Albertslund Kommune. Albertslund. Samlet politik Virksomhedens samlede it-sikkerhedshåndbog 1.0

Størrelse: px
Starte visningen fra side:

Download "Albertslund Kommune. Albertslund. Samlet politik Virksomhedens samlede it-sikkerhedshåndbog 1.0"

Transkript

1 Albertslund Kommune Albertslund Samlet politik Virksomhedens samlede it-sikkerhedshåndbog

2 Indholdsfortegnelse Politik 2 Indledning 2 Overordnet Informationssikkerhedspolitik for Albertslund Kommune 2 Mål 2 Vores holdninger og principper 2 Rammer og gyldighed 3 Opfølgning 3 Godkendt 4 Regler 5 4 Risikovurdering og -håndtering Vurdering af sikkerhedsrisici 5 5 Overordnede retningslinier Informationssikkerhedsstrategi Formulering af informationssikkerhedspolitik Løbende vedligeholdelse 5 6 Organisering af data og informationssikkerhed Interne organisatoriske forhold Ledelsens rolle Koordinering af informationssikkerhed Ansvarsplacering Godkendelsesprocedure ved anskaffelser Tavshedserklæringer Fagligt samarbejde med grupper og organisationer Eksterne samarbejdspartnere Identifikation af risici i forbindelse med eksternt samarbejde Sikkerhedsforhold i relation til leverandører Samarbejdsaftaler 11 7 Styring af informationsrelaterede aktiver Identifikation af og ansvar for informationsrelaterede aktiver Fortegnelse over informationsaktiver Ejerskab Accepteret brug af netværket 12 8 Medarbejdersikkerhed Ansættelsesforholdet 15 Uddannelse Sanktioner Ansættelsens ophør Ansvar ved ansættelsens ophør Returnering af aktiver 15 9 Fysisk sikkerhed Sikre områder Fysisk afgrænsning Fysisk adgangskontrol Sikring af kontorer, lokaler og udstyr Beskyttelse mod eksterne trusler Arbejdsmæssige forhold i sikre områder Områder til af- og pålæsning med offentlig adgang Beskyttelse af udstyr Placering af udstyr Forsyningssikkerhed Sikring af kabler Udstyrs og anlægs vedligeholdelse Sikring af udstyr uden for virksomhedens overvågning Fjernelse af Kommunens informationsaktiver 18

3 10 Styring af netværk og drift Operationelle procedurer og ansvarsområder Driftsafviklingsprocedurer Ændringsstyring Funktionsadskillelse Adskillelse mellem udvikling, test og drift Ekstern serviceleverandør Overvågning og revision af serviceleverandøren Styring af driftsmiljøet Kapacitetsstyring Godkendelse af nye eller ændrede systemer Skadevoldende programmer og mobil kode Beskyttelse mod skadevoldende programmer Sikkerhedskopiering Sikkerhedskopiering Netværkssikkerhed Netværket Netværkstjenester Databærende medier Bærbare datamedier Beskyttelse af datamediers indhold Beskyttelse af systemdokumentation Informationsudveksling Informationsudvekslingsretningslinjer og -procedurer Aftaler om informationsudveksling Elektronisk post og dokumentudveksling Kommunens informationssystemer Elektroniske forretningsydelser Elektronisk handel Offentligt tilgængelige informationer Logning og overvågning Opfølgningslogning Overvågning af systemanvendelse Fejllog Tidssynkronisering Adgangsstyring Krav til adgangsstyring Retningslinjer for adgangsstyring Administration af brugeradgang Registrering af brugere Udvidede adgangsrettigheder Adgangskoder Periodisk gennemgang af brugernes adgangsrettigheder Brugerens ansvar Brug af adgangskoder Uovervåget udstyr Beskyttelse af datamedier på den personlige arbejdsplads I tilfælde af mistanke om misbrug Styring af netværksadgang Retningslinjer for brug af netværkstjenester Autentifikation af brugere med ekstern netværksforbindelse Opdeling af netværk Rutekontrol i netværk Styring af systemadgang Sikker log-on Identifikation og autentifikation af brugere Styring af adgangskoder Brug af systemværktøjer Automatiske afbrydelser 30

4 11.7 Mobilt udstyr og fjernarbejdspladser Mobilt udstyr og datakommunikation Fjernarbejdspladser Anskaffelse, udvikling og vedligeholdelse af 31 informationsbehandlingsystemer 12.1 Sikkerhedskrav til informationsbehandlingssystemer Analyse og specifikation af krav til sikkerhed Korrekt informationsbehandling Validering af inddata Kryptografi Retningslinjer for brugen af kryptering Styring af driftsmiljøet Sikkerhed ved systemtekniske filer Sikring af testdata Sikkerhed i udviklings- og hjælpeprocesser Ændringsstyring Teknisk gennemgang af forretningssystemer efter ændringer i styresystemerne Begrænsninger i ændringer til standardsystemer Lækage af informationer Sårbarhedsstyring Sårbarhedssikring Styring af sikkerhedshændelser Rapportering af sikkerhedsbrud og svagheder Rapportering af sikkerhedsbrud Rapportering af svagheder Håndtering af sikkerhedsbrud og forbedringer Ansvar og forretningsgange At lære af sikkerhedsbrud Beredskabsstyring Beredskabstyring og informationssikkerhed Beredskab og risikovurdering Udarbejdelse og implementering af beredskabsplaner Rammerne for beredskabsplanlægningen Afprøvning, vedligeholdelse og revurdering af beredskabsplaner Overensstemmelse med lovbestemte og kontraktlige krav Overensstemmelse med lovbestemte krav Identifikation af relevante eksterne krav Ophavsrettigheder Sikring af kommunes kritiske data Beskyttelse af personoplysninger Beskyttelse mod misbrug af informationsbehandlingsfaciliteter Overensstemmelse med sikkerhedspolitik og -retningslinier Overensstemmelse med virksomhedens sikkerhedsretningslinjer Beskyttelsesforanstaltninger ved revision af informationsbehandlingssystemer Sikkerhed i forbindelse med systemrevision Beskyttelse af revisionsværktøjer 39 Procedurer 40 Skadelige programmer 40 Sådan skal antivirus installeres og opdateres på servere 40 Sådan skal antivirus installeres og opdateres på arbejdsstationer 40 Adgangskoder 40 Sådan skifter du din adgangskode 40 Brug af 40 Sådan underskriver du med digital signatur 40 Software-installation 40 Installation af standard pc 40 Følgende software må installeres på standard-pc 40

5 Sikkerhedskopiering af data 41 Sådan laver du backup af din bærbare pc 41 Adgang til virksomhedens netværk 41 Oprettelse af ny bruger 41 Kryptering 41 Sådan underskriver du med digital signatur 41 Håndtering af hændelser 41 Rapportering af hændelser eller formodede hændelser 41

6 Politik Indledning Dette dokument beskriver Albertslund Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en løbende risikovurdering, grundlaget for sikker anvendelse af informationsteknologi i Albertslund Kommune. Overordnet Informationssikkerhedspolitik for Albertslund Kommune Mål Albertslund Kommune gennemfører alle nødvendige aktiviteter for at sikre: Tilgængelighed: At opnå en høj tilgængelighed med høje oppetider og minimeret risiko for nedbrud. Integritet: At opnå en pålidelig og korrekt funktion af informationssystemerne med minimeret risiko for ukorrekt datagrundlag, f.eks. som følge af menneskelige og systemmæssige fejl eller udefrakommende hændelser. Fortrolighed: At etablere mulighed for fortrolig behandling, transmission og opbevaring af data, hvor kun autoriserede og autentificerede brugere har adgang. Vores holdninger og principper Behandling af data til dannelse af information er af grundlæggende betydning for de opgaver, der udføres i Albertslund Kommune, og for den service, som ydes over for borgerne. Behandling af data, som indgår i forskellige informationssystemer, skal derfor ske på den mest betryggende måde af hensyn til borgernes retssikkerhed, kommunens troværdighed og af hensyn til de opgaver, der vedblivende skal løses på den mest hensigtsmæssige og rationelle måde. IT-sikkerhedspolitikken har til formål at sikre data og informationer både i forhold til tekniske sikkerhedsforanstaltninger såvel som i forhold til alle ansattes håndtering af data i forbindelse med de daglige arbejdsopgaver. Det ledelsesmæssige ansvar består derfor i fortsat at bevare, styre og forbedre behandlingen af data og informationssystemer med henblik på at tilvejebringe de bedst tænkelige tekniske løsninger inden for rammerne af de vedtagne budgetter samt at sikre de nødvendige ITkompetencer hos medarbejderne for at kunne løse de arbejdsmæssige opgaver professionelt og adfærdsmæssigt i overensstemmelse med lovgivningsmæssige krav. Formålet med IT-sikkerhedspolitikken er dermed at tilkendegive over for borgere, virksomheder og andre offentlige myndigheder, at behandling af data sker på baggrund af besluttede procedurer og retningslinjer. Side 2 af 41

7 IT-sikkerhedspolitikken angiver samtidig over for alle ansatte rammerne for den daglige administrative praksis, som Albertslund Kommune forventer efterlevet. På baggrund af IT-sikkerhedspolitikken sker der en gang årligt (i 3. kvartal) revision af procedurer og retningslinjer for databehandling med henblik på at: Forebygge sikkerhedsproblemer Forebygge/afsløre misbrug Begrænse skader Reetablere informationer Skabe gennemsigtighed i forvaltningen Sikre kvalitet og validitet i forhold til data Sikre borgerne korrekt information og oplysning Rammer og gyldighed IT-sikkerhedspolitikken gælder for alle fastansatte, for alle som midlertidigt arbejder for Albertslund Kommune samt for politikere og samarbejdspartnere, som på den ene eller anden måde deltager i behandling af data. IT-sikkerhedspolitikken omfatter alle data og informationer, dvs. data i form af ord, billeder, lyd mm., som lagres elektronisk. IT-sikkerhedspolitikken omfatter endvidere ikke-elektronisk lagrede data, når disse er dannet på grundlag af elektroniske data, fx i form af uddatamateriale.data og informationer defineres som data og informationer, der tilhører Albertslund Kommune. Herudover defineres det også som informationer, der ikke tilhører kommunen, men som Albertslund Kommune kan gøres ansvarlig for. Dette inkluderer fx alle data og informationer om personale, alle data og informationer, som bidrager til administrative rutiner, samt informationer, som er overladt Albertslund Kommune af andre. Opfølgning Det er målet at beskytte data og informationer og udelukkende tillade adgang og behandling af data og informationer i overensstemmelse med Albertslund Kommunes interesser og under hensyntagen til den til enhver tid gældende lovgivning samt god dataforvaltningsskik. Albertslund Kommune fastlægger på baggrund af en risiko- og konsekvensanalyse et sikkerhedsniveau som svarer til betydningen af den pågældende IT-anvendelse. Det er målet at etablere det fornødne beredskab til at imødekomme skader, tab mm. i forhold til data og informationer på baggrund af risikoanalysen under hensyntagen til de eksisterende økonomiske ressourcer. Det fornødne beredskab ajourføres i en løbende proces. Side 3 af 41

8 Godkendt Denne politilk er vedtaget af Albertslund Kommunes direktørgruppe den dd. mmmm åååå Side 4 af 41

9 Regler 4 Risikovurdering og -håndtering 4.1 Vurdering af sikkerhedsrisici Risikoanalyse Der skal udarbejdes en detaljeret risikoanalyse for alle forretningskritiske systemer. Overordnet risikovurdering Der skal være udført en overordnet risikovurdering af trusselsbilledet for kommunen. Der skal være udført en overordnet risikovurdering, der indeholder konsekvensvurdering og sårbarhedsvurdering. Risikovurderingen skal opdateres en gang om året og ved implementering af nye kritiske syster Der skal gennemføres en bredt funderet risikovurdering med revurdering, der dækker hele organisationen. Målet er at sikre at sårbarheder, trusler og konsekvenser er kendte, og at deres sammenhæng afspejles i organisationens risikoprofil. Risikovurderingen skal omfatte alle væsentlige it-systemer. 5 Overordnede retningslinier. 5.1 Informationssikkerhedsstrategi Formulering af informationssikkerhedspolitik Godkendelse af sikkerhedspolitik Sikkerhedspolitikken skal godkendes af direktørgruppen. Definition på it-sikkerhed Informationssikkerhed defineres som de samlede foranstaltninger til at sikre fortrolighed, tilgængelighed og integritet. Foranstaltninger inkluderer tekniske, proceducemæssige, lov- og regelmæssige kontroller. Vedligeholdelse af sikkerhedspolitik Organisationens sikkerhedspolitikker, regler, procedurer og tilhørende dokumentation skal vedligeholdes af den it-sikkerhedsansvarlige Løbende vedligeholdelse Løbende vedligeholdelse af informationssikkerhedspolitik Revision af sikkerhedspolitik Der skal ske revision af sikkerhedspolitikken mindst hvert andet år. Side 5 af 41

10 6 Organisering af data og informationssikkerhed Placering af ansvar er vitalt for at sikre opmærksomhed på kommunens data og informationsaktiver. Organisationsstrukturen i kommunen og samarbejde med leverandører og samarbejdspartnere er vigtig for at opretholde et tidssvarende sikkerhedsniveau. 6.1 Interne organisatoriske forhold Ledelsens rolle Ledelsens rolle Ledelsen skal støtte virksomhedens informationssikkerhed ved at udlægge klare retningslinier, udvise synligt engagement samt sikre en præcis placering af ansvar Koordinering af informationssikkerhed Sikkerhedsorganisation Der skal være en separat og veldefineret sikkerhedsfunktion, hvis primære arbejdsopgave er at sikre virksomheden. Koordination af informationssikkerheden Ansvaret for koordination af sikkerheden på tværs i organisationen varetages af kommunens Digitaliseringsforum Ansvarsplacering Sikkerhedsansvar for Kommunaldirektøren Kommunens øverste IT-sikkerhedsansvarlige er ansvarlig for at iværksætte og kontrollere sikkerhedsforanstaltningerne i kommunen på IT-området - fysisk og organisatorisk Kommunaldirektøren er ansvarlig for at udpege en daglig itsikkerhedsansvarlig til at varetage service og overvågningsopgaver i forbindelse med rådgivning omkring behandling af personoplysninger i kommunen samt til at foretage kontrol af overholdelse af itsikkerhedsretningslinjerne. Den daglige sikkerhedsansvarlige Rådgiver kommunaldirektøren og forvaltningsdirektører i alle spørgsmål, der vedrører behandling af persondata og it-sikkerhed. Rådgiver forvaltninger og centre i forbindelse med udvikling af lokal praksis Deltager i instruktion og vidensdeling for medarbejdere i forvaltninger og centre. Holder sig løbende orienteret om lovgivning indenfor behandling af personoplysninger, og anvendelsen af persondata i den kommunale administration. Ansvarlig for opfølgning og revision af ít-sikkerhedspolitikken hvert år. Side 6 af 41

11 It-sikkerhedsudvalgets opgaver Formulere og vedligeholde it-sikkerhedspolitikken og indstille den til videre behandling. At formulere og vedligeholde regler og procedure for sikkerhedsarbejdet. At sikre, at der for data og systemer er udpeget data- og systemejere. At vurdere og sikre gennemførelse af den overordnede uddannelse og information vedrørende it-sikkerheden. At prioritere aktiviteter og indsatsområder på grundlag af indstillig fra itsikkerhedsansvarlig. Sikkerhedsansvar for forvaltningsdirektører og centerchefer Forvaltningsdirektøren er ansvarlig for, at den daglige drift i forvaltningen sker på grundlag af reglerne for god databehandlingsskik samt de gældende IT-sikkerhedsmæssige retningslinier. Forvaltningsdirektører og centerchefer autoriserer brugere i egen forvaltning. Forvaltningsdirektører og centerchefer fører kontrol med, at medarbejdere kun er autoriserede til behandlinger, de har brug for i deres daglige arbejde. Forvaltningsdirektører og centerchefer kontrollerer misbrug og uautoriseret adgang ved begrundet mistanke. Forvaltningsdirektører og centerchefer er ansvarlige for, at behandlinger af data af fortrolig eller privat karakter, anmeldes til Datatilsynet og kan endvidere iværksætte behandlinger, der ikke er anmeldelsespligtige. Det påhviler forvaltningsdirektører og centerchefer at fastsætte regler for opbevaring og tilintetgørelse af ind- og uddata og føre tilsyn med, at de fastsatte regler overholdes. Forvaltningsdirektører og centerchefer er ansvarlige for, at der føres tilsyn med brugernes overholdelse af fastsatte sikkerhedsforanstaltninger. Forvaltningsdirektører og centerchefer er ansvarlige for, at medarbejderne instrueres i gældende procedurer og retningslinjer for itsikkerhed samt at medarbejderne løbende får tilstrækkelig uddannelse inden for it-sikkerhed. Side 7 af 41

12 Sikkerhedsansvar for Digitaliseringschefen Ansvaret for vedligeholdelse af en liste over samtlige informationssystemer. Listen skal angive henholdsvis den sikkerhedsansvarlige data- og systemejer for hvert enkelt system. Kommunens netværk, skal sørge for, at netværket er indrettet, så kommunale data til enhver tid vil kunne rekonstrueres hurtigt og uden væsentlige datatab. At der mindst en gang i døgnet tages sikkerhedskopi af alle arbejdsdata. Der etableres et cyklisk ordning med mulighed for at gå mindst tolv måneder tilbage på månedsbasis. Der lægges en plan for sikkerhedskopieringen gennemførelse. Backup og genindlæsningsrutiner skal testes stikprøvevist mindst en gang om året, eller i forbindelse med omlægning af rutinen. At kommunens netværk altid er forsynet med tidssvarende foranstaltninger mod virus og er forsynet med tidssvarende foranstaltninger imod uautoriseret elektronisk adgang udefra. At yde den fornødne service overfor forvaltningsdirektører m.fl. i forbindelse med den driftsmæssige del af datasikkerheden. At datamedier, der ikke længere anvendes, slettes/destrueres så effektivt, at genskabelse ikke er mulig. Linieledelsens ansvar Informere medarbejdere om it-sikkerhedspolitikken og sikre overholdelse af de sikkerhedsmæssige retningslinjer. Sikre sikkerhedsvurdering af nye systemer inden for området i samarbejde med digitaliseringscentret. Ansvar for opklaringsarbejdet ved sikkerhedsbrud i samarbejde med Digitaliseringscentret. Sikkerhedsansvar for systemejer (linieleder) Den faglige anvendelse af systemet. At der altid er opdaterede stamdata, fx. kontaktoplysninger, for det ejede system. Anmeldelse af system til Datatilsynet og evt. opdatering af anmeldelsen. Arkivering af systemets data i følge Arkivloven. At der udarbejdes en kravspecifikation for enhver systemudvikling og ændring i samarbejde med Digitaliseringscentret. At der udarbejdes en risikovurdering ifht. kravene til systemet. At ændringer i systemer mm. følger retningslinierne jf. Digitaliseringsforum mv. At der ved idriftsætning af systemet foreligger konkrete regler og prcedurer for adgangsforholdene. At autorisere adgangen til systemet iht. retningslinier og at foretage opfølgning og rapportering af sikkerhedsbrud. At Change Management retningslinierne følges ved enhver ændring af systemet. Side 8 af 41

13 Sikkerhedsansvar for dataejer (linieleder) At der udarbejdes en risikovurdering for systemtilknyttede data i samarbejde med digitaliseringscentret. At der inden indrapportering af data i systemer foreligger konkrete regler og procedurer for regulering og administration af adgangsforholdene. At autorisere adgangen til data iht. retningslinierne herfor og foretage opfølgning og rapportering af sikkerhedsbrud. Den enkelte medarbejders ansvar I overensstemmelse med lovgivningen har den enkelte medarbejder adgang til personhenførbare data og informationer udelukkende med relevans for de arbejdsmæssige opgaver, som vedkommende varetager. For at beskytte data og informater mod tab og for at sikre borgerne de størst mulige retssikerhed skal alle ansatte følge it-sikkerhedspolitikkens regler og procedure Godkendelsesprocedure ved anskaffelser Anskaffelsesprocedurer Det skal sikres, at nyanskaffelser ikke giver anledning til konflikt med eksisterende krav i sikkerhedspolitikken. Anskaffelser må ikke give anledning til forøget risiko for sikkerhedshændelser, medmindre ledelsen accepterer den øgede risiko. Ethvert nyt system skal gennemgå detaljeret risikoanalyse, såfremt Digitaliseringschefen og den it-sikkerhedsansvarlige beslutter dette på baggrund af den udførte risikovurdering. Anskaffelse og installation af nyt informationsbehandlingsudstyr og - systemer skal igennem en godkendelsesprocedure og godkendes i Digitaliseringsforum. Specifikation af sikkerhedskrav Såfremt en overordnet risikovurdering retfærdiggør aktiviteten, skal sikkerhedskrav dokumenteres i forbindelse med enhver it-system nyanskaffelse eller it-systemopgradering. Dette gælder både for kundetilpassede- og standardsystemer. Anskaffelser Digitaliseringscentret skal tilse, at kun kendt og sikkert udstyr eller software, med et defineret formål, anskaffes og sættes i drift. Installation af programmer på arbejdsstationer Brugere må installere programmer på Kommunens arbejdsstationer forudsat at Digitaliseringscentret har godkendt leverandøren. Ved en reinstallation af computeren bliver alle lokalt installerede programmer slettet. Side 9 af 41

14 Anmeldelse til Datatilsynet Dataejer er ansvarlig for at foretage anmeldelse af anmeldelsespligtige databehandlinger til Datatilsynet. Der udarbejdes en procedure for anmeldelse af data til Datatilsynet. Hvis behandlinger indeholder oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold, helbredsmæssige eller seksuelle forhold eller strafbare forhold, væsentlige sociale problemer og andre rent private forhold - skal forvaltningen inden anmeldelsen indhente Datatilsynets udtalelse om behandlingen. I forbindelse med anmeldelse til Datatilsynet orienteres den Itsikkerhedsansvarlige. Det er et mål at få registreret alle ikke-anmeldelsespligtige behandlinger i forvaltningerne Tavshedserklæringer Indhold af fortrolighedserklæringerne Definition af de informationer, der er omfattet. En fastlagt løbetid. Beskrivelse af, hvad der skal ske, når aftalen udløber. Fortrolighedserklæring for tredjepart Det skal sikres, at tredjepart, der kan få adgang til virksomhedens data, er omfattet af en fortrolighedserklæring Fagligt samarbejde med grupper og organisationer Information om nye trusler, virus og sårbarheder Digitaliseringscentret skal holde sig orienteret inden for de benyttede platforme. Digitaliseringscentret skal informere relevante personer i ledelsen om nye trusler, som potentielt kan berøre de pågældende forretningsenheder. Digitaliseringscentret skal udpege en gruppe som er ansvarlig for dette område. 6.2 Eksterne samarbejdspartnere Identifikation af risici i forbindelse med eksternt samarbejde Identifikation af brugerprofiler for eksterne brugere Eksterne brugerprofiler skal, gennem konsistent navngivning, være tydeligt adskilt fra fastansatte medarbejderes brugerprofiler. Sikkerhed ved samarbejde med partnere Ved integration af virksomhedens systemer og processer med tredjepart skal sikkerhedsrisici altid vurderes og dokumenteres. Outsourcing-partnere Inden indgåelse af aftaler skal sikkerhedsniveauet ved partneren afklares og sammenlignes med de krav der stilles i sikkerhedspolitikken. Valg af partnere skal godkendes af den sikkerhedsansvarlige. Side 10 af 41

15 6.2.2 Sikkerhedsforhold i relation til leverandører Sikkerhed i forhold til leverandører Før kommunens leverandører må få adgang til virksomhedens informationsbehandlingssystemer, skal alle sikkerhedsforhold være afklaret. Identifikation af brugerprofiler for eksterne brugere Eksterne brugerprofiler skal, gennem konsistent navngivning, være tydeligt adskilt fra fastansatte medarbejderes brugerprofiler Samarbejdsaftaler Tilgængelighedshændelser Hændelser, der har indflydelse på tilgængelighed, skal afklares i henhold til gældende driftsaftaler (SLA). Driftshændelser, der ikke kan afklares inden for aftalt tid, skal udløse procedurer for hændelseshåndtering. De ramte brugere og systemejere skal informeres. Fortrolighedserklæring for tredjepart Det skal sikres, at tredjepart, der kan få adgang til virksomhedens data, er omfattet af en fortrolighedserklæring. 7 Styring af informationsrelaterede aktiver Informationsaktiver skal beskyttes, uanset om det er fysiske aktiver som dokumenter, der er udskrevet, produktionsudstyr eller it-systemer. Det er derfor nødvendigt at identificere, klassificere og placere ejerskab for alle aktiver. 7.1 Identifikation af og ansvar for informationsrelaterede aktiver Fortegnelse over informationsaktiver Administration af internet-domænenavne Ansvaret for registrering af domænenavne ligger hos Digitaliseringschefen. Registrering af it-udstyr Der skal vedligeholdes en fortegnelse over samtlige relevante enheder, som er forbundet til Kommunens it-infrastruktur Ejerskab Ansvar for adgangsrettigheder Systemets ejer har ansvaret for at fastlægge og løbende revurdere adgangsrettigheder i overensstemmelse med kommunens generelle adgangspolitik. Side 11 af 41

16 7.1.3 Accepteret brug af netværket For at sikre anvendelsen af internettet sker på en lovlig og sikkerhedsmæssig og i det hele taget forsvarlig måde, gælder en række anvisninger som rettesnor. Det gælder imidlertid også om at bruge sin sunde fornuft i forhold til hvad der er forsvarligt. Albertslund Kommune opfordrer til brug af internettet i arbejdsmæssig sammenhæng. Overvågning af netværk Som led i den almindelige netværksovervågning bliver al netværkstrafik logget. Såfremt der er begrundet mistanke om, at der findes misbrug af internettet sted, eller der er begrundet mistanke om, at medarbejdere bryder med Albertslund Kommunes holdninger kan nærmeste leder foranledige, at der indsamles oplysninger med henblik på at belyse om der finder misbrug sted. Dette kan være sider hvor inholdet kan støde andre medarbejdere. Uanset resultatet af logningen skal medarbejderen altid informeres om, at logningen finder sted. Misbrug kan medføre påtale, afskedigelse eller anmeldelse til politiet. Brug af ikke godkendte applikationer på sociale netværk DU må ikke anvende applikationer på kommunens it-systemer, hvis de ikke er godkendte af Digitaliseringscentret. Omfang af brug af sociale netværk Din brug af sociale netværk må ikke genere almindelig drift og brug af virksomhedens it-systemer. Brugere af sociale netværk skal være specielt opmærksomme på at: Personer på sociale netværk er ikke altid dem de udgiver sig for at være (det er ikke sikkert den person, du tror er en kollega, faktisk er det) Persondata må aldrig deles på sociale netværk. Download af filer, som du modtager via et socialt netværk, er underlagt de samme regler som øvrige downloads Informationer, som du har lagt ud på et socialt netværk, kan kun meget vanskeligt, måske aldrig, trækkes tilbage Du vil med stor sandsynlighed opleve at nogen forsøger at franarre dig dine bruger-id''er og/eller dine adgangskoder (phishing). De sociale netværk, som du bruger, kan registrere og gemme oplysninger om dig, og hvilke informationer du søger og bruger. Download af filer fra internettet Arbejdsrelaterede filer må downloades fra internettet. Download af programmer fra internettet Det er ikke tilladt at hente programmer fra internettet, medmindre det er relateret til løsning af arbejdsopgaver og aftalt med Digitaliseringscentret. Streaming via internet Det er ikke tilladt at anvende Kommunens netværk til vedvarende trafik, som eksempelvis streaming af lyd eller billede fra radio- og tv-tjenester eller film. Side 12 af 41

17 Afvikling af programmer i forbindelse med internetsurfing Det er tilladt at afvikle browserbaserede programmer, f.eks. netbankprogrammer, forudsat at sikkerhedspolitikken i øvrigt overholdes. Terminalsessioner til fjernstyring Godkendt personale må tilgå visse virksomhedssystemer over internet eller gennem dial-up-forbindelser, hvis disse sikres på forsvarlig vis. Adgang skal tillades af den sikkerhedsansvarlige i samråd med systemejerne. Sikkerhedsindstillinger i web-browser Brugerne må ikke forsøge at omgå eller bryde de fastsatte sikringsforanstaltninger. Medarbejderes private brug af internetadgang Kommunens internetadgang må i begrænset omgang anvendes til private formål i begrænset omfang, såfremt sikkerhedspolitikken i øvrigt overholdes, og såfremt arbejdsrelateret brug ikke generes på nogen måde. Adgang til surfing på internettet Internetadgangen må benyttes til internetsurfing - dog skal surfing i privat øjemed foretages således, at det ikke blokerer for arbejdsrelateret brug af internettet. Fortrolig mail med følsomt indhold skal krypteres med godkendt software. Dette gælder især for klassificeret, fortrolig eller følsom persondata, der sendes over internettet. Phishing og bedrageri Uanset at Kommunen udfører indholdsscanning af alle s, skal brugere skal være opmærksomme på "phishing" og "social engineering", der f.eks. kan betyde, at de kan modtage tilsyneladende oprigtige e- mails, der forsøger at franarre personlige eller fortrolige oplysninger eller forsøger at få brugeren til at foretage uønskede handlinger. Medarbejderes private brug af Kommunen tillader brug af -systemer, også til privat brug, såfremt sikkerhedspolitikken i øvrigt overholdes. Kommunen forbeholder sig ret til at skaffe sig adgang til data og for medarbejdere, hvis der er mistanke om misbrug eller sker af driftseller sikkerhedshensyn. Virksomheden vil så vidt muligt forsøge at undgå at åbne eventuel privat -korrespondance. Medarbejderne må anvende mailsystemerne til personligt brug i begrænset omfang, hvis dette ikke har indflydelse på virksomhedens drift og sikkerhed i øvrigt. Al mailtrafik betragtes som virksomhedens ejendom. Brug af previewfunktion til åbning af må gerne vises i previewfunktion. Vedhæftede filer It-afdelingen skal blokere for filtyper som it-afdelingen vurderer farlige eller uhensigtsmæssige. Side 13 af 41

18 Adware Adware-beskyttelse baseres på medarbejder-awareness, sikkerhedsindstillinger i internetbrowser, begrænsninger i brugeres muligheder for softwareinstallation samt brug af adware-scannere. Digitaliseringscentret skal sikre, at der regelmæssigt scannes for adware på alle arbejdsstationer. Sagsbehandling og journalisering af Modtaget og afsendt skal journaliseres og behandles efter samme principper som gælder for almindelig brevpost og fax. Installation af trådløst udstyr Medarbejdere må ikke installere udstyr, der giver trådløs netadgang. Forbindelse til fremmede trådløse netværk Brugere må forbinde sig til fremmede trådløse netværk. Autentificering Brugere skal være opmærksomme på at messenger-programmer anvender svag autentificering. Det vil sige at brugeren sjældent eller aldrig har vished for, hvem der kommunikeres med. Filudveksling Der må ikke udveksles filer eller internet-links via messengerprogrammer. Misbrug af internettet Såfremt der er begrundet mistanke om, at der findes misbrug af internettet sted, eller der er begrundet mistanke om, at medarbejdere bryder med Albertslund Kommunes holdninger kan forvaltningsdirektøren foranlede at der indsamles oplysninger med henblik på at belyse om der er fundet mistbrug sted. Opdager man selv at man har brudt datasikkerheden skal det meddeles ens leder. Uanset resultatet af logningern skal medarbejderen altid informeres om at logningen er kontrolleret. Misbrug kan medføre påtale, afskedigelse eller anmeldelse til politiet. Eksempler på internetsider man ikke må benytte: Sider med børneporno, porno, o.lign. Download af ulovlige programmer, Tilbyde elektroniske tjenester, Krænke andres licens og ophavnsrettigheder 8 Medarbejdersikkerhed Informationssikkerheden i Kommunen afhænger i høj grad af medarbejderne. Det er nødvendigt at sikre virksomheden gennem ansættelse af de rigtige medarbejdere. Medarbejdere skal uddannes i itsikkerhed i relation til deres jobfunktion og modtage nødvendige informationer. Endvidere er det nødvendigt med regler, der beskriver sikkerhedsforhold når et ansættelsesforhold slutter. Side 14 af 41

19 8.2 Ansættelsesforholdet Uddannelse Sikkerhedsuddannelse for it-medarbejdere Alle it-medarbejdere skal specifikt uddannes i sikkerhedsaspekter, for at minimere risikoen for sikkerhedshændelser. Uddannelse i sikkerhedspolitikken Alle nyansatte it-brugere modtager, senest på første arbejdsdag, Kommunens informationssikkerhedspolitik. Alle it-brugere skal læse Kommunens informationssikkerhedspolitik Sanktioner Overtrædelse af sikkerhedsretningslinierne Det er ledelsens ansvar, at sanktioner for brud på Kommunens politikker, regler eller retningslinier håndhæves konsekvent og i overensstemmelse med gældende lovgivning. 8.3 Ansættelsens ophør Ansvar ved ansættelsens ophør Fratrædelse Når ansættelse eller midlertidige kontrakter ophæves, skal alle tilknyttede rettigheder trækkes tilbage. ID-kort og lignende skal afleveres, og itudstyr skal afleveres inden sidste lønning udbetales. Afdelingslederen har ansvaret for at it-udstyr o.lign. afleveres og at Digitaliseringscentret modtager en blanket om medarbejderens fratrædelse Returnering af aktiver Returnering af aktiver ved aftrædelse Medarbejderen skal aflevere alt udleveret udstyr såsom mobiltelefon og pc ved samarbejdets ophør. 9 Fysisk sikkerhed Fysisk sikkerhed og adgangsregler for gæster er naturlige elementer i Kommunens sikkerhedspolitik. Fysisk sikkerhed omfatter blandt andet døre, vinduer, alarmer - samt tyverisikring af Kommunens fysiske aktiver, eksempelvis it-udstyr. 9.1 Sikre områder Fysisk afgrænsning Distribueret it-udstyr Alle krydsfelter, afdelings-serverrum og lignende faciliteter med delt itudstyr skal aflåses for at hindre uautoriseret adgang til disse. Side 15 af 41

20 Indbrudsalarmer Virksomheden skal anvende passende alarmsystemer på relevante bygninger og lokaler. Aflåsning af lokaler og bygninger Alle døre og vinduer med adgang til/fra bygningerne skal lukkes og låses ved arbejdstids ophør. Døre til sikrede lokationer i bygningerne skal ligeledes aflåses. Sidste medarbejder der forlader et område er ansvarlig for sikring af dette Fysisk adgangskontrol Adgang for serviceleverandører Serviceleverandører må kun få adgang til sikre områder, når dette er påkrævet. Adgang til serverrum og hovedkrydsfelter Adgang til serverrum og hovedkrydsfelter tillades kun med sikkerhedsgodkendelse eller ved overvåget adgang af medarbejdere fra Digitaliseringscentret. Udlån af adgangskort Adgangskort må udlånes til håndværkere, teknikere og andre såfremt der afleveres komplet udfyldt udlånsformular Sikring af kontorer, lokaler og udstyr Sikring af kontorer, lokaler og udstyr Kontorer og andre lokaler, hvor der opbevares systemer med følsom data, skal kunne låses. Der skal desuden benyttes et adgangskontrolsystem til styring af adgangen til lokalerne Beskyttelse mod eksterne trusler Brandsikring Passende brandsikringsudstyr skal forefindes og være korrekt placeret. Opbevaring af sikkerhedskopier på ekstern lokation Datamedier til retablering af forretningskritiske systemer skal opbevares på et eksternt opbevaringssted Arbejdsmæssige forhold i sikre områder Overvågning i sikre områder It-afdelingen skal sikre, at arbejde i sikre områder så vidt muligt overvåges. Oplysninger om sikre områder Oplysninger om sikre områder og deres funktion skal alene gives ud fra et arbejdsbetinget behov Områder til af- og pålæsning med offentlig adgang Af- og pålæsningsområder Adgang til af- og pålæsningsområder må kun gives til identificerede og autoriserede personer. Leverancer skal registreres i henhold til varemodtagelsesprocedure. Side 16 af 41

21 9.2 Beskyttelse af udstyr Placering af udstyr Placering af udstyr Udstyr, der benyttes til at behandle kritiske/følsomme informationer, skal placeres så informationerne ikke kan ses af uvedkommende. Digitaliseringscentret skal begrænse fysisk adgang til krydsfelter. Køling Serverrum skal sikres med veldimensionerede airconditionanlæg. Tyverimærkning af it-udstyr Alt udstyr skal være tydeligt mærket for at minimere risikoen for tyveri. Alle bærbar pc'er er tydeligt mærket for at minimere risikoen for tyveri. Miljømæssig sikring af serverrum Serverrum, krydsfelter og tilsvarende områder skal på forsvarlig vis sikres mod miljømæssige hændelser som brand, vand, eksplosion og tilsvarende påvirkninger Forsyningssikkerhed Forsyningssikkerhed Miljø- og Teknikdirektøren har ansvaret for, at alle forsyninger som elektricitet, vand, kloak, varme, og ventilation har den fornødne kapacitet og løbende inspiceres for at forebygge uheld der kan have indflydelse på informationsaktiverne. Nødstrømsanlæg Alle server-systemer skal beskyttes med nødstrømsanlæg til at sikre hurtig og korrekt system-nedlukning i tilfælde af strømudfald Sikring af kabler Sikring af kabler Kabler til datakommunikation skal beskyttes mod uautoriserede indgreb og skader. Faste kabler og udstyr skal mærkes klart og entydigt. Dokumentation skal opdateres, når den faste kabelføring ændres. Aflåsning af hovedkrydsfelter og lignende teknikrum Alle krydsfelter og andre teknikrum skal være aflåste Udstyrs og anlægs vedligeholdelse Vedligeholdelse af udstyr og anlæg Digitaliseringscentret skal vedligeholde udstyr efter leverandørens anvisninger. Kun godkendte leverandører må udføre reparationer og vedligeholdelse. Side 17 af 41

22 9.2.5 Sikring af udstyr uden for virksomhedens overvågning Forsikringsdækning for mobile enheder Der er ikke forsikringsdækning af it-udstyr. Sikring af hjemmearbejdspladser Hjemmearbejdspladser og deres kommunikationsforbindelser skal beskyttes i forhold til de informationer og forretningssystemer, de benyttes til. Opsyn med mobile enheder Mobile enheder må ikke efterlades uden opsyn i uaflåste rum. Adgang til data på pc'er og mobiltelefoner skal beskyttes med en loginadgangskode Fjernelse af Kommunens informationsaktiver Fjernelse af udstyr fra virksomheden Udstyr, der indeholder fortrolige data, må kun fjernes efter behørig godkendelse fra pågældende dataejer. 10 Styring af netværk og drift Vedligeholdelse og opdatering af it-systemer er nødvendigt for at opretholde et passende sikkerhedsniveau for Kommunen. Drift af it-systemer inkluderer elementer af overvågning af systemernes helbredstilstand, opdatering og sikkerhedskopiering af data. De fleste it-systemer i dag er afhængige af netværk, og derfor er administration, opbygning, sikring og vedligeholdelse af netværk vitalt for Kommunen. Den trussel, som uautoriseret adgang indebærer, gør det nødvendigt med klare regler for brugen af Kommunens netværk samt overvågning af infrastrukturen Operationelle procedurer og ansvarsområder Driftsafviklingsprocedurer Driftsansvar Digitaliseringscentret er ansvarlig for drift og administration af fælles itsystemer samt disses sikkerhed. Dette inkluderer efterlevelse af sikkerhedspolitikker, regler og procedurer. Dokumentation Digitaliseringscentret skal løbende vurdere dokumentationsbehov for alle væsentlige systemer og it-relaterede forretningsgange Ændringsstyring Side 18 af 41

23 Ændringsstyring Ved ændringer skal der foregå en gennemgang af sikringsforanstaltninger og integritetskontroller for at sikre, at disse ikke forringes ved implementeringen. Der skal indhentes en formel godkendelse af ændringen, før arbejdet med den går i gang. Forældet systemdokumentation skal arkiveres eller destrueres. Implementeringen af ændringen skal foretages på et aftalt tidspunkt, så den ikke forstyrrer de involverede forretningsydelser. Planlægning, test og godkendelse af ændringer Ændringernes konsekvenser skal vurderes inden drift. Ændringer skal igennem en formaliseret godkendelsesprocedure inden drift. Retningslinier for ændringer Ændringer skal kun gennemføres, når de er forretningsmæssigt velbegrundede. Digitaliseringscentret har ansvaret for, at der foregår en entydig identifikation og registrering af væsentlige ændringer. Digitaliseringscentret har ansvaret for, at der findes en nødprocedure til at mindske effekten af fejlslagne ændringer Funktionsadskillelse Funktionsadskillelse: udvikling, test og drift Der er ingen krav til funktionsadskillelse i forbindelse med udviklingstest- og driftsmiljøer. Sikring af forretningskritiske systemer Forretningskritiske systemer skal sikres gennem etableringen af brugerprofiler for at hindre misbrug af disse Adskillelse mellem udvikling, test og drift Adskillelse af udvikling, test og drift Adskillelse af udviklings- og testmiljø fra driftsmiljø skal opretholdes ved hjælp af adgangskontrol. Migreringsstyring Migrering fra udvikling til produktion skal undergå test og kontrol for at tilsikre driftsniveau, sikkerhedsniveau og brugbarhed inden implementering. Derudover skal godkendt software sikres mod efterfølgende uønskede ændringer. Hvis muligt skal kun objekt-kode, og ikke kildetekster, migreres til produktionssystemer. Sikring af applikationsudviklingsmiljøerne Udviklingsmiljøer skal sikres mod trusler som uautoriseret adgang, ændringer og tab. Data skal sikres efter følsomhedsniveau. Adgang til produktionsdata Systemadministratorers adgang til fortrolige oplysninger skal begrænses. Side 19 af 41

24 10.2 Ekstern serviceleverandør Overvågning og revision af serviceleverandøren Overvågning af serviceleverandøren Digitaliseringscentret skal regelmæssigt overvåge serviceleverandørerne, gennemgå de aftalte rapporter og logninger samt udføre egentlige revisioner for at sikre, at aftalen overholdes, og at sikkerhedshændelser og -problemer håndteres på betryggende vis Styring af driftsmiljøet Kapacitetsstyring Kapacitetsovervågning Alle serversystemer med kritiske informationer skal løbende overvåges for tilstrækkelig kapacitet for at sikre pålidelig drift og tilgængelighed. Kapacitetsplanlægning It-systemernes dimensionering skal afpasses efter kapacitetskrav. Belastning skal overvåges således, at opgradering og tilpasning kan finde sted løbende. Dette gælder især for forretningskritiske systemer Godkendelse af nye eller ændrede systemer Godkendelse af nye eller ændrede systemer Digitaliseringscentret skal etablere en godkendelsesprocedure for nye systemer, for nye versioner og for opdateringer af eksisterende systemer samt de afprøvninger, der skal foretages, inden de kan godkendes og sættes i drift. Sikring af serversystemer Servere skal sikres og testes inden implementering i produktionsmiljøet jvf. kravspec. og designspec Skadevoldende programmer og mobil kode Beskyttelse mod skadevoldende programmer Automatisk indholdsfiltrering Systemerne skal jævnligt scannes for spam- og phishing-mails. Disse mails mv. skal sættes i karantæne automatisk. Adware Adware-beskyttelse baseres på medarbejder-awareness, sikkerhedsindstillinger i internetbrowser, begrænsninger i brugeres muligheder for softwareinstallation samt brug af adware-scannere. Digitaliseringscentret skal sikre, at der regelmæssigt scannes for adware på alle arbejdsstationer. Side 20 af 41

25 Spyware Installation af spyware søges undgået gennem begrænsningerne i muligheder for softwareinstallation. Installation af spyware søges undgået gennem patch-managementprocesser. Digitaliseringscentret skal sikre, at der regelmæssigt scannes for spyware på alle arbejdsstationer. Spam-mail beskyttelse Kommunen bortfiltrerer , er omfattet af kommunens kriterier for spam-mails. Medarbejderne skal udvise forsigtighed med deres brugeridentitet i forbindelse med videregivelse af eksempelvis mailadresser, samt i forbindelse med modtagelsen af uønskede s. Antivirus-produkter på servere Der skal være installeret antivirus-beskyttelse på alle serversystemer, hvor dette er muligt og hensigtsmæssigt Sikkerhedskopiering Sikkerhedskopiering Sikkerhedskopiering af data på serversystemer Digitalieringscentret er ansvarlig for opbevaring og sikkerhedskopiering af alle forretningskritiske informationer på serversystemer. Opbevaring af sikkerhedskopier på ekstern lokation Datamedier til retablering af forretningskritiske systemer skal opbevares på et eksternt opbevaringssted. Nødplaner for sikkerhedskopiering Alle kritiske systemer skal have en nødplan for sikkerhedskopiering, således at risikoen for tab af data minimeres. Overvågning af procedurer for sikkerhedskopiering Muligheden for at retablere data fra backup-systemer skal regelmæssigt aftestes i et testmiljø. Endvidere skal retablering testes efter system- eller proces-ændringer, der kan påvirke backup-rutiner Netværkssikkerhed Netværket Sikring af netværk Digitaliseringscentret har det overordnede ansvar for at beskytte Kommunens netværk. Adgang til trådløse netværk for gæster Gæster, hvis identitet er kendt, kan få en ticket i Digitaliseringscentret til gæstenettet "Internet", forudsat at udstyret ikke generer andre systemer. Gæsters brug af virksomhedens trådløse netværk Netværket kan og må kun anvendes til internetadgang, og ikke til direkte adgang til interne systemer. Side 21 af 41

26 Adgang til trådløse netværk Brugere skal autentificeres, ved hjælp af et certifikat eller ticket, før der gives adgang til virksomhedens trådløse netværk, f.eks. ved hjælp af IEEE 802.1x. Indkommende netværksforbindelser Sikkerhedschefen skal godkende enhver form for indkommende netværksforbindelse fra internet til interne netværk. Tilslutning af udstyr til netværk Medarbejdere og konsulenter må ikke koble udstyr sammen med det interne netværk. Kun Digitaliseringscentret må koble udstyr på det interne netværk. Placering af trådløse netværk Der er ingen restriktioner på placering af trådløst netværksudstyr Brug af trådløse lokalnetværk Brug af trådløse netværk tillades. Trådløse netværk betragtes som usikre, ubeskyttede netværk. Adgang til aktive netværksstik Adgang til aktive netværksstik skal styres af Digitaliseringscentret. Firewall-funktioner på servere Alle servere skal benytte firewalls til at sikre, at der kun gives adgang til nødvendige services Netværkstjenester Netværksleverandøren skal kunne levere: De nødvendige teknologiske muligheder for autentifikation, kryptering og overvågning. De nødvendige tekniske opsætninger til at sikre opkoblinger i overensstemmelse med samarbejdsaftalen. Adgangskontrol, der sikrer mod uvedkommendes adgang Databærende medier Bærbare datamedier Brug af datamedier Benyttelse af bærbare datamedier skal være forretningsmæssigt begrundet Beskyttelse af datamediers indhold Beskyttelse af følsomme og fortrolige data på datamedier Systemejere skal etablere procedurer, der sikrer datamediers indhold mod uautoriseret adgang og misbrug af mediernes indhold. Udskrivning Printere som benyttes til udskrivning af fortrolige eller personhenførbare informationer skal have en adgangskodefunktion eller tilsvarende, der sikrer, at kun de rette medarbejdere får adgang til udskrifterne. Side 22 af 41

27 Beskyttelse af systemdokumentation Beskyttelse af systemdokumentation Digitaliseringscentret skal opbevare systemdokumentation passende sikkert. Lagring og adgangsrettigheder til systemdokumentation Systemdokumentation opbevares i mindst 5 år Informationsudveksling Informationsudvekslingsretningslinjer og -procedurer Procedurer for informationsudveksling Digitaliseringschefen har ansvaret for, at der foreligger retningslinier og procedurer for enhver form for elektronisk informationsudveksling. Udskrivning Printere som benyttes til udskrivning af fortrolige eller personhenførbare informationer skal have en adgangskodefunktion eller tilsvarende, der sikrer, at kun de rette medarbejdere får adgang til udskrifterne. Brug af kryptering i forbindelse med dataudveksling Det kræves, at og data, der indeholder fortrolige informationer og personfølsomme data, altid er krypteret med digitalt certifikat eller sendes via dokumentboks. Udlevering af fortrolige informationer og oplysninger Fortrolige informationer og oplysninger må udleveres, hvis der foreligger underskrevne fortrolighedsaftaler. Personhenførbare og fortrolige oplysninger må kun udleveres til bemyndigede personer Aftaler om informationsudveksling Aftaler om informationsudveksling Ved udveksling af information og software imellem virksomheden og evt. tredjepart, skal der foreligge en aftale herom Elektronisk post og dokumentudveksling Elektronisk udveksling af post og dokumenter Hvis bruges til bindende aftaler, skal de underskrives med en digital signatur. Fortrolig mail med følsomt indhold skal krypteres med godkendt software. Dette gælder især for klassificeret, fortrolig eller følsom persondata, der sendes over internettet. Automatisk indholdsfiltrering Systemerne skal jævnligt scannes for spam- og phishing-mails. Disse mails mv. skal sættes i karantæne automatisk. Side 23 af 41

28 Spam-mail beskyttelse Kommunen bortfiltrerer , er omfattet af kommunens kriterier for spam-mails. Medarbejderne skal udvise forsigtighed med deres brugeridentitet i forbindelse med videregivelse af eksempelvis mailadresser, samt i forbindelse med modtagelsen af uønskede s. Afsendelse af mails til flere modtagere Afsendelse af mails til flere personer skal ske med omtanke. Man må ikke sende kædebreve, spam, chikanebreve rundt Kommunens informationssystemer Integration af informationssystemer Hvis integration af informationssystemer resulterer i en forøget risiko, skal denne vurderes og godkendes af ledelsen Elektroniske forretningsydelser Elektronisk handel Foranstaltninger ved elektronisk handel skal omfatte: Krav til fortrolighed, integritet og uafviselighed for både køber og sælger, f.eks. i forbindelse med kontraktindgåelse. Krav til fortrolighed og integritet for alle købsordrer, betalingsoplysninger, leveringsadresser og kvitteringer. Krav til en sikker og hensigtsmæssig betalingsprocedure. Elektronisk handel Information involveret i elektronisk handel over offentligt netværk skal beskyttes mod svindel, kontraktlige uoverensstemmelser, uautoriseret adgang og ændringer Offentligt tilgængelige informationer Offentlig tilgængelig information Det er driftsleverandørens ansvar, at offentlig tilgængelig information, f.eks. på kommunes web-server(e), er passende beskyttet mod uautoriserede ændringer Logning og overvågning Opfølgningslogning Opbevaring af opfølgningslog Digitaliseringscentret skal opbevare log for sikkerhedshændelser på væsentlige systemer i mindst 3 måneder. Digitaliseringscentret skal opbevare log for fejlhændelser på væsentlige systemer i mindst 3 måneder. Digitaliseringscentret skal opbevare log for brugerhændelser på væsentlige systemer i mindst 3 måneder. Side 24 af 41

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484 DS 484:2005 Standard for informationssikkerhed -Korte uddrag fra DS484 Informationssikkerhedsstrategi Ledelsen skal godkende en skriftlig informationssikkerhedspolitik, som skal offentliggøres og kommunikeres

Læs mere

Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6

Region Syddanmark Politik for it-sikkerhed Oktober 2009 Version 0.6 Indholdsfortegnelse Generelt 3 Formål 3 Omfang 4 It-sikkerhedsniveau 4 Styring 5 Sikkerhedsbevidsthed 6 Brud på it-sikkerheden 6 Anvendelse af politik for it-sikkerhed i praksis 6 Bilag 1. Anvendelse af

Læs mere

Bilag 5 Aarhus Kommune. Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0. Opbevaring/sletning af informationer

Bilag 5 Aarhus Kommune. Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0. Opbevaring/sletning af informationer Bilag 5 Aarhus Kommune Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0 Opbevaring/sletning af informationer 11-04-2011 1 Regler 7 Styring af informationsrelaterede

Læs mere

Informationssikkerhedspolitik

Informationssikkerhedspolitik Folder om Informationssikkerhedspolitik ansatte og byrådsmedlemmer 25-11-2013 Indledning Faxe Kommune har en overordnet Informationssikkerhedspolitik. Denne folder er et uddrag, der kort fortæller hvad

Læs mere

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014

Aarhus Kommune. IT-sikkerhedspolitik. Politik 25-04-2014 Aarhus Kommune IT-sikkerhedspolitik Politik 25-04-2014 Indholdsfortegnelse Politik 1 Indledning 1 Formål 1 Politikkens omfang 2 Ledelsesansvar 2 IT-sikkerhedsorganisationen 2 IT-sikkerhedsniveau 3 IT-sikkerhedshåndbogen

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

SIKKERHEDSREGLER. 5. Informationssikkerhedspolitikker

SIKKERHEDSREGLER. 5. Informationssikkerhedspolitikker SIKKERHEDSREGLER. 5. Informationssikkerhedspolitikker 5. 1. Retningslinjer for styring af informationssikkerhed 5. 1. 1. Politikker for informationssikkerhed Informationssikkerhed defineres som de samlede

Læs mere

Skanderborg Kommune. Regler. Nedenstående regler er udfærdiget på kravene i ISO. Udkast 27002:2005. Udkast: 2014-02-12

Skanderborg Kommune. Regler. Nedenstående regler er udfærdiget på kravene i ISO. Udkast 27002:2005. Udkast: 2014-02-12 Skanderborg Kommune Regler Nedenstående regler er udfærdiget på kravene i ISO 27002:2005 : 2014-02-12 Indholdsfortegnelse 4 Risikovurdering og -håndtering 4.1 Vurdering af sikkerhedsrisici 4.2 Risikohåndtering

Læs mere

IT-sikkerhedspolitik for

IT-sikkerhedspolitik for Norddjurs Kommune IT-sikkerhedspolitik for Norddjurs Kommune Overordnet IT-sikkerhedspolitik 1.0 Politik 14-11-2006 Side 2 af 7 Overordnet IT-sikkerhedspolitik Indledning Dette dokument beskriver Norddjurs

Læs mere

Guide til sikker it. Daglig brug Programmer E-mail Internet Databehandling

Guide til sikker it. Daglig brug Programmer E-mail Internet Databehandling Guide til sikker it Daglig brug Programmer E-mail Internet Databehandling Hvilke retningslinjer skal du følge som it-bruger i Hillerød Kommune? Indhold Daglig brug af din computer 4 Computere, programmer

Læs mere

Informationssikkerhedspolitik for Norddjurs Kommune

Informationssikkerhedspolitik for Norddjurs Kommune Norddjurs Kommune Informationssikkerhedspolitik for Norddjurs Kommune Regler Kommunens regler for informationssikkerhed 24-11-2011 Indholdsfortegnelse Regler 2 4 Risikovurdering og -håndtering 2 4.1 Vurdering

Læs mere

INFORMATIONSSIKKERHEDSPOLITIK. Informationssikkerhedspolitik

INFORMATIONSSIKKERHEDSPOLITIK. Informationssikkerhedspolitik Informationssikkerhedspolitik Er informationssikkerhed aktuel? Hvorfor arbejder vi med informationssikkerhedspolitik? EU direktiv 95/46/EF Persondataloven Sikkerhedsbekendtgørelsen Datatilsynet Hvorfor

Læs mere

Frederikshavn Kommune. Informationssikkerhed Version 1.0 Regler

Frederikshavn Kommune. Informationssikkerhed Version 1.0 Regler Frederikshavn Kommune Informationssikkerhed Version 1.0 Regler 13-11-2007 1 Risikovurdering og -håndtering Overordnet risikovurdering Der skal være udført en overordnet risikovurdering der indeholder konsekvensvurdering

Læs mere

Middelfart Kommune IT-SIKKERHEDSPOLITIK. IT-sikkerhedspolitik for Middelfart Kommune. Regler

Middelfart Kommune IT-SIKKERHEDSPOLITIK. IT-sikkerhedspolitik for Middelfart Kommune. Regler Middelfart Kommune IT-SIKKERHEDSPOLITIK IT-sikkerhedspolitik for Middelfart Kommune Regler 11-10-2007 Organisation og implementering Placering af ansvar er vitalt for at sikre opmærksomhed på Middelfart

Læs mere

Instrukser for brug af it

Instrukser for brug af it it sikkerhed Instrukser for brug af it Må Skal ikke Kan Januar 2010 Version 1.0 Indhold Forord................................................... 3 Resumé.................................................

Læs mere

Assens Kommune Sikkerhedspolitik for it, data og information

Assens Kommune Sikkerhedspolitik for it, data og information Assens Kommune Sikkerhedspolitik for it, data og information Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Holdninger og principper... 4 4. Omfang... 4 5. Sikkerhedsbevidsthed,

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2 Status for ændringer Version Dato Navn Bemærkning 1.0 24-04-2007 Vedtaget i Regionsrådet 1.1 13-02-2012 IMT-Informationssikkerhed Tilpasning af terminologi 1.2 15-10-2012 IMT-Informationssikkerhed Rettelse

Læs mere

Instrukser for brug af it

Instrukser for brug af it it IT-Afdelingen sikkerhed Instrukser i brug af IT Instrukser for brug af it Må Skal ikke Kan Januar 2010 Version 1.0 Indhold Indhold Forord.............................. 3...................... 3 Resumé

Læs mere

It-sikkerhedspolitik for Københavns Kommune

It-sikkerhedspolitik for Københavns Kommune Københavns Kommune Koncernservice It-sikkerhedspolitik for Københavns Kommune 2015-02-05 It-sikkerhedshåndbog for Københavns Kommune It-sikkerhedspolitik for Københavns Kommune Publiceret: 2014-07-03 Mål

Læs mere

It-sikkerhed i Dansk Supermarked

It-sikkerhed i Dansk Supermarked It-sikkerhed i Dansk en kort introduktion It-sikkerhed i Dansk 1 Velkommen som it-bruger i Dansk Kære medarbejder Brug af it er for mange i Dansk en naturlig del af arbejdsdagen. Hvis vi skal sikre vores

Læs mere

Kære medarbejder og leder

Kære medarbejder og leder Kære medarbejder og leder Adgang til informationer i it-systemer og elektronisk kommunikation er for de fleste medarbejdere i Region Hovedstaden en selvfølgelig del af arbejdsdagen. Hvis vi ikke har adgang

Læs mere

Datasikkerhedspolitik

Datasikkerhedspolitik Datasikkerhedspolitik Godkendt i Byrådet den 10.november 2008 1 Datasikkerhedspolitik Indhold 1. Indledning 2. Organisation og ansvarsfordeling 2.1 Ansvarsorganisation for datasikkerhed 2.2 Øverste og

Læs mere

Informationssikkerhedspolitik

Informationssikkerhedspolitik Faxe Kommune Informationssikkerhedspolitik Regler 14-07-2014 Indholdsfortegnelse Regler 2 1 Overordnede retningslinjer 2 1.1 Informationssikkerhedspolitik 2 1.1.1 Formulering af informationssikkerhedspolitik

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.

Læs mere

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser INDHOLDSFORTEGNELSE 1. Baggrund og formål... 2 2. Ansvarsfordeling... 2 2.1 Jobcenterchefens ansvar... 2 2.2 Gensidig informationspligt... 3 3. Krav til

Læs mere

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring KOMBIT har som indkøbscentral på vegne af landets kommuner indgået aftale med [leverandørnavn] (herefter Leverandøren ) om udvikling, drift,

Læs mere

Informationssikkerhedshåndbog

Informationssikkerhedshåndbog Region Midtjylland Informationssikkerhedshåndbog Retningslinjer Region Midtjyllands regler for informationssikkerhed 1.0 11-03-2013 Indholdsfortegnelse Retningslinjer 2 1 Indledning 2 2 Termer og definitioner

Læs mere

INFORMATIONS- SIKKERHEDS- POLITIK

INFORMATIONS- SIKKERHEDS- POLITIK INFORMATIONS- SIKKERHEDS- POLITIK GLOSTRUP KOMMUNE 14. NOVEMBER 2012 Politik Nærværende informationssikkerhedspolitik er en generel administrativ opdatering af version 1.0 især på baggrund af organisationsændringen

Læs mere

Hvilke retningslinjer skal du følge som bruger i Norddjurs Kommune?

Hvilke retningslinjer skal du følge som bruger i Norddjurs Kommune? Hvilke retningslinjer skal du følge som bruger i Norddjurs Kommune? Som bruger i Norddjurs Kommune er du ansvarlig for det, du foretager dig på din computer og for de oplysninger, som du gemmer. Det betyder,

Læs mere

IT-SIKKERHEDSPOLITIK UDKAST

IT-SIKKERHEDSPOLITIK UDKAST IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens

Læs mere

IT-centeret. It-sikkerhedshåndbog. Næstved Kommune Sagsbehandler: JJ Tlf. 5577 5300 Sagsnr: Doknr: www.naestved.dk. 20. april 2009

IT-centeret. It-sikkerhedshåndbog. Næstved Kommune Sagsbehandler: JJ Tlf. 5577 5300 Sagsnr: Doknr: www.naestved.dk. 20. april 2009 It-sikkerhedshåndbog IT-centeret Næstved Kommune Sagsbehandler: JJ Tlf. 5577 5300 Sagsnr: Doknr: www.naestved.dk 20. april 2009 Version 1.3 af 20. april 2009 Indhold 1. Indledning og formål 2 2. Ansvar

Læs mere

KÆRE MEDARBEJDER OG LEDER

KÆRE MEDARBEJDER OG LEDER Region Hovedstaden 1 KÆRE MEDARBEJDER OG LEDER Adgang til informationer i it-systemer og elektronisk kommunikation er for de fleste medarbejdere i Region Hovedstaden en selvfølgelig del af arbejdsdagen.

Læs mere

Faaborg-Midtfyn Kommunes it-sikkerhedspolitik Udkast pr. 26. maj 2009

Faaborg-Midtfyn Kommunes it-sikkerhedspolitik Udkast pr. 26. maj 2009 1. Indledning It-anvendelsen i Faaborg-Midtfyn Kommune skal understøtte kommunens vision. Samtidig ønsker Faaborg- Midtfyn Kommune, at medarbejderne har en bevidst holdning til begrebet it-sikkerhed, hvor

Læs mere

IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR

IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR 1 HUSK n Adgangskoder må ikke videregives til andre. n Andre må ikke anvende din personlige bruger-id. n Ved mistanke om, at andre har fået kendskab

Læs mere

Standard for informationssikkerhed

Standard for informationssikkerhed Dansk standard DS 484 1. udgave Standard for informationssikkerhed Code of practice for information security management 2005-09-20 DS 484:2005 København DS projekt: M205538 ICS: 35.020; 35.040 Første del

Læs mere

Informationssikkerhed regler og råd

Informationssikkerhed regler og råd Informationssikkerhed regler og råd TAP-området Kære kollegaer Formålet med denne folder er at oplyse dig om RMCs regler og råd inden for informationssikkerhed. Folderen skal være med til at sikre, at

Læs mere

Overordnet it-sikkerhedspolitik for Rødovre Kommune

Overordnet it-sikkerhedspolitik for Rødovre Kommune Overordnet it-sikkerhedspolitik for Rødovre Kommune Denne politik er godkendt af kommunalbestyrelsen januar 2016. Og træder i kraft januar 2016. Ved udskrivning af politikken skal du være opmærksom på,

Læs mere

Politik

Politik <dato> <J.nr.> Side 1 af 5 Politik Informationssikkerhedspolitik for 1. Indledning Denne informationssikkerhedspolitik er den overordnede ramme for informationssikkerheden hos .

Læs mere

Dragør Kommune. Operationelle bilag til IT-sikkerhedspolitikken. Bilag 7. Retningslinjer for IT-medarbejdere

Dragør Kommune. Operationelle bilag til IT-sikkerhedspolitikken. Bilag 7. Retningslinjer for IT-medarbejdere Dragør Kommune Operationelle bilag til IT-sikkerhedspolitikken IT-sikkerhedspolitik Side 2 Retningslinjer for IT-medarbejdere Samtlige medarbejdere beskæftiget med driften af kommunens IT-installation,

Læs mere

DS 484 Den fællesstatslige standard for informationssikkerhed. Sikkerhedsaspekter ved Mobilitet og Distancearbejde

DS 484 Den fællesstatslige standard for informationssikkerhed. Sikkerhedsaspekter ved Mobilitet og Distancearbejde DS 484 Den fællesstatslige standard for informationssikkerhed Sikkerhedsaspekter ved Mobilitet og Distancearbejde * Velkomst og dagens program Hvorfor er vi her Dagens formål og succeskriterier Disponeringen

Læs mere

Informationssikkerhed Version 2.0 29.09.10

Informationssikkerhed Version 2.0 29.09.10 Informationssikkerhed Version 2.0 29.09.10 Retningslinjer for retablering af systemer og data (Ændringer i forhold til tidligere version er markeret med Understregning) Disse retningslinjer beskriver de

Læs mere

Informationssikkerhedspolitik for

Informationssikkerhedspolitik for <organisation> 1 Informationssikkerhedspolitik for 1. Formål informationssikkerhedspolitik beskriver vigtigheden af arbejdet med informationssikkerhed i og fastlægger

Læs mere

Informationssikkerhedspolitik. Frederiksberg Kommune

Informationssikkerhedspolitik. Frederiksberg Kommune Informationssikkerhedspolitik Frederiksberg Kommune Indledning Informationssikkerhedspolitikken er den overordnede ramme for beskyttelse af information i Frederiksberg Kommune. Kommunen behandler oplysninger

Læs mere

Informationssikkerhedspolitik for Sønderborg Kommune

Informationssikkerhedspolitik for Sønderborg Kommune Informationssikkerhedspolitik for Sønderborg Kommune Denne politik er godkendt af Byrådet d. 4. februar 2015 og træder i kraft d. 1. marts 2015 Seneste version er tilgængelig på intranettet 1/8 Indledning

Læs mere

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09

Aabenraa Kommune. Informationspolitik. Udkast. Udkast: 2014-04-09 Aabenraa Kommune Informationspolitik : 2014-04-09 Aabenraa Kommune 29. august 2012 Informationspolitik Overordnet Informationssikkerhedspolitik for Aabenraa Kommune Velkommen til Aabenraa Komune s overordnede

Læs mere

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.: Databehandleraftale vedrørende brug af WinPLC og relaterede services Version 1.0 d. 1. november 2015 Parterne Kundenr.: Klinikkens navn og adresse (evt. stempel) (herefter den Dataansvarlige) og (herefter

Læs mere

Procedure om IT brug og IT sikkerhed

Procedure om IT brug og IT sikkerhed Procedure om IT brug og IT sikkerhed Godkendt i MED-Hovedudvalget den 28. september 2015 1 Procedure om IT brug og IT sikkerhed Denne procedure omhandler den overordnede tilgang til håndtering af IT- brug

Læs mere

OVERORDNET IT-SIKKERHEDSPOLITIK

OVERORDNET IT-SIKKERHEDSPOLITIK OVERORDNET IT-SIKKERHEDSPOLITIK Indholdsfortegnelse 1. Indledning....3 2. Formål...3 3. Sikkerhedspolitik...3 4. Dækningsormåde...4 5. Sikkerhedsniveau....4 6. Organisation og ansvar...4 7. Opfølgning...5

Læs mere

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner.

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner. Juni 2011 1 Indhold 1. Indledning 3 2. Formål 4 3. Omfang 5 4. It-sikkerhedsniveau 5 5. It-sikkerhedsbevidsthed 6 6. Overtrædelse af it-sikkerhedspolitikken 6 7. Udarbejdelse og ikrafttrædelse 6 2 1 Indledning

Læs mere

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser www.pwc.dk EG Cloud & Hosting Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser Januar 2016 Indhold 1. Ledelsens udtalelse...

Læs mere

Hvilke retningslinjer skal du følge som bruger i Norddjurs Kommune?

Hvilke retningslinjer skal du følge som bruger i Norddjurs Kommune? Hvilke retningslinjer skal du følge som bruger i Norddjurs Kommune? Som bruger i Norddjurs Kommune er du ansvarlig for det, du foretager dig på din computer og for de oplysninger, som du gemmer. Det betyder,

Læs mere

Almindelig sund fornuft med IT Gode råd og regler om IT sikkerhed

Almindelig sund fornuft med IT Gode råd og regler om IT sikkerhed Almindelig sund fornuft med IT Gode råd og regler om IT sikkerhed Langeland Kommune Sikkerhed i Langeland Kommune Sikkerhed er noget vi alle skal tænke over. Vi behandler følsomme informationer om vores

Læs mere

KOMBIT sikkerhedspolitik

KOMBIT sikkerhedspolitik KOMBIT sikkerhedspolitik Indholdsfortegnelse INDLEDNING 3 DEL 1: ORGANISERING, ROLLER OG ANSVAR 4 DEL 2: POLITIK FOR INFORMATIONSSIKKERHED 5 DEL 3: RETNINGSLINJER OG KONTROLMÅL TIL LEVERANDØREN 6 5. INFORMATIONSSIKKERHEDSPOLITIKKER

Læs mere

Region Hovedstadens Ramme for Informationssikkerhed

Region Hovedstadens Ramme for Informationssikkerhed Region Hovedstadens Ramme for Informationssikkerhed Indhold Region Hovedstadens ramme for Informationssikkerhed... 3 1 Formål... 3 2 Gyldighedsområde/omfang... 4 3 Målsætninger... 4 4 Informationssikkerhedsniveau...

Læs mere

Instrukser for brug af dataudstyr ved OUH

Instrukser for brug af dataudstyr ved OUH Skal Kan Må ikke Instrukser for brug af dataudstyr ved OUH Afdelingen for Driftsoptimering og IT Vi er til for borgerne, og bruger dataudstyr for at sikre effektivitet og kvalitet. Vi skal have en høj

Læs mere

Databehandlerinstruks

Databehandlerinstruks 1. Databehandleren handler alene efter instruks af den dataansvarlige. 2. Databehandleren forpligter sig til, til enhver tid at overholde lovgivningsmæssige krav samt denne databehandlerinstruks. 3. Databehandleren

Læs mere

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED DAGSORDEN _ Introduktion til informationssikkerhed _ Hvad går det egentlig ud på _ Hvilke kerneopgaver er der _ Hvor langt er vi nået? _ Hvilke

Læs mere

Informationssikkerhedspolitik for

Informationssikkerhedspolitik for <organisation> 1 Informationssikkerhedspolitik for Indholdsfortegnelse Side 1. Indledning 4 1.1 Formål med informationssikkerhedspolitikken 4 1.2 Hovedmålsætninger i informationssikkerhedspolitikken 4

Læs mere

Tilladelsen gives på følgende vilkår:

Tilladelsen gives på følgende vilkår: Amgros I/S Dampfærgevej 22 2100 København Ø Sendt til: amgros@amgros.dk og cch@amgros.dk 6. april 2016 Vedrørende anmeldelse af behandlingen "Behandling af ESPD dokumentation" Datatilsynet Borgergade 28,

Læs mere

RETNINGSLINJER FOR BRUGERE I NORDDJURS KOMMUNE?

RETNINGSLINJER FOR BRUGERE I NORDDJURS KOMMUNE? GUIDE TIL SIKKER IT RETNINGSLINJER FOR BRUGERE I NORDDJURS KOMMUNE? Som bruger i Norddjurs Kommune er du ansvarlig for det, du foretager dig på din computer og for de oplysninger, som du gemmer. Det betyder,

Læs mere

AFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN

AFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN AFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN Mellem Norddjurs Kommune Torvet 3 8500 Grenaa (i det følgende benævnt Dataansvarlige ) og Leverandør

Læs mere

BILAG 5 DATABEHANDLERAFTALE

BILAG 5 DATABEHANDLERAFTALE BILAG 5 DATABEHANDLERAFTALE INDHOLDSFORTEGNELSE 1. Formål og omfang... 5 2. Databehandlers opgave... 5 3. Instruks... 5 4. Brug af ekstern Databehandler eller underleverandør... 5 5. Behandling i udlandet...

Læs mere

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) 1 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-951-4 0.05.12

Læs mere

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven).

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven). Bilag 6 Databehandleraftale og databehandlerinstruks 1. Leverandøren overholder de til enhver tid gældende regler og forskrifter for behandling af personoplysninger under Kontrakten, herunder: lov nr.

Læs mere

EU-udbud af Beskæftigelsessystem og ESDHsystem

EU-udbud af Beskæftigelsessystem og ESDHsystem EU-udbud af Beskæftigelsessystem og ESDHsystem Beskæftigelses- og Integrationsforvaltningen Københavns Kommune Underbilag 2 A Københavns Kommunes IT-sikkerhedspolitik Indholdsfortegnelse 1. IT-sikkerhedspolitik

Læs mere

Databehandleraftale. om [Indsæt navn på aftale]

Databehandleraftale. om [Indsæt navn på aftale] Databehandleraftale om [Indsæt navn på aftale] Jf. bestemmelserne i lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer (Persondataloven) mellem Vesthimmerlands Kommune

Læs mere

Tænk når du taster. kom nærmere

Tænk når du taster. kom nærmere Tænk når du taster kom nærmere Regler for medarbejdernes brug af TDC s pc-arbejdspladser Nedenfor kan du læse om de regler, TDC s Direktion har vedtaget for brugen af koncernens*) pc-arbejdspladser Reglerne

Læs mere

Konference 27. januar 2011 Personale og IT-sikkerhed. /ved chefkonsulent, cand. jur. Helle Groth Christensen KL s Juridiske Kontor

Konference 27. januar 2011 Personale og IT-sikkerhed. /ved chefkonsulent, cand. jur. Helle Groth Christensen KL s Juridiske Kontor Konference 27. januar 2011 Personale og IT-sikkerhed /ved chefkonsulent, cand. jur. Helle Groth Christensen KL s Juridiske Kontor Hvordan sikrer I, at medarbejderne iagttager og overholder IT-sikkerheden?

Læs mere

IT Sikkerhedspolitik. for. Tønder kommune

IT Sikkerhedspolitik. for. Tønder kommune Udkast IT Sikkerhedspolitik for Tønder kommune Side 1 af 13 Indhold Version.... 3 Indledning... 4 Formålet med IT Sikkerhedspolitikken.... 4 Hvem er omfattet af IT Sikkerhedspolitikken.... 5 Ansvar og

Læs mere

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes]

Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes] Databehandleraftale mellem Aarhus Kommune, Børn og Unge og [leverandørnavn indsættes] Det er, jf. Kontrakt om levering af Skolesystem (Læringsplatform) som servicebureauløsning, aftalt, at [leverandørnavn

Læs mere

Vesthimmerlands Kommune

Vesthimmerlands Kommune Vesthimmerlands Kommune It-sikkerhedshåndbog Kommunens samlede it-sikkerhedshåndbog 2014 RISIKOVURDERING OG -HÅNDTERING... 1 Vurdering af sikkerhedsrisici... 1 Overordnet risikovurdering... 1 Risikohåndtering...

Læs mere

Sikkerhedsregler for Kalundborg Kommune

Sikkerhedsregler for Kalundborg Kommune Bilag 19 Sikkerhedsregler for Kalundborg Kommune Sikkerhedsregler for Kalundborg Kommune i henhold til Justitsministeriets bekendtgørelse nr. 528 af den 15. juni 2000 om sikkerhedsforanstaltninger til

Læs mere

Indholdsfortegnelse. Generelt 3. Formål 3. Omfang 4. Sammenhæng med IT- og forretningsstrategier 4

Indholdsfortegnelse. Generelt 3. Formål 3. Omfang 4. Sammenhæng med IT- og forretningsstrategier 4 Indholdsfortegnelse Generelt 3 Formål 3 Omfang 4 Sammenhæng med IT- og forretningsstrategier 4 Risikostyring og sikring af informationsaktiver og systemer 5 Overvågning af risici og regionens IT-sikkerhedsniveau

Læs mere

IT sikkerhedspolitik. for. Fredericia Kommune

IT sikkerhedspolitik. for. Fredericia Kommune IT sikkerhedspolitik for Fredericia Kommune Side 1 af 17 Versionsstyring Versionsnummer Dato for version Ændring Årsag Ansvar 1.00 01.06.2013 Ny politik godkendt i byrådet PerToftdahl Side 2 af 17 Versionsstyring...

Læs mere

Politik for It-brugeradfærd For Aalborg Kommune

Politik for It-brugeradfærd For Aalborg Kommune Click here to enter text. Politi k for It- bruger adfærd 2011 «ed ocaddressci vilcode» Politik for It-brugeradfærd For Aalborg Kommune Kolofon: It-sikkerhedsgruppen / IT- og Personalekontoret Godkendt

Læs mere

Overordnet It-sikkerhedspolitik

Overordnet It-sikkerhedspolitik Overordnet It-sikkerhedspolitik Denne politik er godkendt af byrådet d. x. måned 2014 Ved udskrivning af politikken skal du være opmærksom på, at du anvender senest godkendte version. Acadre sags nr. 14-8285

Læs mere

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet "informationer"? 2

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet informationer? 2 Indhold 1 Informationssikkerhedspolitik 2 1.1 Hvorfor vil vi sikre vores informationer? 2 1.2 Hvad dækker begrebet "informationer"? 2 2 Principper 4 2.1 Styret af KU's strategiske behov 4 2.2 Implementering

Læs mere

Service Level Agreement (SLA)

Service Level Agreement (SLA) Service Level Agreement (SLA) vedrørende IT-Backend mellem Gymnasiefællesskabet og Allerød Gymnasium Roskilde Katedralskole Roskilde Gymnasium Himmelev Gymnasium Greve Gymnasium Solrød Gymnasium Køge Gymnasium

Læs mere

Informationssikkerhedspolitik for Vejen Kommune

Informationssikkerhedspolitik for Vejen Kommune Informationssikkerhedspolitik for Vejen Kommune Denne politik er godkendt af byrådet d. xx. Og træder i kraft d. xx. Seneste version er tilgængelig på intranettet. Indledning Vejen Byråd fastlægger med

Læs mere

IT-sikkerhedspolitik. for. Gladsaxe Kommune

IT-sikkerhedspolitik. for. Gladsaxe Kommune IT-sikkerhedspolitik for Gladsaxe Kommune INDHOLD 1. IT-sikkerhedspolitik 1.1 Baggrund for IT-sikkerhedspolitikken 2. Begreber og definitioner 3. IT-sikkerhedspolitikken 3.1 Hovedmålsætninger med IT-sikkerhedspolitikken

Læs mere

IT-retningslinier og sikkerhedspolitik for Viborg Kommunes Skole IT. - gældende for undervisere

IT-retningslinier og sikkerhedspolitik for Viborg Kommunes Skole IT. - gældende for undervisere IT-retningslinier og sikkerhedspolitik for Viborg Kommunes Skole IT - gældende for undervisere August 2009 IT retningslinier og sikkerhedspolitik for Viborg kommunes Skole IT - gældende for undervisere

Læs mere

Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. (Herefter benævnt Dataansvarlig)

Databehandleraftale. Mellem. Egedal Kommune. Dronning Dagmars Vej Ølstykke. (Herefter benævnt Dataansvarlig) Databehandleraftale Mellem Egedal Kommune Dronning Dagmars Vej 200 3650 Ølstykke (Herefter benævnt Dataansvarlig) Og (Herefter benævnt Databehandler) side 1 af 5 Generelt Databehandleren indestår for at

Læs mere

Politik til sikring af UCN s digitale og papirbaserede informationsaktiver (itsikkerhedspolitik) Dokumentdato: 13. april 2010

Politik til sikring af UCN s digitale og papirbaserede informationsaktiver (itsikkerhedspolitik) Dokumentdato: 13. april 2010 Politik til sikring af UCN s digitale og papirbaserede informationsaktiver (itsikkerhedspolitik) Dokumentdato: 13. april 2010 Dokumentansvarlig: mkm Indhold 1. Målsætning/formål... 1 2. Omfang... 3 3.

Læs mere

Studér denne folder for vores sikkerheds skyld

Studér denne folder for vores sikkerheds skyld Studér denne folder for vores sikkerheds skyld Pas på vores værdifulde viden Vi fremskaffer og formidler viden. Elektronisk, skriftligt og mundtligt. Det er Københavns Universitets væsentligste aktivitet

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Dags dato er indgået nedenstående aftale mellem Københavns Kommune Teknik- og Miljøforvaltningen Njalsgade 13 2300 København S CVR.nr.: 64 94 22 12 (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.]

Læs mere

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD INDHOLD INDHOLD... 1 1. Baggrund... 2 2. Definitioner... 2 3. Behandling af personoplysninger... 3 4. Behandlinger uden instruks... 3 5. Sikkerhedsforanstaltninger... 3 6. Underdatabehandling... 4 7. Overførsel

Læs mere

hos statslige myndigheder

hos statslige myndigheder IT-Universitetet i København Rued Langgaards Vej 7 2300 København S Sendt til: itu@itu.dk 25. juni 2015 Udtalelse til anmeldelsen Videnskabelige og statistiske undersøgelser hos statslige myndigheder Datatilsynet

Læs mere

Retningslinjer om brugeransvar

Retningslinjer om brugeransvar Retningslinjer om brugeransvar April 2015 Movia Design/Mette Malling 04.15. Fotos: Movia Indhold Pas på vores Movia 5 Movias målsætninger 6 Hvem har ansvaret? 8 Fortrolighed 9 Movias omdømme 11 Pas på

Læs mere

Vejledning VEDRØRENDE GENERELLE BETINGELSER FOR ANVENDELSE AF NEMHANDEL. Februar 2015 (VERSION 1.4 AF FEBRUAR 2015)

Vejledning VEDRØRENDE GENERELLE BETINGELSER FOR ANVENDELSE AF NEMHANDEL. Februar 2015 (VERSION 1.4 AF FEBRUAR 2015) Vejledning Februar 2015 VEDRØRENDE GENERELLE BETINGELSER FOR ANVENDELSE AF NEMHANDEL (VERSION 1.4 AF FEBRUAR 2015) Side 2 af 12 Indholdsfortegnelse: Indholdsfortegnelse:... 2 INDLEDNING... 4 GENERELLE

Læs mere

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer

ISAE 3000 DK ERKLÆRING MARTS 2013. RSM plus P/S statsautoriserede revisorer plus revision skat rådgivning TABULEX ISAE 3000 DK ERKLÆRING MARTS 2013 Erklæring fra uafhængig revisor om Tabulex ApS overholdelse af bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger

Læs mere

1. Indledende bestemmelser Formål. Område

1. Indledende bestemmelser Formål. Område 1. Indledende bestemmelser Formål 1.1 Formålet med bestemmelserne er, at den enkelte persons retsbeskyttelse og integritet ikke krænkes ved behandling af personoplysninger i Region Hovedstaden og på Steno

Læs mere

It-sikkerhedstekst ST4

It-sikkerhedstekst ST4 It-sikkerhedstekst ST4 Datatransmission af personoplysninger på åbne net Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST4 Version 1 Oktober 2014 Datatransmission af personoplysninger

Læs mere

fortrolighed: omfatter en sikring af, at information kun er tilgængelig for personer, som er berettigede

fortrolighed: omfatter en sikring af, at information kun er tilgængelig for personer, som er berettigede Tillæg 3 1 1 IT-sikkerhedspolitik for Ballerup Kommune 1.1 Baggrund for IT-sikkerhedspolitikken Ballerup Kommune anvender på flere områder og i større omfang IT for at leve op til de krav, som borgere,

Læs mere

Skabelon: Regler for medarbejderes brug af it

Skabelon: Regler for medarbejderes brug af it Notat Skabelon: Regler for medarbejderes brug af it I dag er det en naturlig ting, at medarbejderen i en virksomhed har en pc til sin rådighed til at udføre sit arbejde. Pc en har typisk adgang til internettet

Læs mere

Vejledning i informationssikkerhedspolitik. Februar 2015

Vejledning i informationssikkerhedspolitik. Februar 2015 Vejledning i informationssikkerhedspolitik Februar 2015 Udgivet februar 2015 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske til:

Læs mere

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet Sammenfatning Denne vejledning adresserer risikoen for industrispionage fra statssponserede aktører i udlandet mod

Læs mere

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed Den finansielle sektor er i dag 100% afhængig af, at it-løsninger er kørende og herudover er sikret i tilfælde af, at noget

Læs mere