplysning om informationssikkerhed Sanktioner Side 8 af 13

9 8.3. ANSÆTTELSENS OPHØR Ansvar ved ansættelsens ophør Returnering af aktiver Inddragelse af rettigheder 9. FYSISK SIKKERHED 9.1. SIKRE OMRÅDER Fysisk afgrænsning Fysisk adgangskontrol Sikring af kontorer, lokaler og udstyr Beskyttelse mod eksterne trusler Arbejdsmæssige forhold i sikre områder Områder til af- og pålæsning med offentlig adgang BESKYTTELSE AF UDSTYR Placering af udstyr Forsyningssikkerhed Sikring af kabler Udstyrs og anlægs vedligeholdelse Sikring af udstyr uden for virksomhedens overvågning Sikker bortskaffelse eller genbrug af udstyr Fjernelse af virksomhedens informationsaktiver 10. STYRING AF NETVÆRK OG DRIFT OPERATIONELLE PROCEDURER OG ANSVARSOMRÅDER Driftsafviklingsprocedurer Ændringsstyring Funktionsadskillelse Adskillelse mellem udvikling, test og drift EKSTERN SERVICELEVERANDØR Serviceleverancen Overvågning og revision af serviceleverandøren Styring af ændringer hos ekstern serviceleverandør STYRING AF DRIFTSMILJØET Kapacitetsstyring Godkendelse af nye eller ændrede systemer SKADEVOLDENDE PROGRAMMER OG MOBIL KODE Beskyttelse mod skadevoldende programmer Beskyttelse mod mobil kode SIKKERHEDSKOPIERING Sikkerhedskopiering NETVÆRKSSIKKERHED Netværket Netværkstjenester DATABÆRENDE MEDIER Bærbare datamedier Destruktion af datamedier Beskyttelse af datamediers indhold Beskyttelse af systemdokumentation INFORMATIONSUDVEKSLING Informationsudvekslingsretningslinier og procedurer Aftaler om informationsudveksling Fysiske datamediers sikkerhed under transport Elektronisk post og dokumentudveksling Side 9 af 13

10 Virksomhedens informationssystemer ELEKTRONISKE FORRETNINGSYDELSER Elektronisk handel On-line transaktioner Offentligt tilgængelige informationer LOGNING OG OVERVÅGNING Opfølgningslogning Overvågning af systemanvendelse Beskyttelse af log-oplysninger Administrator- og operatørlog Fejllog Tidssynkronisering 11. ADGANGSSTYRING DE FORRETNINGSMÆSSIGE KRAV TIL ADGANGSSTYRING Retningslinier for adgangsstyring ADMINISTRATION AF BRUGERADGANG Registrering af brugere Udvidede adgangsrettigheder Adgangskoder Periodisk gennemgang af brugernes adgangsrettigheder BRUGERNES ANSVAR Brug af adgangskoder Uovervåget udstyr Beskyttelse af datamedier på den personlige arbejdsplads STYRING AF NETVÆRKSADGANG Retningslinier for brug af netværkstjenester Autentifikation af brugere med ekstern netværksforbindelse Identifikation af netværksudstyr Beskyttelse af diagnose- og konfigurationsporte Opdeling af netværk Styring af netværksadgang Rutekontrol i netværk STYRING AF SYSTEMADGANG Sikker log-on Identifikation og autentifikation af brugere Styring af adgangskoder Brug af systemværktøjer Automatiske afbrydelser Begrænset netværksforbindelsestid STYRING AF ADGANG TIL BRUGERSYSTEMER OG INFORMATIONER Begrænset adgang til informationer Isolering af særligt kritiske brugersystemer MOBILT UDSTYR OG FJERNARBEJDSPLADSER Mobilt udstyr og datakommunikation Fjernarbejdspladser 12. ANSKAFFELSE, UDVIKLING OG VEDLIGEHOLDELSE AF INFORMATIONSBEHANDLINGSSYSTEMER SIKKERHEDSKRAV TIL INFORMATIONSBEHANDLINGSSYSTEMER Krav til sikkerhedsanalyser og specifikationer KORREKT INFORMATIONSBEHANDLING Validering af inddata Side 10 af 13

11 Kontrol af den interne databehandling Meddelelsers integritet Validering af uddata KRYPTOGRAFI Retningslinier for brugen af kryptografi Nøglehåndtering STYRING AF DRIFTSMILJØET Sikkerhed ved systemtekniske filer Sikring af testdata Styring af adgang til kildekode SIKKERHED I UDVIKLINGS- OG HJÆLPEPROCESSER Ændringsstyring Teknisk gennemgang af forretningssystemer efter ændringer i styresystemerne Begrænsninger i ændringer til eksternt leverede systemer Lækage af informationer Systemudvikling udført af en ekstern leverandør SÅRBARHEDSSTYRING Sårbarhedssikring 13. STYRING AF SIKKERHEDSBRUD RAPPORTERING AF SIKKERHÆNDELSER OG SVAGHEDER Rapportering af sikkerhedshændelser Rapportering af svagheder HÅNDTERING AF SIKKERHEDSBRUD OG FORBEDRINGER Ansvar og forretningsgange At lære af sikkerhedsbrud Indsamling af beviser 14. BEREDSKABSSTYRING BEREDSKABSSTYRING OG INFORMATIONSSIKKERHED Informationssikkerhed i beredskabsstyringen Beredskab og risikovurdering Udarbejdelse og implementering af beredskabsplaner Rammerne for beredskabsplanlægningen Afprøvning, vedligeholdelse og revurdering af beredskabsplaner 15. OVERENSSTEMMELSE MED LOVBESTEMTE OG KONTRAKTLIGE KRAV OVERENSSTEMMELSE MED LOVBESTEMTE KRAV Identifikation af relevante eksterne krav Ophavsrettigheder Sikring af virksomhedens kritiske data Beskyttelse af personoplysninger Beskyttelse mod misbrug af informationsbehandlingsfaciliteter Lovgivning vedrørende kryptografi OVERENSSTEMMELSE MED SIKKERHEDSPOLITIK OG -RETNINGSLINIER Overensstemmelse med virksomhedens sikkerhedsretningslinier Opfølgning på tekniske sikringsforanstaltninger BESKYTTELSESFORANSTALTNINGER VED REVISION AF INFORMATIONSBEHANDLINGSSYSTEMER Sikkerhed i forbindelse med systemrevision Beskyttelse af revisionsværktøjer Side 11 af 13

12 Bilag 3. Oversigt over lovgivning Nedenstående er oplistet nogle af de væsentligste love, der øver indflydelse på it-sikkerhedsniveauet. Listen kan ikke anses for udtømmende. Forvaltningsloven Persondataloven Sundhedsloven Autorisationsloven Lov om elektroniske signaturer Ophavsretsloven CPR-loven Yderligere information kan hentes på: https://www.retsinformation.dk/ Side 12 af 13

13

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484 DS 484:2005 Standard for informationssikkerhed -Korte uddrag fra DS484 Informationssikkerhedsstrategi Ledelsen skal godkende en skriftlig informationssikkerhedspolitik, som skal offentliggøres og kommunikeres

Læs mere

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2 Status for ændringer Version Dato Navn Bemærkning 1.0 24-04-2007 Vedtaget i Regionsrådet 1.1 13-02-2012 IMT-Informationssikkerhed Tilpasning af terminologi 1.2 15-10-2012 IMT-Informationssikkerhed Rettelse

Læs mere

Region Hovedstadens Ramme for Informationssikkerhed

Region Hovedstadens Ramme for Informationssikkerhed Region Hovedstadens Ramme for Informationssikkerhed Indhold Region Hovedstadens ramme for Informationssikkerhed... 3 1 Formål... 3 2 Gyldighedsområde/omfang... 4 3 Målsætninger... 4 4 Informationssikkerhedsniveau...

Læs mere

Indholdsfortegnelse. Generelt 3. Formål 3. Omfang 4. Sammenhæng med IT- og forretningsstrategier 4

Indholdsfortegnelse. Generelt 3. Formål 3. Omfang 4. Sammenhæng med IT- og forretningsstrategier 4 Indholdsfortegnelse Generelt 3 Formål 3 Omfang 4 Sammenhæng med IT- og forretningsstrategier 4 Risikostyring og sikring af informationsaktiver og systemer 5 Overvågning af risici og regionens IT-sikkerhedsniveau

Læs mere

Standard for informationssikkerhed

Standard for informationssikkerhed Dansk standard DS 484 1. udgave Standard for informationssikkerhed Code of practice for information security management 2005-09-20 DS 484:2005 København DS projekt: M205538 ICS: 35.020; 35.040 Første del

Læs mere

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014 Aarhus Kommune IT-sikkerhedspolitik Politik 25-04-2014 Indholdsfortegnelse Politik 1 Indledning 1 Formål 1 Politikkens omfang 2 Ledelsesansvar 2 IT-sikkerhedsorganisationen 2 IT-sikkerhedsniveau 3 IT-sikkerhedshåndbogen

Læs mere

Assens Kommune Sikkerhedspolitik for it, data og information

Assens Kommune Sikkerhedspolitik for it, data og information Assens Kommune Sikkerhedspolitik for it, data og information Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Holdninger og principper... 4 4. Omfang... 4 5. Sikkerhedsbevidsthed,

Læs mere

Politik

Politik <dato> <J.nr.> Side 1 af 5 Politik Informationssikkerhedspolitik for 1. Indledning Denne informationssikkerhedspolitik er den overordnede ramme for informationssikkerheden hos .

Læs mere

Bilag 5 Aarhus Kommune. Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0. Opbevaring/sletning af informationer

Bilag 5 Aarhus Kommune. Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0. Opbevaring/sletning af informationer Bilag 5 Aarhus Kommune Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0 Opbevaring/sletning af informationer 11-04-2011 1 Regler 7 Styring af informationsrelaterede

Læs mere

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09 Aabenraa Kommune Informationspolitik : 2014-04-09 Aabenraa Kommune 29. august 2012 Informationspolitik Overordnet Informationssikkerhedspolitik for Aabenraa Kommune Velkommen til Aabenraa Komune s overordnede

Læs mere

IT-sikkerhedspolitik for

IT-sikkerhedspolitik for Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs

Læs mere

Informationssikkerhedspolitik for Region Midtjylland

Informationssikkerhedspolitik for Region Midtjylland Regionshuset Viborg Regionssekretariatet Skottenborg 26 Postboks 21 DK-8800 Viborg Tel. +45 8728 5000 kontakt@rm.dk www.rm.dk Informationssikkerhedspolitik for Region Midtjylland 1. Indledning Denne informationssikkerhedspolitik

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

Koncessionskontrakt vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Kultur- og Fritidsforvaltningen.

Koncessionskontrakt vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Kultur- og Fritidsforvaltningen. vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver. Københavns Kommune Bilag 9b IT-sikkerhedsdokumenter Bilag 9b 1 1 INDHOLDSFORTEGNELSE 1. IT-sikkerhedspolitik for Københavns Kommune

Læs mere

It-sikkerhedspolitik for Københavns Kommune

It-sikkerhedspolitik for Københavns Kommune Københavns Kommune Koncernservice It-sikkerhedspolitik for Københavns Kommune 2015-02-05 It-sikkerhedshåndbog for Københavns Kommune It-sikkerhedspolitik for Københavns Kommune Publiceret: 2014-07-03 Mål

Læs mere

OVERORDNET IT-SIKKERHEDSPOLITIK

OVERORDNET IT-SIKKERHEDSPOLITIK OVERORDNET IT-SIKKERHEDSPOLITIK Indholdsfortegnelse 1. Indledning....3 2. Formål...3 3. Sikkerhedspolitik...3 4. Dækningsormåde...4 5. Sikkerhedsniveau....4 6. Organisation og ansvar...4 7. Opfølgning...5

Læs mere

Informationssikkerhedspolitik for Vejen Kommune

Informationssikkerhedspolitik for Vejen Kommune Informationssikkerhedspolitik for Vejen Kommune Denne politik er godkendt af byrådet d. xx. Og træder i kraft d. xx. Seneste version er tilgængelig på intranettet. Indledning Vejen Byråd fastlægger med

Læs mere

Informationssikkerhedshåndbog

Informationssikkerhedshåndbog Region Midtjylland Informationssikkerhedshåndbog Retningslinjer Region Midtjyllands regler for informationssikkerhed 1.0 11-03-2013 Indholdsfortegnelse Retningslinjer 2 1 Indledning 2 2 Termer og definitioner

Læs mere

NOTAT. Køge Kommune It-sikkerhed Overordnede retningslinjer ITafdelingen. Fællesforvaltningen. Dato Sagsnummer Dokumentnummer

NOTAT. Køge Kommune It-sikkerhed Overordnede retningslinjer ITafdelingen. Fællesforvaltningen. Dato Sagsnummer Dokumentnummer NOTAT Fællesforvaltningen Dato Sagsnummer Dokumentnummer ITafdelingen Køge Rådhus Torvet 1 4600 Køge www.koege.dk Tlf. 56 67 67 67 Fax 56 65 54 46 Køge Kommune It-sikkerhed Overordnede retningslinjer 2010

Læs mere

Halsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune.

Halsnæs kommune. Informationssikkerhedspolitik Oktober Informationssikkerhedspolitik Halsnæs kommune. Informationssikkerhedspolitik Oktober 2015 Side 1 af 5 sider Baggrund Ved informationssikkerhed forstås de samlede foranstaltninger til at sikre Fortroligheden, Tilgængeligheden og Integriteten på kommunens

Læs mere

Informationssikkerhedspolitik for Horsens Kommune

Informationssikkerhedspolitik for Horsens Kommune Informationssikkerhedspolitik for Horsens Kommune Senest opdateret januar 2016 Indholdsfortegnelse 1. FORMÅL... 3 2. OMFANG OG SIKKERHEDSNIVEAU... 3 3. HOVEDMÅLSÆTNINGER... 4 4. ORGANISERING OG ANSVAR...

Læs mere

Vejledning i informationssikkerhedspolitik. Februar 2015

Vejledning i informationssikkerhedspolitik. Februar 2015 Vejledning i informationssikkerhedspolitik Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske til:

Læs mere

Informationssikkerhedspolitik. Frederiksberg Kommune

Informationssikkerhedspolitik. Frederiksberg Kommune Informationssikkerhedspolitik Frederiksberg Kommune Indledning Informationssikkerhedspolitikken er den overordnede ramme for beskyttelse af information i Frederiksberg Kommune. Kommunen behandler oplysninger

Læs mere

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.

Læs mere

INFORMATIONS- SIKKERHEDS- POLITIK

INFORMATIONS- SIKKERHEDS- POLITIK INFORMATIONS- SIKKERHEDS- POLITIK GLOSTRUP KOMMUNE 14. NOVEMBER 2012 Politik Nærværende informationssikkerhedspolitik er en generel administrativ opdatering af version 1.0 især på baggrund af organisationsændringen

Læs mere

Informationssikkerhedspolitik for

Informationssikkerhedspolitik for <organisation> 1 Informationssikkerhedspolitik for 1. Formål informationssikkerhedspolitik beskriver vigtigheden af arbejdet med informationssikkerhed i og fastlægger

Læs mere

Informationssikkerhedspolitik for Norddjurs Kommune

Informationssikkerhedspolitik for Norddjurs Kommune Norddjurs Kommune Informationssikkerhedspolitik for Norddjurs Kommune Regler Kommunens regler for informationssikkerhed 24-11-2011 Indholdsfortegnelse Regler 2 4 Risikovurdering og -håndtering 2 4.1 Vurdering

Læs mere

Overordnet it-sikkerhedspolitik for Rødovre Kommune

Overordnet it-sikkerhedspolitik for Rødovre Kommune Overordnet it-sikkerhedspolitik for Rødovre Kommune Denne politik er godkendt af kommunalbestyrelsen januar 2016. Og træder i kraft januar 2016. Ved udskrivning af politikken skal du være opmærksom på,

Læs mere

KOMBIT sikkerhedspolitik

KOMBIT sikkerhedspolitik KOMBIT sikkerhedspolitik Indholdsfortegnelse INDLEDNING 3 DEL 1: ORGANISERING, ROLLER OG ANSVAR 4 DEL 2: POLITIK FOR INFORMATIONSSIKKERHED 5 DEL 3: RETNINGSLINJER OG KONTROLMÅL TIL LEVERANDØREN 6 5. INFORMATIONSSIKKERHEDSPOLITIKKER

Læs mere

IT-SIKKERHEDSPOLITIK UDKAST

IT-SIKKERHEDSPOLITIK UDKAST IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens

Læs mere

IT-sikkerhedspolitik S i d e 1 9

IT-sikkerhedspolitik S i d e 1 9 IT-sikkerhedspolitik S i d e 1 9 Indhold 1 Læsevejledning... 3 2 Informationssikkerhedspolitik... 3 2.1 INDLEDNING... 3 2.2 SIKKERHEDSNIVEAU... 4 2.3 HOLDNINGER OG PRINCIPPER... 5 2.4 HOVEDMÅLSÆTNINGER

Læs mere

Informationssikkerhedspolitik for Sønderborg Kommune

Informationssikkerhedspolitik for Sønderborg Kommune Informationssikkerhedspolitik for Sønderborg Kommune Denne politik er godkendt af Byrådet d. 4. februar 2015 og træder i kraft d. 1. marts 2015 Seneste version er tilgængelig på intranettet 1/8 Indledning

Læs mere

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner.

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner. Juni 2011 1 Indhold 1. Indledning 3 2. Formål 4 3. Omfang 5 4. It-sikkerhedsniveau 5 5. It-sikkerhedsbevidsthed 6 6. Overtrædelse af it-sikkerhedspolitikken 6 7. Udarbejdelse og ikrafttrædelse 6 2 1 Indledning

Læs mere

Overordnet It-sikkerhedspolitik

Overordnet It-sikkerhedspolitik Overordnet It-sikkerhedspolitik Denne politik er godkendt af byrådet d. x. måned 2014 Ved udskrivning af politikken skal du være opmærksom på, at du anvender senest godkendte version. Acadre sags nr. 14-8285

Læs mere

Informationssikkerhedspolitik for

Informationssikkerhedspolitik for <organisation> 1 Informationssikkerhedspolitik for Indholdsfortegnelse Side 1. Indledning 4 1.1 Formål med informationssikkerhedspolitikken 4 1.2 Hovedmålsætninger i informationssikkerhedspolitikken 4

Læs mere

DS 484 Den fællesstatslige standard for informationssikkerhed. Sikkerhedsaspekter ved Mobilitet og Distancearbejde

DS 484 Den fællesstatslige standard for informationssikkerhed. Sikkerhedsaspekter ved Mobilitet og Distancearbejde DS 484 Den fællesstatslige standard for informationssikkerhed Sikkerhedsaspekter ved Mobilitet og Distancearbejde * Velkomst og dagens program Hvorfor er vi her Dagens formål og succeskriterier Disponeringen

Læs mere

Hørsholm Kommune. Regler 3.3. Slutbruger

Hørsholm Kommune. Regler 3.3. Slutbruger Hørsholm Kommune Regler 3.3 Slutbruger 17-11-2016 Indholdsfortegnelse 6 Organisering af informationssikkerhed 1 6.1 Interne organisatoriske forhold 1 6.1.4 Godkendelsesprocedure ved anskaffelser 1 6.1.5

Læs mere

EU-udbud af Beskæftigelsessystem og ESDHsystem

EU-udbud af Beskæftigelsessystem og ESDHsystem EU-udbud af Beskæftigelsessystem og ESDHsystem Beskæftigelses- og Integrationsforvaltningen Københavns Kommune Underbilag 2 A Københavns Kommunes IT-sikkerhedspolitik Indholdsfortegnelse 1. IT-sikkerhedspolitik

Læs mere

POLITIK FOR INFORMATIONSSIKKERHED

POLITIK FOR INFORMATIONSSIKKERHED POLITIK FOR INFORMATIONSSIKKERHED Indledning Dette er Statsbibliotekets politik for informationssikkerhed, som skal beskrive: Formål og baggrund om Statsbibliotekets hovedopgaver Mål og afgrænsning af

Læs mere

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet "informationer"? 2

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet informationer? 2 Indhold 1 Informationssikkerhedspolitik 2 1.1 Hvorfor vil vi sikre vores informationer? 2 1.2 Hvad dækker begrebet "informationer"? 2 2 Principper 4 2.1 Styret af KU's strategiske behov 4 2.2 Implementering

Læs mere

Skanderborg Kommune. Regler. Nedenstående regler er udfærdiget på kravene i ISO. Udkast 27002:2005. Udkast: 2014-02-12

Skanderborg Kommune. Regler. Nedenstående regler er udfærdiget på kravene i ISO. Udkast 27002:2005. Udkast: 2014-02-12 Skanderborg Kommune Regler Nedenstående regler er udfærdiget på kravene i ISO 27002:2005 : 2014-02-12 Indholdsfortegnelse 4 Risikovurdering og -håndtering 4.1 Vurdering af sikkerhedsrisici 4.2 Risikohåndtering

Læs mere

Albertslund Kommune. Albertslund. Samlet politik Virksomhedens samlede it-sikkerhedshåndbog 1.0

Albertslund Kommune. Albertslund. Samlet politik Virksomhedens samlede it-sikkerhedshåndbog 1.0 Albertslund Kommune Albertslund Samlet politik Virksomhedens samlede it-sikkerhedshåndbog 1.0 03-05-2011 Indholdsfortegnelse Politik 2 Indledning 2 Overordnet Informationssikkerhedspolitik for Albertslund

Læs mere

Organisering og styring af informationssikkerhed. I Odder Kommune

Organisering og styring af informationssikkerhed. I Odder Kommune Organisering og styring af informationssikkerhed I Odder Kommune Indhold Indledning...3 Organisationens kontekst (ISO kap. 4)...3 Roller, ansvar og beføjelser i organisationen (ISO kap. 5)...4 Risikovurdering

Læs mere

Fællesregional Informationssikkerhedspolitik

Fællesregional Informationssikkerhedspolitik Udbud nr. 2016/S 199-358626 EU-udbud af Cisco UCC i Region Syddanmark Underbilag 13.1 - Fællesregional Informationssikkerhedspolitik Underbilag 13.1 Fællesregional Informationssikkerhedspolitik Side 1/6

Læs mere

Front-data Danmark A/S

Front-data Danmark A/S Front-data Danmark A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Hostingcenter. December 2010 1. erklæringsår R, s Kalvebod Brygge 45, 2., 1560

Læs mere

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer plus revision skat rådgivning TABULEX ISAE 3000 DK ERKLÆRING MARTS 2013 Erklæring fra uafhængig revisor om Tabulex ApS overholdelse af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger

Læs mere

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED DAGSORDEN _ Introduktion til informationssikkerhed _ Hvad går det egentlig ud på _ Hvilke kerneopgaver er der _ Hvor langt er vi nået? _ Hvilke

Læs mere

Tabulex ApS. Februar erklæringsår. R, s

Tabulex ApS. Februar erklæringsår. R, s Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2012 8. erklæringsår

Læs mere

Sikkerhedspolitik. Informationssikkerhedspolitik for DIFO og DK Hostmaster. DK Hostmaster. Godkendt Version / ID 11.1.

Sikkerhedspolitik. Informationssikkerhedspolitik for DIFO og DK Hostmaster. DK Hostmaster. Godkendt Version / ID 11.1. Sikkerhedspolitik Informationssikkerhedspolitik for DIFO og DK Hostmaster Gruppe Sikkerhedspolitik Godkendt af Jakob Bring Truelsen Godkendt 05.07.2016 Ansvarlig Erwin Lansing Version / ID 11.1.0 / 00002

Læs mere

Underbilag Databehandlerinstruks

Underbilag Databehandlerinstruks Udbud nr. 2017/S 053-098025 EU-udbud af Cisco UCC i Region Syddanmark Underbilag 16.1 - Databehandlerinstruks DATABEHANDLERINSTRUKS Ad. 1. Databehandlerens ansvar Databehandleren må alene handle efter

Læs mere

Informationssikkerhed

Informationssikkerhed Banedanmark Informationssikkerhed Overordnet politik Banedanmarks informationssikkerhedspolitik Version 4.0 10-12-2012 Indholdsfortegnelse Politik 2 Informationssikkerhedspolitik for Banedanmark 2 Indledning

Læs mere

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup.

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. Front-safe A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. April 2011 5. erklæringsår R, s Kalvebod Brygge 45, 2., 1560 København

Læs mere

Kontraktbilag 7: Databehandleraftale

Kontraktbilag 7: Databehandleraftale Kontraktbilag 7: Databehandleraftale DATABEHANDLERAFTALE Mellem parterne: Den dataansvarlige myndighed Region Syddanmark Damhaven 12 CVR.nr.: 29190909 (herefter Dataansvarlig ) og Databehandler Leverandør

Læs mere

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Den finansielle sektor er i dag 100% afhængig af, at it-løsninger er kørende og herudover er sikret i tilfælde af, at noget

Læs mere

Bilag 5. Leverandør erklæring om tavshedspligt ITsikkerhedsregler

Bilag 5. Leverandør erklæring om tavshedspligt ITsikkerhedsregler Acadrenr. 15/27563 Bilag 5. Leverandør erklæring om tavshedspligt ITsikkerhedsregler og persondataloven for Helsingør Kommune Indledning / Introduktion It-sikkerhedsaftale med ekstern part som følger af

Læs mere

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser www.pwc.dk EG Cloud & Hosting Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser Januar 2016 Indhold 1. Ledelsens udtalelse...

Læs mere

Informationssikkerhed Version 2.0 29.09.10

Informationssikkerhed Version 2.0 29.09.10 Informationssikkerhed Version 2.0 29.09.10 Retningslinjer for retablering af systemer og data (Ændringer i forhold til tidligere version er markeret med Understregning) Disse retningslinjer beskriver de

Læs mere

frcewtfrhousf(wpers ml

frcewtfrhousf(wpers ml frcewtfrhousf(wpers ml PricewaterhouseCoopers Statsautoriseret Revisionsaktieselskab Nobelparken Jens Chr. Skous Vej I 8000 Árhus C www.pwc.dk Telefon 89 32 00 00 Telefax 89 32 00 IO Erklæring vedrørende

Læs mere

Tabulex ApS. Februar 2011 7. erklæringsår. R, s

Tabulex ApS. Februar 2011 7. erklæringsår. R, s Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2011 7. erklæringsår

Læs mere

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1 Tilgængelighed, fortrolighed og integritet. Høj kvalitet i informationssikkerhed og dokumentation Hvilken betydning har principper og anbefalinger i sikkerhedsstandarden ISO 27001 for kvaliteten af dokumentationen?

Læs mere

SIKKERHEDSREGLER. 5. Informationssikkerhedspolitikker

SIKKERHEDSREGLER. 5. Informationssikkerhedspolitikker SIKKERHEDSREGLER. 5. Informationssikkerhedspolitikker 5. 1. Retningslinjer for styring af informationssikkerhed 5. 1. 1. Politikker for informationssikkerhed Informationssikkerhed defineres som de samlede

Læs mere

Konference 27. januar 2011 Personale og IT-sikkerhed. /ved chefkonsulent, cand. jur. Helle Groth Christensen KL s Juridiske Kontor

Konference 27. januar 2011 Personale og IT-sikkerhed. /ved chefkonsulent, cand. jur. Helle Groth Christensen KL s Juridiske Kontor Konference 27. januar 2011 Personale og IT-sikkerhed /ved chefkonsulent, cand. jur. Helle Groth Christensen KL s Juridiske Kontor Hvordan sikrer I, at medarbejderne iagttager og overholder IT-sikkerheden?

Læs mere

REGULATIV FOR IT-SIKKERHED

REGULATIV FOR IT-SIKKERHED REGULATIV FOR IT-SIKKERHED Kapitel 1 - Anvendelsesområde og formål 1. Styringen af informationssikkerheden i Hovedstadens Beredskab er beskrevet i en it-sikkerhedshåndbog, som indeholder: It-sikkerhedspolitikken:

Læs mere

Afsnit 1 any.cloud A/S ledelseserklæring. Afsnit 2 any.cloud A/S beskrivelse af hostingydelse og interne kontroller

Afsnit 1 any.cloud A/S ledelseserklæring. Afsnit 2 any.cloud A/S beskrivelse af hostingydelse og interne kontroller Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hostingydelse i perioden 1. maj til 30. november 2013 ISAE 3402, type II any.cloud

Læs mere

INFORMATIONSSIKKERHEDSPOLITIK. Informationssikkerhedspolitik

INFORMATIONSSIKKERHEDSPOLITIK. Informationssikkerhedspolitik Informationssikkerhedspolitik Er informationssikkerhed aktuel? Hvorfor arbejder vi med informationssikkerhedspolitik? EU direktiv 95/46/EF Persondataloven Sikkerhedsbekendtgørelsen Datatilsynet Hvorfor

Læs mere

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring KOMBIT har som indkøbscentral på vegne af landets kommuner indgået aftale med [leverandørnavn] (herefter Leverandøren ) om udvikling, drift,

Læs mere

EG Cloud & Hosting

EG Cloud & Hosting www.pwc.dk EG Cloud & Hosting ISAE 3000-erklæring, type 2, fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG A/S afdeling Cloud & Hosting s serviceydelser Januar 2017

Læs mere

IT-sikkerhedspolitik. for. Gladsaxe Kommune

IT-sikkerhedspolitik. for. Gladsaxe Kommune IT-sikkerhedspolitik for Gladsaxe Kommune INDHOLD 1. IT-sikkerhedspolitik 1.1 Baggrund for IT-sikkerhedspolitikken 2. Begreber og definitioner 3. IT-sikkerhedspolitikken 3.1 Hovedmålsætninger med IT-sikkerhedspolitikken

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Dags dato er indgået nedenstående aftale mellem Københavns Kommune Teknik- og Miljøforvaltningen Njalsgade 13 2300 København S CVR.nr.: 64 94 22 12 (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.]

Læs mere

IT-centeret. It-sikkerhedshåndbog. Næstved Kommune Sagsbehandler: JJ Tlf. 5577 5300 Sagsnr: Doknr: www.naestved.dk. 20. april 2009

IT-centeret. It-sikkerhedshåndbog. Næstved Kommune Sagsbehandler: JJ Tlf. 5577 5300 Sagsnr: Doknr: www.naestved.dk. 20. april 2009 It-sikkerhedshåndbog IT-centeret Næstved Kommune Sagsbehandler: JJ Tlf. 5577 5300 Sagsnr: Doknr: www.naestved.dk 20. april 2009 Version 1.3 af 20. april 2009 Indhold 1. Indledning og formål 2 2. Ansvar

Læs mere

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser INDHOLDSFORTEGNELSE 1. Baggrund og formål... 2 2. Ansvarsfordeling... 2 2.1 Jobcenterchefens ansvar... 2 2.2 Gensidig informationspligt... 3 3. Krav til

Læs mere

DATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig )

DATABEHANDLERAFTALE. Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig ) DATABEHANDLERAFTALE Mellem parterne: Den dataansvarlige myndighed Regioner og kommuner (herefter Dataansvarlig ) og Databehandler Dansk Telemedicin A/S Robert Jacobsens Vej 68 2300 København S CVR.nr.:

Læs mere

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes]

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes] Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes] Det er, jf. Kontrakt om levering af Skolesystem (Læringsplatform) som servicebureauløsning, aftalt, at [leverandørnavn

Læs mere

BILAG 5 DATABEHANDLERAFTALE

BILAG 5 DATABEHANDLERAFTALE BILAG 5 DATABEHANDLERAFTALE INDHOLDSFORTEGNELSE 1. Formål og omfang... 5 2. Databehandlers opgave... 5 3. Instruks... 5 4. Brug af ekstern Databehandler eller underleverandør... 5 5. Behandling i udlandet...

Læs mere

UNDERBILAG 14A.1 DATABEHANDLERINSTRUKS

UNDERBILAG 14A.1 DATABEHANDLERINSTRUKS UNDERBILAG 14A.1 DATABEHANDLERINSTRUKS 1. Vedrørende Databehandlerens ansvar 1.1. Databehandleren må alene behandle personoplysninger omfattet af Databehandleraftalen efter instruks fra den Dataansvarlige

Læs mere

12. Godkendelse af it sikkerhedspolitik og itsikkerhedsregulativ

12. Godkendelse af it sikkerhedspolitik og itsikkerhedsregulativ 12. Godkendelse af it sikkerhedspolitik og itsikkerhedsregulativ 09 05 2016 Bestyrelsen skal godkende en it sikkerhedspolitik og et itsikkerhedsregulativ for Hovedstadens Beredskab, der beskriver det overordnede

Læs mere

Security & Risk Management Summit 2016

Security & Risk Management Summit 2016 Security & Risk Management Summit 2016 DGI Byen, den 3. november 2016 Premium partner: Partnere: Sikkerhedsanalyse - fundamentet for din sikkerhed! John Wiingaard og Lars Boye, Senior GRC Consultants,

Læs mere

Politik til sikring af UCN s digitale og papirbaserede informationsaktiver (it-sikkerhedspolitik)

Politik til sikring af UCN s digitale og papirbaserede informationsaktiver (it-sikkerhedspolitik) Dokumentdato: 11. maj 2015 Dokumentansvarlig: PHK Sagsnr.: Politik til sikring af UCN s digitale og papirbaserede informationsaktiver (it-sikkerhedspolitik) Indholdsfortegnelse 1 Målsætninger og forankring...

Læs mere

Dragør Kommune Borgmestersekretariat, IT og Personale Marts

Dragør Kommune Borgmestersekretariat, IT og Personale Marts Bilag 5 Databehandleraftale 1. Overholdelse af gældende regler og forskrifter Databehandleren overholder de til enhver tid gældende regler og forskrifter for behandling af personoplysninger under Kontrakten,

Læs mere

fortrolighed: omfatter en sikring af, at information kun er tilgængelig for personer, som er berettigede

fortrolighed: omfatter en sikring af, at information kun er tilgængelig for personer, som er berettigede Tillæg 3 1 1 IT-sikkerhedspolitik for Ballerup Kommune 1.1 Baggrund for IT-sikkerhedspolitikken Ballerup Kommune anvender på flere områder og i større omfang IT for at leve op til de krav, som borgere,

Læs mere

Politik til sikring af UCN s digitale og papirbaserede informationsaktiver (itsikkerhedspolitik) Dokumentdato: 13. april 2010

Politik til sikring af UCN s digitale og papirbaserede informationsaktiver (itsikkerhedspolitik) Dokumentdato: 13. april 2010 Politik til sikring af UCN s digitale og papirbaserede informationsaktiver (itsikkerhedspolitik) Dokumentdato: 13. april 2010 Dokumentansvarlig: mkm Indhold 1. Målsætning/formål... 1 2. Omfang... 3 3.

Læs mere

Sikkerhed og Revision 2015

Sikkerhed og Revision 2015 Sikkerhed og Revision 2015 Erfaringer fra It-tilsynet med virksomhedernes brug af risikovurderinger REAL kontoret 3. sep. 2015 Velkommen til Århusgade! Fra Finanstilsynets hjemmeside Agenda Hjemmel It-tilsynets

Læs mere

ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015

ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015 ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015 Udfordringer mht. persondata eksempler For mange brugere har adgang til

Læs mere

Databehandlerinstruks

Databehandlerinstruks 1. Databehandleren handler alene efter instruks af den dataansvarlige. 2. Databehandleren forpligter sig til, til enhver tid at overholde lovgivningsmæssige krav samt denne databehandlerinstruks. 3. Databehandleren

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

LinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK

LinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK LinkGRC A Nordic leader in all aspects of Governance, Risk and Compliance Virksomhedens informationssikkerhedspolitik er i sin enkelhed et modsvar til en virksomheds

Læs mere

Frederiksberg Kommunes It-sikkerhedsregler (baseret på ISO 27001)

Frederiksberg Kommunes It-sikkerhedsregler (baseret på ISO 27001) Frederiksberg Kommunes It-sikkerhedsregler (baseret på ISO 27001) Indhold 1. Informationsksikkerhedspolitikker 4 1.1 Retningslinjer for styring af informationssikkerhed 4 1.1.1 Politikker for informationssikkerhed

Læs mere

Informationssikkerhedspolitik

Informationssikkerhedspolitik Folder om Informationssikkerhedspolitik ansatte og byrådsmedlemmer 25-11-2013 Indledning Faxe Kommune har en overordnet Informationssikkerhedspolitik. Denne folder er et uddrag, der kort fortæller hvad

Læs mere

Tilladelsen gives på følgende vilkår:

Tilladelsen gives på følgende vilkår: Amgros I/S Dampfærgevej 22 2100 København Ø Sendt til: amgros@amgros.dk og cch@amgros.dk 6. april 2016 Vedrørende anmeldelse af behandlingen "Behandling af ESPD dokumentation" Datatilsynet Borgergade 28,

Læs mere

NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER

NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER NOTAT OM INFORMATIONSSIKKERHED OG DIGITALISERING 2014 2008 2014 Notatet er udarbejdet for: Oktober 2014 INDLEDNING Digitaliseringen i

Læs mere

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.: Databehandleraftale vedrørende brug af WinPLC og relaterede services Version 1.0 d. 1. november 2015 Parterne Kundenr.: Klinikkens navn og adresse (evt. stempel) (herefter den Dataansvarlige) og (herefter

Læs mere

Arbejdsmiljøcertificering Selvevaluering i forhold til DS/OHSAS og bek. 87

Arbejdsmiljøcertificering Selvevaluering i forhold til DS/OHSAS og bek. 87 Arbejdsmiljøcertificering Selvevaluering i forhold til DS/OHSAS 18001 og bek. 87 Punkt Emne Bemærkninger Handlingsplan 4.1 Generelle krav Organisationen skal etablere og vedligeholde et arbejdsmiljøledelses-system

Læs mere

INFORMATIONSSIKKERHED. UCC s sikkerhedshåndbog

INFORMATIONSSIKKERHED. UCC s sikkerhedshåndbog INFORMATIONSSIKKERHED UCC s sikkerhedshåndbog Gældende udgave, opdateret september 2015 Indholdsfortegnelse Indledning... 5 1 Etablering af informationssikkerheds-styringssystem... 6 1.1 Etablering af

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Dags dato er indgået nedenstående aftale mellem Københavns Kommune Økonomiforvaltningen Koncernservice CVR.nr.: 64 94 22 12 Borups Allé 177 2400 København NV (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.:

Læs mere

BILAG 14: DATABEHANDLERAFTALE

BILAG 14: DATABEHANDLERAFTALE BILAG 14: DATABEHANDLERAFTALE Side 1/9 Aftale om databehandling mellem Kunden og Leverandøren Side 2/9 Vejledning: [Dette bilag kan ikke ændres af tilbudsgiver. Bilaget udgør således i sin helhed et mindstekrav

Læs mere

2. marts Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret

2. marts Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret 2. marts 2015 Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret 2014 Økonomichef Jani Hansen Langeland Kommune Fredensvej 1 5900 Langeland 2.marts 2015 Formål

Læs mere

Regulativ for it-sikkerhed i Københavns Kommune

Regulativ for it-sikkerhed i Københavns Kommune Regulativ for it-sikkerhed i Københavns Kommune 2013 2. I medfør af 5 i Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som

Læs mere

Regulativ for it-sikkerhed i Københavns Kommune

Regulativ for it-sikkerhed i Københavns Kommune Regulativ for it-sikkerhed i Københavns Kommune Ajourført september 2016 I medfør af 5 i Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger,

Læs mere

Tilmelding til Sundhedsdatanettet (SDN)

Tilmelding til Sundhedsdatanettet (SDN) Tilmelding til Sundhedsdatanettet (SDN) 1. MedCom Tilmelding til SDN skal ske til MedCom, Forskerparken 10, 5230 Odense M. E-post: medcom@medcom.dk 2. Brugeren (den dataansvarlige) Organisation Adresse

Læs mere