Albertslund Kommune. Albertslund. Samlet politik Virksomhedens samlede it-sikkerhedshåndbog 1.0

Størrelse: px
Starte visningen fra side:

Download "Albertslund Kommune. Albertslund. Samlet politik Virksomhedens samlede it-sikkerhedshåndbog 1.0"

Transkript

1 Albertslund Kommune Albertslund Samlet politik Virksomhedens samlede it-sikkerhedshåndbog

2 Indholdsfortegnelse Politik 2 Indledning 2 Overordnet Informationssikkerhedspolitik for Albertslund Kommune 2 Mål 2 Vores holdninger og principper 2 Rammer og gyldighed 3 Opfølgning 3 Godkendt 4 Regler 5 4 Risikovurdering og -håndtering Vurdering af sikkerhedsrisici 5 5 Overordnede retningslinier Informationssikkerhedsstrategi Formulering af informationssikkerhedspolitik Løbende vedligeholdelse 5 6 Organisering af data og informationssikkerhed Interne organisatoriske forhold Ledelsens rolle Koordinering af informationssikkerhed Ansvarsplacering Godkendelsesprocedure ved anskaffelser Tavshedserklæringer Fagligt samarbejde med grupper og organisationer Eksterne samarbejdspartnere Identifikation af risici i forbindelse med eksternt samarbejde Sikkerhedsforhold i relation til leverandører Samarbejdsaftaler 11 7 Styring af informationsrelaterede aktiver Identifikation af og ansvar for informationsrelaterede aktiver Fortegnelse over informationsaktiver Ejerskab Accepteret brug af netværket 12 8 Medarbejdersikkerhed Ansættelsesforholdet 15 Uddannelse Sanktioner Ansættelsens ophør Ansvar ved ansættelsens ophør Returnering af aktiver 15 9 Fysisk sikkerhed Sikre områder Fysisk afgrænsning Fysisk adgangskontrol Sikring af kontorer, lokaler og udstyr Beskyttelse mod eksterne trusler Arbejdsmæssige forhold i sikre områder Områder til af- og pålæsning med offentlig adgang Beskyttelse af udstyr Placering af udstyr Forsyningssikkerhed Sikring af kabler Udstyrs og anlægs vedligeholdelse Sikring af udstyr uden for virksomhedens overvågning Fjernelse af Kommunens informationsaktiver 18

3 10 Styring af netværk og drift Operationelle procedurer og ansvarsområder Driftsafviklingsprocedurer Ændringsstyring Funktionsadskillelse Adskillelse mellem udvikling, test og drift Ekstern serviceleverandør Overvågning og revision af serviceleverandøren Styring af driftsmiljøet Kapacitetsstyring Godkendelse af nye eller ændrede systemer Skadevoldende programmer og mobil kode Beskyttelse mod skadevoldende programmer Sikkerhedskopiering Sikkerhedskopiering Netværkssikkerhed Netværket Netværkstjenester Databærende medier Bærbare datamedier Beskyttelse af datamediers indhold Beskyttelse af systemdokumentation Informationsudveksling Informationsudvekslingsretningslinjer og -procedurer Aftaler om informationsudveksling Elektronisk post og dokumentudveksling Kommunens informationssystemer Elektroniske forretningsydelser Elektronisk handel Offentligt tilgængelige informationer Logning og overvågning Opfølgningslogning Overvågning af systemanvendelse Fejllog Tidssynkronisering Adgangsstyring Krav til adgangsstyring Retningslinjer for adgangsstyring Administration af brugeradgang Registrering af brugere Udvidede adgangsrettigheder Adgangskoder Periodisk gennemgang af brugernes adgangsrettigheder Brugerens ansvar Brug af adgangskoder Uovervåget udstyr Beskyttelse af datamedier på den personlige arbejdsplads I tilfælde af mistanke om misbrug Styring af netværksadgang Retningslinjer for brug af netværkstjenester Autentifikation af brugere med ekstern netværksforbindelse Opdeling af netværk Rutekontrol i netværk Styring af systemadgang Sikker log-on Identifikation og autentifikation af brugere Styring af adgangskoder Brug af systemværktøjer Automatiske afbrydelser 30

4 11.7 Mobilt udstyr og fjernarbejdspladser Mobilt udstyr og datakommunikation Fjernarbejdspladser Anskaffelse, udvikling og vedligeholdelse af 31 informationsbehandlingsystemer 12.1 Sikkerhedskrav til informationsbehandlingssystemer Analyse og specifikation af krav til sikkerhed Korrekt informationsbehandling Validering af inddata Kryptografi Retningslinjer for brugen af kryptering Styring af driftsmiljøet Sikkerhed ved systemtekniske filer Sikring af testdata Sikkerhed i udviklings- og hjælpeprocesser Ændringsstyring Teknisk gennemgang af forretningssystemer efter ændringer i styresystemerne Begrænsninger i ændringer til standardsystemer Lækage af informationer Sårbarhedsstyring Sårbarhedssikring Styring af sikkerhedshændelser Rapportering af sikkerhedsbrud og svagheder Rapportering af sikkerhedsbrud Rapportering af svagheder Håndtering af sikkerhedsbrud og forbedringer Ansvar og forretningsgange At lære af sikkerhedsbrud Beredskabsstyring Beredskabstyring og informationssikkerhed Beredskab og risikovurdering Udarbejdelse og implementering af beredskabsplaner Rammerne for beredskabsplanlægningen Afprøvning, vedligeholdelse og revurdering af beredskabsplaner Overensstemmelse med lovbestemte og kontraktlige krav Overensstemmelse med lovbestemte krav Identifikation af relevante eksterne krav Ophavsrettigheder Sikring af kommunes kritiske data Beskyttelse af personoplysninger Beskyttelse mod misbrug af informationsbehandlingsfaciliteter Overensstemmelse med sikkerhedspolitik og -retningslinier Overensstemmelse med virksomhedens sikkerhedsretningslinjer Beskyttelsesforanstaltninger ved revision af informationsbehandlingssystemer Sikkerhed i forbindelse med systemrevision Beskyttelse af revisionsværktøjer 39 Procedurer 40 Skadelige programmer 40 Sådan skal antivirus installeres og opdateres på servere 40 Sådan skal antivirus installeres og opdateres på arbejdsstationer 40 Adgangskoder 40 Sådan skifter du din adgangskode 40 Brug af 40 Sådan underskriver du med digital signatur 40 Software-installation 40 Installation af standard pc 40 Følgende software må installeres på standard-pc 40

5 Sikkerhedskopiering af data 41 Sådan laver du backup af din bærbare pc 41 Adgang til virksomhedens netværk 41 Oprettelse af ny bruger 41 Kryptering 41 Sådan underskriver du med digital signatur 41 Håndtering af hændelser 41 Rapportering af hændelser eller formodede hændelser 41

6 Politik Indledning Dette dokument beskriver Albertslund Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en løbende risikovurdering, grundlaget for sikker anvendelse af informationsteknologi i Albertslund Kommune. Overordnet Informationssikkerhedspolitik for Albertslund Kommune Mål Albertslund Kommune gennemfører alle nødvendige aktiviteter for at sikre: Tilgængelighed: At opnå en høj tilgængelighed med høje oppetider og minimeret risiko for nedbrud. Integritet: At opnå en pålidelig og korrekt funktion af informationssystemerne med minimeret risiko for ukorrekt datagrundlag, f.eks. som følge af menneskelige og systemmæssige fejl eller udefrakommende hændelser. Fortrolighed: At etablere mulighed for fortrolig behandling, transmission og opbevaring af data, hvor kun autoriserede og autentificerede brugere har adgang. Vores holdninger og principper Behandling af data til dannelse af information er af grundlæggende betydning for de opgaver, der udføres i Albertslund Kommune, og for den service, som ydes over for borgerne. Behandling af data, som indgår i forskellige informationssystemer, skal derfor ske på den mest betryggende måde af hensyn til borgernes retssikkerhed, kommunens troværdighed og af hensyn til de opgaver, der vedblivende skal løses på den mest hensigtsmæssige og rationelle måde. IT-sikkerhedspolitikken har til formål at sikre data og informationer både i forhold til tekniske sikkerhedsforanstaltninger såvel som i forhold til alle ansattes håndtering af data i forbindelse med de daglige arbejdsopgaver. Det ledelsesmæssige ansvar består derfor i fortsat at bevare, styre og forbedre behandlingen af data og informationssystemer med henblik på at tilvejebringe de bedst tænkelige tekniske løsninger inden for rammerne af de vedtagne budgetter samt at sikre de nødvendige ITkompetencer hos medarbejderne for at kunne løse de arbejdsmæssige opgaver professionelt og adfærdsmæssigt i overensstemmelse med lovgivningsmæssige krav. Formålet med IT-sikkerhedspolitikken er dermed at tilkendegive over for borgere, virksomheder og andre offentlige myndigheder, at behandling af data sker på baggrund af besluttede procedurer og retningslinjer. Side 2 af 41

7 IT-sikkerhedspolitikken angiver samtidig over for alle ansatte rammerne for den daglige administrative praksis, som Albertslund Kommune forventer efterlevet. På baggrund af IT-sikkerhedspolitikken sker der en gang årligt (i 3. kvartal) revision af procedurer og retningslinjer for databehandling med henblik på at: Forebygge sikkerhedsproblemer Forebygge/afsløre misbrug Begrænse skader Reetablere informationer Skabe gennemsigtighed i forvaltningen Sikre kvalitet og validitet i forhold til data Sikre borgerne korrekt information og oplysning Rammer og gyldighed IT-sikkerhedspolitikken gælder for alle fastansatte, for alle som midlertidigt arbejder for Albertslund Kommune samt for politikere og samarbejdspartnere, som på den ene eller anden måde deltager i behandling af data. IT-sikkerhedspolitikken omfatter alle data og informationer, dvs. data i form af ord, billeder, lyd mm., som lagres elektronisk. IT-sikkerhedspolitikken omfatter endvidere ikke-elektronisk lagrede data, når disse er dannet på grundlag af elektroniske data, fx i form af uddatamateriale.data og informationer defineres som data og informationer, der tilhører Albertslund Kommune. Herudover defineres det også som informationer, der ikke tilhører kommunen, men som Albertslund Kommune kan gøres ansvarlig for. Dette inkluderer fx alle data og informationer om personale, alle data og informationer, som bidrager til administrative rutiner, samt informationer, som er overladt Albertslund Kommune af andre. Opfølgning Det er målet at beskytte data og informationer og udelukkende tillade adgang og behandling af data og informationer i overensstemmelse med Albertslund Kommunes interesser og under hensyntagen til den til enhver tid gældende lovgivning samt god dataforvaltningsskik. Albertslund Kommune fastlægger på baggrund af en risiko- og konsekvensanalyse et sikkerhedsniveau som svarer til betydningen af den pågældende IT-anvendelse. Det er målet at etablere det fornødne beredskab til at imødekomme skader, tab mm. i forhold til data og informationer på baggrund af risikoanalysen under hensyntagen til de eksisterende økonomiske ressourcer. Det fornødne beredskab ajourføres i en løbende proces. Side 3 af 41

8 Godkendt Denne politilk er vedtaget af Albertslund Kommunes direktørgruppe den dd. mmmm åååå Side 4 af 41

9 Regler 4 Risikovurdering og -håndtering 4.1 Vurdering af sikkerhedsrisici Risikoanalyse Der skal udarbejdes en detaljeret risikoanalyse for alle forretningskritiske systemer. Overordnet risikovurdering Der skal være udført en overordnet risikovurdering af trusselsbilledet for kommunen. Der skal være udført en overordnet risikovurdering, der indeholder konsekvensvurdering og sårbarhedsvurdering. Risikovurderingen skal opdateres en gang om året og ved implementering af nye kritiske syster Der skal gennemføres en bredt funderet risikovurdering med revurdering, der dækker hele organisationen. Målet er at sikre at sårbarheder, trusler og konsekvenser er kendte, og at deres sammenhæng afspejles i organisationens risikoprofil. Risikovurderingen skal omfatte alle væsentlige it-systemer. 5 Overordnede retningslinier. 5.1 Informationssikkerhedsstrategi Formulering af informationssikkerhedspolitik Godkendelse af sikkerhedspolitik Sikkerhedspolitikken skal godkendes af direktørgruppen. Definition på it-sikkerhed Informationssikkerhed defineres som de samlede foranstaltninger til at sikre fortrolighed, tilgængelighed og integritet. Foranstaltninger inkluderer tekniske, proceducemæssige, lov- og regelmæssige kontroller. Vedligeholdelse af sikkerhedspolitik Organisationens sikkerhedspolitikker, regler, procedurer og tilhørende dokumentation skal vedligeholdes af den it-sikkerhedsansvarlige Løbende vedligeholdelse Løbende vedligeholdelse af informationssikkerhedspolitik Revision af sikkerhedspolitik Der skal ske revision af sikkerhedspolitikken mindst hvert andet år. Side 5 af 41

10 6 Organisering af data og informationssikkerhed Placering af ansvar er vitalt for at sikre opmærksomhed på kommunens data og informationsaktiver. Organisationsstrukturen i kommunen og samarbejde med leverandører og samarbejdspartnere er vigtig for at opretholde et tidssvarende sikkerhedsniveau. 6.1 Interne organisatoriske forhold Ledelsens rolle Ledelsens rolle Ledelsen skal støtte virksomhedens informationssikkerhed ved at udlægge klare retningslinier, udvise synligt engagement samt sikre en præcis placering af ansvar Koordinering af informationssikkerhed Sikkerhedsorganisation Der skal være en separat og veldefineret sikkerhedsfunktion, hvis primære arbejdsopgave er at sikre virksomheden. Koordination af informationssikkerheden Ansvaret for koordination af sikkerheden på tværs i organisationen varetages af kommunens Digitaliseringsforum Ansvarsplacering Sikkerhedsansvar for Kommunaldirektøren Kommunens øverste IT-sikkerhedsansvarlige er ansvarlig for at iværksætte og kontrollere sikkerhedsforanstaltningerne i kommunen på IT-området - fysisk og organisatorisk Kommunaldirektøren er ansvarlig for at udpege en daglig itsikkerhedsansvarlig til at varetage service og overvågningsopgaver i forbindelse med rådgivning omkring behandling af personoplysninger i kommunen samt til at foretage kontrol af overholdelse af itsikkerhedsretningslinjerne. Den daglige sikkerhedsansvarlige Rådgiver kommunaldirektøren og forvaltningsdirektører i alle spørgsmål, der vedrører behandling af persondata og it-sikkerhed. Rådgiver forvaltninger og centre i forbindelse med udvikling af lokal praksis Deltager i instruktion og vidensdeling for medarbejdere i forvaltninger og centre. Holder sig løbende orienteret om lovgivning indenfor behandling af personoplysninger, og anvendelsen af persondata i den kommunale administration. Ansvarlig for opfølgning og revision af ít-sikkerhedspolitikken hvert år. Side 6 af 41

11 It-sikkerhedsudvalgets opgaver Formulere og vedligeholde it-sikkerhedspolitikken og indstille den til videre behandling. At formulere og vedligeholde regler og procedure for sikkerhedsarbejdet. At sikre, at der for data og systemer er udpeget data- og systemejere. At vurdere og sikre gennemførelse af den overordnede uddannelse og information vedrørende it-sikkerheden. At prioritere aktiviteter og indsatsområder på grundlag af indstillig fra itsikkerhedsansvarlig. Sikkerhedsansvar for forvaltningsdirektører og centerchefer Forvaltningsdirektøren er ansvarlig for, at den daglige drift i forvaltningen sker på grundlag af reglerne for god databehandlingsskik samt de gældende IT-sikkerhedsmæssige retningslinier. Forvaltningsdirektører og centerchefer autoriserer brugere i egen forvaltning. Forvaltningsdirektører og centerchefer fører kontrol med, at medarbejdere kun er autoriserede til behandlinger, de har brug for i deres daglige arbejde. Forvaltningsdirektører og centerchefer kontrollerer misbrug og uautoriseret adgang ved begrundet mistanke. Forvaltningsdirektører og centerchefer er ansvarlige for, at behandlinger af data af fortrolig eller privat karakter, anmeldes til Datatilsynet og kan endvidere iværksætte behandlinger, der ikke er anmeldelsespligtige. Det påhviler forvaltningsdirektører og centerchefer at fastsætte regler for opbevaring og tilintetgørelse af ind- og uddata og føre tilsyn med, at de fastsatte regler overholdes. Forvaltningsdirektører og centerchefer er ansvarlige for, at der føres tilsyn med brugernes overholdelse af fastsatte sikkerhedsforanstaltninger. Forvaltningsdirektører og centerchefer er ansvarlige for, at medarbejderne instrueres i gældende procedurer og retningslinjer for itsikkerhed samt at medarbejderne løbende får tilstrækkelig uddannelse inden for it-sikkerhed. Side 7 af 41

12 Sikkerhedsansvar for Digitaliseringschefen Ansvaret for vedligeholdelse af en liste over samtlige informationssystemer. Listen skal angive henholdsvis den sikkerhedsansvarlige data- og systemejer for hvert enkelt system. Kommunens netværk, skal sørge for, at netværket er indrettet, så kommunale data til enhver tid vil kunne rekonstrueres hurtigt og uden væsentlige datatab. At der mindst en gang i døgnet tages sikkerhedskopi af alle arbejdsdata. Der etableres et cyklisk ordning med mulighed for at gå mindst tolv måneder tilbage på månedsbasis. Der lægges en plan for sikkerhedskopieringen gennemførelse. Backup og genindlæsningsrutiner skal testes stikprøvevist mindst en gang om året, eller i forbindelse med omlægning af rutinen. At kommunens netværk altid er forsynet med tidssvarende foranstaltninger mod virus og er forsynet med tidssvarende foranstaltninger imod uautoriseret elektronisk adgang udefra. At yde den fornødne service overfor forvaltningsdirektører m.fl. i forbindelse med den driftsmæssige del af datasikkerheden. At datamedier, der ikke længere anvendes, slettes/destrueres så effektivt, at genskabelse ikke er mulig. Linieledelsens ansvar Informere medarbejdere om it-sikkerhedspolitikken og sikre overholdelse af de sikkerhedsmæssige retningslinjer. Sikre sikkerhedsvurdering af nye systemer inden for området i samarbejde med digitaliseringscentret. Ansvar for opklaringsarbejdet ved sikkerhedsbrud i samarbejde med Digitaliseringscentret. Sikkerhedsansvar for systemejer (linieleder) Den faglige anvendelse af systemet. At der altid er opdaterede stamdata, fx. kontaktoplysninger, for det ejede system. Anmeldelse af system til Datatilsynet og evt. opdatering af anmeldelsen. Arkivering af systemets data i følge Arkivloven. At der udarbejdes en kravspecifikation for enhver systemudvikling og ændring i samarbejde med Digitaliseringscentret. At der udarbejdes en risikovurdering ifht. kravene til systemet. At ændringer i systemer mm. følger retningslinierne jf. Digitaliseringsforum mv. At der ved idriftsætning af systemet foreligger konkrete regler og prcedurer for adgangsforholdene. At autorisere adgangen til systemet iht. retningslinier og at foretage opfølgning og rapportering af sikkerhedsbrud. At Change Management retningslinierne følges ved enhver ændring af systemet. Side 8 af 41

13 Sikkerhedsansvar for dataejer (linieleder) At der udarbejdes en risikovurdering for systemtilknyttede data i samarbejde med digitaliseringscentret. At der inden indrapportering af data i systemer foreligger konkrete regler og procedurer for regulering og administration af adgangsforholdene. At autorisere adgangen til data iht. retningslinierne herfor og foretage opfølgning og rapportering af sikkerhedsbrud. Den enkelte medarbejders ansvar I overensstemmelse med lovgivningen har den enkelte medarbejder adgang til personhenførbare data og informationer udelukkende med relevans for de arbejdsmæssige opgaver, som vedkommende varetager. For at beskytte data og informater mod tab og for at sikre borgerne de størst mulige retssikerhed skal alle ansatte følge it-sikkerhedspolitikkens regler og procedure Godkendelsesprocedure ved anskaffelser Anskaffelsesprocedurer Det skal sikres, at nyanskaffelser ikke giver anledning til konflikt med eksisterende krav i sikkerhedspolitikken. Anskaffelser må ikke give anledning til forøget risiko for sikkerhedshændelser, medmindre ledelsen accepterer den øgede risiko. Ethvert nyt system skal gennemgå detaljeret risikoanalyse, såfremt Digitaliseringschefen og den it-sikkerhedsansvarlige beslutter dette på baggrund af den udførte risikovurdering. Anskaffelse og installation af nyt informationsbehandlingsudstyr og - systemer skal igennem en godkendelsesprocedure og godkendes i Digitaliseringsforum. Specifikation af sikkerhedskrav Såfremt en overordnet risikovurdering retfærdiggør aktiviteten, skal sikkerhedskrav dokumenteres i forbindelse med enhver it-system nyanskaffelse eller it-systemopgradering. Dette gælder både for kundetilpassede- og standardsystemer. Anskaffelser Digitaliseringscentret skal tilse, at kun kendt og sikkert udstyr eller software, med et defineret formål, anskaffes og sættes i drift. Installation af programmer på arbejdsstationer Brugere må installere programmer på Kommunens arbejdsstationer forudsat at Digitaliseringscentret har godkendt leverandøren. Ved en reinstallation af computeren bliver alle lokalt installerede programmer slettet. Side 9 af 41

14 Anmeldelse til Datatilsynet Dataejer er ansvarlig for at foretage anmeldelse af anmeldelsespligtige databehandlinger til Datatilsynet. Der udarbejdes en procedure for anmeldelse af data til Datatilsynet. Hvis behandlinger indeholder oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold, helbredsmæssige eller seksuelle forhold eller strafbare forhold, væsentlige sociale problemer og andre rent private forhold - skal forvaltningen inden anmeldelsen indhente Datatilsynets udtalelse om behandlingen. I forbindelse med anmeldelse til Datatilsynet orienteres den Itsikkerhedsansvarlige. Det er et mål at få registreret alle ikke-anmeldelsespligtige behandlinger i forvaltningerne Tavshedserklæringer Indhold af fortrolighedserklæringerne Definition af de informationer, der er omfattet. En fastlagt løbetid. Beskrivelse af, hvad der skal ske, når aftalen udløber. Fortrolighedserklæring for tredjepart Det skal sikres, at tredjepart, der kan få adgang til virksomhedens data, er omfattet af en fortrolighedserklæring Fagligt samarbejde med grupper og organisationer Information om nye trusler, virus og sårbarheder Digitaliseringscentret skal holde sig orienteret inden for de benyttede platforme. Digitaliseringscentret skal informere relevante personer i ledelsen om nye trusler, som potentielt kan berøre de pågældende forretningsenheder. Digitaliseringscentret skal udpege en gruppe som er ansvarlig for dette område. 6.2 Eksterne samarbejdspartnere Identifikation af risici i forbindelse med eksternt samarbejde Identifikation af brugerprofiler for eksterne brugere Eksterne brugerprofiler skal, gennem konsistent navngivning, være tydeligt adskilt fra fastansatte medarbejderes brugerprofiler. Sikkerhed ved samarbejde med partnere Ved integration af virksomhedens systemer og processer med tredjepart skal sikkerhedsrisici altid vurderes og dokumenteres. Outsourcing-partnere Inden indgåelse af aftaler skal sikkerhedsniveauet ved partneren afklares og sammenlignes med de krav der stilles i sikkerhedspolitikken. Valg af partnere skal godkendes af den sikkerhedsansvarlige. Side 10 af 41

15 6.2.2 Sikkerhedsforhold i relation til leverandører Sikkerhed i forhold til leverandører Før kommunens leverandører må få adgang til virksomhedens informationsbehandlingssystemer, skal alle sikkerhedsforhold være afklaret. Identifikation af brugerprofiler for eksterne brugere Eksterne brugerprofiler skal, gennem konsistent navngivning, være tydeligt adskilt fra fastansatte medarbejderes brugerprofiler Samarbejdsaftaler Tilgængelighedshændelser Hændelser, der har indflydelse på tilgængelighed, skal afklares i henhold til gældende driftsaftaler (SLA). Driftshændelser, der ikke kan afklares inden for aftalt tid, skal udløse procedurer for hændelseshåndtering. De ramte brugere og systemejere skal informeres. Fortrolighedserklæring for tredjepart Det skal sikres, at tredjepart, der kan få adgang til virksomhedens data, er omfattet af en fortrolighedserklæring. 7 Styring af informationsrelaterede aktiver Informationsaktiver skal beskyttes, uanset om det er fysiske aktiver som dokumenter, der er udskrevet, produktionsudstyr eller it-systemer. Det er derfor nødvendigt at identificere, klassificere og placere ejerskab for alle aktiver. 7.1 Identifikation af og ansvar for informationsrelaterede aktiver Fortegnelse over informationsaktiver Administration af internet-domænenavne Ansvaret for registrering af domænenavne ligger hos Digitaliseringschefen. Registrering af it-udstyr Der skal vedligeholdes en fortegnelse over samtlige relevante enheder, som er forbundet til Kommunens it-infrastruktur Ejerskab Ansvar for adgangsrettigheder Systemets ejer har ansvaret for at fastlægge og løbende revurdere adgangsrettigheder i overensstemmelse med kommunens generelle adgangspolitik. Side 11 af 41

16 7.1.3 Accepteret brug af netværket For at sikre anvendelsen af internettet sker på en lovlig og sikkerhedsmæssig og i det hele taget forsvarlig måde, gælder en række anvisninger som rettesnor. Det gælder imidlertid også om at bruge sin sunde fornuft i forhold til hvad der er forsvarligt. Albertslund Kommune opfordrer til brug af internettet i arbejdsmæssig sammenhæng. Overvågning af netværk Som led i den almindelige netværksovervågning bliver al netværkstrafik logget. Såfremt der er begrundet mistanke om, at der findes misbrug af internettet sted, eller der er begrundet mistanke om, at medarbejdere bryder med Albertslund Kommunes holdninger kan nærmeste leder foranledige, at der indsamles oplysninger med henblik på at belyse om der finder misbrug sted. Dette kan være sider hvor inholdet kan støde andre medarbejdere. Uanset resultatet af logningen skal medarbejderen altid informeres om, at logningen finder sted. Misbrug kan medføre påtale, afskedigelse eller anmeldelse til politiet. Brug af ikke godkendte applikationer på sociale netværk DU må ikke anvende applikationer på kommunens it-systemer, hvis de ikke er godkendte af Digitaliseringscentret. Omfang af brug af sociale netværk Din brug af sociale netværk må ikke genere almindelig drift og brug af virksomhedens it-systemer. Brugere af sociale netværk skal være specielt opmærksomme på at: Personer på sociale netværk er ikke altid dem de udgiver sig for at være (det er ikke sikkert den person, du tror er en kollega, faktisk er det) Persondata må aldrig deles på sociale netværk. Download af filer, som du modtager via et socialt netværk, er underlagt de samme regler som øvrige downloads Informationer, som du har lagt ud på et socialt netværk, kan kun meget vanskeligt, måske aldrig, trækkes tilbage Du vil med stor sandsynlighed opleve at nogen forsøger at franarre dig dine bruger-id''er og/eller dine adgangskoder (phishing). De sociale netværk, som du bruger, kan registrere og gemme oplysninger om dig, og hvilke informationer du søger og bruger. Download af filer fra internettet Arbejdsrelaterede filer må downloades fra internettet. Download af programmer fra internettet Det er ikke tilladt at hente programmer fra internettet, medmindre det er relateret til løsning af arbejdsopgaver og aftalt med Digitaliseringscentret. Streaming via internet Det er ikke tilladt at anvende Kommunens netværk til vedvarende trafik, som eksempelvis streaming af lyd eller billede fra radio- og tv-tjenester eller film. Side 12 af 41

17 Afvikling af programmer i forbindelse med internetsurfing Det er tilladt at afvikle browserbaserede programmer, f.eks. netbankprogrammer, forudsat at sikkerhedspolitikken i øvrigt overholdes. Terminalsessioner til fjernstyring Godkendt personale må tilgå visse virksomhedssystemer over internet eller gennem dial-up-forbindelser, hvis disse sikres på forsvarlig vis. Adgang skal tillades af den sikkerhedsansvarlige i samråd med systemejerne. Sikkerhedsindstillinger i web-browser Brugerne må ikke forsøge at omgå eller bryde de fastsatte sikringsforanstaltninger. Medarbejderes private brug af internetadgang Kommunens internetadgang må i begrænset omgang anvendes til private formål i begrænset omfang, såfremt sikkerhedspolitikken i øvrigt overholdes, og såfremt arbejdsrelateret brug ikke generes på nogen måde. Adgang til surfing på internettet Internetadgangen må benyttes til internetsurfing - dog skal surfing i privat øjemed foretages således, at det ikke blokerer for arbejdsrelateret brug af internettet. Fortrolig mail med følsomt indhold skal krypteres med godkendt software. Dette gælder især for klassificeret, fortrolig eller følsom persondata, der sendes over internettet. Phishing og bedrageri Uanset at Kommunen udfører indholdsscanning af alle s, skal brugere skal være opmærksomme på "phishing" og "social engineering", der f.eks. kan betyde, at de kan modtage tilsyneladende oprigtige e- mails, der forsøger at franarre personlige eller fortrolige oplysninger eller forsøger at få brugeren til at foretage uønskede handlinger. Medarbejderes private brug af Kommunen tillader brug af -systemer, også til privat brug, såfremt sikkerhedspolitikken i øvrigt overholdes. Kommunen forbeholder sig ret til at skaffe sig adgang til data og for medarbejdere, hvis der er mistanke om misbrug eller sker af driftseller sikkerhedshensyn. Virksomheden vil så vidt muligt forsøge at undgå at åbne eventuel privat -korrespondance. Medarbejderne må anvende mailsystemerne til personligt brug i begrænset omfang, hvis dette ikke har indflydelse på virksomhedens drift og sikkerhed i øvrigt. Al mailtrafik betragtes som virksomhedens ejendom. Brug af previewfunktion til åbning af må gerne vises i previewfunktion. Vedhæftede filer It-afdelingen skal blokere for filtyper som it-afdelingen vurderer farlige eller uhensigtsmæssige. Side 13 af 41

18 Adware Adware-beskyttelse baseres på medarbejder-awareness, sikkerhedsindstillinger i internetbrowser, begrænsninger i brugeres muligheder for softwareinstallation samt brug af adware-scannere. Digitaliseringscentret skal sikre, at der regelmæssigt scannes for adware på alle arbejdsstationer. Sagsbehandling og journalisering af Modtaget og afsendt skal journaliseres og behandles efter samme principper som gælder for almindelig brevpost og fax. Installation af trådløst udstyr Medarbejdere må ikke installere udstyr, der giver trådløs netadgang. Forbindelse til fremmede trådløse netværk Brugere må forbinde sig til fremmede trådløse netværk. Autentificering Brugere skal være opmærksomme på at messenger-programmer anvender svag autentificering. Det vil sige at brugeren sjældent eller aldrig har vished for, hvem der kommunikeres med. Filudveksling Der må ikke udveksles filer eller internet-links via messengerprogrammer. Misbrug af internettet Såfremt der er begrundet mistanke om, at der findes misbrug af internettet sted, eller der er begrundet mistanke om, at medarbejdere bryder med Albertslund Kommunes holdninger kan forvaltningsdirektøren foranlede at der indsamles oplysninger med henblik på at belyse om der er fundet mistbrug sted. Opdager man selv at man har brudt datasikkerheden skal det meddeles ens leder. Uanset resultatet af logningern skal medarbejderen altid informeres om at logningen er kontrolleret. Misbrug kan medføre påtale, afskedigelse eller anmeldelse til politiet. Eksempler på internetsider man ikke må benytte: Sider med børneporno, porno, o.lign. Download af ulovlige programmer, Tilbyde elektroniske tjenester, Krænke andres licens og ophavnsrettigheder 8 Medarbejdersikkerhed Informationssikkerheden i Kommunen afhænger i høj grad af medarbejderne. Det er nødvendigt at sikre virksomheden gennem ansættelse af de rigtige medarbejdere. Medarbejdere skal uddannes i itsikkerhed i relation til deres jobfunktion og modtage nødvendige informationer. Endvidere er det nødvendigt med regler, der beskriver sikkerhedsforhold når et ansættelsesforhold slutter. Side 14 af 41

19 8.2 Ansættelsesforholdet Uddannelse Sikkerhedsuddannelse for it-medarbejdere Alle it-medarbejdere skal specifikt uddannes i sikkerhedsaspekter, for at minimere risikoen for sikkerhedshændelser. Uddannelse i sikkerhedspolitikken Alle nyansatte it-brugere modtager, senest på første arbejdsdag, Kommunens informationssikkerhedspolitik. Alle it-brugere skal læse Kommunens informationssikkerhedspolitik Sanktioner Overtrædelse af sikkerhedsretningslinierne Det er ledelsens ansvar, at sanktioner for brud på Kommunens politikker, regler eller retningslinier håndhæves konsekvent og i overensstemmelse med gældende lovgivning. 8.3 Ansættelsens ophør Ansvar ved ansættelsens ophør Fratrædelse Når ansættelse eller midlertidige kontrakter ophæves, skal alle tilknyttede rettigheder trækkes tilbage. ID-kort og lignende skal afleveres, og itudstyr skal afleveres inden sidste lønning udbetales. Afdelingslederen har ansvaret for at it-udstyr o.lign. afleveres og at Digitaliseringscentret modtager en blanket om medarbejderens fratrædelse Returnering af aktiver Returnering af aktiver ved aftrædelse Medarbejderen skal aflevere alt udleveret udstyr såsom mobiltelefon og pc ved samarbejdets ophør. 9 Fysisk sikkerhed Fysisk sikkerhed og adgangsregler for gæster er naturlige elementer i Kommunens sikkerhedspolitik. Fysisk sikkerhed omfatter blandt andet døre, vinduer, alarmer - samt tyverisikring af Kommunens fysiske aktiver, eksempelvis it-udstyr. 9.1 Sikre områder Fysisk afgrænsning Distribueret it-udstyr Alle krydsfelter, afdelings-serverrum og lignende faciliteter med delt itudstyr skal aflåses for at hindre uautoriseret adgang til disse. Side 15 af 41

20 Indbrudsalarmer Virksomheden skal anvende passende alarmsystemer på relevante bygninger og lokaler. Aflåsning af lokaler og bygninger Alle døre og vinduer med adgang til/fra bygningerne skal lukkes og låses ved arbejdstids ophør. Døre til sikrede lokationer i bygningerne skal ligeledes aflåses. Sidste medarbejder der forlader et område er ansvarlig for sikring af dette Fysisk adgangskontrol Adgang for serviceleverandører Serviceleverandører må kun få adgang til sikre områder, når dette er påkrævet. Adgang til serverrum og hovedkrydsfelter Adgang til serverrum og hovedkrydsfelter tillades kun med sikkerhedsgodkendelse eller ved overvåget adgang af medarbejdere fra Digitaliseringscentret. Udlån af adgangskort Adgangskort må udlånes til håndværkere, teknikere og andre såfremt der afleveres komplet udfyldt udlånsformular Sikring af kontorer, lokaler og udstyr Sikring af kontorer, lokaler og udstyr Kontorer og andre lokaler, hvor der opbevares systemer med følsom data, skal kunne låses. Der skal desuden benyttes et adgangskontrolsystem til styring af adgangen til lokalerne Beskyttelse mod eksterne trusler Brandsikring Passende brandsikringsudstyr skal forefindes og være korrekt placeret. Opbevaring af sikkerhedskopier på ekstern lokation Datamedier til retablering af forretningskritiske systemer skal opbevares på et eksternt opbevaringssted Arbejdsmæssige forhold i sikre områder Overvågning i sikre områder It-afdelingen skal sikre, at arbejde i sikre områder så vidt muligt overvåges. Oplysninger om sikre områder Oplysninger om sikre områder og deres funktion skal alene gives ud fra et arbejdsbetinget behov Områder til af- og pålæsning med offentlig adgang Af- og pålæsningsområder Adgang til af- og pålæsningsområder må kun gives til identificerede og autoriserede personer. Leverancer skal registreres i henhold til varemodtagelsesprocedure. Side 16 af 41

21 9.2 Beskyttelse af udstyr Placering af udstyr Placering af udstyr Udstyr, der benyttes til at behandle kritiske/følsomme informationer, skal placeres så informationerne ikke kan ses af uvedkommende. Digitaliseringscentret skal begrænse fysisk adgang til krydsfelter. Køling Serverrum skal sikres med veldimensionerede airconditionanlæg. Tyverimærkning af it-udstyr Alt udstyr skal være tydeligt mærket for at minimere risikoen for tyveri. Alle bærbar pc'er er tydeligt mærket for at minimere risikoen for tyveri. Miljømæssig sikring af serverrum Serverrum, krydsfelter og tilsvarende områder skal på forsvarlig vis sikres mod miljømæssige hændelser som brand, vand, eksplosion og tilsvarende påvirkninger Forsyningssikkerhed Forsyningssikkerhed Miljø- og Teknikdirektøren har ansvaret for, at alle forsyninger som elektricitet, vand, kloak, varme, og ventilation har den fornødne kapacitet og løbende inspiceres for at forebygge uheld der kan have indflydelse på informationsaktiverne. Nødstrømsanlæg Alle server-systemer skal beskyttes med nødstrømsanlæg til at sikre hurtig og korrekt system-nedlukning i tilfælde af strømudfald Sikring af kabler Sikring af kabler Kabler til datakommunikation skal beskyttes mod uautoriserede indgreb og skader. Faste kabler og udstyr skal mærkes klart og entydigt. Dokumentation skal opdateres, når den faste kabelføring ændres. Aflåsning af hovedkrydsfelter og lignende teknikrum Alle krydsfelter og andre teknikrum skal være aflåste Udstyrs og anlægs vedligeholdelse Vedligeholdelse af udstyr og anlæg Digitaliseringscentret skal vedligeholde udstyr efter leverandørens anvisninger. Kun godkendte leverandører må udføre reparationer og vedligeholdelse. Side 17 af 41

22 9.2.5 Sikring af udstyr uden for virksomhedens overvågning Forsikringsdækning for mobile enheder Der er ikke forsikringsdækning af it-udstyr. Sikring af hjemmearbejdspladser Hjemmearbejdspladser og deres kommunikationsforbindelser skal beskyttes i forhold til de informationer og forretningssystemer, de benyttes til. Opsyn med mobile enheder Mobile enheder må ikke efterlades uden opsyn i uaflåste rum. Adgang til data på pc'er og mobiltelefoner skal beskyttes med en loginadgangskode Fjernelse af Kommunens informationsaktiver Fjernelse af udstyr fra virksomheden Udstyr, der indeholder fortrolige data, må kun fjernes efter behørig godkendelse fra pågældende dataejer. 10 Styring af netværk og drift Vedligeholdelse og opdatering af it-systemer er nødvendigt for at opretholde et passende sikkerhedsniveau for Kommunen. Drift af it-systemer inkluderer elementer af overvågning af systemernes helbredstilstand, opdatering og sikkerhedskopiering af data. De fleste it-systemer i dag er afhængige af netværk, og derfor er administration, opbygning, sikring og vedligeholdelse af netværk vitalt for Kommunen. Den trussel, som uautoriseret adgang indebærer, gør det nødvendigt med klare regler for brugen af Kommunens netværk samt overvågning af infrastrukturen Operationelle procedurer og ansvarsområder Driftsafviklingsprocedurer Driftsansvar Digitaliseringscentret er ansvarlig for drift og administration af fælles itsystemer samt disses sikkerhed. Dette inkluderer efterlevelse af sikkerhedspolitikker, regler og procedurer. Dokumentation Digitaliseringscentret skal løbende vurdere dokumentationsbehov for alle væsentlige systemer og it-relaterede forretningsgange Ændringsstyring Side 18 af 41

23 Ændringsstyring Ved ændringer skal der foregå en gennemgang af sikringsforanstaltninger og integritetskontroller for at sikre, at disse ikke forringes ved implementeringen. Der skal indhentes en formel godkendelse af ændringen, før arbejdet med den går i gang. Forældet systemdokumentation skal arkiveres eller destrueres. Implementeringen af ændringen skal foretages på et aftalt tidspunkt, så den ikke forstyrrer de involverede forretningsydelser. Planlægning, test og godkendelse af ændringer Ændringernes konsekvenser skal vurderes inden drift. Ændringer skal igennem en formaliseret godkendelsesprocedure inden drift. Retningslinier for ændringer Ændringer skal kun gennemføres, når de er forretningsmæssigt velbegrundede. Digitaliseringscentret har ansvaret for, at der foregår en entydig identifikation og registrering af væsentlige ændringer. Digitaliseringscentret har ansvaret for, at der findes en nødprocedure til at mindske effekten af fejlslagne ændringer Funktionsadskillelse Funktionsadskillelse: udvikling, test og drift Der er ingen krav til funktionsadskillelse i forbindelse med udviklingstest- og driftsmiljøer. Sikring af forretningskritiske systemer Forretningskritiske systemer skal sikres gennem etableringen af brugerprofiler for at hindre misbrug af disse Adskillelse mellem udvikling, test og drift Adskillelse af udvikling, test og drift Adskillelse af udviklings- og testmiljø fra driftsmiljø skal opretholdes ved hjælp af adgangskontrol. Migreringsstyring Migrering fra udvikling til produktion skal undergå test og kontrol for at tilsikre driftsniveau, sikkerhedsniveau og brugbarhed inden implementering. Derudover skal godkendt software sikres mod efterfølgende uønskede ændringer. Hvis muligt skal kun objekt-kode, og ikke kildetekster, migreres til produktionssystemer. Sikring af applikationsudviklingsmiljøerne Udviklingsmiljøer skal sikres mod trusler som uautoriseret adgang, ændringer og tab. Data skal sikres efter følsomhedsniveau. Adgang til produktionsdata Systemadministratorers adgang til fortrolige oplysninger skal begrænses. Side 19 af 41

24 10.2 Ekstern serviceleverandør Overvågning og revision af serviceleverandøren Overvågning af serviceleverandøren Digitaliseringscentret skal regelmæssigt overvåge serviceleverandørerne, gennemgå de aftalte rapporter og logninger samt udføre egentlige revisioner for at sikre, at aftalen overholdes, og at sikkerhedshændelser og -problemer håndteres på betryggende vis Styring af driftsmiljøet Kapacitetsstyring Kapacitetsovervågning Alle serversystemer med kritiske informationer skal løbende overvåges for tilstrækkelig kapacitet for at sikre pålidelig drift og tilgængelighed. Kapacitetsplanlægning It-systemernes dimensionering skal afpasses efter kapacitetskrav. Belastning skal overvåges således, at opgradering og tilpasning kan finde sted løbende. Dette gælder især for forretningskritiske systemer Godkendelse af nye eller ændrede systemer Godkendelse af nye eller ændrede systemer Digitaliseringscentret skal etablere en godkendelsesprocedure for nye systemer, for nye versioner og for opdateringer af eksisterende systemer samt de afprøvninger, der skal foretages, inden de kan godkendes og sættes i drift. Sikring af serversystemer Servere skal sikres og testes inden implementering i produktionsmiljøet jvf. kravspec. og designspec Skadevoldende programmer og mobil kode Beskyttelse mod skadevoldende programmer Automatisk indholdsfiltrering Systemerne skal jævnligt scannes for spam- og phishing-mails. Disse mails mv. skal sættes i karantæne automatisk. Adware Adware-beskyttelse baseres på medarbejder-awareness, sikkerhedsindstillinger i internetbrowser, begrænsninger i brugeres muligheder for softwareinstallation samt brug af adware-scannere. Digitaliseringscentret skal sikre, at der regelmæssigt scannes for adware på alle arbejdsstationer. Side 20 af 41

25 Spyware Installation af spyware søges undgået gennem begrænsningerne i muligheder for softwareinstallation. Installation af spyware søges undgået gennem patch-managementprocesser. Digitaliseringscentret skal sikre, at der regelmæssigt scannes for spyware på alle arbejdsstationer. Spam-mail beskyttelse Kommunen bortfiltrerer , er omfattet af kommunens kriterier for spam-mails. Medarbejderne skal udvise forsigtighed med deres brugeridentitet i forbindelse med videregivelse af eksempelvis mailadresser, samt i forbindelse med modtagelsen af uønskede s. Antivirus-produkter på servere Der skal være installeret antivirus-beskyttelse på alle serversystemer, hvor dette er muligt og hensigtsmæssigt Sikkerhedskopiering Sikkerhedskopiering Sikkerhedskopiering af data på serversystemer Digitalieringscentret er ansvarlig for opbevaring og sikkerhedskopiering af alle forretningskritiske informationer på serversystemer. Opbevaring af sikkerhedskopier på ekstern lokation Datamedier til retablering af forretningskritiske systemer skal opbevares på et eksternt opbevaringssted. Nødplaner for sikkerhedskopiering Alle kritiske systemer skal have en nødplan for sikkerhedskopiering, således at risikoen for tab af data minimeres. Overvågning af procedurer for sikkerhedskopiering Muligheden for at retablere data fra backup-systemer skal regelmæssigt aftestes i et testmiljø. Endvidere skal retablering testes efter system- eller proces-ændringer, der kan påvirke backup-rutiner Netværkssikkerhed Netværket Sikring af netværk Digitaliseringscentret har det overordnede ansvar for at beskytte Kommunens netværk. Adgang til trådløse netværk for gæster Gæster, hvis identitet er kendt, kan få en ticket i Digitaliseringscentret til gæstenettet "Internet", forudsat at udstyret ikke generer andre systemer. Gæsters brug af virksomhedens trådløse netværk Netværket kan og må kun anvendes til internetadgang, og ikke til direkte adgang til interne systemer. Side 21 af 41

26 Adgang til trådløse netværk Brugere skal autentificeres, ved hjælp af et certifikat eller ticket, før der gives adgang til virksomhedens trådløse netværk, f.eks. ved hjælp af IEEE 802.1x. Indkommende netværksforbindelser Sikkerhedschefen skal godkende enhver form for indkommende netværksforbindelse fra internet til interne netværk. Tilslutning af udstyr til netværk Medarbejdere og konsulenter må ikke koble udstyr sammen med det interne netværk. Kun Digitaliseringscentret må koble udstyr på det interne netværk. Placering af trådløse netværk Der er ingen restriktioner på placering af trådløst netværksudstyr Brug af trådløse lokalnetværk Brug af trådløse netværk tillades. Trådløse netværk betragtes som usikre, ubeskyttede netværk. Adgang til aktive netværksstik Adgang til aktive netværksstik skal styres af Digitaliseringscentret. Firewall-funktioner på servere Alle servere skal benytte firewalls til at sikre, at der kun gives adgang til nødvendige services Netværkstjenester Netværksleverandøren skal kunne levere: De nødvendige teknologiske muligheder for autentifikation, kryptering og overvågning. De nødvendige tekniske opsætninger til at sikre opkoblinger i overensstemmelse med samarbejdsaftalen. Adgangskontrol, der sikrer mod uvedkommendes adgang Databærende medier Bærbare datamedier Brug af datamedier Benyttelse af bærbare datamedier skal være forretningsmæssigt begrundet Beskyttelse af datamediers indhold Beskyttelse af følsomme og fortrolige data på datamedier Systemejere skal etablere procedurer, der sikrer datamediers indhold mod uautoriseret adgang og misbrug af mediernes indhold. Udskrivning Printere som benyttes til udskrivning af fortrolige eller personhenførbare informationer skal have en adgangskodefunktion eller tilsvarende, der sikrer, at kun de rette medarbejdere får adgang til udskrifterne. Side 22 af 41

27 Beskyttelse af systemdokumentation Beskyttelse af systemdokumentation Digitaliseringscentret skal opbevare systemdokumentation passende sikkert. Lagring og adgangsrettigheder til systemdokumentation Systemdokumentation opbevares i mindst 5 år Informationsudveksling Informationsudvekslingsretningslinjer og -procedurer Procedurer for informationsudveksling Digitaliseringschefen har ansvaret for, at der foreligger retningslinier og procedurer for enhver form for elektronisk informationsudveksling. Udskrivning Printere som benyttes til udskrivning af fortrolige eller personhenførbare informationer skal have en adgangskodefunktion eller tilsvarende, der sikrer, at kun de rette medarbejdere får adgang til udskrifterne. Brug af kryptering i forbindelse med dataudveksling Det kræves, at og data, der indeholder fortrolige informationer og personfølsomme data, altid er krypteret med digitalt certifikat eller sendes via dokumentboks. Udlevering af fortrolige informationer og oplysninger Fortrolige informationer og oplysninger må udleveres, hvis der foreligger underskrevne fortrolighedsaftaler. Personhenførbare og fortrolige oplysninger må kun udleveres til bemyndigede personer Aftaler om informationsudveksling Aftaler om informationsudveksling Ved udveksling af information og software imellem virksomheden og evt. tredjepart, skal der foreligge en aftale herom Elektronisk post og dokumentudveksling Elektronisk udveksling af post og dokumenter Hvis bruges til bindende aftaler, skal de underskrives med en digital signatur. Fortrolig mail med følsomt indhold skal krypteres med godkendt software. Dette gælder især for klassificeret, fortrolig eller følsom persondata, der sendes over internettet. Automatisk indholdsfiltrering Systemerne skal jævnligt scannes for spam- og phishing-mails. Disse mails mv. skal sættes i karantæne automatisk. Side 23 af 41

28 Spam-mail beskyttelse Kommunen bortfiltrerer , er omfattet af kommunens kriterier for spam-mails. Medarbejderne skal udvise forsigtighed med deres brugeridentitet i forbindelse med videregivelse af eksempelvis mailadresser, samt i forbindelse med modtagelsen af uønskede s. Afsendelse af mails til flere modtagere Afsendelse af mails til flere personer skal ske med omtanke. Man må ikke sende kædebreve, spam, chikanebreve rundt Kommunens informationssystemer Integration af informationssystemer Hvis integration af informationssystemer resulterer i en forøget risiko, skal denne vurderes og godkendes af ledelsen Elektroniske forretningsydelser Elektronisk handel Foranstaltninger ved elektronisk handel skal omfatte: Krav til fortrolighed, integritet og uafviselighed for både køber og sælger, f.eks. i forbindelse med kontraktindgåelse. Krav til fortrolighed og integritet for alle købsordrer, betalingsoplysninger, leveringsadresser og kvitteringer. Krav til en sikker og hensigtsmæssig betalingsprocedure. Elektronisk handel Information involveret i elektronisk handel over offentligt netværk skal beskyttes mod svindel, kontraktlige uoverensstemmelser, uautoriseret adgang og ændringer Offentligt tilgængelige informationer Offentlig tilgængelig information Det er driftsleverandørens ansvar, at offentlig tilgængelig information, f.eks. på kommunes web-server(e), er passende beskyttet mod uautoriserede ændringer Logning og overvågning Opfølgningslogning Opbevaring af opfølgningslog Digitaliseringscentret skal opbevare log for sikkerhedshændelser på væsentlige systemer i mindst 3 måneder. Digitaliseringscentret skal opbevare log for fejlhændelser på væsentlige systemer i mindst 3 måneder. Digitaliseringscentret skal opbevare log for brugerhændelser på væsentlige systemer i mindst 3 måneder. Side 24 af 41

Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6

Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6 Indholdsfortegnelse Generelt 3 Formål 3 Omfang 4 It-sikkerhedsniveau 4 Styring 5 Sikkerhedsbevidsthed 6 Brud på it-sikkerheden 6 Anvendelse af politik for it-sikkerhed i praksis 6 Bilag 1. Anvendelse af

Læs mere

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014 Aarhus Kommune IT-sikkerhedspolitik Politik 25-04-2014 Indholdsfortegnelse Politik 1 Indledning 1 Formål 1 Politikkens omfang 2 Ledelsesansvar 2 IT-sikkerhedsorganisationen 2 IT-sikkerhedsniveau 3 IT-sikkerhedshåndbogen

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

Guide til sikker it. Daglig brug Programmer E-mail Internet Databehandling

Guide til sikker it. Daglig brug Programmer E-mail Internet Databehandling Guide til sikker it Daglig brug Programmer E-mail Internet Databehandling Hvilke retningslinjer skal du følge som it-bruger i Hillerød Kommune? Indhold Daglig brug af din computer 4 Computere, programmer

Læs mere

IT-sikkerhedspolitik for

IT-sikkerhedspolitik for Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs

Læs mere

Instrukser for brug af it

Instrukser for brug af it it sikkerhed Instrukser for brug af it Må Skal ikke Kan Januar 2010 Version 1.0 Indhold Forord................................................... 3 Resumé.................................................

Læs mere

It-sikkerhed i Dansk Supermarked

It-sikkerhed i Dansk Supermarked It-sikkerhed i Dansk en kort introduktion It-sikkerhed i Dansk 1 Velkommen som it-bruger i Dansk Kære medarbejder Brug af it er for mange i Dansk en naturlig del af arbejdsdagen. Hvis vi skal sikre vores

Læs mere

Datasikkerhedspolitik

Datasikkerhedspolitik Datasikkerhedspolitik Godkendt i Byrådet den 10.november 2008 1 Datasikkerhedspolitik Indhold 1. Indledning 2. Organisation og ansvarsfordeling 2.1 Ansvarsorganisation for datasikkerhed 2.2 Øverste og

Læs mere

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser INDHOLDSFORTEGNELSE 1. Baggrund og formål... 2 2. Ansvarsfordeling... 2 2.1 Jobcenterchefens ansvar... 2 2.2 Gensidig informationspligt... 3 3. Krav til

Læs mere

Kære medarbejder og leder

Kære medarbejder og leder Kære medarbejder og leder Adgang til informationer i it-systemer og elektronisk kommunikation er for de fleste medarbejdere i Region Hovedstaden en selvfølgelig del af arbejdsdagen. Hvis vi ikke har adgang

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

Standard for informationssikkerhed

Standard for informationssikkerhed Dansk standard DS 484 1. udgave Standard for informationssikkerhed Code of practice for information security management 2005-09-20 DS 484:2005 København DS projekt: M205538 ICS: 35.020; 35.040 Første del

Læs mere

Hvilke retningslinjer skal du følge som bruger i Norddjurs Kommune?

Hvilke retningslinjer skal du følge som bruger i Norddjurs Kommune? Hvilke retningslinjer skal du følge som bruger i Norddjurs Kommune? Som bruger i Norddjurs Kommune er du ansvarlig for det, du foretager dig på din computer og for de oplysninger, som du gemmer. Det betyder,

Læs mere

Faaborg-Midtfyn Kommunes it-sikkerhedspolitik Udkast pr. 26. maj 2009

Faaborg-Midtfyn Kommunes it-sikkerhedspolitik Udkast pr. 26. maj 2009 1. Indledning It-anvendelsen i Faaborg-Midtfyn Kommune skal understøtte kommunens vision. Samtidig ønsker Faaborg- Midtfyn Kommune, at medarbejderne har en bevidst holdning til begrebet it-sikkerhed, hvor

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

It-sikkerhedspolitik for Københavns Kommune

It-sikkerhedspolitik for Københavns Kommune Københavns Kommune Koncernservice It-sikkerhedspolitik for Københavns Kommune 2015-02-05 It-sikkerhedshåndbog for Københavns Kommune It-sikkerhedspolitik for Københavns Kommune Publiceret: 2014-07-03 Mål

Læs mere

IT-SIKKERHEDSPOLITIK UDKAST

IT-SIKKERHEDSPOLITIK UDKAST IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens

Læs mere

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.

Læs mere

Instrukser for brug af dataudstyr ved OUH

Instrukser for brug af dataudstyr ved OUH Skal Kan Må ikke Instrukser for brug af dataudstyr ved OUH Afdelingen for Driftsoptimering og IT Vi er til for borgerne, og bruger dataudstyr for at sikre effektivitet og kvalitet. Vi skal have en høj

Læs mere

Informationssikkerhed Version 2.0 29.09.10

Informationssikkerhed Version 2.0 29.09.10 Informationssikkerhed Version 2.0 29.09.10 Retningslinjer for retablering af systemer og data (Ændringer i forhold til tidligere version er markeret med Understregning) Disse retningslinjer beskriver de

Læs mere

OVERORDNET IT-SIKKERHEDSPOLITIK

OVERORDNET IT-SIKKERHEDSPOLITIK OVERORDNET IT-SIKKERHEDSPOLITIK Indholdsfortegnelse 1. Indledning....3 2. Formål...3 3. Sikkerhedspolitik...3 4. Dækningsormåde...4 5. Sikkerhedsniveau....4 6. Organisation og ansvar...4 7. Opfølgning...5

Læs mere

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09 Aabenraa Kommune Informationspolitik : 2014-04-09 Aabenraa Kommune 29. august 2012 Informationspolitik Overordnet Informationssikkerhedspolitik for Aabenraa Kommune Velkommen til Aabenraa Komune s overordnede

Læs mere

IT Sikkerhedspolitik. for. Tønder kommune

IT Sikkerhedspolitik. for. Tønder kommune Udkast IT Sikkerhedspolitik for Tønder kommune Side 1 af 13 Indhold Version.... 3 Indledning... 4 Formålet med IT Sikkerhedspolitikken.... 4 Hvem er omfattet af IT Sikkerhedspolitikken.... 5 Ansvar og

Læs mere

IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR

IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR 1 HUSK n Adgangskoder må ikke videregives til andre. n Andre må ikke anvende din personlige bruger-id. n Ved mistanke om, at andre har fået kendskab

Læs mere

Informationssikkerhedspolitik for

Informationssikkerhedspolitik for <organisation> 1 Informationssikkerhedspolitik for Indholdsfortegnelse Side 1. Indledning 4 1.1 Formål med informationssikkerhedspolitikken 4 1.2 Hovedmålsætninger i informationssikkerhedspolitikken 4

Læs mere

IT sikkerhedspolitik. for. Fredericia Kommune

IT sikkerhedspolitik. for. Fredericia Kommune IT sikkerhedspolitik for Fredericia Kommune Side 1 af 17 Versionsstyring Versionsnummer Dato for version Ændring Årsag Ansvar 1.00 01.06.2013 Ny politik godkendt i byrådet PerToftdahl Side 2 af 17 Versionsstyring...

Læs mere

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven).

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven). Bilag 6 Databehandleraftale og databehandlerinstruks 1. Leverandøren overholder de til enhver tid gældende regler og forskrifter for behandling af personoplysninger under Kontrakten, herunder: lov nr.

Læs mere

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) 1 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-951-4 0.05.12

Læs mere

IT-retningslinier og sikkerhedspolitik for Viborg Kommunes Skole IT. - gældende for undervisere

IT-retningslinier og sikkerhedspolitik for Viborg Kommunes Skole IT. - gældende for undervisere IT-retningslinier og sikkerhedspolitik for Viborg Kommunes Skole IT - gældende for undervisere August 2009 IT retningslinier og sikkerhedspolitik for Viborg kommunes Skole IT - gældende for undervisere

Læs mere

Informationssikkerhedspolitik for Vejen Kommune

Informationssikkerhedspolitik for Vejen Kommune Informationssikkerhedspolitik for Vejen Kommune Denne politik er godkendt af byrådet d. xx. Og træder i kraft d. xx. Seneste version er tilgængelig på intranettet. Indledning Vejen Byråd fastlægger med

Læs mere

IT-sikkerhedspolitik. for. Gladsaxe Kommune

IT-sikkerhedspolitik. for. Gladsaxe Kommune IT-sikkerhedspolitik for Gladsaxe Kommune INDHOLD 1. IT-sikkerhedspolitik 1.1 Baggrund for IT-sikkerhedspolitikken 2. Begreber og definitioner 3. IT-sikkerhedspolitikken 3.1 Hovedmålsætninger med IT-sikkerhedspolitikken

Læs mere

Retningslinjer om brugeransvar

Retningslinjer om brugeransvar Retningslinjer om brugeransvar April 2015 Movia Design/Mette Malling 04.15. Fotos: Movia Indhold Pas på vores Movia 5 Movias målsætninger 6 Hvem har ansvaret? 8 Fortrolighed 9 Movias omdømme 11 Pas på

Læs mere

Tænk når du taster. kom nærmere

Tænk når du taster. kom nærmere Tænk når du taster kom nærmere Regler for medarbejdernes brug af TDC s pc-arbejdspladser Nedenfor kan du læse om de regler, TDC s Direktion har vedtaget for brugen af koncernens*) pc-arbejdspladser Reglerne

Læs mere

fortrolighed: omfatter en sikring af, at information kun er tilgængelig for personer, som er berettigede

fortrolighed: omfatter en sikring af, at information kun er tilgængelig for personer, som er berettigede Tillæg 3 1 1 IT-sikkerhedspolitik for Ballerup Kommune 1.1 Baggrund for IT-sikkerhedspolitikken Ballerup Kommune anvender på flere områder og i større omfang IT for at leve op til de krav, som borgere,

Læs mere

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet Sammenfatning Denne vejledning adresserer risikoen for industrispionage fra statssponserede aktører i udlandet mod

Læs mere

Service Level Agreement (SLA)

Service Level Agreement (SLA) Service Level Agreement (SLA) vedrørende IT-Backend mellem Gymnasiefællesskabet og Allerød Gymnasium Roskilde Katedralskole Roskilde Gymnasium Himmelev Gymnasium Greve Gymnasium Solrød Gymnasium Køge Gymnasium

Læs mere

It-sikkerhedstekst ST4

It-sikkerhedstekst ST4 It-sikkerhedstekst ST4 Datatransmission af personoplysninger på åbne net Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST4 Version 1 Oktober 2014 Datatransmission af personoplysninger

Læs mere

Sikkerhedsinstruks for IT-brugere hos Randers Kommune. Bilag 1

Sikkerhedsinstruks for IT-brugere hos Randers Kommune. Bilag 1 Sikkerhedsinstruks for IT-brugere hos Randers Kommune Bilag 1 20. marts 2007 Samtlige IT-brugere af Randers kommunes IT skal kende nærværende retningslinier. Retningslinierne vil blive ajourført af IT-sikkerhedslederen,

Læs mere

Studér denne folder for vores sikkerheds skyld

Studér denne folder for vores sikkerheds skyld Studér denne folder for vores sikkerheds skyld Pas på vores værdifulde viden Vi fremskaffer og formidler viden. Elektronisk, skriftligt og mundtligt. Det er Københavns Universitets væsentligste aktivitet

Læs mere

Cirkulære om sikkerhedsforanstaltninger i Kirkenettet

Cirkulære om sikkerhedsforanstaltninger i Kirkenettet Cirkulære om sikkerhedsforanstaltninger i Kirkenettet Cirkulæret omhandler organisatoriske forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af adgangskontrolordninger og autorisationsordninger

Læs mere

Afsnit 1 any.cloud A/S ledelseserklæring. Afsnit 2 any.cloud A/S beskrivelse af hostingydelse og interne kontroller

Afsnit 1 any.cloud A/S ledelseserklæring. Afsnit 2 any.cloud A/S beskrivelse af hostingydelse og interne kontroller Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hostingydelse i perioden 1. maj til 30. november 2013 ISAE 3402, type II any.cloud

Læs mere

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Den finansielle sektor er i dag 100% afhængig af, at it-løsninger er kørende og herudover er sikret i tilfælde af, at noget

Læs mere

Edb-udstyret skal fysisk være beskyttet, så en person der søger at angribe Randers kommunes netværk ikke har uhindret adgang til edb-udstyret.

Edb-udstyret skal fysisk være beskyttet, så en person der søger at angribe Randers kommunes netværk ikke har uhindret adgang til edb-udstyret. Bilag 2 Fysisk sikkerhed 1 Hvorfor fysisk sikkerhed Sikkerheden i et hvert edb-system er grundlæggende afhængigt af, at kravene til den fysiske sikkerhed er opfyldt. Disse krav til fysisk sikkerhed skal

Læs mere

Rammekontraktbilag M. Regulativ for it-sikkerhed

Rammekontraktbilag M. Regulativ for it-sikkerhed Rammekontraktbilag M Regulativ for it-sikkerhed 2 Indholdsfortegnelse Kapitel 1 - Regulativets anvendelsesområde, formål og omfang... 4 Kapitel 2 - Definitioner... 4 Kapitel 3 - Organisatoriske forhold...

Læs mere

Sikkerhedsanbefaling. It-sikkerhed på rejsen

Sikkerhedsanbefaling. It-sikkerhed på rejsen Sikkerhedsanbefaling It-sikkerhed på rejsen Juni 2015 2 It-sikkerhed på rejsen En sikkerhedsanbefaling fra Center for Cybersikkerhed 3 4 Om sikkerhedsanbefalingen Denne sikkerhedsanbefaling fra Center

Læs mere

Sikkerhedsanbefaling. It-sikkerhed på rejsen

Sikkerhedsanbefaling. It-sikkerhed på rejsen Sikkerhedsanbefaling It-sikkerhed på rejsen Juni 2015 It-sikkerhed på rejsen En sikkerhedsanbefaling fra Center for Cybersikkerhed 2 Om sikkerhedsanbefalingen Denne sikkerhedsanbefaling fra Center for

Læs mere

IT-regler gældende for Danmarks Medie- og Journalisthøjskole

IT-regler gældende for Danmarks Medie- og Journalisthøjskole IT-regler gældende for Danmarks Medie- og Journalisthøjskole Retningslinjer for studerende og medarbejdere ved Danmarks Medie- og Journalisthøjskole vedrørende brugen af organisationens IT-ressourcer 1

Læs mere

Retningslinier for brug af it i Aalborg Kommune, tilrettet til lærerbrug

Retningslinier for brug af it i Aalborg Kommune, tilrettet til lærerbrug Retningslinier for brug af it i Aalborg Kommune, tilrettet til lærerbrug Udviklingen på området gør, at disse retningslinier vil blive revideret løbende Indhold: Indledning...3 Adgang til skolens net...3

Læs mere

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer plus revision skat rådgivning TABULEX ISAE 3000 DK ERKLÆRING MARTS 2013 Erklæring fra uafhængig revisor om Tabulex ApS overholdelse af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger

Læs mere

Tabulex ApS. Februar 2011 7. erklæringsår. R, s

Tabulex ApS. Februar 2011 7. erklæringsår. R, s Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2011 7. erklæringsår

Læs mere

ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015

ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015 ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015 Udfordringer mht. persondata eksempler For mange brugere har adgang til

Læs mere

it sikkerhed UCC IT-Sikkerhedspolitik 2011 IT

it sikkerhed UCC IT-Sikkerhedspolitik 2011 IT it sikkerhed UCC IT-Sikkerhedspolitik 2011 IT It-sikkerhedspolitik i UCC It-sikkerhedspolitikken gælder for alle medarbejdere (uanset ansættelsesforhold), studerende og gæster, der anvender UCC s it-resurser.

Læs mere

Arbejdsmiljøguide for Odder Kommune

Arbejdsmiljøguide for Odder Kommune Arbejdsmiljøguide for Odder Kommune 1. Politikker Logpolitik Dok. Nr. 1.12 Version: 1 Niveau: 2 Dato 050508 Side 1 af 9 Logpolitik Formål At fastlægge og beskrive ansvar, pligter og konsekvenser når medarbejdere

Læs mere

Regler. - for sikker brug af Aalborg Kommunes IT

Regler. - for sikker brug af Aalborg Kommunes IT Regler - for sikker brug af Aalborg Kommunes IT For en sikkerheds skyld! Hvorfor regler om IT? - for kommunens og din egen sikkerheds skyld Aalborg Kommune er efterhånden meget digitaliseret og derfor

Læs mere

IT-politik i Trafikselskabet Movia. Version 1.0

IT-politik i Trafikselskabet Movia. Version 1.0 Bestyrelsen den 9. august 2007 Dagsordenens punkt 07 - IT-politik for Movia Bilag 1 IT-politik i Trafikselskabet Movia Version 1.0 Oprettet: 23. januar 2007 CBL / IUa Indholdsfortegnelse Indledning...3

Læs mere

Forskrift G - Diskretionspolitik og procedurer omkring datasikkerhed

Forskrift G - Diskretionspolitik og procedurer omkring datasikkerhed Forskrift G - Diskretionspolitik og procedurer omkring datasikkerhed December 2007 Rev. 1 Nov. 2006 Nov. 2006 Jan. 2007 Jan. 2007 DATE LEG BCM/MRP LEG LSO NAME Nov. 2006 DATE HEP/LEG NAME REV. DESCRIPTION

Læs mere

Personalehåndbog. Personalehåndbogens målsætning. 1. Vores historie. 2. Mission 3. Vision 4. Værdigrundlag 5. Organisationen.

Personalehåndbog. Personalehåndbogens målsætning. 1. Vores historie. 2. Mission 3. Vision 4. Værdigrundlag 5. Organisationen. Personalehåndbog Personalehåndbogens målsætning Strategi og mål m.m. 1. Vores historie. 2. Mission 3. Vision 4. Værdigrundlag 5. Organisationen Bestyrelse 1 Organisationsdiagram 6. Vores målsætning Politikker

Læs mere

frcewtfrhousf(wpers ml

frcewtfrhousf(wpers ml frcewtfrhousf(wpers ml PricewaterhouseCoopers Statsautoriseret Revisionsaktieselskab Nobelparken Jens Chr. Skous Vej I 8000 Árhus C www.pwc.dk Telefon 89 32 00 00 Telefax 89 32 00 IO Erklæring vedrørende

Læs mere

Uddybende it-sikkerhedsregler

Uddybende it-sikkerhedsregler Københavns Kommune Koncernservice Uddybende it-sikkerhedsregler 2015-02-05 Indholdsfortegnelse 6 Organisering af it-sikkerhed 6.1 Interne organisatoriske forhold 6.2 Organisering af aftaler med eksterne

Læs mere

Online Banking Sikkerhedsvejledning PC-baseret version

Online Banking Sikkerhedsvejledning PC-baseret version Sikkerhedsvejledning PC-baseret version Indhold Introduktion til Sikkerhedsvejledningen...3 Sikkerhedsvejledningen...3 Sikker brug af internettet...3 Sikkerhedsløsninger i...3 Hvad er sikkerhed i?...4

Læs mere

Databehandleraftale. Der er indgået denne Databehandlingsaftale ("Aftale") mellem

Databehandleraftale. Der er indgået denne Databehandlingsaftale (Aftale) mellem Oktober 2014 Sagsnr. 013928-0190 cen/dla Databehandleraftale Der er indgået denne Databehandlingsaftale ("Aftale") mellem Fredericia Kommune Gothersgade 20 7000 Frdericia CVR-nr.: 69116418 ("Kommunen")

Læs mere

Hjemmearbejdspladser

Hjemmearbejdspladser Hjemmearbejdspladser Vejledning om it-sikkerhed på pc-hjemmearbejdspladser September 2007 ITEK og Dansk Industri Udgivet af: ITEK og Dansk Industri Redaktion: Henning Mortensen og Rasmus Aasted ISBN: 87-7353-662-8

Læs mere

Uddybende it-sikkerhedsregler

Uddybende it-sikkerhedsregler Københavns Kommune Koncernservice Uddybende it-sikkerhedsregler 2015-04-29 Indholdsfortegnelse 6 Organisering af it-sikkerhed 6.1 Interne organisatoriske forhold 6.2 Organisering af aftaler med eksterne

Læs mere

Torben Waage www.kromannreumert.com/insights. Partner

Torben Waage www.kromannreumert.com/insights. Partner Torben Waage IT-SIKKERHEDEN SKAL OP PÅ LEDELSESNIVEAU Hvert år bliver der brugt milliarder af kroner på at beskytte digitale aktiver, så fortrolige informationer undgår at finde vej til offentligheden.

Læs mere

Indstilling Master i IT-sikkerhed. Jette Lundin it-vest leder på Handelshøjskolen Lektor på IFI

Indstilling Master i IT-sikkerhed. Jette Lundin it-vest leder på Handelshøjskolen Lektor på IFI Indstilling Master i IT-sikkerhed Jette Lundin it-vest leder på Handelshøjskolen Lektor på IFI Baggrund Med it i alting, Supply Change Management, netværksorganisationer og med systemer sammensat af kommunikerende

Læs mere

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup.

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. Front-safe A/S Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup. April 2011 5. erklæringsår R, s Kalvebod Brygge 45, 2., 1560 København

Læs mere

Informationssikkerhedshåndbog

Informationssikkerhedshåndbog Aarhus Universitet Informationssikkerhedshåndbog Regler 1.0.4 13-10-2011 Indholdsfortegnelse Politik 2 Rektors forord 2 Informationssikkerhedspolitik - Aarhus Universitet 3 Regler 8 Indledning 8 1. Organisation

Læs mere

IT-politikkens sikkerhedsområde i Trafikselskabet Movia

IT-politikkens sikkerhedsområde i Trafikselskabet Movia Bestyrelsen den 9. august 2007 Dagsordenens punkt 07 IT-politik for Movia Bilag 2 IT-politikkens sikkerhedsområde i Trafikselskabet Movia Version 1.0 15. januar 2007 CBL / SCE-IUa Indholdsfortegnelse INDLEDNING...

Læs mere

Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk

Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk 9. april 2013 Dokumentnr.: CKG Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk Indhold: 1. Organisation...2 2. Serviceydelser...3 3. Teknik...6 4. Gældende regler...9 1/9 1. Organisation

Læs mere

Online Banking Sikkerhedsvejledning Internet-version

Online Banking Sikkerhedsvejledning Internet-version Online Banking Sikkerhedsvejledning Internet-version Indhold Introduktion til Sikkerhedsvejledningen... 2 Sikkerhedsvejledningen... 2 Sikker brug af internettet... 2 Sikkerhedsløsninger i Online Banking...

Læs mere

Risikovurdering og beredskab. 26. April 2010 Præsenteret af Marianne Bo Krowicki

Risikovurdering og beredskab. 26. April 2010 Præsenteret af Marianne Bo Krowicki Risikovurdering og beredskab 26. April 2010 Præsenteret af Marianne Bo Krowicki Det kan gå så gruelig galt En medarbejder blev bortvist i fredags. Brikken blev deaktiveret, og bruger-log-on blokeret, men

Læs mere

Regulativ for it-sikkerhed i Københavns Kommune

Regulativ for it-sikkerhed i Københavns Kommune Regulativ for it-sikkerhed i Københavns Kommune 2013 2. I medfør af 5 i Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som

Læs mere

Risikovurdering Gartneriet PKM

Risikovurdering Gartneriet PKM DM091 - Gruppe 1 Risikovurdering Gartneriet PKM Udarbejdet af: Andreas Harder, Morten Knudsen Lars Vendelbo & Kresten Østerby Indledning Gartneriet PKM producerer på årlig basis ca. 20 millioner planter,

Læs mere

TAVSHEDSPLIGT OG VIDEREGIVELSE AF OPLYSNINGER

TAVSHEDSPLIGT OG VIDEREGIVELSE AF OPLYSNINGER TAVSHEDSPLIGT OG VIDEREGIVELSE AF OPLYSNINGER Reglerne om tavshedspligt og videregivelse af fortrolige oplysninger har stor praktisk betydning, da vi som medarbejdere i kommunen behandler mange personfølsomme

Læs mere

Risikostyring ifølge ISO27005 v. Klaus Kongsted

Risikostyring ifølge ISO27005 v. Klaus Kongsted Risikostyring ifølge ISO27005 v. Klaus Kongsted Agenda Dubex A/S Formålet med risikovurderinger Komponenterne Risikovurderinger Dubex A/S fakta og værdier Den førende sikkerhedspartner De bedste specialister

Læs mere

NSP Servicevilkå r for Indirekte GW LEVERANDØR

NSP Servicevilkå r for Indirekte GW LEVERANDØR NSP Servicevilkå r for Indirekte GW LEVERANDØR Parter Denne aftale om at anvende den Nationale Serviceplatform (NSP) er indgået mellem Statens Serum Institut (SSI) v/national Sundheds-it (NSI) som systemansvarlig

Læs mere

WWI A/S Indholdsfortegnelse

WWI A/S Indholdsfortegnelse Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med leverance af Hosted Desktop og hosting-infrastrukturydelser i perioden 1.

Læs mere

Hvad du søgte efter Identiteten på det websted, du besøgte umiddelbart før vores websted (henvisende websted).

Hvad du søgte efter Identiteten på det websted, du besøgte umiddelbart før vores websted (henvisende websted). Brugervilkår og andre gode ting, som du bør vide for at være sikker online. Sikkerhed er alles ansvar En del af IKEA ånden er "jeg gør min del, du gør din del, og sammen gør vi en masse." Dette gælder

Læs mere

Cloud Computing De juridiske aspekter

Cloud Computing De juridiske aspekter Cloud Computing De juridiske aspekter Forskningsnet Konference 2010 Middelfart Advokat Nis Peter Dall Hvad er Cloud? IaaS (Infrastructure as a Service) - Computerkraft, lagerplads mv. stilles til rådighed

Læs mere

Sådan håndterer Danish Crown sin industrielle IT-sikkerhed

Sådan håndterer Danish Crown sin industrielle IT-sikkerhed Sådan håndterer Danish Crown sin industrielle IT-sikkerhed DAU d. 7 marts 2013 CV Firma : Navn : Afdeling : Titel : Alder : Danish Crown A/S Thomas Page Pedersen Factory IT Afdelingschef 43 år Danish Crown

Læs mere

It-sikkerhedstekst ST7

It-sikkerhedstekst ST7 It-sikkerhedstekst ST7 Overdragelse af faktorer ved udstedelse af et personligt login til en identificeret fysisk Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST7 Version 1 Februar

Læs mere

Sikker. Inform. Informationssikkerhedspolitik og regler Version 2.0. Informationssikkerhed

Sikker. Inform. Informationssikkerhedspolitik og regler Version 2.0. Informationssikkerhed Sikker Inform hed ations Informationssikkerhed Informationssikkerhedspolitik og regler Version 2.0 Dataklassifikation: Offentlig Aarhus Unversitet 2013 Aarhus Universitet 2013 Indholdsfortegnelse Rektors

Læs mere

NemHandel i cloud - sikkerhedsmæssige overvejelser. Helle Schade-Sørensen IT og Telestyrelsen

NemHandel i cloud - sikkerhedsmæssige overvejelser. Helle Schade-Sørensen IT og Telestyrelsen NemHandel i cloud - sikkerhedsmæssige overvejelser Helle Schade-Sørensen IT og Telestyrelsen Agenda Lidt om NemHandel Rationalet for valg af cloud Overvejelser vedr. sikkerhed Løsning og erfaringer indtil

Læs mere

Databehandleraftale 2013

Databehandleraftale 2013 Databehandleraftale 2013 For kunder, som anvender hostede/saas INNOMATE HR løsninger 1, forpligter INNOMATE a/s sig på følgende Databehandleraftale: 1. I overensstemmelse med Persondataloven, er INNOMATE

Læs mere

LÆS VENLIGST VILKÅRENE OMHYGGELIGT, FØR DU BRUGER DENNE HJEMMESIDE.

LÆS VENLIGST VILKÅRENE OMHYGGELIGT, FØR DU BRUGER DENNE HJEMMESIDE. LÆS VENLIGST VILKÅRENE OMHYGGELIGT, FØR DU BRUGER DENNE HJEMMESIDE. BRUGSVILKÅR FOR HJEMMESIDE Disse brugsvilkår angiver sammen med de øvrige retningslinjer, som der heri henvises til vilkårene for brug

Læs mere

Greve Kommune. It-sikkerhedspolitik. 6. Udkast november 2010

Greve Kommune. It-sikkerhedspolitik. 6. Udkast november 2010 Greve Kommune It-sikkerhedspolitik 6. Udkast november 2010 Indhold 1. Introduktion til it-sikkerhedspolitikken... 5 Baggrund... 5 Formål... 5 Gyldighed og omfang... 6 2. Organisation og ansvar... 6...

Læs mere

ISO27001 og klassifikation Case Dubex A/S. 14. maj 2012 Jacob Herbst jhe@dubex.dk

ISO27001 og klassifikation Case Dubex A/S. 14. maj 2012 Jacob Herbst jhe@dubex.dk ISO27001 og klassifikation Case Dubex A/S 14. maj 2012 Jacob Herbst jhe@dubex.dk Agenda Dubex A/S Hvorfor en ISO27001 certificering? Sikkerhedshåndbogen Dubex dataklassifikation Klassifikation i praksis

Læs mere

Oversigt (indholdsfortegnelse)

Oversigt (indholdsfortegnelse) Oversigt (indholdsfortegnelse) Kapitel 1 - Almindelige bestemmelser Kapitel 2 - Generelle sikkerhedsbestemmelser Kapitel 3 - Supplerende sikkerhedsforanstaltninger for anmeldelsespligtige behandlinger

Læs mere

Punkt 9 - bilag 3. Vejledning vedr. brug af Cisco Jabber

Punkt 9 - bilag 3. Vejledning vedr. brug af Cisco Jabber Punkt 9 - bilag 3 vedr. brug af Cisco Jabber Region Sjælland 2014 INDHOLD 1. Organisation & Ansvar 2. Juridiske aspekter 3. Generel brug af Cisco Jabber Tilgængelighed Chat Skærmdeling Videosamtale Virtuelle

Læs mere

Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S. Sendt til: mt@etikportalen.dk

Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S. Sendt til: mt@etikportalen.dk Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S Sendt til: mt@etikportalen.dk 14. marts 2013 Vedrørende behandling af personoplysninger hos Etik Portalerne ApS Datatilsynet Borgergade 28,

Læs mere

Regionernes politiske linje for informationssikkerhed

Regionernes politiske linje for informationssikkerhed Regionernes politiske linje for informationssikkerhed 1 / SUNDHEDSDATA I TRYGGE HÆNDER / Danske Regioner 2015 Regionernes politiske linje for informationssikkerhed Danske Regioner 2015 Layout: UHI, Danske

Læs mere

Dokumenthåndtering E-post Internet Virus Lagringsmedier Brugerrettigheder. Sikkerhed I BIRKERØD KOMMUNE

Dokumenthåndtering E-post Internet Virus Lagringsmedier Brugerrettigheder. Sikkerhed I BIRKERØD KOMMUNE Dokumenthåndtering E-post Internet Virus Lagringsmedier Brugerrettigheder IT Sikkerhed I BIRKERØD KOMMUNE 1 Sikker IT i Birkerød Kommune Indhold 4 Regler & retningslinier for IT-brugere i Birkerød Kommune

Læs mere

Udgivet af DANSK ERHVERV

Udgivet af DANSK ERHVERV GODE RÅD OM Internet og e-mail 2008 gode råd om INTERNET OG E-MAIL Udgivet af DANSK ERHVERV Læs i denne pjece om: Indholdsfortegnelse 1. Indledning 3 2. Retningslinjer 3 3. Privat brug af Internet og e-mail

Læs mere

Revision. Skat. Rådgivning.

Revision. Skat. Rådgivning. Forundersøgelse af modenhedsog sikkerhedsniveauet inden for cyber- og nssikkerhed blandt danske el- og naturgasselskaber Rapport 20. maj 2015 Revision. Skat. Rådgivning. Indhold Slide Indledning 3 Om spørgeskemaundersøgelsen

Læs mere

Faxe Kommune Revision af generelle itkontroller

Faxe Kommune Revision af generelle itkontroller Faxe Kommune Revision af generelle itkontroller 2012 August 2013 Ib Østergaard Rasmussen Faxe Kommune Frederiksgade 9 4690 Haslev 13. august 2013 Formål Vi har i juli/august måned 2013 foretaget revision

Læs mere

Tlf: 39 15 52 00 koebenhavn@bdo.dk www.bdo.dk HUMAN TIME A/S

Tlf: 39 15 52 00 koebenhavn@bdo.dk www.bdo.dk HUMAN TIME A/S Tlf: 39 15 52 00 koebenhavn@bdo.dk www.bdo.dk BDO Statsautoriseret revisionsaktieselskab Havneholmen 29 DK-1561 København V CVR-nr. 20 22 26 70 HUMAN TIME A/S ISAE 3000-ERKLÆRING PR 1. JUNI 2012 OM BESKRIVELSEN

Læs mere

Persondataloven og sundhedsvidenskabelige forskningsprojekter

Persondataloven og sundhedsvidenskabelige forskningsprojekter Persondataloven og sundhedsvidenskabelige forskningsprojekter Fuldmægtig Signe Astrid Bruun Fuldmægtig Martin Nybye-Petersen Datatilsynet 9. januar 2014 Dagens Program Datatilsynets struktur og arbejdsopgaver

Læs mere

Sotea ApS CVR nr.: DK 10085225

Sotea ApS CVR nr.: DK 10085225 Uafhængig revisors erklæring med sikkerhed om beskrivelsen af kontroller, deres udformning og funktionalitet i forbindelse med hostingydelse i perioden 01-08-2014 til 31-01-2015 Sotea ApS CVR nr.: DK 10085225

Læs mere

Vejledning IT- og Telestyrelsen København den 21. februar 2008

Vejledning IT- og Telestyrelsen København den 21. februar 2008 ejledning IT- og Telestyrelsen København den 21. februar 2008 FESD-standardisering Sikkerhedsvejledning i henhold til DS 484 ersion 1.0 Kolofon: FESD-standardisering. Sikkerhedsvejledning i henhold til

Læs mere